Datenschutz
Thinkstock

DSGVO - Schnelle Hilfe im Datenschutz-Dschungel

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die neue DSGVO gilt seit dem 25. Mai 2018 und bringt umfangreiche Änderungen für Handwerksbetriebe mit sich.

Der Zentralverband des Deutschen Handwerks (ZDH) hat die EU-Datenschutz-Grund­verordnung analysiert und einen Leitfaden für die handwerkliche Praxis entwickelt. Er bietet neben rechtlichen Erklärungen zahlreiche Beispielsfälle, Checklisten und Muster, die in der betrieblichen Praxis genutzt werden können. 



 10 FAQs für Handwerksbetriebe

 Was Betriebe jetzt unternehmen sollten

 Was Gesundheitshandwerker nun zu beachten haben

 Was Fotografen nun beachten müssen



Die Themenbereiche des neuen Datenschutzrechts im Überblick

1.    Wann ist die Nutzung von Daten erlaubt?

Eine Datennutzung ist nur zulässig, wenn       

  • eine gesetzliche Vorschrift sie erlaubt oder
  • derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt

 Zulässige Datenverarbeitung ohne Einwilligung



2.    Anforderungen der datenschutzrechtlichen Einwilligung

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der Europäischen Datenschutzgrundverordnung (Artikel 7 DSGVO), die durch das Bundesdatenschutzgesetz (§ 51 BDSG) ergänzt werden.  

 Anforderungen der datenschutzrechtlichen Einwilligung 

 Muster Einwilligungserklärung



3.    Formelle Pflichten von Betrieben – Ein Überblick 

Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Nach der DSGV haben die Verantwortlichen zahlreiche Pflichten.

 Formelle Pflichten von Betrieben – Ein Überblick



4. Informationspflichten bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. 

 Informationspflichten bei Erhebung personenbezogener Daten

 Muster Informationserteilung

Hinweis für die Übernahme des Musters:
Prüfen Sie, ob Sie die Vorformulierungen in Bezug auf Direktwerbung und den Datenschutzbeauftragten wirklich benötigen. Wenn Sie keine Direktwerbung machen bzw. keinen Datenschutzbeauftragten bestellen müssen/wollen, streichen Sie die entsprechenden Passagen heraus.
Wenn Sie Direktwerbung machen, ergänzen Sie bitte die Rechtsgrundlage des Art. 6 Abs. 1 DSGVO noch um den Buchstaben f).



5. Erteilung von Auskünften 

Das Datenschutzrecht gewährt Personen, deren Daten verarbeitet werden, umfassende Rechte. Eines dieser Rechte ist das Auskunftsrecht. Das Auskunftsrecht ist in Art. 15 der Europäischen Datenschutz-Grundverordnung (DSGVO) geregelt und wird durch § 34 Bundesdatenschutzgesetz (BDSG) ergänzt. 

 Erteilung von Auskünften

 Muster Auskunft Kunde



6. Dokumentationspflicht 

Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden.  

 Dokumentationspflicht

 Blanko-Formular Verarbeitungsverzeichnis

 Beispiel Verarbeitungsverzeichnis Kundendatei

 Beispiel Verarbeitungsverzeichnis Vertragserfüllung

 Beispiel Verarbeitungsverzeichnis Personalführung

 Beispiel Verarbeitungsverzeichnis Lohnbuchhaltung

 Beispiel Verarbeitungsverzeichnis Direktwerbung

 Liste technischer und organisatorischer Maßnahmen



7. Der betriebliche Datenschutzbeauftragte (DSB) 

Sind im Betrieb mindestens 20 Personen angestellt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB zu benennen. Als automatisierte Verarbeitung gelten z.B.:

  • Nutzung digitaler Kundendateien.
  • Verwendung von Kundendaten auf einem Tablet-PC oder Smartphone. 

Für mehrere Standorte bzw. Filialen kann ein einziger DSB bestellt werden. 

 Der betriebliche Datenschutzbeauftragte (DSB)

 Muster Bestellung betrieblicher Datenschutzbeauftragter



8. Auftragsverarbeitung

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. 

 Auftragsdatenverarbeitung 

Hinweis:

Wenn Sie personenbezogene Daten an Ihren Steuerberater weiterleiten, benötigen Sie nach Ansicht u.a. des bayerischen Landesamtes für Datenschutzaufsicht, der Bundessteuerberaterkammer und des Deutschen Steuerberaterverbandes e.V. keinen Vertrag zur Auftragsdatenverarbeitung, da Steuerberater auf Grund ihrer besonderen Stellung stets eigenverantwortlich und unabhängig tätig sind.

Achtung:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW ist anderer Meinung. Nur bei Erstellung von Jahresabschlüssen und rein klassischer Steuerberatung sei kein Auftragsverarbeitungsvertrag nötig, in allen anderen Fällen schon.

 Musterformulierungen Auftragsdatenverarbeitung



9. Datenschutzerklärung auf der Webseite

 Beispielformulierungen zur Ergänzung

 Checkliste Datenschutzerklärung



10. Verpflichtung der Mitarbeiter auf Vertraulichkeit

 Muster des Bayerischen Landesamtes für Datenschutzaufsicht

 Muster der Gesellschaft für Datenschutz und Datensichterheit e.V.



11. Datensicherheit

Folgende Maßnahmen zur Sicherung der Daten sollten Handwerksbetriebe mindestens treffen:

  • Zugangsschutz (Passwortvergabe)
  • Zugriffskontrolle: Regelung der Benutzerrechte (wer darf auf welche Daten zugreifen?)
  • Virenscanner
  • aktuelle Betriebssysteme
  • sichere Kommunikation (ggf. Ende zu Ende Verschlüsselung)
  • Datensicherung (regelmäßige Backups, Schutz vor Verlust)

 Ausführliche Liste technischer und organisatorischer Maßnahmen 

 

Hier der gesamte Leitfaden als PDF-Dokument:

 ZDH-Leitfaden - Das neue Datenschutzrecht



Ihre Ansprechpartnerin