© alphaspirit - Fotolia.com

Datenschutz für Handwerksbetriebe

Hier finden Sie Hilfestellungen bei der Umsetzung der DSGVO in Ihrem Betrieb

10-Punkte Fahrplan zur Umsetzung

Kompakt zusammengefasste Informationen mit Hinweisen für die Umsetzung in Betrieben.

Stellen Sie ausreichend personelle Ressourcen und Zeit zur Verfügung.
Beschäftigen Sie sich mit den Begrifflichkeiten und den Vorschriften der DSGVO.

EU-Datenschutzgrundverordnung EU-DSGVO vom 25.05.2018
Bundesdatenschutzgesetz (BDSG) vom 25.05.2018
FAQ Datenschutz

Welche Geschäftsprozesse gibt es in Ihrem Betrieb?
Welche Rechtsgrundlage rechtfertigt die Datenverarbeitung für Ihre Prozesse (Rechtsvorschrift oder Einwilligung)?
Auf welchen Formularen befinden sich bereits Einwilligungserklärungen? Müssen diese angepasst werden?
Gibt es separate Geburtstagslisten, die ausgehängt werden, vom Personal?
Sind auf der Firmenhomepage Fotos veröffentlicht?
Werden Daten an Dritte weitergegeben?
Welche Dienstleistungsbeziehungen gibt es in Ihrem Betrieb?
Wie schützen Sie die Daten der Kunden, Lieferanten und des Personals?


Die identifizierten Prozesse benötigen Sie später auch zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (siehe Punkt 10).

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Datenverarbeitung ohne Einwilligung

Sie dürfen alle Daten des Kunden ohne Einwilligung verarbeiten, wenn die Datenverarbeitung für die Erfüllung des (Kauf-)Vertrages notwendig ist – auch wenn Sie die Daten an Dritte, wie Subunternehmer oder Energieversorger, weiterleiten müssen! Zu beachten ist dabei aber die Informationspflicht, in der Sie auf die Weiterleitung hinweisen müssen (siehe Punkt 5)!

Bei Direktwerbung (z. B. Einladungen zum Tag der offenen Tür, Flyer oder Kataloge) per Post wird keine Einwilligungserklärung benötigt (Rechtsgrundlage ist Artikel 6 Abs. 1 f). Auf das Widerspruchsrecht (siehe Punkt 7) ist dennoch hinzuweisen. Denken Sie daran, dass der Betroffene trotzdem über die Datenspeicherung informiert wird (siehe Punkt 5). Bei E-Mail-Werbung (Newsletter) wird eine Einwilligung jedoch benötigt.

Anforderung an der datenschutzrechtliche Einwilligung

Gilt nur für Aktivitäten, die über den Vertrag/die Leistung hinausgehen; Beispiele und Vorlagen für erforderliche Einwilligung

Achtung: mit separaten WhatsApp Telefon keine Einwilligung notwendig; Wenn WhatsApp Kontakt vom Kunden aus geht, bevor die Nummer abgespeichert wurde, gilt Art. 6 Abs. 1 b DSGVO; In Datenschutzerklärung einbinden, sofern WhatsApp als Kommunikationsmittel erwünscht ist; Nutzung privater Handys untersagen.

Beschäftigtendaten dürfen gem. § 26 BDGS-neu verarbeitet werden. 

Zusatzleistungen wie Gestattung Privatnutzung Internet, Fahrzeuge, Handys, Aufnahme in Geburtstagslisten oder Teilnahme am Gesundheitsmanagement bedarf der schriftlichen Einwilligung des Arbeitnehmers (siehe Punkt 3).
Einwilligungen müssen auch bei Veröffentlichung von Fotos auf der Firmenhomepage eingeholt werden!

