Neuer Werkzeugkasten der Cybersicherheit

Kontakt Login

Bundesverband
Rollladen + Sonnenschutz e.V.

Neuer Werkzeugkasten der Cybersicherheit

Die Initiative „IT-Sicherheit in der Wirtschaft“ hat eine Vielzahl kostenfreier Hilfestellungen auf einer Website zusammengetragen – vom Schwachstellen Scanner bis zum Selbstcheck. Mit der Initiative IT-Sicherheit in der Wirtschaft unterstützt das Bundesministeriums für Wirtschaft und Klimaschutz Unternehmen darin, ihre IT-Sicherheit zu verbessern. Insbesondere kleine und mittelständische Unternehmen (KMU) werden für das Thema sensibilisiert und durch konkrete Hilfsangebote bei der Erhöhung ihres IT-Sicherheitsniveaus unterstützt. Hier geht es zum Werkzeugkasten: Mittelstand Digital – IT-Sicherheit in der Wirtschaft (mittelstand-digital.de)

Management von Cyber-Risiken

Cyber-Sicherheit ist Chefinnen- und Chefsache! Sichere Digitalisierung gelingt, wenn die Unternehmensleitung ein Grundverständnis für die Risiken im Bereich Informationssicherheit entwickelt. Das Handbuch des Bundesamtes für Sicherheit in der Informationstechnik bietet einen Überblick sowie Handlungsempfehlungen zum Umgang und der Bewertung von Cyber-Risiken.

Weitere Informationen gibt es auf der Webseite der Allianz für Cybersicherheit unter: ACS – Management von Cyber-Risiken (allianz-fuer-cybersicherheit.de)

Sicher digital unterwegs mit der SiBa-App

Medien warnen regelmäßig vor Sicherheitslücken oder Computerviren. Was für die eigene Situation wirklich relevant ist, können viele Verbraucher und auch kleinere Betriebe allerdings oft schwer erkennen. Hier hilft das DsiN-Sicherheitsbarometer (SiBa), das es seit 2015 auch als kostenfreie Mobile App für Android, iOS und Windows Phone gibt.

Das Sicherheitsbarometer informiert über Spam-Wellen, Viren, kritische Sicherheitslücken und andere Bedrohungen der digitalen Sicherheit in verbreiteten Programmen und Diensten. Gleichzeitig stellt die App erste Handlungsempfehlungen und Sicherheitstipps bereit. Um die individuelle Gefährdungslage besser einschätzen zu können, unterscheidet die App einzelne Meldungen nach dem Ampelsystem in Grün, Gelb und Rot.

Auf Wunsch informiert die App per Push über neue Meldungen. Mit verschiedenen Filtern lassen sich die Benachrichtigungen zudem auf spezielle Themenbereiche eingrenzen. Meldungen können auch direkt an Freunde und Bekannte weitergeleitet werden.

Das Sicherheitsbarometer wurde gemeinsam mit Mitgliedern und Partnern im Rahmen des IT-Gipfels der Bundesregierung initiiert. Unterstützt wird das Angebot vom DsiN-Mitglieder Deutscher Sparkassen- und Giroverband. Weitere Partner sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt.

Weitere Informationen gibt es auf der Webseite Sicher im Netz: SiBa-App: Das DsiN-Sicherheitsbarometer | Deutschland sicher im Netz (sicher-im-netz.de)

Rollladen- und Sonnenschutzportal – Schärfen Sie Ihr Unternehmensprofil

Eine neue Generation der Endkundeninformation

Schärfen Sie in fünf einfachen Schritten Ihr Unternehmensprofil auf dem Rollladen- und Sonnenschutzportal www.rollladen-sonnenschutz.de (Fachbetriebssuche).

  • Sie möchten Ihren Firmeneintrag in der Fachbetriebssuche aufwerten?
    Schärfen Sie Ihr Unternehmensprofil, indem Sie Ihr Firmenlogo und Ihre
    Bilder aktualisieren. Das Rollladen- und Sonnenschutzportal ist nun für eine
    hochauflösende Darstellung optimiert.
  • Sie möchten einen Tag der offenen Tür oder eine Rabatt-Aktion bekannt
    geben? Sie können nun mehrere Aktionen und Veranstaltungen im Voraus
    planen und einstellen.
  • Sie suchen neue Mitarbeiter oder Auszubildende? Kein Problem: Sie können nun Stellenangebote einstellen, die automatisch in der bekannten Suchmaschine für Stellenagebote Indeed gelistet werden. Darüber hinaus wird Ihr Stellenangebot auch auf der Homepage des BVRS und auf der Informationsseite zum Ausbildungsberuf des Rollladen- und Sonnenschutzmechatronikers gelistet.

