Datenschutz, IT-Recht und IT-Sicherheit
Sechs Jahre nach Einführung der DSGVO tun sich manche Betriebe noch immer schwer damit, Adressen von Kunden, Lieferanten und Mitarbeitern hinreichend zu schützen. Auch Chefs kleiner Betriebe sind gefordert, um nicht als Datenquelle haftbar gemacht zu werden.
-
DSGVO 10 Schritte für mehr Sicherheit in Ihrem Unternehmen(PDF, 110,78 kB)
Volker Rößner führt die Rößner Maschinenbau GmbH, einen Metallbaubetrieb in Alsfeld im mittelhessischen Vogelsbergkreis. Das Unternehmen mit 70 Mitarbeitern stellt Maschinenteile in allen denkbaren Größen her. „Vom Schuhkarton bis zum Zehntonner ist alles dabei“, sagt der Chef, der mit seinem Team unter anderem Bauindustrie, Baumaschinenindustrie und Werkzeugmaschinenhersteller beliefert. „Vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) haben wir unsere Daten auch schon nicht frei zugänglich herumliegen lassen. Mit der neuesten Form der Zertifizierung nach ISO 9001 kommt auch der Datenschutz mit ins Spiel“, sagt Rößner.
Gemeinsam mit dem IT-Dienstleister habe er zunächst einen
Sicherheitscheck durchgeführt. „Wir prüften, ob unsere Firewall externen Zugriffen standhält“, erklärt er. Dann sah er sich nach einem Datenschutzbeauftragten um, der dank eines Tipps der örtlichen Bank schnell gefunden war. „Der externe Berater hat uns vor allem mit der Dokumentation unserer Maßnahmen geholfen“, erinnert sich Rößner. Der Service kostet ihn 150 Euro pro Monat. Kleine Pakete, die den Mindeststandard im Betrieb sicherstellen, gibt es schon ab 49 Euro.
Dass der Datenschutz nicht zum Nulltarif zu haben ist, bestätigt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder für Unternehmer bundesweit. „Die notwendigen Prozesse müssen ständig an neue Regelwerke und technische Möglichkeiten angepasst werden“, erklärt er. In der jüngsten Bitkom-Studie zum Thema gaben 77 Prozent der befragten Unternehmer an, dass die DSGVO einen dauerhaft höheren Aufwand verursache.
Datenschutz auch für Kleine
Doch wie geht das Handwerk mit der DSGVO um? Kay Bechara, Bereichsleiter Datenschutz der Innungsservice SdG GmbH in Nettetal in Nordrhein-Westfalen (NRW), berät mit seinen sechs Kollegen 140 Handwerksbetriebe im Auftrag von Kreishandwerkerschaften, Innungen und Fachverbänden in NRW, Niedersachsen und Hessen, in Berlin und Brandenburg – große, kleine, mittlere. „Wir kennen sie alle und wir stellen fest: Jeder Handwerker hat in seinem Betrieb noch immer offene Punkte.“ Was ihn vor allem beunruhigt: „Viele Betriebe denken tatsächlich, sie müssten sich darum gar nicht kümmern. Schließlich seien sie nur kleine Fische.“ Bechara nennt als Grund einerseits die missverstandene Vorgabe aus dem Jahr 2018, wonach Unternehmen mit weniger als zehn Mitarbeitern keinen Datenschutzbeauftragten bestellen müssten – was aber nicht gleichzusetzen sei mit der Aussage, ein Datenschutzkonzept müsse nicht geführt werden. Andererseits würde mancher Berater – ob Rechtsberater der Handwerkskammer oder Steuerprofi – dazu beitragen, dass Handwerker ihren Pflichten nach DSGVO nicht genug Aufmerksamkeit schenkten. „Es reicht nicht, die per Mail versandten Muster-Verarbeitungsverzeichnisse der Kammern – oft nur zwei Seiten – auszufüllen, in dem Glauben, nun sei alles erledigt“, moniert er.
