Datenschutzgrundverordnung

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtsdatum
• Bankdaten
• Kfz-Kennzeichen und
• Fotos

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt. Vertiefene Informationen bietet Ihnen „Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung."

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt. Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt "Praxis Datenschutz: Zulässige Datenverarbeitung ohne Einwilligung".

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen erfüllt werden. Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Dies und weitere Fragen beantwortet "Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung". Auf der Seite des ZDH finden Sie zudem ein Muster für eine Einwilligungserklärung.

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick "Praxis Datenschutz: Formelle Pflichten".

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt "Praxis Datenschutz: Informationspflicht bei Erhebung personenbezogener Daten". Auf der Seite des ZDH finden Sie ein Muster für eine solche Informationserteilung (keine Weitergabe). Im Kasten finden Sie zudem ein Muster zur Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter) und Beispielformulierungen zur Ergänzung des Datenschutzhinweises auf Webseiten.

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt "Praxis Datenschutz: Die Erteilung von Auskünften". Auf der Seite des ZDH finden Sie zudem ein Muster für eine solche Auskunft an Kunden.

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt "Praxis Datenschutz: Dokumentationspflicht". Auf der Seite des ZDH finden Sie zudem ein Muster für ein solches Verarbeitungsverzeichnis und ein Beispiel für ein Verarbeitungsverzeichnis. Außerdem können Sie eine Liste mit technischen und organisatorischen Maßnahmen einsehen.

Die Datenschutzgrundverordnung (DSGVO) folgt einem einfachen Grundsatz. Nach Artikel 17 Abs. 1 DSGVO sind Daten stets dann zu löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Ob und wann die Aufbewahrung von Daten nicht mehr erforderlich ist, welche Aufbewahrungspflichten oder gesetzliche Löschfristen gelten und wie zu löschen ist, zeigt "Praxis Datenschutz: Löschkonzept für Daten, Hinweise für Handwerksbetriebe".

Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt "Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte". Auf der Seite des ZDH finden Sie ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten.

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt "Praxis Datenschutz: Auftragsverarbeitung". Auf der Seite des ZDH finden Sie auch eine Musterformulierung für die Auftragsdatenverarbeitung.

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auf der Seite des ZDH finden Sie eine Liste technischer und organisatorischer Maßnahmen.

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Nutzen Sie die "Mitarbeiter-Verpflichtungserklärung" als Muster.

Der Einsatz von Videocameras auf Betriebsgeländen und in Betriebsräumen findet immer mehr Einzug auch bei Handwerksbetrieben. Informationen zur Zulässigkeit der Videoüberwachung, der Definition öffentlich zugänglicher Räume, den Löschfristen und weiteren Hinweisen finden Sie in einem "Praxis Datenschutz: Videoüberwachung im Betrieb". Auf der Seite des ZDH finden Sie auch ein Muster zur Einwilligungserklärung für den Einsatz von Videocameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten und ein Hinweisschild zur Videoüberwachung.

Der Wert eines Handwerksbetriebes bemisst sich in der Regel an Sachwerten. Käufer eines Handwerksbetriebes beabsichtigen oft, bestehende Kundebeziehungen fortzuführen und haben Interesse an Kundendaten. Kundendaten unterstehen jedoch dem Schutz der Datenschutzgrundverordnung. Welche Anforderungen für eine zulässige Datenübertragung von Kundendaten gelten und welche rechtlichen Rahmenbedingungen zu beachten sind finden Sie in "Praxis Datenschutz: Betriebsnachfolge und Betriebsverkauf". Auf der Seite des ZDH finden Sie auch ein Muster zur Information der Kunden über die Weiterleitung von Kundendaten an Betriebsnachfolger (inhabergeführte Betriebe/Personenggesellschaften), eine Muster-Einwilligungserklärung zur Übertragung von Kundendaten an den Käufer (für Handwerksbetriebe der Gesundheitshandwerke) und eine Muster-Einwilligungserklärung zur Kontaktaufnahme per E-Mail, Telefon, Fax.

Videokonferenzen haben zwischenzeitlich Einzug in den Arbeitsalltag von Handwerksbetrieben gefunden. Vor diesem Hintergrund  wurden vom ZDH-Arbeitskreis Datenschutz ergänzende Informationsunterlagen zum Thema Datenschutz bei Videokonferenzen im Format eines „Praxis Datenschutz“ samt Formulierungsbeispiele für entsprechende Datenschutzerklärung erarbeitet.