Wie man an der steigende Seminar- und Beitragsdichte sehen kann steigt langsam die Aufmerksamkeit hinsichtlich der EU-DSGVO. Momentan befinden wir uns ja noch in den einigermaßen ruhigen Gewässern des BDSG sowie der entsprechenden Spezialgesetze. Unternehmen, die sich aber keinen Haftungsrisiken am Stichtag des 25.5.2018 aussetzen möchten, werden aber nicht umhinkommen bereits vorher mit der Umsetzung zu beginnen. Inhaltlich hat sich zwar in vielen Punkten nichts geändert, das hilft den Unternehmen aber nichts, denn einerseits haben sich die Dokumentationspflichten deutlich ausgeweitet und andererseits ergeben sich für Bereich, die – seien wir mal ehrlich – in der Vergangenheit zum Teil verständlich von Unternehmen doch eher stiefmütterlich angesehen wurden, wie das Thema Erstellung eines Verfahrensverzeichnisses bzw. von Verarbeitungsübersichten, plötzlich Bußgeldtatbestände, die es so vorher nicht gab.
Dieser aus meiner Sicht hinsichtlich der einzelnen rechtlichen Anforderungen völlig undifferenzierte Bußgeldkatalog wird uns daher zukünftig noch viel Kopfschmerzen bereiten. Natürlich hat die Aufsichtsbehörde eine Abwägung anhand des enthaltenen Katalogs in Art. 83 Abs. 2 EU-DSGVO durchzuführen, aber wie die Abwägung hinterher vorgenommen wird, wissen wir nicht. Was wir wissen ist nur, dass nach Art. 83 Abs. 4 lit. a) EU-DSGVO ein Bußgeld von bis zu 10.000.000 Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (der höhere Betrag zählt) erlassen kann. Bei der Bestimmung des Bußgeldes ist darüber hinaus nach Art. 83 Abs. 1 EU-DSGVO darauf zu achten, dass dieses zwar auch verhältnismäßig, aber auch wirksam und abschreckend sei. Einziges Licht im Tunnel ist, dass nach Erwägungsgrund 148 im Falle eines geringfügigen Verstoßes anstelle einer Geldbuße auch eine Verwarnung erteilt werden kann. Ein Anspruch darauf wird sich jedoch nur schwerlich durchsetzen lassen.
Eine wesentliche Folge des zuvor Gesagten ist, dass sich für Unternehmen, die sich absichern wollen, im stärkeren Maße als bisher Rechenschaftspflichten ergeben. Inhaltliche Ausführungen zu den Rechenschaftspflichten finden sich in Art. 30 EU DS-GVO bezüglich der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten.
Nun müssen nach der EU-DS-GVO nicht mehr alle Unternehmen für jeden Fall ein Verzeichnis erstellen. Kleinere Unternehmen sind jedoch nicht generell entbunden. Sie fallen aber auch nicht mehr pauschal in die Verpflichung ein Verzeichnis zu führen.
Unternehmen mit weniger als 250 Beschäftigten müssen nur für solche Verfahren ein Verzeichnis vorhalten, bei denen
a) von der vorgenommenen Verarbeitung besondere Risiken für die Rechte und Freiheiten der betroffenen Personen ausgehen (z.B. bei Videoüberwachung anzunehmen),
b) die Verarbeitung nicht nur gelegentlich erfolgt,
c) besondere Arten personebezogener DAten verarbeitet (besonderen Datenkategorien nach Art. 10 EU- DSGVO) verarbeitet werden oder
d) Daten über strafrechtlichen Verurteilungen und Straftaten verarbeitet werden (z.B. in Personalfragebögen).
Es kommt hinzu, dass auch für kleinere Unternehmen die Rechenschaftspflichten des Art. 5 Abs. 2 EU DS-GVO bestehen bleiben, die ebenfalls eine Dokumentationspflicht nach sich ziehen. Bei den Rechenschaftspflichten nach Art. 5 Abs. 2 EU DSGVO geht es darum, das das Unternehmen nachweisen können muss, dass es die Grundsätze der Datenverarbeitung personenbezogener Daten nach Art. 5 Abs. 1 EU-DSGVO einhält. Dies betrifft die Anforderungen der Rechtmäßigkeit und der Transparenz der Datenverarbeitung sowie der Erhebung der Daten nach Treu und Glauben, die Beachtung des Zweckbindungsgrundsatzes, dem Grundsatz der Datenminimierung, der RIchtigkeit der Daten, der Speicherbegrenzung und der Integrität und Vertraulichkeit der Datenverarbeitung. Die Bedeutung dieser Rechenschaftspflicht und die Frage, was passiert, wenn ein (kleineres) Unternehmen diese nicht erfüllen kann, wird zur Zeit noch unterschiedlich beurteilt. Nicht auszuschließen ist, dass dies im Falle eines gerichtlichen oder aufsichtsbehördlichen Verfahrens zu einer Beweislastverschiebung zulasten des Unternehmens führen könnte.
Wie auch immer. Ich selbst sehe aufgrund der gesteigerten Rechenschaftspflichten nicht, dass kleinere Unternehmen von der Ausnahmeregelung hinsichtlich der Verpflichtung, Verzeichnisse von Verarbeitungstätigkeiten zu führen, großartig profitieren können werden. Meine Empfehlung wird daher dahin gehen alle Verfahren durchgängig zu Dokumentieren und die entsprechenden Grundprinzipien der Datenverarbeitung in der Dokumentation mit zu berücksichtigen.
Anmerkung:
Hinsichtlich der Anforderungen der Aufsichtbehörden hinsichtlich der Rechtenschaftspflichten kann man ergänzend auf das Working Paper der Artikel 29-Datenschutzgruppe zurückgreifen um sich von den Vorstellungen die an Unternehmen herangetragen werden einen Eindruck zu machen: Working Paper 173 „Stellungnahme zum Grundsatz der Rechenschaftspflicht“ (2010-07-13).
Zu den Rechenschaftspflichten ferner: Haug, „Accountability“: Die Rechenschaftspflicht im europäischen Datenschutzrecht