Direkt zum Inhalt
Anzeige
Anzeige
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik
Ad placeholder
Anzeige
haustec.de
Das Fachportal für die Gebäudetechnik
Ad placeholder
Print this page

DSGVO: Betrieblicher Datenschutz in der Praxis

Marian Behaneck
Inhalt
Im Fokus der DSGVO steht der Schutz persönlicher digitaler und analoger Daten.

Seit dem 25. Mai 2018 sind die Datenschutz-Grundverordnung (DSGVO) und parallel das neu gefasste Bundesdatenschutzgesetz (BDSG-neu) rechtsverbindlich. Viele Unternehmen haben einen hohen zeitlichen, personellen und finanziellen Aufwand betrieben, um sich für die DSGVO fit zu machen. Doch auch nach über einem Jahr seit verbindlichem Inkrafttreten sorgt die Verordnung noch immer für Unsicherheiten. Weil sie umfangreich, nicht immer verständlich formuliert ist und Spielraum für Interpretationen lässt, wissen viele noch immer nicht, woran sie sind, was sie dürfen und was nicht.

„Darf ich Neukundendaten überhaupt noch erfassen, ohne Gefahr zu laufen, mich in den Fallstricken der DSGVO zu verheddern?“ Diese und weitere Fragen tauchen immer wieder auf.

DSGVO: Was ist erlaubt?

Mit der Einführung der DSGVO unterliegen auch alle Unternehmen aus der SHK-Branche den strengen Datenschutzregeln. Schließlich erheben, speichern, verwalten, verarbeiten oder übermitteln auch sie personenbezogene Daten von Bauherren, Projektpartnern, Subunternehmern, Lieferanten, Handwerkern, Dienstleistern oder Mitarbeitern. Personenbezogene Daten sind prinzipiell alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Name, Anschrift, Telefonnummer, Bankverbindung, E-Mail- oder auch IP-Adresse des verwendeten Computers.

Da der Begriff der personenbezogenen Daten sehr weit gefasst ist, sind praktisch alle Geschäftsabläufe betroffen. Sobald beispielsweise im Rahmen einer Auftragsbearbeitung Auftraggeber-, Planer-, Handwerker-, Zulieferer- oder Subunternehmerdaten verarbeitet werden, greift die DSGVO. Allerdings ist nicht alles datenschutzrechtlich problematisch. Die Personendatenverarbeitung ist immer dann zulässig, wenn die betroffene Person zugestimmt hat oder eine gesetzliche Vorschrift sie erlaubt.

Ohne Einwilligung ist eine Verarbeitung persönlicher Daten zulässig, wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Das ist beispielsweise dann der Fall, wenn der Handwerker eine Adresse erfasst, um einen Auftrag beim Kunden ausführen zu können, oder eine E-Mail-Adresse, um dem Kunden wunschgemäß ein Angebot senden zu können.

Nach über einem Jahr DSGVO gibt es immer noch Unsicherheiten in den Unternehmen im Umgang mit Personendaten.

Auch für die Speicherung von Visitenkartendaten potenzieller Kunden oder Projektpartner ist keine Einwilligung der Betroffenen erforderlich, sofern sie der Geschäftsanbahnung dienen. Wenn Personendaten zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich sind und die Interessen der betroffenen Person nicht überwiegen, ist eine Verarbeitung ebenfalls ohne explizite Zustimmung zulässig – etwa wenn eine Kundendatei ausgewertet wird, um Bestandskunden mit passender Werbung anzusprechen.

Eine Einwilligung ist auch dann nicht erforderlich, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Das ist beispielsweise bei der steuerrechtlich notwendigen Archivierung von Auftrags-, Kunden- oder Mitarbeiterdaten für einen Zeitraum von sechs oder zehn Jahren der Fall. Die Verarbeitung personenbezogener Mitarbeiterdaten wird im Bundesdatenschutzgesetz näher definiert. Danach sind beispielsweise eine Verarbeitung und Speicherung von Lohnunterlagen oder Krankheitstagen zulässig, weil sie zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind.

DSGVO: Was ist nicht erlaubt?

Für jede Datennutzung, die datenschutzrechtlich problematisch ist, muss eine Einwilligungserklärung der Betroffenen eingeholt werden. Ohne Einwilligung unzulässig sind beispielsweise Werbe-E-Mails an Neukunden oder die Weitergabe von Messenger-Kontaktdaten. Eine Einwilligungserklärung ist allerdings nur dann wirksam, wenn alle gesetzlichen Anforderungen erfüllt sind. Dazu gehört beispielsweise, dass die Einwilligung freiwillig erfolgt. Jede Form von Druck, Zwang oder Verpflichtung macht sie unwirksam.

