Startseite » Wissen » EDV »

Immer noch vieles unklar

DSGVO-Zwischenbilanz: Das müssen müssen Sie beachten
Immer noch vieles unklar

Seit über drei Jahren ist die Datenschutz-Grundverordnung (DSGVO) verbindlich. Dennoch gibt es in den Unternehmen noch Unsicherheiten. Worauf sollte man achten?

Marian Behaneck

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) und parallel das neu gefasste Bundesdatenschutzgesetz (BDSG-neu) rechtsverbindlich. Die Unternehmen haben einen hohen zeitlichen, personellen und finanziellen Aufwand betrieben, um sich für die Verordnung fit und ihr Unternehmen DSGVO-konform zu machen. Inzwischen hat sich die Aufregung zwar etwas gelegt, doch auch über drei Jahren seit dem Inkrafttreten sorgt die DSGVO noch immer für Aufwand, etwa bei Anpassungen an aktuelle Urteile, und für Unsicherheiten. Weil die DSGVO sehr umfangreich und nicht immer verständlich formuliert ist, aber auch Spielraum für Interpretationen lässt, wissen viele noch immer nicht, was sie tatsächlich dürfen und was nicht. Zudem werden alltägliche Geschäftsprozesse oft zum Datenschutzhürdenlauf.

Was ist erlaubt …?

Mit der Einführung der DSGVO unterliegen auch alle Unternehmen aus dem holzverarbeitenden Bereich den strengen Datenschutzregeln. Schließlich erheben, speichern, verwalten, verarbeiten oder übermitteln auch sie personenbezogene Daten von Bauherren, Projektpartnern, Subunternehmern, Lieferanten, anderen Handwerkern, Dienstleistern oder Mitarbeitern. Personenbezogene Daten sind prinzipiell alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen: Name, Anschrift, Telefonnummer, Bankverbindung, E-Mail- oder auch IP-Adresse des verwendeten Computers etc.

Da der Begriff der personenbezogenen Daten sehr weit gefasst ist, sind praktisch alle Geschäftsabläufe betroffen. Sobald beispielsweise Auftraggeber-, Planer-, Handwerker-, Zulieferer- oder Subunternehmerdaten verarbeitet werden, greift die DSGVO. Allerdings ist nicht alles datenschutzrechtlich problematisch. Die Personendatenverarbeitung ist immer dann zulässig, wenn die betroffene Person zugestimmt hat oder eine gesetzliche Vorschrift sie erlaubt.

Ohne Einwilligung ist eine Verarbeitung persönlicher Daten zulässig, wenn sie etwa zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Das ist beispielsweise dann der Fall, wenn der Handwerker eine Adresse erfasst, um einen Auftrag beim Kunden ausführen zu können oder eine E-Mail-Adresse, um dem Kunden wunschgemäß ein Angebot zu senden. Auch für die Speicherung von Visitenkartendaten potenzieller Kunden oder Projektpartner ist keine Einwilligung der Betroffenen erforderlich, sofern sie der Geschäftsanbahnung dienen.

Wenn Personendaten zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich sind und die Interessen der betroffenen Person nicht überwiegen, ist eine Verarbeitung ebenfalls ohne explizite Zustimmung zulässig – etwa wenn eine Kundendatei ausgewertet wird, um Bestandskunden mit passender Werbung anzusprechen. Eine Einwilligung ist auch dann nicht erforderlich, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Das ist beispielsweise bei der steuerrechtlich notwendigen Archivierung von Auftrags-, Kunden- oder Mitarbeiterdaten für einen Zeitraum von sechs oder zehn Jahren der Fall.

Die Verarbeitung personenbezogener Mitarbeiterdaten wird im Bundesdatenschutzgesetz näher definiert. Danach ist beispielsweise eine Verarbeitung und Speicherung von Lohnunterlagen oder Krankheitstagen zulässig, weil sie zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

… und was nicht?

Für jede Datennutzung, die datenschutzrechtlich problematisch ist, muss eine Einwilligungserklärung der Betroffenen eingeholt werden. Ohne Einwilligung unzulässig sind beispielsweise Werbe-E-Mails an Neukunden oder die Weitergabe von Messenger-Kontaktdaten. Eine Einwilligungserklärung ist allerdings nur dann wirksam, wenn alle gesetzlichen Anforderungen erfüllt sind. Dazu gehört beispielsweise, dass die Einwilligung freiwillig erfolgt. Jede Form von Druck, Zwang oder Verpflichtung macht sie unwirksam.

