Umsetzung der DS-GVO in NRW

Reinigungsunternehmen verarbeiten personenbezogene Daten

Neben dem Hausmeisterservices und Gärtnern, gehören Reinigungsdienstleister wohl zu jenen, die beinahe überall in unserem Alltag präsent sind. Egal ob im öffentlichen Raum oder im Unternehmen, aber auch im privaten Bereich: Viele holen sich im Bereich der Reinigung auch in NRW professionelle Unterstützung.

Die Konstellationen der unterschiedlichen Angebote auf diesem Sektor können dabei extrem unterschiedlich sein und sollten daher angemessen geprüft werden. Um Ihnen einen ersten Eindruck zu vermitteln, was es bedeutet den Datenschutz in einem Reinigungsunternehmen umzusetzen, aber auch, welche Vorgaben DS-GVO und BDSG geben, wenn Sie einen Dienstleister beauftragen, möchten wir Ihnen in diesem Datenschutz-Blog erklären.

Zwei Betrachtungsweisen – Der Datenschutz und der Dienstleister

Wenn wir an dieser Stelle über das Thema Datenschutz schreiben, erklären wir meist, worauf ein Unternehmen bei der Einhaltung der Datenschutzgrundverordnung (DS-GVO) oder des Bundesdatenschutzgesetzes (BDSG) achten muss. Dabei betrachten wir meist und vor allem die Verarbeitung der Daten im eigenen Unternehmen. Auch das werden wir im Laufe dieses Blogs natürlich noch genauer machen.

An dieser Stelle möchten wir erst einmal den Fokus auf die Auftragsdatenverarbeitung legen. Beim Datenschutz betrachten wir oft den Datenaustausch zwischen Kunden und Unternehmen. Darüber hinaus verarbeiten Dienstleister oft – nicht selten auch unbewusst – personenbezogene Daten von Betroffenen, auch bei Reinigungen.

Auch das Vernichten von personenbezogenen Daten ist Datenverarbeitung

Nehmen wir zum Beispiel das von uns schon öfter thematisierte Vernichten von personenbezogenen Daten (den ganzen Blog dazu lesen Sie hier): Vernichtet das Reinigungsunternehmen im Zuge der Dienstleistung also regelmäßig Papiere mit personenbezogenen Daten – DS-GVO-konform mit dem Shredder – dann verarbeiten Sie personenbezogene Daten.

Da diese der Betroffene aber dem Verantwortlichen der Firma für einen bestimmten Zweck überlassen hat, die nun den Dienstleister für die Vernichtung beauftragt hat, findet hier eine Auftragsdatenverarbeitung statt. In diesem Fall muss ein sogenannter ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) abgeschlossen werden.

Mehr zum ADV-Vertrag finden Sie hier.

Prüfen Sie also, ob Sie für Ihre Kunden als Dienstleister in der Reinigungsbranche eine Auftragsdatenverarbeitung vornehmen und ob Sie diesbezüglich einen ADV-Vertrag nach DS-GVO abschließen müssen.

Gebäudeservice und personenbezogene Daten in NRW

Aber auch, wenn Sie nicht in direkten Kontakt mit den Daten von Betroffenen im Bereich von Daten der Kunden Ihrer Auftraggeber gelangen, so verarbeiten Sie in der Regel personenbezogene Daten. Zum Beispiel die Ihrer Auftraggeber.

Was sind personenbezogene Daten auf den Grundlagen der DS-GVO? – lesen Sie mehr dazu hier.

Prüfen Sie gemeinsam mit Ihrem Datenschutzbeauftragten, wo Sie personenbezogene Daten verarbeiten. Hierbei gilt es u.a. Daten von Mitarbeitern, Kunden, Interessenten und Lieferanten auf personenbezogene Daten hin zu überprüfen. Aber auch Videoüberwachung, Tracking- oder Analysetools auf Ihrer Homepage, Telefone, Faxe und sogar Kopierer können personenbezogene Daten verarbeiten, die Sie bei der Einhaltung des Datenschutzes berücksichtigen müssen.

Datenschutz für Reinigungsunternehmen in NRW

Wer personenbezogene Daten verarbeitet, der muss nach DS-GVO und BDSG u.a. folgende Schritte vornehmen:

  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten berufen müssen
  • Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Dokumentieren Sie die technischen und organisatorischen Maßnahmen (TOMs), die Sie zum Schutz der personenbezogenen Daten eingeführt haben
  • Erfüllen Sie die Betroffenenrechte (z.B. Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Auskunft und die Informationspflichten für Betroffene)
  • Erstellen Sie ein Löschkonzept zur DS-GVO-konformen Vernichtung der personenbezogenen Daten
  • Prüfen Sie, ob Sie bei der Verarbeitung bestimmter personenbezogener Daten eine Datenschutzfolgenabschätzung durchführen müssen
  • Unter Umständen müssen Sie auch einen ADV-Vertrag mit einem anderen Dienstleister abschließen, der personenbezogene Daten in Ihrem Auftrag verarbeitet

Auftragserteilung über Buchungsplattformen

Manche Gebäudeservices und Reinigungskräfte in NRW kann man mittlerweile auch bequem über ein online Portal oder ein Formular auf der Homepage buchen. Achten Sie als Anbieter aber (neben den ADV-Verträgen) auch darauf, welche Cookies Sie einsetzen.

Nach einem EuGH-Urteil wurde die Nutzung von Cookies nun erneut schärferen Regeln unterzogen. Welche das sind haben wir Ihnen hier zusammengefasst.

Ebenso sollten Sie auf der Homepage eine DS-GVO-konforme Datenschutzerklärung für Besucher der Internetseite bereitstellen. Diese sollte durch den Datenschutzbeauftragten Ihres Unternehmens geprüft worden sein.

Datenschutz bei Reinigungsunternehmen – Hilfe vom (externen) Datenschutzbeauftragten

Reinigungsunternehmen sind als Dienstleister in den verschiedensten Bereichen tätig. Egal ob Fensterreinigung, Fassadenreinigung, Reinigungskräfte für Büros oder andere Unternehmen: Auch hier muss der Datenschutz stimmen.

Ein externer Datenschutzbeauftragter kann Ihnen dabei helfen, den Datenschutz in Ihrem Reinigungsunternehmen entsprechend der gesetzlichen Vorgaben umzusetzen. Er überprüft den aktuellen stand des Datenschutzes mit einer Datenschutz-Erstberatung und bewertet in der laufenden Betreuung mit einem Datenschutz-Audit, welche Schwachstellen bestehen oder bereits beseitigt wurden.

Außerdem schult er die Mitarbeiter in Sachen Datenschutz, um ihnen das richtige Werkzeug zur Einhaltung der DS-GVO an die Hand zu geben.

Datenschutzberater.NRW erstellt Ihnen darüber hinaus einen Website-Scan zur Einschätzung des Datenschutz-Status Ihrer Homepage. Wir bieten Ihnen außerdem:

Unser Team aus dem Bereich Datenschutz, IT und Steuerrecht betreut bereits erfolgreich Mandanten aus Köln, Bonn, Düsseldorf und ganz NRW. Wir stellen einen externen Datenschutzbeauftragten (TÜV), der durch eine Datenschutzfachkraft (TÜV) unterstützt wird.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.

Gebäudereinigung und Datenschutz in NRW