it sicherheit edv datenschutz Geschlossen, Gesperrt, Verschlossen, Schloss, Computer, PC, Laptop, Passwort, Technik, Schlüssel, Symbol, Pixel
Pavel Ignatov - Fotolia.de

Erforderliche Maßnahmen und MusterDatenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Handwerksbetriebe unabhängig von der Betriebsgröße. Grundsätzlich gilt: Datenschutz ist Chefsache.



Anforderungen der DSGVO an kleine und mittlere Betriebe

Das Bayerische Landesamt für Datenschutzaufsicht (LDA) hat eine kurze allgemeine Zusammenfassung aller wichtigen Informationen für kleine Handwerksbetriebe herausgegeben. Diese Zusammenfassung wurde am Beispiel einer Bäckerei mit acht Personen konkretisiert.

Die für das Handwerk wichtigsten Punkte basierend auf dieser allgemeinen Zusammenfassung finden Sie hier:

A   Datenschutzbeauftragter (DSB)

Einen Datenschutzbeauftragten (DSB) benötigen Sie erst ab einer Betriebsgröße von mindestens 20 Personen, die ständig Umgang mit personenbezogenen Daten haben (beispielsweise Geschäftsführung, Lohnbuchhaltung, Personalverwaltung, Kundenverwaltung). Nicht dazu zählen beispielsweise der Monteur, der auf die Baustelle fährt, oder ein/e Friseur/in, die einen Termin am Telefon entgegen nimmt.

Unternehmen, die gesetzlich zugewiesene hoheitliche Aufgaben wahrnehmen (beispielsweise Schornsteinfeger), müssen gemäß Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen, wobei es ihnen gem. Art. 37 Abs. 3 DSGVO freisteht, zusammen mit anderen öffentlichen Stellen einen gemeinsamen Datenschutzbeauftragten zu benennen. Dies könnte z. B. durch die Innung oder sonstige Verbände bewerkstelligt werden.

 Wichtiger Hinweis

Seit dem 26. November 2019 müssen nicht-öffentliche Stellen erst ab 20 statt bisher zehn Beschäftigten in der Datenverarbeitung einen betrieblichen Datenschutzbeauftragten benennen.

Die Vorlagen sind leider von Seiten des LDA nicht aktualisiert worden.


B   Verzeichnis von Verarbeitungstätigkeiten

Um zu dokumentieren, wie Sie Kunden- bzw. Mitarbeiterdaten in Ihrem Betrieb (0 bis X Mitarbeiter) verarbeiten, müssen Sie ein Verzeichnis von Verarbeitungstätigkeiten anlegen, wenn die Daten regelmäßig verarbeitet werden und/oder ein hohes Risiko bei der Datenverarbeitung besteht. Ein sogenanntes Verarbeitungsverzeichnis (beispielsweise mit dem Namen Vertragserfüllung) muss NICHT für jeden einzelnen Kunden angelegt werden, sondern einmalig allgemein für alle Kundendaten. Die Vorlagen hierzu finden Sie in der Rubrik Musterformulare Dokumentation/ Verarbeitungsverzeichnis wahlweise als einzelne Verzeichnisse oder in einer Excel-Tabelle.

C   Datenschutz-Verpflichtung von Beschäftigten

Sie sollten Ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, eine Datenschutz-Verpflichtung unterschreiben lassen (Downloadbereich: Muster Datenschutz-Verpflichtung Mitarbeiter).

Die DSGVO schreibt - auch in kleinen Betrieben - eine Schulung der Mitarbeiter zum sensiblen Umgang mit Daten vor. Eine ausführliche Anleitung hierzu finden sie im Downloadbereich unter "Downloads LDA" (Unterrichtung und Verpflichtung von Beschäftigten - DSGVO).

D   Informations- und Auskunftspflichten

Sie haben gegenüber Ihren Kunden und Mitarbeitern eine Informationspflicht: Sie müssen - am besten auf den Angeboten oder den Rechnungen - über die Datenerhebung und -verarbeitung informieren. Dies ist unabhängig von einer Einwilligung des Kunden für eine weitere Verarbeitung der Daten (beispielsweise für Werbung). Bei Geschäften mit Kasse oder Anmeldung reicht auch ein einfacher Aushang oder Aufsteller mit der Information über die Datenerhebung (Downloadbereich: Auskunft über Datenerhebung / Informationserteilung an Kunden).

Die Informationspflicht nach Art. 13 und 14 DSGVO kann auch in abgestufter Form (mit "Medienbruch") erfüllt werden. In der ersten Stufe ist "weniger oft mehr".  Alle notwendigen Informationen müssen aber "irgendwo", z. B. auf der Webseite oder als Infoblatt, bereitgehalten werden, worauf hinzuweisen ist.
Beispielsweise: Datenschutzerklärung siehe www.musterseite.de/datenschutz (Achtung: Eine Verlinkung auf die Datenschutzerklärung Ihrer Website ist nicht ausreichend!)

