Der Kommissionsbericht1 ist nämlich insofern instruktiv, als er die Rolle der nationalen Datenschutzbehörden bei der Unterstützung von kleinen und mittleren Unternehmen (KMU) betont und mehr Engagement fordert:
Die unterschiedlichen Ansätze der Datenschutzbehörden zur Sensibilisierung und Anleitung führen jedoch dazu, dass die KMU in bestimmten Mitgliedstaaten die Einhaltung der Vorschriften als komplex empfinden und die Durchsetzung fürchten. Die Datenschutzbehörden sollten ihre Anstrengungen zur Bewältigung dieser Herausforderungen verdoppeln, unter anderem indem sie aktiv mit den KMU zusammenarbeiten, um unbegründete Bedenken hinsichtlich der Einhaltung auszuräumen. Die Datenschutzbehörden sollten sich darauf konzentrieren, maßgeschneiderte Unterstützung und praktische Instrumente bereitzustellen, wie Vorlagen (z. B. für die Durchführung von Datenschutz-Folgenabschätzungen), Hotlines, illustrative Beispiele, Checklisten und Anleitungen zu bestimmten Verarbeitungsvorgängen (z. B. Rechnungsstellung oder Newsletter) sowie technischen und organisatorischen Maßnahmen. Da die meisten KMU nicht über internes Datenschutz-Fachwissen verfügen, sollten alle an KMU gerichteten Leitlinien auch für Personen ohne juristische Ausbildung leicht verständlich sein.
Der Hinweis auf praktische Instrumente ist zweifellos richtig, nur darf man von den deutschen Datenschutzbehörden wohl nicht zu viel erwarten. Maßgeschneiderte Unterstützung und praktische Instrumente wird man sich als KMU auf dem Rechtsdienstleistungsmarkt besorgen müssen, und da hat die Verwandlung von Beratungsdienstleistungen in standardisierte digitale Produkte längst begonnen2.
Zweiter Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO) vom 25. Juli 2024, COM (2024) 357 fin. ↩
Siehe etwa den Datenschutz-Generator oder Dieter. ↩