© 2020 Deutscher Bundestag WD 3 - 3000 - 031/20 Anwendung der Datenschutzgrundverordnung (DSGVO) in Bezug auf kleine und mittlere Unternehmen sowie private Vereine Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 031/20 Seite 2 Anwendung der Datenschutzgrundverordnung (DSGVO) in Bezug auf kleine und mittlere Unternehmen sowie private Vereine Aktenzeichen: WD 3 - 3000 - 031/20 Abschluss der Arbeit: 24.02.2020 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 031/20 Seite 3 1. Einleitung Der Sachstand beschäftigt sich mit der Anwendung der Datenschutzgrundverordnung (DSGVO) insbesondere in Bezug auf kleine und mittlere Unternehmen sowie private Vereine. Dabei wird zum einen darauf eingegangen, ob es in Deutschland etablierte Zertifizierungsverfahren im Sinne des Art. 42 DSGVO gibt, die insbesondere die Bedürfnisse kleiner und mittlerer Unternehmen berücksichtigen . Zum anderen werden Bußgelder wegen Datenschutzverstößen thematisiert. Darüber hinaus werden bestehende Debatten im Parlament bezüglich der DSGVO zusammengefasst. 2. Zertifizierungsverfahren im Sinne des Art. 42 DSGVO Der Gesetzgeber legt in den Art. 42 und Art. 43 der DSGVO einen rechtlichen Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren. Diese sollen dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen. Ein einheitliches bundesländerübergreifendes Zertifizierungsverfahren besteht in Deutschland bisher nicht. Die Aufsichtsbehörden haben bei ihren Kontrollen zwar festgestellt, dass Unternehmen und Organisationen oft verschiedene Zertifikate vorweisen konnten, häufig aber unklar war, ob die gesetzlichen Anforderungen an den Datenschutz ausreichend berücksichtigt wurden. Um zukünftig Klarheit darüber zu schaffen, ob die gesetzlichen Datenschutzanforderungen eingehalten wurden, arbeiten die Aufsichtsbehörden des Bundes und der Länder derzeit an der Entwicklung abgestimmter, länderübergreifend geltender Kriterien, um eine einheitliche Bewertung im Sinne der DSGVO zu ermöglichen. Ziel ist es, zahlreiche unterschiedliche Zertifizierungsverfahren zu vermeiden, um ein einheitliches europäisches Datenschutzniveau zu erreichen.1 Inwiefern dabei die besonderen Bedürfnisse kleiner und mittlerer Unternehmen berücksichtigt werden, ist zum jetzigen Zeitpunkt noch nicht abzusehen. 3. Anwendung der Datenschutzgrundverordnung in Bezug auf kleine und mittlere Unternehmen und Vereine Entscheidungen die die Anwendung der DSGVO auf kleine und mittlere Unternehmen durch die Aufsichtsbehörden betreffen, sind nicht bekannt. Allerdings veröffentlichen die Aufsichtsbehörden verschiedene Leitfäden, Kurzpapiere und Musterformulare zur Anwendung der DSGVO allgemein und zum Teil auch speziell für kleinere Unternehmen und Vereine auf ihren Internetseiten. Diese dienen als Orientierungshilfe bei der Umsetzung der datenschutzrechtlichen Vorgaben. Zudem stellt die Datenschutzkonferenz, ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, seit Juli 2017 Auslegungshilfen zur DSGVO zu Verfügung.2 4. Sanktionen gegen kleine und mittlere Unternehmen wegen Datenschutzverstößen Nach einer Umfrage einer großen deutschen Wirtschaftszeitung (Handelsblatt) unter den Aufsichtsbehörden der Länder (15 von 16 Bundesländern machten Angaben) wurden im Jahr 2019 187 Bußgelder auf Basis der DSGVO verhängt (Stand: Dezember 2019); insgesamt seien es seit Geltung 1 Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Kurzpapier Nr. 9: Zertifizierung nach Art. 42 DSGVO, abrufbar unter https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles _Artikel/DSGVO_Kurzpapiere.html (zuletzt aufgerufen am 24.2.2020). 