Reform ohne Wirkung

Im vergangenen Monat hat die Kommission einen Reformvorschlag zur DSGVO vorgelegt. Konkret soll Art. 30 DSGVO angepasst werden, der Datenverarbeiter verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten – das sog. „Verarbeitungsverzeichnis“ – zu führen. Bisher galt für Unternehmen mit weniger als 250 Beschäftigten eine Ausnahme. Künftig soll diese Grenze auf 750 Mitarbeiter angehobenen werden, sofern die Datenverarbeitung kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Ziel ist es, bürokratische Hürden für kleine und mittlere Unternehmen weiter abzubauen. Doch der Vorschlag polarisiert: Den einen geht der Vorschlag nicht weit genug (vgl. etwa hier), die anderen sehen bereits die Büchse der Pandora geöffnet (vgl. etwa hier und hier).

Dabei lohnt ein genauerer Blick. Wer echte Entlastung für Unternehmen will, sollte nicht an starren Mitarbeitergrenzen festhalten, sondern den konkreten Verwendungszusammenhang der personenbezogenen Daten in den Fokus rücken. Genau das verfehlt die Reform – und greift damit zu kurz.

Maßstab: Datenschutz und Schutz des freien Datenverkehrs

Eine Überarbeitung der datenschutzrechtlichen Vorschriften muss die Interessen beider Seiten – der betroffenen Personen und der Datenverarbeiter – berücksichtigen. Notwendig ist ein fairer Interessenausgleich: Auf der einen Seite steht das Grundrecht auf Datenschutz (Art. 8 GRCh, Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG), auf der anderen die Wirtschaftsgrundrechte (Art. 15, 16, 17 GRCh, Art. 12 und 14 GG). Die DSGVO schützt auf einfachgesetzlicher Ebene sowohl personenbezogene Daten (Art. 1 Abs. 2 DSGVO) als auch den freien Verkehr personenbezogener Daten, der weder eingeschränkt noch verboten werden darf (Art. 1 Abs. 3 DSGVO).

Diese Interessengegensätze offenbaren sich auch im Rahmen von Art. 30 DSGVO. Die Norm verpflichtet Datenverarbeiter dazu, ein Verarbeitungsverzeichnis zu führen, das den Nachweis ermöglicht, personenbezogene Daten im Einklang mit der DSGVO zu verarbeiten. Gleichzeitig schützt das Verzeichnis die Rechte der betroffenen Personen. Wer sein Verarbeitungsverzeichnis pflegt, vermeidet überdies häufig Datenschutzverstöße und reduziert das Risiko datenschutzrechtlichen Sanktionen (vgl. Art. 83 Abs. 4 lit. a DSGVO).

Schlüssel zur Datenkontrolle: Das Verarbeitungsverzeichnis

Art. 30 DSGVO dient vor allem dem Nachweis einer rechtskonformen Datenverarbeitung. Es verschafft Datenverarbeitern einen Überblick über alle personenbezogenen Datenverarbeitungsvorgänge und bildet damit die Grundlage der gesamten Datenschutz-Compliance. Es bildet das Fundament für zahlreiche datenschutzrechtliche Pflichten, etwa die Gewährleistung der Informationsrechte (Art. 12 ff. DSGVO), die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Ohne Verarbeitungsverzeichnis können Unternehmen ihre Datenverarbeitung häufig gar nicht oder nur lückenhaft nachvollziehen.

Das Erstellen, Führen und Pflegen eines solchen Verzeichnisses erfordert erheblichen organisatorischen Aufwand – insbesondere dann, wenn viele Datenströme überwacht, protokolliert und nachvollzogen werden müssen. Für Kleinstunternehmen, kleinere und mittlere Unternehmen stellt das eine enorme Herausforderungen dar. Deshalb erlaubt Art. 30 Abs. 5 DSGVO für sie Ausnahmen: Unternehmen mit weniger als 250 Beschäftigten müssen grundsätzlich kein Verarbeitungsverzeichnisses führen. Allerdings greift die Ausnahme nicht, wenn die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder eine Verarbeitung besonders schutzwürdiger Datenkategorien nach Art. 9 und Art. 10 DSGVO durchgeführt wird. Das Vorliegen einer einzigen Ausnahme führt bereits zum Wegfall der Privilegierung.

In der Praxis greift die Ausnahmeregelung jedoch selten. Regelmäßige Verarbeitungstätigkeiten wie Kundenmanagement, Buchhaltung und Personalmanagement gelten nicht als „gelegentlich“. Ohnehin verarbeiten viele Unternehmen typischerweise besonders sensible Daten, etwa über die Religionszugehörigkeit zur Kirchensteuer oder Gesundheitsdaten im Krankheitsfall, sodass eine Dokumentationspflicht besteht. Unternehmen werden also selten von der Pflicht ein Verarbeitungsverzeichnis zu führen befreit.

Konkreter Änderungsvorschlag

Die Kommission schlägt nun vor, die Schwelle auf 750 Mitarbeiter anzuheben. Unternehmen unterhalb dieser Grenze sollen kein Verarbeitungsverzeichnis mehr führen müssen. Eine Ausnahme gilt nur noch dann, wenn die Datenverarbeitung ein „hohes Risiko“ für die Rechte und Freiheiten der betroffenen Personen birgt.

„The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons unless the processing it carries out is likely to result in a high risk to the rights and freedoms of data subjects, within the meaning of Article 35.“

Zudem – etwas versteckt in Erwägungsgrund 10 – soll die Verarbeitung bestimmter Kategorien personenbezogener Daten nach Art. 9 Abs. 2 lit. b DSGVO nicht automatisch das Führen eines Verarbeitungsverzeichnisses erforderlich machen. Das betrifft insbesondere Datenverarbeitungen im Bereich des Arbeits- und Sozialversicherungswesens.

„In this context, the processing of special categories of personal data which is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law, as referred to in Article 9(2), point (b), of Regulation (EU) 2016/679, should not as such require that records of processing be maintained.“

Die Kommission möchte damit offenbar deutlich machen, dass besonders häufige Datenverarbeitungstätigkeiten wie etwa die Verarbeitung von Daten im Rahmen der Lohn- und Buchhaltung, kein hohes Risiko darstellen. Für diese Tätigkeiten ist daher in der Regel künftig kein Verarbeitungsverzeichnis mehr notwendig.

Tragfähigkeit der neuen Regelung

Auf den ersten Blick verspricht der Vorschlag zwar eine Erleichterung. Bei genauerer Betrachtung wird jedoch deutlich, dass die genannten, rein punktuellen Änderungen von Art. 35 Abs. 5 DSGVO keine echte Entlastung für Unternehmen bringen werden können.

Erstens bilden die in einem Verarbeitungsverzeichnis nach Art. 30 DSGVO enthaltenen Angaben oftmals die Grundlage weiterer datenschutzrechtlicher Pflichten, etwa der Informationspflichten (Art. 13, 14 DSGVO) und des Auskunftsrechts (Art. 15 DSGVO). Datenverarbeiter müssen diese Informationen also auch weiterhin bereitstellen, selbst wenn sie formal kein Verarbeitungsverzeichnis führen müssen. Eine sinnvolle Reform dürfte also nicht nur Art. 30 DSGVO in den Blick nehmen, sondern müsste sich auch mit den Auswirkungen auf die genannten Normen auseinandersetzen. Weil der Reformvorschlag dies nicht tut, bleibt der organisatorische Aufwand für Unternehmen weitgehend identisch, wenn sie ihren Informations- und Auskunftspflichten auch künftig nachkommen wollen.

Zweitens wird sich auch weiterhin jedes Unternehmen damit auseinandersetzen müssen, ob ein Verarbeitungsverzeichnis erforderlich ist. Selbst wenn Datenverarbeiter weniger als 750 Mitarbeiter haben, sind sie zum Führen eines Verarbeitungsverzeichnisses verpflichtet, wenn ein „hohes Risiko“ für die Rechte und Freiheiten der betroffenen Personen besteht. Der Risikobegriff ist aber – egal, ob „einfach“, „mittel“ oder „hoch“ – ein unbestimmter Begriff. Zwar existieren Dokumente der Datenschutzakteure als Auslegungshilfen (vgl. hier und hier), aber die DSGVO definiert ihn nicht. Unternehmen müssen künftig also zusätzlich noch bewerten, wie stark ein Risiko ausgeprägt ist, um zu bestimmen, ob ein Verarbeitungsverzeichnis erforderlich ist.

