Artikel-29 Datenschutzgruppe konkretisiert Art. 30 DS-GVO

Die Artikel29-Datenschutzgruppe konkretisiert in ihrem letzten Positionspapier vom 19.04.2018 die Anforderungen, die aus Art. 30 DS-GVO (Verzeichnis von Verarbeitungstätigkeiten) erwachsen. Dabei nimmt sie Bezug auf Erwägungsgrund 13 der DS-GVO. Dort lautet es sinngemäß, dass die DS-GVO, um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthält, die weniger als 250 Mitarbeiter beschäftigen. Artikel 30 Abs. 5 DS-GVO trägt diesem Gedanken Rechnung.

Es besagt, dass die in den Absätzen 1 und 2 des Art. 30 DS-GVO genannten Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Die Ausnahmeregelungen sind alternativ zu betrachten

Auf Grund einer hohen Anzahl von Fragen von Unternehmen, die die Artikel-29 Datenschutzgruppe zu dieser in Absatz 5 geregelten Ausnahme erhalten hat, möchte die Artikel-29 Datenschutzgruppe hervorheben, dass  die Ausnahmeregelungen in Art. 30 Abs. 5 DS-GVO alternativ zu betrachten sind. Bereits das Auftreten eines der Kriterien löst eine Pflicht zur Führung der Aufzeichnung der Verarbeitungstätigkeiten aus. Damit wird die Privilegierung von Unternehmen mit weniger als 250 Mitarbeiter wieder hinfällig, wenn die von ihnen vorgenommene Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 gegeben ist.

Der Umstand, dass Mitarbeiterdaten regelmäßig verarbeitet werden, wenn diese denn vorhanden sind, führt in der Regel dazu, dass die Ausnahme aus Art. 30 Abs. 5 DS-GVO in den allermeisten Fällen nicht greift.

Die Artikel29-Datenschutzgruppe hebt hervor, dass die Aufzeichnung der Verarbeitungstätigkeiten ein sehr nützliches Mittel ist, um eine Analyse der Auswirkungen einer bestehenden oder geplanten Verarbeitung zu unterstützen. Die Aufzeichnung erleichtere die sachliche Beurteilung des Risikos der Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen oder Verarbeiters in Bezug auf die Rechte des Einzelnen sowie die Ermittlung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten – beides Schlüsselkomponenten des im GDPR enthaltenen Grundsatzes der Rechenschaftspflicht.

Für viele Kleinst-, Klein- und Mittelbetriebe sei es unwahrscheinlich, dass die Aufzeichnung der Verarbeitungstätigkeiten eine besonders große Belastung darstelle.

Europäische Kommission

Letztes Update:22.06.18

  • Gutrachten zur Umsetzung der Ds-GVO

    DS-GVO-Verstöße abmahnbar?

    Mit der Datenschutz-Grundverordnung (DS-GVO) war von Anfang an eine große Angst vor Abmahnungen im Falle von Verstößen gegen sie verbunden. Ob ein Verstoß gegen die DS-GVO abmahnfähig ist, bestimmt sich nach § 3a UWG danach, ob die verletzte Regelung eine Marktverhaltensregelung darstellt. Das OLG Naumburg (Urteil vom 07.November 2019,9 U 6/19) stellte dies nun für

    Mehr erfahren
  • TOMs für den E-Mail-Versand

    Anforderungen für IT-Sicherheit der vertragsärztlichen und -zahnärztlichen Versorgung

    Die Kassenärztliche Bundesvereinigung (KBV) hat bis zum 30. Juni 2020 eine Richtlinie vorzulegen, womit die Anforderungen an die IT-Sicherheit in der vertragsärztlichen und -zahnärztlichen Versorgung geregelt werden sollen. Diese müssen geeignet sein, Störungen der informationstechnischen Systeme zu vermeiden. Dieser Auftrag des Gesetzgebers resultiert aus der Normierung eines neuen § 75b SGB V. Teil der Sicherung

    Mehr erfahren
  • Digitaler Nachlass

    Studie beleuchtet Fragestellungen zum Digitalen Nachlass

    Hinterbliebene stehen vor vielen Herausforderungen, wenn sie an Vertragsinformationen gelangen müssen und Online-Konten von Verstorbenen verwalten sollen. Ohne Passwörter und Zugangsdaten haben Erben oft keinen Zugriff auf die Online-Konten. Sie können sich nicht um laufende Geschäfte wie Internetauktionen, Abos oder Bestellungen kümmern oder Verträge kündigen. Im schlimmsten Fall entstehen hohe laufende Kosten und finanzielle Schäden.

    Mehr erfahren