Schriftliche Einwilligungen sind zwar nicht zwingend erforderlich, allerdings ist eine Textform schon aus Beweis- und Dokumentationsgründen zu empfehlen. Die Einwilligung muss aktiv durch eine eindeutige bestätigende Handlung erfolgen, etwa durch eine Unterschrift oder das Anklicken eines Kästchens. Auch zum Inhalt und zur Gestaltung gibt es klare Vorgaben: Der Datenverarbeiter muss neben seiner Identität (Name/Firma) auch angeben, welche Daten (Adressdaten, Kontodaten etc.) zu welchem Zweck (z. B. Werbung, Weitergabe an Dritte) erhoben werden.

Die Erhebung, Speicherung, Verwaltung, Verarbeitung oder Übermittlung personenbezogener Daten unterliegt den Grundsätzen der DSGVO.

Ferner muss der Einwilligende auf sein Widerrufsrecht hingewiesen werden. Dabei ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist. Die Angaben müssen (allgemein) verständlich formuliert werden. Die Einwilligungserklärung ist außerdem so zu gestalten, dass sie auffällt, vor allem dann, wenn sie zusammen mit anderen Informationen, wie etwa Allgemeinen Geschäftsbedingungen, angezeigt wird, beispielsweise durch Einrahmung, Fettdruck, Farbe oder Schriftgröße.

Welche Pflichten sind bei der DSGVO zu beachten?

Mit der DSGVO werden Unternehmen zahlreiche Pflichten auferlegt, die im Folgenden nur beispielhaft genannt werden können:

  • Informationspflicht: Betroffene sollen eine Erhebung, Verarbeitung oder Nutzung ihrer Daten überprüfen können, woraus sich für Datenverarbeiter Informationspflichten ableiten. Sie müssen auf Anfrage Auskunft geben können, unter anderem über Verantwortliche und Zwecke der Datenverarbeitung, Dauer der Datenspeicherung, gegebenenfalls eine Weiterleitung an Dritte etc. Betroffene müssen auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung sowie eine Datenübertragbarkeit hingewiesen werden. Datenpannen sind binnen 72 Stunden dem Landesdatenschutzbeauftragten sowie den Betroffenen zu melden.
  • Nachweispflicht: In einem sogenannten Verarbeitungsverzeichnis muss dokumentiert werden, welche personenbezogenen Daten wie und wofür verarbeitet werden. Erfasst werden Mitarbeiter, die mit Personendaten zu tun haben, der Zweck der jeweiligen Datenverarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Rechtsgrundlagen der Datenverarbeitung, Löschfristen, Datenschutzmaßnahmen etc. Das Führen und Aktualisieren eines Verarbeitungsverzeichnisses ist Pflicht und dient als Nachweis für die Rechtmäßigkeit der Datenverarbeitung. Muster-Download: http://www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf
  • TOM: Je nach individueller Risikobewertung sind Betriebe verpflichtet, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um Personendaten zu schützen. Das können Passwörter, Datenverschlüsselungen, Löschfristen oder Maßnahmen zum Viren-, Diebstahl- oder Einbruchschutz sein. Da Mitarbeiter in Bezug auf den Datenschutz ein Schwachpunkt sind, sollten auch Unterweisungen und Vereinbarungen zur Nutzung und Übermittlung von Kundendaten sowie zum konsequenten Einsatz von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vorgenommen werden. Wird die Datenverarbeitung über einen externen Dienstleister abgewickelt, sollte er sorgsam ausgewählt und mit ihm ein Auftragsverarbeitungsvertrag abgeschlossen werden.
  • Auftragsverarbeitung: Wird ein externer Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten - das trifft praktisch auf alle Anbieter von Cloud-Diensten zu (Webhoster, Anbieter von E-Mail- oder Messengerdiensten, webbasierte ERP-Branchensoftware, Zeiterfassung etc.) - muss mit diesem ein sogenannter Auftragsverarbeitungs- oder kurz AV-Vertrag abgeschlossen werden. Darin verpflichtet er sich, die Vorgaben der DSGVO einzuhalten. Anbieter dieser Dienste halten auf ihren Webseiten entsprechende Formulare zum Download bereit.
  • Datenschutzbeauftragter: Hat ein Unternehmen mindestens 20 Mitarbeiter und sind diese beispielsweise über den täglichen Umgang mit E-Mails, Aufträgen oder Projekten mit der regelmäßigen Bearbeitung personenbezogener Daten beschäftigt, ist ein betrieblicher Datenschutzbeauftragter Pflicht. Er kümmert sich um die Einhaltung der Vorgaben und überwacht das vorgesehene Schutzniveau. Wird er intern bestellt, muss er entsprechend ausgebildet und für seine Aufgaben freigestellt werden. Außerdem genießt er einen besonderen Kündigungsschutz.