Ihr Profil im Rollladen- und Sonnenschutzportal und in der Fachbetriebssuche bleibt für Sie als Mitglied im BVRS selbstverständlich kostenfrei.

Wie das alles funktioniert, erfahren Sie in dem nachfolgenden Hilfedokument:

Tipps Zum RS-Portal
Tipps Zum RS-Portal
Tipps-zum-RS-Portal.pdf

IT-Grundschutz für Handwerksbetriebe

Routenplaner – Cyber-Sicherheit für Handwerksbetriebe

Der Routenplaner „Cyber-Sicherheit im Handwerk“ zeigt Wege auf, wie kleine und mittelständische Unternehmen das Thema Informationssicherheit zielgerichtet angehen und umsetzen können. Er weist konkrete Sicherheitsmaßnahmen und Handlungsempfehlungen – zu konkret für das Handwerk relevanten IT-Fragestellungen – aus und dient dabei als praktisches Handbuch, welches den Anwender Schritt für Schritt durch die für den jeweiligen Handwerksbetrieb relevante IT-Sicherheitsmaßnahmen führt.

Die Basis für dieses Handbuch bildet das „IT-Grundschutz-Profil für Handwerksbetriebe“, herausgegeben vom Zentralverband des deutschen Handwerks (ZDH). Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eine seit Jahren bewährte Methodik, um das Niveau der Informationssicherheit in Betrieben jeder Größenordnung zu erhöhen. Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept, das als Schablone für Betriebe mit vergleichbaren Rahmenbedingungen dienen kann.

Der Routenplaner wurde von ExpertInnen aus den Handwerksorganisationen, dem BSI und dem Kompetenzzentrum Digitales Handwerk (KDH) – ein Förderprojekt des Bundesministeriums für Wirtschaft und Energie – zur praktischen Anwendung des „IT-Grundschutzprofils für Handwerksbetriebe“ entwickelt. Die Anwender können anhand von drei Routen ihren individuellen Sicherheitsprozess gemäß IT-Grundschutz des BSI bedarfsgerecht gestalten.

Was ist das IT Grundschutzprofil für Handwerksbetriebe?

Die Digitalisierung stellt Handwerksbetriebe vor verschiedene Herausforderungen. Speziell das Thema Informationssicherheit hat nicht den Stellenwert, den es auf Grund zunehmender Cyberangriffe, auch auf Handwerksbetriebe, haben müsste. Oft fehlt es in den Betrieben an den entsprechenden Fachkenntnissen, der Zeit und zielgruppenspezifischen Hilfestellungen.

Das „IT-Grundschutz-Profil für Handwerksbetriebe“ soll einfache Wege aufzeigen, wie Betriebe das Thema IT-Sicherheit zielgerichtet angehen und umsetzen können. Es bildet das Beispiel eines Betriebes unabhängig vom Gewerk ab. Dadurch stehen möglichst vielen Handwerksbetrieben Anregungen für die Erhöhung der Informationssicherheit zur Verfügung. Ausgehend von vier als relevant betrachteten Geschäftsprozessen umfasst es u. a.

  • eine Liste der relevanten Zielobjekte (Anwendungen, IT-Systeme sowie Räumlichkeiten), die es zu schützen gilt,
  • eine Zuordnung der dazu passenden IT-Grundschutz-Bausteine mit Anforderungen und Umsetzungshinweisen sowie
  • Empfehlungen zur Umsetzungsreihenfolge.

Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten

1. „Landkarten“ als Entscheidungsgrundlage für die Unternehmensleitung und „Umsetzungs-Fahrplan“ für IT-Fachleute.

2. Der Routenplaner „Cyber-Sicherheit für Handwerksbetriebe“: Anschauliche Routenpläne und zielgruppengerechte Arbeitshilfen führen auf die für Handwerksbetriebe maßgeblichen IT-Grundschutz-Bausteine und dazu passenden Umsetzungshinweise des BSI in der jeweils aktuellen Edition. Handwerksbetriebe können so ihren individuellen Sicherheitsprozess nach IT-Grundschutz des BSI bedarfsgerecht gestalten.

Download

Routenplaner Cyber-Sicherheit für Handwerksbetriebe
IT-Grundschutzprofil für Handwerksbetriebe

Datenschutzgrundverordnung DSGVO

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher. Sie muss trotzdem erstgenommen und innerbetrieblich zur Chefsache gemacht werden, da bei Verstößen erhebliche Strafen drohen.

Handwerksbetriebe müssen also sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. R+S wird daher in dieser und in den kommenden Ausgaben die für die handwerkliche Praxis wichtigsten Aspekte und Fragen zusammenstellen und Handwerksbetrieben einen vertieften Überblick sowie das notwendige Rüstzeug zu geben, die jeweiligen betrieblichen Abläufe an die Anforderungen des neuen Datenschutzrechts anzupassen.

Zulässige Datenverarbeitung ohne Einwilligung

Jeder Betrieb steht im Kontakt mit Kunden und Lieferanten, von denen er zumindest E-Mail-Adressen und Telefonnummern speichert; er verarbeitet also personenbezogene Daten. Und damit muss er sich schon den verschärften Anforderungen des Datenschutzrechts stellen – ob er will oder nicht. Natürlich liegt der Gedanke nahe „Der Kunde will doch etwas von mir, also muss ich doch seine Daten haben“. Trotzdem muss das Thema (mutmaßliche) Einwilligung mit Sorgfalt behandelt und durchaus differenziert betrachtet werden.

Wann also ist die Nutzung von Daten überhaupt erlaubt?

Eine Datennutzung ist nur zulässig, wenn  eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt (siehe hierzu unten „Anforderungen an die datenschutzrechtliche Einwilligung“).

Vorschriften, die eine Datennutzung erlauben, finden sich hauptsächlich in Artikel 6 der Europäischen Datenschutz-Grundverordnung (DSGVO). Diese Regelungen werden durch die §§ 22, 24, 26 des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Gemäß Art. 6 DSGVO ist eine Datenverarbeitung ohne Einwilligung zulässig, wenn die Verarbeitung

  • zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können),
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können),
  • zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Beachte: Die Datennutzung zur Direktwerbung ist zulässig. Allerdings dürfen Betroffene der Werbung jederzeit widersprechen (Art. 21 Absatz 2 DSGVO). Für Werbung per E-Mail ist weiterhin eine Einwilligung erforderlich.

Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es

  • zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen),
  • zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke – dies soll hier nur der Vollständigkeit halber erwähnt werden – folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten

  • zum Zweck der Gesundheitsvorsorge,
  • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist.

Anforderungen an die datenschutzrechtliche Einwilligung

Wie oben erwähnt, kann eine Datennutzung außer von Gesetzes wegen nur im Falle einer Einwilligung des Betroffenen erlaubt sein.

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der DSGVO, die durch das BDSG ergänzt werden.

Eine Einwilligung ist nur dann rechtmäßig, wenn derjenige, der die Einwilligung erklärt, dies freiwillig tut. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Eine Einwilligung gilt unter anderem bereits als unfreiwillig, wenn der Abschluss eines Vertrags oder die Erbringung einer Leistung von der Abgabe der Einwilligungserklärung abhängig gemacht wird und der Kunde keine Möglichkeit hat, die Leistung auf andere Weise zu erlangen.

Die Wirksamkeit einer Einwilligung ist nicht vom Alter des Einwilligenden abhängig. Insofern spielt es an sich keine Rolle, ob es sich um einen Minderjährigen oder einen Volljährigen handelt. Für die Wirksamkeit der Einwilligung ist allein die Einsichtsfähigkeit des Einwilligenden in die Tragweite seiner Erklärung maßgeblich. Der Einwilligende muss erkennen können, welche Folgen die Einwilligung für ihn hat.

