Logo der Handwerkskammer Lübeck

Datenschutzgrundverordnung

© Zerbor - Fotolia.com

Seit dem 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Die neue Datenschutzgrundverordnung präzisiert bereits geltende Vorgaben auch in Deutschland und hat zu zahlreichen formellen Änderungen geführt. Alle Handwerksbetriebe sind betroffen. Sie mussten die erforderlichen Anpassungen in ihrem Betrieb vornehmen, um die Anforderungen an die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu erfüllen.

1. Was sind personenbezogene Daten?

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel

- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Bankdaten
- Kfz-Kennzeichen und
- Fotos.

2. Wann ist eine Nutzung von Daten zulässig?

Eine Datennutzung ist nur zulässig, wenn

- eine gesetzliche Vorschrift sie erlaubt oder

- derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt (siehe auch „Praxis Datenschutz“ zu den Anforderungen der Einwilligung).

Der vom ZDH erstellte Leitfaden umfasst sämtliche Themen und bietet einen vertieften Überblick über die wichtigsten Aspekte des Datenschutzrechts für die betriebliche Praxis

Darüber hinaus hat der ZDH zu den wichtigsten Themen des Datenschutzes Merkblätter „Praxis Datenschutz“ erarbeitet, die im Folgenden verlinkt sind.

3. Zulässige Datenverarbeitung

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt. Welche gesetzlichen Regeln wichtig sind und wann keine Einwilligung benötigt wird, zeigt Praxis Datenschutz: Zulässige Datenverarbeitung ohne Einwilligung.

4. Anforderungen an die datenschutzrechtliche Einwilligung

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen erfüllt werden. Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Dies und weitere Fragen beantwortet Praxis Datenschutz: Anforderungen der datenschutzrechtlichen Einwilligung.

Hier finden Sie ein Muster für eine Einwilligungserklärung.

5. Formelle Pflichten

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt im Überblick Praxis Datenschutz: Formelle Pflichten.

6. Informationspflicht bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt Praxis Datenschutz: zur Informationspflicht bei Erhebung personenbezogener Daten.

Hier finden Sie ein Muster für eine solche Informationserteilung (keine Weitergabe) und ein
Muster Informationserteilung (Weitergabe, keine Direktwerbung, kein Datenschutzbeauftragter).

7. Die Erteilung von Auskünften

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt Praxis Datenschutz: Die Erteilung von Auskünften.

Hier finden Sie Muster für eine solche Auskunft Kunde.

8. Dokumentationspflicht

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt Praxis Datenschutz: Dokumentationspflicht.

Hier finden Sie ein Muster für ein solches Verarbeitungsverzeichnis und ein Beispiel für ein Verarbeitungsverzeichnis.

Hier finden Sie eine Liste technischer und organisatorischer Maßnahmen.

9. Betriebliche Datenschutzbeauftragte

Sind im Betrieb mindestens 10 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt Praxis Datenschutz: Der Betriebliche Datenschutzbeauftragte

Hier finden Sie ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten.

10. Auftragsdatenverarbeitung

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt Praxis Datenschutz: Auftragsverarbeitung.

Hier finden Sie eine Musterformulierung für die Auftragsdatenverarbeitung.

Hier finden Sie eine Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung.

11. Organisatorische Maßnahmen und Mitarbeiterverpflichtung

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Hier finden Sie eine Liste technischer und organisatorischer Maßnahmen.

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Hier finden Sie ein Muster einer Mitarbeiter-Verpflichtungserklärung.

Ansprechpartner

Rechtsauskunft
Telefon: 0451/1506-195
E-Mail: datenschutz(at)hwk-luebeck.de

 

 

Was Betriebe jetzt unternehmen sollten
(LINK zum ZDH)

FAQ vom ZDH (LINK)

FAQ der Handwerkskammer Lübeck (PDF)

Link zum Unabhängigen Landeszentrum für Datenschutz (ULD)

Link zum Bundesbeauftragten für Datenschutz und Informationsfreiheit (BFDI)

Magazin NordHandwerk
Februar-Ausgabe (PDF)

Die Umsetzung der Datenschutz-Grundverordnung durch Sachverständige-
Was ist zu beachten (PDF)

Was ändert sich für Fotografen?
Link zum BMI