Verschärfter Datenschutz

Neue Pflichten kommen auf SHK-Betriebe zu

Am 25. Mai 2018 begann mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Die Rechte der von Datenverarbeitung betroffenen Personen wurden gestärkt und Unternehmen bei Datenschutzverstößen empfindlich getroffen. Bis zu 4 % des Jahresumsatzes oder bis zu 20 Mio. € können Fehler jetzt kosten; Abmahnungen sind weitere mögliche Konsequenzen.

Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Auch Betriebe aus dem Sanitär-, Heizungs- und Klimatechnik-Handwerk sind davon nicht ausgeschlossen, denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos von frisch renovierten Bädern mit den eingebauten Produkten und den stolzen Besitzern in ihren Social Media-Kanälen und geben Daten unter Umständen an Dritte weiter. Damit gelten auch sie als datenverarbeitende Unternehmen und sind vom Inkrafttreten der DSGVO betroffen.

Vielen fällt es jedoch schwer, die DSGVO umzusetzen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben größte Schwierigkeiten, denn hier paaren sich oft ein knappes Budget, wenig Personal und lückenhaftes Wissen in rechtlichen Angelegenheiten. Welche Pflichten kommen jetzt konkret auf den Betrieb zu und welche technisch-organisatorischen Maßnahmen sind zu treffen?

Einwilligungserklärung zur Datenverarbeitung

Grundsätzlich müssen Handwerksbetriebe für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt zum Beispiel die betriebsinterne Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert.

Neue Informations- und Dokumentationspflichten

Mit der DSGVO kommen neue Pflichten auf Handwerksbetriebe zu. Dazu zählen die Informationspflichten, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen. Denn dann muss die betroffene Person schriftlich darüber informiert werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.

Neu ist auch das Auskunftsrecht. Alle Personen, von denen Daten im Unternehmen gespeichert werden, haben das Recht, Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einzuholen. Diese Aufgabe lässt sich ideal bewältigen, wenn Auskünfte über personenbezogene Daten per Knopfdruck generiert werden. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. In der Praxis setzen Handwerksbetriebe gern auf gängige Office-Anwendungen. Was zunächst als günstigere Lösung erscheint, erweist sich im Nachhinein meist als teuer. Denn mit den gängigen Office-Anwendungen müssen Informationen an mehreren Stellen im Unternehmen gepflegt werden, anstatt eine zentrale Basis zu schaffen. Das ist der Grund, warum Informationen schon nach kurzer Zeit nicht mehr aktuell sind.

SHK-Betriebe, die personenbezogene Daten verarbeiten, müssen alle Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“, welches den Behörden bei Kontrollen zur Einhaltung des Datenschutzes hilft, dokumentieren. Hier aufgeführt wird insbesondere welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Handwerker sollten aber prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Die DSGVO setzt sich mit der speziellen Situation von Kleinstunternehmen und KMU auseinander und enthält eine abweichende Regelung für Betriebe mit weniger als 250 Angestellten.

Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Drei Voraussetzungen müssen sie dafür allerdings erfüllen:

Die vorgenommene Datenverarbeitung darf kein Risiko für die Rechte und Freiheiten betroffener Personen bergen.

Die Datenverarbeitung erfolgt nicht nur gelegentlich.

Die Datenverarbeitung schließt keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen ein.

Für die Datenschutz-Dokumentation sollte eine Software-Lösung gewählt werden, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert. Drei Merkmale sind für eine solche Software-Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen. Außerdem sollte sie sich ohne großen Berater- oder Schulungsaufwand von den verschiedenen Mitarbeitern im Unternehmen bedienen lassen.

Besondere Maßnahmen für Kleinstunternehmen & KMU

Mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Fehlen interne Ressourcen für die Umsetzung, ist Outsourcing eine Lösung. Alternativ kommt aber auch das Insourcing von Kompetenzen in Frage. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO. Immerhin sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber bewusst, dass insbesondere KMU Probleme bei der Umsetzung der vielen neuen Pflichten haben. Aus diesem Grund offerieren sie spezielle Schulungs- und Beratungsangebote. Nennenswert ist zum Beispiel der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde. 28 Fragen führen den Unternehmer spielerisch vom Start zum Ziel und bieten damit einen Einblick in die Inhalte der DSGVO.

Auch die PSW Group Consulting (www.psw-consulting.de) bietet verschiedene Möglichkeiten, gerade Klein- und Mittelständler bei der Umsetzung der neuen Regeln zu unterstützen: Mittels einer TÜV-zertifizierten Ist-Aufnahme finden die IT-Sicherheitsexperten des Consulting Unternehmens innerhalb weniger Tage heraus, wo ein SHK-Betrieb im Bereich Datenschutz überhaupt steht, warum er dort steht und was noch zur Umsetzung der DSGVO fehlt. Die Analyse identifiziert Datenschutz-relevante Stärken und Schwächen im Unternehmen, zeigt konkrete sowie individuelle Handlungsempfehlungen auf und ist gleichzeitig eine Dokumentation für die Aufsichtsbehörden.

Zusätzlich enthält die DSGVO auch sogenannte Verhaltensregeln. Sie sollen unter Beachtung der besonderen Bedürfnisse von Kleinstunternehmen sowie KMU dabei helfen, die Verordnung umzusetzen. So hat beispielsweise der Zentralverband Sanitär Heizung Klima (ZVSHK) als Standesorganisation des SHK-Handwerks für seine Mitglieder einen 68-seitigen Leitfaden zum Thema erarbeitet, der auch Best-Practice-Anleitungen zur Umsetzung der DSGVO erhält.

Zertifizierung für den Datenschutz

Interessant ist Artikel 42 der DSGVO: Dieser befasst sich mit Datenschutz-Zertifizierungen, die eine Minderung der horrenden Bußgelder zur Folge haben können. Eine Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrecht zu erhalten. Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprechen sie den Anforderungen aus der DSGVO und legen den ersten Grundstein in Richtung Informationssicherheit. Dieser kann mit Umsetzung der Richtlinie VdS 3473 sogar noch einmal vertieft werden. Danach ist es dann nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, können zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.

Infos zum Autor: Christian Heutger

Als IT-Sicherheitsexperte berät Christian Heutger Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, u. a. an der FH Fulda. Heutger ist außerdem Geschäftsführer der PSW Group ( //www.psw-group.de" target="_blank" >www.psw-group.de:www.psw-group.de), die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW Group Training (//www.psw-training.de" target="_blank" >www.psw-training.de:www.psw-training.de) sowie der PSW Group Consulting
(//www.psw-consulting.de" target="_blank" >www.psw-consulting.de:www.psw-consulting.de).

x

Thematisch passende Artikel:

Ausgabe 03/2018

DSGVO: Und nun?

Umgang mit Daten im Handwerksbetrieb

Handwerksbetriebe gelten als datenverarbeitende Unternehmen, da sie zum einen Mitarbeiterdaten erfassen und zum anderen Kundendaten speichern, und sind in beiderlei Hinsicht direkt von der DSGVO...

mehr
Ausgabe 04/2012

Umgang mit sensiblen daten

Datenschutz für Handwerksbetriebe

Für den Zugang zu ihren DV-Systemen verfügen die meisten Handwerksbetriebe über Sicherheitsausstattungen wie Passwörter, Firewalls, abschließbare Büros und Schränke sowie Papiershredder für zu...

mehr
Ausgabe 06/2018

Bürokratieabbau im Handwerk

Podiumsdiskussion mit 200 Teilnehmern

Ein im Vorhinein bereits erstellter Acht-Punkte-Plan diente der Strukturierung des Abends. Die Themen wurden von jeweils einem Handwerker mit einem Beispiel aus dem Alltag vorgestellt und...

mehr
Ausgabe 04/2023

Strategien zum Schutz vor Cyberangriffen

Warum Mitarbeiter gleichzeitig Risiko und Schutz sind

Wahrscheinlich hat jeder schon einmal eine E-Mail erhalten, in der er vermeintlich von seiner Bank gebeten wird, dringend die eigenen Zugangsdaten zu aktualisieren, da ansonsten die Sperrung des...

mehr

Günstige Kredite für Handwerk und Mittelstand

Zu den am 27. Oktober veröffentlichten Vorschlägen der EU-Kommission zur Umsetzung der finalen Basel-III-Vorgaben in der EU-Bankenregulierung erklärt Holger Schwannecke, Generalsekretär des...

mehr