Kundenrechte gestärkt

Die fortschreitende Digitalisierung bringt für Handwerker viele Herausforderungen und Pflichten mit sich – auch im Bereich Datenschutz. So sollten Betriebe nicht nur die ­eigene Privatsphäre im Internet schützen. Sie müssen auch ab Mai 2018 die EU-Datenschutzregeln erfüllen, die die gespeicherten Kundendaten betreffen. Verstöße können empfindliche Geldbußen nach sich ziehen.

Die Vorschriften der Datenschutz-Grundverordnung (DSGVO) müssen ab dem 25. Mai 2018 europaweit umgesetzt werden. Ab diesem Zeitpunkt sind Internetnutzer besser geschützt – unter anderem durch leichtere Beschwerdemöglichkeiten und ein „Recht auf Vergessenwerden“. Kunden können dann zum Beispiel verlangen, dass alle Informationen und Bilder, die ein Unternehmen von ihnen gespeichert hat, gelöscht werden – sofern es sich nicht um vertrags- bzw. steuerrelevante Daten handelt. Dies betrifft dann auch Handwerksbetriebe, die einen eigenen Onlineshop betreiben oder Kundendaten zu Marketingzwecken digital speichern. Außerdem müssen Unternehmen bei jedem Kunden künftig vorab die Zustimmung zur Datennutzung einholen, wenn sie seine Daten erheben, archivieren, verarbeiten oder nutzen wollen. Bei einem Verstoß drohen Strafen von 4 % des Jahresumsatzes.
Doch es gibt weiterhin Ausnahmen: Wenn die Daten zur Erfüllung eines Vertrags nötig sind, ist die vorübergehende Nutzung ohne explizite Erlaubnis zulässig. Dies gilt auch für die Nutzung einer E-Mail-Adresse, wenn Kunden per E-Mail einen Kostenvoranschlag wünschen. Nach Abschluss des Auftrags müssen jedoch alle Daten gelöscht werden, die nicht vertrags- oder steuerrelevant sind oder für deren Nutzung keine explizite Kundenerlaubnis vorliegt.

Nutzung von Bestandsdaten
Für Bestandsdaten gilt, dass diese nach dem 25. Mai 2018 weiter genutzt werden dürfen, wenn die damalige Erhebung und Erlangung der Daten nach Maßgabe der DSGVO rechtskonform war. Dafür muss einer der folgenden Punkte erfüllt sein:

• Einwilligung,
• Erfüllung eines Vertrags/Durchführung vorvertraglicher Maßnahmen – Erfüllung einer rechtlichen Verpflichtung,
• zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person,
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
• Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Schutz vor unbefugten Datenzugriffen
Darüber hinaus gehört es schon länger zu den Pflichten von Unternehmen, personenbezogene Daten von Kunden, Mitarbeitern und Geschäftspartnern nach den Vorschriften des Bundesdatenschutzgesetzes vor unbefugten Zugriffen zu schützen. Dazu zählen unter anderem allgemeine Personendaten wie Name, Anschrift, Mailadresse, Telefonnummer, aber auch Bankverbindungen, spezielle Kundendaten oder Onlineinformationen wie die IP-Adresse. Wenn Handwerksbetriebe solche Daten erheben und abspeichern, müssen sie dafür sorgen, dass unbefugte Mitarbeiter, Kunden oder Hacker darauf keinen Zugriff haben.
Werden regelmäßig personenbezogene Daten verarbeitet, müssen Betriebe ihre Prozesse darüber hinaus in einem „Verzeichnis der Verarbeitungstätigkeiten“ dokumentieren. Ein interner oder externer Datenschutzbeauftragter (DSB) ist zu benennen, wenn im Unternehmen mindestens zehn Personen ständig personenbezogene Daten elektronisch verarbeiten, z. B. auf PCs, Smartphones oder Tablets.

Jedes zweite Unternehmen Opfer von Spionage oder Datendiebstahl
Aktuell gelingt es nicht allen Firmen in Deutschland, ihre Daten zuverlässig zu schützen: 53 % der Unternehmen waren 2016 und 2017 Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dies geht aus einer repräsentativen Studie des Digitalverbands Bitkom vom Juli 2017 hervor, bei der Geschäftsführer und Sicherheitsverantwortliche aus allen Branchen befragt wurden. In jedem sechsten Unternehmen wurden demnach sensible digitale Informationen gestohlen, darunter Kommunikationsdaten wie E-Mails (41 %) oder Finanzdaten (36 %). Bei 17 % der Fälle waren Kundendaten betroffen. Der insgesamt entstandene Schaden liegt laut Studie bei rund 55 Mrd. Euro pro Jahr. Die Täter kamen meist aus dem näheren Unternehmensumfeld: In 62 % der Fälle waren aktuelle oder ehemalige Mitarbeiter die Täter, bei weiteren 41 % schlugen Wettbewerber, Kunden, Lieferanten oder  Dienst­leister zu.

