Bild von kaboompics auf Pixabay

DSGVO-Entlastung für kleine Unternehmen und Vereine: Was könnte sich ändern?

Die Regierung will Vereine und kleine Unternehmen beim Datenschutz entlasten – was geplant ist und was weiter gilt.

Datenschutz verursacht gerade bei kleinen Unternehmen, Vereinen und Soloselbstständigen erheblichen Aufwand. Geplante Reformen sollen risikoarme Datenverarbeitungen vereinfachen und Dokumentationspflichten reduzieren. Eine vollständige Befreiung von der DSGVO ist jedoch weder beschlossen noch allein durch den deutschen Gesetzgeber ohne Weiteres möglich.

Für wen gilt die DSGVO heute?

Die Datenschutz-Grundverordnung, kurz DSGVO, gilt grundsätzlich, sobald ein Unternehmen oder Verein personenbezogene Daten verarbeitet. Dazu gehören bereits Namen, Anschriften, Telefonnummern, E-Mail-Adressen oder Kontodaten. Deshalb müssen auch kleine Handwerksbetriebe, Soloselbstständige und gemeinnützige Vereine die DSGVO beachten. Eine allgemeine Ausnahme allein wegen einer geringen Mitarbeiterzahl oder eines niedrigen Umsatzes gibt es bislang nicht.

Erfasst werden beispielsweise Kundenlisten, Mitgliederverzeichnisse, Personalakten, Newsletter-Verteiler und Daten aus Kontaktformularen. Nicht-kommerzielle Tätigkeiten von Vereinen sind ebenfalls nicht automatisch ausgenommen.

Welche Entlastungen sind geplant?

Die Regierungskoalition plant, Vereine sowie kleine und mittlere Unternehmen bei risikoarmen Datenverarbeitungen stärker zu entlasten. Als typisches Beispiel wird die einfache Kundenliste eines Handwerksbetriebs genannt. Außerdem sollen nationale Spielräume besser genutzt, die Datenschutzaufsicht vereinfacht und datenschutzrechtliche Regelungen in einem nationalen „Datengesetzbuch“ übersichtlicher zusammengeführt werden.

Die Europäische Kommission hat unabhängig davon bereits vorgeschlagen, die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten zu lockern. Die Erleichterung soll auf Unternehmen und Organisationen mit weniger als 750 Beschäftigten ausgeweitet werden, sofern ihre Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der betroffenen Personen verursacht. Bisher enthält Art. 30 DSGVO eine engere Ausnahme für Organisationen mit weniger als 250 Beschäftigten.

Die Reform würde vor allem Dokumentationsaufwand verringern. Sie bedeutet jedoch nicht, dass kleinere Organisationen personenbezogene Daten künftig unbegrenzt oder ohne Rechtsgrundlage verwenden dürften.

Welche Pflichten bleiben bestehen?

Auch bei möglichen Erleichterungen werden die grundlegenden Datenschutzprinzipien voraussichtlich weitergelten. Personenbezogene Daten dürfen nur für einen festgelegten und rechtmäßigen Zweck verarbeitet werden. Es dürfen nicht mehr Daten erhoben werden, als tatsächlich benötigt werden. Außerdem müssen Daten angemessen geschützt und gelöscht werden, sobald sie nicht mehr erforderlich sind.

Unternehmen und Vereine müssen daher weiterhin prüfen, ob eine Einwilligung, ein Vertrag, eine gesetzliche Pflicht oder ein berechtigtes Interesse die Verarbeitung erlaubt. Auch Auskunfts-, Berichtigungs- und Löschungsrechte der betroffenen Personen bleiben von einer reinen Reduzierung der Dokumentationspflichten unberührt.

Bei einer Datenpanne kann weiterhin eine Meldung an die Aufsichtsbehörde erforderlich sein. Ebenso bleiben besondere Anforderungen bestehen, wenn sensible Gesundheitsdaten, umfangreiche Beschäftigtendaten oder andere risikoreiche Informationen verarbeitet werden.

Warum Deutschland die DSGVO nicht allein abschaffen kann

Die DSGVO ist eine unmittelbar geltende Verordnung der Europäischen Union. Deutschland kann ihren Anwendungsbereich deshalb nicht eigenständig für sämtliche Vereine oder kleine Unternehmen außer Kraft setzen. Grundlegende Ausnahmen müssten auf europäischer Ebene beschlossen werden.

Der deutsche Gesetzgeber kann jedoch vorhandene Öffnungsklauseln nutzen. Dies betrifft beispielsweise nationale Regelungen zur Benennung betrieblicher Datenschutzbeauftragter. Ein deutsches Datengesetzbuch könnte zudem verschiedene Vorschriften bündeln und verständlicher gestalten, dürfte aber nicht im Widerspruch zur DSGVO stehen.

Entlastung bedeutet nicht Datenschutzfreiheit

Weniger Bürokratie kann kleinen Unternehmen und Vereinen die tägliche Arbeit erleichtern. Bis konkrete Änderungen beschlossen und in Kraft getreten sind, gelten jedoch die bisherigen Datenschutzpflichten weiter. Bestehende Verzeichnisse, Datenschutzhinweise oder Löschkonzepte sollten daher nicht vorschnell abgeschafft werden.

Sind kleine Unternehmen schon heute von der DSGVO befreit?

Nein. Die DSGVO gilt grundsätzlich unabhängig von Umsatz und Mitarbeiterzahl.

Muss ein Verein die DSGVO beachten?

Ja. Das gilt auch für gemeinnützige Vereine, sobald sie etwa Mitglieder-, Spender- oder Beschäftigtendaten verarbeiten.

Soll das Verzeichnis von Verarbeitungstätigkeiten abgeschafft werden?

Nach dem Vorschlag der EU-Kommission könnten mehr Organisationen davon befreit werden. Bei voraussichtlich risikoreichen Verarbeitungen soll die Pflicht jedoch bestehen bleiben.

Dürfen Kundendaten künftig ohne Rechtsgrundlage gespeichert werden?

Nein. Auch bei weniger Dokumentationsaufwand bleibt eine rechtliche Grundlage für die Verarbeitung erforderlich.

Was sollten Betriebe jetzt tun?

Sie sollten die geltenden Pflichten weiterhin erfüllen und ihre Datenschutzunterlagen nicht allein aufgrund politischer Ankündigungen reduzieren.

Kostenloser Newsletter

Aktuelle Urteile, Praxistipps und neue Folgen aus Marken-, Urheber-, Medien- und Wettbewerbsrecht. Kompakt per E-Mail.

Double-Opt-in. Abmeldung jederzeit über den Link in jeder E-Mail.

AnsprechpartnerIn

Bild von Florian Wagenknecht

Florian Wagenknecht

Fachanwalt für Urheber- und Medienrecht

Kostenloser Newsletter

Kostenloser Newsletter

Aktuelle Urteile, Praxistipps und neue Folgen aus Marken-, Urheber-, Medien- und Wettbewerbsrecht. Kompakt per E-Mail.

Double-Opt-in. Abmeldung jederzeit über den Link in jeder E-Mail.

Suche

Anfrage