Seit dem 25. Mai 2018 sind die Datenschutz-Grundverordnung (DSGVO) und parallel das neu gefasste Bundesdatenschutzgesetz (BDSG-neu) rechtsverbindlich. Viele Unternehmen haben einen hohen zeitlichen, personellen und finanziellen Aufwand betrieben, um sich für die DSGVO fit zu machen. Doch auch nach über einem Jahr seit verbindlichem Inkrafttreten sorgt die Verordnung noch immer für Unsicherheiten. Weil sie umfangreich, nicht immer verständlich formuliert ist und Spielraum für Interpretationen lässt, wissen viele noch immer nicht, woran sie sind, was sie dürfen und was nicht.
„Darf ich Neukundendaten überhaupt noch erfassen, ohne Gefahr zu laufen, mich in den Fallstricken der DSGVO zu verheddern?“ Diese und weitere Fragen tauchen immer wieder auf.
Was ist erlaubt?
Mit der Einführung der DSGVO unterliegen auch alle Unternehmen aus der SHK-Branche den strengen Datenschutzregeln. Schließlich erheben, speichern, verwalten, verarbeiten oder übermitteln auch sie personenbezogene Daten von Bauherren, Projektpartnern, Subunternehmern, Lieferanten, Handwerkern, Dienstleistern oder Mitarbeitern. Personenbezogene Daten sind prinzipiell alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Name, Anschrift, Telefonnummer, Bankverbindung, E-Mail- oder auch IP-Adresse des verwendeten Computers.
Da der Begriff der personenbezogenen Daten sehr weit gefasst ist, sind praktisch alle Geschäftsabläufe betroffen. Sobald beispielsweise im Rahmen einer Auftragsbearbeitung Auftraggeber-, Planer-, Handwerker-, Zulieferer- oder Subunternehmerdaten verarbeitet werden, greift die DSGVO. Allerdings ist nicht alles datenschutzrechtlich problematisch. Die Personendatenverarbeitung ist immer dann zulässig, wenn die betroffene Person zugestimmt hat oder eine gesetzliche Vorschrift sie erlaubt. Ohne Einwilligung ist eine Verarbeitung persönlicher Daten zulässig, wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Das ist beispielsweise dann der Fall, wenn der Handwerker eine Adresse erfasst, um einen Auftrag beim Kunden ausführen zu können, oder eine E-Mail-Adresse, um dem Kunden wunschgemäß ein Angebot senden zu können.
Auch für die Speicherung von Visitenkartendaten potenzieller Kunden oder Projektpartner ist keine Einwilligung der Betroffenen erforderlich, sofern sie der Geschäftsanbahnung dienen. Wenn Personendaten zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich sind und die Interessen der betroffenen Person nicht überwiegen, ist eine Verarbeitung ebenfalls ohne explizite Zustimmung zulässig – etwa wenn eine Kundendatei ausgewertet wird, um Bestandskunden mit passender Werbung anzusprechen.
Eine Einwilligung ist auch dann nicht erforderlich, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Das ist beispielsweise bei der steuerrechtlich notwendigen Archivierung von Auftrags-, Kunden- oder Mitarbeiterdaten für einen Zeitraum von sechs oder zehn Jahren der Fall. Die Verarbeitung personenbezogener Mitarbeiterdaten wird im Bundesdatenschutzgesetz näher definiert. Danach sind beispielsweise eine Verarbeitung und Speicherung von Lohnunterlagen oder Krankheitstagen zulässig, weil sie zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind.
Was ist nicht erlaubt?
Für jede Datennutzung, die datenschutzrechtlich problematisch ist, muss eine Einwilligungserklärung der Betroffenen eingeholt werden. Ohne Einwilligung unzulässig sind beispielsweise Werbe-E-Mails an Neukunden oder die Weitergabe von Messenger-Kontaktdaten. Eine Einwilligungserklärung ist allerdings nur dann wirksam, wenn alle gesetzlichen Anforderungen erfüllt sind. Dazu gehört beispielsweise, dass die Einwilligung freiwillig erfolgt. Jede Form von Druck, Zwang oder Verpflichtung macht sie unwirksam.
Schriftliche Einwilligungen sind zwar nicht zwingend erforderlich, allerdings ist eine Textform schon aus Beweis- und Dokumentationsgründen zu empfehlen. Die Einwilligung muss aktiv durch eine eindeutige bestätigende Handlung erfolgen, etwa durch eine Unterschrift oder das Anklicken eines Kästchens. Auch zum Inhalt und zur Gestaltung gibt es klare Vorgaben: Der Datenverarbeiter muss neben seiner Identität (Name/Firma) auch angeben, welche Daten (Adressdaten, Kontodaten etc.) zu welchem Zweck (z. B. Werbung, Weitergabe an Dritte) erhoben werden.
Ferner muss der Einwilligende auf sein Widerrufsrecht hingewiesen werden. Dabei ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist. Die Angaben müssen (allgemein) verständlich formuliert werden. Die Einwilligungserklärung ist außerdem so zu gestalten, dass sie auffällt, vor allem dann, wenn sie zusammen mit anderen Informationen, wie etwa Allgemeinen Geschäftsbedingungen, angezeigt wird, beispielsweise durch Einrahmung, Fettdruck, Farbe oder Schriftgröße.
Welche Pflichten sind zu beachten?
Mit der DSGVO werden Unternehmen zahlreiche Pflichten auferlegt, die im Folgenden nur beispielhaft genannt werden können:
- <b>Informationspflicht</b>: Betroffene sollen eine Erhebung, Verarbeitung oder Nutzung ihrer Daten überprüfen können, woraus sich für Datenverarbeiter Informationspflichten ableiten. Sie müssen auf Anfrage Auskunft geben können, unter anderem über Verantwortliche und Zwecke der Datenverarbeitung, Dauer der Datenspeicherung, gegebenenfalls eine Weiterleitung an Dritte etc. Betroffene müssen auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung sowie eine Datenübertragbarkeit hingewiesen werden. Datenpannen sind binnen 72 Stunden dem Landesdatenschutzbeauftragten sowie den Betroffenen zu melden.
- <b>Nachweispflicht</b>: In einem sogenannten Verarbeitungsverzeichnis muss dokumentiert werden, welche personenbezogenen Daten wie und wofür verarbeitet werden. Erfasst werden Mitarbeiter, die mit Personendaten zu tun haben, der Zweck der jeweiligen Datenverarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Rechtsgrundlagen der Datenverarbeitung, Löschfristen, Datenschutzmaßnahmen etc. Das Führen und Aktualisieren eines Verarbeitungsverzeichnisses ist Pflicht und dient als Nachweis für die Rechtmäßigkeit der Datenverarbeitung. Muster-Download: <a href="http://www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf" target="_blank">www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf</a>
- <b>TOM</b>: Je nach individueller Risikobewertung sind Betriebe verpflichtet, „technische und organisatorische Maßnahmen“ (TOM) zu ergreifen, um Personendaten zu schützen. Das können Passwörter, Datenverschlüsselungen, Löschfristen oder Maßnahmen zum Viren-, Diebstahl- oder Einbruchschutz sein. Da Mitarbeiter in Bezug auf den Datenschutz ein Schwachpunkt sind, sollten auch Unterweisungen und Vereinbarungen zur Nutzung und Übermittlung von Kundendaten sowie zum konsequenten Einsatz von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vorgenommen werden. Wird die Datenverarbeitung über einen externen Dienstleister abgewickelt, sollte er sorgsam ausgewählt und mit ihm ein Auftragsverarbeitungsvertrag (s. u.) abgeschlossen werden.
- <b>Auftragsverarbeitung</b>: Wird ein externer Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten – das trifft praktisch auf alle Anbieter von Cloud-Diensten zu (Webhoster, Anbieter von E-Mail- oder Messengerdiensten, webbasierte ERP-Branchensoftware, Zeiterfassung etc.) – muss mit diesem ein sogenannter Auftragsverarbeitungs- oder kurz AV-Vertrag abgeschlossen werden. Darin verpflichtet er sich, die Vorgaben der DSGVO einzuhalten. Anbieter dieser Dienste halten auf ihren Webseiten entsprechende Formulare zum Download bereit.
- <b>Datenschutzbeauftragter</b>: Hat ein Unternehmen mindestens 20 Mitarbeiter und sind diese beispielsweise über den täglichen Umgang mit E-Mails, Aufträgen oder Projekten mit der regelmäßigen Bearbeitung personenbezogener Daten beschäftigt, ist ein betrieblicher Datenschutzbeauftragter Pflicht. Er kümmert sich um die Einhaltung der Vorgaben und überwacht das vorgesehene Schutzniveau. Wird er intern bestellt, muss er entsprechend ausgebildet und für seine Aufgaben freigestellt werden. Außerdem genießt er einen besonderen Kündigungsschutz.
Praxiserfahrungen und Tipps
Auch wenn Unternehmen aus der SHK-Branche nicht zu den Personendaten-sensiblen Berufsgruppen wie Ärzten, Apothekern, Rechtsanwälten oder Anbietern von Suchmaschinen, Social-Media- oder Cloud-Diensten gehören, sollten sie die DSGVO nicht auf die leichte Schulter nehmen. Immerhin drohen bei Verstößen Strafen in einer Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens oder 20 Millionen Euro sowie Schadensersatzansprüche.
Zwar ist die befürchtete Abmahnwelle bei DSGVO-Verstößen bisher ausgeblieben, doch die Rechtslage ist unübersichtlich und bisher ergangene Urteile sind teilweise widersprüchlich (siehe auch: www.handwerk.com/dsgvo-abmahnungen-das-sind-die-wichtigsten-urteile). Ins Visier von DSGVO-Aufsichtsbehörden, von klagebefugten Verbänden, von Wettbewerbern sowie von Personen, deren Rechte verletzt worden sind, kamen in der Vergangenheit immer wieder Verstöße beim kommerziellen Betrieb von Webseiten. Da praktisch alle Unternehmen eine Website betreiben, sollte man die neuralgischen Punkte kennen und Vorkehrungen treffen.
Problematisch sind beispielsweise fehlende oder unzureichende Datenschutzerklärungen, fehlende Webseiten-Verschlüsselungen bei Kontaktformularen oder Newsletter-Anmeldungen, fehlende Hinweise auf die Nutzung von Analyse- und Statistik-Tools oder Cookies, Social-Media-Plug-ins, wie Like- oder Share-Buttons, eingebettete Videos von Video-Plattformbetreibern und so weiter (siehe auch: www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-website).
Deshalb sollten Webseiten auf mögliche Problembereiche durchforstet und gegebenenfalls an die DSGVO-Vorgaben angepasst werden. Aber auch im täglichen Umgang mit Kunden- und Mitarbeiterdaten sollte man mehr Sorgfalt walten lassen. Beispielsweise ist darauf zu achten, dass E-Mails mit Empfängern in CC auch Personendaten enthalten, die man besser per BCC verteilt, damit E-Mail-Adressen und Inhalte nicht in falsche Hände geraten. Auch Auftrags-, Zeiterfassungs- oder Rapportzettel sollte man nicht offen und für alle sichtbar herumliegen lassen.
Fazit: Jahreswartung dringend fällig!
Von Unternehmen und Verbänden wird immer wieder der unverhältnismäßig hohe Aufwand für kleine und mittlere Unternehmen kritisiert. Obwohl beispielsweise Handwerksbetriebe kein relevantes Risiko für den Datenschutz darstellen und die Nutzung von Personendaten in der Regel nicht Teil des Geschäftsmodells ist, müssen sie im Vergleich einen genauso hohen Aufwand betreiben wie Großunternehmen oder globale Anbieter von Internet- und Social-Media-Diensten. Während Letztere eigens dafür Mitarbeiter oder ganze Abteilungen beschäftigen, muss das in einem Kleinbetrieb in der Regel der Firmeninhaber zusätzlich erledigen, was eine erhebliche Mehrbelastung darstellt.
Im Kontext mit anderen gesetzlichen Vorgaben, Verordnungen, Regulierungen und Reglementierungen der vergangenen Jahre betrachtet (GoBD, CE-Kennzeichnung, ISO-Zertifizierung etc.), erscheint die DSGVO als ein weiterer Dreh an der Bürokratieschraube, die Unternehmern die Luft abschnürt, das Tagesgeschäft und auch die viel beschworene Digitalisierung im Handwerk behindert. Deshalb sollten die Regelungen dringend überarbeitet, vereinfacht und obige Unterschiede und Asymmetrien beseitigt werden, ebenso wie die unterschiedliche Interpretation und Umsetzung der DSGVO in den Bundesländern.
Info
Gut zu wissen
Hinweis: Individuelle Umstände oder Fallkonstellationen können hier ebenso wenig berücksichtigt werden wie die Auslegung und praktische Umsetzung der teilweise allgemein formulierten DSGVO-Bestimmungen durch die Landesaufsichtsbehörden. Auch die individuelle Beratung durch einen Datenschutzexperten ersetzt dieser Beitrag nicht.
DSGVO-Basisinfos
Die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindlich geltende Datenschutz-Grundverordnung (DSGVO) legt fest, wie private Unternehmen und öffentliche Stellen personenbezogene Daten sammeln, speichern und nutzen dürfen. Darüber hinaus regelt sie Auskunfts-, Dokumentations-, Anzeige- und andere Pflichten gegenüber Betroffenen und Behörden. Ergänzt wird die DSGVO durch das neu gefasste Bundesdatenschutzgesetz (BDSG-neu), das die DSGVO an das deutsche Datenschutzrecht anpasst. Die DSGVO ersetzt die seit 1995 geltende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
DSGVO-Umfrage
Laut einer aktuellen, repräsentativen Umfrage im Auftrag des IT-Branchenverbands Bitkom ist durch die DSGVO in den Unternehmen zwar das Bewusstsein für Datenschutz gestiegen, allerdings fühlen sich viele zunehmend von Datenschutzregeln ausgebremst. So sehen 74 % der befragten Unternehmen die aktuellen Datenschutzanforderungen als Hürde beim Einsatz neuer Technologien. Nach wie vor bestehen große Rechtsunsicherheiten in der Anwendung der Verordnung. Problematisch sei auch, dass die DSGVO keinen Unterschied zwischen einem globalen Konzern und einem Handwerksbetrieb mache. Alltägliche Geschäftsprozesse würden damit für viele zum Datenschutzhürdenlauf.
Das sagt der ZDH
Der Zentralverband des Deutschen Handwerks (ZDH) begrüßte zwar die kürzliche Änderung im Rahmen des „zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes“ des Bundestags vom 27. Juni 2019, wonach die Schwelle für die Notwendigkeit zur Bestellung eines Datenschutzbeauftragten von 10 auf 20 Mitarbeiter angehoben wurde. Kritisiert werden aber vor allem die unterschiedlichen DSGVO-Auslegungen der einzelnen Bundesländer. Handwerksbetriebe stellten zudem kein relevantes Risiko für den Datenschutz dar und sollten geringeren Anforderungen als Internetgiganten und Anbieter sozialer Medien unterstellt werden. Diese Unterschiede müssten in Gesetz und Praxis stärker zur Geltung kommen.
DSGVO und Webseiten
Für jede kommerzielle Unternehmens-Website ist eine rechtskonforme, meist neben dem Impressum stehende Datenschutzerklärung Pflicht. Onlinegeneratoren helfen bei der individuellen Textzusammenstellung (z. B. https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de). Datenschutzrelevant ist auch die Wahl des Webhosters, die Verwendung von Cookies oder Analysesoftware, mit denen individuelle Aktivitäten von Besuchern dokumentiert und analysiert werden können. Die Verwendung von Kundenzitaten oder Referenzadressen ist ebenso zustimmungspflichtig wie der Einsatz von Social-Media-Plug-ins. Weitere Auflagen ergeben sich aus der DSGVO-Verpflichtung zur Datenminimierung, Integrität und Vertraulichkeit. So müssen etwa Kontaktformulardaten verschlüsselt übertragen werden.
SBZ-TIPP
Jetzt anmelden: Datenschutz in der Praxis
Digitalisierung macht jedes Handwerksunternehmen besser – unabhängig von seiner Größe. Betriebe können sich effizienter aufstellen, um ihr Leistungsvermögen besser auszuschöpfen. Angesichts fehlender Fachkräfte und einer rosigen Auftragslage ist das ein lohnenswertes Ziel. Welche Faktoren dazu beitragen, eine Wertschöpfung in größerem Maßstab zu erzielen, stellt das „forum handwerk digital 2019“ am 7. November in Stuttgart vor. Schwerpunkte des eintägigen Kongresses sind „Das digitale Büro“ und „Onlinemarketing“. Ein Programmpunkt geht dabei auf die praxisnahe Auslegung der DSGVO ein. Die Teilnahme kostet 199 Euro, Frühbucher zahlen bis zum 9. September nur 149 Euro. Mehr zum Forum und zur Anmeldung unter
Info
Weitere Infos und Quellen
- <a href="https://dsgvo-gesetz.de" target="_blank">https://dsgvo-gesetz.de</a> – DSGVO-Text
- <a href="http://www.datenschutzbeauftragter-info.de" target="_blank">www.datenschutzbeauftragter-info.de</a> – Informationen zum Datenschutz
- <a href="http://www.datenschutz-grundverordnung.eu" target="_blank">www.datenschutz-grundverordnung.eu</a> – Infos, Schulungen, Kommentare
- <a href="http://www.handwerk-magazin.de" target="_blank">www.handwerk-magazin.de</a> – Suche: DSGVO
- <a href="http://www.heise.de" target="_blank">www.heise.de</a> – Siehe: „Topthemen DSGVO“
- <a href="http://www.bitkom.org/datenschutz" target="_blank">www.bitkom.org/datenschutz</a> – Datenschutz & Sicherheit
- <a href="http://www.wikipedia.de" target="_blank">www.wikipedia.de</a> – Suche: DSGVO
- <a href="http://www.zdh.de" target="_blank">www.zdh.de</a> – Themen A-Z, Datenschutz
Autor
Dipl.-Ing. Marian Behaneck ist Fachautor zahlreicher Publikationen zu Hardware, Software und IT im Baubereich; 76751 Jockgrim E-Mail: behaneck@gmx.de