Sie befinden sich hier:

zur Übersicht
Betrieb | Betriebsführung | 02.07.2018

Verschärfter Datenschutz

Neue Pflichten kommen auf SHK-Betriebe zu

Am 25. Mai 2018 begann mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Die Rechte der von Datenverarbeitung betroffenen Personen wurden gestärkt und Unternehmen bei Datenschutzverstößen empfindlich getroffen. Bis zu 4 % des Jahresumsatzes oder bis zu 20 Mio. € können Fehler jetzt kosten; Abmahnungen sind weitere mögliche Konsequenzen.

Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Auch Betriebe aus dem Sanitär-, Heizungs- und Klimatechnik-Handwerk sind davon nicht ausgeschlossen, denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos von frisch renovierten Bädern mit den eingebauten Produkten und den stolzen Besitzern in ihren Social Media-Kanälen und geben Daten unter Umständen an Dritte weiter. Damit gelten auch sie als datenverarbeitende Unternehmen und sind vom Inkrafttreten der DSGVO betroffen.

Vielen fällt es jedoch schwer, die DSGVO umzusetzen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben größte Schwierigkeiten, denn hier paaren sich oft ein knappes Budget, wenig Personal und lückenhaftes Wissen in rechtlichen Angelegenheiten. Welche Pflichten kommen jetzt konkret auf den Betrieb zu und welche technisch-organisatorischen Maßnahmen sind zu treffen?

Einwilligungserklärung zur Datenverarbeitung

Grundsätzlich müssen Handwerksbetriebe für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt zum Beispiel die betriebsinterne Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert.

Neue Informations- und Dokumentationspflichten

Mit der DSGVO kommen neue Pflichten auf Handwerksbetriebe zu. Dazu zählen die Informationspflichten, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen. Denn dann muss die betroffene Person schriftlich darüber informiert werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.

Neu ist auch das Auskunftsrecht. Alle Personen, von denen Daten im Unternehmen gespeichert werden, haben das Recht, Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einzuholen. Diese Aufgabe lässt sich ideal bewältigen, wenn Auskünfte über personenbezogene Daten per Knopfdruck generiert werden. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. In der Praxis setzen Handwerksbetriebe gern auf gängige Office-Anwendungen. Was zunächst als günstigere Lösung erscheint, erweist sich im Nachhinein meist als teuer. Denn mit den gängigen Office-Anwendungen müssen Informationen an mehreren Stellen im Unternehmen gepflegt werden, anstatt eine zentrale Basis zu schaffen. Das ist der Grund, warum Informationen schon nach kurzer Zeit nicht mehr aktuell sind.

SHK-Betriebe, die personenbezogene Daten verarbeiten, müssen alle Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“, welches den Behörden bei Kontrollen zur Einhaltung des Datenschutzes hilft, dokumentieren. Hier aufgeführt wird insbesondere welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Handwerker sollten aber prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Die DSGVO setzt sich mit der speziellen Situation von Kleinstunternehmen und KMU auseinander und enthält eine abweichende Regelung für Betriebe mit weniger als 250 Angestellten.

Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Drei Voraussetzungen müssen sie dafür allerdings erfüllen:

  • Die vorgenommene Datenverarbeitung darf kein Risiko für die Rechte und Freiheiten betroffener Personen bergen.
  • Die Datenverarbeitung erfolgt nicht nur gelegentlich.
  • Die Datenverarbeitung schließt keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen ein.

Für die Datenschutz-Dokumentation sollte eine Software-Lösung gewählt werden, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert. Drei Merkmale sind für eine solche Software-Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen. Außerdem sollte sie sich ohne großen Berater- oder Schulungsaufwand von den verschiedenen Mitarbeitern im Unternehmen bedienen lassen.

Besondere Maßnahmen für Kleinstunternehmen & KMU

Mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Fehlen interne Ressourcen für die Umsetzung, ist Outsourcing eine Lösung. Alternativ kommt aber auch das Insourcing von Kompetenzen in Frage. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO. Immerhin sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber bewusst, dass insbesondere KMU Probleme bei der Umsetzung der vielen neuen Pflichten haben. Aus diesem Grund offerieren sie spezielle Schulungs- und Beratungsangebote. Nennenswert ist zum Beispiel der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde. 28 Fragen führen den Unternehmer spielerisch vom Start zum Ziel und bieten damit einen Einblick in die Inhalte der DSGVO.

Auch die PSW Group Consulting (www.psw-consulting.de) bietet verschiedene Möglichkeiten, gerade Klein- und Mittelständler bei der Umsetzung der neuen Regeln zu unterstützen: Mittels einer TÜV-zertifizierten Ist-Aufnahme finden die IT-Sicherheitsexperten des Consulting Unternehmens innerhalb weniger Tage heraus, wo ein SHK-Betrieb im Bereich Datenschutz überhaupt steht, warum er dort steht und was noch zur Umsetzung der DSGVO fehlt. Die Analyse identifiziert Datenschutz-relevante Stärken und Schwächen im Unternehmen, zeigt konkrete sowie individuelle Handlungsempfehlungen auf und ist gleichzeitig eine Dokumentation für die Aufsichtsbehörden.