„Vor allem gesundheitsspezifische Daten bringen Optiker, Friseure oder Kosmetikerinnen in Gefahr“, sagt Datenschutzprofi Bechara. Hier führe ein Verstoß direkt in eine intensive Ermittlung. „Landesdatenschutzbeauftragte haben natürlich Besseres zu tun, als kleine Betriebe anlasslos zu prüfen“, sagt Rechtsanwalt Rainer Robbel von den ETL Rechtsanwälten in Köln, der als Datenschutzbeauftragter die Anforderungen an Unternehmen kennt. „Kann der Unternehmer nach einem gemeldeten Verstoß nicht nachweisen, dass getroffene Maßnahmen datenschutzkonform waren, hakt die Behörde nach“, betont er. Zudem fänden durchaus branchenweite anlasslose Prüfungen zu bestimmten Themenbereichen statt. Die Betriebe würden nach dem Zufallsprinzip ausgewählt und erhielten Fragebögen, die sie innerhalb einer Frist zurücksenden müssen. Robbel fügt hinzu: „Dies kann jederzeit auch einen Kleinbetrieb treffen.“ Mit unangenehmen Folgen: Bußgelder könnten schnell mehrere Tausend Euro betragen. „Der Bußgeldrahmen der DSGVO sieht im Maximum 20 Millionen Euro vor oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, was höher ist“, erklärt der Jurist.
Verträge mit Software-Anbietern
Was aber bereitet Probleme? Eine von vielen Gefahren im Netz etwa sei, dass Softwareanbieter personenbezogene Daten für werbliche Zwecke abfischten. „Die IT-Firma hat – via Ferndiagnose oder indem sie Updates aus der Ferne aufspielt – permanent Zugriff auf die Kundenkartei und andere sensible Daten“, erklärt Bechara. Die der Geschäftsbeziehung zugrundeliegenden Klauseln formulierten diese dabei oft zuungunsten des Handwerksbetriebs. Gut zu wissen: „Betriebsinhaber können solche Verträge jederzeit widerrufen.“
Checkliste: Sind Ihre Daten Risiken im Netz ausgesetzt?
Unabhängig von der Größe des Betriebs müssen Handwerkschefs personenbezogene Daten in ihren Systemen schützen und die Risiken kennen, wie Datenschutzregeln umgangen werden. Etwa in diesen Fällen, die zu einer Haftung des Unternehmers führen:
- Kassenanbieter: Anbieter von Kassenlösungen stellen ihre Systeme vor allem im Friseur- und Kosmetikhandwerk zu sehr günstigen Abopreisen bereit. Der Betriebsinhaber gibt unter anderem gesundheitsspezifische Daten direkt in das Kassensystem ein, die Speicherung erfolgt in der Cloud des Kassenanbieters. Die Server stehen häufig in Asien, der Anbieter selbst sitzt in einem Drittland, die Administration wird in Deutschland durch Minimalbesetzung im Wechselbetrieb gewährleistet. Die günstigen Abopreise sollten Chefs aufhorchen lassen. Die Crux: Mit Unterzeichnung des vom Kassenhersteller ausgearbeiteten Vertragswerks willigt der Handwerker ein, dass Kundendaten für Kooperationspartner freigegeben werden.
- Kostenlose Websites: Auch hier haben die Anbieter und deren Server ihren Sitz in einem Drittland. In den bereitgestellten Kontaktformularen für die Firmenhomepage des Handwerksbetriebs lassen sich auch Dokumente für Bewerbungen, also Lebensläufe und Zeugnisse hochladen. Mit Unterzeichnung der Allgemeinen Geschäftsbedingungen bestätigt der Betriebsinhaber, dass er dem Website-Anbieter die Nutzung personenbezogener Daten erlaubt.
- Antivirensoftware/offene Netzwerke (WLAN): Über 60 Prozent aller Betriebe haben keine Antivirensoftware auf ihren Computern installiert, auch offene Netzwerke sind eine Gefahr für Hacker und Cyber-Kriminelle. Der Unternehmer ist aber verpflichtet, seine Systeme vor dem Zugriff Dritter zu schützen.
