1. Home
  2. Artikel-29 Datenschutzgruppe...
DataAgenda

Artikel-29 Datenschutzgruppe konkretisiert Art. 30 DS-GVO

Die Artikel29-Datenschutzgruppe konkretisiert in ihrem letzten Positionspapier vom 19.04.2018 die Anforderungen, die aus Art. 30 DS-GVO (Verzeichnis von Verarbeitungstätigkeiten) erwachsen. Dabei nimmt sie Bezug auf Erwägungsgrund 13 der DS-GVO. Dort lautet es sinngemäß, dass die DS-GVO, um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthält, die weniger als 250 Mitarbeiter beschäftigen. Artikel 30 Abs. 5 DS-GVO trägt diesem Gedanken Rechnung.

Es besagt, dass die in den Absätzen 1 und 2 des Art. 30 DS-GVO genannten Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Die Ausnahmeregelungen sind alternativ zu betrachten

Auf Grund einer hohen Anzahl von Fragen von Unternehmen, die die Artikel-29 Datenschutzgruppe zu dieser in Absatz 5 geregelten Ausnahme erhalten hat, möchte die Artikel-29 Datenschutzgruppe hervorheben, dass  die Ausnahmeregelungen in Art. 30 Abs. 5 DS-GVO alternativ zu betrachten sind. Bereits das Auftreten eines der Kriterien löst eine Pflicht zur Führung der Aufzeichnung der Verarbeitungstätigkeiten aus. Damit wird die Privilegierung von Unternehmen mit weniger als 250 Mitarbeiter wieder hinfällig, wenn die von ihnen vorgenommene Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 gegeben ist.

Der Umstand, dass Mitarbeiterdaten regelmäßig verarbeitet werden, wenn diese denn vorhanden sind, führt in der Regel dazu, dass die Ausnahme aus Art. 30 Abs. 5 DS-GVO in den allermeisten Fällen nicht greift.

Die Artikel29-Datenschutzgruppe hebt hervor, dass die Aufzeichnung der Verarbeitungstätigkeiten ein sehr nützliches Mittel ist, um eine Analyse der Auswirkungen einer bestehenden oder geplanten Verarbeitung zu unterstützen. Die Aufzeichnung erleichtere die sachliche Beurteilung des Risikos der Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen oder Verarbeiters in Bezug auf die Rechte des Einzelnen sowie die Ermittlung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten – beides Schlüsselkomponenten des im GDPR enthaltenen Grundsatzes der Rechenschaftspflicht.

Für viele Kleinst-, Klein- und Mittelbetriebe sei es unwahrscheinlich, dass die Aufzeichnung der Verarbeitungstätigkeiten eine besonders große Belastung darstelle.

Europäische Kommission

Letztes Update:22.06.18

Das könnte Sie auch interessieren

  • Data Breach Management

    Praxisnahe Handreichung zum Datenpannenmanagement

    Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –

    Mehr erfahren
  • Chatbots in der Verwaltung

    LLM-gestützte Chatbots in der öffentlichen Verwaltung

    Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob

    Mehr erfahren
  • Incidentmanagement im Krankenhaus

    Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen

    Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner