Sie befinden sich hier:

Wann entfällt die gesetzliche Pflicht zur Führung eines Verfahrensverzeichnisses?

Gemäß Art. 30 Abs. 1 Satz 1 DSGVO muss jeder Verantwortliche (egal ob Unternehmen oder Behörde) ein Verzeichnis aller Verarbeitungstätigkeiten erstellen und führen, die seiner Zuständigkeit unterliegen. Das Gesetz sieht aber eine Ausnahme von dieser Verpflichtung vor.

Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten gilt gemäß Art. 30 Abs. 5 DSGVO nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (sobald eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist, liegt ein Risiko vor),
  • nur gelegentlich (also von Zeit zu Zeit oder nur unter gewissen Umständen) erfolgt und
  • nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (sensible Daten wie Gesundheitsdaten, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten zum Sexualleben oder der sexuellen Orientierung) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO einschließt.

Wer zählt zu den Mitarbeitern?

Neben den fest beschäftigten Mitarbeitern zählen sowohl die Mitglieder der Unternehmensleitung selbst als auch Auszubildende, Teilzeitkräfte und ehrenamtliche oder freie Mitarbeiter zu dem Kreis der 250 Personen, soweit sie an der automatisierten Verarbeitung beteiligt sind.

Welche Verarbeitungen bergen ein Risiko für die Rechte und Freiheiten?

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, sind z. B.:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Übermittlung von Daten in Drittländer,
  • Ortung von Mitarbeitern (z. B. mittels GPS),
  • Daten, die einem Berufsgeheimnis unterliegen,
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Was bedeutet „Nicht nur gelegentliche Verarbeitung“?

Eine Verarbeitung findet nicht nur gelegentlich statt, wenn

  • sie fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommt,
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftritt,
  • ständig oder regelmäßig stattfindend.

Was ist der Sinn der Regelung?

Mit der Regelung sollen Kleinstunternehmen sowie kleine und mittlere Unternehmen gemäß des Erwägungsgrundes 13 zur Datenschutz-Grundverordnung soweit wie möglich von der Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten ausgenommen werden. Allerdings genügt bereits das Vorhandensein einer der drei Bedingungen, um die Verpflichtung zur Führung des Verzeichnisses wieder in Kraft treten zu lassen.

Beachte:

Insbesondere da die Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nur gilt, soweit keine regelmäßige Datenverarbeitung (wie z. B. die Lohnabrechnung) erfolgt, greift diese Regelung in der Praxis nur bei den allerwenigsten Unternehmen.

Außerdem finden die Ausnahmeregelungen des Art. 30 Abs. 5 DSGVO in der Regel keine Anwendung bei Auftragsverarbeitern, da deren Verarbeitung nicht nur gelegentlich erfolgt, zumindest falls die Auftragsverarbeitung über einen längeren Zeitraum erfolgt.

nach oben