Bürokratieentlastung 2025 – Warum der Datenschutzbeauftragte (meist) nicht das Problem für den Mittelstand sind.
Ich finde die aktuelle Diskussion über die Abschaffung von Beratern (ohnehin nur in dem Rahmen möglich, den das EU-Recht zulässt), eigentlich ganz unterhaltsam. Das Problem sind nicht – für meinen Fachbereich – die Datenschutzbeauftragte /-Berater, sondern die Gesetze die Datenschutzmaßnahmen erfordern, methodisch aber zu wünschen lassen, weil sie widersprüchlich oder uneindeutig sind.
Datenschutz ist an sich auch nicht so schwierig, wenn man nur wüsste, was genau eigentlich Sache ist. Im folgenden ein paar Beispiele. Ich gebe hier nur meine persönliche Meinung wieder, vielleicht auch etwas überspitzt. Der Artikel wird von Zeit zu Zeit fortgesetzt.
Unsere Datenschutzgesetze eine Sache für sich / Erwägungsgründe und Artikel
Rechtsakte der Europäischen Union sind schon eine Sache für sich. Das fängt schon mit der etwas komischen Sprache (selbst für Gesetze) an, da die Gesetze nun mal nicht in deutscher Sprache entstehen (die EU hat 24 Amtssprachen) und sich die Frage stellt, welche Sprachfassung eigentlich bindend ist. Da kann es dann schon mal sein, dass man die englischen oder französische Sprachfassung parallel dazu lesen muss, weil die deutsch Sprachfassung unklar ist.
Worauf ich aber eigentlich hinaus möchte ist die Aufteilung von Artikeln und Erwägungsgründen. Es gibt 99 Artikel, also das eigentliche Gesetz. Um die zu erklären braucht man zusätzlich 173 Erwägungsgründe. Was unter die Formulierung “berechtigtes Interesse” als Rechtsgrundlage für eine Verarbeitung, fallen kann, erschließt sich einem teilweise nur über die Erwägungsgründe. Das ist natürlich ein ganz wichtiger Punkt für Unternehmen. Fallbezogen erfahren wir dann aus EG 47, dass auch eine Kundenansprache zu Werbezwecken berechtigt sein kann und aus EG 48, dass Unternehmensgruppen zu einem internationalen Datenaustausch berechtigt sein können, Stichwort Konzerndatenverarbeitung (wenn das auch meist nicht weiterhilft). Auch für die Frage, welche Interessen oder Grundrechte oder Grundfreiheiten des Betroffenen zu berücksichtigen sind bzw. was darunter fällt, können sie eine Rolle spielen, den da kann ja so ziemlich alles drunter fallen.
Die Erwägungsgründe sind allerdings keine bindende Vorschriften, aus denen man einen direkten Rechtsanspruch ableiten könnte.
Das der nationale Gesetzgeber auf Bundes- und Landesebene im BDSG / LDSG teilweise noch eigene Regelungen treffen konnten, macht es auch nicht unbedingt leichter. Wenn man nicht gerade im Behördenkontext tätig ist, überrascht es einen schon, dass man da manchmal reinsehen muss.
Teilweise wurden Regelungen auch schon für unwirksam erklärt. Mit Entscheidung (https://www.bverwg.de/270319U6C2.18.0) vom 27.3.2019 hat das
Bundesverwaltungsgericht (BVerwG) die Anwendung von § 4 Abs. 1 BDSG für unionsrechtlich unzulässig erklärt.
Manche Sachen sind auch fragwürdig. Die Datenschutzfolgenabschätzung ist in der DSGVO eigentlich ausführlich geregelt, auch die Rolle des DSB bei dieser Geschichte. Wieso man die Bestellpflicht eines DSB bei einer DSFA vorsieht (§ 38 Abs. 2 BDSG), wenn der diese doch gar nicht durchführen soll (Art. 35 Abs. 2 DSGVO), muss man nicht verstehen. Als es früher noch die Vorabkontrolle gab, habe ich tatsächlich einige Mandaten bekommen, wegen der Bestellpflicht. Jetzt wird das glaube ich zu Recht ignoriert.
