Datenschutz für Handwerksbetriebe

Umgang mit sensiblen Kundendaten

Für Kältetechniker sind die Daten ihrer Kunden eine zentrale Informationsquelle. Die frühere „Zettelwirtschaft“ wurde längst durch Erfassungen in elektronischen Verzeichnissen abgeschafft. Anschriften, E-Mail-Adressen aber auch Kontoverbindungen werden systematisch verwaltet. An diesen Informationen haben auch Dritte Interesse und sind bereit diese zu erwerben, um sie für eigene Zwecke einzusetzen. Selbst wenn kein geschäftlicher Nutzen für Externe zu erkennen ist, droht dem eigenen Unternehmen ein beachtlicher Imageschaden, wenn Kundendaten in die Öffentlichkeit gelangen. Das Bundesdatenschutzgesetz droht übrigens bei Verstößen bis zu 300 000 Euro Strafe an, bei Vorsatz bis zu zwei Jahre Haft.

Für den Zugang zu ihren DV-Systemen verfügen die meisten Kälteanlagenbauer über Sicherheitsausstattungen wie Passwörter, Firewalls, abschließbare Büros und Schränke sowie Papiershredder für zu entsorgende Unterlagen. Der Umfang der Sicherheitsmaßnahmen hängt in hohem Maße von den Verantwortlichen und der Bedeutung, die diese dem Thema persönlich geben, ab. Daraus ergeben sich große Unterschiede zwischen einzelnen Kältefachbetrieben. Da Prüfungen gesetzlich nicht vorgeschrieben sind, hat der Handwerker oft keine Kenntnis über den eigenen Entwicklungsstand. Der Austausch mit den Kollegen ist ebenfalls weniger intensiv als zu anderen Themen. Das Bundesdatenschutzgesetz stellt keine konkreten Vorgaben, sondern formuliert nur vage, dass Unternehmen die erforderlichen „technischen und organisatorischen Maßnahmen“ treffen müssen, um den Datenschutz zu gewährleisten. Der weitere Text konzentriert sich nicht auf technische Details, welche aufgrund der sich rasch ändernden Voraussetzungen und Gefährdungen ohnehin nur von Fachleuten überblickt werden können, sondern auf das grundsätzliche Konzept, was die Unternehmensleitung letztlich verantwortet.

Die Gestaltung eines geschlossenen Sicherheitskonzepts im Mittelstand wird im weiteren Text ausgeführt. Dabei sollten sich die Verantwortlichen nicht auf mögliche negative Folgen wie höhere Kosten und erhöhten Arbeitsaufwand konzentrieren, sondern die positiven Auswirkungen in den Mittelpunkt stellen. Kunden fordern zu Recht den Schutz ihrer Daten. Kann dieser sichergestellt und überzeugend vermittelt werden, wird ein Wettbewerbsvorteil gegenüber Mitbewerbern geschaffen. Auch wenn aufgrund der Größe des Kältefachbetriebs gesetzliche Vorschriften nicht greifen, sollten diese als Richtschnur für die eigenen Maßnahmen dienen.

 

Datenschutzbeauftragter

Viele der weiteren Aufgaben liegen im Verantwortungsbereich der Datenschutzbeauftragten, deshalb gilt es an erster Stelle zu prüfen, ob eine derartige Position gesetzlich vorgeschrieben ist. Zwar beschränkt sich der Gesetzgeber in seinen Texten auf „Unternehmen“, allerdings fallen in diesem Zusammenhang auch Verbände unter die Vorgaben.

Unternehmen, die mehr als neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Personenbezogene Daten sind solche Daten, die einen direkten Schluss auf eine natürliche Person ermöglichen, was außer für rein technische Erfassungen auf fast alle Daten zutrifft. Entsprechendes gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit mindestens 20 Personen beschäftigt sind.

In folgenden Aufgabenfeldern werden personenbezogene Daten bearbeitet:

› der Personalverwaltung (z.B. Verwaltung der Personalakten),

› der Kundenverwaltung (z.B. Adressen der Kunden)

› der Lieferantenverwaltung (z.B. Kontaktdaten der Ansprechpartner).

 

Aufgrund dieser Aufgabenfelder kann eigentlich jeder Kälteanlagenbauer davon ausgehen, dass personenbezogene Daten automatisiert verarbeitet werden. Bei mehr als neun Mitarbeitern ist deshalb fast immer ein Datenschutzbeauftragter erforderlich. Die Benennung alleine reicht nicht aus. Sowohl Kenntnisse des Datenschutzrechtes als auch der Informationstechnologie sind für die fachliche Qualifikation erforderlich.

Der Datenschutzbeauftragte darf sich nicht in einem Interessenkonflikt befinden. Ein solcher Konflikt würde z.B. beim Personalleiter oder dem Leiter der Datenverarbeitung angenommen, denn dieser würde über die datenschutzrechtliche Zulässigkeit der von ihnen selbst verantworteten Datenverarbeitung befinden. Die Aufgabe des Datenschutzbeauftragten kann an einen externen Dienstleister vergeben werden.

In der Anlage zu § 9 Satz 1 des Datenschutzgesetzes (Fundstelle des Originaltextes: BGBl. I 2003, 88) stehen Hinweise, wie der Datenschutzbeauftragte seine Aufgaben erfüllen kann. Die folgenden Maßnahmen sollte jeder Handwerksbetrieb aufgreifen. Der Datenschutzbeauftragte ist nicht für die Maßnahmen verantwortlich, sondern für die Überwachung der gesetzlichen Vorgaben. Wie dargestellt, wird diese Unabhängigkeit nur dann gegeben sein, wenn die Schritte nicht selber umgesetzt wurden. Die Übernahme der weiteren Aufgaben vom Datenschutzbeauftragten zu verlangen, ist nicht nur kontraproduktiv, sondern auch gesetzeswidrig.

 

Zutritt zu den Geschäftsräumen

Im Rahmen des Sicherheitskonzeptes wird zwischen Zutritt und Zugang unterschieden. Beim Zutritt handelt es sich um die Möglichkeit, unmittelbar auf relevante Informationen und Informationsträger zuzugreifen. Zugang ist der direkte Zugriff auf Daten. Wer Zutritt hat, kann sich auch Zugang verschaffen. Auch ohne entsprechende Ausbildung können Überwachungs- und Übertragungssysteme beschafft und installiert, Daten kopiert, manipuliert oder zerstört werden. Deshalb stellt das Zutrittskonzept die Grundlage jedes Datenschutzes dar. Hierbei gilt es die folgenden Fragen zu beantworten:

› Wer hat Zutritt zu welchen Räumen, Freiflächen, Baustellen und Fahrzeugen?

› Ist den einzelnen Zutrittsberechtigten der Kreis der Zutrittsberechtigten bekannt? Wird auf unbekannte Personen aktiv zugegangen und deren Anwesenheit geklärt?

› Wie wird der Zutritt kontrolliert, aber auch das Verlassen des Geländes? Existieren Personenkontrollen, Schließsysteme, Kennworte, Identifikationssysteme?

› Wer erteilt Zutrittsrechte, auch zeitlich befristet?

Werden die Mitarbeiter über diese Rechte informiert?

› Wie wird mit Fremdarbeitern und Gästen verfahren?

Ist sichergestellt, dass sich diese nur in zulässigen Räumen aufhalten?

› Stehen PC an frei zugänglichen Stellen, z.B. der Distribution?

Wie kann unberechtigter Zutritt vermieden werden?

› Ist der Zutritt von Dienstleistern geregelt und der Zugang zur DV geregelt? Ist sichergestellt, dass deren Rechte personenbezogen sind, oder werden generell Berechtigungen erteilt?

› Wie ist der zeitnahe Entzug von Berechtigungen im DV-System geregelt?

› Gibt es Kontrollen der Aufenthaltszeiten?

Wie ist der Zutritt zu ungewöhnlichen Zeiten geregelt?

› Werden mobile Geräte eingesetzt? Wie ist deren Aufbewahrung außerhalb der Geschäftsräume geregelt? Welcher Schaden droht bei Entwendung?

› Wie wird die Einhaltung des Konzeptes kontrolliert? Werden Kontrollen dokumentiert?

 

Der Besuch eines fremden Dritten hat sich als praktische Übung bewährt. Einfach eintreten und behaupten, man möchte seinen alten Freund den Inhaber überraschen; oder in der Frühstückspause durch die Räume streifen und schauen, ob man einen PC nicht einfach abbauen und mitnehmen kann; oder kontrollieren, ob Geschäftsfahrzeuge offen stehen und Mobiltelefone oder Lap­tops zugänglich sind. Nach Beendigung des Rundgangs werden die Betroffenen zusammengerufen und freundlich auf aufgedeckte Defizite hingewiesen.

 

Zugang zu den Daten

Unter Zugang versteht man die Datennutzung. Diese kann sowohl auf Papier als auch in elektronischer Form erfolgen. Häufig sind sich die Nutzer über die Bedeutung der Daten nicht bewusst. Welche Auswirkungen es hat, wenn bspw. ein Konkurrent Umsatz- und Ergebniszahlen auf Kundenbasis erhält, lässt sich leicht ermessen. Von der missbräuchlichen Nutzung ihrer Bankdaten wollen Kunden ebenfalls nicht aus der Zeitung erfahren. Die weiteren Fragen dienen der Ermittlung des derzeitigen Sicherheitsstandes und können, falls erforderlich, helfen, notwendige Verbesserungen einzuleiten.

 

› Entsprechen die technischen Sicherheitssysteme dem Stand der Technik? Sind Qualifikation sowie die Aus- und Weiterbildung der Verantwortlichen sichergestellt? Wird die Aufgabe nicht „nebenher“ wahrgenommen?

› Existieren Mindestanforderungen an Passwörter und ist die Einhaltung sichergestellt?

