© alphaspirit - Fotolia.com

Datenschutz für Handwerksbetriebe

Zum Stichtag Freitag, der 25. Mai 2018 gilt europaweit eine geänderte Fassung der Datenschutzverordnung (DS-GVO). Diese soll dafür sorgen, dass in allen Mitgliedsstaaten der Europäischen Union (EU) dieselben Standards für den Datenschutz gelten. Damit Sie als Handwerksunternehmen die Richtlinien rechtzeitig umsetzen können, gibt es von der niedersächsischen Datenschutzbehörde sowie vom Zentralverband des Deutschen Handwerks (ZDH) Hilfestellungen.

Aktuelles zum Datenschutz

Datenschutz-Workshop für Handwerksbetriebe

Die neue DSGVO ist da und Sie wissen nicht, wie Sie den neuen Anforderungen gerecht werden sollen? Dann melden Sie sich noch zum Datenschutz-Workshop für Handwerksbetriebe an. Im Workshop bieten wir in einer kleinen Gruppe von maximal 10 Teilnehmern Hilfestellung bei der Umsetzung der DSGVO an. Anhand von Beispielen und Vorlagen erhalten Sie praxisnahe Lösungsvorschläge für Ihren Betrieb.

 Inhalte:

  • Brauche ich einen Datenschutzbeauftragten?
  • Wann brauche ich Einwilligungserklärungen?
  • Wie erfülle ich die Informationspflicht für den Kunden?
  • Was muss ich im Internet beachten?
  • Brauche ich ein Verfahrensverzeichnis? Was steht da drin?
  • Mit wem muss ich Verträge zur Auftragsdatenverarbeitung schließen?
  • Wie gehe ich mit Mitarbeiterdaten um?

Termine:

Mittwoch, 16. Januar 2019, 10 - 13 Uhr

Mittwoch, 30. Januar 2019, 14 - 17 Uhr

 

Referentin:

Karina Schröder, Betriebsberaterin und behördliche Datenschutzbeauftragte.

Die Veranstaltung ist kostenfrei (gefördert durch das Bundesministerium für Wirtschaft und Energie).

Anmeldungen für den Workshop bei Laura Wienekamp.

In letzter Zeit ist jedoch zunehmend zu beobachten, dass Handwerksbetriebe von
Hausverwaltungen oder Generalunternehmern, mit denen sie in vertraglichen Beziehungen tehen, aufgefordert werden, Auftragsverarbeitungsverträge zu unterzeichnen.


Dies ist jedoch datenschutzrechtlich weder erforderlich noch in der Sache geboten.
Zwar erhalten Handwerksbetriebe die Kundendaten. Anders als bei einer Auftragsverarbeitung sind die Daten der Kunden jedoch nicht wesentlicher Gegenstand des eigentlichen Werkvertrags. Die Kundendaten sind lediglich nötig, um den eigentlichen handwerklichen Auftrag erfüllen zu können.


Mehr zur Auftragsverarbeitung hier:


Auftragsverarbeitung - Hinweise für Handwerksbetriebe

Anleitung für die Informationspflichten


Expertenmeinung zum Thema AV-Vertrag



EUGH-Urteil: Muss ich jetzt meine Facebook-Seite löschen?


Betreiber von Facebook-Seiten sind mitverantwortlich, wenn das soziale Netzwerk gegen den Datenschutz verstößt. Dies hat der Europäische Gerichtshof nun  Entschieden. Das Urteil hat Potential, das Internet in seiner jetzigen Form nachhaltig zu verändern. Warum Betriebe dennoch abwarten sollten ehe sie ihre Facebook-Seite löschen.

Handlungsempfehlung

Urteil

Vorsicht Falle: Die Handwerkskammer warnt vor unseriösem Angebot der sogenannten "Datenschutzauskunftszentrale (DAZ)". Diese ruft Betriebe per Fax auf, ein Formular auszufüllen und zurückzusenden. Die Details finden sich im Kleingedruckten. Unternehmer schließen dabei einen dreijährigen Vertrag über das "Leistungspaket Basisdatenschutz" ab, das kostet 1494 Euro.


