Checkliste für Sachverständige
- Gilt die EU-Datenschutzgrundverordnung auch für meine Sachverständigentätigkeit?
- Wann darf ich welche Daten verarbeiten?
- Wie lange darf/muss ich die Daten aufbewahren?
- Welche Rechte haben Betroffene?
- Brauche ich einen Datenschutzbeauftragten?
- Was passiert, wenn ich die Vorgaben der DSGVO nicht einhalte?
- To Do-Liste
Gilt die EU-Datenschutzgrundverordnung auch für meine Sachverständigentätigkeit?
Ja. Jeder, der personenbezogene Daten verarbeitet, muss die Vorgaben der EU-DSGVO und die
ergänzenden bundes- und landesdatenschutzrechtlichen Regelungen beachten.
Personenbezogen sind alle Informationen über eine identifizierte oder identifizierbare Person.
Verarbeiten bedeutet erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern,
abfragen, verwenden, offenlegen, übermitteln, verbreiten, bereitstellen, abgleichen, verknüpfen,
löschen, vernichten.
ergänzenden bundes- und landesdatenschutzrechtlichen Regelungen beachten.
Personenbezogen sind alle Informationen über eine identifizierte oder identifizierbare Person.
Verarbeiten bedeutet erheben, erfassen, organisieren, ordnen, speichern, anpassen, verändern,
abfragen, verwenden, offenlegen, übermitteln, verbreiten, bereitstellen, abgleichen, verknüpfen,
löschen, vernichten.
Wann darf ich welche Daten verarbeiten?
- Für jede Datenverarbeitung muss eine Rechtsgrundlage gegeben sein. Es gibt gemäß Artikel 6
DSGVO folgende Rechtsgründe:
rechtliche Verpflichtung (zum Beispiel: aufgrund eines Gesetzes oder der
Sachverständigenordnung) - für die (vor-)vertragliche Abwicklung erforderlich (zum Beispiel: relevant für Privatgutachten)
- Wahrung berechtigter Interessen des Sachverständigen (hier müssen Sie eine
Interessenabwägung vornehmen) - zweckgebundene, persönliche Einwilligung des Betroffenen (kommt in Betracht, wenn
keiner der vorstehenden Fälle vorliegt)
Es dürfen immer nur zweckgerichtete Informationen verarbeitet werden – so viele Daten wie
nötig, so wenige wie möglich. Beispiel: Für die Erfüllung eines privaten
Sachverständigenvertrages dürfte das Geburtsdatum des Auftraggebers nicht relevant sein.
Schalten Sie bei der Datenverarbeitung externe Dienstleister ein und liegen die Voraussetzungen
einer sog. Auftragsverarbeitung vor, müssen Sie mit dem Dienstleister einen Vertrag über die
Auftragsverarbeitung abschließen. Dieser muss die in Artikel 28 DSGVO genannten Bestandteile
enthalten. Für Ihre regelmäßig auftretenden Verarbeitungsvorgänge müssen Sie ein
Verarbeitungsverzeichnis anlegen, in dem Sie die Art der Tätigkeiten, den Zweck und die
Rechtsgrundlage, die Art der Daten, die Empfänger, die Löschfristen sowie die technischen und
organisatorischen Schutzmaßnahmen beschreiben.
nötig, so wenige wie möglich. Beispiel: Für die Erfüllung eines privaten
Sachverständigenvertrages dürfte das Geburtsdatum des Auftraggebers nicht relevant sein.
Schalten Sie bei der Datenverarbeitung externe Dienstleister ein und liegen die Voraussetzungen
einer sog. Auftragsverarbeitung vor, müssen Sie mit dem Dienstleister einen Vertrag über die
Auftragsverarbeitung abschließen. Dieser muss die in Artikel 28 DSGVO genannten Bestandteile
enthalten. Für Ihre regelmäßig auftretenden Verarbeitungsvorgänge müssen Sie ein
Verarbeitungsverzeichnis anlegen, in dem Sie die Art der Tätigkeiten, den Zweck und die
Rechtsgrundlage, die Art der Daten, die Empfänger, die Löschfristen sowie die technischen und
organisatorischen Schutzmaßnahmen beschreiben.
Wie lange darf/muss ich die Daten aufbewahren?
Je nach Zweck und Rechtsgrundlage unterschiedlich, spätestens aber, sobald der Zweck der
Speicherung weggefallen ist. Bei Verträgen ist dies zum Beispiel die Verjährungsfrist von Ansprüchen, bei
der Einwilligung insbesondere der Widerruf. Zu beachten sind Aufbewahrungspflichten aus dem
Steuerrecht oder den Sachverständigenordnungen.
Speicherung weggefallen ist. Bei Verträgen ist dies zum Beispiel die Verjährungsfrist von Ansprüchen, bei
der Einwilligung insbesondere der Widerruf. Zu beachten sind Aufbewahrungspflichten aus dem
Steuerrecht oder den Sachverständigenordnungen.
Welche Rechte haben Betroffene?
- Transparente Information über Verarbeitung (Ausnahme: der Betroffene verfügt bereits
über die Information oder sie stellt einen unverhältnismäßigen Aufwand dar) - Recht auf Datenauskunft
- Recht auf Datenberichtigung
- Recht auf Datenlöschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
Brauche ich einen Datenschutzbeauftragten?
Das kommt insbesondere auf die Zahl der mit der Datenverarbeitung befassten Mitarbeiter im
Sachverständigenbüro an. Wenn in der Regel mindestens zehn Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein
Datenschutzbeauftragter zu bestellen (§ 38 BDSG). Weitere Gründe ergeben sich aus Artikel 37
DSGVO (weiteres im Informationsblatt).
Sachverständigenbüro an. Wenn in der Regel mindestens zehn Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein
Datenschutzbeauftragter zu bestellen (§ 38 BDSG). Weitere Gründe ergeben sich aus Artikel 37
DSGVO (weiteres im Informationsblatt).
Was passiert, wenn ich die Vorgaben der DSGVO nicht einhalte?
Dann drohen Bußgelder von bis zu 20.000.000 Euro, beziehungsweise bis zu 4 Prozent des gesamten, weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs und ggf. wettbewerbsrechtliche
Abmahnungen. Bei Kleinunternehmen und geringen Verstößen könnte die Datenschutzbehörde
das Prinzip „Beratung vor Bestrafung“ anwenden. Im Übrigen muss das Bußgeld zwar
abschreckend, aber auch verhältnismäßig sein und berücksichtigt zum Beispiel die Schwere des
Verstoßes (Artikel 83 DSGVO).
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs und ggf. wettbewerbsrechtliche
Abmahnungen. Bei Kleinunternehmen und geringen Verstößen könnte die Datenschutzbehörde
das Prinzip „Beratung vor Bestrafung“ anwenden. Im Übrigen muss das Bußgeld zwar
abschreckend, aber auch verhältnismäßig sein und berücksichtigt zum Beispiel die Schwere des
Verstoßes (Artikel 83 DSGVO).
To Do-Liste
Bestandsaufnahme
- Wer verarbeitet wie welchen Daten zu welchem Zweck?
- Sind mindestens 10 Mitarbeiter in meinem Büro regelmäßig mit der automatisierten
Datenverarbeitung befasst? - Gibt es für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage gemäß Artikel 6 DSGVO
(zum Beispiel Einwilligung, Vertragserfüllung, rechtliche Verpflichtung)? - Habe ich alle Datenverarbeitungsprozesse in einem Verfahrensverzeichnis erfasst?
- Verfüge ich über eine ausreichende Dokumentation meiner Datenverarbeitungsprozesse
inklusive Löschmanagement und Umgang mit Datenschutzverletzungen? - Erfülle ich die erforderlichen technischen und organisatorischen Maßnahmen (TOM), um
einen sicheren Datenschutz zu gewährleisten? - Habe ich auf meiner Webseite einen ausreichenden Datenschutzhinweis?
- Ist meine IT ausreichend gesichert und werden die erforderlichen praktischen
Sicherungsmaßnahmen im Büro eingehalten (Verschluss von Personaldaten,
passwortgeschützter Zugang zu den Arbeitsrechnern, Bildschirmschoner, Firewall, etc.)? - Gebe ich Daten an Dritte weiter, die diese verarbeiten (zum Beispiel IT-Dienstleister, Versender)?
Umsetzungsmaßnahmen
Bestimmung eines internen Datenschutzkoordinators und/oder gegebenenfalls eines
Datenschutzbeauftragten
Datenschutzbeauftragten
- Erstellung eines Verarbeitungsverzeichnisses (Muster) inklusive Darstellung der
Rechtsgrundlagen und ergänzenden Dokumentationen, Löschkonzepten und Umgang mit
Datenschutzverletzungen (siehe hierzu folgende Hinweise - Sicherheitsstandards checken (IT) und gegebenenfalls anpassen
- Datenschutzhinweise erstellen und gegebenenfalls auf Webseite einstellen (auch an Cookiehinweise
denken) - IT-Sicherheit sicherstellen (zum Beispiel https, etc.)
- Zugangsberechtigungen prüfen (zum Beispiel Personalunterlagen verschließen,
passwortgeschützter Zugang zu den Arbeitsrechnern, Bildschirmschoner, et cetera) - Bei Weitergabe der verarbeiteten Daten an Dritte: Auftragsdatenverarbeitung (ADV-Verträge) abschließen (zum Beispiel Webdienstleister); (Muster)
Weitere Informationen finden Sie in der Checkliste der Ida Bayern.
Quelle: DIHK