© alphaspirit - Fotolia.com
Datenschutz für Handwerksbetriebe
Hier finden Sie Hilfestellungen bei der Umsetzung der DSGVO in Ihrem Betrieb
10-Punkte Fahrplan zur Umsetzung
Kompakt zusammengefasste Informationen mit Hinweisen für die Umsetzung in Betrieben.
Stellen Sie ausreichend personelle Ressourcen und Zeit zur Verfügung.
Beschäftigen Sie sich mit den Begrifflichkeiten und den Vorschriften der DSGVO.
EU-Datenschutzgrundverordnung EU-DSGVO vom 25.05.2018
Bundesdatenschutzgesetz (BDSG) vom 25.05.2018
FAQ Datenschutz
Welche Geschäftsprozesse gibt es in Ihrem Betrieb?
Welche Rechtsgrundlage rechtfertigt die Datenverarbeitung für Ihre Prozesse (Rechtsvorschrift oder Einwilligung)?
Auf welchen Formularen befinden sich bereits Einwilligungserklärungen? Müssen diese angepasst werden?
Gibt es separate Geburtstagslisten, die ausgehängt werden, vom Personal?
Sind auf der Firmenhomepage Fotos veröffentlicht?
Werden Daten an Dritte weitergegeben?
Welche Dienstleistungsbeziehungen gibt es in Ihrem Betrieb?
Wie schützen Sie die Daten der Kunden, Lieferanten und des Personals?
Die identifizierten Prozesse benötigen Sie später auch zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (siehe Punkt 10).
Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.
Datenverarbeitung ohne Einwilligung
Sie dürfen alle Daten des Kunden ohne Einwilligung verarbeiten, wenn die Datenverarbeitung für die Erfüllung des (Kauf-)Vertrages notwendig ist – auch wenn Sie die Daten an Dritte, wie Subunternehmer oder Energieversorger, weiterleiten müssen! Zu beachten ist dabei aber die Informationspflicht, in der Sie auf die Weiterleitung hinweisen müssen (siehe Punkt 5)!
Bei Direktwerbung (z. B. Einladungen zum Tag der offenen Tür, Flyer oder Kataloge) per Post wird keine Einwilligungserklärung benötigt (Rechtsgrundlage ist Artikel 6 Abs. 1 f). Auf das Widerspruchsrecht (siehe Punkt 7) ist dennoch hinzuweisen. Denken Sie daran, dass der Betroffene trotzdem über die Datenspeicherung informiert wird (siehe Punkt 5). Bei E-Mail-Werbung (Newsletter) wird eine Einwilligung jedoch benötigt.
Anforderung an der datenschutzrechtliche Einwilligung
Gilt nur für Aktivitäten, die über den Vertrag/die Leistung hinausgehen; Beispiele und Vorlagen für erforderliche Einwilligung
Newsletter oder E-Mail-Werbung (30,71 KB)
Kommunikation über WhatsApp (13,94 KB)
Achtung: mit separaten WhatsApp Telefon keine Einwilligung notwendig; Wenn WhatsApp Kontakt vom Kunden aus geht, bevor die Nummer abgespeichert wurde, gilt Art. 6 Abs. 1 b DSGVO; In Datenschutzerklärung einbinden, sofern WhatsApp als Kommunikationsmittel erwünscht ist; Nutzung privater Handys untersagen.
Geburtstagsliste o. ä. für Personal (23,93 KB)
Beschäftigtendaten dürfen gem. § 26 BDGS-neu verarbeitet werden.
Weitere Informationen hier. (312,56 KB)
Zusatzleistungen wie Gestattung Privatnutzung Internet, Fahrzeuge, Handys, Aufnahme in Geburtstagslisten oder Teilnahme am Gesundheitsmanagement bedarf der schriftlichen Einwilligung des Arbeitnehmers (siehe Punkt 3).
Einwilligungen müssen auch bei Veröffentlichung von Fotos auf der Firmenhomepage eingeholt werden!
Auch die Mitarbeiter haben Betroffenenrechte (siehe Punkt 7). Dazu zählt auch die Informationspflicht gemäß Artikel 13 und 14 DSGVO. Die Informationspflicht gilt zum Zeitpunkt der Datenerhebung, bei Arbeitnehmern also bei der Einstellung. Für Bestandsmitarbeiter gilt, dass diese jetzt unverzüglich informiert werden müssen. Aus Beweisgründen sollte diese Information von den Mitarbeitern unterzeichnet werden.
Merkblatt für Mitarbeiter zum Datenschutz (21,53 KB)
Personalbogen bei Personaleinstellung (21,33 KB)
Erstinformation zum Datenschutz bei Personaleinstelllung (18,05 KB)
Alle Mitarbeiter (auch Auszubildende, Praktikanten oder Minijobber) müssen eine Verpflichtungserklärung zur Wahrung der Vertraulichkeit bei der Verarbeitung personenbezogener Daten unterschreiben:
Jede Stelle, die personenbezogene Daten verarbeitet muss den Personen, deren Daten verarbeitet werden (betroffene Person), bestimmte Informationen zur Datenverarbeitung mitteilen. So werden die betroffenen Personen in die Lage versetzt, ihre Rechte angemessen ausüben zu können. Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Stammkunden zu, für des Öfteren Aufträge ausgeführt werden. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden. Werden die Daten direkt bei der betroffenen Person erhoben, müssen Sie die Informationen zum Zeitpunkt dieser Erhebung erteilen. Die Informationen können schriftlich oder in anderer Form (Beispiele: Informationsblatt, Flyer, Aushang, Schild, Bildsymbole, Fax), ggf. auch elektronisch erteilt werden. Falls es die betroffene Person verlangt, können Sie auch mündlich übermittelt werden. Für eine praxistaugliche Umsetzung können Sie die Informationen auch in mehreren Stufen und mithilfe verschiedener Medien erteilen. So können Sie sich beim ersten Kontakt auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen (Ihr Betrieb), die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte beschränken und die weiteren Informationen später ergänzen.
Ist die betroffene Person persönlich anwesend (zum Beispiel in Friseurbetrieben oder Kfz-Werkstätten) kann die Informationspflicht dadurch erfüllt werden, dass aktiv auf einen Aushang oder einen ausliegenden Flyer mit einer Zusammenfassung der Basisinformationen hingewiesen wird. Für die weitergehenden Informationen kann dann auf eine Webseite verwiesen werden.
Bei der Kontaktaufnahme am Telefon können Sie sich auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft, sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen. So soll verhindert werden, dass die betroffene Person am Telefon mit den Informationen „überfrachtet“ wird.
Sonderfall Terminvereinbarung am Telefon:
Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen (siehe Frage 3).
Bei einer Kommunikation per Brief kann ein Informationsblatt im ersten Schreiben an die betroffene Person mit versandt werden (z.B. als Anlage zur Empfangsbestätigung).
Bei einer Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweist. Alternativ kann ein Informationsblatt als Anlage beigefügt werden.
In jedem Fall müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.
Müssen Sie auch „Bestandskunden“/“Bestandsmitglieder“ informieren?
Nein, es entstehen keine rückwirkenden Informationspflichten für Personen, die bereits vor dem Wirksamwerden der DS-GVO am 25.05.2018 Kunden oder Beschäftigte waren, da die Datenerhebung zum Zeitpunkt des Inkrafttretens der rechtlichen Verpflichtung bereits abgeschlossen war. Es ist allerdings empfehlenswert, auch den „Bestandskunden“/“Bestandsmitgliedern“ die Informationen nach Art. 13 und 14 zukommen zu lassen. So haben alle betroffenen Personen denselben Informationsstand und Sie verringern die Wahrscheinlichkeit von Fehlern.
Muss die betroffene Person unterschreiben, dass sie die Informationen zur Kenntnis genommen hat?
Nein, der betroffenen Person muss lediglich die Gelegenheit gegeben werden, die Informationen zu erhalten. Sie muss die Informationen jedoch nicht zur Kenntnis nehmen, wenn sie dies nicht möchte. Die Einhaltung der Informationspflichten kann z.B. durch eine Kopie des gesendeten Schreibens, durch einen entsprechenden Vermerk nach einem Telefongespräch oder durch eine allgemeine Handlungsanweisung an die eigenen Beschäftigten zur Durchführung der Informationserteilung nachgewiesen werden.
Weitere Informationen hier.
Vorlage (Beispiel ohne Direktwerbung und ohne Weitergabe an Dritte) (65,64 KB)
Vorlage (Beispiel ohne Direktwerbung, Weitergabe an Dritte) (8,38 KB)
Vorlage (Beispiel mit Direktwerbung, Weitergabe an Dritte) (8,30 KB)
Praxistipp: Kombination Einwilligungserklärung und Informationspflicht
Besonders hilfreich, bei Stammkunden, um die Informationen nicht immer wieder erneut erteilen zu müssen oder Abgleich der Kundendatenbank:
Beispiel kombinierte Einwilligung/Information mit detaillierten Daten (21,34 KB)
Da jeder Website-Hoster und Betreiber – also Handwerksbetrieb, der eine Homepage betreibt –ein Mindestmaß an Informationen über seine Besucher sammelt – etwa deren IP-Adresse, benutzten Browser und Verweildauer – erhebt zwangsläufig jeder Websiteinhaber personenbezogene Daten.
