Allgemein

Der risikobasierte Ansatz in der DSGVO

16. September 2020, von Dr. Markus Pfeifer

Zwischen gesetzgeberischer Absicht und betrieblicher Wirklichkeit

Dokumentationspflichten

Die Dokumentation sämtlicher Datenverarbeitungsvorgänge im Betrieb bedeutet viel Aufwand. Deshalb gilt die Pflicht zur Erstellung von Verarbeitungsverzeichnissen „nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien“.

Jeder Arbeitgeber verarbeitet zur Durchführung des Beschäftigungsverhältnisses zwangsläufig bestimmte Gesundheitsdaten und damit besondere Daten. Alle verbleibenden Betriebe, die keine Arbeitnehmer beschäftigten scheitern an dem Ausschlussgrund der „nicht nur gelegentlichen Verarbeitung“, da sie selbstverständlich jeden Tag Daten verarbeiten. Im Ergebnis fällt nicht ein einziger Betrieb in Europa in den Anwendungsbereich dieser Ausnahmevorschrift. Dies kann ersichtlich nicht gewollt sein. Im Gegenteil: Der Ausnahmecharakter der Vorschrift macht deutlich, dass der europäische Gesetzgeber nicht pauschal sämtliche Datenverarbeiter zur Dokumentation verpflichten will. Stattdessen sollen bestimmte Datenverarbeiter im Sinne des risikobasierten Ansatzes ausgenommen und entlastet werden. Um dies zu erreichen sind Nachbesserungen unumgänglich. Dies erfordert zum einen, dass die Variante der Verarbeitung besonderer Datenkategorien ersatzlos gestrichen wird. Damit wird gewährleistet, dass auch Betriebe in den Anwendungsbereich fallen, die Mitarbeiter beschäftigen

Young woman holding an imaginary megaphone and shouting into it

Informationspflichten

Ein wesentliches Ziel der DSGVO ist die Erhöhung von Transparenz. Die umfassenden Informationspflichten stehen jedoch nicht im Einklang mit dem Grundsatz der Verhältnismäßigkeit im Sinne des risikobasierten Ansatzes. Angesichts der geringfügigen und alltäglichen Datenverarbeitung von Betrieben bei Geschäften des täglichen Lebens, wie etwa Handwerksbetrieben, ist die Datenverarbeitung nahezu risikofrei.

Es ist praxisfern, dass Kunden Interesse an der Rechtsgrundlage der Datenverarbeitung oder der gesetzlichen Löschungsfrist haben. Dies zeigt allein die mangelnde Praxisrelevanz von Datenschutzhin-weisen auf Websites. Websitebetreiber haben mit hohem Aufwand die Datenschutzhinweise an die Anforderungen der DSGVO angepasst. Ein Interesse der Websitebesucher an diesen Informationen ist nach diesseitiger Einschätzung nicht festzustellen. Im Gegenteil: Die auch aus der DSGVO resultierende Pflicht zur Information über den Einsatz von Cookies stellt beispielsweise für viele Internetnutzer keine Information, sondern eine störende Belästigung bei der Internetnutzung dar.

Davon abgesehen machen Kunden gegenüber einem Dachdecker, einem Maler- und Lackierer oder einem Fleischer, etc. aktuell ebenso wenig ihre Beschwerde-, Berichtigungs- oder Löschungsansprüche geltend wie nach alter Rechtslage, unter der es keine Informationspflichten gab. Ursache hierfür ist keineswegs, dass Kunden ihre Rechte nach wie vor nicht kennen. Der Grund liegt vielmehr darin, dass der Datenschutz angesichts der risikoarmen Datenverarbeitung bei Handwerksbetrieben für Kunden nachvollziehbar keine nennenswerte Bedeutung hat und es zudem keinen Anlass zur Beschwerde gibt. Dem geringen Informationsbedürfnis von Kunden steht nicht nur ein hoher Aufwand zur Erfüllung der Informationspflichten, sondern auch zum Teil in der Praxis nicht umsetzbare Anforderungen gegenüber.

Eine konsequente Anwendung des risikobasierten Ansatzes hieße, dass bei risikoarmen Verarbeitungsprozessen, die Informationspflicht in ein besonderes Auskunftsrecht des Kunden gewandelt wird. Ein Kunde, der bestimmte In-formationen wünscht, hat diese umfassend zu erhalten. Für eine anlasslose Information über Rechtsgrundlagen, Fristen und Rechte, die den Kunden nicht interessieren, besteht dagegen kein Bedürfnis.

Zertifizierung

Die DSGVO unterstützt den Zertifizierungsgedanken ausdrücklich. Dabei ist den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen gemäß Artikel 42 Absatz 1 Satz 2 DSGVO Rechnung zu tragen.

Zertifizierungen stellen einen praxistauglichen Weg dar, das Vertrauen des Rechts- und Geschäftsverkehrs in die Datenschutzkonformität von Betrieben zu erhöhen. Entscheidend ist jedoch gerade für risikoarme und datensparsame Betriebe, dass Aufwand und Kosten in einem angemessenen Verhältnis zu den Verarbeitungsrisiken des zu zertifizierenden Betriebs stehen. Es macht ersichtlich einen Unterschied, ob ein global agierender IT-Dienstleister oder ein regional ausgerichteter Maler- und Lackiererbetrieb aus Schwäbisch Hall zertifiziert wird.