Drittens geht die Verarbeitung besonderer Kategorien personenbezogener Daten mit einem erhöhten – und damit „hohen“ – Risiko für die Rechte und Freiheiten der betroffenen Personen einher. Solche Daten, etwa Gesundheitsdaten oder Angaben zur religiösen Überzeugung, führen zu einer besonderen Gefährdung der informationellen Selbstbestimmung und unterliegen daher einem strengen Schutzregime und dürfen nur ausnahmsweise verarbeitet werden. Gerade deshalb erscheint es widersprüchlich, die Pflicht zum Verarbeitungsverzeichnis (wie es Erwägungsgrund 10 vorsieht s.o.) in diesen Fällen zu lockern. Aus Gründen der Rechtsklarheit und -sicherheit ist der Gesetzgeber aber gehalten, eine solche Ausnahme, in der Norm selbst zu regeln. Ein ergänzender Erwägungsgrund ist dafür jedenfalls rechtsdogmatisch wenig überzeugend. Erwägungsgründen kommt keine rechtliche Bindungswirkung zu (siehe dazu Rn. 32 hier).

Und viertens eignen sich starre Unternehmensgrößen ohnehin kaum, um effektiven Datenschutz im Einklang mit dem freien Verkehr personenbezogener Daten sicherzustellen. Kategorisierungen führen oftmals zu falschen Schlussfolgerungen. Auch kleine Unternehmen können besonders schützenswerte personenbezogene Daten verarbeiten, während große Unternehmen mit vielen Beschäftigten eher „harmlose“ Daten verarbeiten. Daher eignen sich feste Kenngrößen kaum, um das Gefährdungspotential von Datenverarbeitungen näher zu bestimmen. Feststeht: Gerade bei kritischen Daten ist das Führen eines Verarbeitungsverzeichnisses geboten.

Auf den Verwendungszusammenhang kommt es

Eine Reform, die Datenschutz und freien Datenverkehr gleichermaßen stärken will, muss ganzheitlich ansetzen. Das gilt gerade auch für das Führen von Verarbeitungsverzeichnissen.

Auch bei ihnen kommt es – wie ohnehin regelmäßig im Datenschutzrecht – maßgeblich auf den konkreten Verwendungszusammenhang der verarbeiteten personenbezogenen Daten an (so schon BVerfGE 65, 1 (45)). Denn je nach Kontext können dieselben Daten alltäglich und gewöhnlich oder sensibel sein. Scheinbar „harmlose“ Informationen – wie Name und Adresse – werden zu besonders „sensitiven“ Daten, wenn sie etwa in Verbindung mit einem Krankenhaus oder einer bestimmten Religionszugehörigkeit stehen. Umgekehrt hängt der Grad der Schutzwürdigkeit auch davon ab wer Zugang zu den Daten hat: So mögen Krankenhausdaten der Patientenakte eines Arztes üblich und erwartbar sein, gelten jedoch als besonders sensibel, wenn sie etwa dem Arbeitgeber zusätzlich zugänglich gemacht werden. Dieselben Daten können also je nach Verwendung ganz unterschiedliche Risiken bergen.

Dieser Zusammenhang lässt sich auch auf das Erstellen und Führen von Verarbeitungsverzeichnissen übertragen. Werden Daten in einem gewöhnlichen Verwendungszusammenhang verarbeitet, könnten geringere Anforderungen an das Erstellen und Führen eines Verarbeitungsverzeichnisses tatsächlich eine bürokratische Entlastung bewirken. Ändert sich jedoch der Verwendungszusammenhang – etwa, weil Daten an Dritte übermittelt werden – müssen höhere Anforderungen an das Verarbeitungsverzeichnis gestellt werden.

Dieser Ansatz trägt nicht nur dem Schutz personenbezogener Daten Rechnung, sondern ermöglicht auch einen angemessenen Ausgleich mit den Grundrechten der Datenverarbeiter – insbesondere im Hinblick auf den Abbau unnötiger Bürokratie.