Datenschutz – wie Digitalisierung dabei helfen kann

ein Mensch arbeitet an einem Laptop

Was Bauunternehmer wissen sollten und warum es wirklich jedes Unternehmen angeht

Datenschutz gehört zu den großen Themen, wenn es um das Thema Digitalisierung in Unternehmen geht. Was Bauunternehmer zum Datenschutz wissen sollten – und worum sie sich kümmern müssen, erklärt Christian Busch, Director IT bei NEVARIS. Erfahren Sie, was jedes Unternehmen gesetzlich zu beachten hat und wie man diese Regelungen durch digitale Systeme und Prozesse effektiv umsetzt.

 

Worum geht es beim Datenschutz?

Datenschutz ist kein IT-Thema! Das war es noch nie und wird es auch nie sein. Datenschutz bedeutet einfach den Schutz von Daten, die schützenswert sind – besonders sogenannte personenbezogene Daten.

Wenn heute von Datenschutz die Rede ist, geht es vor allem um das Recht jedes Einzelnen an seinen persönlichen Daten. Menschen können entscheiden, wem sie die eigenen Daten zugänglich machen und wozu sie verwendet werden dürfen. Datenschutz umfasst deshalb auch organisatorische und technische Maßnahmen gegen den Missbrauch von Daten.

Datenschutz wird in unserer zunehmend digitalen und vernetzten Informationsgesellschaft immer wichtiger.

Vom weltweit ersten Datenschutzgesetz bis heute

1970 verabschiedete das Bundesland Hessen das erste Datenschutzgesetz weltweit. Heute ist der Schutz personenbezogener Daten unter dem sogenannten „Recht auf informationelle Selbstbestimmung“ in der Europäischen Union ein Grundrecht. Personen können danach grundsätzlich selbst darüber entscheiden, wem sie welche persönlichen Informationen geben und für welchen Zweck.

Darum geht Datenschutz jedes Bauunternehmen an

Oft schätzen Unternehmer die Lage falsch ein, denn Datenschutz ist in jedem Unternehmen gefordert: Es geht dabei ganz grundlegend um das Recht von Einzelpersonen an ihren Daten. Personenbezogene Daten sind gemäß dem Bundesdatenschutzgesetz alle Angaben über persönliche oder sachliche Verhältnisse einer natürlichen Person. Ganz gleich, ob sie in einer digitalen Datei gespeichert sind oder herkömmlich in einem Aktenordner – in jedem Fall müssen Unternehmen diese Daten besonders schützen. Sie dürfen nicht in die Hände Dritter gelangen.

Was sollten Bauunternehmen beim Datenschutz auf jeden Fall erfüllen?

Besonders kleineren Unternehmen fehlt es oft an Personal und Ressourcen, um sich mit Datenschutz zu beschäftigen. Doch sie sollten das Thema unbedingt auf die Tagesordnung bringen. Es zu ignorieren, kann unangenehme Folgen haben.

Das größte Risiko, dem sich ein Unternehmen aussetzen kann, ist gar nichts zu tun.

Kritisch wird es, wenn ein Unternehmen sich noch gar nicht mit dem Thema beschäftigt hat. Gemessen wird dies meist am sogenannten Verfahrensverzeichnis. Es ist eine grundlegende Anforderung an den Datenschutz.

Was ist ein Verfahrensverzeichnis für Unternehmen?

Das Verfahrensverzeichnis ist ein Element des Datenschutzmanagements. Hier dokumentiert ein Unternehmen alle Vorgänge der Datenverarbeitung, bei denen personenbezogene Daten verwendet werden.

Ein Verfahrensverzeichnis ist damit genau das, was der Name bereits sagt: eine Definition und Dokumentation aller Verfahren im Unternehmen, die durchlaufen werden, wenn personenbezogene Daten verarbeitet werden. Ein einfaches Beispiel: Im HR-Onboarding-Prozess fallen bei neuen Mitarbeitenden personenbezogene Daten wie Vorname, Nachname, Geburtsdatum, Gehaltsdaten an. Deshalb müssen Unternehmen sich die Frage stellen: Wie und in welchen Systemen werden diese Daten verarbeitet? Dies muss im Verfahrensverzeichnis festgelegt sein.

Ab 20 Mitarbeitern ist die Benennung eines Datenschutzbeauftragten verpflichtend

Sind mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, müssen Unternehmen in Deutschland einen betrieblichen bzw. externen Datenschutzbeauftragten bestellen.

 

Es gibt einige Prinzipien, die Unternehmen befolgen sollten.

Die Hauptprinzipien beim Datenschutz:

  • Datensparsamkeit und Datenvermeidung
  • Erforderlichkeit
  • Zweckbindung
  • Nach Art. 6 der DSGVO gilt außerdem ein generelles Verbot mit Erlaubnisvorbehalt. Personen müssen demnach ausdrücklich zustimmen, wenn ihre Daten gespeichert und genutzt werden. Daten dürfen ohne eine Rechtsgrundlage nicht verarbeitet werden.