Die Anforderungen für Zertifizierungen sind jedoch undifferenziert und äußerst hoch. Dies betrifft insbesondere die Fachkompetenzen der Auditoren, die kaum eine Person in sich vereinen kann, so dass in der Praxis zwei Auditoren eingesetzt werden müssen. Dies erhöht die Kosten der Zertifizierung und ist mit Blick auf datensparsame Unternehmen überzogen. Dasselbe gilt für anlasslose Betriebsprüfungen. Bislang werden pro Zertifizierungszyklus mindestens zwei anlasslose Betriebsbegehungen vorgeschrieben. Auch dies erhöht die Kosten der Zertifizierung.

Der risikobasierte Ansatz muss mit Blick auf Zertifizierungen von datensparsamen Betrieben stärker als bisher berücksichtigt werden. Denk-bar sind u.a. Branchenlösungen. In datenarmen Branchen – wie dem Handwerk – genügen geringere Verfahrensanforderungen und Fach-kenntnisse der Auditoren, die beispielsweise im Rahmen fachspezifischer Fortbildungen und Lehrgänge vermittelt werden

Datenschutzbeauftragter

Im Wege der Konkretisierung des Artikels 37 Absatz 4 DSGVO hat die Bundesregierung nationale Regelungen zur verpflichtenden Bestellung eines betrieblichen Datenschutzbeauftragten erlassen. Hiernach sind Betriebe verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, „soweit sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Personengrenzen stellen jedoch keine geeigneten Parameter zur Beurteilung eines Risikos für den Datenschutz dar. Auch die automatisierte Datenverarbeitung führt nicht zwingend zu einem hohen Risiko. Wenn die Versendung einer E-Mail zwangsläufig als erhöhtes Risiko zu bewerten wäre, ist eine sachgerechte Unterscheidung zwischen wirklichen Risiken und unbedenklichen Verarbeitungsprozessen nicht mehr möglich.

Das gilt in gleicher Weise für die Häufigkeit einer Datenverarbeitung. Ob ein Mitarbeiter drei E-Mails oder 50 E-Mails am Tag versendet, sagt nichts über das Datenschutzrisiko aus. Risikorelevant sind dagegen Kriterien wie der Datenumfang oder die Art der verarbeiteten Daten. Anhand solcher Kriterien lässt sich die Datenschutzrelevanz eines Betriebs sachgerecht ermitteln. Es kommt im Sinne des risikobasierten Ansatzes darauf an, ob die Verarbeitung von Daten Kerntätigkeit des Betriebs ist. Da die Voraussetzungsvariante der Kerntätigkeit bereits in § 38 Absatz 1 Satz 2 BDSG i.V.m. Artikel 35 DSGVO geregelt ist, ist eine Ergänzung von § 38 Absatz 1 Satz 1 BDSG nicht erforderlich. Da für eine entsprechende Ergänzung von § 38 Absatz 1 Satz 1 BDSG kein Raum ist und die gegenwärtigen Schwellenwerte nicht sachgerecht sind, sollte diese Vorschrift ersatzlos gestrichen werden.

Mit Blick auf die Beurteilung der Kerntätigkeit ist gesetzlich zu ergänzen, dass es auch in diesem Zusammenhang nicht auf die Häufigkeit der Datenverarbeitung ankommen kann. Anderenfalls ist die automatisierte Datenverarbeitung Kerntätigkeit jeden Betriebs, da allein die Kommunikation per E-Mail eine automatisierte Datenverarbeitung darstellt.

Fazit

Der risikobasierte Ansatz ist im neuen Datenschutzrecht grundlegend verankert, wird aber nicht konsequent zu Ende geführt. Dies muss ihm Rahmen der Evaluierung nachgeholt wer-den. Es sind Regelungen erforderlich, die das Risiko für die Wahrung des Datenschutzes konsequent berücksichtigen. Dies setzt voraus, dass risikoarme und datensparsame Betriebe deutlich stärker als nach gegenwärtiger Rechtslage von gesetzlichen Pflichten befreit werden.

Der Autor:

Dr. Markus Pfeifer

Referatsleiter | Zentralverband des Deutschen Handwerks

Dr. Markus Peifer, geboren am 23. Juli 1979 in Düsseldorf; Studium der Rechtswissenschaften an der Universität Bielefeld mit den Schwerpunkten europäisches Wirtschaftsrecht. Promotion zum französischen Verfassungs- und Wirtschaftsverwaltungsrecht. Anschließend tätig als Rechtsanwalt in einer Münchener Wirtschaftssozietät mit Beratungsschwerpunkt mittelständischer Unternehmen. Seit 2009 Referent und Datenschutzbeauftragter beim Zentralverband des Deutschen Handwerks in Berlin. Neben Datenschutz verantwortlich für deutsches und europäisches Wirtschaftsrecht und Bürokratieabbau. Autor zahlreicher Publikationen, zuletzt ein Lehrbuch zum Handwerksrecht

Erfahren Sie mehr zu diesem Thema auf der diesjährigen IDAOCN – der Kongress für Datenschutz

Feiern Sie mit uns 20 Jahre IDACON! Das Jubiläums-Programm der IDACON wird Sie mit aktuellen Vorträgen und Top-Speakern begeistern. Freuen Sie sich auf neues Wissen, viele Impulse, neue Kontakte und die Diskussionen auf Augenhöhe.


Mehr zum Vortrag erfahren

Das könnte Sie auch interessieren:

Allgemein

Daten ade, Löschen tut weh...

01.09.20, von Dr. Oliver Stiemerling

Daten ade, Löschen tut weh...

Löschen ist eine der größten Herausforderungen in der konkreten technischen und organisatorischen Umsetzung der datenschutzrechtlichen Anforderungen. Dieser Beitrag gibt einen kurzen Überblick darüber, warum Löschen für die IT-Abteilung auch bei klaren Fristvorgaben so schwierig ist und zeigt einige Lösungsansätze auf. Weiterlesen