Ihre Mitarbeiter müssen Sie über die Verarbeitung und Weitergabe Ihrer Daten zum Beispiel an das Finanzamt aufklären. Am Besten lassen Sie sich dies schriftlich bestätigen und legen es dann in der Personalakte ab (Downloadbereich: Auskunft über Datenerhebung / Informationserteilung an Mitarbeiter).

Für die Verwendung von Fotos Ihrer Mitarbeiter benötigen Sie deren Einverständnis (Downloadbereich: Einwilligung Mitarbeiter - Verwendung von Fotos).

E   Löschen von Daten

Sie müssen die Kundendaten nach dem Auftrag löschen außer Sie können einen gesetzlichen oder anderweitig nachvollziehbaren Zweck der Datenspeicherung anführen. Beispielsweise müssen Sie Rechnungen zwingend 10 Jahre (gesetzlicher Zweck) aufheben. Auch kann es (meist im Baugewerbe) sinnvoll sein, Pläne und Auftragslisten teilweise nach 25 Jahren noch in der Schublade zu haben (Zweck: Kundenservice).

G   Auftragsverarbeitung

Wenn Sie Daten von einem externen Dienstleister aufbereiten lassen, liegt eine sogenannte Auftragsdatenverarbeitung vor. Hierzu müssen Sie mit Ihrem Dienstleister dann einen Vertrag über diese Auftragsdatenverarbeitung abschließen. Eine solche Auftragsdatenverarbeitung liegt laut LDA beispielsweise vor, wenn Sie Ihre Lohnbuchhaltung von einem Steuerberater abrechnen lassen oder ihre Papiere einscannen und archivieren lassen.  KEINE Auftragsdatenverarbeitung wäre die Lieferung von Material an eine Baustelle auf Kommission oder das Hinzuziehen eines Subunternehmers. Eine ausführliche Liste sowie eine Formulierungshilfe finden Sie im Downloadbereich unter Sonstiges.

H   Datenschutzverletzungen   

Datenschutzverletzungen bzw. Datenpannen müssen sie binnen 72 Stunden dem LDA melden!



10 Fragen - 10 Antworten

 FAQs zur Datenschutz-Grundverordnung (DSGVO)



Homeoffice

Damit Ihre Mitarbeiter DSGVO konform im Homeoffice arbeiten können, bietet das LDA eine Checkliste.



Homepage und Cookies

Ihre Homepage muss mit einer Datenschutzerklärung (ähnlich dem Impressum) ergänzt werden. Ein Beispiel finden Sie hier.

Nach aktueller Rechtsprechung des EuGH (1. Oktober 2019: C-673/17) dürfen Cookies nach europäischem Recht nur gesetzt werden, wenn der Besucher der Website ausdrücklich darin einwilligt. Darüber hinaus hebt der EuGH das Erfordernis der Freiwilligkeit der Einwilligung hervor. Vor diesem Hintergrund darf die Weiternutzung der Website und ihrer Angebote nicht von der Erteilung der Einwilligung abhängig gemacht werden. In Deutschland wird diese Rechtsprechung im TTGSG umgesetzt.

Mit dem 01.12.2021 ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten. Hier wird nochmals klar gestellt, das Websitebetreiber eine Einwilligung des Besuchers brauchen, wenn Sie Informationen in der Endeinrichtung des Endnutzers speichern oder darauf zugreifen wollen. Eine Ausnahme hiervon bilden technisch zwingend notwendige Cookies und Informationen, die somit ohne Einwilligung gesetzt werden dürfen.

Beispiele für technisch notwendige Cookies:

  • Session-Cookies (bspw. Infos zum Warenkorb des Nutzers)
  • Flash-Cookies (ermöglichen Medienwiedergabe)
  • Cookies von Zahlungsdienstleistern (in Vorbereitung der Zahlung; keine Analyse des Nutzerverhaltens)
  • Opt-Out-Cookies (Widerruf der Cookie-Einwilligung)
  • Live-Chat-Systeme (Kundendienst)


WhatsApp & Co.

Der Kundenkontakt per WhatsApp ist für Sie Alltag? Oder Sie verschicken beispielsweise Bilder von der Baustelle per WhatsApp an Kollegen oder den Chef? Aus Sicht des Datenschutzes ist dies eher kritisch zu bewerten. Warum? Erfahren Sie in diesem Artikel der Deutschen Handwerks Zeitung, was Sie beim Einsatz von WhatsApp für Ihr Unternehmen unbedingt beachten sollten. Der Artikel gibt Antworten auf die wichtigsten Fragen, in Bezug auf den Datenschutz besonders im Hinblick auf die DSGVO.



Facebook

Nach einem Urteil des Europäischen Gerichtshofes sind sowohl Facebook wie auch der Betreiber einer Facebookseite (Fanpage) verantwortlich für Datenschutzverstöße. Vor diesem Hintergrund sollten Sie zwei Maßnahmen ergreifen: zum einen im Bereich Info Ihr Impressum auf Ihrer Fanpage aktualisieren, zum anderen die Datenschutzerklärung Ihrer Homepage auf Ihrer Fanpage verlinken. Nähere Informationen hierzu finden Sie in diesem Artikel der Deutschen Handwerks Zeitung.



