Verwirrende Publikationen zu den Datenschutz-Pflichten deutscher Unternehmen

In den letzten Monaten nutzen Medien das bevorstehende Inkrafttreten der Datenschutz-Grundschutzverordnung (DS-GVO, Verordnung (EU) 2016/679) am 25. Mai 2018 für interessante Artikel, die häufig jedoch eher Verwirrung stifteten, anstatt bei der Beurteilung der Lage zu helfen. Es soll hier nicht um unqualifizierte Werbung wie "So schützen Sie Ihr Unternehmen vor Bußgeldern von bis zu € 20 Mio..." gehen, sondern um das Verständnis der lokalen Erfordernisse, die durchaus von der DS-GVO abweichen können.

Ausnahmen für kleine und mittlere Firmen

So berichtet laut Heise die EU-Justizkommissarin Věra Jourová über Ausnahmen für kleine und mittlere Firmen (KMU) mit weniger als 250 Mitarbeitern. So müssen diese Unternehmen angeblich
keinen eigenen Datenschutzbeauftragten einstellen, nicht sämtliche Prozesse mit Datenverarbeitung protokollieren und nicht alle Pannen melden, solange kein allzu großes Risiko für die Grundrechte der Betroffenen bestehe.

Eine ähnliche Auffassung speziell für den KMU-Bereich wird von www.security-insider.de vertreten:
Hinsichtlich des Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30 DSGVO, früher Verfahrensverzeichnis) gilt: Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, müssen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten nicht umsetzen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt.

Und gleich noch einmal ein Beitrag der www.security-insider.de, diesmal zum Thema Datenschutzbeauftragter:
Mythos 4: Jeder muss jetzt einen Datenschutzbeauftragten haben! "Realität: Nein! Das ist falsch, das war bisher in dem Bundesdatenschutzgesetz (BDSG) nicht so, es wird auch unter der Datenschutz-Grundverordnung nicht so sein. Ob man einen Datenschutzbeauftragten im Unternehmen benötigt oder nicht, regelt Artikel 37 DSGVO.

So einfach ist es leider nicht, denn es gelten verschiedene Gesetze, je nach Standort. Die DS-GVO ist eine Verordnung, die europaweit einen Mindeststandard setzt.

In Deutschland gilt die DS-GVO, das BDSG (neu) und Landesgesetze

Selbst wenn man die Befähigung im KMU-Bereich, ein oben genanntes "Risiko für die Rechte und Freiheiten" beurteilen zu können, außer Acht lässt, gelten die genannten Artikel der DS-GVO so nicht in Deutschland. Unstrittig ist, dass das Europäische Recht den Nationalen Gesetzgebern erlaubt, über sogenannte Öffnungsklauseln schärfere Regeln festzulegen. Eine umfangreiche Erläuterung aus dem Jahr 2016 findet sich hier. Vereinfacht kann man feststellen, dass nationale Gesetzgeber EU-Recht präzisieren und ggf. auch härtere Regeln als in der DS-GVO vorgesehen formulieren dürfen, jedoch keine Entschärfung vornehmen dürfen.

Was sagt das BDSG (neu) zu Datenschutzbeauftragten und dem Verzeichnis der Verarbeitungstätigkeiten

Der deutsche Gesetzgeber hat eine solche verschärfte Regelung im § 38 BDSG (neu) geschaffen.Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Es wird der Artikel 37 der DS-GVO präzisiert und keine Abschwächung wie von Věra Jourová genannt. Nirgends stehen Einschränkungen für KMUs! Wenn Sie Daten mit Personenbezug verarbeiten, müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten führen!

Fazit

Unternehmen müssen einen Verantwortlichen für den Datenschutz benennen, der die erforderliche Sachkunde besitzt. Das kann bei kleinen Unternehmen der Geschäftsführer sein, ein geschulter Mitarbeiter oder ein externer Dienstleister. Formelle Ausnahmen für KMUs gibt es jedoch nicht! Das gilt auch für das Verzeichnis der Verarbeitungstätigkeiten.

Betroffene (Mitarbeiter, Kunden, ...) haben ein Auskunftsrecht. Kommt das Unternehmen dem nach dem 25. Mai 2018 nicht fristgerecht innerhalb eines Monats nach, kann sich der Betroffene bei der zuständigen Aufsichtsbehörde beschweren. Auch wenn heute noch nicht ganz klar ist, wie die Behörden vorgehen, liegt die Vermutung nahe, dass sie das genannte Unternehmen prüfen müssen und das Verzeichnis der Verarbeitungstätigkeiten wird voraussichtlich der Einstieg sein.

Ein Verzeichnis der Verarbeitungstätigkeiten ist kein Hexenwerk! Dafür gibt es z.B. die GDD-Praxishilfe DS-GVO V inclusive einer Word-Vorlage der GDD e.V. oder die Notes-basierte Anwendung "Eusuro Data Privacy". Die erforderliche Fachkunde vorausgesetzt, ist es eher eine Fleißarbeit, die sich jedoch über einen längeren Zeitraum erstrecken wird. Niemand sollte 2018 noch nach dem Motte hoffen: "Es ist noch immer gut gegangen"!