- Handwerkersoftware: Nutzt der Betrieb Handwerkersoftware und existiert dafür keine Absicherung der Daten durch einen Auftragsverarbeitungsvertrag, läuft der Unternehmer Gefahr, dass der Anbieter auf personenbezogene Daten zugreift. Softwareanbieter lassen sich die Datenfreigabe zur werblichen Nutzung per „Häkchen“ bestätigen. Auf Nachfrage erklären die Softwareanbieter, dass dies für die allgemeine Datenspeicherung notwendig sei.
Zugriff bringt Turbulenzen
Auch Handwerkschef Rößner hat Erfahrungen mit der Datenschutzbehörde gemacht. Über den Microsoft Exchange Server hätten Fremde mit Schadsoftware auf sein System zugegriffen, was bundesweit zehntausenden Unternehmern so erging. „Der Landesdatenschutzbeauftragte bat uns sicherzustellen, dass sich so ein Vorfall nicht wiederholt.“ Rößner konnte nachweisen, dass der Fehler nicht bei ihm lag, zudem spielte er umgehend die von Microsoft bereitgestellten Patches ein. Trotzdem ärgert er sich: „Nach wie vor sind die Betriebe Spielball von Anbietern wie Microsoft oder Apple, die den Markt dominieren.“ Robbel weiß Abhilfe: „Unternehmen können die Software eines anderen Anbieters oder Open-Source-Programme nutzen, um ungerechtfertigte Übermittlungen zu stoppen.“ Er führt weiter aus: „Es ist natürlich ein Unding, dass der Unternehmer den Zugriff nicht über die Einstellungen steuern kann und stattdessen Fremdprogramme nutzen muss.“ Er hebt dennoch die grundsätzlich positive Wirkung der DSGVO hervor: „Wir brauchen solche gesetzlichen Regeln, denn die Missbrauchsmöglichkeiten durch Datenklau sind riesig“, und ergänzt: „Selbst, wenn es Bereiche gibt, für die es noch keine Lösungen gibt.“ Die korrekte Umsetzung der DSGVO könne langfristig sogar zum Wettbewerbsvorteil avancieren: „Mit dem Wechsel von Generation Y zu Z ändert sich die Einstellung dazu. Junge Leute möchten im Netz sicher agieren und fordern dies aktiv ein.“
Es geht jedoch nicht nur um die Tücken der Digitalisierung: Chefs sollten sich für jeden Vorgang, in dem sie mit Adressen hantieren, Fragen nach der potenziellen Weiterverarbeitung stellen und in einem Konzeptordner dokumentieren. Rechtsanwalt Robbel weiß zudem aus der Praxis: „Ungemach droht vor allem, wenn Emotionen im Spiel sind.“ Ehemalige Mitarbeiter oder Lebenspartner und unzufriedene Kunden könnten in vermeintlichen Datenschutzverstößen eine Gelegenheit wittern, der Gegenseite etwas heimzuzahlen und sich bei der Behörde zu beschweren.
Anleitung: Konzeptordner anlegen mit fünf Verzeichnissen
Um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, halten Chefs diese Dokumentationen in einem Konzeptordner aktuell. Nebeneffekt: Beim Durchgehen der Punkte zeigt sich schnell, wo die Schwachpunkte im eigenen Betrieb liegen.
