Zwischenzeitlich sollte auch jeder Handwerksbetrieb die Datenschutzgrundverordnung kennen. Die -DSGVO des Europäischen Parlaments und des Rates der Europäischen Union markiert eine Zäsur u. a. bei der Verarbeitung von personenbezogenen Daten. Welche Risiken gibt es gerade im IT-getriebenen Elektrohandwerk? Das kann etwa die Speicherung bzw. den Umgang von Kundendaten, sensible Mitarbeiter-daten (auch Mitarbeitersuche) oder die eigene Website betreffen.
Die Datenschutzgrundverordnung – ein EU-weites Grundrecht
Die am 27.4.2016 verkündete DSGVO ist – wegen einer Umsetzungs- bzw. Schonfrist – seit dem 25.5.2018 anzuwenden (Bild 1). Sich auf »Nicht-Wissen« zu berufen, ist seither ausgeschlossen. Handwerksbetriebe haben tagtäglich mit Kunden zu tun – und damit mit Kundendaten. Diese lassen sich im Zweifel auch missbrauchen, abgreifen oder in bare Münze verwandeln. Dass Kunden zwischenzeitlich vorsichtig werden, vielleicht einmal mehr nachfragen, sollte nicht negativ aufgefasst werden. Denn die DSGVO ist auch bei Kunden angekommen, und sie achten vermehrt auf ihre Daten. Zudem agieren Elektrohandwerksbetriebe nicht allein, zumeist sind mehrere Zulieferer, diverse Drittanbieter und ggf. Subunternehmer involviert.
Trotzdem verengt sich der Blick bei vielen, die sich mit der DSGVO befassen, auf mögliche Einschränkungen und potenzielle Sanktionen. Das wird der Thematik nicht gerecht. Einer der »Gründe« der DSVGO (Satz 13) lautet: »Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, -beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie -eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet.« Und zudem: Artikel 4, Begriffsbestimmungen, Satz 2 besagt: »Im Sinne dieser Verordnung bezeichnet der Ausdruck »Verarbeitung« jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung«.Die deutsche Fassung der DSGVO umfasst 88 Seiten. Wahrscheinlich lesen wenige den gesamten originalen Text. Es wäre aber notwendig, sich unaufgeregt mit dem Thema zu befassen. Die DSGVO gibt Handlungsanweisungen vor. Dass eine neue gesetzliche Verordnung auch die Gerichte beschäftigt, ist keinesfalls ungewöhnlich, sondern eher die Regel. Gerichte heben auf den Einzelfall ab oder weisen die Richtung für allgemeines Rechtsverständnis, manchmal erst in höheren Instanzen.Oftmals hilft es, die Perspektive zu wechseln. Personen in Handwerksbetrieben sind einerseits u. a. verantwortlich für das Handling von Daten und andererseits selbst auch Individuen, die auf ihren eigenen Datenschutz achten und diesen zu Recht einfordern (Bild 2). Sollte eine Datenschutzverletzung vorliegen, etwa eine Kompromittierung oder ein unbefugter Zugriff auf personenbezogene Daten, muss ein Unternehmen diese Vorfälle gemäß § 33 Abs. 1 DSGVO innerhalb von 72 Stunden den zuständigen Datenschutzbehörden gemeldet und der Sachverhalt konkret dargelegt bzw. beschrieben werden. Ebenso gilt es, die Betroffenen rechtzeitig und umfassend zu informieren (Bild 3).Kritische Punkte dreier Kernbereiche der DSGVO werden im Folgenden beleuchtet: Die Speicherung bzw. der Umgang von Kundendaten, das Handling sensibler Mitarbeiterdaten bzw. von Bewerbern sowie die eigene Website eines Handwerksbetriebs.
Kundendaten erheben, verarbeiten und löschen
Handwerksbetriebe neigen dazu, viele Kundendaten zu erheben und zu speichern. Ein essenzieller Sachverhalt, der oftmals vergessen wird, ist das Löschen der Daten.
