Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Die neue Datenschutzgrundverordnung präzisiert bereits geltende Vorgaben auch in Deutschland und hat zu zahlreichen formellen Änderungen geführt, von denen alle Handwerksbetriebe betroffen sind.

Handwerkskammer Lübeck Rechtsauskunft Kontakt zu den Mitarbeitern der Rechtsauskunft Telefon 0451 1506-195 rechtsauskunft@hwk-luebeck.de

Einleitung

Der Zentralverband des Deutschen Handwerks e. V. (ZDH) hat für Betriebe einen umfassenden Leitfaden erstellt, der sämtliche Themen aufgreift und einen vertieften Überblick über die wichtigsten Aspekte des Datenschutzrechts für die betriebliche Praxis bietet. Darüber hinaus hat der ZDH zu den wichtigsten Themen des Datenschutzes Merkblätter und Musterformulierungen erarbeitet. Auf dieser Seite erhalten Sie einen Überblick über die Themen und Hinweis auf die Merkblätter und Musterformulierungen, die Sie auf der Themenseite des ZDH finden.

1. Was sind personenbezogene Daten?

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Bankdaten
  • Kfz-Kennzeichen und
  • Fotos

2. Wann ist eine Nutzung von Daten zulässig?

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt. Vertiefene Informationen bietet Ihnen „Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung."

3. Zulässige Datenverarbeitung

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt. Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt "Praxis Datenschutz: Zulässige Datenverarbeitung ohne Einwilligung".

4. Anforderungen an die datenschutzrechtliche Einwilligung

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen erfüllt werden. Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Dies und weitere Fragen beantwortet "Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung". Auf der Seite des ZDH finden Sie zudem ein Muster für eine Einwilligungserklärung.

5. Formelle Pflichten

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick "Praxis Datenschutz: Formelle Pflichten".

6. Informationspflicht bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt "Praxis Datenschutz: Informationspflicht bei Erhebung personenbezogener Daten". Auf der Seite des ZDH finden Sie ein Muster für eine solche Informationserteilung (keine Weitergabe). Im Kasten finden Sie zudem ein Muster zur Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter) und Beispielformulierungen zur Ergänzung des Datenschutzhinweises auf Webseiten.

7. Die Erteilung von Auskünften

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt "Praxis Datenschutz: Die Erteilung von Auskünften". Auf der Seite des ZDH finden Sie zudem ein Muster für eine solche Auskunft an Kunden.

8. Dokumentationspflicht

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt "Praxis Datenschutz: Dokumentationspflicht". Auf der Seite des ZDH finden Sie zudem ein Muster für ein solches Verarbeitungsverzeichnis und ein Beispiel für ein Verarbeitungsverzeichnis. Außerdem können Sie eine Liste mit technischen und organisatorischen Maßnahmen einsehen.

9. Löschkonzept für Daten (NEU)

Die Datenschutzgrundverordnung (DSGVO) folgt einem einfachen Grundsatz. Nach Artikel 17 Abs. 1 DSGVO sind Daten stets dann zu löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich sind. Ob und wann die Aufbewahrung von Daten nicht mehr erforderlich ist, welche Aufbewahrungspflichten oder gesetzliche Löschfristen gelten und wie zu löschen ist, zeigt "Praxis Datenschutz: Löschkonzept für Daten, Hinweise für Handwerksbetriebe".

10. Betriebliche Datenschutzbeauftragte

Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt "Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte". Auf der Seite des ZDH finden Sie ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten.

11. Auftragsdatenverarbeitung

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt "Praxis Datenschutz: Auftragsverarbeitung". Auf der Seite des ZDH finden Sie auch eine Musterformulierung für die Auftragsdatenverarbeitung.

12. Organisatorische Maßnahmen und Mitarbeiterverpflichtung

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Auf der Seite des ZDH finden Sie eine Liste technischer und organisatorischer Maßnahmen.

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Nutzen Sie die "Mitarbeiter-Verpflichtungserklärung" als Muster.

13. Datenverarbeitung von Beschäftigten

Der Umgang mit Daten von Beschäftigten spielt in der Praxis eine große Rolle. Das ZDH-Informationsblatt „Praxis Datenschutz: Rechtmäßigen Datenverarbeitung von Beschäftigten" gibt einen Überblick über die wesentlichen Pflichten und bietet mittels zahlreicher Muster entsprechende Umsetzungshilfen, insbesondere praxisgerechte Muster zur Erfüllung der entsprechenden Informations- und Dokumentationspflichten:

Einwilligungserklärung für die Veröffentlichung von Mitarbeiterfotos auf der Betriebswebsite (Muster) (28,40 KB)

Information der Beschäftigten bei Aufnahme der Tätigkeit (Muster) (29,46 KB)

Information des Ausbildungsbetriebs an den Auszubildenden bei Abschluss des Lehrvertrags (Muster) (29,56 KB)

Dokumentation Lohnbuchhaltung (31,07 KB)

Dokumentation Personalführung (38,14 KB)

Verpflichtung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten (Muster) (34,79 KB)

Einwilligungserklärung für den Einsatz von Videokameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten (Muster) (28,23 KB)

14. Videoüberwachung im Betrieb (NEU)

Der Einsatz von Videocameras auf Betriebsgeländen und in Betriebsräumen findet immer mehr Einzug auch bei Handwerksbetrieben. Informationen zur Zulässigkeit der Videoüberwachung, der Definition öffentlich zugänglicher Räume, den Löschfristen und weiteren Hinweisen finden Sie in einem "Praxis Datenschutz: Videoüberwachung im Betrieb". Auf der Seite des ZDH finden Sie auch ein Muster zur Einwilligungserklärung für den Einsatz von Videocameras in nicht öffentlich zugänglichen Betriebsräumlichkeiten und ein Hinweisschild zur Videoüberwachung.

15. Datenschutz bei Betriebsnachfolge und Betriebsverkauf (NEU)

Der Wert eines Handwerksbetriebes bemisst sich in der Regel an Sachwerten. Käufer eines Handwerksbetriebes beabsichtigen oft, bestehende Kundebeziehungen fortzuführen und haben Interesse an Kundendaten. Kundendaten unterstehen jedoch dem Schutz der Datenschutzgrundverordnung. Welche Anforderungen für eine zulässige Datenübertragung von Kundendaten gelten und welche rechtlichen Rahmenbedingungen zu beachten sind finden Sie in "Praxis Datenschutz: Betriebsnachfolge und Betriebsverkauf". Auf der Seite des ZDH finden Sie auch ein Muster zur Information der Kunden über die Weiterleitung von Kundendaten an Betriebsnachfolger (inhabergeführte Betriebe/Personenggesellschaften), eine Muster-Einwilligungserklärung zur Übertragung von Kundendaten an den Käufer (für Handwerksbetriebe der Gesundheitshandwerke) und eine Muster-Einwilligungserklärung zur Kontaktaufnahme per E-Mail, Telefon, Fax.

16. Datenschutzrechtliche Informationen zu Videokonferenzen

Videokonferenzen haben zwischenzeitlich Einzug in den Arbeitsalltag von Handwerksbetrieben gefunden. Vor diesem Hintergrund  wurden vom ZDH-Arbeitskreis Datenschutz ergänzende Informationsunterlagen zum Thema Datenschutz bei Videokonferenzen im Format eines „Praxis Datenschutz“ samt Formulierungsbeispiele für entsprechende Datenschutzerklärung erarbeitet.