1. Home
  2. Keine Pflicht zum Führen eines...
DataAgenda

Keine Pflicht zum Führen eines Verzeichnises von Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Frage des GDD Erfa-Kreises Würzburg zum Führen eines Verzeichnises von Verarbeitungstätigkeiten:

Ein Auftragnehmer beruft sich darauf, dass er kein Verzeichnis i.S.d. Art 30 Abs. 2 DS-GVO zu führen hat und führt die Ausnahmeregelung des Art. 30 Abs. 5 DS-GVO an. Er habe einerseits „weniger als 250 Mitarbeiter beschäftigt“ und andererseits „findet die Verar-beitung der Daten nur gelegentlich statt“.

Eine (weitere) Ausnahme hiervon ist u. a., ob die Verarbeitung ein „Risiko“ für Rechte und Freiheiten der betroffenen Personen birgt. Da bspw. im Rahmen einer Datenschutz-Folgenabschätzung (Art. DS-GVO) von einem „hohen Risiko“ ausgegangen wird und im Art. 30 Abs. 5 DS-GVO lediglich von einem „Risiko“ die Rede ist, wird hier scheinbar unterschieden. M. E. birgt daher jede Verarbeitung von personenbezogenen Daten zumindest ein Risiko  für die Rechte und Freiheiten. – Somit ist m. E. die Ausnahmeregelung ausgehebelt bzw. läuft ins Leere, so dass alle Unternehmen ein Verzeichnis zu führen haben.

  • Wie sieht die Datenschutzaufsicht diesen Fall?
  • Bzw. gibt es in der Praxis eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“?

Antwort des BayLDA:

Die Voraussetzungen der Ausnahmevorschrift des Art. 30 Abs. 5 DS-GVO sind eng auszulegen und daher in der Praxis nur sehr selten erfüllt. Eine „lediglich gelegentliche“ Datenverarbeitung kommt in der Praxis nur in absoluten Ausnahmefällen vor. Näheres hat die Datenschutzkonferenz in den Hinweisen zum Verzeichnis der Verarbeitungstätigkeiten ausgeführt
(https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf):

Schon die regelmäßig erfolgenden Lohnabrechnungen stellen eine nicht „nur gelegentliche Verarbeitung“  das. Daher werden die meisten Unternehmen schon aus diesem Grund unter die Verpflichtung zur Erstellung eines Verzeichnisses fallen. Von einer „nur gelegentlichen“ Verarbeitung  kann man allenfalls bei Unternehmen ausgehen, die diese Tätigkeiten komplett durch einen
Steuerberater erledigen lassen sowie eventuell bei kleineren Vereinen. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können
z. B. sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Letztes Update:26.11.18

Das könnte Sie auch interessieren

  • BSI IT-Grundschutz++

    BSI veröffentlicht Methodikleitfaden für Grundschutz++

    Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.

    Mehr erfahren
  • Podcast-Folge 91 der Data Agenda mit Prof. Dr. Schwartmann und Céleste Spahić im Experten-Talk über Daten und Digitalisierung.

    Folge 91: KI-Kompetenz und KI-Kompetenzen

    KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:

    Mehr erfahren
  • Arbeitszeiterfassung datenschutzkonform

    Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem

    Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner