Keine Pflicht zum Führen eines Verzeichnises von Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Frage des GDD Erfa-Kreises Würzburg zum Führen eines Verzeichnises von Verarbeitungstätigkeiten:

Ein Auftragnehmer beruft sich darauf, dass er kein Verzeichnis i.S.d. Art 30 Abs. 2 DS-GVO zu führen hat und führt die Ausnahmeregelung des Art. 30 Abs. 5 DS-GVO an. Er habe einerseits „weniger als 250 Mitarbeiter beschäftigt“ und andererseits „findet die Verar-beitung der Daten nur gelegentlich statt“.

Eine (weitere) Ausnahme hiervon ist u. a., ob die Verarbeitung ein „Risiko“ für Rechte und Freiheiten der betroffenen Personen birgt. Da bspw. im Rahmen einer Datenschutz-Folgenabschätzung (Art. DS-GVO) von einem „hohen Risiko“ ausgegangen wird und im Art. 30 Abs. 5 DS-GVO lediglich von einem „Risiko“ die Rede ist, wird hier scheinbar unterschieden. M. E. birgt daher jede Verarbeitung von personenbezogenen Daten zumindest ein Risiko  für die Rechte und Freiheiten. – Somit ist m. E. die Ausnahmeregelung ausgehebelt bzw. läuft ins Leere, so dass alle Unternehmen ein Verzeichnis zu führen haben.

  • Wie sieht die Datenschutzaufsicht diesen Fall?
  • Bzw. gibt es in der Praxis eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“?

Antwort des BayLDA:

Die Voraussetzungen der Ausnahmevorschrift des Art. 30 Abs. 5 DS-GVO sind eng auszulegen und daher in der Praxis nur sehr selten erfüllt. Eine „lediglich gelegentliche“ Datenverarbeitung kommt in der Praxis nur in absoluten Ausnahmefällen vor. Näheres hat die Datenschutzkonferenz in den Hinweisen zum Verzeichnis der Verarbeitungstätigkeiten ausgeführt
(https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf):

Schon die regelmäßig erfolgenden Lohnabrechnungen stellen eine nicht „nur gelegentliche Verarbeitung“  das. Daher werden die meisten Unternehmen schon aus diesem Grund unter die Verpflichtung zur Erstellung eines Verzeichnisses fallen. Von einer „nur gelegentlichen“ Verarbeitung  kann man allenfalls bei Unternehmen ausgehen, die diese Tätigkeiten komplett durch einen
Steuerberater erledigen lassen sowie eventuell bei kleineren Vereinen. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können
z. B. sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Letztes Update:26.11.18

  • Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) in Kraft getreten

    Zum 01.12.2021 ist das neue TTDSG in Kraft getreten. Ziel der Neuregelung ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DS-GVO) sowie die – bereits lange ausstehende – Umsetzung der e-Privacy-Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung). Das hat zur Folge, dass es

    Mehr erfahren
  • 3G-Regel

    Umsetzung der 3G-Regelung – Hinweise und Orientierung

    Seit Mittwoch, den 24.11.2021 sollen am Arbeitsplatz die sog. 3G-Regelungen gelten. Der Deutsche Bundestag und der Bundesrat haben die Änderung des Infektionsschutzgesetzes und weiterer Gesetze beschlossen. Die neuen Regelungen beinhalten arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen sowie Unterstützungsleistungen.Die Regelungen sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das allgemeine Infektionsgeschehen in Deutschland effizient

    Mehr erfahren
  • Koalitionsvertrag

    GDD äußert sich zu Datenschutz im Koalitionsvertrag

    Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. nimmt die am 24.11.2021 erfolgte Veröffentlichung des Koalitionsvertrags 2021 – 2025 zwischen der Sozialdemokratischen Partei Deutschlands (SPD),. BÜNDNIS 90 / DIE GRÜNEN und den Freien Demokraten (FDP) zum Anlass, um die wesentlichen Aussagen zum Thema Datenschutz herauszuarbeiten: Im Koalitionsvertrag setzen sich SPD, Bündnis 90/Die Grünen und FDP für

    Mehr erfahren