IT-Grundschutzprofil für Handwerksbetriebe

IT-Grundschutzprofil für Handwerksbetriebe

Die Digitalisierung stellt Handwerksbetriebe vor verschiedene Herausforderungen. Speziell das Thema Informationssicherheit hat nicht den Stellenwert, den es auf Grund zunehmender Cyberangriffe, auch auf Handwerksbetriebe, haben müsste. Oft fehlt es in den Betrieben an den entsprechenden Fachkenntnissen, der Zeit und zielgruppenspezifischen Hilfestellungen.

Der „IT-Grundschutz-Profil für Handwerksbetriebe“ soll einfache Wege aufzeigen, wie Betriebe das Thema IT-Sicherheit zielgerichtet angehen und umsetzen können. Es bildet das Beispiel eines Betriebes unabhängig vom Gewerk ab. Dadurch stehen möglichst vielen Handwerksbetrieben Anregungen für die Erhöhung der Informationssicherheit zur Verfügung. Ausgehend von vier als relevant betrachteten Geschäftsprozessen umfasst es u. a.

  • eine Liste der relevanten Zielobjekte (Anwendungen, IT-Systeme sowie Räumlichkeiten), die es zu schützen gilt,
  • eine Zuordnung der dazu passenden IT-Grundschutz-Bausteine mit Anforderungen und Umsetzungshinweisen sowie
  • Empfehlungen zur Umsetzungsreihenfolge.

Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten

  1. „Landkarten“ als Entscheidungsgrundlage für die Unternehmensleitung und „Umsetzungs-Fahrplan“ für IT-Fachleute.
  2. Der Routenplaner “Cyber-Sicherheit für Handwerksbetriebe“: Anschauliche Routenpläne und zielgruppengerechte Arbeitshilfen führen auf die für Handwerksbetriebe maßgeblichen IT-Grundschutz-Bausteine und dazu passenden Umsetzungshinweise des BSI in der jeweils aktuellen Edition. Handwerksbetriebe können so ihren individuellen Sicherheitsprozess nach IT-Grundschutz des BSI bedarfsgerecht gestalten.

Datenschutzgrundverordnung DSGVO

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher. Sie muss trotzdem erstgenommen und innerbetrieblich zur Chefsache gemacht werden, da bei Verstößen erhebliche Strafen drohen.

Handwerksbetriebe müssen also sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. R+S wird daher in dieser und in den kommenden Ausgaben die für die handwerkliche Praxis wichtigsten Aspekte und Fragen zusammenstellen und Handwerksbetrieben einen vertieften Überblick sowie das notwendige Rüstzeug zu geben, die jeweiligen betrieblichen Abläufe an die Anforderungen des neuen Datenschutzrechts anzupassen.

Zulässige Datenverarbeitung ohne Einwilligung

Jeder Betrieb steht im Kontakt mit Kunden und Lieferanten, von denen er zumindest E-Mail-Adressen und Telefonnummern speichert; er verarbeitet also personenbezogene Daten. Und damit muss er sich schon den verschärften Anforderungen des Datenschutzrechts stellen – ob er will oder nicht. Natürlich liegt der Gedanke nahe „Der Kunde will doch etwas von mir, also muss ich doch seine Daten haben“. Trotzdem muss das Thema (mutmaßliche) Einwilligung mit Sorgfalt behandelt und durchaus differenziert betrachtet werden.

Wann also ist die Nutzung von Daten überhaupt erlaubt?

Eine Datennutzung ist nur zulässig, wenn  eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt (siehe hierzu unten „Anforderungen an die datenschutzrechtliche Einwilligung“).

Vorschriften, die eine Datennutzung erlauben, finden sich hauptsächlich in Artikel 6 der Europäischen Datenschutz-Grundverordnung (DSGVO). Diese Regelungen werden durch die §§ 22, 24, 26 des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Gemäß Art. 6 DSGVO ist eine Datenverarbeitung ohne Einwilligung zulässig, wenn die Verarbeitung

  • zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können),
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können),
  • zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Beachte: Die Datennutzung zur Direktwerbung ist zulässig. Allerdings dürfen Betroffene der Werbung jederzeit widersprechen (Art. 21 Absatz 2 DSGVO). Für Werbung per E-Mail ist weiterhin eine Einwilligung erforderlich.

Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es

  • zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen),
  • zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke – dies soll hier nur der Vollständigkeit halber erwähnt werden – folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten

  • zum Zweck der Gesundheitsvorsorge,
  • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist.

Anforderungen an die datenschutzrechtliche Einwilligung

Wie oben erwähnt, kann eine Datennutzung außer von Gesetzes wegen nur im Falle einer Einwilligung des Betroffenen erlaubt sein.

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der DSGVO, die durch das BDSG ergänzt werden.

Eine Einwilligung ist nur dann rechtmäßig, wenn derjenige, der die Einwilligung erklärt, dies freiwillig tut. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Eine Einwilligung gilt unter anderem bereits als unfreiwillig, wenn der Abschluss eines Vertrags oder die Erbringung einer Leistung von der Abgabe der Einwilligungserklärung abhängig gemacht wird und der Kunde keine Möglichkeit hat, die Leistung auf andere Weise zu erlangen.

Die Wirksamkeit einer Einwilligung ist nicht vom Alter des Einwilligenden abhängig. Insofern spielt es an sich keine Rolle, ob es sich um einen Minderjährigen oder einen Volljährigen handelt. Für die Wirksamkeit der Einwilligung ist allein die Einsichtsfähigkeit des Einwilligenden in die Tragweite seiner Erklärung maßgeblich. Der Einwilligende muss erkennen können, welche Folgen die Einwilligung für ihn hat.

Ob Minderjährige diese Einsichtsfähigkeit besitzen, kann nicht pauschal beurteilt werden, sondern richtet sich nach den Umständen des Einzelfalls. Da die Einsichtsfähigkeit eines Minderjährigen nicht in jedem Fall mit abschließender Sicherheit beurteilt werden kann, empfiehlt es sich in der Praxis, bei Minderjährigen stets die Einwilligungserklärung der Erziehungsberechtigten einzuholen.

Einwilligungen müssen – anders als früher – nicht mehr schriftlich erklärt werden. Eine mündliche Einwilligung ist deshalb in gleicher Weise wirksam. Allerdings sollte die Einwilligungserklärung allein aus Beweis- und Dokumentationsgründen stets in Textform (also z.B. als Mail, Fax oder SMS) eingeholt werden.

Die gewählte Form der Einwilligung ist zugleich Maßstab für den Fall, dass die Einwilligung widerrufen wird. Wurde die Einwilligung mündlich erteilt, muss ein mündlich erklärter Widerruf akzeptiert werden. Die Dokumentation mündlicher Erklärungen ist allerdings aufwändig, fehleranfällig und für effiziente Betriebsabläufe nicht zu empfehlen.

Die gesetzlichen Vorschriften geben klare Mindestanforderungen an den Inhalt der Einwilligungen vor:

  • Der Datenverarbeiter muss seine Identität offenlegen (Angabe des Namens bzw. der Firma).
  • Es muss dargelegt werden, welche Daten erhoben werden (z.B. Adressdaten, Kontodaten).
  • Es muss der Zweck genannt werden, für den die Daten verarbeitet werden (z.B. Werbung, Weitergabe an Dritte).

Hinweis auf das Widerrufsrecht: Der Einwilligende hat die Einwilligung freiwillig erklärt und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Es ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist.

Die Angaben müssen verständlich und in klarer, einfacher Sprache formuliert werden. Sie müssen so konkret und so umfassend sein, dass sich der Einwilligende darüber ein Bild machen kann, was mit seinen Daten passiert.

Die Einwilligungserklärung ist optisch so zu gestalten, dass sie ins Auge fällt und vom Einwilligenden wahrgenommen wird. Dies ist vor allem dann wichtig, wenn die Einwilligungserklärung zusammen mit anderen Informationen (z.B. Allgemeinen Geschäftsbedingungen) in einem einzigen Text vorgelegt wird. Die erforderliche optische Abhebung ist beispielsweise durch eine Einrahmung, einen Fettdruck, eine andere Farbe oder durch eine andere Schriftgröße möglich.

