Logo der Handwerkskammer Lübeck

Datenschutzgrundverordnung

© Zerbor - Fotolia.com

Datenschutzgrundverordnung (DSGVO) ab Mai 2018

Ab dem 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Die neue Datenschutzgrundverordnung präzisiert bereits geltende Vorgaben auch in Deutschland und führt zu zahlreichen formellen Änderungen. Von der Datenschutzgrundverordnung sind alle Handwerksbetriebe betroffen. Diese müssen sicherstellen, dass sie rechtzeitig die erforderlichen Anpassungen in ihrem Betrieb vornehmen und die Anforderungen an die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zukünftig erfüllen.

1. Was sind personenbezogene Daten?

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten sind all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel

- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Bankdaten
- Kfz-Kennzeichen und
- Fotos.

2. Wann ist eine Nutzung von Daten zulässig?

Eine Datennutzung ist nur zulässig, wenn

- eine gesetzliche Vorschrift sie erlaubt oder

- derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung der Daten einwilligt (siehe auch „Praxis Datenschutz“ zu den Anforderungen der Einwilligung).

Der vom ZDH erstellte Leitfaden umfasst sämtliche Themen und bietet einen vertieften Überblick über die wichtigsten Aspekte des Datenschutzrechts für die betriebliche Praxis. Diesen Leitfaden finden Sie hier.

Darüber hinaus hat der ZDH zu den wichtigsten Themen des Datenschutzes Merkblätter „Praxis Datenschutz“ erarbeitet:

3. Zulässige Datenverarbeitung

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt. In diesem „Praxis Datenschutz“ erfahren Sie, welche gesetzlichen Regeln für Sie wichtig sind und wann Sie keine Einwilligung benötigen: Praxis Datenschutz Zulässige Datenverarbeitung ohne Einwilligung (PDF)

4. Anforderungen an die datenschutzrechtliche Einwilligung

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen erfüllt werden. Sind Einwilligungen schriftlich zu erklären? Wie verhält es sich bei Minderjährigen? Dies und weitere Fragen beantwortet das „Praxis Datenschutz“: Praxis Datenschutz Anforderungen der datenschutzrechtlichen Einwilligung (PDF)

Hier finden Sie ein Muster für eine Einwilligungserklärung: Muster Einwilligungserklärung (DOCX)

5. Formelle Pflichten

Das neue Datenschutzrecht kennt zahlreiche Transparenz-, Dokumentations- und Informationspflichten. Welche es im Einzelnen gibt und welche in der Praxis besondere Bedeutung haben, zeigt dieses „Praxis Datenschutz“ im Überblick: Praxis Datenschutz Formelle Pflichten (PDF)

6. Informationspflicht bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Welche Informationen zu welchem Zeitpunkt im Einzelnen zu erteilen sind, zeigt dieses „Praxis Datenschutz“: Praxis Datenschutz zur Informationspflicht bei Erhebung personenbezogener Daten (PDF)

Ein Muster für eine solche Informationserteilung finden Sie hier: Muster Informationserteilung (DOCX)

7. Die Erteilung von Auskünften

Jeder hat das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob und welche Daten über ihn gespeichert und verarbeitet werden. Wann eine Auskunft zu erteilen ist und was sie umfasst, erklärt das „Praxis Datenschutz“: Praxis Datenschutz Die Erteilung von Auskünften (PDF)

Ein Muster für eine solche Auskunft finden Sie hier: Muster Auskunft Kunde (DOCX)

8. Dokumentationspflicht

Handwerksbetriebe sind verpflichtet, sämtliche datenschutzrelevanten Betriebsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. Wie die Dokumentation zu erfolgen hat, zeigt das „Praxis Datenschutz“: Praxis Datenschutz Dokumentationspflicht (PDF)

Ein Muster für ein solches Verarbeitungsverzeichnis finden Sie hier: Muster Verarbeitungsverzeichnis (DOCX)
Ein Beispiel für ein Verarbeitungsverzeichnis finden Sie hier: Beispiel Verarbeitungsverzeichnis (DOCX)

Hier finden Sie eine Liste technischer und organisatorischer Maßnahmen: Liste technischer und organisatorischer Maßnahmen (DOCX)

9. Betriebliche Datenschutzbeauftragte

Sind im Betrieb mindestens 10 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen. Welche Aufgaben, arbeitsrechtliche Stellung und Verantwortung ein Datenschutzbeauftragter hat, beschreibt das „Praxis Datenschutz“: Praxis Datenschutz Der Betriebliche Datenschutzbeauftragte (PDF)

Ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten finden Sie hier: Muster Bestellung betrieblicher Datenschutzbeauftragter (DOCX)

10. Auftragsdatenverarbeitung

Wird die Lohnabrechnung von einem Personaldienstleister übernommen oder die Etikettierung und der Versand von Werbung von einem Lettershop für Sie durchgeführt, handelt es sich um eine Auftragsverarbeitung. Welche Anforderungen an den Vertrag mit Ihrem Dienstleister zu erfüllen sind, zeigt das „Praxis Datenschutz“: Praxis Datenschutz Auftragsdatenverarbeitung (PDF)

Eine Musterformulierung für die Auftragsdatenverarbeitung finden Sie hier: Musterformulierungen Auftragsdatenverarbeitung (DOCX)

Eine Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung finden Sie hier.

11. Organisatorische Maßnahmen und Mitarbeiterverpflichtung

Im Rahmen von technischen und organisatorischen Maßnahmen zur Umsetzung der DSGVO sollten Betriebe auch eine Überprüfung der Mitarbeitervereinbarungen hinsichtlich der Nutzung und Übermittlung von Kundendaten, sowie hinsichtlich des konsequenten Einsatzes von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vornehmen. Eine Liste technischer und organisatorischer Maßnahmen finden Sie hier: Liste technischer und organisatorischer Maßnahmen (DOCX)

Auch sollten die Mitarbeiter nach wie vor auf das Datengeheimnis und die Einhaltung der Datenschutzgrundverordnung hingewiesen und darauf verpflichtet werden. Der Kreis der zu verpflichtenden Personen im Betrieb ist weit auszulegen, so dass ergänzend zum regulären Mitarbeiterstamm z.B. auch Auszubildende, Praktikanten und Leiharbeiter mit einzubeziehen sind. Die Verpflichtung muss bei Aufnahme der Tätigkeit erfolgen, d.h. bei neuen Mitarbeitern möglichst am ersten Arbeitstag bzw. bei noch fehlender Verpflichtungs­erklärung sollte diese unverzüglich nachgeholt werden. Ein Muster einer Mitarbeiter-Verpflichtungserklärung finden Sie hier (DOCX).

Ansprechpartner:
Rechtsauskunft
Tel. 0451/1506-195
E-Mail: datenschutz(at)hwk-luebeck.de

 

 

Was Betriebe jetzt unternehmen sollten
(LINK zum ZDH)

FAQ vom ZDH (LINK)

FAQ der Handwerkskammer Lübeck (PDF)

Link zum Unabhängigen Landeszentrum für Datenschutz (ULD)

Link zum Bundesbeauftragten für Datenschutz und Informationsfreiheit (BFDI)

Magazin NordHandwerk
Februar-Ausgabe (PDF)

Was ändert sich für Fotografen?
Link zum BMI