Was die Datenschutz-Grundverordnung (DSGVO) verlangt: Am 25. Mai 2018 sind die Europäische Datenschutz-Grundverordnung sowie – hierauf aufbauend – das novellierte Bundesdatenschutzgesetz in Kraft getreten. Die Europäische Datenschutz-Grundverordnung gilt seitdem direkt in allen europäischen Mitgliedsstaaten und soll europaweit einen gleich hohen Standard in puncto Datensicherheit gewährleisten.
In Deutschland galt bisher schon ein sehr hohes Schutzniveau im Bereich der Datensicherheit, welches nunmehr faktisch in die Datenschutz-Grundverordnung transportiert wurde. Jedoch führt das Gesetz dennoch zu verschiedenen formellen und teilweise inhaltlichen Änderungen. Erheblich verschärft wurden die Vorschriften zu den Ordnungswidrigkeiten; bei Missachtung der Vorschriften drohen Bußgelder, im Höchstfall von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens.
Die Umsetzung datenschutzrechtlicher Vorschriften im Betrieb führt dann zu keiner Revolution, wenn man dies nach den Rechtsauffassungen des ZDH, der BVB und des ZVSHK sinnvoll mit den guten Umsetzungshilfen der Berufsorganisationen realisiert.
Schutz personenbezogener Daten
Wie bisher sind alle personenbezogenen Daten natürlicher Personen besonders zu schützen. Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte oder zumindest bestimmbare Person beziehen. Firmendaten fallen daher auch unter den Begriff der personenbezogenen Daten, beispielsweise dann, wenn man hierdurch Rückschlüsse auf eine natürliche Person schließen kann. Dies ist bei allen Einzelunternehmen der Fall (zum Beispiel eingetragener Kaufmann, Kleingewerbetreibender, Inhaber eines Sachverständigenbüros als natürliche Personen etc.), nicht aber bei juristischen Personen wie Aktiengesellschaften oder GmbHs, bei denen die Namen der Inhaber nicht Bestandteil der Firmenbezeichnung sind.
Nachdem Kunden- und Lieferantendaten immer einheitlich erhoben und gespeichert werden, bietet es sich an, diesen Datenbestand auch einheitlich nach den Kriterien zu behandeln, die für personenbezogene Daten natürlicher Personen gelten, um nicht differenzieren zu müssen.
Bespiele für personenbezogene Daten
Beispiele für personenbezogene Daten sind Informationen, wie der Name, das Alter, die Anschrift, das Geburtsdatum, Kontaktdaten (Anschrift, Telefonnummer, Faxnummer, E-Mail-Adresse), Zeugnisse oder persönliche Verhältnisse. Zu beachten ist insbesondere, dass auch Bilder und Digitalbilder sowie Texte und Dokumente, deren Inhalt natürlichen Personen zugeordnet werden können, als personenbezogene Daten gelten.
Nachdem auch alle personenbezogenen Daten, durch die natürliche Personen bestimmt werden können, unter den Schutzbereich fallen, ist auch die IP-Adresse eines Besuchers einer Homepage sowie die Steuer- oder Sozialversicherungsnummer und auch die Personalausweisnummer einer natürlichen Person in vollem Umfang geschützt.
Datenschutzrechtliche Erlaubnis in der Regel ausreichend
Eine Datennutzung ist grundsätzlich nur zulässig, wenn derjenige, dessen Daten verarbeitet werden sollen, in die Datennutzung einwilligt oder eine gesetzliche Vorschrift die Datennutzung erlaubt. Eine rechtmäßige Datennutzung setzt deshalb entweder eine gesetzliche Erlaubnis oder eine datenschutzrechtliche Einwilligung des Betroffenen voraus, die dann im Übrigen freiwillig und schriftlich erfolgen und jederzeit widerrufbar sein muss. Auch etwaige Kopplungsgeschäfte, die mit derartigen datenschutzrechtlichen Einwilligungen verbunden werden, sind gesetzlich nicht zulässig (Kopplungsverbot nach DSGVO).
Zur Abgrenzung, wann ein Handwerksbetrieb eine Einwilligung braucht und wann nicht, lässt sich schlagwortartig Folgendes ausführen: Immer dann, wenn die Daten auch zu weitergehenden Werbezwecken genutzt werden sollen, ist eine datenschutzrechtliche Einwilligung (mit Unterschrift des Kunden) erforderlich.
