1. Was sind personenbezogene Daten?
Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Bankdaten
- Kfz-Kennzeichen und
- Fotos
2. Wann ist eine Nutzung von Daten zulässig?
Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt. Vertiefene Informationen bietet Ihnen „Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung."
3. Zulässige Datenverarbeitung
Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt. Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt "Praxis Datenschutz: Zulässige Datenverarbeitung ohne Einwilligung".
4. Anforderungen an die datenschutzrechtliche Einwilligung
Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen erfüllt werden. Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Dies und weitere Fragen beantwortet "Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung". Auf der Seite des ZDH finden Sie zudem ein Muster für eine Einwilligungserklärung.
5. Formelle Pflichten
Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick "Praxis Datenschutz: Formelle Pflichten".
6. Informationspflicht bei Erhebung personenbezogener Daten
Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt "Praxis Datenschutz: Informationspflicht bei Erhebung personenbezogener Daten". Auf der Seite des ZDH finden Sie ein Muster für eine solche Informationserteilung (keine Weitergabe). Im Kasten finden Sie zudem ein Muster zur Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter) und Beispielformulierungen zur Ergänzung des Datenschutzhinweises auf Webseiten.
Weitere Infos
7. Die Erteilung von Auskünften
Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt "Praxis Datenschutz: Die Erteilung von Auskünften". Auf der Seite des ZDH finden Sie zudem ein Muster für eine solche Auskunft an Kunden.
8. Dokumentationspflicht
Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt "Praxis Datenschutz: Dokumentationspflicht". Auf der Seite des ZDH finden Sie zudem ein Muster für ein solches Verarbeitungsverzeichnis und ein Beispiel für ein Verarbeitungsverzeichnis. Außerdem können Sie eine Liste mit technischen und organisatorischen Maßnahmen einsehen.
9. Löschkonzept für Daten (NEU)
Die Datenschutzgrundverordnung (DSGVO) folgt einem einfachen Grundsatz. Nach Artikel 17 Abs. 1 DSGVO sind Daten stets dann zu löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Ob und wann die Aufbewahrung von Daten nicht mehr erforderlich ist, welche Aufbewahrungspflichten oder gesetzliche Löschfristen gelten und wie zu löschen ist, zeigt "Praxis Datenschutz: Löschkonzept für Daten, Hinweise für Handwerksbetriebe".
10. Betriebliche Datenschutzbeauftragte
Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt "Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte". Auf der Seite des ZDH finden Sie ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten.
11. Auftragsdatenverarbeitung
Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt "Praxis Datenschutz: Auftragsverarbeitung". Auf der Seite des ZDH finden Sie auch eine Musterformulierung für die Auftragsdatenverarbeitung.
Weitere Infos
12. Organisatorische Maßnahmen und Mitarbeiterverpflichtung
Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auf der Seite des ZDH finden Sie eine Liste technischer und organisatorischer Maßnahmen.
Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungserklärung sollte diese unverzüglich nachgeholt werden. Nutzen Sie die "Mitarbeiter-Verpflichtungserklärung" als Muster.
Weitere Infos
13. Datenverarbeitung von Beschäftigten
Der Umgang mit Daten von Beschäftigten spielt in der Praxis eine große Rolle. Das ZDH-Informationsblatt „Praxis Datenschutz: Rechtmäßigen Datenverarbeitung von Beschäftigten" gibt einen Überblick über die wesentlichen Pflichten und bietet mittels zahlreicher Muster entsprechende Umsetzungshilfen, insbesondere praxisgerechte Muster zur Erfüllung der entsprechenden Informations- und Dokumentationspflichten:
Information der Beschäftigten bei Aufnahme der Tätigkeit (Muster) (29,46 KB)
Dokumentation Lohnbuchhaltung (31,07 KB)
Weitere Infos
14. Videoüberwachung im Betrieb (NEU)
Der Einsatz von Videocameras auf Betriebsgeländen und in Betriebsräumen findet immer mehr Einzug auch bei Handwerksbetrieben. Informationen zur Zulässigkeit der Videoüberwachung, der Definition öffentlich zugänglicher Räume, den Löschfristen und weiteren Hinweisen finden Sie in einem "Praxis Datenschutz: Videoüberwachung im Betrieb". Auf der Seite des ZDH finden Sie auch ein Muster zur Einwilligungserklärung für den Einsatz von Videocameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten und ein Hinweisschild zur Videoüberwachung.
15. Datenschutz bei Betriebsnachfolge und Betriebsverkauf (NEU)
Der Wert eines Handwerksbetriebes bemisst sich in der Regel an Sachwerten. Käufer eines Handwerksbetriebes beabsichtigen oft, bestehende Kundebeziehungen fortzuführen und haben Interesse an Kundendaten. Kundendaten unterstehen jedoch dem Schutz der Datenschutzgrundverordnung. Welche Anforderungen für eine zulässige Datenübertragung von Kundendaten gelten und welche rechtlichen Rahmenbedingungen zu beachten sind finden Sie in "Praxis Datenschutz: Betriebsnachfolge und Betriebsverkauf". Auf der Seite des ZDH finden Sie auch ein Muster zur Information der Kunden über die Weiterleitung von Kundendaten an Betriebsnachfolger (inhabergeführte Betriebe/Personenggesellschaften), eine Muster-Einwilligungserklärung zur Übertragung von Kundendaten an den Käufer (für Handwerksbetriebe der Gesundheitshandwerke) und eine Muster-Einwilligungserklärung zur Kontaktaufnahme per E-Mail, Telefon, Fax.
16. Datenschutzrechtliche Informationen zu Videokonferenzen
Videokonferenzen haben zwischenzeitlich Einzug in den Arbeitsalltag von Handwerksbetrieben gefunden. Vor diesem Hintergrund wurden vom ZDH-Arbeitskreis Datenschutz ergänzende Informationsunterlagen zum Thema Datenschutz bei Videokonferenzen im Format eines „Praxis Datenschutz“ samt Formulierungsbeispiele für entsprechende Datenschutzerklärung erarbeitet.