 

Auch die Mitarbeiter haben Betroffenenrechte (siehe Punkt 7). Dazu zählt auch die Informationspflicht gemäß Artikel 13 und 14 DSGVO. Die Informationspflicht gilt zum Zeitpunkt der Datenerhebung, bei Arbeitnehmern also bei der Einstellung. Für Bestandsmitarbeiter gilt, dass diese jetzt unverzüglich informiert werden müssen. Aus Beweisgründen sollte diese Information von den Mitarbeitern unterzeichnet werden.

Alle Mitarbeiter (auch Auszubildende, Praktikanten oder Minijobber) müssen eine Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten unterschreiben:

Jede Stelle, die personenbezogene Daten verarbeitet muss den Personen, deren Daten verarbeitet werden (betroffene Person), bestimmte Informationen zur Datenverarbeitung mitteilen. So werden die betroffenen Personen in die Lage versetzt, ihre Rechte angemessen ausüben zu können. Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Stammkunden zu, für des Öfteren Aufträge ausgeführt werden. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden. Werden die Daten direkt bei der betroffenen Person erhoben, müssen Sie die Informationen zum Zeitpunkt dieser Erhebung erteilen. Die Informationen können schriftlich oder in anderer Form (Beispiele: Informationsblatt, Flyer, Aushang, Schild, Bildsymbole, Fax), ggf. auch elektronisch erteilt werden. Falls es die betroffene Person verlangt, können Sie auch mündlich übermittelt werden. Für eine praxistaugliche Umsetzung können Sie die Informationen auch in mehreren Stufen und mithilfe verschiedener Medien erteilen. So können Sie sich beim ersten Kontakt auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen (Ihr Betrieb), die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte beschränken und die weiteren Informationen später ergänzen. 

Ist die betroffene Person persönlich anwesend (zum Beispiel in Friseurbetrieben oder Kfz-Werkstätten) kann die Informationspflicht dadurch erfüllt werden, dass aktiv auf einen Aushang oder einen ausliegenden Flyer mit einer Zusammenfassung der Basisinformationen hingewiesen wird. Für die weitergehenden Informationen kann dann auf eine Webseite verwiesen werden

Bei der Kontaktaufnahme am Telefon können Sie sich auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft, sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen. So soll verhindert werden, dass die betroffene Person am Telefon mit den Informationen „überfrachtet“ wird. 

Sonderfall Terminvereinbarung am Telefon:

Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen (siehe Frage 3). 

Bei einer Kommunikation per Brief kann ein Informationsblatt im ersten Schreiben an die betroffene Person mit versandt werden (z.B. als Anlage zur Empfangsbestätigung). 

Bei einer Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweist. Alternativ kann ein Informationsblatt als Anlage beigefügt werden. 

In jedem Fall müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden. 

Müssen Sie auch „Bestandskunden“/“Bestandsmitglieder“ informieren? 

Nein, es entstehen keine rückwirkenden Informationspflichten für Personen, die bereits vor dem Wirksamwerden der DS-GVO am 25.05.2018 Kunden oder Beschäftigte waren, da die Datenerhebung zum Zeitpunkt des Inkrafttretens der rechtlichen Verpflichtung bereits abgeschlossen war. Es ist allerdings empfehlenswert, auch den „Bestandskunden“/“Bestandsmitgliedern“ die Informationen nach Art. 13 und 14 zukommen zu lassen. So haben alle betroffenen Personen denselben Informationsstand und Sie verringern die Wahrscheinlichkeit von Fehlern. 

Muss die betroffene Person unterschreiben, dass sie die Informationen zur Kenntnis genommen hat? 

Nein, der betroffenen Person muss lediglich die Gelegenheit gegeben werden, die Informationen zu erhalten. Sie muss die Informationen jedoch nicht zur Kenntnis nehmen, wenn sie dies nicht möchte. Die Einhaltung der Informationspflichten kann z.B. durch eine Kopie des gesendeten Schreibens, durch einen entsprechenden Vermerk nach einem Telefongespräch oder durch eine allgemeine Handlungsanweisung an die eigenen Beschäftigten zur Durchführung der Informationserteilung nachgewiesen werden. 

Weitere Informationen hier.