Vor allem insbesondere die Versendung eines regelmäßig wiederkehrenden Werbenewsletters benötigt immer die datenschutzrechtliche Einwilligung des Kunden im „Double-opt-in“-Verfahren. Der Kunde muss hierbei nicht nur seine personenbezogenen Daten auf einer Homepage oder einer E-Mail eingeben, sondern er erhält nach Eingabe nochmals eine Bestätigungs-E-Mail, die die Bestellung des Newsletters aufführt und die nochmals in Kenntnis seiner personenbezogenen Daten zu bestätigen ist.
Braucht man die Daten des Kunden aber lediglich „zur Erfüllung eines Vertrages“ (Na-mens- oder Anschriftenweitergabe an den Monteur zur Auftragsausführung) oder „zur Durchführung vorvertraglicher Maßnahmen“ (zum Beispiel zur Erstellung und Zusendung eines Angebotes), ist die Datennutzung nach Art. 6 Absatz 1 der DSGVO auch ohne datenschutzrechtliche Einwilligung (ohne Unterschrift des Kunden) zulässig. Dies gilt auch dann, wenn derjenige, der Daten erhebt, damit „berechtigte Interessen“ wahrt (zum Beispiel um den Kunden nach Ablauf einer Lebensdauer von Anlagen oder Anlagenteilen, die Gegenstand des vorangegangenen Auftrages waren, auf eine Erneuerung hinzuweisen). Allerdings muss auch in allen diesen Fällen die Informationspflicht nach Art. 13 und Art. 14 DSGVO in vollem Umfang eingehalten werden. Diese „ungefragte“ Informationspflicht des datenverarbeitenden Unternehmers im Zeitpunkt der Datenerhebung ist eine der wichtigsten Neuerungen der seit 25. Mai geltenden EU-weiten Datenschutz-Grundverordnung (DSGVO). Die Datenerhebung aufgrund gesetzlicher Ermächtigungsgrundlage reicht nicht mehr aus, wenn sie nicht auch transparent und nachvollziehbar durch eine Datenerhebungsinformation an den Betroffenen ergänzt wird. Liegt diese Information aber vollständig vor und ist auch ein Hinweis auf Direktwerbung enthalten, kann der Unternehmer auch Direktwerbung per Briefpost vornehmen. Eine schriftliche Einwilligung mit Unterschrift des Kunden ist hierfür auch bei Privatkunden/Verbrauchern in diesen Fällen dann nicht notwendig.
Einwilligungen für Werbung an Verbraucher: E-Mail, Fax, Telefon
Bei Privatkunden/Verbrauchern gelten – wie bisher – die wettbewerbsrechtlichen Vorgaben, die es einem Unternehmer auferlegen, für Werbung per E-Mail, Fax oder Telefon immer eine vorherige beweisbare Einwilligung des Privatkunden/Verbrauchers mit Unterschrift des Kunden einzuholen. Dies ergibt sich aus der ständigen Rechtsprechung zum Gesetz gegen den unlauteren Wettbewerb (UWG) und ist in der Praxis strengstens zu beachten, weil ansonsten Abmahnungen von Marktkonkurrenten vorgenommen werden, die zu hohen Kosten führen können.
Wegen des Beweiserfordernisses werden diese Einwilligungen in der Praxis durchweg in schriftlicher Form vom Unternehmer eingeholt. Für Innungsmitglieder hat der ZVSHK hierzu zur besseren Absicherung eine Mustereinwilligungserklärung für Privatkunden/Verbraucher erstellt, die über die Berufsorganisationen kostenfrei erhältlich ist.
Information bei Datenerhebung immer erforderlich
Personen, deren Daten verarbeitet werden, müssen nach Art. 13 und Art. 14 DSGVO hierüber immer vorab informiert werden. Hierzu sind den Betroffenen seit 25. Mai zahlreiche Informationen an die Hand zu geben, die das Gesetz auflistet. Im Einzelnen:
- Name und Kontaktdaten des Verantwortlichen
- Ggf. Kontaktdaten eines eingesetzten Datenschutzbeauftragten
- Verarbeitungszweck der Datennutzung
- Rechtsgrundlage der Datenverarbeitung
- Ggf. diejenigen Personen oder Kategorien von Personen, an die personenbezogene Daten weitergegeben werden
- Die Dauer der Speicherung
- Das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung
- Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.