› Besteht ein detailliertes Berechtigungskonzept für DV-Systeme? Können und werden Datenbestände abgegrenzt, so dass nur für die Arbeitsfelder Zugriff besteht, welcher zur Aufgabenerfüllung notwendig sind? Ist festgelegt, wer Daten lesen, eingeben und ändern darf? Sind die einzelnen Schritte dokumentiert und im Einzelfall nachvollziehbar?

› Ist das Sammeln und Nutzen von Daten geregelt, sind individuelle Sammlungen, bspw. von Mitarbeitern des Außendienstes, ausgeschlossen?

› Werden Daten an fremde Dritte weitergegeben? Sind die Kunden darüber informiert? Ist ein missbräuchlicher Gebrauch ausgeschlossen?

› Wie ist der Zugang zu schriftlichen Unterlagen geregelt? Erfolgen Aufbewahrung und Vernichtung sicher?

› Wie werden Informationen an Kunden, Lieferanten und Mitarbeiter im Außendienst sicher übersandt?

› Welche Folgen drohen, wenn feste Anlagen oder Laptops gestohlen werden? Können Daten rekonstruiert werden?

› Wurden bei einer Fremdvergabe von DV-Aufgaben an externe Dienstleister die Einhaltung des Bundesdatenschutzgesetzes und die Zusage der Verschwiegenheit schriftlich vereinbart? Überzeugt sich der Kälteanlagenbauer regelmäßig vom Sicherheitskonzept des Dienstleisters?

› Werden alle Daten zuverlässig gelöscht, wenn Anlagen und Datenträger entsorgt oder weitergeben werden?

 

Im Gegensatz zu den Zutrittskontrollen sollten hier keine „Amateure“ zur Überprüfung des Sicherheitsstandards eingesetzt werden. Einfach einen entfernt bekannten Computerspezialisten zu bitten, das Datennetz von außen zu knacken, kann erheblichen Schaden verursachen. Allenfalls Profis mit entsprechenden Referenzen können hier abgestimmte Maßnahmen durchführen und zur Verbesserung möglicher Defizite beitragen.

 

Datennutzung

Kundendaten sind wertvolle Informationen. Die typischen Kunden verfügen über ein klares Profil, weshalb diese für professionelle Datensammler hochinteressant sind und gelegentliche Nachfragen erfolgen. Dennoch sollte kein Handwerksbetrieb über den Datenverkauf kurzfristige Ergebnisse erzielen und die langfristige Verärgerung der Kunden billigend in Kauf nehmen. Menschen sind zunehmend bzgl. des Umgangs mit ihren Daten sensibilisiert, wie die Diskussion über „Google Maps“ oder den Datendiebstahl bei Sony aufzeigt. Eine Weitergabe oder der unberechtigte Zugriff auf persönliche Daten durch fremde Dritte werden nicht mehr toleriert. Allerdings kann eine Zusammenarbeit mit anderen Anbietern durchaus geprüft werden. Wenn die Nutzer einer Weitergabe zustimmen, können passgenaue Informationen zugesandt werden. In jedem Fall sollten sich die Verantwortlichen allerdings ein Bild von der Seriosität des Partners machen.

Die persönliche Einstellung zum Datenschutz ist sehr unterschiedlich. Einer freut sich über schriftliche und elektronische Post, während bei anderen schon der Anschein von Werbezuschriften starke Abneigung hervorruft.

Wichtig sind Angaben und interne Vorgaben über die Verwendung der Daten und wann diese gelöscht werden. Dazu gehört die Zusicherung, dass keine Weitergabe zu Werbezwecken an Unternehmen erfolgt, bzw. unter welchen Bedingungen und wann man aus gesetzlichen Gründen zur Weitergabe an andere Institutionen verpflichtet sein kann. Hierüber werden auch die unmittelbaren Ansprechpartner im Außendienst unterrichtetet.

Ein kleiner Test mittels eines Anrufs über die zentrale Telefonnummer des Handwerksbetriebs zeigt die oft sehr unterschiedlichen Verhaltensweisen auf. Standardisierte Vorgaben unterstützen die Mitarbeiter bei der Reaktion auf telefonische oder schriftliche Anfragen.

 

x

Thematisch passende Artikel:

Ausgabe 04/2018

Verschärfter Datenschutz

Neue Pflichten kommen auf Handwerk zu

Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Auch Handwerksbetriebe sind davon nicht ausgeschlossen, denn auch sie...

mehr
Ausgabe 02/2012

Korrektur der Kontaktdaten

Panasonic

In der KKA 1/2012 wurde auf S. 83 über die Luft/Wasser-Wärmepumpe „Aquarea T-CAP“ berichtet. Bei den Kontaktdaten hat sich dabei leider ein Fehler eingeschlichen. Bitte verwenden Sie zur...

mehr
Ausgabe 04/2011

Profis in Sachen Regeltechnik

Der Gewerbekältespezialist Wurm aus Remscheid

Viele erfolgreiche Hochtechnologieunternehmen in Deutschland haben einen traditionellen Background als Familienunternehmen und haben sich über die Jahre kontinuierlich aus tendenziell handwerklichen...

mehr