Ob Minderjährige diese Einsichtsfähigkeit besitzen, kann nicht pauschal beurteilt werden, sondern richtet sich nach den Umständen des Einzelfalls. Da die Einsichtsfähigkeit eines Minderjährigen nicht in jedem Fall mit abschließender Sicherheit beurteilt werden kann, empfiehlt es sich in der Praxis, bei Minderjährigen stets die Einwilligungserklärung der Erziehungsberechtigten einzuholen.

Einwilligungen müssen – anders als früher – nicht mehr schriftlich erklärt werden. Eine mündliche Einwilligung ist deshalb in gleicher Weise wirksam. Allerdings sollte die Einwilligungserklärung allein aus Beweis- und Dokumentationsgründen stets in Textform (also z.B. als Mail, Fax oder SMS) eingeholt werden.

Die gewählte Form der Einwilligung ist zugleich Maßstab für den Fall, dass die Einwilligung widerrufen wird. Wurde die Einwilligung mündlich erteilt, muss ein mündlich erklärter Widerruf akzeptiert werden. Die Dokumentation mündlicher Erklärungen ist allerdings aufwändig, fehleranfällig und für effiziente Betriebsabläufe nicht zu empfehlen.

Die gesetzlichen Vorschriften geben klare Mindestanforderungen an den Inhalt der Einwilligungen vor:

  • Der Datenverarbeiter muss seine Identität offenlegen (Angabe des Namens bzw. der Firma).
  • Es muss dargelegt werden, welche Daten erhoben werden (z.B. Adressdaten, Kontodaten).
  • Es muss der Zweck genannt werden, für den die Daten verarbeitet werden (z.B. Werbung, Weitergabe an Dritte).

Hinweis auf das Widerrufsrecht: Der Einwilligende hat die Einwilligung freiwillig erklärt und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Es ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist.

Die Angaben müssen verständlich und in klarer, einfacher Sprache formuliert werden. Sie müssen so konkret und so umfassend sein, dass sich der Einwilligende darüber ein Bild machen kann, was mit seinen Daten passiert.

Die Einwilligungserklärung ist optisch so zu gestalten, dass sie ins Auge fällt und vom Einwilligenden wahrgenommen wird. Dies ist vor allem dann wichtig, wenn die Einwilligungserklärung zusammen mit anderen Informationen (z.B. Allgemeinen Geschäftsbedingungen) in einem einzigen Text vorgelegt wird. Die erforderliche optische Abhebung ist beispielsweise durch eine Einrahmung, einen Fettdruck, eine andere Farbe oder durch eine andere Schriftgröße möglich.

Die Einwilligung muss aktiv erklärt werden und sollte durch eine eindeutige bestätigende Handlung erfolgen. Dies kann – abgesehen von einer unterschriebenen Einwilligung – z.B. durch Anklicken eines Kästchens beim Besuch einer Internetseite geschehen. Stillschweigen, das bloße Hinnehmen bereits angekreuzter Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar.

Soll die datenschutzrechtliche Einwilligung gemeinsam mit weiteren Erklärungen abgegeben werden, so sollte für jede Erklärung eine gesonderte Unterzeichnung oder ein gesondertes Anklicken vorgesehen werden. Dies bietet sich allein aus Beweiszwecken an. Eine einzige Unterschrift/Bestätigung für das gesamte Dokument birgt dagegen das Risiko der Unzulässigkeit und ist deshalb nicht zu empfehlen.

Wie lange gilt eine Einwilligung?

Obwohl die gesetzlichen Vorschriften keine zeitliche Geltungsdauer vorsehen, wird in der Praxis davon ausgegangen, dass erklärte Einwilligungen nicht unbeschränkt gültig sind.

Eine Einwilligung kann nur herangezogen werden, solange derjenige, der eingewilligt hat, vernünftiger Weise mit einer Verarbeitung seiner Daten rechnen muss. Dies kann je nach Fall unterschiedlich sein. Wer seine Einwilligung zum Erhalt von Werbung zu dem regelmäßigen Tag der offenen Tür seines RS-Betriebs erklärt hat, muss nicht damit rechnen, dass er nach mehreren Jahren erstmals oder erneut Werbung erhält.

Formelle Pflichten von Betrieben – Ein Überblick

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Damit soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Für Betriebe, die Daten verarbeiten, bestehen kehrseitig gewisse Anforderungen an die Datennutzung. Wer Daten z.B. seiner Kunden und Geschäftspartner nutzen möchte, muss diese überwiegend formalen Anforderungen erfüllen. Die Pflichten von Betrieben und die Rechte von Betroffenen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Vorschriften werden durch die §§ 32 bis 37 des Bundesdatenschutz-gesetzes (BDSG) ergänzt.

Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Ihre Pflichten sind im Einzelnen:

  • Transparenzgebot (Art. 12 DSGVO): Art. 12 regelt den Umgang mit Anfragen des Betroffenen und in welcher Form Anfragen zu beantworten sind. Der Verantwortliche hat der betroffenen Person sämtliche Informationen und alle Mitteilungen auf präzise, transparente, verständliche und leicht zugängliche Weise in einer klaren und einfachen Sprache unverzüglich zu übermitteln. Obwohl auch eine mündliche Information zulässig ist, ist in der Praxis die Textform allein aus Beweisgründen zu empfehlen. Hierbei spielt es keine Rolle, ob der Text in Papierform oder elektronisch übermittelt wird.
  • Informationspflichten (Art. 13 und 14 DSGVO): Art. 13 regelt, welche Informationen der Verantwortliche dem Betroffenen zu erteilen hat, wenn er beim Betroffenen Daten erhebt. Art. 14 bestimmt die Informationspflichten, wenn die Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben werden. Siehe hierzu ausführlich unten „Informationspflichten bei Erhebung personenbezogener Daten“.
  • Auskunftsrecht (Art. 15 DSGVO): Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sind personenbezogene Daten falsch, nicht mehr aktuell oder unvollständig, haben die betroffenen Personen gemäß Art. 16 ein Recht auf Berichtigung. Der verantwortliche Datenverarbeiter muss die unrichtigen oder unvollständigen Daten unverzüglich korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Nach Art. 17 haben Betroffene das Recht, die Löschung ihrer Daten zu verlangen, wenn einer der gesetzlich geregelten Löschungsgründe vorliegt. Ein solcher Grund liegt vor, wenn:
    1. die Aufbewahrung der Daten für den Zweck, zu dem sie ursprünglich erhoben wurden, nicht mehr erforderlich ist,
    2. die Daten unrechtmäßig verarbeitet wurden,
    3. der Betroffene seine Einwilligung für eine weitere Speicherung widerrufen hat. Selbst wenn einer der vorgenannten Gründe vorliegt, dürfen Daten aber nicht gelöscht werden, wenn gesetzliche Aufbewahrungsfristen bestehen und der Verantwortliche damit zur Aufbewahrung verpflichtet ist (z.B. bei rentenrelevanten Unterlagen von Mitarbeitern). Anstelle einer Löschung tritt die sog. Einschränkung der Verarbeitung gemäß § 35 BDSG, wenn die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse des Betroffenen an der Löschung als gering anzusehen ist.
  • Recht auf Vergessenwerden (Art. 17 DSGVO): Eine besondere Form des Löschungsanspruchs ist das „Recht auf Vergessenwerden“. Dieses Recht bezieht sich auf Daten, die veröffentlicht wurden und zielt insbesondere auf Veröffentlichungen im Internet ab. Für Handwerksbetriebe dürfte dies in der Praxis jedoch keine große Rolle spielen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene in bestimmten Fällen erwirken, dass der Datenverarbeiter ihre Daten sperrt und somit nicht weiter verarbeiten darf. Dies gilt u.a. für den Fall, dass die Richtigkeit gespeicherter Daten bestritten wird und die Datennutzung für die Dauer der Überprüfung der Richtigkeit ausgesetzt werden soll, die Datenverarbeitung unrechtmäßig ist und der Betroffene anstatt der Löschung die Nutzungseinschränkung bevorzugt.
  • Pflicht zur Datenübertragung (Art. 20 DSGVO): Das Recht auf Datenübertragung gibt Betroffenen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen Dateiformat zu erhalten. Der Betroffene hat damit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die Regelung soll den Wechsel zu einem anderen Anbieter insbesondere bei sozialen Netzwerken oder Verträgen mit Energieversorgern, Banken und Versicherungen erleichtern. Für Handwerksbetriebe wird dieses Recht jedoch keine Praxisrelevanz haben.
  • Widerspruchsrecht (Art. 21 DSGVO): Betroffenen steht ein Widerspruchsrecht gegen eine Verarbeitung ihrer Daten zum Zweck der Direktwerbung zu. Obwohl die Nutzung von Daten zur Direktwerbung zulässig ist, können betroffene Personen hiergegen jederzeit und ohne Angabe von Gründen widersprechen. Nach erfolgtem Widerspruch dürfen die Daten nicht mehr zur Direktwerbung genutzt werden.
  • Dokumentationspflicht (Art. 30 DSGVO): Handwerksbetriebe sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Erweist sich eine beabsichtigte Datennutzung als risikoreich, ist zusätzlich eine „Datenschutz-Folgenabschätzung“ nach Art. 35 DSGVO vorzunehmen.