Die Einwilligung muss aktiv erklärt werden und sollte durch eine eindeutige bestätigende Handlung erfolgen. Dies kann – abgesehen von einer unterschriebenen Einwilligung – z.B. durch Anklicken eines Kästchens beim Besuch einer Internetseite geschehen. Stillschweigen, das bloße Hinnehmen bereits angekreuzter Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar.

Soll die datenschutzrechtliche Einwilligung gemeinsam mit weiteren Erklärungen abgegeben werden, so sollte für jede Erklärung eine gesonderte Unterzeichnung oder ein gesondertes Anklicken vorgesehen werden. Dies bietet sich allein aus Beweiszwecken an. Eine einzige Unterschrift/Bestätigung für das gesamte Dokument birgt dagegen das Risiko der Unzulässigkeit und ist deshalb nicht zu empfehlen.

Wie lange gilt eine Einwilligung?

Obwohl die gesetzlichen Vorschriften keine zeitliche Geltungsdauer vorsehen, wird in der Praxis davon ausgegangen, dass erklärte Einwilligungen nicht unbeschränkt gültig sind.

Eine Einwilligung kann nur herangezogen werden, solange derjenige, der eingewilligt hat, vernünftiger Weise mit einer Verarbeitung seiner Daten rechnen muss. Dies kann je nach Fall unterschiedlich sein. Wer seine Einwilligung zum Erhalt von Werbung zu dem regelmäßigen Tag der offenen Tür seines RS-Betriebs erklärt hat, muss nicht damit rechnen, dass er nach mehreren Jahren erstmals oder erneut Werbung erhält.

Formelle Pflichten von Betrieben – Ein Überblick

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Damit soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Für Betriebe, die Daten verarbeiten, bestehen kehrseitig gewisse Anforderungen an die Datennutzung. Wer Daten z.B. seiner Kunden und Geschäftspartner nutzen möchte, muss diese überwiegend formalen Anforderungen erfüllen. Die Pflichten von Betrieben und die Rechte von Betroffenen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Vorschriften werden durch die §§ 32 bis 37 des Bundesdatenschutz-gesetzes (BDSG) ergänzt.

Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Ihre Pflichten sind im Einzelnen:

  • Transparenzgebot (Art. 12 DSGVO): Art. 12 regelt den Umgang mit Anfragen des Betroffenen und in welcher Form Anfragen zu beantworten sind. Der Verantwortliche hat der betroffenen Person sämtliche Informationen und alle Mitteilungen auf präzise, transparente, verständliche und leicht zugängliche Weise in einer klaren und einfachen Sprache unverzüglich zu übermitteln. Obwohl auch eine mündliche Information zulässig ist, ist in der Praxis die Textform allein aus Beweisgründen zu empfehlen. Hierbei spielt es keine Rolle, ob der Text in Papierform oder elektronisch übermittelt wird.
  • Informationspflichten (Art. 13 und 14 DSGVO): Art. 13 regelt, welche Informationen der Verantwortliche dem Betroffenen zu erteilen hat, wenn er beim Betroffenen Daten erhebt. Art. 14 bestimmt die Informationspflichten, wenn die Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben werden. Siehe hierzu ausführlich unten „Informationspflichten bei Erhebung personenbezogener Daten“.
  • Auskunftsrecht (Art. 15 DSGVO): Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sind personenbezogene Daten falsch, nicht mehr aktuell oder unvollständig, haben die betroffenen Personen gemäß Art. 16 ein Recht auf Berichtigung. Der verantwortliche Datenverarbeiter muss die unrichtigen oder unvollständigen Daten unverzüglich korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Nach Art. 17 haben Betroffene das Recht, die Löschung ihrer Daten zu verlangen, wenn einer der gesetzlich geregelten Löschungsgründe vorliegt. Ein solcher Grund liegt vor, wenn:
    1. die Aufbewahrung der Daten für den Zweck, zu dem sie ursprünglich erhoben wurden, nicht mehr erforderlich ist,
    2. die Daten unrechtmäßig verarbeitet wurden,
    3. der Betroffene seine Einwilligung für eine weitere Speicherung widerrufen hat. Selbst wenn einer der vorgenannten Gründe vorliegt, dürfen Daten aber nicht gelöscht werden, wenn gesetzliche Aufbewahrungsfristen bestehen und der Verantwortliche damit zur Aufbewahrung verpflichtet ist (z.B. bei rentenrelevanten Unterlagen von Mitarbeitern). Anstelle einer Löschung tritt die sog. Einschränkung der Verarbeitung gemäß § 35 BDSG, wenn die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse des Betroffenen an der Löschung als gering anzusehen ist.
  • Recht auf Vergessenwerden (Art. 17 DSGVO): Eine besondere Form des Löschungsanspruchs ist das „Recht auf Vergessenwerden“. Dieses Recht bezieht sich auf Daten, die veröffentlicht wurden und zielt insbesondere auf Veröffentlichungen im Internet ab. Für Handwerksbetriebe dürfte dies in der Praxis jedoch keine große Rolle spielen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene in bestimmten Fällen erwirken, dass der Datenverarbeiter ihre Daten sperrt und somit nicht weiter verarbeiten darf. Dies gilt u.a. für den Fall, dass die Richtigkeit gespeicherter Daten bestritten wird und die Datennutzung für die Dauer der Überprüfung der Richtigkeit ausgesetzt werden soll, die Datenverarbeitung unrechtmäßig ist und der Betroffene anstatt der Löschung die Nutzungseinschränkung bevorzugt.
  • Pflicht zur Datenübertragung (Art. 20 DSGVO): Das Recht auf Datenübertragung gibt Betroffenen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen Dateiformat zu erhalten. Der Betroffene hat damit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die Regelung soll den Wechsel zu einem anderen Anbieter insbesondere bei sozialen Netzwerken oder Verträgen mit Energieversorgern, Banken und Versicherungen erleichtern. Für Handwerksbetriebe wird dieses Recht jedoch keine Praxisrelevanz haben.
  • Widerspruchsrecht (Art. 21 DSGVO): Betroffenen steht ein Widerspruchsrecht gegen eine Verarbeitung ihrer Daten zum Zweck der Direktwerbung zu. Obwohl die Nutzung von Daten zur Direktwerbung zulässig ist, können betroffene Personen hiergegen jederzeit und ohne Angabe von Gründen widersprechen. Nach erfolgtem Widerspruch dürfen die Daten nicht mehr zur Direktwerbung genutzt werden.
  • Dokumentationspflicht (Art. 30 DSGVO): Handwerksbetriebe sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Erweist sich eine beabsichtigte Datennutzung als risikoreich, ist zusätzlich eine „Datenschutz-Folgenabschätzung“ nach Art. 35 DSGVO vorzunehmen.

Informationspflichten bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen. Welche Informationen dies im Einzelnen sind, ist in den Art. 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) aufgelistet, die durch §§ 32 und 33 des Bundesdatenschutzgesetzes (BDSG) ergänzt werden.

Bei den Informationspflichten sind drei Situationen zu unterscheiden:

Werden personenbezogene Daten beim Betroffenen direkt erhoben, müssen diesem insbesondere folgende Informationen mitgeteilt werden:

  • Identität des Verantwortlichen: Name und Kontaktdaten des Datenverarbeiters (bei juristischen Personen zudem Name des Vertreters, z.B. Name des Geschäftsführers).
  • Kontaktdaten des Datenschutzbeauftragten (DSB): Dies gilt nur, sofern ein DSB bestellt ist. Der Name des DSB ist hierbei nicht zwingend zu nennen.
  • Verarbeitungszweck der Datennutzung: z.B. für Werbemaßnahmen oder zur Abwicklung eines Vertrags.
  • Rechtsgrundlage der Datenverarbeitung: Entweder Benennung der gesetzlichen Norm, die die Datenerhebung erlaubt oder Einwilligung des Betroffenen. Bei einer Einwilligung ist zusätzlich der Hinweis auf das Recht zum Widerruf der Einwilligung erforderlich.
  • Empfänger oder Kategorien von Empfängern der Daten: Gilt nur, wenn die Daten an Dritte weitergeleitet werden. z.B. Weitergabe von Daten an die Creditreform.
  • Dauer der Verarbeitung oder Dauer der Datenspeicherung: In der Regel dauert die Datennutzung an, bis der Zweck der Datenverarbeitung erreicht ist.
  • Rechte der Betroffenen: z.B. Recht auf Auskunft, Berichtigung, Löschung.
  • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
  • Hinweis, ob die Bereitstellung der Daten für den Abschluss oder die Abwicklung eines Vertrags erforderlich ist: z.B. Adresse des Kunden, wo der Auftrag zur Reparatur durchgeführt werden soll.