Schriftliche Einwilligungen sind zwar nicht zwingend, allerdings ist eine Textform schon aus Beweis- und Dokumentationsgründen zu empfehlen. Die Einwilligung muss aktiv durch eine eindeutige bestätigende Handlung erfolgen, etwa durch eine Unterschrift oder ein Anklicken eines Kästchens.

Auch zum Inhalt und zur Gestaltung gibt es klare Vorgaben: Der Datenverarbeiter muss neben seiner Identität (Namen/Firma) auch angeben, welche Daten (Adressdaten, Kontodaten etc.) zu welchem Zweck (z. B. Werbung, Weitergabe an Dritte) erhoben werden. Ferner muss der Einwilligende auf sein Widerrufsrecht hingewiesen werden. Dabei ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist. Die Angaben müssen verständlich formuliert werden. Die Einwilligungserklärung ist außerdem so zu gestalten, dass sie auffällt – vor allem dann, wenn sie zusammen mit anderen Informationen wie etwa Allgemeinen Geschäftsbedingungen, angezeigt wird, beispielsweise durch Einrahmung, Fettdruck, Farbe oder Schriftgröße.

Welche Pflichten sind zu beachten?

Mit der DSGVO werden Unternehmen zahlreiche Pflichten auferlegt, die hier nur beispielhaft genannt werden können. Dazu gehört etwa die Informationspflicht: Verarbeiter müssen Betroffenen auf Anfrage Auskunft geben können, wer Daten wie lange und zu welchem Zweck verarbeitet etc. Zur Nachweispflicht gehört, dass in einem sogenannten Verarbeitungsverzeichnis dokumentiert werden muss, welche personenbezogenen Daten wie und wofür verarbeitet werden. Erfasst werden Mitarbeiter, die mit Personendaten zu tun haben, der Datenverarbeitungs-Zweck, Rechtsgrundlagen der Datenverarbeitung, Löschfristen, Datenschutzmaßnahmen etc.

Je nach individueller Risikobewertung sind Betriebe außerdem verpflichtet, „technische und organisatorische Maßnahmen“ (TOM) zu ergreifen, um Personendaten zu schützen. Das können Passwörter, Datenverschlüsselungen, Löschfristen oder Maßnahmen zum Viren-, Diebstahl- oder Einbruchschutz sein.

Wird ein externer Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten – das trifft praktisch auf alle Anbieter von Cloud-Diensten zu (Webhoster, Anbieter von E-Mail- oder Messengerdiensten, webbasierte ERP-Branchensoftware, Zeiterfassung etc.) – muss mit diesem ein sogenannter Auftragsverarbeitungs- oder kurz AV-Vertrag abgeschlossen werden. Hat ein Unternehmen mindestens 20 Mitarbeiter und sind diese beispielsweise über den täglichen Umgang mit E-Mails, Aufträgen oder Projekten mit der regelmäßigen Bearbeitung personenbezogener Daten beschäftigt, ist außerdem ein betrieblicher Datenschutzbeauftragter Pflicht (siehe auch www.bm-online.de, folgenden Suchbegriff eingeben „DSGVO“).

Praxis-Erfahrungen und Tipps

Auch wenn Holzhandwerker nicht zu den personendaten-sensiblen Berufsgruppen wie Ärzten, Apothekern, Rechtsanwälten oder Notaren angehören, sollte man die DSGVO nicht auf die leichte Schulter nehmen. Immerhin drohen bei Verstößen hohe Strafen und Schadensersatzansprüche. Zwar ist die befürchtete Abmahnwelle bei DSGVO-Verstößen bisher ausgeblieben, doch die Rechtslage ist unübersichtlich und bisher ergangene Urteile sind teilweise widersprüchlich (siehe auch: www.handwerk.com/dsgvo-abmahnungen-das-sind-die-wichtigsten-urteile).

Ins Visier von DSGVO-Aufsichtsbehörden, von klagebefugten Verbänden, von Wettbewerbern sowie von Personen, deren Rechte verletzt worden sind, kamen in der Vergangenheit Verstöße beim kommerziellen Betrieb von Webseiten. Da praktisch alle Unternehmen eine Webseite betreiben, sollte man die neuralgischen Punkte kennen und Vorkehrungen treffen. Allen voran ist hier die aktive Cookie-Einwilligung durch Benutzer zu nennen. Mit dem Urteil vom 28. Mai 2020 (Az. I ZR 7/16) hat der Bundesgerichtshof (BGH) entschieden, dass Webseitenbesucher ihre Einwilligung zur Verwendung von Cookies durch aktives Ankreuzen entsprechender Felder explizit erklären müssen. Ein vorformuliertes Einverständnis genügt nicht mehr. Webseitenbetreiber müssen Besucher bereits mit dem ersten Seitenaufruf detailliert über die Verwendung von Cookies informieren (siehe auch BM 11/21: Auf der sicheren Seite).