Kundendaten entstehen z. B. über Anfragen per Mail, Telefonate oder Visitenkarten etc. Die Daten umfassen meist Name, Adresse, Telefonnummer und E-Mail-Adresse. Im Nachgang werden die Daten gerne digitalisiert, lokal und / oder einer Cloud gespeichert. Laut DSGVO darf jedoch unaufgefordert bzw. ohne Zustimmung keine Speicherung etwa in einer Kundenliste stattfinden, ebenso darf kein Newsletter und keine Werbung etc. versandt werden. Wird aus den jeweiligen Kontakten oder Anfragen kein Auftrag generiert, gilt es die Daten zu löschen (E-Mails etc.). Oder eine Option: Regelkonform handelt, wer nach Erhalt der Daten die betreffende Person in einer E-Mail anschreibt und um schriftliche Einwilligung zur Speicherung und Verarbeitung der Daten bittet. Zudem gilt es, die jeweiligen Zwecke einzeln aufzulisten, für die man die Daten verwenden möchte. Nicht zu vergessen ist die Angabe einer Zeitdauer, also wie lange die Daten gespeichert werden sollen (z. B. ein oder zwei Jahre). Das mag umständlich klingen, aber im eigenen Fall will ein Handwerksbetrieb auch nicht mit Werbung oder Spam geflutet werden oder möchte die Daten seiner Mitarbeiter offen zugänglich im Internet wiederfinden. Zwar lässt sich alternativ eine mündliche Zustimmung einholen, hierbei fehlt jedoch später der Nachweis. Und wer von einem Kunden die Aufforderung erhält, seine E-Mail nicht für Werbezwecke zu nutzen oder sie zu löschen, sollte diesem Ansinnen unverzüglich nachkommen. Abonniert ein Kunde einen Newsletter, muss er nicht hinnehmen, dass dieser zeitlich unbegrenzt bei ihm landet. In jedem muss sich ein Link befinden, zumeist am Fuß, mit dem Hinweis auf Abbestellung. Dieser Aufforderung hat ein Unternehmen gleichfalls Folge zu leisten.Kundendaten sind sensibel – oftmals werden Dateien mit eigenen positiven oder negativen Bemerkungen / Eindrücken angereichert oder Informationen zur Zahlungsbereitschaft / Bonitätseinschätzungen kommen hinzu. Das ist nicht unkritisch. Dass eine Kundenliste ein aufschlussreiches, wertvolles Gut sein kann, ist bekannt – ihr gebührt die nötige Sorgfalt. Und nebenbei: Kunden-/Kontaktdaten gehören dem Betrieb und nicht einem Mitarbeiter. Hilfreich kann also ein Abspeichern in geschützten, zugriffsbeschränkten Ordnern sein. Und selbstverständlich sollten u. a. regelmäßige externe Backups sowie das zeitnahe Einspielen von Updates erfolgen. Gerne wird die Buchhaltung in die Cloud verlagert oder Teile an eine Steuerkanzlei übertragen. Beide sind sogenannte Auftragsverarbeiter der Daten – für sie gilt die -DSGVO gleichermaßen. Sowohl der Nutzer der Cloud als auch der Provider der Cloud haben den Nachweis zum DSGVO-konformen Datenschutz zu erbringen. Jeder Cloud-Provider sollte diese Garantien vertraglich schriftlich zusagen, so auch bei spezieller kaufmännischer Software für das Handwerk. Dass Angebote, Projektabwicklungen und Daten für das Finanzamt separiert werden müssen, versteht sich von selbst. Dateien zu persönlichen Daten zur Kundenpflege oder gar Kundenprofile haben dort nichts verloren.
Handling sensibler Mitarbeiterdaten
Handwerksbetriebe suchen Mitarbeiter zwischenzeitlich an vielen Orten, das kann Social Media, diverse Jobbörsen oder der klassische Weg über Anzeigen etc. sein. Die Offenlegung eines Lebenslaufes und vieler weiterer Informationen etwa in Portalen wie Xing heißt nicht, dass jemand mit der Sammlung und Speicherung seiner Daten einverstanden ist. Wer schließlich einem potenziellen Arbeitgeber Zeugnisse einreicht, geht von strikter Vertraulichkeit aus. Bei direkt zugeschickten Nachweisen wie Zeugnissen gilt es also, besondere Umsicht walten zu lassen. Sie enthalten weit mehr sensible Daten. Diese nun selbst über Messenger-Dienste an betriebsinterne Kollegen weiterzuschicken, etwa mit der Bitte um Einschätzung, ist nicht ratsam (z. B. WhatsApp). Übrigens: Sobald Daten über -eine Software aus dem EU-Ausland den europäischen Raum verlassen, sehen das Gerichte in aller Regel kritisch. Dazu später mehr.
Im Arbeitsrecht gibt es kein eigenes Gesetz zum Datenschutz. Einzelne Regelungen finden sich in unterschiedlichen Gesetzen. Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt bzw. präzisiert die DSGVO dort, wo den EU-Staaten nationale Regelungen überlassen sind. Das BDSG, aktuelle Fassung geltend ab 25.5.2018, befasst sich u. a. mit der Bearbeitung von Beschäftigtendaten (§ 26). Ergänzend gibt es in Deutschland Landes-datenschutzgesetze. Gemäß BDSG ist die vorherige und freiwillige Einwilligung eine Voraussetzung für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Dies gilt auch für Bewerbungen. Zur Software – schließlich findet die personenbezogene Datenverarbeitung u. a. damit statt: Bei diversen Hinweisen zur DSGVO und Software bzw. der Nutzung von Clouds findet sich dieser oder ein ähnlicher Satz »Vorsicht bei Software aus dem EU-Ausland«. Es gibt Software aus dem EU-Ausland, die ausdrücklich die DSGVO berücksichtigt bzw. konform zu ihr geht. Und es gibt solche, die das zwar deklarieren, aber entgegengesetzt handeln, also etwa Daten bewusst »abfließen« lassen oder »absaugen«. Manchmal ist sogar eine Nutzung der Software (einschließlich Apps) nur möglich, wenn der Datenzugriff vom Nutzer implizit oder explizit gestattet wird.Ob der Einsatz einer speziellen Software ohne Abstriche datenschutzkonform ist – hierbei kann sich ein Handwerksbetrieb nicht immer auf offizielle Stellen beziehen (vgl. Bundes-datenschutzbeauftragter, das BSI – Bundesamt für Sicherheit in der Informationstechnik und andere). Die Softwarenutzung erfolgt dann unter Inkaufnahme eines gewissen unternehmerischen Risikos. Auf der voraussichtlich sicheren Seite ist ein Handwerksbetrieb dann, der Software-Anbieter die DSVGO-Konformität schriftlich zusichert. Manche Handwerksfirmen nutzen aus Praktikabilitätserwägungen heraus etwa den Instant Messenger Dienst WhatsApp für die tagesaktuelle Einsatzplanung (WhatsApp zugehörig zu Facebook / Meta). Die Kommunikation der Mitarbeiter untereinander ist noch vergleichsweise unkritisch. Problematisch wird es dann, wenn die Kundendaten dort zur Kontaktaufnahme notiert sind – in dem Fall müsste man die Kunden auf die Nutzung von WhatsApp hinweisen und die vorherige Zustimmung – schriftlich – einholen. Im Falle eines Falles wendet sich ein Kunde stets an den Handwerksbetrieb, der die Datenschutzverletzung begangen haben soll oder zu verantworten hat und nicht etwa an das Softwareunternehmen (ihm ja zumeist unbekannt). Denn ein Handwerksbetrieb hat dafür Sorge zu tragen, dass er datenschutzkonforme Software einsetzt. Dieser kann dann seinerseits versuchen, etwaige hohe Strafzahlungen beim Softwareunternehmen einzuklagen, das ihm ein rechtskonformes Programm zugesichert hat – ein teures, langwieriges Unterfangen mit unklarem Ausgang.
DSGVO bei der firmeneigenen Website
Dass die Bemerkungen zur Software keine Geisterdiskussionen sind, zeigt u. a. folgendes Urteil: Das Landgericht München hat in einem Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass sich der Einsatz von Google Fonts auf Webseiten nicht mehr auf die »berechtigten Interessen« des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO stützen lässt, sofern sie über externe Google-Server eingebunden sind. Nun gilt es, stets eine Einwilligung des Nutzers einzuholen. Andernfalls können Webseitenbetreiber bei Verstoß auf Unterlassung und Schadensersatz verklagt werden. Die dringende Empfehlung: Google Fonts lokal einzubinden. Also die Schriften herunterladen und für den Besucher vom eigenen Server und nicht jenen von Google-Servern in den USA laden. Dann werden keine Daten des Besuchers an Google als Drittanbieter gesendet.