Informationspflichten bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen. Welche Informationen dies im Einzelnen sind, ist in den Art. 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) aufgelistet, die durch §§ 32 und 33 des Bundesdatenschutzgesetzes (BDSG) ergänzt werden.

Bei den Informationspflichten sind drei Situationen zu unterscheiden:

Werden personenbezogene Daten beim Betroffenen direkt erhoben, müssen diesem insbesondere folgende Informationen mitgeteilt werden:

  • Identität des Verantwortlichen: Name und Kontaktdaten des Datenverarbeiters (bei juristischen Personen zudem Name des Vertreters, z.B. Name des Geschäftsführers).
  • Kontaktdaten des Datenschutzbeauftragten (DSB): Dies gilt nur, sofern ein DSB bestellt ist. Der Name des DSB ist hierbei nicht zwingend zu nennen.
  • Verarbeitungszweck der Datennutzung: z.B. für Werbemaßnahmen oder zur Abwicklung eines Vertrags.
  • Rechtsgrundlage der Datenverarbeitung: Entweder Benennung der gesetzlichen Norm, die die Datenerhebung erlaubt oder Einwilligung des Betroffenen. Bei einer Einwilligung ist zusätzlich der Hinweis auf das Recht zum Widerruf der Einwilligung erforderlich.
  • Empfänger oder Kategorien von Empfängern der Daten: Gilt nur, wenn die Daten an Dritte weitergeleitet werden. z.B. Weitergabe von Daten an die Creditreform.
  • Dauer der Verarbeitung oder Dauer der Datenspeicherung: In der Regel dauert die Datennutzung an, bis der Zweck der Datenverarbeitung erreicht ist.
  • Rechte der Betroffenen: z.B. Recht auf Auskunft, Berichtigung, Löschung.
  • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
  • Hinweis, ob die Bereitstellung der Daten für den Abschluss oder die Abwicklung eines Vertrags erforderlich ist: z.B. Adresse des Kunden, wo der Auftrag zur Reparatur durchgeführt werden soll.

Werden personenbezogene Daten nicht beim Betroffen selbst, sondern bei einem Dritten oder aus öffentlichen Quellen erhoben, müssen zunächst dieselben Angaben gemacht werden, wie bei der Erhebung beim Betroffenen selbst.

Zusätzlich sind dem Betroffenen zwei weitere Informationen zu erteilen:

  • Welche Kategorien personenbezogener Daten erhoben werden: Werden z.B. einfache Adressdaten oder besonders sensible Daten wie z.B. Gesundheitsdaten erhoben?
  • Aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

Für den Fall, dass der Verantwortliche die Daten bereits vorliegen hat und für einen anderen Zweck weiterverarbeiten möchte, muss er die betroffenen Personen vor der Weiterverarbeitung über folgende Aspekte informieren:

  • den neuen Zweck der Verarbeitung,
  • die Dauer der Verarbeitung (siehe oben bei Erhebung beim Betroffenen),
  • die Rechte des Betroffenen (siehe oben bei Erhebung beim Betroffenen),
  • Beschwerderecht (siehe oben bei Erhebung beim Betroffenen).

Im Fall der Datenerhebung beim Betroffenen müssen die Informationen im Zeitpunkt der Datenerhebung mitgeteilt werden. Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Bei einer Zweckänderung ist der Betroffene vor der Verwendung der Daten zum neuen Zweck zu unterrichten.

Ausnahmsweise ist die Information des Betroffenen nicht erforderlich, soweit dieser bereits Kenntnis über die einzelnen Angaben der Datenverarbeitung hat.

