Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Beitrag verfasst von Dr. Rainer Knyrim und Theodor Mach-Walter – KTR-Newsletter November 2024

Der Leitfaden für kleine Unternehmen des Europäischen Datenschutzausschusses (EDSA) ist seit Sommer 2024 in deutscher Übersetzung online verfügbar (https://www.edpb.europa.eu/sme-data-protection-guide/home_en).

Die Europäische Kommission definiert Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern bei einer Jahresumsatzsumme von bis zu EUR 50 Mio als KMU (kleine und mittlere Unternehmen). Das umfasst 99,6 Prozent der in Österreich tätigen Unternehmen (https://www.bmaw.gv.at/Services/Zahlen-Daten-Fakten.html). Dementsprechend relevant ist der Leitfaden für die österreichischen Betriebe!

Der EDSA-Leitfaden besteht aus einer Webseite, auf der wesentliche Punkte, die es beim Thema Datenschutz als Unternehmen zu beachten gibt, knapp zusammengefasst sind. Wir haben uns diese angesehen:

Mit einem Video, Grafiken und Praxis-Beispielen sollen im Leitfaden auch komplexere Vorgänge wie z.B. das Verarbeitungsverzeichnis verständlich gemacht werden. Tatsächlich wird aber etwa genau zu diesem Punkt dann nicht viel mehr als der Inhalt des Art 30 aufgezählt und für „mehr“ auf den Art 30 DSGVO und das Positionspapier der Art-29-Datenschutzgruppe in der englischen Fassung aus 2018 verlinkt.

Hilfreich ist hingegen eine Übersichtstabelle im Kapitel „Rechte des Einzelnen respektieren“, die zeigt, welche Betroffenenrechte bei welcher Rechtsgrundlage bestehen (https://www.edpb.europa.eu/sme-data-protection-guide/respect-individuals-rights_de).

Im Kapitel „Datenschutzverletzungen“ gibt es neben allgemeinen Informationen zu den Melde- und Verständigungspflichten eine kurze Verlaufsgrafik, die die Frage lösen soll, ob man einen Data Breach melden muss und ob die Betroffenen zu informieren sind. Diese erklärt aber nicht die in der Praxis oft heikle Frage, wie man die Einstufung in ein hohes oder niedriges Risiko vornimmt (https://www.edpb.europa.eu/sme-data-protection-guide/data-breaches_de).

Leider auch nicht sehr hilfreich ist der Punkt „Wie kann man eine Datenschutz-Folgenabschätzung (DSFA) durchführen?“ im Kapitel „Seien Sie konform“ ( https://www.edpb.europa.eu/sme-data-protection-guide/be-compliant_de#toc-3) . Dieser enthält einen – äußerst kurzen – geführten grafischen Fragenkatalog zur Vorprüfung (sog. Schwellenwertprüfung), ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht. Erst wenn man diesen tatsächlich „durchspielt“, wird man an einer Stelle darin in einem kleinen Aufzählungspunkt darauf hingewiesen, dass es zu den Ausnahmen Regelungen der nationalen Datenschutzbehörden geben kann. Genau dies trifft beispielsweise in Österreich zu! Aufgrund der Verordnungsermächtigung in der DSGVO hat die österreichische Datenschutzbehörde zwei Verordnungen zur Datenschutz-Folgenabschätzung und den Ausnahmen von der Datenschutz-Folgenabschätzung erlassen, die bei solchen Assessments zu beachten sind. Wer sich daher mit dem reinen Textteil auf dieser Webseite begnügt, ohne den Fragenkatalog „durchzuspielen“, stößt nicht auf die Information zu diesen Regelungen und wird womöglich zu einem falschen Ergebnis gelangen. Man würde sich hier vom EDSA, der sich immerhin aus den europäischen Datenschutzbehörden zusammensetzt, auch eine Sammlung aller nationalen Verordnungen zur Datenschutz-Folgenabschätzung erwarten. Eine solche wäre gerade für kleine Unternehmen sehr hilfreich und fehlt leider.

Der Leitfaden des EDSA bringt an einigen wenigen Stellen einen Mehrwert, gibt aber oft nur den Text der DSGVO in anderen Worten wieder. In Summe ist er eher enttäuschend und nur mit Vorsicht zu nutzen und kann gerade bei KMU – wie auch in Unternehmen oder Organisationen mit geringen Ressourcen oder mangelnder rechtlicher Expertise im Datenschutz – zu einem falschen Gefühl der Einfachheit und Sicherheit führen. Tatsächlich ist die DSGVO in der Praxis nicht so einfach zu handhaben, wie der Leitfaden zu vermitteln versucht. Er ersetzt daher nicht die gründliche eigene Befassung mit der DSGVO!

Artikel drucken

Beiträge

Newsletter November 2024

Erste Pflichten und Verbote aus dem AI Act

Der AI Act wird bis August 2026 in drei Phasen anwendbar. Bereits ab Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt und dass keine verbotenen KI-Anwendungen zum Einsatz kommen. Was genau ist hier notwendig?

KI und Datenschutz – Infos und Tipps von DSB und DSK

Unternehmen müssen sicherstellen, dass sie KI-Anwendungen datenschutzkonform betreiben und sollten klare interne Richtlinien zur Nutzung implementieren. Wir haben uns dazu die FAQ der österreichischen Datenschutzbehörde und die Orientierungshilfe der Deutschen Datenschutzkonferenz angesehen.

10 Jahre „Datenschutz konkret“

Mit einem „Datenschutz-Heurigen“ wurde das 10-jährige Bestehen der Zeitschrift „Datenschutz konkret“ gefeiert.

Wann sind Webdesigns manipulativ?

Manipulative Webdesigns, auch „Deceptive Design Patterns“ genannt, nutzen psychologische Tricks, um Nutzer:innen zu bestimmten Verhaltensweisen zu verleiten, oft zu deren Nachteil. Der EDSA hat dazu Leitlinien für Social Media-Plattformen veröffentlicht. Die Empfehlungen für datenschutzkonformes Design sind auch für Websites und Apps relevant.

Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)

Der Leitfaden des EDSA für kleine Unternehmen, seit Sommer 2024 auf Deutsch verfügbar, bietet grundlegende Informationen zu Datenschutzpflichten. Er erklärt etwa die Betroffenenrechte und Datenschutzverletzungen, ist jedoch in mehreren Bereichen zu oberflächlich.

200 Vorträge zum Datenschutz!

Dr. Rainer Knyrim wurde auf der PriSec 2024 für über 200 Vorträge und 9 Jahre Engagement als fachlicher Leiter mit einem einzigartigen „Pokal“ geehrt.

Schlechte IT-Sicherheit kann teuer werden! Stadt Baden muss für Datenleck Schadenersatz zahlen

Das OLG Wien bestätigte die Verurteilung der Stadt Baden wegen eines Datenlecks im März 2022. Auch ohne nachweisbaren Missbrauch wurde einem betroffenen Bürger Schadenersatz zugesprochen. Die finanziellen Risiken von Datenschutzverletzungen können bei einer hohen Zahl von Geschädigten erheblich werden.

Publikationen unserer Kanzlei

Das Knyrim Trieb Rechtsanwälte Team war wie immer aktiv und hat in den letzten Monaten u.a. zu NIS-2, Medienprivileg, Datenzugangsansprüchen und Restschuldbefreiung publiziert. Für den „DatKomm“ gab es ein 361 Seiten-Upgrade und Dr. Rainer Knyrim hat sich nebenbei noch mit dem Data Act befasst.