DSGVO – Die Ruhe vor dem Sturm?

Mit dem 25. Mai dieses Jahres hat die Pflicht zur Anwendung der DSGVO begonnen. Auch wenn bisher keine Umsetzungsverfehlungen in breiter Masse geahndet wurden, bleibt mit behördlichen Kontrollen ab Ende dieses Jahres die Feststellung von Verstößen zu befürchten.
Aktuell kann dem Eindruck nach das Fachhandwerk in ruhigem Fahrwasser seinen täglichen Geschäften nachgehen. Vor rund fünf Monaten sah die Lage noch anders aus: Es verging kaum ein Tag ohne neue Meldungen zum Thema Datenschutz und den dazu notwendigen Maßnahmen. Betroffen davon war und ist letztlich jedes Unternehmen. Alle müssen einen DSGVO-konformen Umgang mit den Daten ihrer Kunden, Geschäftspartner und Beschäftigten einhalten.
Für die Umsetzung der Anforderungen mussten u. a. zahlreiche Arbeitsabläufe in Betrieben angepasst oder neu erstellt werden. Ebenso wie die Einweisung und Belehrung von Beschäftigten, die regelmäßig mit personenbezogenen Daten konfrontiert sind. „Dies ist aber in vielen Unternehmen nicht oder nicht in vollem Umfang geschehen“, sagt Christoph Kleine, Datenschutzexperte und Geschäftsführer der Procova UG. Seinen Erfahrungen nach haben hier von Großunternehmen bis insbesondere hin zu Klein- und Einzelunternehmen viele ihre Hausaufgaben noch nicht gemacht.

Was viele nicht wissen
Für alle Betriebe, in denen zehn oder mehr Personen mit den sogenannten personenbezogenen Daten regelmäßig arbeiten, gilt, dass ein Datenschutzbeauftragter (DSB) zu benennen ist. Bei der Summierung der Mitarbeiter/-innen zählen sowohl halbtags arbeitende Angestellte wie auch Minijobber als „volle Stelle“. Der DSB muss dazu öffentlich genannt werden (z. B. auf der Internetseite des Unternehmens) und als zuständiger Ansprechpartner klar erkennbar sein.
Hinter der Bezeichnung „personenbezogene Daten“ verbirgt sich z. B. die Verwendung eines E-Mail-Programms, da selbst in dieser einfachen Geschäftskorrespondenz Daten von Personen, wie z. B. Namen und Telefonnummern, genannt sind.

DSB erforderlich oder nicht?
Ein Beispiel aus der Praxis: Der Chef packt mit an, die Ehefrau macht zu Hause das Büro. Es gibt noch sechs Gesellen und einen Auszubildenden, die alle auf personenbezogene Daten Zugriff haben. Hinzu kommen eine Hilfskraft, die für das einräumen von Lagersortiment und die Fahrzeugpflege halbtags beschäftigt ist, sowie eine Reinigungskraft für Ausstellung und Betrieb. Hier ist jetzt entscheidend, wer mit personenbezogenen Daten zu tun hat. Davon befreit ist die Reinigungskraft. Bei der Hilfskraft für das Lager kann dies auch der Fall sein, wenn Materialbestellungen nicht Namens- sondern nur auftragsnummernbezogen gelagert werden und sonst auch kein Zugang zu Daten besteht. Für diesen Fall muss kein DSB benannt werden. Anders, wenn für diese Person Datenzugang besteht, dann sind zehn Personen zu zählen und somit ein DSB zu bestellen.

Behörden überfordert
Mit der Pflicht zur Umsetzung der DSGVO waren die Behörden offensichtlich zunächst überfordert. Kleine: „Die Folgen waren, dass in vielen Bundesländern die Betriebe, die einen DSB bestellen mussten, nicht einmal die Möglichkeit hatten, sich bei der zuständigen Datenschutzbehörde zu registrieren. So wurde z. B. in NRW die Meldepflicht bis Ende des Jahres verlängert. Und erst nach Ablauf dieser letzten Schonfrist will die ‚Landesbeauftragte für den Datenschutz‘ die Nichtbestellung eines DSB als datenschutzrechtlichen Verstoß verfolgen und ahnden. Ein ähnliches Bild geben viele andere Bundesländer ab.“
Somit sei zu befürchten, wenn die Behörden personell und strukturell adäquat aufgestellt sind und die ersten Kontrolleure vor den Türen der Unternehmen stehen, dass zahlreiche Versäumnisse geahndet werden.
„Problematisch – und vor allem teuer – wird es meist aber nur, wenn etwas mit den Daten passiert. Denn wenn die Kundendaten beispielsweise durch einen Hackerangriff gestohlen werden, hängt das zu erwartende Bußgeld stark von den getroffenen Maßnahmen zur Vorbeugung ab“, erklärt Datenschutzexperte Kleine.
Aber auch der Vertrauens- und der damit einhergehende Rufverlust beim Endkunden sind gute Argumente, sich, wenn noch nicht geschehen, mit dem Schutz der anvertrauten Daten zu beschäftigen.

www.procova.de

Beispiele aus der Praxis zur Umsetzung der DSGVO
Verlassen des Büro-Arbeitsplatzes
Jeder Arbeitsplatz, von dem aus personenbezogene Daten zugänglich sind, muss mit einem Kennwort geschützt werden. Wenn der Schreibtisch nur kurz verlassen wird, ist der Rechner zu sperren (Windowstaste + L-Taste), sowie die ausgedruckten und handschriftlichen Dokumente zu verdecken. Bei längerer Abwesenheit vom Arbeitsplatz, muss der Raum oder alle Dokumente mit persönlichen Daten verschlossen werden.

Versenden von E-Mails
Beim Versenden von E-Mails an mehre Personen muss darauf geachtet werden, dass die E-Mail-Adressaten nicht offen zu sehen sind. Hier ist als einfachste Möglichkeit das sogenannte BCC (Blindkopie) zu nennen, welches jedes gängige Programm unterstützt. So erhalten die Adressaten zwar die E-Mail, sehen aber nicht, an wen die Kopien gehen. Zusätzlich ist eine verschlüsselte Übertragung zu empfehlen.

Einwilligungserklärung
Eine Einwilligungserklärung zur Datenverarbeitung wird in der Regel nur gebraucht, wenn keine andere Rechtsgrundlage greift. Zum Beispiel besteht bei einem Kundenkon­takt in der Regel ein Vertrag oder eine Vertragsanbahnung. Dies ist als Grundlage der Verarbeitung ausreichend und es muss keine Einwilligung abgefragt werden. Gleiches gilt beim Austausch von Visitenkarten.

Nachgefragt
IKZ-HAUSTECHNIK: Wie hoch schätzen Sie die Zahl der Versäumnisse in Bezug auf nicht angepasste Betriebsabläufe?  Oder anders gefragt: Wie viele Betriebe sind vermutlich den Anforderungen der DSGVO nicht nachgegangen?
Christoph Kleine: Aktuell sind ca. 30 % der Unternehmen im Bereich Datenschutz gut aufgestellt. 40 % haben sich zumindest mit dem Thema beschäftigt. Bei den restlichen 30 % ist leider noch gar nichts in Bezug auf die DSGVO passiert. Doch gerade im Handwerk schätzen wir die Dunkelziffer noch viel höher ein.

IKZ-HAUSTECHNIK: Nicht selten ist dem Vernehmen nach wahrzunehmen, dass sich Kleinbetriebe von der Umsetzungspflicht nicht angesprochen fühlen. Wie ist die Situation zu bewerten?
Christoph Kleine: Grundsätzlich fallen auch Kleinbetriebe unter die DSGVO und müssen den Schutz der persönlichen Daten ihrer Kunden und Geschäftspartner garantieren. In diesem Fall ist der Unternehmer als sogenannte ‚Verantwortliche Stelle‘ in der Pflicht und zumeist sogar persönlich haftbar. Doch das Thema bietet auch Chancen: So kann der Betrieb im Zuge der Umstellung auch die althergebrachten Prozesse prüfen und optimieren.

IKZ-HAUSTECHNIK: Die Umsetzung der DSGVO bereitet bestimmt vielen Betrieben Bauchschmerzen. Wie unterstützen Sie SHK-Betriebe?
Christoph Kleine: Das Ganze lässt sich einfacher bewerkstelligen als es den Anschein macht. Speziell für die SHK-Branche haben wir die Möglichkeit geschaffen, sich qualifiziert zu informieren. Dazu bilden wir die Geschäftsführer und Beschäftigten zu Datenschutzprofis aus. Bereits im Oktober starten wir mit unserer Trainings-Offensive in Form von zwei Roadshows durch ganz Deutschland. Zum einen bieten wir in Zusammenarbeit mit dem TÜV Rheinland einen Zertifikatslehrgang zum DSB an. Diese Tour startet am 15.10.2018 in Berlin. Die zweite Roadshow beinhaltet eine Fortbildung zur Datenschutzfachkraft des Handwerks. Dieser Kurs ist speziell auf die Anforderungen des Handwerks ausgerichtet und unterstützt die Betriebe bei der Umsetzung der DSGVO. Der Start ist hier ebenfalls in Berlin, jedoch am 17.10.2018. Beide Touren machen dann in Karlsruhe, Düsseldorf, Würzburg, Koblenz und in Ingolstadt halt. Weitere Informationen und Möglichkeit zur Anmeldung zu den Roadshows gibt es auf unserer Internetseite unter www.trainings-offensive.de.