Datenschutzgrundverordnung (DSGVO)

Die Regelungen der Europäischen Datenschutzgrundverordnung gelten seit dem 25. Mai 2018.  Hiervon sind auch alle Handwerksbetriebe betroffen. Betriebe sollten prüfen, welche Maßnahmen zu ergreifen sind.

Handwerkskammer Lübeck Rechtsauskunft Kontakt zu den Mitarbeitern der Rechtsauskunft Telefon 0451 1506-195 rechtsauskunft@hwk-luebeck.de

Einleitung

Der Zentralverband des Deutschen Handwerks e. V. (ZDH) hat für Betriebe einen umfassenden "Leitfaden - Das Datenschutzrecht" erstellt, der sämtliche Themen aufgreift und einen vertieften Überblick über die wichtigsten Aspekte des Datenschutzrechts für die betriebliche Praxis bietet. Darüber hinaus hat der ZDH zu den wichtigsten Themen des Datenschutzes Handlungsempfehlungen und Musterformulierungen erarbeitet.

Weitere Infos*

1. Was sind personenbezogene Daten?

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Bankdaten
  • Kfz-Kennzeichen und
  • Fotos

2. Wann ist eine Nutzung von Daten zulässig?

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt.
Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Vertiefende Informationen bietet Ihnen „Praxis Datenschutz: 2. Anforderungen der datenschutzrechtlichen Einwilligung." Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine Einwilligungserklärung (Anlage 1).
Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt "Praxis Datenschutz: 1. Zulässige Datenverarbeitung ohne Einwilligung". 

3. Formelle Pflichten

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick "Praxis Datenschutz: 3. Formelle Pflichten".

4. Informationspflichten bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt "Praxis Datenschutz: 4. Informationspflicht bei Erhebung personenbezogener Daten".  Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine solche Informationserteilung (Anlage 2) und Beispielformulierungen zur Ergänzung des Datenschutzhinweises auf Webseiten (Anlage 2A). Im Kasten finden Sie zudem ein Muster zur Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter).

5. Die Erteilung von Auskünften

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt "Praxis Datenschutz: 5. Die Erteilung von Auskünften". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine solche Auskunft an Kunden (Anlage 3).

6. Dokumentationspflicht

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt "Praxis Datenschutz: 6. Dokumentationspflicht". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für ein solches Verarbeitungsverzeichnis (Anlage 4) und ein Beispiel für ein Verarbeitungsverzeichnis (Anlage 5). Außerdem können Sie eine Liste mit technischen und organisatorischen Maßnahmen (Anlage 6) einsehen.

7. Löschkonzept für Daten

Die Datenschutzgrundverordnung (DSGVO) folgt einem einfachen Grundsatz. Nach Artikel 17 Abs. 1 DSGVO sind Daten stets dann zu löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Ob und wann die Aufbewahrung von Daten nicht mehr erforderlich ist, welche Aufbewahrungspflichten oder gesetzliche Löschfristen gelten und wie zu löschen ist, zeigt "Praxis Datenschutz: 11. Löschkonzept für Daten".

8. Betriebliche Datenschutzbeauftragte (DSB)

Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt "Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten (Anlage 7).

9. Auftragsverarbeitung

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt "Praxis Datenschutz: 8. Auftragsverarbeitung". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden auch eine Musterformulierung für die Auftragsdatenverarbeitung (Anlage 8).

10. Organisatorische Maßnahmen und Mitarbeiterverpflichtung

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden eine Liste technischer und organisatorischer Maßnahmen (Anlage 6).

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Nutzen Sie die "Mitarbeiter-Verpflichtungserklärung" als Muster (Anlage 14).

11. Rechtmäßige Datenverarbeitung von Beschäftigten

Der Umgang mit Daten von Beschäftigten spielt in der Praxis eine große Rolle. Das ZDH-Informationsblatt „Praxis Datenschutz: 9. Rechtmäßige Datenverarbeitung von Beschäftigten" gibt einen Überblick über die wesentlichen Pflichten und bietet mittels zahlreicher Muster entsprechende Umsetzungshilfen, insbesondere praxisgerechte Muster zur Erfüllung der entsprechenden Informations- und Dokumentationspflichten (Anlage 9).

12. Videoüberwachung im Betrieb

Der Einsatz von Videocameras auf Betriebsgeländen und in Betriebsräumen findet immer mehr Einzug auch bei Handwerksbetrieben. Informationen zur Zulässigkeit der Videoüberwachung, der Definition öffentlich zugänglicher Räume, den Löschfristen und weiteren Hinweisen finden Sie im "Praxis Datenschutz: 10. Videoüberwachung im Betrieb". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster zur Einwilligungserklärung für den Einsatz von Videocameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten und ein Hinweisschild zur Videoüberwachung (Anlage 16).

13. Datenschutz bei Betriebsnachfolge und Betriebsverkauf

Der Wert eines Handwerksbetriebes bemisst sich in der Regel an Sachwerten. Käufer eines Handwerksbetriebes beabsichtigen oft, bestehende Kundebeziehungen fortzuführen und haben Interesse an Kundendaten. Kundendaten unterstehen jedoch dem Schutz der Datenschutzgrundverordnung. Welche Anforderungen für eine zulässige Datenübertragung von Kundendaten gelten und welche rechtlichen Rahmenbedingungen zu beachten sind finden Sie in "Praxis Datenschutz: 12. Betriebsnachfolge und Betriebsverkauf". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster zur Information der Kunden über die Weiterleitung von Kundendaten an Betriebsnachfolger (inhabergeführte Betriebe/Personengesellschaften) (Anlage 18), eine Muster-Einwilligungserklärung zur Übertragung von Kundendaten an den Käufer (für Handwerksbetriebe der Gesundheitshandwerke) (Anlage 19) und eine Muster-Einwilligungserklärung zur Kontaktaufnahme per E-Mail, Telefon, Fax. (Anlage 20).

14. Datenschutzrechtliche Informationen zu Videokonferenzen

Videokonferenzen haben zwischenzeitlich Einzug in den Arbeitsalltag von Handwerksbetrieben gefunden. Vor diesem Hintergrund  wurden vom ZDH-Arbeitskreis Datenschutz ergänzende Informationsunterlagen zum Thema Datenschutz bei Videokonferenzen im Format eines „Praxis Datenschutz - Videokonferenzen“ samt Formulierungsbeispielen für entsprechende Datenschutzerklärung erarbeitet.

*Verlinkungen: Die Webseite enthält Verlinkungen zu anderen Webseiten ("externe Links"). Diese Webseiten unterliegen der Haftung der jeweiligen Seitenbetreiber. Bei Verknüpfung der externen Links waren keine Rechtsverstöße ersichtlich. Auf die aktuelle und künftige Gestaltung der verlinkten Seiten hat die Handwerkskammer Lübeck keinen Einfluss. Die permanente Überprüfung der externen Links ist für die Handwerkskammer Lübeck ohne konkrete Hinweise auf Rechtsverstöße nicht zumutbar. Bei Bekanntwerden von Rechtsverstößen werden die betroffenen externen Links unverzüglich gelöscht. Quelle: www.fachanwalt.de