DSGVO: So machen Sie Ihre Werkstatt datensicher!
Ab dem 25. Mai gilt innerhalb der EU die neue Datenschutzgrundverordnung (DSGVO). Was bedeutet das konkret für einen Werkstattbetrieb? Worauf gilt es zu achten? Mit unserem Ratgeber wird das komplizierte Vorschriftengeflecht zu einer lösbaren Aufgabe.
Worum geht es dabei? Vor allem darum, welche Daten über Personen unter welchen Bedingungen gespeichert werden dürfen und wofür man sie benutzen darf. Besonders zu schützen sind die sogenannten „personenbezogenen“ Daten, also Name, Anschrift, Telefonnummer, auch die Mail-Adresse. Fotos gehören auch dazu.
Die Erhebung von Anschrift- und Kontaktinformationen ist in der Regel für das Zustandekommen und die Abwicklung eines Auftrags selbstverständlich und erfolgt naturgemäß mit der Einwilligung des Kunden. Auch die Speicherung entsprechender Daten von Angestellten ist obligatorisch und erfolgt mit deren Einverständnis, ohne dass man sich das noch einmal schriftlich zusichern lassen müsste. Aber keinesfalls dürfen diese Angaben ohne gesondertes Einverständnis an Dritte weitergegeben werden, etwa an Geschäftspartner. Davon ausgenommen sind nur ihrerseits an bestimmte Regeln gebundene Dienstleister wie etwa der Steuerberater oder der in Rechtsstreitigkeiten beauftragte Anwalt.
Wo ein Wille ist, ist auch ein Weg
Falls eine längerfristige Speicherung der Daten erwünscht ist, etwa für eine Kundenkartei, braucht es hingegen eine Einwilligung des Kunden. Normalerweise dürfen die Daten nämlich nur so lange gespeichert werden, bis der Auftrag erledigt ist. Das wäre für viele Serviceleistungen der Werkstatt, etwa die Erinnerung an HU-Termine oder an Service-Intervalle, ein erheblicher Nachteil.
In der Praxis wird man also immer für die längerfristige Speicherung der Daten die Einwilligung einholen, was theoretisch auf jedem erdenklichen Weg möglich ist: Der Kunde kann die Einwilligung mündlich geben, per Mail oder indem er in einem Online-Formular ein Kästchen anklickt – solange er selbst aktiv Ja sagt zur Datenspeicherung. Man ist allerdings gut beraten, sich so etwas immer schriftlich geben zu lassen – damit Erinnerungslücken gar nicht erst entstehen.
Grundsätzlich gilt, dass jede Einwilligungserklärung zuvor eine Aufklärung darüber voraussetzt, in was da genau eingewilligt wird. Die Betonung liegt auf „genau“: Es muss für den Einwilligenden klar zu erkennen sein, wer die Einwilligung einholt, welche Daten warum angefragt werden und dass er die Einwilligung zur Speicherung jederzeit widerrufen – also auch die Löschung verlangen – kann.
Aber auch wenn der Kunde gestattet, die persönlichen Daten längerfristig zu speichern, gilt dafür in der täglichen Praxis eine hohe Sorgfaltspflicht. So dürfen etwa Kontaktinformationen von Kunden nicht auf betriebsfremden Geräten gespeichert werden, also beispielsweise die Kundentelefonnummer im privaten Handy des Gesellen, der den Auftrag bearbeiten soll.
Rückhaltesystem für Daten – erst gurten, dann spurten
Neben dem allzu sorglosen Umgang mit persönlichen Informationen will die DSGVO die passive Sicherheit verbessern, also den Schutz der auf Computern gespeicherten Daten gegen Diebstahlsversuche von außen, auch und vor allem über das Internet.
Die Werkstatt sollte also nicht nur gegen den klassischen Einbruch ausreichend gesichert sein, sondern auch für einen angemessenen Schutz des Rechnersystems sorgen. Dazu gehören ein mit Passwort gesichertes Betriebssystem auf den neuesten Stand, das in der Regel bereits eine Firewall mitbringt, und ein moderner Virenschutz, am besten mit einem Programm, das sich automatisch aktualisiert. Natürlich sollte auch nicht jeder in die Daten spicken können, der mal zufällig am Rechner vorbeikommt: Der Zugang sollte geschützt sein über ein Passwort und die Zugriffsrechte für Mitarbeiter sollten so geregelt sein, dass sie nur die für die Abwicklung erforderlichen Daten einsehen können.
Daten hinter Schloss und Riegel
Im Idealfall sollten die persönlichen Daten von Kunden und Mitarbeitern verschlüsselt gespeichert werden. Dafür gibt es äußerst wirkungsvolle Programme, etwa VeraCrypt (www.veracrypt.fr), dies sogar als kostenfreie Freeware, oder das beliebte ArchiCrypt live (www.archicrypt.de), für deren Einrichtung aber das Hinzuziehen eines Fachmanns empfehlenswert ist.
Vorsicht: Wenn man die gesamte Datenverarbeitung an einen externen Dienstleister abgibt, was durchaus auch eine Option wäre, bleibt man selbst in der Verantwortung dafür, dass die Daten von Kunden und Mitarbeitern adäquat geschützt sind – das kann man damit nicht gleichzeitig delegieren. Und natürlich muss der Kunde einwilligen, dass seine Daten an den Dienstleister weitergegeben werden. Jederzeit kann der Kunde künftig außerdem Auskunft darüber verlangen, welche Daten über ihn gespeichert sind und wie sie verwendet werden.
