Das kann der EDSA-Datenschutz-Leitfaden für KMU (nicht)
Beitrag verfasst von Dr. Rainer Knyrim und Theodor Mach-Walter – KTR-Newsletter November 2024
Der Leitfaden für kleine Unternehmen des Europäischen Datenschutzausschusses (EDSA) ist seit Sommer 2024 in deutscher Übersetzung online verfügbar (https://www.edpb.europa.eu/sme-data-protection-guide/home_en).
Die Europäische Kommission definiert Unternehmen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern bei einer Jahresumsatzsumme von bis zu EUR 50 Mio als KMU (kleine und mittlere Unternehmen). Das umfasst 99,6 Prozent der in Österreich tätigen Unternehmen (https://www.bmaw.gv.at/Services/Zahlen-Daten-Fakten.html). Dementsprechend relevant ist der Leitfaden für die österreichischen Betriebe!
Der EDSA-Leitfaden besteht aus einer Webseite, auf der wesentliche Punkte, die es beim Thema Datenschutz als Unternehmen zu beachten gibt, knapp zusammengefasst sind. Wir haben uns diese angesehen:
Mit einem Video, Grafiken und Praxis-Beispielen sollen im Leitfaden auch komplexere Vorgänge wie z.B. das Verarbeitungsverzeichnis verständlich gemacht werden. Tatsächlich wird aber etwa genau zu diesem Punkt dann nicht viel mehr als der Inhalt des Art 30 aufgezählt und für „mehr“ auf den Art 30 DSGVO und das Positionspapier der Art-29-Datenschutzgruppe in der englischen Fassung aus 2018 verlinkt.
Hilfreich ist hingegen eine Übersichtstabelle im Kapitel „Rechte des Einzelnen respektieren“, die zeigt, welche Betroffenenrechte bei welcher Rechtsgrundlage bestehen (https://www.edpb.europa.eu/sme-data-protection-guide/respect-individuals-rights_de).
Im Kapitel „Datenschutzverletzungen“ gibt es neben allgemeinen Informationen zu den Melde- und Verständigungspflichten eine kurze Verlaufsgrafik, die die Frage lösen soll, ob man einen Data Breach melden muss und ob die Betroffenen zu informieren sind. Diese erklärt aber nicht die in der Praxis oft heikle Frage, wie man die Einstufung in ein hohes oder niedriges Risiko vornimmt (https://www.edpb.europa.eu/sme-data-protection-guide/data-breaches_de).
Leider auch nicht sehr hilfreich ist der Punkt „Wie kann man eine Datenschutz-Folgenabschätzung (DSFA) durchführen?“ im Kapitel „Seien Sie konform“ ( https://www.edpb.europa.eu/sme-data-protection-guide/be-compliant_de#toc-3) . Dieser enthält einen – äußerst kurzen – geführten grafischen Fragenkatalog zur Vorprüfung (sog. Schwellenwertprüfung), ob eine Datenschutz-Folgenabschätzung erforderlich ist oder nicht. Erst wenn man diesen tatsächlich „durchspielt“, wird man an einer Stelle darin in einem kleinen Aufzählungspunkt darauf hingewiesen, dass es zu den Ausnahmen Regelungen der nationalen Datenschutzbehörden geben kann. Genau dies trifft beispielsweise in Österreich zu! Aufgrund der Verordnungsermächtigung in der DSGVO hat die österreichische Datenschutzbehörde zwei Verordnungen zur Datenschutz-Folgenabschätzung und den Ausnahmen von der Datenschutz-Folgenabschätzung erlassen, die bei solchen Assessments zu beachten sind. Wer sich daher mit dem reinen Textteil auf dieser Webseite begnügt, ohne den Fragenkatalog „durchzuspielen“, stößt nicht auf die Information zu diesen Regelungen und wird womöglich zu einem falschen Ergebnis gelangen. Man würde sich hier vom EDSA, der sich immerhin aus den europäischen Datenschutzbehörden zusammensetzt, auch eine Sammlung aller nationalen Verordnungen zur Datenschutz-Folgenabschätzung erwarten. Eine solche wäre gerade für kleine Unternehmen sehr hilfreich und fehlt leider.
Der Leitfaden des EDSA bringt an einigen wenigen Stellen einen Mehrwert, gibt aber oft nur den Text der DSGVO in anderen Worten wieder. In Summe ist er eher enttäuschend und nur mit Vorsicht zu nutzen und kann gerade bei KMU – wie auch in Unternehmen oder Organisationen mit geringen Ressourcen oder mangelnder rechtlicher Expertise im Datenschutz – zu einem falschen Gefühl der Einfachheit und Sicherheit führen. Tatsächlich ist die DSGVO in der Praxis nicht so einfach zu handhaben, wie der Leitfaden zu vermitteln versucht. Er ersetzt daher nicht die gründliche eigene Befassung mit der DSGVO!