Unternehmen in Deutschland geben an, auch jetzt noch nicht alle Prozesse DS-GVO-konform angepasst zu haben. Die sorgfältige Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DS-GVO stellt derzeit viele Unternehmen vor eine große Herausforderung. Nach einer aktuellen Umfrage des Bitkom e.V. haben 49 % der Unternehmen derzeit kein solches Verzeichnis. Vor allem für KMU bedeutet die Pflicht einen sehr hohen bürokratischen und personellen Aufwand.
Das liegt daran, dass die Anforderungen als sehr komplex wahrgenommen werden. Immerhin 99 Artikel der DSGVO wollen geprüft und im Einzelnen umgesetzt werden. Wenn Sie sich alle Informationen allein zusammensuchen müssen, ist das eine Mammutaufgabe. Dazu kommen oft personelle Schwierigkeiten. Und je mehr Zeit ins Land geht, desto mehr verliert das Thema an Aktualität, und desto intensiver müssen Sie um die Aufmerksamkeit und die Umsetzung kämpfen.
Oft wird dann vonseiten der Geschäftsführung gesagt, es reiche ja, wenn man „das Gröbste“ erledigt habe. Bisher gebe es ja nur ein paar Fälle, die abgestraft worden seien. Vielleicht würde ja nicht alles so heiß gegessen, wie es gekocht werde.
Aber das ist ein fataler Irrtum!
Mit der Einführung der Datenschutz-Grundverordnung (DS-GVO) sind Unternehmen verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu erstellen und zu führen. Mit Bezug auf die heutige Situation wird deutlich, wie sinnvoll die beschriebenen Verarbeitungstätig-keiten und Verfahrensbeschreibungen sind. Unternehmen, die eine klar definierte und strukturierte Verfahrensbeschreibungen in ihrer Unternehmensstruktur besitzen, können schnell und gründlich Schwachstellen analysieren und problemlos und schnell auf diese starken Veränderungen reagieren. Um reagieren zu können, ist es wichtig seine eigenen bisherigen Prozesse zu kennen. Dann sind Veränderungen, wie beispielsweise in der Pandemiezeit, schnell einzuarbeiten, ohne Gefahr zu laufen, größere und eventuell auch schwerwiegende Fehler mit einzubeziehen. Verantwortlichkeiten sollten stets eindeutig geregelt sein. Für Notfälle und außergewöhnliche Vorkommnisse sollte jedes Unternehmen konzeptionell einen gut durchdachten und funktionierten Notfallplan (Notfallkonzept) besitzen. Leider ist zu beobachten, dass sich viele Unternehmen noch nie mit solchen oder ähnlichen Szenarien beschäftig haben. Nun müssen diese Unternehmen teils in Stunden Realitäten schaffen, die eine grob veränderte Struktur erfordern. Dabei sind nicht rein die formalen Arbeitsabläufe betroffen, sondern müssen viele Verordnungen, Gesetze und Bestimmungen (wie z.B. Arbeitsstättenverordnung, Arbeitsschutzbestimmungen, Datenschutzbestimmungen, …) eingehalten werden.
Die Schonfrist der Behörden ist vorbei:
In den letzten Monaten wurden bereits Bußgelder von bis zu 195.000 € verhängt, über 200 Verfahren laufen aktuell allein nur in Bayern!
Also, Hand aufs Herz – wie gut sind Sie tatsächlich vorbereitet? Fühlen Sie sich sicher?
Haben Sie in Ihrem Unternehmen bereits alles an die neuen Forderungen angepasst? Oder fehlt noch das ein oder andere?
Bei den anstehenden Prüfungen wird auch auf Kleinigkeiten geachtet. So hat ein fehlender Auftragsverarbeitungsvertrag mit einem Postdienstleister einem Hamburger Unternehmen eine Strafe eingebracht. Und das beweist: Die ruhigen Zeiten sind vorbei.
Leider führt auch die hier vorgenommene Auslegung der Rückausnahmen nicht zu einer absoluten Rechtssicherheit für KMU, da bzgl. der Begriffe „Risiko“ und „gelegentlich“ immer noch ein nicht unerheblicher Interpretationsspielraum verbleibt.
Allein die Frage, wann besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO betroffen sind, lässt sich unzweifelhaft feststellen.
Klarstellung der Aufsichtsbehörden wünschenswert
Hier würde eine Klarstellung der Datenschutzaufsichtsbehörden den betroffenen KMU wohl einiges an Unsicherheit nehmen. Diese haben sich bislang nicht über den Wortlaut hinaus zu der Ausnahme geäußert, sondern nur in einem Nebensatz behauptet, dass jedes Risiko für die Rechte und Freiheiten der Betroffenen zu beachten und daher auch für KMU in der Regel das Erstellen eines (umfassenden) Verzeichnisses geboten sei.
Der Verweis auf den reinen Wortlaut ist, wie dargestellt, nicht ausreichend. Aufsichtsbehörden sind nach Erwägungsgrund 13 DS-GVO nämlich auch angehalten, die besonderen Bedürfnisse der KMU bei der Anwendung der DS-GVO zu berücksichtigen.
Haben Sie fragen, Anregungen oder benötigen Sie Hilfe bei den Verfahrensbeschreibungen, dem Datenschutz oder einem Notfall- und Risikokonzept, welches wir völlig Ihrem Unternehmen anpassen, dann freuen wir uns auf Ihre Kontaktaufnahme! Sie erreichen uns schnell und Problemlos über unser Kontaktformular oder direkt unter info@tlc-berlin.de!