Sign In

Welcome, Login to your account.

KMU & Freiberufler, Datenschutz | So, 08.04.2018 18:33

DSGVO und KMU: Datenschutz in kleinen und mittleren Unternehmen

Von: Thomas Fromm

Auf große Entlastung können kleine und mittlere Unternehmen in Zusammenhang mit der DSGVO nicht hoffen. Wohl sieht Erwägungsgrund 13 DSGVO vor KMU zu entlasten, so richtig umgesetzt wurden diese aber in der DSGVO nicht.


Rechtsunsicherheit besteht, ob Unternehmen unter 250 Mitarbeitern Verarbeitungsverzeichnisse führen müssen oder nicht. Dies sieht wohl Art. 30 Abs. 5 DSGVO vor, wird aber von den weiteren Ausführungen wieder aufgeweicht. Bei der Verarbeitung besonderer Kategorien sind Verarbeitungsverzeichnisse zu führen, also haben alle im Gesundheitsbereich tätigen Unternehmen keine Chance auf eine dahingehende Entlastung. Was eine gelegentliche Verarbeitung bedeutet, darüber müssen die Aufsichtsbehörden wohl erst noch aufklären. Ob darunter das regelmäßige Schreiben von E-Mails oder das Schreiben von Angeboten und Rechnungen fällt, ist doch sehr fraglich.

Aufgrund dessen ist anzuraten, dass auch kleinere Unternehmen Verarbeitungsverzeichnisse führen, schließlich offenbaren diese doch, wo sich datenschutzrechtliche Probleme befinden können. Auch könnten sich daraus Optimierungen im Betriebsablauf ableiten. Die Dokumentationspflichten haben auch kleine und mittlere Unternehmen, davon sind sie nicht ausgenommen. Die Dokumentation lässt sich gut anhand der Verarbeitungen aufbauen, da in diesen die personenbezogenen Daten identifiziert sind. Worin sich große Unternehmen von kleinen und mittleren unterscheiden, ist die Anzahl der Verarbeitungsvorgänge. Diese sind in den meisten Fällen in KMUs überschaubar. Im Prinzip wird die Dokumentationspflicht für kleinere Unternehmen vor allem eines sein – ein einmaliger, wenngleich nicht zu verachtender, redaktioneller Aufwand.

Die umfassenden Dokumentationspflichten sind von kleinen und mittleren Unternehmen auf jeden Fall zu beachten, das umfasst insbesondere auch die ergriffenen technischen und organisatorischen Maßnahmen zu beschreiben. Dabei sollte der aktuelle Stand der Technik beachtet werden, wobei die Datenschutzgrundverordnung auch vorsieht, dass eine Verhältnismäßigkeit bewahrt bleibt. Demzufolge dürfte es nicht im Sinne der DSGVO sein, dass ein kleines Unternehmen dieselben technischen Möglichkeiten ausnutzt wie das ein großes finanzstarkes Unternehmen tun kann. Durch diese Verhältnismäßigkeit werden die personellen und finanziellen Möglichkeiten von kleineren Unternehmen von der DSGVO beachtet. Hilfreich ist es auch die Empfehlungen der Fachverbände in Entscheidungen einzubeziehen.

Darüber hinaus sind die vertraglichen Regelungen zu überprüfen und anzupassen. Auf die Einwilligungen zur Verarbeitung ist besonders zu achten. Alteinwilligungen werden in den wenigstens Fällen noch gültig sein. Deshalb müssen diese eingeholt werden. Dasselbe gilt für die Datenschutzerklärung, die für das Impressum der Homepage notwendig ist, um sich vor Abmahnungen zu schützen. Zudem sind Auftragsverarbeitungsverträge mit externen Dienstleistern abzuschließen.