Auch Zweckänderungen sind der betroffenen Person mitzuteilen. Es dürfen nur die für den Zweck tatsächlich erforderlichen Daten erhoben werden. Sie müssen sachlich richtig sein und dürfen nur für den Zeitraum gespeichert werden, der für den entsprechenden Zweck erforderlich ist. Bei Zweckerreichung sind die Daten zu löschen – es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. Auch hierüber ist der Betroffene vorab schon bei Datenerhebung zu informieren. Zudem ist die Sicherheit der Daten einerseits durch Sicherstellung der Vertraulichkeit und andererseits durch entsprechende technische und organisatorische Maßnahmen zu gewährleisten. Innungsmitglieder erhalten über die Berufsorganisation das Musterinformationsschreiben der Bundesvereinigung der Bauwirtschaft, das speziell auf die Gewerke der Bau- und Bauausbaugewerke zugeschnitten ist und insbesondere auch die Information zur Drittdatenweitergabe an Lieferanten, Sub- und Nachunternehmer oder Architekten und Fachplaner abdeckt.
Zeitpunkt und Art der Information bei Datenerhebung
Nach zutreffender ZDH-Auffassung sollte der betreffenden Person die Datenerhebungsin-formation spätestens bei der ersten Rückantwort auf eine Kontaktanfrage eines Kunden, die über den bloßen Austausch von sozialadäquaten „Höflichkeitsfloskeln“ hinausgeht, zur Verfügung gestellt werden. Bei Handwerks- oder Baubetrieben ist dies im Regelfall die Übersendung eines Kostenangebotes per E-Mail, Fax oder Brief an Kunden.
Auftragsverarbeitung
Wird die Datenverarbeitung durch einen externen Dritten (sog. Auftragsverarbeiter) ausgeführt, so muss der Betrieb, der die Daten zur Verarbeitung weitergibt, sicherstellen, dass die Daten datenschutzkonform verarbeitet werden. Beispiele für solche Auftragsverarbeitungen sind zum Beispiel der Hosting-Partner für eine Homepage, IT-Betreuung einer Homepage, Betreuung einer Homepage durch eine Werbeagentur mit Zugriffsrechten auf die Inhalte der Homepage, Cloud-Lösungen zur externen Ablage von Dokumenten und Daten oder die Durchführung einer externen Lohnbuchhaltung mit den personenbezogenen Daten der Arbeitnehmer, sofern dies außerhalb einer Steuerberaterpraxis stattfindet.
Bei Verstößen gegen die Datenschutzbestimmunen haften der Betrieb und der Auftragsverarbeiter gemeinsam. Jedoch trägt der Betrieb als verantwortliche Stelle die Verantwortung für die Einhaltung der gesetzlichen Vorschriften. Er muss daher nachweisen können, dass der Auftragsverarbeiter die entsprechenden technischen und organisatorischen Maßnahmen ergreift. Die Betriebe sollten daher mit ihren Auftragsverarbeitern gesonderte Vereinbarungen abschließen, die genau dies sicherstellen. Sicherlich wird man hierbei beim Umfang dieser Vereinbarungen sinnvollerweise bei den Kategorien besonders schützenswerter personenbezogener Daten (zum Beispiel Gesundheitsdaten und Religionszugehörigkeit) so wie von allgemeinen personenbezogenen Daten (zum Beispiel Name und Anschrift) zu unterscheiden haben.
In der nächsten SBZ
Teil II des Beitrags zum Datenschutz in der Praxis erscheint in der SBZ-Ausgabe 23 (am 30. November). Er greift unter anderem auf: die Dokumentationspflichten, das Thema betrieblicher Datenschutzbeauftragter, Datenschutzhinweise auf Homepages von Unternehmern, Abmahnungsgefahren, Maßnahmen zur IT-Sicherheit und das Vorgehen bei Datenpannen.
TIPP
Mustervorlagen
Muster für eine Auftragsverarbeitungsvereinbarung mit allen wichtigen Kerninhalten bietet der Zentralverband des Deutschen Handwerks (ZDH) unter dem Link:
https://www.zdh.de/ueber-uns/fachbereich-organisation-und-recht/datenschutz/
Detailinformationen zu ausführlicheren Auftragsverarbeitungsvereinbarungen, insbesondere für besonders schützenswerte Daten (zum Beispiel Gesundheitsdaten und Religionszugehörigkeit) stellt auch der IT-Branchenverband Bitcom und die Gesellschaft für Datensicherheit und Datenschutz (GDD) aus Leipzig bereit:
https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html
https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.html
Autor
Bild: FV SHK BW
Assessor Matthias Bergmann ist Referent des Fachverbandes Sanitär Heizung Klima Baden-Württemberg in Stuttgart. (07 11) 48 30 91 info@fvshkbw.de
Bei Verstößen gegen die Datenschutzbestimmungen drohen den datenverarbeitenden Unternehmer Geldbußen und Ärger mit der Datenschutzbehörde.