Mehr

Verschickt ein Unternehmer per Mail an seine Kunden die Aufforderung, das Unternehmen mit 5 Sternen zu bewerten, ist das Werbung. Ohne Einwilligung des Kunden oder einer Möglichkeit, weiterer Werbung zu widersprechen, stelle diese Aufforderung eine Persönlichkeitsrechtsverletzung dar, so der BGH.


BGH - Bewertungsaufforderung in Rechnung ist unerlaubte Werbung

Der – im Abmahnbereich seit langem hinlänglich bekannte – Rechtsanwalt Gereon Sandhage fordert in seiner DSGVO-Abmahnung ein Schmerzensgeld für seinen Mandanten (eine Privatperson) in Höhe von stolzen 12.500 Euro ein. Weil bei einem Kontaktformular auf der Website das SSL-Zertifikat fehlte, habe der Mandant einen sog. „personal distress“ (= aufgewühlte Stimmungslage) erlitten. Wie er diese hohe Summe begründet? Die DSGVO sehe schließlich Bußgelder in Höhe von bis zu 20 Millionen Euro vor. Diese Aussage ist unserer Auffassung nach gänzlich unseriös. Eine solche Formulierung dient alleine der Einschüchterung der abgemahnten Person.

DSGVO-Abmahnung

Karina Schröder

Telefon 04941 1797-25
Telefax 04941 1797-40
k.schroeder@hwk-aurich.de

FAQ zum Datenschutz

Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt fortan auch für Deutschland wie mit personenbezogenen Daten zu verfahren ist. Doch was bedeutet die neue Gesetzeslage für die Handwerksbetriebe?

Im Folgenden wird auf häufige Fragen zur DSGVO eingegangen.

Die DSGVO definiert, was personenbezogene Daten sind. Personenbezogene Daten  sind  all  jene Informationen,  die sich auf eine natürliche Person beziehen oder  zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben, wie zum Beispiel:



  • Name
  • Adresse
  • E-Mail
  • Adresse
  • Telefonnummer
  • Geburtsdatum
  • Bankdaten
  • Kfz
  • Kennzeichen
  • Fotos

Fortan ist die Informationspflicht von Seiten der Betriebe höher. Die Handwerksbetriebe müssen ihre Kunden detailliert und in verständlicher Sprache darüber informieren, dass sie ihre personenbezogenen Daten verarbeiten sowie zu welchen Zwecken und in welchem Umfang dies geschieht.

Bei den personenbezogenen Daten handelt es sich laut der DSGVO um „ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Artikel 4 DSGVO). 

Eine Verarbeitung dieser Daten ist alles vom Speichern, über das Weitergeben bis hin zum Löschen sein. Die Kunden müssen jeglicher Verarbeitung ihrer Daten zustimmen. Es ist ratsam, sich von vornherein in Schrift- oder Textform eine Einwilligung der Kunden geben zu lassen. Beispielsweise lässt sich ein entsprechender Abschnitt in eine Auftragsbestätigung einbauen. Zu diesem Thema befindet sich weiter unten ein kostenloser Leitfaden des ZDH.

Ein Datenschutzbeauftragter ist zu bestellen, wenn in Ihrem Betrieb mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung von Daten befasst sind (§ 38 Bundesdaten-schutzgesetz). Als „ständig befasst“ gelten nur solche Mitarbeiter, deren alltägliche Kerntätigkeit die Verarbeitung von Daten ist.


Dies ist z.B. bei Mitarbeitern der Lohnbuchhaltung oder der Personalabteilung der Fall. Mitarbeiter, die lediglich die Daten zur Ausübung ihrer handwerklichen Tätigkeit benötigen, fallen grundsätzlich nicht unter diese Regelung. Besonderheiten für Schornsteinfeger: Bevollmächtigte Schornsteinfeger mit Kehrbezirk benötigen in jedem Fall einen Datenschutzbeauftragten – unabhängig  von  einer  Personenzahl,  weil  sie  hoheitliche Tätigkeiten als Beliehene ausüben. Für sie gilt die Definition der „öffentlichen Stelle“ in Art 37 Abs. 1 Buchst. a DSGVO.

Besonderheiten für Gesundheitshandwerke: Ein  Datenschutzbeauftragter  muss  bestellt  werden, wenn ein  Betrieb Gesundheitsdaten umfangreich verarbeitet  (§  38  BDSG,  Art.  35  DSGVO).  Zwar verarbeiten  Gesundheitshandwerker  Gesundheitsdaten, jedoch geschieht dies nicht in umfangreicher Weise. So wird lediglich ein Gesundheitsdatum pro Kunde erhoben  und  verarbeitet.

Im  Vergleich  zu Krankenhäusern  oder  großen  Arztpraxen,  die  sowohl zahlreiche unterschiedliche Gesundheitsdaten als  auch  eine  weitaus  höhere  Anzahl  an  Patienten betreuen,  wird  der  geringe  Umfang deutlich.  Dies wird auch von der Datenaufsichtsbehörde des Landes Bayern bestätigt. Für Gesundheitshandwerker   gelten   somit   i.d.R.  dieselben  Regelungen  wie  für  andere  Handwerksbetriebe.

Auch bei der Versendung des Newsletters muss vorher die Einwilligung des Empfängers eingeholt werden. Bei neuen Newsletter-Abonnenten lässt sich dies durch das Double-Opt-Verfahren sicherstellen.

In den Artikeln 83 und 84 der neuen Verordnung sind die Geldbußen und Sanktionen geregelt. Bei den Geldbußen können Beträge „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ (Artikel 83 DSGVO) fällig werden. Dies sind Höchststrafen, die bei unkooperativen Verhalten oder vorsätzlichen Verstößen insbesondere großer Konzerne zu erwarten sind.

Die ergriffenen Maßnahmen sollten den Risiken eines Betriebes angemessen sein. Für die Handwerker vor Ort sind dabei auf jeden Fall Faktoren wie Passwort-Schutz, Firewall und abschließbare Schränke zu nennen. Zudem sollte jeder Mitarbeiter nur mit den Daten von Kunden zu tun haben, die er auch wirklich für die Abwicklung seiner Arbeit braucht.

Sollten durch einen Handwerksbetrieb verwaltete Daten unbefugten Dritten zugänglich sein, beispielsweise, wenn Computer gehackt werden, so ist der jeweilige Betrieb verpflichtet, die zuständige Aufsichtsbehörde umgehend zu informieren. Darüber hinaus sind die Kunden zu informieren, deren Daten nicht geschützt werden konnten.

Muss der Subunternehmer die Betroffenen anschreiben und informieren? Benötigt  er eigene Einwilligungen von den Betroffenen? Muss er sich vom GU diese vorlegen lassen oder reicht eine Erklärung des GU,  dass diese dort vorliegen?  Muss der  GU  sich vom Subunternehmer etwas unterschreiben lassen bzgl. der Einhaltung der Datenschutzvorschriften? Über die Weitergabe der Daten an den Subunternehmer muss der GU ja  informieren.  Kann dazu das  uster der Auskunftserteilung  abgeändert werden (z.B. beim Satz „Die Daten werden nicht an Dritte weitergegeben.“)?


Die Weitergabe von Kundendaten an Subunternehmer stellt datenschutzrechtlich eine Datenweitergabe dar. Da die Einbindung des Subunternehmers für die Erfüllung des Vertrags mit dem Kunden erforderlich  ist,  ist  die  Datenweitergabe  nach  Art.  6  Abs.  1  b)  DSGVO  zulässig.  Der  Generalunternehmer muss den Kunden hierüber im Rahmen der Informationspflichten nach Art. 13 DSGVO informieren. Der  Subunternehmer  müsste  grundsätzlich den Kunden ebenfalls nach  Art.  14  DSGVO informieren. Da der Kunde jedoch nur über solche Angaben zu informieren ist, über die er noch keine Kenntnis hat, und er die Informationen bereits vom  Generalunternehmer erhalten  hat,  läuft die Informationspflicht des Subunternehmers im Ergebnis ins Leere.