Problematisch sind auch fehlende oder unzureichende Datenschutzerklärungen, fehlende Webseiten-Verschlüsselungen bei Kontaktformularen oder Newsletter-Anmeldungen, fehlende Hinweise auf die Nutzung von Social-Media-Plugins, wie Like- oder Share-Buttons, eingebettete Videos von Video-Plattformbetreibern und so weiter. Deshalb sollten Webseiten auf mögliche Problembereiche durchforstet und gegebenenfalls an die DSGVO-Vorgaben oder aktuelle Urteile angepasst werden (siehe Info-Kasten).

Aber auch im Berufsalltag sollte man mehr Sorgfalt walten lassen – sowohl mit analogen als auch mit digitalen Kunden- und Mitarbeiterdaten. Ein häufiger Fehler ist beispielsweise, dass E-Mails per CC und damit auch Personendaten an unbeteiligte Dritte verteilt werden. Dann können E-Mail-Adressen und Inhalte schnell in falsche Hände geraten. Datenschutzrechtlich weniger bedenklich ist der BCC-Versand.

Die geschäftliche Nutzung privater Smartphones oder nicht DSGVO-konformer Messenger-Dienste ist datenschutzrechtlich ebenso ein Problem. Aber auch die analoge Welt ist voller DSGVO-Fallstricke. So sollte man Auftrags-, Zeiterfassungs- oder Rapportzettel nicht offen und für alle sichtbar herumliegen lassen, denn diese enthalten ebenso personenbezogene Daten.

Fazit: Aufwand für KMUs reduzieren

Von Unternehmen und Verbänden wird der große Aufwand bei der DSGVO-Umsetzung für KMUs kritisiert. Obwohl Handwerksbetriebe kein gesamtgesellschaftliches Risiko für den Datenschutz darstellen, müssen sie einen vergleichsweise ebenso hohen Aufwand betreiben, wie etwa globale Anbieter von Internet- und Social Media-Diensten. Während letztere eigens dafür Mitarbeiter oder ganze Abteilungen beschäftigen, muss das in einem Kleinbetrieb in der Regel der Firmeninhaber zusätzlich erledigen. Deshalb wird gefordert, sie in einigen Punkten zu vereinfachen und vor allem die Asymmetrien gegenüber Großkonzernen und Internet-Dienstleistern zu beseitigen, ebenso wie die unterschiedliche Interpretation und Umsetzung der DSGVO in den Bundesländern.

Datenschutz ist wichtig, aber man sollte Maß halten und die Relationen im Auge behalten, denn manchmal ist weniger mehr.


Der Autor

Dipl.-Ing. Marian Behaneck ist freier Journalist mit den Schwerpunkten Software, Hardware und IT im Baubereich.


Weitere Infos und Quellen


DSGVO-Basisinfos

Die seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten verbindlich geltende Datenschutz-Grundverordnung (DSGVO) legt fest, wie private Unternehmen und öffentliche Stellen personenbezogene Daten sammeln, speichern und nutzen dürfen. Darüber hinaus regelt sie Auskunfts-, Dokumentations-, Anzeige- und andere Pflichten gegenüber Betroffenen und Behörden. Ergänzt wird die DSGVO durch das neu gefasste Bundesdatenschutzgesetz (BDSG-neu), das die DSGVO an das deutsche Datenschutzrecht anpasst. Die DSGVO ersetzt die seit 1995 geltende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.