Firewall und Virenscanner sind unverzichtbar
Eine große Gefahr für Betriebe ist aber auch Schadsoftware, die auf firmeneigene Rechner und mobile Geräte gelangen kann, z. B. über E-Mails, Speichermedien oder besonders präparierte Internetseiten. Dabei gehen Wirtschaftsspione oder Hacker nicht gezielt vor, sondern fischen alle zugänglichen Daten ab.
Um Unternehmensdaten sicher abzulegen und zu schützen, sollten Betriebe deshalb einige wichtige Grundregeln beachten (s. Checkliste „Mehr Sicherheit im Betrieb“) und bei der IT-Ausstattung eine Firewall und Virenscanner auf allen Geräten einsetzen. Darüber hinaus ist ein besonderes Sicherheitsmanagement empfehlenswert, bei dem alle Daten verschlüsselt abgelegt werden und nur für Mitarbeiter zugänglich sind, die mit diesen Informationen wirklich arbeiten.
Die eigene Privatsphäre ist aber auch noch von einer anderen Seite bedroht – nämlich von Internetseiten, Apps und Programmen, die im Hintergrund unbemerkt Daten sammeln. Diese werden dann zu Nutzerprofilen zusammengesetzt oder an andere Unternehmen weiterverkauft. Zu den größten Datensammlern zählen unter anderem große Unternehmen wie Microsoft, Google und Facebook. Beim Besuch einer Internetseite ist der Seitenbetreiber zum Beispiel automatisch im Besitz der zugehörigen IP-Adresse, über die sich ein PC eindeutig identifizieren lässt – bis vor die eigene Haustür. Außerdem ist es möglich, das verwendete Betriebssystem, zuvor besuchte Internetseiten und das eigene Surfverhalten auszulesen. Wer bei der täglichen Arbeit nicht zum „gläsernen Surfer“ werden will, sollte deshalb spezielle Programme nutzen, die viele Spuren verwischen und Datensammlern die Arbeit erschweren (siehe Tabelle).

Datenschutzgrundverordnung im Volltext
Die Datenschutzgrundverordnung im Volltext mit allen weiteren detaillierten Regeln, Einschränkungen und Erwägungsgründen ist online unter www.dsgvo-gesetz.de einsehbar.
Viele Passagen dürften Betrieben bekannt vorkommen, da das aktuell geltende deutsche Recht bei vielen Vorschriften als Vorlage diente. Trotzdem gibt es Details und Anforderungen, die sich geändert haben oder hinzugekommen sind. Deshalb ist es für jeden Betrieb unverzichtbar, die Datenschutzgrundverordnung komplett zu lesen und zu prüfen, wie alle Punkte im eigenen Betrieb umsetzbar sind. Bei Rückfragen oder Unsicherheiten können sich Betriebe von örtlichen Handwerkskammern oder Fachverbänden beraten lassen. Eine weitere Möglichkeit ist die Bestellung eines externen Datenschutzbeauftragten: Dieser berät dann unter anderem die Geschäftsführung in Datenschutzfragen, übernimmt die Schulung von Mitarbeitern und prüft regelmäßig die Umsetzung des Datenschutzes im Betrieb.

Autor: Thomas Busch, Fachjournalist

Datenschutz: Nützliche Links
www.anonym-surfen-test.de
Der kostenlose Internet-Service zeigt, welche Informationen Betreiber von Internetseiten vom eigenen PC auslesen können.

www.dsin-sicherheitscheck.de
Der Verein „Deutschland sicher im Netz“ (DsiN) bietet einen Onlinesicherheitscheck zur Ermittlung des IT-Sicherheitsniveaus in Unternehmen.

www.zdh.de
Der Zentralverband des Deutschen Handwerks (ZDH) bietet viele Informationen zum Thema „Datenschutz“ kostenlos zum Download: http://bit.ly/2EThR8j

Checkliste: Mehr Datensicherheit im Betrieb
Der Digitalverband Bitkom und der Bundesverfassungsschutz empfehlen die folgenden Maßnahmen für mehr Datenschutz und -sicherheit.

1. Sicherheit zur Chefsache machen

• Sensibilisierung der Geschäftsführung, z. B. mit Fachartikeln oder durch direkte Hinweise auf Sicherheitsrisiken.
• Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene zur Absicherung des Firmennetzwerks.
• Einrichtung eines Wirtschaftsschutzbeauftragten oder eines Informationssicherheitsbeauftragten – zum besseren Schutz aller IT-Systeme und Daten.