Fazit: Jeder Websitebetreiber ist gemäß EU-Recht zu einer Datenschutzerklärung verpflichtet.
Ohne vorherige technische Prüfung eines Webauftritts und mangels Kenntnis der innerbetrieblichen Praxis ist es jedoch nicht möglich, ein allgemein gültiges Muster einer Datenschutzerklärung zur Verfügung zu stellen.
Fragen Sie Ihren Internet-Dienstleister oder suchen Sie sich einen (kostenlosen) Generator für Datenschutzerklärungen im Internet.
Denken Sie an den Hinweis für die Nutzung von Cookies auf der Startseite.
Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Mithilfe dieser Rechte soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.
Dazu gehören: Transparenzgebot, Informationspflichten, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung, Pflicht zur Datenübertragung, Widerspruchsrecht und Dokumentationspflicht.
Vorlage zur Auskunftserteilung (Brief an den Kunden) (49,60 KB)
Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs.
Definition Auftragsverarbeiter (Seite 4) (331,56 KB)
Sofern für Auftragsverarbeitungen noch keine Verträge (andere Rechtsinstrumente?) abgeschlossen wurden, sind diese umgehend abzuschließen (Grundlage für Datenverarbeitung) und ein Verzeichnis darüber anzufertigen.
Muster Vertrag zur Auftragsdatenverarbeitung (44,17 KB)
Verantwortliche und Auftragsverarbeiter haften gleichermaßen. Sprechen Sie daher im Zweifel Ihre Auftragsverarbeiter (Hosting-Anbieter Website oder IT-Dienstleister) an.
Der Steuerberater ist kein Auftragsverarbeiter, daher kein Vertrag notwendig.
Es empfiehlt sich die Entwicklung eines speziell auf Ihren Betrieb zugeschnittenen Datenschutz- und Datensicherheitskonzeptes. Dieses beschreibt, wie der Datenschutz und die Datensicherheit bei Ihnen konkret umgesetzt werden. Fragen Sie Ihren IT-Spezialisten!
Liste Technischer und Organisatorischer Maßnahmen (TOM) (41,95 KB)
Handwerksbetriebe, die personenbezogene Daten verarbeiten, sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Auf Grundlage dieser Übersicht sollen sich Betriebsinhaber über das Ausmaß und die Intensität der betrieblichen Datenverarbeitung bewusst werden.
Weitere Informationen hier (160,33 KB)
Die Aktualität der Verzeichnisse ist sicherzustellen!
Beispiele für gängige Prozesse kleiner Handwerksbetriebe:
Muster Vertragserfüllung (Tagesgeschäft/Kauf/-Dienstvertrag mit Ihren Kunden) (37,82 KB)
Muster Personalführung (38,43 KB)
Hier können Sie den 10-Punkte Fahrplan als PDF downloaden! (58,81 KB)
Hier geht’s zu den Datenschutzempfehlungen des ZDH
Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher.
Handwerksbetriebe und Handwerksorganisationen müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. Um Ihnen die Umsetzung zu erleichtern, haben wir die wichtigsten Aspekte des neuen Datenschutzrechts im Format „Praxis Datenschutz“ anschaulich aufbereitet. Zudem finden Sie zu vielen Themen Muster, Checklisten und Beispielsfälle.
Einen umfassenden Überblick über sämtliche Themen der „Praxis Datenschutz“ und deren Muster und Checklisten bietet zusätzlich der Leitfaden.
Aufsichtsbehörde
Die vom Landtag gewählte Landesbeauftragte für den Datenschutz ist Ihre Anwältin in Sachen Datenschutz. Sie steht Ratsuchenden in Datenschutzfragen mit Rat und Tat zur Seite. Zu ihren Aufgaben gehört es, datenschutzrechtliche Interessen von Bürgerinnen und Bürgern gegenüber öffentlichen Stellen und Unternehmen zu vertreten sowie die Öffentlichkeit für die Belange des Datenschutzes zu sensibilisieren.
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511-120 4500
Fax 0511-120 4599