2 https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/DSGVO_Kurzpapiere.html (zuletzt aufgerufen am 24.2.2020). Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 031/20 Seite 4 der neuen Regeln im Mai 2018 225 Bußgelder gewesen.3 Ob und in wie vielen Fällen sich diese gegen kleine und mittlere Unternehmen gerichtet haben, ergibt sich aus der Umfrage aber nicht. Auch die Aufsichtsbehörde auf Bundesebene hat bereits in zwei Fällen Bußgelder gegen Unternehmen verhängt. Dabei handelte es sich allerdings um große Unternehmen. 5. Debatten betreffend die DSGVO im Parlament Auch in Deutschland wird sich sowohl im Parlament als auch generell mit den Auswirkungen der DSGVO auseinandergesetzt. Dabei liegt der Fokus insbesondere auf der Einführung von Datenschutz -Folgenabschätzungen, der Unterrichtungspflicht von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße gemäß Art. 33 DSGVO, die zu einem erheblichen Anstieg der Anzahl von Beschwerden führte und der Einführung von Regelungen zur Begrenzung der automatisierten Entscheidungsfindung einschließlich Profilbildung. In Bezug auf kleine und mittlere Unternehmen wie auch Vereine, wird insbesondere der hohe Aufwand , der mit der technischen Realisierung verbunden ist sowie die erheblich erhöhten Sanktionen bei Datenschutzverstößen bemängelt. Zudem wurde insgesamt befürchtet, dass es zu einer Abmahnwelle , insbesondere durch sogenannte Abmahnvereine, aufgrund unsachgemäßer Angaben auf Webseiten oder bei Speicherung personenbezogener Daten kommt. Dem wird nun mit einem Entwurf für ein „Gesetz zur Stärkung des fairen Wettbewerbs“ begegnet, wonach insbesondere kleine Unternehmen und Vereine zwar abgemahnt werden dürfen, zunächst aber keine Abmahngebühren anfallen.4 Wirtschaftsverbände forderten ein generelles Abmahnverbot für alle Unternehmen durch Wettbewerber. In der Diskussion steht weiterhin, die Anzahl der Personen, die mit der automatisierten Verarbeitung personenbezogener Daten umgehen, als Abgrenzungskriterium für die Erforderlichkeit der Benennung eines Datenschutzbeauftragten zu verwenden. Dabei handelt es sich allerdings vordergründig um eine Kritik am deutschen Gesetzgeber, der über die DSGVO hinausgegangen ist, indem er zunächst festlegte, dass die Grenze bei zehn Personen liegen soll. Diese Grenze wurde nun auf zwanzig Personen angehoben.5 Weiterhin wird darüber debattiert, dass seit der Umsetzung der DSGVO insbesondere bei kleineren und mittleren Betrieben erheblicher Beratungsbedarf besteht, den sie im Zweifelsfall durch eine zunehmend spezialisierte Beratungsbranche decken, während gleichzeitig aber immer noch einheitliche Zertifizierungen im Sinne des Art. 42 und Art. 43 DSGVO fehlen. *** 3 https://www.handelsblatt.com/politik/deutschland/dsgvo-datenschutz-verstoesse-zahl-der-bussgelder-ist-drastischgestiegen /25364576.html?ticket=ST-5732493-5nsYAztL0Y2GQLfLNcHh-ap5 (zuletzt aufgerufen am 17.2.2020). 4 § 13 Abs. 4 Nr. 2, Abs. 3 des Regierungsentwurfs: Gesetz zur Stärkung des fairen Wettbewerbs, abrufbar unter https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_Staerkung_faierer_Wettbewerb .pdf;jsessionid=855EB816376CB8056D508D0C353828E8.2_cid297?__blob=publicationFile&v=2 (zuletzt aufgerufen am 24.2.2020). 5 Art. 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG), abrufbar unter https://www.gesetze-im-internet.de/englisch _bdsg/englisch_bdsg.html#p0316 (zuletzt aufgerufen am 24.2.2020); Antwort auf Kleine Anfrage BT-Drucksache 19/11037 S. 4, abrufbar unter https://www.bmwi.de/Redaktion/DE/Parlamentarische-Anfragen/2019/19- 11037.pdf?__blob=publicationFile&v=2 (zuletzt aufgerufen am 24.2.2020).