Keine Pflicht zum Führen eines Verzeichnises von Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Frage des GDD Erfa-Kreises Würzburg zum Führen eines Verzeichnises von Verarbeitungstätigkeiten:

Ein Auftragnehmer beruft sich darauf, dass er kein Verzeichnis i.S.d. Art 30 Abs. 2 DS-GVO zu führen hat und führt die Ausnahmeregelung des Art. 30 Abs. 5 DS-GVO an. Er habe einerseits „weniger als 250 Mitarbeiter beschäftigt“ und andererseits „findet die Verar-beitung der Daten nur gelegentlich statt“.

Eine (weitere) Ausnahme hiervon ist u. a., ob die Verarbeitung ein „Risiko“ für Rechte und Freiheiten der betroffenen Personen birgt. Da bspw. im Rahmen einer Datenschutz-Folgenabschätzung (Art. DS-GVO) von einem „hohen Risiko“ ausgegangen wird und im Art. 30 Abs. 5 DS-GVO lediglich von einem „Risiko“ die Rede ist, wird hier scheinbar unterschieden. M. E. birgt daher jede Verarbeitung von personenbezogenen Daten zumindest ein Risiko  für die Rechte und Freiheiten. – Somit ist m. E. die Ausnahmeregelung ausgehebelt bzw. läuft ins Leere, so dass alle Unternehmen ein Verzeichnis zu führen haben.

  • Wie sieht die Datenschutzaufsicht diesen Fall?
  • Bzw. gibt es in der Praxis eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“?

Antwort des BayLDA:

Die Voraussetzungen der Ausnahmevorschrift des Art. 30 Abs. 5 DS-GVO sind eng auszulegen und daher in der Praxis nur sehr selten erfüllt. Eine „lediglich gelegentliche“ Datenverarbeitung kommt in der Praxis nur in absoluten Ausnahmefällen vor. Näheres hat die Datenschutzkonferenz in den Hinweisen zum Verzeichnis der Verarbeitungstätigkeiten ausgeführt
(https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf):

Schon die regelmäßig erfolgenden Lohnabrechnungen stellen eine nicht „nur gelegentliche Verarbeitung“  das. Daher werden die meisten Unternehmen schon aus diesem Grund unter die Verpflichtung zur Erstellung eines Verzeichnisses fallen. Von einer „nur gelegentlichen“ Verarbeitung  kann man allenfalls bei Unternehmen ausgehen, die diese Tätigkeiten komplett durch einen
Steuerberater erledigen lassen sowie eventuell bei kleineren Vereinen. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können
z. B. sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Letztes Update:26.11.18

  • Ersetzendes Scannen

    BSI veröffentlicht Handlungshilfe für ersetzendes Scannen

    Das sogenannte Ersetzende Scannen beschreibt einen Prozess, in dessen Verlauf ein Dokument unter Beachtung strenger Vorschriften in eine digitale Form umgewandelt und die Papierform im Anschluss vernichtet werden darf. Der Prozess stellt dabei sicher, dass das Dokument danach in der digitalen Form die gleichen Eigenschaften wie das Original behält und eine entsprechende rechtliche Gültigkeit aufweist.

    Mehr erfahren
  • Berufsgeheimnisträger und unverschlüsselter E-Mail-Versand

    Die Frage, ob Anwältinnen und Anwälte unverschlüsselt per E-Mail mit Mandanten kommunizieren dürfen, ohne gegen die Pflicht zur Verschwiegenheit zu verstoßen, war in jüngster Vergangenheit öfter ein Streitpunkt.  Datenschutz-Aufsichtsbehörden betrachteten die Fragestellung noch genereller und stellten diese Frage für jegliche Berufsgeheimnisträger, so bspw. auch für Ärzte (Tätigkeitsbericht 2017/18 – Bayerisches Landesamt für Datenschutzaufsicht, S. 94, Ziffer

    Mehr erfahren
  • EU-Parlament kritisirt Privacy Shield

    Nach dem Ende des Privacy-Shields: GDD gibt Handlungsempfehlungen

    Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten

    Mehr erfahren