Artikel-29 Datenschutzgruppe konkretisiert Art. 30 DS-GVO

Die Artikel29-Datenschutzgruppe konkretisiert in ihrem letzten Positionspapier vom 19.04.2018 die Anforderungen, die aus Art. 30 DS-GVO (Verzeichnis von Verarbeitungstätigkeiten) erwachsen. Dabei nimmt sie Bezug auf Erwägungsgrund 13 der DS-GVO. Dort lautet es sinngemäß, dass die DS-GVO, um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthält, die weniger als 250 Mitarbeiter beschäftigen. Artikel 30 Abs. 5 DS-GVO trägt diesem Gedanken Rechnung.

Es besagt, dass die in den Absätzen 1 und 2 des Art. 30 DS-GVO genannten Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Die Ausnahmeregelungen sind alternativ zu betrachten

Auf Grund einer hohen Anzahl von Fragen von Unternehmen, die die Artikel-29 Datenschutzgruppe zu dieser in Absatz 5 geregelten Ausnahme erhalten hat, möchte die Artikel-29 Datenschutzgruppe hervorheben, dass  die Ausnahmeregelungen in Art. 30 Abs. 5 DS-GVO alternativ zu betrachten sind. Bereits das Auftreten eines der Kriterien löst eine Pflicht zur Führung der Aufzeichnung der Verarbeitungstätigkeiten aus. Damit wird die Privilegierung von Unternehmen mit weniger als 250 Mitarbeiter wieder hinfällig, wenn die von ihnen vorgenommene Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 gegeben ist.

Der Umstand, dass Mitarbeiterdaten regelmäßig verarbeitet werden, wenn diese denn vorhanden sind, führt in der Regel dazu, dass die Ausnahme aus Art. 30 Abs. 5 DS-GVO in den allermeisten Fällen nicht greift.

Die Artikel29-Datenschutzgruppe hebt hervor, dass die Aufzeichnung der Verarbeitungstätigkeiten ein sehr nützliches Mittel ist, um eine Analyse der Auswirkungen einer bestehenden oder geplanten Verarbeitung zu unterstützen. Die Aufzeichnung erleichtere die sachliche Beurteilung des Risikos der Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen oder Verarbeiters in Bezug auf die Rechte des Einzelnen sowie die Ermittlung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten – beides Schlüsselkomponenten des im GDPR enthaltenen Grundsatzes der Rechenschaftspflicht.

Für viele Kleinst-, Klein- und Mittelbetriebe sei es unwahrscheinlich, dass die Aufzeichnung der Verarbeitungstätigkeiten eine besonders große Belastung darstelle.

Europäische Kommission

Letztes Update:22.06.18

  • Online-Proctoring

    Aufsichtsbehörde: Mehr Schutz für Studierende bei Onlineprüfungen

    In jüngster Vergangenheit mussten sich Gerichte mit der Frage der Zulässigkeit der Einhaltung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung von Kontrollen beschäftigen, die in Zusammenhang mit Online-Prüfungen standen. Studierende müssen aufgrund der Corona-Pandemie häufig auf Online-Veranstaltungen ausweichen. Prüfungen müssen sie ebenfalls online ablegen, auch im eigenen Interesse, um keine wertvolle Studienzeit zu verlieren. Um Online-Prüfungen

    Mehr erfahren
  • BSI@Mastodon

    BSI nun auch auf Mastodon (datenschutzfreundliche Twitter-Alternative) vertreten

    Im November 2017 richtete der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, einen Twitter-Account für seine Behörde ein und twitterte mit großem Erfolg zu aktuellen Themen aus der Welt des Datenschutzes und der Informationsfreiheit. Mit dem Angebot wollte der LfDI seine Zielgruppen noch besser mit aktuellen Informationen erreichen, in direkten Dialog mit den

    Mehr erfahren
  • IT-Outsourcing

    Datenschutz-Anforderungen beim Outsourcing von IT

    Der Bayerische Datenschutzbeauftragte für den Datenschutz (BayLfD) hat einen Leitfaden zum Outsourcing kommunaler IT herausgegeben.Der Leitfaden soll die Kommunen bei der Auslagerung der kommunalen Informationstechnologie unterstützen. Es richtet sich daher zwar explizit an Kommunen, die eine solche Auslagerung in Betracht ziehen.Jedoch kann der Leitfaden auch für Unternehmen aus der Privatwirtschaft eine gute Hilfe sein. Unter

    Mehr erfahren