Werden personenbezogene Daten nicht beim Betroffen selbst, sondern bei einem Dritten oder aus öffentlichen Quellen erhoben, müssen zunächst dieselben Angaben gemacht werden, wie bei der Erhebung beim Betroffenen selbst.

Zusätzlich sind dem Betroffenen zwei weitere Informationen zu erteilen:

  • Welche Kategorien personenbezogener Daten erhoben werden: Werden z.B. einfache Adressdaten oder besonders sensible Daten wie z.B. Gesundheitsdaten erhoben?
  • Aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

Für den Fall, dass der Verantwortliche die Daten bereits vorliegen hat und für einen anderen Zweck weiterverarbeiten möchte, muss er die betroffenen Personen vor der Weiterverarbeitung über folgende Aspekte informieren:

  • den neuen Zweck der Verarbeitung,
  • die Dauer der Verarbeitung (siehe oben bei Erhebung beim Betroffenen),
  • die Rechte des Betroffenen (siehe oben bei Erhebung beim Betroffenen),
  • Beschwerderecht (siehe oben bei Erhebung beim Betroffenen).

Im Fall der Datenerhebung beim Betroffenen müssen die Informationen im Zeitpunkt der Datenerhebung mitgeteilt werden. Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Bei einer Zweckänderung ist der Betroffene vor der Verwendung der Daten zum neuen Zweck zu unterrichten.

Ausnahmsweise ist die Information des Betroffenen nicht erforderlich, soweit dieser bereits Kenntnis über die einzelnen Angaben der Datenverarbeitung hat.

Werden die Daten bei einem Dritten erhoben, darf die Information zudem unterbleiben, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde.

Verstöße gegen die datenschutzrechtlichen Informationspflichten können gemäß Art. 83 Abs. 5 DSGVO Strafen in Höhe von bis zu 20 Mio. EUR oder vier Prozent des Weltjahresumsatzes ausgesprochen werden!

(Quelle: RS-Fachzeitschrift Ausgabe 1/2 und 3 sowie ZDH)
Weitere Informationen finden Sie in der RS-Fachzeitschrift Ausgabe 4 und 5.

 

Auf Grundlage weiterer Anregungen aus der Handwerksorganisation hat der ZDH inzwischen ergänzende Informationsunterlagen samt weiterer Muster erarbeitet. Hierzu gehören auch Muster von vorausgefüllten Verarbeitungsverzeichnissen zur Datenverarbeitung zu den verschiedensten Zwecken und Beispielsformulierungen für ergänzende Informationen im Datenschutzhinweis auf Webseiten.

Zudem wurden der schon mehrfach von uns empfohlene Leitfaden für Betriebe sowie der Leitfaden für öffentlich-rechtliche Handwerksorganisationen punktuell aktualisiert.

Die beiden Leitfäden finden Sie hier:

LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN_DATENSCHUTZ_BETRIEBE_0919.pdf
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN_DATENSCHUTZ_HANDWERKSORGANISATIONEN.pdf

Alle Informationen und Arbeitshilfen stehen auf der Webseite des ZDH unter https://www.zdh.de/themen/organisation-und-recht/datenschutz/ als Download zur Verfügung.

 

Checkliste Google My Business für kleine und mittlere B2B-Unternehmen

Die Mittelstand 4.0-Agentur Handel hat eine Checkliste zur Nutzung von Google My Business für kleine und mittlere B2B-Unternehmen veröffentlicht. Google My Business ist ein Dienst, der die Sichtbarkeit des unternehmenseignen Angebotes in den Google-Suchergebnissen erhöhen kann.

Der kostenfreie Leitfaden zeigt Schritt für Schritt, worauf kleine und mittlere Unternehmen achten sollten, wenn sie bei dem Branchenverzeichnis ihr Profil anlegen. Dabei wird erläutert, welche Basisdaten wichtig sind und wie B2B-Unternehmen ihre Google-My-Business-Seite besonders aussagekräftig gestalten können.

Checkliste Google-My-Business
Checkliste Google-My-Business
Mittelstand-4.0-Agentur-Handel_Checkliste_Google-My-Business_Web.pdf

E-Mailsicherheit: Anlagenfilterung

In verschiedenen Virenschutzlösungen aber auch mit dem MicrosoftExchange Server können Sie mithilfe der Anlagenfilterung steuern, welche Anlagen Benutzer empfangen können. Zahlreiche Anlagen enthalten schädliche Viren, die der Firma beachtlichen Schaden zufügen können.
Es empfhiehlt sich, folgende Dateitypen beim E-Mailempfang auszufiltern (Die Liste erhebt keine Anspruch auf Vollständigkeit):

*.ade, *.adp, *.asp, *.asx, *.bas, *.bat, *.chm, *.clp, *.cmd, *.com, *.dbx, *.docm, *.dotm, *.exe, *.hlp, *.hta, *.htb, *.inf, *.ink, *.ins, *.isp, *.js, *.jse, *.mbx, *.mht, *.msc, *.msi, *.msp, *.mst, *.nch, *.pcd, *.php, *.pht, *.pif, *.prf, *.rar, *.reg, *.scr, *.scr, *.sct, *.shb, *.shs, *.swf, *.vb, *.vbe, *.vbs, *.wms, *.wsc, *.wsf, *.wsh, *.xlm, *.xlsb, *.xltm

 

Praxis Recht – Neue Informationspflichten zur Verbraucherschlichtung

Seit April 2016 gibt es für Streitigkeiten mit Verbrauchern ein neues Verfahren. Die Verbraucherschlichtung ist im Verbraucherstreitbeilegungsgesetz (VSBG) geregelt und darf nur von besonderen Schlichtungsstellen durchgeführt werden. Streitigkeiten zwischen Handwerkern und Verbrauchern können bei der sog. Allgemeinen Verbraucherschlichtungsstelle (www.verbraucher-schlichter.de) behandelt werden. Das Verfahren darf nur von Verbrauchern beantragt werden und wird ausschließlich online durchgeführt.

Ab Februar 2017 müssen Unternehmer nach dem Verbraucherstreitschlichtungsgesetz Verbrauchern Auskunft geben, ob sie im Fall eines Rechtsstreits an einer Verbraucherschlichtung teilnehmen. Beachten Sie hierzu die nachfolgenden Information:

Informationspflicht über Verbraucherschlichtung
Informationspflicht über Verbraucherschlichtung
ZDH_Praxis_Recht_Information_20172.pdf
Anlage zur Informationspflicht über Verbraucherschlichtung
Anlage zur Informationspflicht über Verbraucherschlichtung
ZDH_Praxis_Recht_Infopflichten_2017.pdf

Weitere Informationen vom Bundesministerium der Justiz und Verbraucherschutz

Übersicht Informationspflichten Verbraucherschlichtung
Übersicht Informationspflichten Verbraucherschlichtung
Verbraucherschlichtung_Uebersicht_Informationspflichten_BMJV.pdf
Leitfaden zur Verbraucherschlichtung
Leitfaden zur Verbraucherschlichtung
Verbraucherschlichtung_Leitfaden-BMJV.pdf

IT-Sicherheitscheck

Informationsmaterial, Checklisten und weiterführende Links zur IT-Sicherheit im Handwerk

Verhaltensregeln zur Informationssicherheit
Verhaltensregeln zur Informationssicherheit
leitfaden-informationssicherheit.pdf

https://www.it-sicherheit-handwerk.de/materialien/checklisten.html

https://www.sicher-im-netz.de

http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/Angebote/it-sicherheitscheck.html

https://vds.de/cyber/quick-check/

Datenschutz in der betrieblichen Praxis

Verstöße gegen den Datenschutz sind keine Kavaliersdelikte mehr. Was bisher selbstverständliche Praxis war, kann heute für Handwerker zur Stolperfalle werden. Datenschutz wird mit seinen formalen Dokumentations- und Informationspflichten jedoch häufig als bürokratisch empfunden. „Im betrieblichen Alltag wird dem Thema oftmals nicht die gebotene Priorität eingeräumt. Das sollten die Unternehmen schnell ändern“, rät Holger Schwannecke, Generalsekretär des Zentralverbandes des Deutschen Handwerks (ZDH).

