1. Home
  2. Keine Pflicht zum Führen eines...
DataAgenda

Keine Pflicht zum Führen eines Verzeichnises von Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Frage des GDD Erfa-Kreises Würzburg zum Führen eines Verzeichnises von Verarbeitungstätigkeiten:

Ein Auftragnehmer beruft sich darauf, dass er kein Verzeichnis i.S.d. Art 30 Abs. 2 DS-GVO zu führen hat und führt die Ausnahmeregelung des Art. 30 Abs. 5 DS-GVO an. Er habe einerseits „weniger als 250 Mitarbeiter beschäftigt“ und andererseits „findet die Verar-beitung der Daten nur gelegentlich statt“.

Eine (weitere) Ausnahme hiervon ist u. a., ob die Verarbeitung ein „Risiko“ für Rechte und Freiheiten der betroffenen Personen birgt. Da bspw. im Rahmen einer Datenschutz-Folgenabschätzung (Art. DS-GVO) von einem „hohen Risiko“ ausgegangen wird und im Art. 30 Abs. 5 DS-GVO lediglich von einem „Risiko“ die Rede ist, wird hier scheinbar unterschieden. M. E. birgt daher jede Verarbeitung von personenbezogenen Daten zumindest ein Risiko  für die Rechte und Freiheiten. – Somit ist m. E. die Ausnahmeregelung ausgehebelt bzw. läuft ins Leere, so dass alle Unternehmen ein Verzeichnis zu führen haben.

  • Wie sieht die Datenschutzaufsicht diesen Fall?
  • Bzw. gibt es in der Praxis eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“?

Antwort des BayLDA:

Die Voraussetzungen der Ausnahmevorschrift des Art. 30 Abs. 5 DS-GVO sind eng auszulegen und daher in der Praxis nur sehr selten erfüllt. Eine „lediglich gelegentliche“ Datenverarbeitung kommt in der Praxis nur in absoluten Ausnahmefällen vor. Näheres hat die Datenschutzkonferenz in den Hinweisen zum Verzeichnis der Verarbeitungstätigkeiten ausgeführt
(https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf):

Schon die regelmäßig erfolgenden Lohnabrechnungen stellen eine nicht „nur gelegentliche Verarbeitung“  das. Daher werden die meisten Unternehmen schon aus diesem Grund unter die Verpflichtung zur Erstellung eines Verzeichnisses fallen. Von einer „nur gelegentlichen“ Verarbeitung  kann man allenfalls bei Unternehmen ausgehen, die diese Tätigkeiten komplett durch einen
Steuerberater erledigen lassen sowie eventuell bei kleineren Vereinen. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können
z. B. sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Letztes Update:26.11.18

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner