Wie werden KMUs durch die DSGVO entlastet?

Fachbeitrag

Der Countdown läuft. Wer sich noch nicht mit Datenschutz beschäftigt hat, sollte sich dies unbedingt als Neujahrsvorsatz vornehmen. Aber das haben Sie schon oft genug gehört – die alarmistischen Töne erspare ich uns in diesem Beitrag. Hier geht es um Erleichterungen bzw. die Frage, ob die DSGVO Entlastungen für kleine und mittlere Unternehmen (KMU) vorsieht.

Entlastungen ja

Die gute Neuigkeit: KMUs sind ausdrücklich in Erwägungsgrund 13 berücksichtigt. Dieser nennt als konkrete Entlastung aber nur die Verfahrensverzeichnisse, die als Pflicht in Art. 30 DSGVO normiert ist. Art. 30 Abs. 5 DSGVO enthält eine Ausnahme, dass diese Dokumentationspflicht nicht für Unternehmen mit weniger als 250 Mitarbeiter gilt. Bestimmt haben Sie bemerkt, dass Verfahrensverzeichnisse ein gängiges – weil wichtiges Thema – ist, weswegen wir hier im Blog bereits öfter darüber berichtet haben. In dem Sinne können Sie zu den Verfahrensverzeichnissen gerne hier nochmals nachlesen. Über die Rechtsunsicherheit, die mit Art. 30 Abs. 5 DSGVO verbunden ist und die damit einhergehenden Risiken sind hier beschrieben.

Beachten Sie aber, dass auch KMUs umfassende Dokumentationspflichten unterliegen. In dem Sinne kann es durchaus sinnvoll sein, sich trotz möglicher Entlastung an den Vorgaben des Art. 30 DSGVO zu orientieren.

Angemessene Vorkehrungen

Nach Art. 24 DSGVO hat der Verantwortliche

„unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Recht und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen [TOMs zu treffen …]“

Die Berücksichtigung der KMU steckt hinter dem Begriff „angemessen“ in Abs. 2, wonach der Verantwortliche geeignete Datenschutzvorkehrungen nur dann treffen muss, wenn sie in einem angemessenen Verhältnis zu der Verarbeitungstätigkeit steht:

„Vorkehrungen, die für große Unternehmen im Hinblick auf die Vielzahl der betroffenen Verarbeitungsprozesse angezeigt und zumutbar erscheinen, sind für kleine Unternehmen mit wenigen Verarbeitungsprozessen nicht unbedingt adäquat – und umgekehrt.“ (Aus Martini, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 24, Rn. 42.)

Die Angemessenheit richtet sich somit danach, ob die Vorkehrungen bezogen auf die Verarbeitung und das konkrete Unternehmen verhältnismäßig ist. Dies ist im Einzelfall zu bestimmen.

Verhaltensregeln für KMU

Ferner sind KMU in Art. 40 DSGVO erwähnt. Diese Vorschrift enthält jedoch keine Entlastung, sondern eher einen Aufruf an Verbände und Vereinigungen, Verhaltensregeln auszuarbeiten, die auch die Bedürfnisse der KMU berücksichtigen sollen. Es gilt jedoch abzuwarten, inwieweit die Verbände solche Verhaltensregeln ausarbeiten und die Aufsichtsbehörden diese genehmigen. Eine tatsächliche Vereinfachung für KMU ergibt sich hier erst in einem zweiten Schritt, wenn die Regeln bestehen und als Maßstab für das Verhalten von KMU herangezogen werden können.

Kleine Unternehmen, wenige Prozesse

Lassen Sie sich jedoch nicht abschrecken, weil es keine wirklich nennenswerten Entlastungen gibt! Erfahrungsgemäß fallen in kleineren Unternehmen weniger Datenverarbeitungsvorgänge an; auch die Strukturen dürften übersichtlicher sein. Als Hilfestellung finden Sie im Übrigen hier den Fragebogen des Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für KMUs den Sie möglicherweise bereits kennen. Aber Achtung! Beim Datenschutz geht es um den Schutz personenbezogener Daten. Die Entlastung der KMU ist kein Freibrief für Datenschutzverstöße. So gerne ich und wir Ihnen hier etwas anderes sagen würden – nehmen Sie den Datenschutz ernst und behalten Sie die Bußgelder im Hinterkopf. Beginnen Sie z.B. schon mal mit den grundlegenden Anforderungen, wie dem Verfahrensverzeichnis.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. ich habe bisher nirgends eine Antwort/Fragebogen finden können , mit dem ich
    ermitteln könnte, ob ich betroffen sein könnte. Bei sämtlichen Fragebögen/
    Hilfen wird davon ausgegangen, dass ktegorisch jeder betroffen sein muß.
    Was ist mit Mini-Einzelunternehmern, die keine NL verschicken, keine Daten
    über ihre Website erheben und ihre paar Kunden in einem Büchlein verwalten,
    lediglich mit Namen, Tel., Adresse, wie sie sowiso im Telefonbuch stehen.
    Ich habe das Gefühl, daß bewußt nirgends diese Ausnahmen zur DSGVO veröffentlicht werden um hier eine
    eine Lizenz zu Gelddrucken für Juristen und Abmahnmanwälte zu schaffen.
    Soll
    jeder jetzt kriminalisiert werden, wir sind doch keine Einsiedler, wir sind
    doch auf Kontakdatenaustausch um des Miteinander angewiesen.
    Mein Kunde/Schüler mochte doch, daß ich ihn anrufen kann…
    MfG
    Michael von Berg

    • Grundsätzlich gilt die DSGVO, sobald personenbezogene Daten zu nicht rein persönlichen oder familiären Zwecken verarbeitet werden. Mehr dazu finden Sie in dem Beitrag: Die DSGVO gilt, wenn…

      Kleine Unternehmen und Einzelpersonen können unter Umständen von einzelnen Pflichten der Datenschutz-Grundverordnung befreit sein (etwa der Bestellung eines Datenschutzbeauftragten oder der Führung eines Verzeichnisses von Verarbeitungstätigkeiten), nicht aber von der Verordnung als Ganzes.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.