Schon Handwerksbetriebe, die ehemalige Kunden mit einem Newsletter über neue Angebote auf dem Laufenden halten wollen, müssen Daten erfassen. Hier gilt der Grundsatz: Entweder ein Gesetz erlaubt die beabsichtigte Datennutzung ausdrücklich oder derjenige, dessen Daten genutzt werden sollen, willigt in die Nutzung ein. „Gerade die kundenorientiert arbeitenden Handwerksbetriebe müssen diesen Grundsatz verinnerlichen und ihre Datenverarbeitung danach ausrichten“, so Schwannecke. Denn liegt das Einverständnis nicht vor, ist jede Erhebung, Speicherung und Nutzung von Kundendaten zunächst einmal verboten.

Das Bundesdatenschutzgesetz verpflichtet die Betriebe zudem zur Bestellung eines Datenschutzbeauftragten, sobald regelmäßig mehr als neun Mitarbeiter persönliche Daten automatisiert verarbeiten. Hierfür reicht bereits der Zugriff auf die in Excel gespeicherte Kundendatei aus.

Zum vielfältigen Aufgabenspektrum eines betrieblichen Datenschutzbeauftragten gehört die Beratung die Geschäftsführung in allen datenschutzrechtlichen Angelegenheiten. Werden beispielsweise neue Verfahrensabläufe eingeführt, sind diese auf Risiken zu prüfen und ggf. Empfehlungen für alternative Lösungen auszusprechen. Auch der Schulung und Sensibilisierung der Mitarbeiter für den Datenschutz kommt eine hohe Bedeutung zu.

Auch wenn keine Pflicht zur Bestellung besteht, empfiehlt es sich, einen Mitarbeiter als Datenschutzexperten fortzubilden. „Die Sensibilität von Kunden für den datenschutzkonformen Umgang mit ihren Daten nimmt spürbar zu. Hierauf sollten sich die Betriebe einstellen“, so Schwannecke.

Auch allgemein müssen datenschutzrelevante Betriebsabläufe künftig anders dokumentiert werden. Mit der europäischen Datenschutz-Grundverordnung wurde das bestehende nationale Recht moderat weiterentwickelt. Eine wichtige Neuerung betrifft etwa das Transparenzgebot: Kunden müssen künftig bei Erhebung von Daten zahlreiche Informationen zur Verfügung gestellt werden. Diese reichen von Angaben der Kontaktdaten bis hin zu Ausführungen über die Zwecke der Datennutzung. Die europäischen Vorschriften treten ab Mai 2018 in Kraft und sind künftig in der Datenschutz-Grundverordnung selbst nachzuschlagen.

Wer hilft bei Nachfragen?

Zuständig für die Unterstützung und Beratung in Datenschutzfragen sind die Datenschutzbehörden der Bundesländer. Bevor die Aufsichtsbehörde, ein privater Datenschutzdienstleister oder ein spezialisierter Rechtsanwalt kontaktiert werden, empfiehlt es sich, zunächst bei seiner Innung, dem Verband oder der Handwerkskammer Rat zu suchen. Die Handwerksorganisationen sind mit den Strukturen und typischen Betriebsabläufen von Handwerksbetrieben vertraut und bieten praxisgerechte Lösungen.

Windows FileServer vor Ransomware / Crypto Locker schützen

Ransomware wie Crypto Locker oder Locky, sind Trojaner, die meisten von einem Client aus anfangen Daten zu verschlüsseln und dabei auch vor Netzlaufwerken nicht halt machen. Dabei nützt auch der beste Virenschutz auf dem Fileserver nichts. In nur wenigen Fällen gibt es die Möglichkeit, die verschlüsselten Daten wiederherzustellen. Ohne ein Backup kann der Schaden schnell sehr groß werden.

Für Windows-Server gibt es aber mittels der Dateiprüfung über den Ressourcen-Manager die Möglichkeit, den Schaden möglichst gering zu halten.
Im Blog „Franky’s Web“ steht, wie es geht: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/