Handreichungen für kleine Unternehmen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)

Die bayrische Datenschutzaufsichtsbehörde hat eine Reihe von Template-Dokumenten und Übersichten erstellt, die kleinen Unternehmen bei einer DSGVO Compliance helfen sollen. Zunächst sind diese Dokumente tatsächlich eine große Unterstützung für kleinere Unternehmen. Diese müssen nahezu sämtliche Verpflichtungen der DSGVO in ähnlicher Weise erfüllen wie Mittelständler und größere Konzerne. Auf den zweiten Blick enthalten die Handreichungen jedoch auch interessante generelle Aussagen, die für Unternehmen aller Größen von Bedeutung sind. Die allgemeinen Aussagen sollen hier im Vordergrund stehen, vorgestellt werden aber auch die Hilfestellungen für kleinere Unternehmen.

Vom Online-Shop zur Bäckerei

Anders als viele Dokumente der Datenschutzaufsichtsbehörden gehen die Handreichungen für kleine Unternehmen tatsächlich auf sehr konkrete Einzelfälle ein und definieren datenschutzrechtliche Anforderungen etwa für folgende Unternehmenstypen:
•    Steuerberater,
•    Arztpraxis,
•    Genossenschaftsbank,
•    Online-Shop,
um nur die relevantesten zu nennen. Zudem finden sich auch Detailinformationen für “Kleinstunternehmen“ wie eine Bäckerei oder eine Kfz-Werkstatt. Diese Spannbreite zeigt nicht zuletzt: Ausnahmslos jedes Unternehmen ist von der DSGVO betroffen und muss sich ernsthaft darum kümmern, die entsprechenden Vorgaben umzusetzen.

Überblick über DSGVO-Anforderungen

Für die meisten Typen von kleineren Unternehmen stellt das BayLDA sowohl ein Musterverzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO als auch ein jeweils zweiseitiges Dokument zur Verfügung, welches sich zu zehn besonders wichtigen Anforderungen der DSGVO äußert. So wird etwa bei jedem Unternehmen erläutert, dass Verträge über die Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden müssen. Im Falle des Online-Shops etwa mit einem Hosting-Anbieter, dem Lohnabrechner und einem Zahlungsdiensteleister.

Verzeichnisse von Verarbeitungstätigkeiten

Der bürokratische Aufwand im Rahmen der Datenschutz-Compliance ist gerade aufgrund der umfangreichen Erarbeitung von Verzeichnissen von Verarbeitungstätigkeiten besonders hoch. Zunächst macht das BayLDA hier auch für kleinere Unternehmen keine Ausnahme. Die Frage, ob die Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen, wird für jedes Unternehmen bejaht, obwohl grundsätzlich alle beschriebenen Unternehmen über deutlich weniger als den in der Ausnahmevorschrift von Art. 30 Abs. 3 DSGVO genannten 250 Mitarbeitern verfügen. Letztlich liegen aber in allen Fällen nach Ansicht des BayLDA entsprechende Rückausnahmen aus Art 30 Abs. 3 DSGVO vor. Das BayLDA stützt sich hier vorwiegend darauf, dass alle genannten Unternehmen – auch die Bäckerei – „regelmäßig“ (also häufiger als „nur gelegentlich“ i.S.v. Art 30 Abs. 5 DSGVO) personenbezogene Daten verarbeiten und deshalb ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen.
 
Gewissermaßen als „vermittelnde Lösung“ bietet das BayLDA dann aber sehr kurze und generische Muster für solche Verzeichnisse an, die typischerweise nicht mehr als eine DIN A 4 Seite füllen. Wenn auch der Informationsgehalt dieser Verzeichnisse sehr gering ist, so kann doch gut argumentiert werden, dass tatsächlich sämtliche Voraussetzungen aus Art. 30 DSGVO erfüllt sind. Zwar kann ein solches „Minimalverzeichnis“ kaum dazu dienen, eine Ist-Analyse der verarbeitenden Daten zu erstellen. Aus den Verzeichnissen lässt sich zudem ohne Zusatzwissen nicht ableiten, welche Compliance-Gaps noch geschlossen werden müssen, um eine volle DSGVO Compliance zu erreichen. Für größere Unternehmen bleiben vor diesem Hintergrund erweiterte Verzeichnisse der Verarbeitungstätigkeiten als zentrales Compliance-Dokument unerlässlich. Für die zukünftige mögliche Verteidigung gegen höhere behördliche Anforderungen sind die Minimal-Muster daher – vor allem in Bayern – Gold wert. Einen Bezug zu dem erst Mitte Februar von der DSK veröffentlichten Muster für Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO, die wesentlich länger sind als die Muster aus Bayern, stellt das BayLDA nicht her.

Löschen muss jeder!

Es kristallisiert sich bei den Datenschutzaufsichtsbehörden immer mehr heraus und es zeigt sich nun auch an den Anforderungen für kleinere Unternehmen: Um das Löschen von personenbezogenen Daten – nach Ablauf sämtlicher Aufbewahrungsfristen – kommt kein Unternehmen herum. Wenn dies schon für die Kfz-Werkstatt und die Bäckerei gilt, so muss dies erst recht von größeren Unternehmen ernst genommen werden. Im Rahmen eines Datenschutz-Audits kann viel zu leicht festgestellt werden, dass ältere Daten bislang nicht systematisch gelöscht wurden, als das man dieses Risiko eingehen könnte. Für größere Unternehmen, die bislang kein Löschkonzept erarbeitet haben, dürfte dies eine der letzten Warnungen sein.

Datenschutz-Folgeabschätzung

Interessant ist auch, dass keinem der kleineren Unternehmen eine Datenschutz-Folgeabschätzung zugemutet wird. Das BayLDA argumentiert hier schlichtweg damit, dass pauschal kein hohes Risiko bei der Datenverarbeitung besteht. Dies gilt auch, obwohl jedes der beschriebenen Unternehmen über Angestellte verfügt und insofern besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO verarbeitet. Selbst ein beschriebener Produktionsbetrieb mit 40 Mitarbeitern, der eine Videoüberwachung betreibt, muss nach der Ansicht des BayLDA insgesamt keine Datenschutz-Folgeabschätzung durchführen.

Dies zeigt, dass in Bayern offenbar höhere Schwellen gelten, als dies aus der entsprechenden Empfehlung der Art. 29 Working Party hervorgeht. Dies sollte zwar niemanden veranlassen unnötige Risiken einzugehen: Im Zweifelsfall sollte man lieber eine Datenschutzfolgeabschätzung dokumentieren, als darauf zu verzichten. Dennoch bieten die Handreichungen für kleinere Unternehmen das BayLDA auch für diesen Punkt sehr interessante Argumentationsansätze, die in der Zukunft im Zweifel im Rahmen von Verfahren gegen Datenschutzaufsichtsbehörden hilfreich werden.