Artikel-29 Datenschutzgruppe konkretisiert Art. 30 DS-GVO

Die Artikel29-Datenschutzgruppe konkretisiert in ihrem letzten Positionspapier vom 19.04.2018 die Anforderungen, die aus Art. 30 DS-GVO (Verzeichnis von Verarbeitungstätigkeiten) erwachsen. Dabei nimmt sie Bezug auf Erwägungsgrund 13 der DS-GVO. Dort lautet es sinngemäß, dass die DS-GVO, um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthält, die weniger als 250 Mitarbeiter beschäftigen. Artikel 30 Abs. 5 DS-GVO trägt diesem Gedanken Rechnung.

Es besagt, dass die in den Absätzen 1 und 2 des Art. 30 DS-GVO genannten Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Die Ausnahmeregelungen sind alternativ zu betrachten

Auf Grund einer hohen Anzahl von Fragen von Unternehmen, die die Artikel-29 Datenschutzgruppe zu dieser in Absatz 5 geregelten Ausnahme erhalten hat, möchte die Artikel-29 Datenschutzgruppe hervorheben, dass  die Ausnahmeregelungen in Art. 30 Abs. 5 DS-GVO alternativ zu betrachten sind. Bereits das Auftreten eines der Kriterien löst eine Pflicht zur Führung der Aufzeichnung der Verarbeitungstätigkeiten aus. Damit wird die Privilegierung von Unternehmen mit weniger als 250 Mitarbeiter wieder hinfällig, wenn die von ihnen vorgenommene Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 gegeben ist.

Der Umstand, dass Mitarbeiterdaten regelmäßig verarbeitet werden, wenn diese denn vorhanden sind, führt in der Regel dazu, dass die Ausnahme aus Art. 30 Abs. 5 DS-GVO in den allermeisten Fällen nicht greift.

Die Artikel29-Datenschutzgruppe hebt hervor, dass die Aufzeichnung der Verarbeitungstätigkeiten ein sehr nützliches Mittel ist, um eine Analyse der Auswirkungen einer bestehenden oder geplanten Verarbeitung zu unterstützen. Die Aufzeichnung erleichtere die sachliche Beurteilung des Risikos der Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen oder Verarbeiters in Bezug auf die Rechte des Einzelnen sowie die Ermittlung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten – beides Schlüsselkomponenten des im GDPR enthaltenen Grundsatzes der Rechenschaftspflicht.

Für viele Kleinst-, Klein- und Mittelbetriebe sei es unwahrscheinlich, dass die Aufzeichnung der Verarbeitungstätigkeiten eine besonders große Belastung darstelle.

Europäische Kommission

Letztes Update:22.06.18

  • Kameraattrappe

    Kamera-Attrappen: Beweislast liegt (auch hier) beim Verantwortlichen

    Ein sehr praktisches Problem thematisiert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 5. Tätigkeitsbericht (Ziffer 3.6) zum Datenschutz nach der DS-GVO und beschäftigt sich mit der Frage, wie Verantwortliche ihrer Darlegungslast im Hinblick auf Kameraattrappen nachkommen können. Das Problem ergibt sich bei Betrachtung zweier Aspekte, die für sich genommen, eher

    Mehr erfahren
  • Smart Cities

    Arbeitspapier zu “Smart Cities“

    Unter dem Vorsitz von Prof. Ulrich Kelber hat die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT), allgemein bekannt als „Berlin Group“, ein Arbeitspapier zu „Smart Cities“ verabschiedet, das Städten, Dienstleistern und Regulierungsbehörden praktische Empfehlungen bietet, um datenschutzfreundlichere Lösungen für „Smart Cities“ zu identifizieren und zu fördern. Städte in der ganzen Welt wenden neue und

    Mehr erfahren
  • Reaktion auf einen Cyberangriff: LDI NRW mit Schritt-für-Schritt-Anleitung

    Ein IT-Sicherheitsvorfall bezieht sich auf eine Situation, in der die Integrität, Vertraulichkeit oder Verfügbarkeit von IT-Systemen oder Daten in einem Unternehmen gefährdet ist oder verletzt wurde. Dies kann verschiedene Formen annehmen, wie z. B. den unbefugten Zugriff auf sensible Informationen, Datenlecks, Malware-Infektionen, Denial-of-Service-Angriffe, Phishing oder Social Engineering. Jedes Jahr legt das Bundesamt für Sicherheit in

    Mehr erfahren