Wie werden KMUs durch die DSGVO entlastet?

Fachbeitrag

Der Countdown läuft. Wer sich noch nicht mit Datenschutz beschäftigt hat, sollte sich dies unbedingt als Neujahrsvorsatz vornehmen. Aber das haben Sie schon oft genug gehört – die alarmistischen Töne erspare ich uns in diesem Beitrag. Hier geht es um Erleichterungen bzw. die Frage, ob die DSGVO Entlastungen für kleine und mittlere Unternehmen (KMU) vorsieht.

Entlastungen ja

Die gute Neuigkeit: KMUs sind ausdrücklich in Erwägungsgrund 13 berücksichtigt. Dieser nennt als konkrete Entlastung aber nur die Verfahrensverzeichnisse, die als Pflicht in Art. 30 DSGVO normiert ist. Art. 30 Abs. 5 DSGVO enthält eine Ausnahme, dass diese Dokumentationspflicht nicht für Unternehmen mit weniger als 250 Mitarbeiter gilt. Bestimmt haben Sie bemerkt, dass Verfahrensverzeichnisse ein gängiges – weil wichtiges Thema – ist, weswegen wir hier im Blog bereits öfter darüber berichtet haben. In dem Sinne können Sie zu den Verfahrensverzeichnissen gerne hier nochmals nachlesen. Über die Rechtsunsicherheit, die mit Art. 30 Abs. 5 DSGVO verbunden ist und die damit einhergehenden Risiken sind hier beschrieben.

Beachten Sie aber, dass auch KMUs umfassende Dokumentationspflichten unterliegen. In dem Sinne kann es durchaus sinnvoll sein, sich trotz möglicher Entlastung an den Vorgaben des Art. 30 DSGVO zu orientieren.

Angemessene Vorkehrungen

Nach Art. 24 DSGVO hat der Verantwortliche

„unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Recht und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen [TOMs zu treffen …]“

Die Berücksichtigung der KMU steckt hinter dem Begriff „angemessen“ in Abs. 2, wonach der Verantwortliche geeignete Datenschutzvorkehrungen nur dann treffen muss, wenn sie in einem angemessenen Verhältnis zu der Verarbeitungstätigkeit steht:

„Vorkehrungen, die für große Unternehmen im Hinblick auf die Vielzahl der betroffenen Verarbeitungsprozesse angezeigt und zumutbar erscheinen, sind für kleine Unternehmen mit wenigen Verarbeitungsprozessen nicht unbedingt adäquat – und umgekehrt.“ (Aus Martini, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 24, Rn. 42.)

Die Angemessenheit richtet sich somit danach, ob die Vorkehrungen bezogen auf die Verarbeitung und das konkrete Unternehmen verhältnismäßig ist. Dies ist im Einzelfall zu bestimmen.

Verhaltensregeln für KMU

Ferner sind KMU in Art. 40 DSGVO erwähnt. Diese Vorschrift enthält jedoch keine Entlastung, sondern eher einen Aufruf an Verbände und Vereinigungen, Verhaltensregeln auszuarbeiten, die auch die Bedürfnisse der KMU berücksichtigen sollen. Es gilt jedoch abzuwarten, inwieweit die Verbände solche Verhaltensregeln ausarbeiten und die Aufsichtsbehörden diese genehmigen. Eine tatsächliche Vereinfachung für KMU ergibt sich hier erst in einem zweiten Schritt, wenn die Regeln bestehen und als Maßstab für das Verhalten von KMU herangezogen werden können.

Kleine Unternehmen, wenige Prozesse

Lassen Sie sich jedoch nicht abschrecken, weil es keine wirklich nennenswerten Entlastungen gibt! Erfahrungsgemäß fallen in kleineren Unternehmen weniger Datenverarbeitungsvorgänge an; auch die Strukturen dürften übersichtlicher sein. Als Hilfestellung finden Sie im Übrigen hier den Fragebogen des Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für KMUs den Sie möglicherweise bereits kennen. Aber Achtung! Beim Datenschutz geht es um den Schutz personenbezogener Daten. Die Entlastung der KMU ist kein Freibrief für Datenschutzverstöße. So gerne ich und wir Ihnen hier etwas anderes sagen würden – nehmen Sie den Datenschutz ernst und behalten Sie die Bußgelder im Hinterkopf. Beginnen Sie z.B. schon mal mit den grundlegenden Anforderungen, wie dem Verfahrensverzeichnis.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.