Jachtbouw Nederland

AVG, was damit zu tun?

Die Verordnung über die allgemeine Datenverarbeitung (AVG) trat am 25. Mai dieses Jahres in Kraft. Über die neue europäische Datenschutzgesetzgebung ist bereits viel geschrieben worden, aber in kleinen Unternehmen, wie sie oft im Yachtbau tätig sind, ist nicht immer alles in Ordnung. Daher eine kompakte Übersicht mit wichtigen Punkten, die es zu beachten gilt.

Das Gesetz betrifft den Schutz personenbezogener Daten im Zusammenhang mit (der Art und Weise) der Verarbeitung dieser personenbezogenen Daten. Was sind personenbezogene Daten? Dabei handelt es sich um alle Informationen, die zu einer natürlichen Person zurückverfolgt werden können: Name, Adresse, Telefonnummer, Ausweisnummer, Standortdaten, IP-Adresse, E-Mail-Adresse, aber auch Rasse, Religion oder Gesundheit. Gibt es Regeln für die Verarbeitung personenbezogener Daten? Vereinfacht ausgedrückt, muss die Verarbeitung dieser personenbezogenen Daten für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich sein, oder zum Beispiel im Falle einer Genehmigung im Falle eines Newsletters. Wenn Sie Daten verarbeiten (Kunden, Mitarbeiter, Website-Besucher) und diese Daten auf eine natürliche Person zurückgeführt werden können und Ihre Datenverarbeitung ganz oder teilweise automatisiert ist, gilt das AVG.

Wichtigste Verpflichtungen.
Jede Organisation, die personenbezogene Daten verarbeitet, muss deutlich machen, wessen Daten verarbeitet werden, wie und zu welchem Zweck, an wen die Daten weitergegeben werden und wie lange sie gespeichert werden. Außerdem müssen die persönlichen Daten ordnungsgemäß gesichert werden. Sie kommen diesen Verpflichtungen nach, indem Sie: Abfassung einer Datenschutzerklärung; Abschluss von Vereinbarungen mit Auftragsverarbeitern; Überprüfung der IT-Systeme und der Organisation auf Datensicherheit.

Erklärung zum Datenschutz.
In einer Datenschutzerklärung machen Sie deutlich, warum, zu welchem Zweck und welche Daten von Ihrem Unternehmen verarbeitet werden, wie jemand auf diese Daten zugreifen kann und wie er sich beschweren kann, wenn etwas nicht in Ordnung ist.

Vereinbarung mit dem Verarbeiter.
Dies ist notwendig, wenn es Unternehmen gibt, die personenbezogene Daten Ihrer Mitarbeiter oder Kunden in Ihrem Auftrag verarbeiten. Es geht um ausgelagerte Tätigkeiten, die Sie sonst selbst erledigen würden. Der Auftragsverarbeiter verwendet diese personenbezogenen Daten nicht für seine eigenen Zwecke. Beispiele: Lohnbuchhaltung, Einkauf von IT-Diensten aus der Cloud, Outsourcing von Rechnungen.

Und weiter.
Mit einer externen Datenschutzerklärung auf Ihrer Website und einer Vereinbarung mit dem Auftragsverarbeiter sind Sie bereits auf einem guten Weg. Sie können auch einen Schritt weiter gehen und ein Register über die Verarbeitung führen. Dann haben Sie sofort ein Bild, wenn jemand seine Daten anfordert oder ändern möchte, mit wem die Daten geteilt werden und welche Organisationen z.B. über die Änderungen informiert werden sollen. Wie machen Sie das? Stellen Sie die Datenverarbeitung dar, z. B. in einer Excel-Datei: Welche personenbezogenen Daten verarbeiten Sie, zu welchem Zweck, auf wessen Grundlage (Zustimmung/Gesetz/Erlaubnis), mit wem teilen Sie diese Daten und wie lange speichern Sie die Daten? Eine praktische Anwendung eines solchen Registers sind z.B. Fehlzeiten- und Gesundheitsdaten, bei denen die Telefonnummer und die (Pflege-)Adresse, sofern die Krankheit daraus nicht ableitbar ist, die voraussichtliche Dauer der Abwesenheit, aktuelle Termine und Tätigkeiten erfasst werden. Ob der Arbeitnehmer unter eine der Sicherheitsnetzbestimmungen des Krankenversicherungsgesetzes fällt, ist nach zwei Monaten der Beschäftigung zulässig. Es ist nicht zulässig, danach zu fragen, unter welche Sicherheitsnetzbestimmungen der Arbeitnehmer fällt. Es ist jedoch zulässig, zu registrieren, ob die Krankheit mit einem Arbeitsunfall zusammenhängt und ob es sich um einen Verkehrsunfall mit Regressmöglichkeit handelt. Bitte beachten Sie, dass andere Gesundheitsdaten nicht erhoben oder weiterverarbeitet werden dürfen, weil sie für die Verpflichtung zur Lohnfortzahlung oder Wiedereingliederung nicht erforderlich sind. Sie fallen unter die ärztliche Schweigepflicht. Der Betriebsarzt darf daher diese Daten eines Zeitarbeitnehmers nicht angeben.

Nicht verarbeiten.
Welche Daten dürfen nicht verarbeitet werden?
Art und Ursache des Fernbleibens vom Dienst, einschließlich der Angabe von Krankheiten und spezifischen Beschwerden. Es reicht aus, die funktionalen Einschränkungen zu kennen: was der Arbeitnehmer/Zeitarbeitnehmer tun kann und was nicht. Persönliche subjektive Beobachtungen über die psychische oder physische Gesundheitssituation und die Frage, ob eine Krankheit mit der Arbeit zusammenhängt oder z. B. mit Beziehungsproblemen, dürfen nicht erfasst werden. Auch Daten über Therapien, Termine bei Ärzten, Physiotherapeuten oder Psychologen dürfen nicht erfasst werden. Bitte beachten Sie: Selbst wenn ein Arbeitnehmer/Zeitarbeitnehmer freiwillig Angaben zu Art und Grund der krankheitsbedingten Abwesenheit macht, dürfen diese Daten nicht erfasst werden. Dies ist nur zulässig, wenn dies zum Schutz eines lebenswichtigen Interesses der betroffenen Person erforderlich ist. Die Nichteinhaltung des AVG wird mit hohen Geldstrafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet! Die Behörde für personenbezogene Daten, die die Einhaltung der Vorschriften überwacht, wird nicht sofort ein Bußgeld verhängen, wenn die Absicht besteht, die AVG einzuhalten, sondern zunächst eine Verwarnung aussprechen.

Möchten Sie mehr über AVG erfahren? Auf der Website authoritypersoonsgegevens.nl wird alles detailliert beschrieben, und ein 10-Schritte-Plan kann ebenfalls heruntergeladen werden.

Teilen

Frits Hommersom met groene bril

"Sie haben das Recht auf einen Anwalt, der Ihnen sagt, was Sie tun sollen!

Cookies werden verwendet, um die Benutzerfreundlichkeit der Website zu optimieren. Mit dem Besuch dieser Website erklären Sie sich mit der Datenschutz- und Cookie-Erklärung einverstanden.