Zusätzlich enthält die DSGVO auch sogenannte Verhaltensregeln. Sie sollen unter Beachtung der besonderen Bedürfnisse von Kleinstunternehmen sowie KMU dabei helfen, die Verordnung umzusetzen. So hat beispielsweise der Zentralverband Sanitär Heizung Klima (ZVSHK) als Standesorganisation des SHK-Handwerks für seine Mitglieder einen 68-seitigen Leitfaden zum Thema erarbeitet, der auch Best-Practice-Anleitungen zur Umsetzung der DSGVO erhält.

Zertifizierung für den Datenschutz

Interessant ist Artikel 42 der DSGVO: Dieser befasst sich mit Datenschutz-Zertifizierungen, die eine Minderung der horrenden Bußgelder zur Folge haben können. Eine Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist VdS 10010. Ziel ist es, ein Datenschutzmanagementsystem zu implementieren und aufrecht zu erhalten. Das Augenmerk liegt dabei darauf, den KMU eine klare Handlungsanweisung an die Hand zu geben. Mit einer Zertifizierung nach VdS 10010 entsprechen sie den Anforderungen aus der DSGVO und legen den ersten Grundstein in Richtung Informationssicherheit. Dieser kann mit Umsetzung der Richtlinie VdS 3473 sogar noch einmal vertieft werden. Danach ist es dann nur noch ein kleinerer Schritt zur ISO 27001-Zertifizierung. Unternehmen, die nach diesen Richtlinien zertifiziert sind, können zu Recht von sich sagen, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen.

Infos zum Autor: Christian Heutger

Als IT-Sicherheitsexperte berät Christian Heutger Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, u. a. an der FH Fulda. Heutger ist außerdem Geschäftsführer der PSW Group ( www.psw-group.de), die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW Group Training (www.psw-training.de) sowie der PSW Group Consulting (www.psw-consulting.de).

Autor: Christian Heutger
PSW Group
Fulda

Thematisch passende Beiträge

  • Datenschutz im Handwerksbetrieb

    DSGVO gilt ab dem 25. Mai 2018 EU-weit

    Ab dem 25. Mai 2018 gilt die Datenschutzgrundverordnung der Europäischen Union (DSGVO) EU-weit. Die DSGVO regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Spätestens mit Blick auf die Digitalisierung von betrieblichen Abläufen sollten daher auch SHK-Handwerksbetriebe den Datenschutz nicht aus den Augen verlieren. Wenn auch die kommende Verordnung sich vor allem um die Rechte an den eigenen Daten von natürlichen Personen mit Blickrichtung Internet und Online-Diensten befasst, muss der Datenschutz insgesamt gewährleistet sein. Und da werden alte Fehler in ihrem Betrieb nicht zum Gewohnheitsrecht. Erlauben Sie mir in diesem Kommentar ein paar Hinweise zum Umgang mit sensiblen Daten.

  • DSGVO: Und nun?

    Umgang mit Daten im Handwerksbetrieb

    Am 25. Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutz-Grundverordnung (DSGVO). Und die Verunsicherung ist größer denn je. An jeder Ecke hört man neuste Erkenntnisse über vermeintliche Vorgaben. Bei Nichtbeachtung drohen hohe Bußgelder und sogenannte Abmahnanwälte stehen bereits in den Startlöchern. Doch was ist für Handwerksbetriebe in Zukunft überhaupt noch erlaubt?

  • Bürokratieabbau im Handwerk

    Podiumsdiskussion mit 200 Teilnehmern

    Lähmende Bürokratie in Form von erdrückenden Dokumentationspflichten machen dem Handwerk das Leben schwer. Daher trafen sich am 17. Juli 2018 knapp 200 Handwerker im Kreishaussaal in Meschede, um mit Politikern zu diskutieren. Der Fokus des Treffens lag auf einem Acht-Punkte-Plan.

  • Innovationspreis „Fügen im Handwerk“

    Innovationstransfer und Personalentwicklung

    Bis zum 29. Februar 2016 können Handwerksbetriebe für den Innovationspreis „Fügen im Handwerk“ vorgeschlagen werden, die sich in besonderer Weise um den Innovationstransfer und die Personalentwicklung in der Fügetechnik verdient gemacht haben.

  • Prognosen für 2016

    12. Querschiesser-Trendkongress

    Die Querschiesser Unternehmensberatung führt jährlich eine telefonische Befragung des deutschen SHK-Handwerk durch, um mit diesen und weiteren Daten eine Konjunkturprognose erstellen zu können. Am 28. und 29. Oktober 2015 präsentierte Hans-Arno Kloep, Querschiesser-Geschäftsführer, beim 12. Trendkongress in Nürnberg die Aussichten der SHK-Branche. Die SHK Profi-Redaktion war für Sie vor Ort.

alle News

Finden Sie mehr als 4000 Anbieter im EINKAUFSFÜHRER BAU - der Suchmaschine für Bauprofis!

SHK Profi-Newsletter
  • » Wichtige News aus Sanitär-, Heizungs- & Klimatechnik
  • » 12 x im Jahr
  • » jederzeit kündbar

Beispiele, Hinweise: Datenschutz, Analyse, Widerruf

Content Management by InterRed