Datenschutzgrundverordnung (DSGVO)

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtsdatum
• Bankdaten
• Kfz-Kennzeichen und
• Fotos

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt.
Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Vertiefende Informationen bietet Ihnen „Praxis Datenschutz: 2. Anforderungen der datenschutzrechtlichen Einwilligung." Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine Einwilligungserklärung (Anlage 1).
Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt "Praxis Datenschutz: 1. Zulässige Datenverarbeitung ohne Einwilligung". 

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick "Praxis Datenschutz: 3. Formelle Pflichten".

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt "Praxis Datenschutz: 4. Informationspflicht bei Erhebung personenbezogener Daten".  Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine solche Informationserteilung (Anlage 2) und Beispielformulierungen zur Ergänzung des Datenschutzhinweises auf Webseiten (Anlage 2A). Im Kasten finden Sie zudem ein Muster zur Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter).

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt "Praxis Datenschutz: 5. Die Erteilung von Auskünften". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für eine solche Auskunft an Kunden (Anlage 3).

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt "Praxis Datenschutz: 6. Dokumentationspflicht". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für ein solches Verarbeitungsverzeichnis (Anlage 4) und ein Beispiel für ein Verarbeitungsverzeichnis (Anlage 5). Außerdem können Sie eine Liste mit technischen und organisatorischen Maßnahmen (Anlage 6) einsehen.

Die Datenschutzgrundverordnung (DSGVO) folgt einem einfachen Grundsatz. Nach Artikel 17 Abs. 1 DSGVO sind Daten stets dann zu löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Ob und wann die Aufbewahrung von Daten nicht mehr erforderlich ist, welche Aufbewahrungspflichten oder gesetzliche Löschfristen gelten und wie zu löschen ist, zeigt "Praxis Datenschutz: 11. Löschkonzept für Daten".

Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt "Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten (Anlage 7).

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt "Praxis Datenschutz: 8. Auftragsverarbeitung". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden auch eine Musterformulierung für die Auftragsdatenverarbeitung (Anlage 8).

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden eine Liste technischer und organisatorischer Maßnahmen (Anlage 6).

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Nutzen Sie die "Mitarbeiter-Verpflichtungserklärung" als Muster (Anlage 14).

Der Umgang mit Daten von Beschäftigten spielt in der Praxis eine große Rolle. Das ZDH-Informationsblatt „Praxis Datenschutz: 9. Rechtmäßige Datenverarbeitung von Beschäftigten" gibt einen Überblick über die wesentlichen Pflichten und bietet mittels zahlreicher Muster entsprechende Umsetzungshilfen, insbesondere praxisgerechte Muster zur Erfüllung der entsprechenden Informations- und Dokumentationspflichten (Anlage 9).

Der Einsatz von Videocameras auf Betriebsgeländen und in Betriebsräumen findet immer mehr Einzug auch bei Handwerksbetrieben. Informationen zur Zulässigkeit der Videoüberwachung, der Definition öffentlich zugänglicher Räume, den Löschfristen und weiteren Hinweisen finden Sie im "Praxis Datenschutz: 10. Videoüberwachung im Betrieb". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster zur Einwilligungserklärung für den Einsatz von Videocameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten und ein Hinweisschild zur Videoüberwachung (Anlage 16).

Der Wert eines Handwerksbetriebes bemisst sich in der Regel an Sachwerten. Käufer eines Handwerksbetriebes beabsichtigen oft, bestehende Kundebeziehungen fortzuführen und haben Interesse an Kundendaten. Kundendaten unterstehen jedoch dem Schutz der Datenschutzgrundverordnung. Welche Anforderungen für eine zulässige Datenübertragung von Kundendaten gelten und welche rechtlichen Rahmenbedingungen zu beachten sind finden Sie in "Praxis Datenschutz: 12. Betriebsnachfolge und Betriebsverkauf". Auf der Seite des ZDH finden Sie bei den Anlagen zum Leitfaden ein Muster zur Information der Kunden über die Weiterleitung von Kundendaten an Betriebsnachfolger (inhabergeführte Betriebe/Personengesellschaften) (Anlage 18), eine Muster-Einwilligungserklärung zur Übertragung von Kundendaten an den Käufer (für Handwerksbetriebe der Gesundheitshandwerke) (Anlage 19) und eine Muster-Einwilligungserklärung zur Kontaktaufnahme per E-Mail, Telefon, Fax. (Anlage 20).