In der Praxis ist es wohl kostengünstiger, die Datenverarbeitung weiterhin selbst zu übernehmen – aber dafür braucht es jetzt eine ausführliche Dokumentation Der Verarbeitungswege.
Daten-Buchführung
Neben der eigentlichen Verpflichtung zu sorgsamer Datenspeicherung verlangt die DSGVO künftig nämlich auch ein „Verzeichnis der Verarbeitungstätigkeiten“, wenn sensible personenbezogene Daten gespeichert werden, etwa in der Lohnbuchhaltung. Auch eine Kundenkartei gilt als personenbezogene Datensammlung.
Im Grunde reicht es aber, eine Liste darüber aufzustellen, welche personenbezogenen Daten wann, auf welche Weise und warum erfasst werden. Daten von Mitarbeitern und Kunden sind naheliegend, aber auch Bewerber oder potentielle Kunden könnten im Datensystem landen und gehören deshalb mit in das Verarbeitungsverzeichnis.
Verarbeitungsverzeichnis vorbereiten
Damit das Verarbeitungsverzeichnis so vollständig wie möglich ist, lohnt es sich, vorher alle möglichen Datenspeicherungszusammenhänge zu sammeln. Dabei sind nicht nur digitale Speicherungen relevant, sondern auch alles, was im Aktenschrank landet. Am einfachsten geht das zunächst in Form einer Tabelle, die man entweder nach den Speicherzwecken oder nach den Personengruppen sortieren kann, zum Beispiel wie in der nachfolgenden Tabelle dargestellt (die Tabelle erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit / Angaben ohne Gewähr).
Die Auflistung sollte nach Möglichkeit alle Vorgänge erfassen, bei denen sensible Daten von Personen, die mit der Werkstatt in Verbindung stehen, gespeichert und genutzt werden. Anhand der Liste ist es dann nicht mehr schwierig, die standardisierten Formulare auszufüllen.
Zum Datenverarbeitungsverzeichnis gehört auch die Benennung der für den Datenschutz zuständigen Personen. In kleinen Werkstattbetrieben wird das der Chef meist persönlich übernehmen und auch seinen Aufklärungspflichten gegenüber Mitarbeitern, die ebenfalls mit personenbezogenen Daten arbeiten, nachkommen. Größere Werkstätten mit mehr als zehn Mitarbeitern, die mit personenbezogenen Daten umgehen, müssen einen Datenschutzbeauftragten benennen, der sich natürlich in der Datenverarbeitung im Betrieb gut auskennen sollte.
Das Datenverarbeitungsverzeichnis dient im Grunde dazu, den Behörden eine Einschätzung zu ermöglichen, ob mit den personenbezogenen Daten sorgsam umgegangen wird. Theoretisch könnte das eine „Datenschutzfolgenabschätzung“ als Bestandteil des Datenverarbeitungsverzeichnisses erfordern, aber in der Praxis dürften kleine und mittelständische Betriebe davon kaum betroffen sein – die Instrumente zielen eher auf Unternehmen, die im großen Stil Daten speichern oder damit handeln.
Website: Spielwiese mit Fallsticken
Da ist ein lascher Umgang mit persönlichen Daten auf der Website schon gefährlicher. Leistet sich eine Werkstatt eine Website mit einem Kunden-Kontaktformular, trägt sie auch Verantwortung für die dort erhobenen Daten. Da reichen schon Mail-Adresse oder Telefonnummer, ja sogar die Übermittlung der IP-Adresse, um die berüchtigten Abmahnanwälte auf den Plan zu rufen, die sich gern „Opfer“ ohne eine eigene Rechtsabteilung suchen. Dagegen hilft nur eine mit allen Wassern gewaschene Datenschutzerklärung.
Eine passende „Datenschutzerklärung für alle“ gibt es im Grunde nicht – diese muss immer an die eigenen Bedürfnisse angepasst werden. Einen sehr guten, von Spezialisten der Universität Münster entwickelten Leitfaden mit einer Muster-Datenschutzerklärung gibt es hier:
Alles in allem: Keine Panik!
Um die DSGVO wurde immer mehr Wind gemacht, je näher der Termin rückte, aber kleine und mittelständische Betriebe sollten sich nicht zu große Sorgen machen. In einem Interview mit dem DHB bringt es Vera Jourova, EU-Kommissarin für Justiz, auf einen einfachen Nenner: „Wenn ein Handwerksbetrieb nur für eigene Zwecke Informationen über seine Mitarbeiter oder Kunden speichert und diese nicht weiterverkauft, muss er im Grunde nur dafür sorgen, dass diese Daten sicher aufbewahrt sind.“ (www.dhb.de)
Wer noch tiefer in die Materie einsteigen möchte, findet zum Beispiel unter https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/ einen Leitfaden mit zahlreichen Mustern.
Holger Pinnow-Locnikar
Passend zu diesem Artikel
Mit dem neuen Konzept „Firstglass“ möchte die Carat-Gruppe das Glasgeschäft der Werkstätten professioneller gestalten. Stefan Kronauge aus Hallenberg im Sauerland ist einer der ersten, der damit arbeitet.
Die Prüforganisation Dekra bietet mit dem „ESG Assessment“ einen neuen Nachhaltigkeits-Service für mittelständische Kfz-Werkstätten an. Dabei geht es längst nicht nur um Umweltschutz.
Die Roadshow von Qualität ist Mehrwert machte Ende November Station bei sieben freien Werkstätten Nordrhein-Westfalens. Von Düsseldorf bis Bochum und von Hamminkeln bis Meschede suchte das Roadshow-Team den Dialog mit Kfz-Meistern und Mitarbeitern zu den wichtigsten Zukunftsthemen der Branche.