In den pflichtgemäßen Datenschutzbestimmungen einer jeden Website (»Datenschutz« zumeist am Fuß einer Website), findet sich in der Regel der Terminus »berechtigtes Interesse«. Wer das durchliest, wird oftmals erstaunt sein, wie viele Drittanbieter, Tracking-/ Tracing-Tools, Marketing- und Co-Marketing-Anbieter u.v.m. sich finden. Ihnen allen fließen eine Unmenge an personalisierten Daten zu – bei jedem Webseitenbesuch. Auch wer den Bannern nicht zustimmt, kann nicht davon ausgehen, dass dieser Aufforderung Rechnung getragen wird. Um es eindeutig zu formulieren – wenn ein Handwerksbetrieb eine eigene Website aufsetzt oder diese beauftragt, ist der Handwerksbetrieb als Webseitenbetreiber verantwortlich. Dieser bestimmt, ob etwa Google Analytics eingesetzt wird oder all die vielen »Helferlein«. Ein beauftragtes Marketing-/ IT-Unternehmen wird natürlich viele Optionen ausspielen wollen. Da sollte man detailliert nachfragen und selbst entscheiden, ob und welche für den eigenen Handwerksbetrieb überhaupt zweckmäßig und sinnvoll sind. Und oft meint man mit dem Begriff »berechtigtes Interesse« vieles rechtfertigen zu können. Also den Art. 6. Abs. 1 lit f DSGVO, auf den sich Unternehmen regelmäßig beziehen, um der individuellen Einwilligung eines jeden Kunden zu entgehen. Datenschutzbeauftragte der Bundesländer werden inzwischen vermehrt aktiv und schieben missbräuchlichen »berechtigten Interessen« einen Riegel vor. Dass kleinere Handwerksbetriebe derzeit noch nicht im Fokus der Datenschutzbeauftragten sind, heißt nicht, dass sie unter dem Radar frei agieren können. Es reicht ein einzelner Beschwerdeführer, der selbst tätig wird oder sich einen Anwalt nimmt.Wer mit »Baukästen-Anbietern« eine Website gestaltet, ist dann auf der voraussichtlich sicheren Seite, wenn er auf Baukästen zurückgreift, die weitestgehend auf die Weiterleitung der Daten außerhalb der EU verzichten.
Recht auf Vergessenwerden
Ein zentrales Recht ist das »Recht auf Vergessenwerden« und ist in der Überschrift von Artikel 17 der DSGVO so wörtlich gefasst. Es meint grob, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Für einen Verantwortlichen gilt, dass er die Daten ohne Aufforderung löschen muss, sofern die Rechtsgrundlage für die weitere Verarbeitung entfallen ist (davon unberührt sind gesetzliche Aufbewahrungspflichten). Bei Bewerbungen gilt etwa folgendes: Wird eine Stelle nicht besetzt oder ist der Bewerber nicht geeignet, entfällt der Zweck Stellenbesetzung und die Daten sind spätestens nach sechs Monaten nach der Absage vollständig und datenschutzkonform zu löschen oder zu vernichten (Papier). Dies gilt für alle Personen, die etwa per E-Mail, die Bewerbungsunterlagen erhalten haben. Möchte ein Unternehmen die Bewerbungsunterlagen länger aufbewahren (z. B. ein Jahr), weil ein Bewerber interessant ist und in einer weiteren Runde infrage kommen könnte, benötigt ein Betrieb die schriftliche Einwilligung des Bewerbers.
Datenschutzbeauftragter
Nach der aktuellen Fassung der Bundes-datenschutzgesetzes (BDSG) muss ein Betrieb einen Datenschutzbeauftragten bestellen, wenn mehr als 20 Mitarbeiter ständig mit der Datenverarbeitung befasst sind. Ein interner Datenschutzbeauftragter darf dabei weder der Geschäftsführung angehören noch sollte er Leiter der EDV- oder Personalabteilung sein. Denn sie sind für die Datenverarbeitung verantwortlich und würden sich sonst selbst kontrollieren. Alternativ lässt sich ein externer Datenschutzbeauftragter beauftragen.
Handwerkskammern bieten eine Einstiegsberatung durch Experten. Sie geben auch Hinweise zu Schulungen und Webinaren, denn auf diesem Markt tummeln sich nicht nur seriöse Firmen. Auch zur Auswahl eines externen Beauftragten geben sie mögliche Kriterien vor. Und ein Hinweis: Auch wenn es laut BDSG keines Datenschutzbeauftragten für kleinere Betriebe bedarf – die DSGVO ist ausnahmslos anzuwenden. -
Für Schnellleser
Die DSGVO gilt seit gut fünf Jahren, und Kunden gehen zunehmend sensibel mit ihren Daten um Bei Datenschutzverstößen drohen empfindliche Strafen, auch Handwerksbetriebe können hier nicht »unter dem Radar« agieren
Graph: Autorin: Dr. rer. nat. Monika A.I. Schumacher, Integral Dr. Schumacher, Berater mit Schwerpunkt auf Technikkommunikation (B2B) sowie Wissens- und Entscheidungsmanagement
Graph: Bild 1: Die DSGVO gilt inzwischen seit gut fünf Jahren
Graph: Bild 2: Oberste Prämisse laut DSGVO: »Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung«
Graph: Bild 3: Bei Datenschutzverstößen muss ein Unternehmen diese Vorfälle innerhalb von 72 Stunden den zuständigen Datenschutzbehörden melden
Graph: Quelle: Pixabay (alle)