Verschärfter Datenschutz
Neue Pflichten kommen auf Handwerk zu
Am 25. Mai 2018 begann mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Die Rechte der von Datenverarbeitung betroffenen Personen werden gestärkt und Unternehmen bei Datenschutzverstößen empfindlich getroffen. Bis zu 4 % des Jahresumsatzes oder bis zu 20 Mio. € können Fehler dann kosten; Abmahnungen sind weitere mögliche Konsequenzen.
Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Auch Handwerksbetriebe sind davon nicht ausgeschlossen, denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos von neuinstallierten Anlagen in ihren Social Media-Kanälen und geben Daten unter Umständen an Dritte weiter. Damit gelten auch sie als datenverarbeitende Unternehmen und sind vom Inkrafttreten der DSGVO betroffen.
Vielen fällt es jedoch schwer, die DSGVO umzusetzen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben größte Schwierigkeiten, denn hier paaren sich oft ein knappes Budget, wenig Personal und lückenhaftes Wissen in rechtlichen Angelegenheiten. Welche Pflichten kommen jetzt also konkret auf den Betrieb zu und welche technisch-organisatorischen Maßnahmen sind zu treffen?
Einwilligungserklärung zur Datenverarbeitung
Grundsätzlich müssen Handwerksbetriebe für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt zum Beispiel die betriebsinterne Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert.
Neue Informations- und Dokumentationspflichten
Mit der DSGVO kommen neue Pflichten auf Handwerksbetriebe zu. Dazu zählen die Informationspflichten, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen. Denn dann muss die betroffene Person schriftlich darüber informiert werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.
Neu ist auch das Auskunftsrecht. Alle Personen, von denen Daten im Unternehmen gespeichert werden, haben das Recht, Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einzuholen. Diese Aufgabe lässt sich ideal bewältigen, wenn Auskünfte über personenbezogene Daten per Knopfdruck generiert werden. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. In der Praxis setzen Handwerksbetriebe gern auf gängige Office-Anwendungen. Was zunächst als günstigere Lösung erscheint, erweist sich im Nachhinein meist als teuer. Denn mit den gängigen Office-Anwendungen müssen Informationen an mehreren Stellen im Unternehmen gepflegt werden, anstatt eine zentrale Basis zu schaffen. Das ist der Grund, warum Informationen schon nach kurzer Zeit nicht mehr aktuell sind.
Handwerksbetriebe, die personenbezogene Daten verarbeiten, müssen alle Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“, welches den Behörden bei Kontrollen zur Einhaltung des Datenschutzes hilft, dokumentieren. Hier aufgeführt wird insbesondere welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Handwerker sollten aber prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Die DSGVO setzt sich mit der speziellen Situation von Kleinstunternehmen und KMU auseinander und enthält eine abweichende Regelung für Betriebe mit weniger als 250 Angestellten.
Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Drei Voraussetzungen müssen sie dafür allerdings erfüllen:
Die vorgenommene Datenverarbeitung darf kein Risiko für die Rechte und Freiheiten betroffener Personen bergen.
Die Datenverarbeitung erfolgt nicht nur gelegentlich.
Die Datenverarbeitung schließt keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen ein.
Für die Datenschutz-Dokumentation sollte eine Software-Lösung gewählt werden, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert. Drei Merkmale sind für eine solche Software-Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen. Außerdem sollte sie sich ohne großen Berater- oder Schulungsaufwand von den verschiedenen Mitarbeitern im Unternehmen bedienen lassen.
Besondere Maßnahmen für Kleinstunternehmen & KMU
Mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Fehlen interne Ressourcen für die Umsetzung, ist Outsourcing eine Lösung. Alternativ kommt aber auch das Insourcing von Kompetenzen in Frage. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO. Immerhin sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber bewusst, dass insbesondere KMU Probleme bei der Umsetzung der vielen neuen Pflichten haben. Aus diesem Grund offerieren sie spezielle Schulungs- und Beratungsangebote. Nennenswert ist zum Beispiel der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde. 28 Fragen führen den Unternehmer spielerisch vom Start zum Ziel und bieten damit einen Einblick in die Inhalte der DSGVO.
Auch die PSW Group Consulting (www.psw-consulting.de) bietet verschiedene Möglichkeiten, gerade Klein- und Mittelständler bei der Umsetzung der neuen Regeln zu unterstützen: Mittels einer TÜV-zertifizierten Ist-Aufnahme finden die IT-Sicherheitsexperten des Consulting Unternehmens innerhalb weniger Tage heraus, wo ein Handwerksbetrieb im Bereich Datenschutz überhaupt steht, warum er dort steht und was noch zur Umsetzung der DSGVO fehlt. Die Analyse identifiziert Datenschutz-relevante Stärken und Schwächen im Unternehmen, zeigt konkrete sowie individuelle Handlungsempfehlungen auf und ist gleichzeitig eine Dokumentation für die Aufsichtsbehörden.
VdS 10010: Zertifizierung für den Datenschutz
Interessant ist Artikel 42 der DSGVO: Dieser befasst sich mit Datenschutz-Zertifizierungen, die eine Minderung der horrenden Bußgelder zur Folge haben können. Eine Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrecht zu erhalten. Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprechen sie den Anforderungen aus der DSGVO und legen den ersten Grundstein in Richtung Informationssicherheit. Dieser kann mit Umsetzung der Richtlinie VdS 3473 sogar noch einmal vertieft werden. Danach ist es dann nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, können zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.
Infos zum Autor: Christian Heutger
Als IT-Sicherheitsexperte berät Christian Heutger Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, u. a. an der FH Fulda. Heutger ist außerdem Geschäftsführer der PSW Group (www.psw-group.de), die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW Group Training (www.psw-training.de) sowie der PSW Group Consulting (www.psw-consulting.de).