Die vertragliche Beziehung zwischen General und Subunternehmer kann um  entsprechende datenschutzrechtliche Bestimmungen ergänzt werden. Zwingend ist dies unserer Einschätzung nach jedoch nicht,  da die Einhaltung  des  Datenschutzrechts und damit ein rechtskonformes Handeln des Subunternehmers bei Vertragserfüllung zu seinen allgemeinen vertraglichen Pflichten gehört.

10-Punkte Fahrplan zur Umsetzung

Kompakt zusammengefasste Informationen mit Hinweisen für die Umsetzung in Betrieben.

Stellen Sie ausreichend personelle Ressourcen und Zeit zur Verfügung.
Beschäftigen Sie sich mit den Begrifflichkeiten und den Vorschriften der DSGVO.

EU-Datenschutzgrundverordnung EU-DSGVO vom 25.05.2018
Bundesdatenschutzgesetz (BDSG) vom 25.05.2018
FAQ Datenschutz

Welche Geschäftsprozesse gibt es in Ihrem Betrieb?
Welche Rechtsgrundlage rechtfertigt die Datenverarbeitung für Ihre Prozesse (Rechtsvorschrift oder Einwilligung)?
Auf welchen Formularen befinden sich bereits Einwilligungserklärungen? Müssen diese angepasst werden?
Gibt es separate Geburtstagslisten, die ausgehängt werden, vom Personal?
Sind auf der Firmenhomepage Fotos veröffentlicht?
Werden Daten an Dritte weitergegeben?
Welche Dienstleistungsbeziehungen gibt es in Ihrem Betrieb?
Wie schützen Sie die Daten der Kunden, Lieferanten und des Personals?


Die identifizierten Prozesse benötigen Sie später auch zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (siehe Punkt 10).

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Datenverarbeitung ohne Einwilligung

Sie dürfen alle Daten des Kunden ohne Einwilligung verarbeiten, wenn die Datenverarbeitung für die Erfüllung des (Kauf-)Vertrages notwendig ist – auch wenn Sie die Daten an Dritte, wie Subunternehmer oder Energieversorger, weiterleiten müssen! Zu beachten ist dabei aber die Informationspflicht, in der Sie auf die Weiterleitung hinweisen müssen (siehe Punkt 5)!

Bei Direktwerbung (z. B. Einladungen zum Tag der offenen Tür, Flyer oder Kataloge) per Post wird keine Einwilligungserklärung benötigt (Rechtsgrundlage ist Artikel 6 Abs. 1 f). Auf das Widerspruchsrecht (siehe Punkt 7) ist dennoch hinzuweisen. Denken Sie daran, dass der Betroffene trotzdem über die Datenspeicherung informiert wird (siehe Punkt 5). Bei E-Mail-Werbung (Newsletter) wird eine Einwilligung jedoch benötigt.

Anforderung an der datenschutzrechtliche Einwilligung

Gilt nur für Aktivitäten, die über den Vertrag/die Leistung hinausgehen; Beispiele und Vorlagen für erforderliche Einwilligung

Achtung: mit separaten WhatsApp Telefon keine Einwilligung notwendig; Wenn WhatsApp Kontakt vom Kunden aus geht, bevor die Nummer abgespeichert wurde, gilt Art. 6 Abs. 1 b DSGVO; In Datenschutzerklärung einbinden, sofern WhatsApp als Kommunikationsmittel erwünscht ist; Nutzung privater Handys untersagen.

Beschäftigtendaten dürfen gem. § 26 BDGS-neu verarbeitet werden. 

Zusatzleistungen wie Gestattung Privatnutzung Internet, Fahrzeuge, Handys, Aufnahme in Geburtstagslisten oder Teilnahme am Gesundheitsmanagement bedarf der schriftlichen Einwilligung des Arbeitnehmers (siehe Punkt 3).
Einwilligungen müssen auch bei Veröffentlichung von Fotos auf der Firmenhomepage eingeholt werden!

