Artikel-29 Datenschutzgruppe konkretisiert Art. 30 DS-GVO

Die Artikel29-Datenschutzgruppe konkretisiert in ihrem letzten Positionspapier vom 19.04.2018 die Anforderungen, die aus Art. 30 DS-GVO (Verzeichnis von Verarbeitungstätigkeiten) erwachsen. Dabei nimmt sie Bezug auf Erwägungsgrund 13 der DS-GVO. Dort lautet es sinngemäß, dass die DS-GVO, um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen enthält, die weniger als 250 Mitarbeiter beschäftigen. Artikel 30 Abs. 5 DS-GVO trägt diesem Gedanken Rechnung.
Es besagt, dass die in den Absätzen 1 und 2 des Art. 30 DS-GVO genannten Pflichten nicht für Unternehmen oder Einrichtungen gelten, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Die Ausnahmeregelungen sind alternativ zu betrachten
Auf Grund einer hohen Anzahl von Fragen von Unternehmen, die die Artikel-29 Datenschutzgruppe zu dieser in Absatz 5 geregelten Ausnahme erhalten hat, möchte die Artikel-29 Datenschutzgruppe hervorheben, dass die Ausnahmeregelungen in Art. 30 Abs. 5 DS-GVO alternativ zu betrachten sind. Bereits das Auftreten eines der Kriterien löst eine Pflicht zur Führung der Aufzeichnung der Verarbeitungstätigkeiten aus. Damit wird die Privilegierung von Unternehmen mit weniger als 250 Mitarbeiter wieder hinfällig, wenn die von ihnen vorgenommene Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 gegeben ist.
Der Umstand, dass Mitarbeiterdaten regelmäßig verarbeitet werden, wenn diese denn vorhanden sind, führt in der Regel dazu, dass die Ausnahme aus Art. 30 Abs. 5 DS-GVO in den allermeisten Fällen nicht greift.
Die Artikel29-Datenschutzgruppe hebt hervor, dass die Aufzeichnung der Verarbeitungstätigkeiten ein sehr nützliches Mittel ist, um eine Analyse der Auswirkungen einer bestehenden oder geplanten Verarbeitung zu unterstützen. Die Aufzeichnung erleichtere die sachliche Beurteilung des Risikos der Verarbeitungstätigkeiten eines für die Verarbeitung Verantwortlichen oder Verarbeiters in Bezug auf die Rechte des Einzelnen sowie die Ermittlung und Umsetzung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten – beides Schlüsselkomponenten des im GDPR enthaltenen Grundsatzes der Rechenschaftspflicht.
Für viele Kleinst-, Klein- und Mittelbetriebe sei es unwahrscheinlich, dass die Aufzeichnung der Verarbeitungstätigkeiten eine besonders große Belastung darstelle.
Letztes Update:22.06.18
Das könnte Sie auch interessieren
-
Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter
Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.
Mehr erfahren -
Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?
In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in
Mehr erfahren -
Datenpannen bei Auftragsverarbeitern – Pflichten des Auftragsverarbeiters und des Auftraggebers?
Mit Einführung der DS-GVO ist der Auftragsverarbeiter neben dem Verantwortlichen als Normadressat getreten. Dies gilt sowohl für die Kernnorm der Auftragsverarbeitung gem. Art. 28 DS-GVO, als auch viele weitere Normen, in denen die Verantwortlichkeit des Auftragsverarbeiters ausdrücklich genannt wird. Verschärft wird diese Situation durch die Haftungs- und Bußgeldregelungen (Artt. 82 und 83 DS-GVO) sowie ein
Mehr erfahren