Rechtsgrundlagen personenbezogene Daten
Das Datenschutzrecht unterscheiden zwischen personenbezogenen Daten (Legaldefinition in Art. 4 Abs. 1 DSGVO) und “besondere Kategorien personenbezogener Daten” (toller Begriff, aber man gewöhnt sich dran) für deren Verarbeitung in Art. 9 DSGVO besondere Voraussetzungen genannt werden (Legaldefinitionen für genetische-, biometrische- und Gesundheitsdaten finden wir übrigens in Art. 4 DSGVO). Nicht jeder merkt es gleich und ob es vollkommen unumstritten ist, weiß ich auch nicht, dass nach der herrschenden Lehre es nicht reicht für die Verarbeitung von z.B. Gesundheitsdaten allein die Vorschrift des Art 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) zu konsultieren, sondern gleichzeitig die Voraussetzungen des Art 6 (Rechtmäßigkeit der Verarbeitung), mit den verschiedenen Verarbeitungstatbeständen für normale personenbezogene Daten, vorliegen müssen, obwohl z.B. beide Vorschriften eigene Rechtmäßigkeitsgründe, wie z.b. die Verarbeitung im Rahmen einer Einwilligung oder eines Vertrags enthalte. Das zunächst in Art. 9 Abs. 1 DSGVO normierte strikte Verarbeitungsverbot ist auch faktisch überflüssig (instruktiv zum Ganzen: Schulz in: Gola/Heckman DS-GVO/ BDSG Kommentar, 3. Aufl., Art. 9 DS-GVO, RN. 2, 5).
Dokumentationsanforderungen, die man nur erahnen kann und kaum erfüllt werden
Die DSGVO ist nicht nur bezüglich der Höhe der Bußgelder ein Innovation, sondern sie sieht über die Regelung zur Rechenschaftspflicht des Art. 5 Abs. 2 eine allumfassende Rechenschaftspflicht des Verantwortlichen vor, so dass man im Zusammenhang mit der Haftungsregelung des Art. 82 Abs. 3 DSGVO teilweise schon von einer Beweislastverschiebung zugunsten des Betroffenen spricht (dagegen
OLG Stuttgart, Urteil vom 31.3.2021 (9 U34/21) . Ein Verstoß gegen den DAtenschutz indiziert jedoch keinen Schaden. Trotzdem muss spätestens gegenüber der Aufsichtsbehörde die Einhaltung der Datenschutzvorschriften nachgewiesen werden können.
Überraschend für die Kunden ist es regelmäßig, wenn eine Verarbeitung aufgrund eines berechtigten Interesses erfolgt, wenn man darauf hinweist, dass die Interessenabwägung nach Ansicht der Aufsichtsbehörden zu dokumentieren ist. dafür stelle ich dann ein Formular zu verfügung. Teilweise kann man die Dokumentation auch in der Datenschutzerklärung oder der Datenschutzinformation nach Art. 13 DSGVO praktisch mit erledigen, aber machen muss man es halt.
Auch das Verzeichnis der Verarbeitungstätigkeiten (VVT) einschließlich der getroffenen Sicherheitsmaßnahmen, die durchgeführten Datenschutzfolgenabschätzungen bzw. die Schwellwertanalysen der nicht erforderlichen DSFA sind Dokumentationspflichten. Gleiches gilt für die Meldungen der Aufsichtsbehörden bei Datenschutzverstößen /-pannen oder in den Fällen in denen keine Meldungen erforderlich war, da nur ein ein (geringes) Risiko vorlag. Ich würde auch behaupten, dass ein Unternemen seine Rechenschaftspflichten nicht erfüllen kann, wenn es keine Listen der Dienstleister nach Art. 26 DSGVO gibt, sowie der Fälle in den gemeinsame Verantwortlichkeiten oder Drittstaatenverkehr nach Standardvertragsklauseln oder Angemessenheitsbeschluss der EU durchgeführt wird. Kleinere Unternehmen brauchen da häufiger mal eine Erinnerung.
Ausnahmeregelungen die überhaupt keine Bedeutung haben
Kleinere Unternehmen könnten dem Wortlaut der DSGVO (Art. 30 DSGVO) nach auch dazu neigen, gar nicht zu der Erstellung eines Verzeichnis der Verarbeitungstätigkeiten (VVT) verpflichtet zu sein. Art. 30 DSGVO schreibt nämlich in Abs. 5: “Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels“.
Ich kenne aber kein Unternehmen mit Personal, dass nur “gelegentlich” personenbezogene Daten verarbeitet. Aber selbst wenn, sieht die DSGVO im Grund vor, dass für jede Verarbeitung eine Schwellwertanalyse / Risikoabwägung durchzuführen ist. Da ist das VVT dann das geringste Problem.
Datenschutzfolgenabschätzung
Mein Lieblingsbeispiel ist die Datenschutzfolgenabschätzung (Welchen grammatikalischen Grund gibt es eigentlich, dass das in den Gesetzestexten mit einen Bindestrich zur “Datenschutz-Folgenabschätzung” gemacht hat? Hat Word das so vorgeschlagen oder liegt es an meiner Unwissenheit?
Das Thema Datenschutzfolgenabschätzung wäre anhand des Gesetzeswortlaut (Art. 35 DSGVO) ja noch entsprechend der Norm zu lösen, nimmt man aber die Orientierungshilfen der Aufsichtsbehörden oder sonstige Praxishilfen hinzu, bekommt man den Eindruck, dass man eine ganz andere Regelung vor sich hat. Jedenfalls nichts was man mal an einem längeren Nachmittag und einer Tasse Kaffee mal bewältigen könnte.
Kurzpapier der Datenschutzkonferenz (DSK):
Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen
Praxishilfe der GDD e.V.:
Voraussetzungen der Datenschutz-Folgenabschätzung, Vers. 1.0, Stand: Oktober 2017
Das ist alles noch sehr allgemein und theoretisch.
Es gibt durchaus eine Aufsichtsbehörde, dies sich mittlerweile sehr viel Mühe damit gemacht hat auch Muster zur Verfügung zu Stellen und eine Beispiel für die Umsetzung zu liefern.
Der Bayerische Landesbeauftragte für den Datenschutz stellt als Hilfsmittel für die Durchführung einer Datenschutzfolgenabschätzung und einer allgemeinen datenschutzrechtlichen Risikoanalyse auf seiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik „DSFA“ Unterlagen bereit, die m.E. zur Zeit das Beste sind, was man so findet. Das Erklärungsdokument “Risikoanalyse und Datenschutz-Folgenabschätzung Systematik, Anforderungen, Beispiele” hat dann aber leider auch mal schlappe 78 Seiten, mit denen man sich beschäftigen kann, bevor es überhaupt losgeht.
Irgendwie irritierend, dass man, bevor man überhaupt weiß, ob man eine Datenschutzfolgenabschätzung durchführen muss, zunächst mal eine Schwellwertanalyse machen muss (man könnte das auch eine kleine Risikoanalyse nennen, die jetzt aber zunächst mal nicht nach den allgemein anerkannten Verfahren der Risikoanalyse erfolgt, da die Schutzgüter im Datenschutz nicht (vollständig) mit den Schutzgütern der Informationssicherheit kongruent sind). Hierfür muss man verschiedene weitere Dokumente konsultieren, um diese zu einem Ergebnis bringen zu können. So gibt es seitens der DSK und der verschiedener Länder Postivlisten, die eine DSFA fordern und es gibt die Anforderungen, die sich aus dem Workingpaper 248 Rv 1 ergeben.
Positivliste der DSK:
https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf
Zusätzlich Positivlisten der Länder:
Prominentes Beispiel Bayern: https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf
Workingpaper von EDSA übernommen:
https://www.google.com/url?sa=t&source=web&rct=j&opi=89978449&url=https://ec.europa.eu/newsroom/document.cfm%3Fdoc_id%3D47711&ved=2ahUKEwjKnJiS0NeNAxUoQ_EDHXNcDd8QFnoECBIQAQ&usg=AOvVaw0fHA9krZ_2-wSysNMXoIyB
oder in Deutsch:
https://www.datenschutz-bayern.de/technik/orient/wp248.pdfDie dahinter stehenden Systematik für die Durchführung der Schwellwertanalyse ist nicht so kompliziert. Entweder es liegt ein Fall des Art. 35 Abs. 3 DSGVO vor (“insbesondere”) oder es ist ein Fall aus der Positivliste der DSK oder eines Landes oder die Beurteilungskriterien des WP 249 Rev. 1 sind erfüllt (siehe am Ende der DSK Positivliste) oder man (oder das System) ist selber der Meinung, es liegt ein hohes Risiko für einen Betroffenen vor (Arg. aus Art. 35 Abs. 1 DSGVO). Nach dem Motto lieber einmal mehr als weniger, kann das Letztere ja schnell der Fall sein (bzw. lieber nicht). Als normalen Unternehmer muss sich das einem aber erstmal erschliessen ohne Beratung.