 

Auch die Mitarbeiter haben Betroffenenrechte (siehe Punkt 7). Dazu zählt auch die Informationspflicht gemäß Artikel 13 und 14 DSGVO. Die Informationspflicht gilt zum Zeitpunkt der Datenerhebung, bei Arbeitnehmern also bei der Einstellung. Für Bestandsmitarbeiter gilt, dass diese jetzt unverzüglich informiert werden müssen. Aus Beweisgründen sollte diese Information von den Mitarbeitern unterzeichnet werden.

Alle Mitarbeiter (auch Auszubildende, Praktikanten oder Minijobber) müssen eine Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten unterschreiben:

Jede Stelle, die personenbezogene Daten verarbeitet muss den Personen, deren Daten verarbeitet werden (betroffene Person), bestimmte Informationen zur Datenverarbeitung mitteilen. So werden die betroffenen Personen in die Lage versetzt, ihre Rechte angemessen ausüben zu können. Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Stammkunden zu, für des Öfteren Aufträge ausgeführt werden. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden. Werden die Daten direkt bei der betroffenen Person erhoben, müssen Sie die Informationen zum Zeitpunkt dieser Erhebung erteilen. Die Informationen können schriftlich oder in anderer Form (Beispiele: Informationsblatt, Flyer, Aushang, Schild, Bildsymbole, Fax), ggf. auch elektronisch erteilt werden. Falls es die betroffene Person verlangt, können Sie auch mündlich übermittelt werden. Für eine praxistaugliche Umsetzung können Sie die Informationen auch in mehreren Stufen und mithilfe verschiedener Medien erteilen. So können Sie sich beim ersten Kontakt auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen (Ihr Betrieb), die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte beschränken und die weiteren Informationen später ergänzen. 

Ist die betroffene Person persönlich anwesend (zum Beispiel in Friseurbetrieben oder Kfz-Werkstätten) kann die Informationspflicht dadurch erfüllt werden, dass aktiv auf einen Aushang oder einen ausliegenden Flyer mit einer Zusammenfassung der Basisinformationen hingewiesen wird. Für die weitergehenden Informationen kann dann auf eine Webseite verwiesen werden

Bei der Kontaktaufnahme am Telefon können Sie sich auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft, sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen. So soll verhindert werden, dass die betroffene Person am Telefon mit den Informationen „überfrachtet“ wird. 

Sonderfall Terminvereinbarung am Telefon:

Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen (siehe Frage 3). 

Bei einer Kommunikation per Brief kann ein Informationsblatt im ersten Schreiben an die betroffene Person mit versandt werden (z.B. als Anlage zur Empfangsbestätigung). 

Bei einer Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweist. Alternativ kann ein Informationsblatt als Anlage beigefügt werden. 

In jedem Fall müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden. 

Müssen Sie auch „Bestandskunden“/“Bestandsmitglieder“ informieren? 

Nein, es entstehen keine rückwirkenden Informationspflichten für Personen, die bereits vor dem Wirksamwerden der DS-GVO am 25.05.2018 Kunden oder Beschäftigte waren, da die Datenerhebung zum Zeitpunkt des Inkrafttretens der rechtlichen Verpflichtung bereits abgeschlossen war. Es ist allerdings empfehlenswert, auch den „Bestandskunden“/“Bestandsmitgliedern“ die Informationen nach Art. 13 und 14 zukommen zu lassen. So haben alle betroffenen Personen denselben Informationsstand und Sie verringern die Wahrscheinlichkeit von Fehlern. 

Muss die betroffene Person unterschreiben, dass sie die Informationen zur Kenntnis genommen hat? 

Nein, der betroffenen Person muss lediglich die Gelegenheit gegeben werden, die Informationen zu erhalten. Sie muss die Informationen jedoch nicht zur Kenntnis nehmen, wenn sie dies nicht möchte. Die Einhaltung der Informationspflichten kann z.B. durch eine Kopie des gesendeten Schreibens, durch einen entsprechenden Vermerk nach einem Telefongespräch oder durch eine allgemeine Handlungsanweisung an die eigenen Beschäftigten zur Durchführung der Informationserteilung nachgewiesen werden. 

