© Foto: Adobe Stock
RechtsberatungEuropäische Datenschutz-Grundverordnung (EU-DSGVO)
Seit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 sind auch private Unternehmen stärker verpflichtet, den Datenschutz zu berücksichtigen.
Vieles, was aus dem alten nationalen Datenschutzrecht bekannt war, ist in die neue EU-DSGVO übernommen worden. Die nationalen Datenschutz-Regelungen treten demgegenüber in den Hintergrund. Die EU-DSGVO gilt unmittelbar als geltendes Recht. Das in diesem Zusammenhang reformierte Bundes- und Landes-Datenschutzgesetz kann die unmittelbar geltenden Bestimmungen des EU-Datenschutzes nur konkretisieren, ohne gänzlich eigenständige Regelungen zu treffen.
Claus Ochner
Stabsstellenleiter Recht und Revision, Justiziariat, Datenschutzbeauftragter
Tel. 0681 5809-171
Fax 0681 5809222-171
c.ochner@hwk-saarland.de
Wichtige Fragen zum neuen Datenschutzrecht / zur EU-Datenschutz-Grundverordnung (EU-DSGVO)
Durch die EU-DSGVO soll sichergestellt werden, dass in allen EU-Mitgliedsstaaten in der Verwaltung und auch bei privaten Unternehmen bei der Nutzung bzw. Verwendung persönlicher Daten ein einheitliches Datenschutzniveau garantiert wird.
Dabei hat sich die EU weitgehend an dem in Deutschland schon bestehenden Datenschutzrecht orientiert.
Es galt schon immer, dass eine Nutzung fremder persönlicher Daten nur zulässig ist, wenn dies eine gesetzliche Vorschrift ausdrücklich erlaubt oder eine persönliche Einwilligung der betroffenen Person vorliegt.
Eine gesetzliche Erlaubnis für die Datennutzung findet sich auch direkt in der EU-DSGVO.
Gemäß Artikel 6 ist danach auch ohne ausdrückliche Einwilligung eine Datenverarbeitung zulässig, wenn dies zur Erfüllung eines Vertrages oder auch zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z. B. Adressdaten des Kunden, um den Auftrag ausführen zu können oder die E-Mail-Adresse für die Zusendung eines Angebotes oder Kostenvoranschlages).
Die EU-DSGVO schreibt jedoch vor, dass Kunden über die Datenerfassung sowie über ihre damit verbundenen Rechte zu informieren sind.
- Da das Datenschutzthema hohe Aktualität besitzt und auch die Verunsicherung sowohl bei den betroffenen Betrieben als auch bei den betroffenen Personen groß ist, sollte man sich grundsätzlich darum bemühen, datenschutzrechtliche Einwilligungserklärungen von Kunden einzuholen. Dabei sollte man beachten, dass die Einwilligung nicht nur die reine Auftragsabwicklung berücksichtigt, sondern auch z. B. Werbemaßnahmen oder Produktinformationen abdeckt.
- Alle Mitarbeiter müssen zur Beachtung des Datenschutzes belehrt und verpflichtet werden.
- Wichtig ist, dass man Auskunfts- und Informationsrechte und das Recht auf Löschung beachten muss. In diesen Fällen muss man innerhalb einer kurzen Frist reagieren.
- Zudem besteht für Betriebe eine Dokumentationspflicht. Das bedeutet, dass kundenbezogene Datenverarbeitungsprozesse in einem sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren sind. Datenverarbeitungsprozesse sind alle softwareunterstützten Datenverarbeitungsprozesse und daher auch WORD- bzw. EXCEL-Dateien.
Eine gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen, besteht gerade für Handwerksbetriebe nur in den seltensten Fällen. Diese Verpflichtung besteht nämlich nur dann, wenn in einem Unternehmen mindestens zehn Personen angestellt sind, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die EU-DSGVO sieht neben Anordnungen und Auflagen durch die Datenschutzbehörde des Landes auch Bußgelder vor.
Die Handwerkskammer des Saarlandes (HWK) stellt einen informativen Leitfaden des Zentralverbands des Deutschen Handwerks (ZDH) sowie Mustervorlagen z. B. für Einwilligungserklärungen oder zur Informations- und Auskunftserteilung an einen Kunden sowie das Verarbeitungsverzeichnis bereit.
Stand: November 2020
Der ZDH-Leitfaden zum neuen Datenschutzrecht fasst die Sach- und Rechtslage für die Handwerksbetriebe gut und übersichtlich zusammen.
Informationsmaterialien und Flyer zu Sonderthemen des Datenschutzrechts
Leitfaden „Das Datenschutzrecht”
ZDH Praxis Datenschutz – Handlungsempfehlung
Leitfaden – Das Datenschutzrecht
Anlagen zum Leitfaden
Datenschutzrechtliche Informationen zu Videokonferenzen
ZDH Praxis Datenschutz – Videokonferenzen
Formulierungsbeispiele für eine Datenschutzerklärung
Was Betriebe jetzt unternehmen sollten
ZDH Praxis Datenschutz – Praxisempfehlung
Muster Direktwerbung Betriebe
Muster Lohnbuchhaltung Betriebe
Muster Personalführung Betriebe
Muster Vertragserfüllung Betriebe
Webseiten-Datenschutzhinweis für Betriebe
Webseiten Datenschutzhinweis für Betriebe (PDF)
Was Gesundheitshandwerke zu beachten haben
ZDH Praxis Datenschutz – Handlungsempfehlung Gesundheitshandwerke
Zulässig Datenverarbeitung ohne Einwilligung
ZDH Praxis Datenschutz – Zulässige Datenverarbeitung ohne Einwilligung
Anforderungen der datenschutzrechtlichen Einwilligung
ZDH Praxis Datenschutz – Anforderungen der datenschutzrechtlichen Einwilligung
Muster Einwilligungserklärung
Formelle Pflichten
Informationspflicht bei Erhebung personenbezogener Daten
ZDH Praxis Datenschutz – Informationspflicht bei Erhebung personenbezogener Daten
Muster Informationserteilung
Erteilung von Auskünften
ZDH Praxis Datenschutz – Die Erteilung von Auskünften
Muster Auskunft Kunde
Dokumentationspflicht
ZDH Praxis Datenschutz – Dokumentationspflicht
Muster Verarbeitungsverzeichnis
Beispiel Verarbeitungsverzeichnis
Liste technischer und organisatorischer Maßnahmen
Der Datenschutzbeauftragte
ZDH Praxis Datenschutz – Der betriebliche Datenschutzbeauftragte
Muster Bestellung betrieblicher Datenschutzbeauftragter
Auftragsverarbeitung
ZDH Praxis Datenschutz – Auftragsdatenverarbeitung
Musterformulierungen Auftragsdatenverarbeitung
Liste technischer und organisatorischer Maßnahmen Auftragsdatenverarbeitung
Videoüberwachung im Betrieb
ZDH Praxis Datenschutz – Videoüberwachung im Betrieb
Anlage 1: Muster Einwilligungserklärung für Einsatz von Videokameras
Anlage 2: Hinweisschild Videoüberwachung