Block nomic Studio - stock.adobe
Warum sich die Dokumentation im Datenschutz doch lohnt
Die EU-Kommission will bestimmte Datenschutzpflichten nur noch von größeren Unternehmen verlangen. Wirtschaftsverbände sehen dies positiv, doch Verbraucherschützer warnen.
Die EU-Kommission schlägt Vereinfachungsmaßnahmen vor, um EU-Unternehmen die Möglichkeit zu geben, 400 Millionen Euro pro Jahr einzusparen. Das klingt auf den ersten Blick nach sehr sinnvollen Maßnahmen, denn die Wirtschaft kann jede Entlastung und Unterstützung gebrauchen.
Dennoch sollte man sich genauer ansehen, was unter die Vereinfachungsmaßnahmen fallen soll: Mit dem Vorschlag soll auch die Aufzeichnungspflicht in der DSGVO (Datenschutz-Grundverordnung) vereinfacht werden, wobei den besonderen Bedürfnissen und Herausforderungen kleiner und mittlerer Unternehmen und Organisationen Rechnung getragen und gleichzeitig sichergestellt werden soll, dass die Rechte des Einzelnen geschützt werden. Der Vorschlag gilt nicht nur für kleine und mittlere Unternehmen (KMU), sondern auch für Organisationen mit weniger als 750 Beschäftigten.
Organisationen mit weniger als 750 Beschäftigten müssten nur dann noch Aufzeichnungen führen, wenn die Verarbeitung personenbezogener Daten nach der DSGVO ein „hohes Risiko“ darstellt. Durch die Fokussierung der Aufzeichnungsanforderungen auf Aktivitäten mit hohem Risiko könnten Unternehmen ihre Ressourcen in Bereichen einsetzen, in denen der Datenschutz am kritischsten ist, und gleichzeitig hohe Datenschutzstandards aufrechterhalten, so die EU-Kommission.
Dieser Vorschlag stößt auf Zustimmung und Kritik.
Wirtschaftsverbände stimmen zu und fordern noch mehr
Bitkom-Präsident Dr. Ralf Wintergerst erklärte: „Damit Deutschland und Europa bei Zukunftstechnologien wie Künstliche Intelligenz oder digitalen Plattformen international in der Spitze dabei sein können, brauchen wir einen neuen Ansatz im Datenschutz: ein hohes Datenschutzniveau für wirklich schützenswerte Daten und pragmatische, innovationsfreundliche Regeln für alle anderen Daten.“
Aktuelle Pläne der EU-Kommission, bei der DSGVO die Freistellung von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten auf größere Unternehmen auszuweiten, reichten nach Ansicht des Bitkom nicht aus. „Notwendig wären umfassendere Entlastungen bei Dokumentations- und Berichtspflichten sowie eine stärkere Berücksichtigung technologischer Entwicklungen, etwa bei Künstlicher Intelligenz“, so Wintergerst.
Der Bitkom sieht nicht nur einen zu hohen Aufwand, sondern auch einen Mehrfachaufwand: Aktuell führten vielfach redundante Berichtspflichten – etwa durch DSGVO, den AI Act oder den Data Act – zu erheblichem bürokratischem Aufwand, insbesondere bei kleinen und mittleren Unternehmen. Der hohe Dokumentationsaufwand, unter anderem durch das Verzeichnis von Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen binde Ressourcen, die für die Innovationen dringend gebraucht würden.
Doch Verbraucherschützer sehen die Vereinfachungen im Datenschutz als kritisch an.
Verlässlicher Datenschutz stärkt die Wirtschaft, so Verbraucherschützer
Michaela Schröder, Geschäftsleiterin Verbraucherpolitik beim Verbraucherzentrale Bundesverband, zum Beispiel warnt (PDF): „Verbraucherinnen und Verbraucher sind täglich davon betroffen, dass ihre persönlichen Daten verarbeitet werden – auch von kleinen Unternehmen. Wenn diese Unternehmen nicht mehr systematisch dokumentieren müssen, wie sie Daten verarbeiten, fehlt eine wichtige Grundlage, um mögliche Risiken für die Rechte der Betroffenen frühzeitig zu erkennen“.
Das Vorhaben der Europäischen Kommission könne in der Folge zu weiterführenden Änderungsvorschlägen führen, was wiederum ein weltweit beachtetes Erfolgsmodell gefährden würde: Die Datenschutzgrundverordnung schaffe Vertrauen und stelle Europas digitale Wirtschaft auf ein verlässliches Fundament, so die Verbraucherschützerin.
Aus dem Verbraucherschutz kommen auch Vorschläge, wie sich der Aufwand anderweitig verringern ließe: Statt pauschale Ausnahmen von der Dokumentationspflicht sei eine gezielte Unterstützung von kleineren und mittelständischen Unternehmen sinnvoll, bei der Erstellung datenschutzrechtlicher Dokumente mithilfe von praxistauglichen Tools, etwa Online-Generatoren für die Dokumentation risikoarmer Verarbeitungen.
Dokumentation kann helfen, Synergien sollten genutzt werden
Wenn man sich die Situation in den kleinen und mittleren Unternehmen ansieht, dann besteht dort ohne Zweifel Aufwand, um Dokumentationen wie ein Verfahrensverzeichnis oder eine Datenschutz-Folgenabschätzung zu erstellen.
Allerdings sollte man sich fragen, ob dieser Aufwand überflüssig ist oder ob die Dokumentation nicht im Gegenteil zwingend erforderlich erscheint. Nicht alleine das Befüllen von Datenschutz-Vorlagen macht Arbeit, sondern das Zusammentragen der notwendigen Informationen. Diese Informationen sind aber erforderlich, um in der IT und Datenverwaltung Transparenz zu haben, ohne die zum Beispiel keine Datensicherheit hergestellt werden kann, nach dem Motto: Was man nicht kennt, kann man nicht schützen.
Wenn größere Unternehmen viele Informationen auf Knopfdruck haben, dann liegt dies an den Verfahren und Werkzeugen, die sie einsetzen, um Transparenz in der IT zu haben. Genau solche Verfahren und Werkzeuge brauchen KMU auch. Immerhin geht es nicht alleine um Compliance, sondern um Dokumentation als Grundlage zum Beispiel für Schutzmaßnahmen.
Synergien sollten genutzt werden, um Mehraufwände zu vermeiden. Wenn zum Beispiel der Bitkom-Verband meldet, in etwas mehr als 100 Tagen müssten die Unternehmen den Data Act umgesetzt haben, doch die große Mehrheit der Unternehmen habe sich damit noch überhaupt nicht beschäftigt, dann sollte dies auch als Zeichen gesehen werden, dass sich Unternehmen mehr mit ihren Daten befassen müssen, für die Datennutzung und den Datenschutz.
Nur sieben Prozent der Unternehmen nutzen das Potenzial der ihnen bereits zur Verfügung stehenden Daten vollständig aus, wie Bitkom berichtet. Dann sollte das Ziel sein, Dokumentationen nicht als reine Arbeit für den Datenschutz zu sehen, sondern als Grundlage für eine Umsetzung aller Datengesetze, deren Synergien genutzt werden müssen. Nicht zuletzt geht es auch darum, die Daten sicher und rechtskonform zu nutzen. Übersichten zur Datenverarbeitung (wie das Verfahrensverzeichnis) und Risikoanalysen (wie die Datenschutz-Folgenabschätzung) sind dafür wichtige Instrumente.