Leitfaden für größere Betriebe

Der Zentralverband des deutschen Handwerks (ZDH) hat für Betriebe einen Leitfaden herausgegeben. Dieser umfasst vor allem Maßnahmen für Betriebe ab 10 Mitarbeitern, die gegebenfalls einen Datenschutzbeauftragten benötigen.

Handwerksbetriebe müssen sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. Dieser Leitfaden thematisiert z. B. die für die handwerkliche Praxis wichtigsten Aspekte und Fragen.

Er bietet neben rechtlichen Erklärungen zahlreiche Beispielsfälle, Checklisten und Muster, die in der betrieblichen Praxis genutzt werden können. Sämtliche Muster stehen auch auf der Seite des ZDH als Word-Dokument zum Download bereit.



Datenschutzbeauftragten melden

Das Bayerische Landesamt für Datenschutz (BayLDA) ist die für Bayern zuständige Kontrollbehörde. Hier melden Sie Ihren Datenschutzbeauftragten, den Unternehmen benennen müssen, wenn mindestens 20 Personen mit der automatisierten Verarbeitung (Computer) personenbezogener Daten beschäftigt werden.

Ebenso müssen Sie auf der Seite des BayLDA Datenpannen (bspw. Verlust eines USB-Sticks mit Kundendaten) binnen 72 Stunden melden.

Für Fragen zu datenschutzrechtlichen Angelegenheiten steht Ihnen das BayLDA auch als Ansprechpartner zur Verfügung.



Betriebsnachfolge und DSGVO

Sollte Sie Ihren Betrieb an einen Nachfolger übergeben oder einen Betrieb geerbt haben, so gibt es auch beim Thema DSGVO einiges zu beachten. Die Kollegen der Betriebswirtschaft haben hierzu ein Merkblatt erstellt und stehen Ihnen für Fragen zur Verfügung.



 

Laurin Manuel Baier

Digitalisierungsberatung

Telefon 089 5119-187

Fax 089 5119-311

laurin.baier--at--hwk-muenchen.de



Downloads LDA

pdfCheckliste Homeoffice des LDA (PDF, 321kB)
pdfHinweise des LDA für Handwerksbetriebe (PDF, 251kB)
pdfHinweise des LDA am Beispiel Bäckerei (PDF, 247kB)
pdfHinweise des LDA für Handwerksbetriebe - Verzeichnis von Verarbeitungstätigkeiten (PDF, 201kB)
pdfHinweis des LDA zum Datenschutzbeauftragten (DSB) (PDF, 86kB)
pdfUnterrichtung und Verpflichtung von Beschäftigten - DSGVO (Vorlage LDA) (PDF, 473kB)

Musterformulare Informationspflicht

wordAuskunft über Datenerhebung / Informationserteilung an Kunden (Word, 15kB)
wordAuskunft über Datenerhebung / Informationserteilung an Mitarbeiter (Word, 12kB)
wordEinwilligungserklärung Werbung (Word, 30kB)
wordEinwilligung Mitarbeiter - Verwendung von Fotos (Word, 28kB)

Musterformulare Dokumentation/ Verarbeitungsverzeichnis

excelVerarbeitungstätigkeiten zusammengefasst in einer Excel-Tabelle (Excel, 14kB)
wordVerzeichnis von Verarbeitungstätigkeiten (Word, 13kB)
wordVerarbeitsungsverzeichnis Vertragserfuellung/Kundenkartei (Word, 37kB)
wordVerarbeitsungsverzeichnis Lohnbuchhaltung (Word, 37kB)
wordVerarbeitsungsverzeichnis Personalführung (Word, 38kB)
wordVerarbeitsungsverzeichnis Direktwerbung (Word, 38kB)

Leitfaden ZDH

pdfHinweise zum neuen Datenschutzrecht (für Handwerksbetriebe) (PDF, 876kB)

Checklisten & Sonstiges

pdfCheckliste zur Datenschutzgrundverordnung (PDF, 475kB)

pdfAuftagsverarbeitung nach LDA (PDF, 184kB)
pdfFormulierungshilfe Auftragsverarbeitung LDA (PDF, 200kB)

Weitere Informationen

 Die DSGVO im Wortlaut
 Bayerisches Landesamt für Datenschutz



Logo TT net BIT Innovation Technologie Netzwerk

BMWI Logo Förderung Bundestag Beschluss

Bayerisches Staatsministerium für Wirtschaft, Landesentwicklung und Energie Logo (gefördert,transparent)

 



Hinweis
Diese Stelle gehört zum Technologie-Transfer-Netzwerk des Handwerks und wird als Beauftragter für Innovation und Technologie vom Bundesministerium für Wirtschaft und Energie (BMWi) und dem Bayerischen Staatsministerium für Wirtschaft, Landesentwicklung und  Energie gefördert. Weitere Informationen finden Sie auf der zentralen Webseite www.bistech.de. Weitere Informationen zur zentralen Leitstelle für Technologie-Transfer im Handwerk finden Sie hier.