Weitere Informationen hier.

Praxistipp: Kombination Einwilligungserklärung und Informationspflicht

Besonders hilfreich, bei Stammkunden, um die Informationen nicht immer wieder erneut erteilen zu müssen oder Abgleich der Kundendatenbank:

Da jeder Website-Hoster und Betreiber – also Handwerksbetrieb, der eine Homepage betreibt –ein Mindestmaß an Informationen über seine Besucher sammelt – etwa deren IP-Adresse, benutzten Browser und Verweildauer – erhebt zwangsläufig jeder Websiteinhaber personenbezogene Daten. 


Fazit: Jeder Websitebetreiber ist gemäß EU-Recht zu einer Datenschutzerklärung verpflichtet.
Ohne vorherige technische Prüfung eines Webauftritts und mangels Kenntnis der innerbetrieblichen Praxis ist es jedoch nicht möglich, ein allgemein gültiges Muster einer Datenschutzerklärung zur Verfügung zu stellen. 


Fragen Sie Ihren Internet-Dienstleister oder suchen Sie sich einen (kostenlosen) Generator für Datenschutzerklärungen im Internet.


Denken Sie an den Hinweis für die Nutzung von Cookies auf der Startseite.

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Dazu gehören: Transparenzgebot, Informationspflichten, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung, Pflicht zur Datenübertragung, Widerspruchsrecht und Dokumentationspflicht.

Weitere Informationen hier

Information zur Auskunftserteilung an den Kunden

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. 

Sofern für Auftragsverarbeitungen noch keine Verträge (andere Rechtsinstrumente?) abgeschlossen wurden, sind diese umgehend abzuschließen (Grundlage für Datenverarbeitung) und ein Verzeichnis darüber anzufertigen.

Verantwortliche und Auftragsverarbeiter haften gleichermaßen. Sprechen Sie daher im Zweifel Ihre Auftragsverarbeiter (Hosting-Anbieter Website oder IT-Dienstleister) an.

Der Steuerberater ist kein Auftragsverarbeiter, daher kein Vertrag notwendig.

Es empfiehlt sich die Entwicklung eines speziell auf Ihren Betrieb zugeschnittenen Datenschutz- und Datensicherheitskonzeptes. Dieses beschreibt, wie der Datenschutz und die Datensicherheit bei Ihnen konkret umgesetzt werden. Fragen Sie Ihren IT-Spezialisten! 

Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden. 

Die Aktualität der Verzeichnisse ist sicherzustellen!

Beispiele für gängige Prozesse kleiner Handwerksbetriebe:

Hier geht’s zu den Datenschutzempfehlungen des ZDH

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.

Handwerksbetriebe und Handwerksorganisationen müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. Um Ihnen die Umsetzung zu erleichtern, haben wir die wichtigsten Aspekte des neuen Datenschutzrechts im Format „Praxis Datenschutz“ anschaulich aufbereitet. Zudem finden Sie zu vielen Themen Muster, Checklisten und Beispielsfälle.

Einen umfassenden Überblick über sämtliche Themen der „Praxis Datenschutz“ und deren Muster und Checklisten bietet zusätzlich der Leitfaden. 

Datenschutzempfehlung des ZDH

Aufsichtsbehörde

Die vom Landtag gewählte Landesbeauftragte für den Datenschutz ist Ihre Anwältin in Sachen Datenschutz. Sie steht Ratsuchenden in Datenschutzfragen mit Rat und Tat zur Seite. Zu ihren Aufgaben gehört es, datenschutzrechtliche Interessen von Bürgerinnen und Bürgern gegenüber öffentlichen Stellen und Unternehmen zu vertreten sowie die Öffentlichkeit für die Belange des Datenschutzes zu sensibilisieren.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511-120 4500
Fax         0511-120 4599