2. Technische IT-Sicherheit steigern

• Basisschutz ergänzen um Verschlüsselung aller gespeicherten Daten und Netzwerkverbindungen sowie Installation eines Intrusion Detection-Systems (Angriffserkennungssystem).
• Überwachung vernetzter Geräte, z. B. mit einem „Security Information Event Management“. Dieses speichert an zentraler Stelle die Daten und analysiert sie nahezu in Echtzeit.
• „Security by Design“ bei allen Schnittstellen und vernetzten Geräten – bedeutet Schwachstellen beseitigen.
• Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten, damit z. B. keine Schadsoftware von privaten Geräten ins Unternehmen eindringen kann.

3. Organisatorische Sicherheit erhöhen

• Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben.
• Praxisorientierung aller Sicherheitsregularien: Vorschriften sollten niemals nur theoretisch und abstrakt, sondern praxisnah auf den eigenen Betrieb zugeschnitten sein.
• Zugriffs- und Zugangsrechte: Nicht jeder Mitarbeiter benötigt Zugriff auf alle Betriebsdaten, sondern nur zu solchen, die er für seinen Aufgabenbereich wirklich benötigt.
• Umgang mit Gästen und Delegationen: Dazu zählen u. a. Sicherheits- und Datenschutzunterweisungen. Außerdem sollten nur berechtigte Personen an firmeneigenen Geräten Daten sehen, verändern oder kopieren können.
• Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen. Nur so lassen sich Schäden minimieren.
• Etablierung einer „Clean-Desk-Policy“: Welche Daten sind am Arbeitsplatz wirklich nötig? Je weniger Daten frei zugänglich sind, umso höher sind Datenschutz und Vertraulichkeit.

4. Personelle Sicherheit verbessern

• Etablierung einer Sicherheitskultur. Dazu zählt, dass Führungskräfte als Vorbilder agieren und sicherheitsgerechtes Verhalten von Mitarbeitern fordern und fördern.
• Arbeitsplatzspezifische Schulungen/Sensibilisierungen, damit Mitarbeiter ihr theoretisches Wissen direkt in die Praxis umsetzen und potenzielle Gefahren künftig erkennen.
• Informationssicherheit auf Geschäftsreisen im Ausland beachten, z. B. konsequente Verschlüsselung aller gespeicherten Daten und Netzwerkverbindungen. Außerdem gilt: Keine Nutzung von fremden Geräten mit unsicherem Sicherheitsstatus.
• IT-Experten mit Produktions-Know-how. Diese realisieren maßgeschneiderte und branchenspezifische Lösungen mit Erfahrung.

Wichtige Fachbegriffe kurz erklärt
Cookies
Cookies (engl.: Kekse) sind kleine Textdateien, die von einer Website auf die Festplatte des PCs gespeichert und bei einem späteren Besuch wieder zurück an die Webseite übermittelt werden. Cookies können viele Informationen enthalten, z. B. über das Surfverhalten, den benutzten Browser, Passwörter oder das letzte Besuchsdatum.

IP-Adresse
Abkürzung für „Internet-Protokoll-Adresse“. Jeder PC bekommt bei seiner Einwahl ins Internet automatisch eine eindeutige Adresse in Form einer Zahlenfolge zugewiesen. Internetseiten können IP-Adressen von Besuchern protokollieren, sodass eine Identifikation des Surfers grundsätzlich möglich ist.

Kryptografie
Die Wissenschaft zur Erforschung von Verfahren zur Ver- und Entschlüsselung von Daten. Hierbei wird ein Text durch Änderungen oder das Hinzufügen von Zeichen nach bestimmten Regeln in einen Schlüsseltext verwandelt, der ohne den passenden „Schlüssel“ von Unbefugten nicht gelesen werden kann.

Proxy
Ein Proxy ist eine Server-Software, die zwischen den Internet-Provider, der den Online-Zugang ermöglicht, und den eigenen PC geschaltet wird. Wenn der Computer nun eine Internetseite abruft, wird zuerst die Verbindung zum Proxy-Server aufgebaut, der daraufhin die Verbindung zur gewünschten Internet-Seite aufbaut. So kann der Webseiten-Betreiber nicht nachverfolgen, wer sein Online-Angebot angerufen hat.

Spyware
Spyware (Spion-Software) sind Programme, die sich meist zusammen und unbemerkt mit einem anderen kostenlosen Programm im Hintergrund installieren. Die Software sendet bei bestehenden Onlineverbindungen regelmäßig private Daten über den Benutzer an ein vorher definiertes Ziel.

SSL-Verschlüsselung
Die Abkürzung SSL steht für „Secure Socket Layer“ (auf Deutsch sinngemäß „Sicherheits-Anschluss-Adapter“) und bezeichnet ein Protokoll zur Verschlüsselung von Daten im Internet, die über einen Browser übertragen werden.

Verlauf
Als „Verlauf“ oder „History“ wird das automatische Speichern von zuletzt besuchten Internetseiten, benutzten Dokumenten oder Programmen bezeichnet. Über solche Verlaufslisten kann ein Dritter über den PC oder das Internet genau nachverfolgen, an welchen Dokumenten gearbeitet und welche Seiten im Netz besucht wurden.