- Verzeichnisse der Verarbeitungstätigkeiten
Hier sind die verschiedenen Verarbeitungsvorgänge aufzuführen, etwa die Kundenkartei, die Daten aus der Lohnbuchhaltung, die Personalführung, Kundendaten zur Vertragserfüllung, Bewerbungsverarbeitung (selbst wenn es aktuell keine Neueinstellungen gibt), Interessenten (Daten von möglichen Auftraggebern, die im Zuge der Angebotserstellung angeschrieben werden), Vertreter, Lieferanten, Geschäftspartner, Software, Digitales, Medien (etwa die Website). - Auftragsverarbeitungsverträge (AVV)
Mit allen Geschäftspartnern und Subunternehmern werden in der Regel auch Daten ausgetauscht. Verarbeitet ein Dienstleister des Handwerkers personenbezogene Daten im Zuge eines Auftrags, ist nach DSGVO der Abschluss eines Auftragsverarbeitungsvertrags geboten. Das kann etwa der Vertrag mit dem Softwareanbieter sein, der sich per Ferndiagnose auf die Rechner im Betrieb einloggt, der mit dem Webhostinganbieter oder mit dem Subunternehmer. Mit den AVV garantieren die Partner-Unternehmen, dass sie mit zur Verfügung gestellten Daten sorgsam umgehen. - Dokumentation der Mitarbeiterunterweisung
Nach DSGVO sind Mitarbeiter regelmäßig hinsichtlich ihrer Datenschutzpflichten im Betrieb zu unterweisen. Ort, Zeit und Art der Unterweisung ist im Konzeptordner zu dokumentieren. Erfolgt die Unterweisung mit Dokumentation nicht, ist bei einem Verstoß der Unternehmer in der Haftung, erfolgte eine Unterweisung, kann der Mitarbeiter verantwortlich gemacht werden. - Löschkonzepte
Unter diesem Punkt dokumentiert der Unternehmer, dass personenbezogene Daten rechtzeitig und rechtskonform gelöscht werden, also wenn der Erhebungszweck erreicht oder weggefallen ist, keine gesetzlichen Aufbewahrungspflichten mehr bestehen und das Unternehmen kein besonderes berechtigtes Interesse an der weiteren Speicherung mehr hat. - Technische organisatorische Maßnahmen
Mit der Dokumentation der ergriffenen Technischen Organisatorischen Maßnahmen (TOM) weist der Unternehmer nach, dass er alles Erforderliche getan hat, um ein dem Risiko angemessenes Schutzniveau für die ihm zur Verfügung gestellten Daten zu gewährleisten: durch Zutrittskontrolle (Unbefugte erhalten keinen physischen Zutritt zum Serverraum); Zugangskontrollen (Verschlüsselungen, Mehr-Faktor-Authentifizierung oder Passwordvergaben); Zugriffskontrollen (Berechtigungskonzepte, die verhindern, dass Unbefugte Daten kopieren oder löschen); Verschlüsselung (keine Zugriffsmöglichkeiten bei Datenübertragung); Verfahrenskontrolle (Protokolle, die jeden Zugriff auf Daten sowie Änderungen oder Löschungen nachvollziehbar machen); Trennungskontrolle (Filtermöglichkeiten, um Löschungen vorzunehmen und zu garantieren, dass aus unterschiedlichen Gründen erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden); Pseudonymisierung – etwa die Löschung von Adressdaten in Angeboten, die für spätere Anfragen archiviert werden; Evaluierung – Überprüfung und Bewertung der Wirksamkeit der TOM.
Mit Profi an der Seite
Wie aber können bislang untätige Chefs die DSGVO gezielt umsetzen? Robbel und Bechara sind sich einig, dass auch kleine Betriebe kaum ohne Profi-Unterstützung zurechtkommen. Ausgebildete Profis besäßen Wissen und Infrastruktur, man könne sie haftbar machen, wenn sie nicht sauber arbeiteten. „Zweifelsohne gibt es gute Schulungen, aber wer hat die Zeit, sich so intensiv damit zu befassen?“, so Robbel. Unternehmer Rößner gibt zu, dass der Datenschutz auch ihn Zeit gekostet hat, auch wenn „alles halb so wild“ war. Inzwischen betreibt er Datenschutz permanent im Standby-Modus, parallel helfe ihm die Sicherheitsarchitektur, überholte Prozesse rasch zu aktualisieren.
DSGVO: Was Unternehmen bremst
Was sind die größten Herausforderungen bei der DSGVO-Umsetzung in Ihrem Unternehmen? Das fragte der Branchenverband Bitkom Unternehmen bundesweit.