Praxistipp: Kombination Einwilligungserklärung und Informationspflicht

Besonders hilfreich, bei Stammkunden, um die Informationen nicht immer wieder erneut erteilen zu müssen oder Abgleich der Kundendatenbank:

Da jeder Website-Hoster und Betreiber – also Handwerksbetrieb, der eine Homepage betreibt –ein Mindestmaß an Informationen über seine Besucher sammelt – etwa deren IP-Adresse, benutzten Browser und Verweildauer – erhebt zwangsläufig jeder Websiteinhaber personenbezogene Daten. 


Fazit: Jeder Websitebetreiber ist gemäß EU-Recht zu einer Datenschutzerklärung verpflichtet.
Ohne vorherige technische Prüfung eines Webauftritts und mangels Kenntnis der innerbetrieblichen Praxis ist es jedoch nicht möglich, ein allgemein gültiges Muster einer Datenschutzerklärung zur Verfügung zu stellen. 


Fragen Sie Ihren Internet-Dienstleister oder suchen Sie sich einen (kostenlosen) Generator für Datenschutzerklärungen im Internet.


Denken Sie an den Hinweis für die Nutzung von Cookies auf der Startseite.

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Dazu gehören: Transparenzgebot, Informationspflichten, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung, Pflicht zur Datenübertragung, Widerspruchsrecht und Dokumentationspflicht.

Weitere Informationen hier

Information zur Auskunftserteilung an den Kunden

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. 

Sofern für Auftragsverarbeitungen noch keine Verträge (andere Rechtsinstrumente?) abgeschlossen wurden, sind diese umgehend abzuschließen (Grundlage für Datenverarbeitung) und ein Verzeichnis darüber anzufertigen.

Verantwortliche und Auftragsverarbeiter haften gleichermaßen. Sprechen Sie daher im Zweifel Ihre Auftragsverarbeiter (Hosting-Anbieter Website oder IT-Dienstleister) an.

Der Steuerberater ist kein Auftragsverarbeiter, daher kein Vertrag notwendig.

Es empfiehlt sich die Entwicklung eines speziell auf Ihren Betrieb zugeschnittenen Datenschutz- und Datensicherheitskonzeptes. Dieses beschreibt, wie der Datenschutz und die Datensicherheit bei Ihnen konkret umgesetzt werden. Fragen Sie Ihren IT-Spezialisten! 

Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. 

Die Aktualität der Verzeichnisse ist sicherzustellen!

Beispiele für gängige Prozesse kleiner Handwerksbetriebe:

Karina Schröder
Leiterin Allgemeine Verwaltung / Zentrale Dienste

Telefon 04941 1797-25
Telefax 04941 1797-40
k.schroeder@hwk-aurich.de

Hier geht’s zu den Datenschutzempfehlungen des ZDH

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.

Handwerksbetriebe und Handwerksorganisationen müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. Um Ihnen die Umsetzung zu erleichtern, haben wir die wichtigsten Aspekte des neuen Datenschutzrechts im Format „Praxis Datenschutz“ anschaulich aufbereitet. Zudem finden Sie zu vielen Themen Muster, Checklisten und Beispielsfälle.

Einen umfassenden Überblick über sämtliche Themen der „Praxis Datenschutz“ und deren Muster und Checklisten bietet zusätzlich der Leitfaden. 

Datenschutzempfehlung des ZDH

Aufsichtsbehörde

Die vom Landtag gewählte Landesbeauftragte für den Datenschutz ist Ihre Anwältin in Sachen Datenschutz. Sie steht Ratsuchenden in Datenschutzfragen mit Rat und Tat zur Seite. Zu ihren Aufgaben gehört es, datenschutzrechtliche Interessen von Bürgerinnen und Bürgern gegenüber öffentlichen Stellen und Unternehmen zu vertreten sowie die Öffentlichkeit für die Belange des Datenschutzes zu sensibilisieren.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511-120 4500
Fax         0511-120 4599