Für viele kleine oder mittlere Unternehmen ist im Zusammenhang mit der Datenschutzgrundverordnung (DSGVO) die Ziffer 10 eine entscheidende Zahl. Ab 10 Personen, die regelmäßig mit der Verarbeitung von personenbezogenen Daten betraut sind, ist im Unternehmen ein Datenschutzbeauftragter zu bestellen, vgl. Art. 37 Abs. 4 Satz 1 DSGVO i.V.m. § 38 Abs. 1 Satz 1 BDSG n.F. Insoweit bleibt im Vergleich zum alten Bundesdatenschutzgesetz von 1990 alles beim Alten. Hier hat der Gesetzgeber nur eine redaktionelle Korrektur vorgenommen und spricht nicht mehr von "mehr als 9 Personen", sondern von "mindestens 10 Personen".
Die Pflicht, einen Datenschutzbeauftragten erst ab 10 Personen, die regelmäßig personenbezogene Daten verarbeiten, bestellen zu müssen, führt bei vielen kleinen und mittelständischen Unternehmen regelmäßig zum Aufatmen, wenn diese Anzahl nicht erreicht wird. Dabei wird jedoch leicht übersehen, dass die Pflichten der Datenschutzgrundverordnung bereits ab dem ersten personenbezogenen Datum gelten, das im Unternehmen verarbeitet wird. Die Pflicht, keinen Datenschutzbeauftragten bestellen zu müssen, spart dem Unternehmen Geld, es befreit aber nicht von der Einhaltung der Regelungen zum Datenschutz bei der Verarbeitung personenbezogener Daten!
Daraus folgt für kleine und mittelständische Unternehmen die Pflicht, die umfangreichen Dokumentationspflichten der Datenschutzgrundverordnung beim Umgang mit personenbezogenen Daten einhalten zu müssen. Das beginnt mit der auch Rückwirkend nachvollziehbar zu dokumentierenden Einwilligung von Betroffenen in die Datenverarbeitung, für den Fall, dass keine anderen Erlaubnistatbestände eingreifen. Es geht weiter mit der datenschutzkonformen Ausgestaltung der Geschäftsprozesse im Unternehmen. Diese allgemeinen Vorkehrungen steigern sich bei der Verarbeitung besonders sensibler personenbezogener Daten bzw. besonderer Gefahren für die Rechte der Betroffenen zur Pflicht, eine sogenannte Datenschutzfolgenabschätzung gem. Art. 35 ff. DSGVO durchführen zu müssen.
Auch die Notwendigkeit, ein Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) im Hinblick auf personenbezogene Daten aufzustellen, trifft auch kleinere und mittlere Unternehmen. Der Normgeber verkündet in seinen Erwägungsgründen zwar noch großmütig, dass er kleinere und mittlere Unternehmen entlasten möchte und diese von der Aufstellung entsprechender Verzeichnisse befreit. Dazu heißt es in Erwägungsgrund 13 der DSGVO unter anderem:
„[…] Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. [...]"
Bei der Lektüre der konkreten Umsetzung im Normtext kehrt jedoch schnell Ernüchterung ein. Der Art. 30 Abs. 5 DSGVO beginnt zunächst vielversprechend:
"Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, [...]"
Soweit ist alles gut. Das Problem folgt im Fortgang des Satzes. Dort heißt es in einer schwer zu verstehenden Formulierung:
„[…] sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 […] einschließt."
Auf den Kern reduziert heißt „nicht nur gelegentlich", dass derjenige, der regelmäßig personenbezogene Daten verarbeitet, sich nicht auf die Erleichterung berufen kann! Damit entfällt diese Erleichterung bereits für alle Unternehmen die Ihren Kunden regelmäßig Rechnungen per Post oder E-Mail zuschicken oder Lohnabrechnungen für Mitarbeiter erledigen. Der Anwendungsbereich ist also denkbar gering. Es müsste sich um ein Unternehmen handeln, das faktisch nur Bargeschäfte abwickelt und kein Personal hat, denn auch die Abführung von Sozialabgaben und Steuern für die Mitarbeiter ist eine regelmäßige Verarbeitung personenbezogener Daten. Es bleibt ein Geheimnis des Normgebers, wie ein Unternehmen mit bis zu 249 Mitarbeitern aussieht, das „nur gelegentlich" personenbezogene Informationen verarbeitet.
Es bleibt abzuwarten, wie die Datenschutzbehörden und die Gerichte mit diesem offensichtlichen Widerspruch zwischen der Intention der Erwägungsgründe und der schließlich in Art. 30 Abs. 5 DSGVO gewählten Formulierung umgehen werden.
Wer in seinem kleinen oder mittleren Unternehmen datenschutzrechtlich sicher aufgestellt sein will, dem bleibt bis auf Weiteres nichts anderes übrig auch bei weniger als 250 Mitarbeitern Verzeichnisse über die Verarbeitungstätigkeit im Unternehmen aufzustellen.