Manuelle und digitale Maßnahmen zur Unterstützung des Datenschutzes

Anders als oft angenommen kann Digitalisierung beim Datenschutz sogar helfen: Wer digitale Tools einsetzt, produziert einerseits weniger sensible physische Daten, wie etwa Papiere und Ordner. Und unter der Maßgabe der Datensparsamkeit fallen außerdem nur die Daten an, die wirklich erforderlich sind.

Da Datenschutz mit den Grundrechten und Grundfreiheiten einer Person zu tun hat, müssen Unternehmen beispielsweise beim Einsatz eines ERP-Systems den Datenschutz bedenken und die betreffenden Personen informieren:

  • Was geschieht mit den Daten?
  • Wie werden die Daten verarbeitet?
  • Was passiert mit den Daten, wenn das Unternehmen sie nicht mehr braucht? Denn das heißt nicht, dass sie sie einfach weiter benutzen können.

Hilfreich ist dabei ein strenges Rechtemanagement. Die Daten können dann nur an der Stelle und nur von den Mitarbeitenden eingesehen werden, wo es vorgesehen ist.

Stellen Sie Benutzerrechte konsequent ein, so führt dies automatisch zu besserem Datenschutz.

Außerdem wichtig: Informationen müssen zurückgegeben werden, wenn der (vorher vereinbarte) Verwendungszweck erloschen ist.

So machen Sie Ihre Software datenschutzkonform

Sie sind auf der Suche nach datenschutzkonformer Software? Eine sinnvolle Maßnahme im Bezug auf den Datenschutz sind Server, die in Deutschland oder in Europa stehen. Bei vielen unserer Kunden läuft die Software auf eigenen Servern oder im Rechenzentrum des Kunden. Dann kommen die Daten gar nicht erst zum Softwareanbieter. Geht es jedoch um reine Cloud-Produkte, wie etwa beim Bausoftwareangebot von 123erfasst, dann ist dieses Thema sehr wichtig – deshalb stehen die Server dafür ausschließlich in Deutschland.

Mit diesen drei Schritten können Sie Ihre Softwareauswahl priorisieren:

  1. Als Erstes sollten Sie nach Software aus Deutschland schauen, denn dort greift die Datenschutz-Grundverordnung (DSGVO) – die deutsche Ausprägung der europäischen General Data Protection Regulation (GDPR).
  2. Als Nächstes kommen dann Unternehmen in Europa in die Auswahl, für welche die GDPR gilt.
  3. Erst wenn wirklich nichts anderes übrig bleibt und sich nichts anderes findet, sollten Unternehmen außerhalb von Europa gucken. Dann müssen sie sich allerdings darauf einstellen, dass die Vorbereitung und die rechtlichen Schritte, um den Datenschutz so anzupassen, wie sie durch die DSGVO gefordert sind, deutlich länger dauern.

Beim Gebrauch einer Software sind die Daten allerdings oft auch auf unternehmensfremden Servern und können von Dritten eingesehen werden. Deshalb gilt:

Sobald ein Unternehmen Software einsetzt, sollte es sich um einen Auftragsdatenverarbeitungsvertrag (ADV) kümmern.

Seriöse Bausoftwareanbieter senden einen ADV standardmäßig zur Unterschrift an den Kunden mit. Kritisch wird es, wenn Anbieter auf Nachfragen ausweichen. Dann sollten Sie hellhörig werden und einen anderen Anbieter suchen.

Konsequenzen und Gefahr beim Ignorieren des Datenschutzes

Unternehmen müssen sich bewusst sein, dass das Thema Datenschutz mittlerweile auf einer oberen Ebene angekommen ist. Entsprechende Leitungsgremien können dementsprechend auch Konsequenzen ankündigen und umsetzen. Es vergeht kein Monat, in dem man nicht von Datenschutzfällen liest – und den Sanktionen, die gegen ein Unternehmen verhängt wurden. Datenschutz zu ignorieren, kann zu empfindlichen Bußgeldern von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes führen.

Wichtig dabei: Diese Sanktionen werden meist nicht von Unternehmen zu Unternehmen ausgelöst – sondern von einer natürlichen Person zum Unternehmen. Legen Sie daher auch fest, was mit den Daten passiert, wenn eine Person das Unternehmen verlässt. Ist dies nicht sauber definiert, gibt es immer wieder Probleme – besonders, wenn Mitarbeitende nicht einvernehmlich aus dem Unternehmen ausscheiden.

Fazit: Das sollten Bauunternehmen für besseren Datenschutz tun

Mit Datenschutz müssen sich heute alle Bauunternehmen beschäftigen. Setzen Sie Software ein, müssen die Hauptprinzipien des Datenschutzes wie Datensparsamkeit und Datenvermeidung, Erforderlichkeit sowie Zweckbindung eingehalten werden. Ein sinnvoll eingesetztes Rechtemanagement fördert dabei den Datenschutz. Achten Sie bei der Auswahl Ihrer Software darauf, dass Sie einen Auftragsdatenverarbeitungsvertrag erhalten.

Jetzt Kontakt aufnehmen

Bildnachweise: Song_about_summer/Shutterstock; NEVARIS/Cosima Hanebeck.