Damit wären wird übrigens bei einen auch interessanten Randthema: Warum werden in der Literatur und von Aufsichtsbehörden bei nicht problematischen Themen teilweise DSFAs gefordert oder empfohlen, anstatt die Erforderlichkeit nicht klar zu verneinen (Beispiele: Meldestelle HinwSchG, elektronische Arbeitszeiterfassung)? Warum weigern sich die Aufsichtsbehörden eine Negativliste für die DSFA zur Verfügung zu erstellen (vgl. Art. 35 Abs. 5 DSGVO)? Die Antwort kenne ich, aber ein bisschen mehr Mut wäre so viel mehr Entlastung für die Unternehmen.
Durchführung der DSFA
Es gibt zu dem Thema eine DIN Norm, nach der man sich bei der Durchführung richten kann. Die ISO 29134 “Leitlinien für die Datenschutz-Folgenabschätzung (ISO/IEC 29134:2017); Deutsche Fassung EN ISO/IEC 29134:2020” beschäftigt sich – auf ihre Art – auf effektiv 55 Seiten recht ausführlich mit diesem Thema. Leider gibt es für die Bearbeitung der einzelnen vorgesehenen Aktionen keine praktischen Muster. Ich habe mich auch manchmal echt gefragt, was will man hier eigentlich von mir. Nutzen tut das praktisch meines Wissen in Deutschland auch keiner großartig. Es gab mal eine Aufsichtsbehörde, die das versucht hat, ich habe aber das Gefühl, dass die auch nicht mehr auf diesem Weg sind. Wahrscheinlich bedingt dadurch, dass man sich auf das Standarddatenschutzmodell geeinigt hat. Ich habe die DIN Norm einmal durchgespielt und war echt froh, dass mein Thema – sagen wir mal – unterkomplex war. Nie wieder.
Aktuell empfehlen die Aufsichtsbehörden meine Wissens das Standarddatenschutzmodell (SDM) für vieles, auch für die Durchführung der DSFA. Wer diese Weg gehen möchte, darf sich dann erstmal mit dem Dokument zur SDM-Methode beschäftigen.
https://www.datenschutzkonferenz-online.de/media/ah/SDM-Methode-V31.pdf
Anschließend wird man nicht darum herumkommen das einzige Fachbuch zu dem Thema zweimal durchzulesen.
(Kein Werbelink!)
Dies empfiehlt übrigens der Autor selber (Seite XIII). Ich möchte es bei ein paar Zitaten aus dem Lehrbuch belassen:
Das SDM soll eine Komplexitätsreduzierung bewirken: “Das hat für die Praxis den Vorteil einer enormen Komplexitätsreduktion auf Wesentliches. Es müssen dafür ein paar Vokabeln und Konzepte, wie was zusammenhängt gelernt werden.” (Seite 22).
Auch ein schönes Zitat (Seite XI):
“Selbstverständlich versprech ich nicht, was Datenschutzberater*innen typischerweise versprechen, nämlich dass ein wirksamer Datenschutz mit wenig Aufwand machbar ist. Nein, mit wenig Aufwand ist ein wirksamer Datenschutz nicht machbar, so wenig Umweltschutz, Informationssicherheit, Qualitätsmanagement, Arbeitsschutz oder Wirtschaftsprüfung ohne Aufwand machbar sind. Das SDM zeigt in der Regel auf, welch unbestreitbar hoher Aufwand zu betreiben ist, um wirksamen Datenschutz gemäß DSGVO zu erreichen.”(sic).
Auch der Weg über das SDM dürfte für Mittelstandsunternehmen kein leichter sein.
Abschließend möchte ich zur DSFA sagen, dass damit nicht alles gesagt wird, was es zu sagen gibt. Es gibt z.B. Programme, mit denen man das einfacher lösen kann, aber ohne eine qualifizierte Beratung ist das definitiv nicht zu schaffen.
Das Drittstaatendilema mit den USA
folgt
Cookies und Tracking
folgt
