Keine Pflicht zum Führen eines Verzeichnises von Verarbeitungstätigkeiten?

Verzeichnis von Verarbeitungstätigkeiten

Frage des GDD Erfa-Kreises Würzburg zum Führen eines Verzeichnises von Verarbeitungstätigkeiten:

Ein Auftragnehmer beruft sich darauf, dass er kein Verzeichnis i.S.d. Art 30 Abs. 2 DS-GVO zu führen hat und führt die Ausnahmeregelung des Art. 30 Abs. 5 DS-GVO an. Er habe einerseits „weniger als 250 Mitarbeiter beschäftigt“ und andererseits „findet die Verar-beitung der Daten nur gelegentlich statt“.

Eine (weitere) Ausnahme hiervon ist u. a., ob die Verarbeitung ein „Risiko“ für Rechte und Freiheiten der betroffenen Personen birgt. Da bspw. im Rahmen einer Datenschutz-Folgenabschätzung (Art. DS-GVO) von einem „hohen Risiko“ ausgegangen wird und im Art. 30 Abs. 5 DS-GVO lediglich von einem „Risiko“ die Rede ist, wird hier scheinbar unterschieden. M. E. birgt daher jede Verarbeitung von personenbezogenen Daten zumindest ein Risiko  für die Rechte und Freiheiten. – Somit ist m. E. die Ausnahmeregelung ausgehebelt bzw. läuft ins Leere, so dass alle Unternehmen ein Verzeichnis zu führen haben.

  • Wie sieht die Datenschutzaufsicht diesen Fall?
  • Bzw. gibt es in der Praxis eine Unterscheidung zwischen „Risiko“ und „hohem Risiko“?

Antwort des BayLDA:

Die Voraussetzungen der Ausnahmevorschrift des Art. 30 Abs. 5 DS-GVO sind eng auszulegen und daher in der Praxis nur sehr selten erfüllt. Eine „lediglich gelegentliche“ Datenverarbeitung kommt in der Praxis nur in absoluten Ausnahmefällen vor. Näheres hat die Datenschutzkonferenz in den Hinweisen zum Verzeichnis der Verarbeitungstätigkeiten ausgeführt
(https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf):

Schon die regelmäßig erfolgenden Lohnabrechnungen stellen eine nicht „nur gelegentliche Verarbeitung“  das. Daher werden die meisten Unternehmen schon aus diesem Grund unter die Verpflichtung zur Erstellung eines Verzeichnisses fallen. Von einer „nur gelegentlichen“ Verarbeitung  kann man allenfalls bei Unternehmen ausgehen, die diese Tätigkeiten komplett durch einen
Steuerberater erledigen lassen sowie eventuell bei kleineren Vereinen. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DS-GVO vor.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können
z. B. sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Fazit: Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist.

Letztes Update:26.11.18

  • Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO

    Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.

    Mehr erfahren
  • MS Cloud und IT-Grundschutz

    IT-Grundschutz in der Microsoft-Cloud

    Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei

    Mehr erfahren
  • EuGH urteilt zum Begriff “Recht auf Kopie”

    Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in

    Mehr erfahren