Werden die Daten bei einem Dritten erhoben, darf die Information zudem unterbleiben, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde.

Verstöße gegen die datenschutzrechtlichen Informationspflichten können gemäß Art. 83 Abs. 5 DSGVO Strafen in Höhe von bis zu 20 Mio. EUR oder vier Prozent des Weltjahresumsatzes ausgesprochen werden!

(Quelle: RS-Fachzeitschrift Ausgabe 1/2 und 3 sowie ZDH)
Weitere Informationen finden Sie in der RS-Fachzeitschrift Ausgabe 4 und 5.

 

Auf Grundlage weiterer Anregungen aus der Handwerksorganisation hat der ZDH inzwischen ergänzende Informationsunterlagen samt weiterer Muster erarbeitet. Hierzu gehören auch Muster von vorausgefüllten Verarbeitungsverzeichnissen zur Datenverarbeitung zu den verschiedensten Zwecken und Beispielsformulierungen für ergänzende Informationen im Datenschutzhinweis auf Webseiten.

Zudem wurden der schon mehrfach von uns empfohlene Leitfaden für Betriebe sowie der Leitfaden für öffentlich-rechtliche Handwerksorganisationen punktuell aktualisiert.

Die beiden Leitfäden finden Sie hier:

LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN_DATENSCHUTZ_BETRIEBE_0919.pdf
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN_DATENSCHUTZ_HANDWERKSORGANISATIONEN.pdf

Alle Informationen und Arbeitshilfen stehen auf der Webseite des ZDH unter https://www.zdh.de/themen/organisation-und-recht/datenschutz/ als Download zur Verfügung.

 

Checkliste Google My Business für kleine und mittlere B2B-Unternehmen

Die Mittelstand 4.0-Agentur Handel hat eine Checkliste zur Nutzung von Google My Business für kleine und mittlere B2B-Unternehmen veröffentlicht. Google My Business ist ein Dienst, der die Sichtbarkeit des unternehmenseignen Angebotes in den Google-Suchergebnissen erhöhen kann.

Der kostenfreie Leitfaden zeigt Schritt für Schritt, worauf kleine und mittlere Unternehmen achten sollten, wenn sie bei dem Branchenverzeichnis ihr Profil anlegen. Dabei wird erläutert, welche Basisdaten wichtig sind und wie B2B-Unternehmen ihre Google-My-Business-Seite besonders aussagekräftig gestalten können.

Checkliste Google-My-Business
Checkliste Google-My-Business
Mittelstand-4.0-Agentur-Handel_Checkliste_Google-My-Business_Web.pdf

E-Mailsicherheit: Anlagenfilterung

In verschiedenen Virenschutzlösungen aber auch mit dem MicrosoftExchange Server können Sie mithilfe der Anlagenfilterung steuern, welche Anlagen Benutzer empfangen können. Zahlreiche Anlagen enthalten schädliche Viren, die der Firma beachtlichen Schaden zufügen können.
Es empfhiehlt sich, folgende Dateitypen beim E-Mailempfang auszufiltern (Die Liste erhebt keine Anspruch auf Vollständigkeit):

*.ade, *.adp, *.asp, *.asx, *.bas, *.bat, *.chm, *.clp, *.cmd, *.com, *.dbx, *.docm, *.dotm, *.exe, *.hlp, *.hta, *.htb, *.inf, *.ink, *.ins, *.isp, *.js, *.jse, *.mbx, *.mht, *.msc, *.msi, *.msp, *.mst, *.nch, *.pcd, *.php, *.pht, *.pif, *.prf, *.rar, *.reg, *.scr, *.scr, *.sct, *.shb, *.shs, *.swf, *.vb, *.vbe, *.vbs, *.wms, *.wsc, *.wsf, *.wsh, *.xlm, *.xlsb, *.xltm

 

Fachverband

RS Fachwelt

Mitgliederbereich

Shop

folgen?

Kontakt

Bundesverband Rollladen + Sonnenschutz e. V.
Hopmannstraße 2 · 53177 Bonn
Telefon: 0228 95210-0
Telefax: 0228 95210-10
info[at]rs-fachverband.de
® 2014 Bundesverband Rollladen + Sonnenschutz | made by manxdesign