Praxiserfahrungen und Tipps

Auch wenn Unternehmen aus der SHK-Branche nicht zu den Personendaten-sensiblen Berufsgruppen wie Ärzten, Apothekern, Rechtsanwälten oder Anbietern von Suchmaschinen, Social-Media- oder Cloud-Diensten gehören, sollten sie die DSGVO nicht auf die leichte Schulter nehmen. Immerhin drohen bei Verstößen Strafen in einer Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens oder 20 Millionen Euro sowie Schadensersatzansprüche.

    Viele Unternehmen haben einen hohen finanziellen und personellen Aufwand betrieben, um sich für die DSGVO fit zu machen.

    Zwar ist die befürchtete Abmahnwelle bei DSGVO-Verstößen bisher ausgeblieben, doch die Rechtslage ist unübersichtlich und bisher ergangene Urteile sind teilweise widersprüchlich. Ins Visier von DSGVO-Aufsichtsbehörden, von klagebefugten Verbänden, von Wettbewerbern sowie von Personen, deren Rechte verletzt worden sind, kamen in der Vergangenheit immer wieder Verstöße beim kommerziellen Betrieb von Webseiten. Da praktisch alle Unternehmen eine Website betreiben, sollte man die neuralgischen Punkte kennen und Vorkehrungen treffen.

    Problematisch sind beispielsweise fehlende oder unzureichende Datenschutzerklärungen, fehlende Webseiten-Verschlüsselungen bei Kontaktformularen oder Newsletter-Anmeldungen, fehlende Hinweise auf die Nutzung von Analyse- und Statistik-Tools oder Cookies, Social-Media-Plug-ins, wie Like- oder Share-Buttons, eingebettete Videos von Video-Plattformbetreibern und so weiter.

    Deshalb sollten Webseiten auf mögliche Problembereiche durchforstet und gegebenenfalls an die DSGVO-Vorgaben angepasst werden. Aber auch im täglichen Umgang mit Kunden- und Mitarbeiterdaten sollte man mehr Sorgfalt walten lassen. Beispielsweise ist darauf zu achten, dass E-Mails mit Empfängern in CC auch Personendaten enthalten, die man besser per BCC verteilt, damit E-Mail-Adressen und Inhalte nicht in falsche Hände geraten. Auch Auftrags-, Zeiterfassungs- oder Rapportzettel sollte man nicht offen und für alle sichtbar herumliegen lassen.

    Fazit

    Von Unternehmen und Verbänden wird immer wieder der unverhältnismäßig hohe Aufwand für kleine und mittlere Unternehmen kritisiert. Obwohl beispielsweise Handwerksbetriebe kein relevantes Risiko für den Datenschutz darstellen und die Nutzung von Personendaten in der Regel nicht Teil des Geschäftsmodells ist, müssen sie im Vergleich einen genauso hohen Aufwand betreiben wie Großunternehmen oder globale Anbieter von Internet- und Social-Media-Diensten.

    Während Letztere eigens dafür Mitarbeiter oder ganze Abteilungen beschäftigen, muss das in einem Kleinbetrieb in der Regel der Firmeninhaber zusätzlich erledigen, was eine erhebliche Mehrbelastung darstellt.

    Im Kontext mit anderen gesetzlichen Vorgaben, Verordnungen, Regulierungen und Reglementierungen der vergangenen Jahre betrachtet (GoBD, CE-Kennzeichnung, ISO-Zertifizierung etc.), erscheint die DSGVO als ein weiterer Dreh an der Bürokratieschraube, die Unternehmern die Luft abschnürt, das Tagesgeschäft und auch die viel beschworene Digitalisierung im Handwerk behindert.

    Deshalb sollten die Regelungen dringend überarbeitet, vereinfacht und obige Unterschiede und Asymmetrien beseitigt werden, ebenso wie die unterschiedliche Interpretation und Umsetzung der DSGVO in den Bundesländern.

    Dieser Artikel von Autor Marian Behaneck ist zuerst erschienen in SBZ 16/2019. Dipl.-Ing. Marian Behaneck ist Fachautor zahlreicher Publikationen zu Hardware, Software und IT im Baubereic.

    Das könnte Sie auch interessieren

    Mehr zu diesem Thema
    Anzeige
    haustec.de
    Das Fachportal für die Gebäudetechnik
    Ad placeholder