DSGVO-Pflichten

  • Informationspflicht: Betroffene sollen eine Erhebung, Verarbeitung oder Nutzung ihrer Daten überprüfen können, woraus sich für Datenverarbeiter Informationspflichten ableiten. Sie müssen auf Anfrage Auskunft geben können, unter anderem über Verantwortliche und Zwecke der Datenverarbeitung, Dauer der Datenspeicherung, gegebenenfalls eine Weiterleitung an Dritte etc. Betroffene müssen auf ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch gegen die Verarbeitung sowie eine Datenübertragbarkeit hingewiesen werden. Datenpannen sind binnen 72 Stunden dem Landesdatenschutzbeauftragten sowie den Betroffenen zu melden.
  • Nachweispflicht: In einem so genannten Verarbeitungsverzeichnis muss dokumentiert werden, welche personenbezogenen Daten wie und wofür verarbeitet werden. Erfasst werden Mitarbeiter, die mit Personendaten zu tun haben, der Zweck der jeweiligen Datenverarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Rechtsgrundlagen der Datenverarbeitung, Löschfristen, Datenschutzmaßnahmen etc. Das Führen und Aktualisieren eines Verarbeitungsverzeichnisses ist Pflicht und dient als Nachweis für die Rechtmäßigkeit der Datenverarbeitung. Muster-Download: www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf
  • TOM: Je nach individueller Risikobewertung sind Betriebe verpflichtet, „technische und organisatorische Maßnahmen“ (TOM) zu ergreifen, um Personendaten zu schützen. Das können Passwörter, Datenverschlüsselungen, Löschfristen oder Maßnahmen zum Viren-, Diebstahl- oder Einbruchschutz sein. Da Mitarbeiter in Bezug auf den Datenschutz ein Schwachpunkt sind, sollten auch Unterweisungen und Vereinbarungen zur Nutzung und Übermittlung von Kundendaten sowie zum konsequenten Einsatz von Passwörtern und anderen Schutzmaßnahmen am Arbeitsplatz vorgenommen werden. Wird die Datenverarbeitung über einen externen Dienstleister abgewickelt, sollte er sorgsam ausgewählt und mit ihm ein Auftragsverarbeitungsvertrag (s.u.) abgeschlossen werden.
  • Auftragsverarbeitung: Wird ein externer Dienstleister damit beauftragt, personenbezogene Daten zu verarbeiten – das trifft praktisch auf alle Anbieter von Cloud-Diensten zu (Webhoster, Anbieter von E-Mail- oder Messengerdiensten, webbasierte ERP-Branchensoftware, Zeiterfassung etc.) – muss mit diesem ein so genannter Auftragsverarbeitungs- oder kurz AV-Vertrag abgeschlossen werden. Darin verpflichtet er sich, die Vorgaben der DSGVO einzuhalten. Anbieter dieser Dienste halten auf ihren Webseiten entsprechende Formulare zum Download bereit.
  • Datenschutzbeauftragter: Hat ein Unternehmen mindestens 20 Mitarbeiter und sind diese beispielsweise über den täglichen Umgang mit E-Mails, Aufträgen oder Projekten mit der regelmäßigen Bearbeitung personenbezogener Daten beschäftigt, ist ein betrieblicher Datenschutzbeauftragter Pflicht. Er kümmert sich um die Einhaltung der Vorgaben und überwacht das vorgesehene Schutzniveau. Wird er intern bestellt, muss er entsprechend ausgebildet und für seine Aufgaben freigestellt werden. Außerdem genießt er einen besonderen Kündigungsschutz.

DSGVO und Webseiten

Für jede kommerzielle Unternehmens-Webseite ist eine rechtskonforme, meist neben dem Impressum stehende Datenschutzerklärung Pflicht. Online-Generatoren helfen bei der individuellen Text-Zusammenstellung (z.B. https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de). Datenschutzrelevant ist auch die Wahl des Webhosters, die Verwendung von Cookies oder Analysesoftware, mit denen individuelle Aktivitäten von Besuchern dokumentiert und analysiert werden können. Die Verwendung von Kundenzitaten oder Referenzadressen ist ebenso zustimmungspflichtig wie der Einsatz von Social Media Plug-Ins. Weitere Auflagen ergeben sich aus der DSGVO-Verpflichtung zur Datenminimierung, Integrität und Vertraulichkeit. So müssen etwa Kontaktformular-Daten verschlüsselt übertragen werden.

Herstellerinformation
Herstellerinformation
BM-Wissensquiz
Herstellerinformation
BM-Titelstars: Fotogalerie
Herstellerinformation
BM auf Social Media
Herstellerinformation
Im Fokus: Materialmangel
Im Fokus: Vakuumtechnik
BM-Themenseite: Innentüren
Im Fokus: Vernetzte Werkstatt

Im Fokus: Raumakustik
_6006813.jpg
Schallmessung in der Praxis: Michael Fuchs (r.) und Simon Holzer bei raumakustischen Messungen in einem Objekt (Friseursalon Max in Wallersdorf). Foto: Barbara Kohl, Kleine Fotowerkstatt
Im Fokus: Gestaltung
Alles bio? Nachhaltigkeit im Tischler- und Schreinerhandwerk
[class^="wpforms-"]
[class^="wpforms-"]

BM Bestellservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der BM Bestellservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin-Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum BM Bestellservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des BM Bestellservice.
AGB
datenschutz-online@konradin.de