Verzeichnis von Verarbeitungstätigkeiten – Pflicht mit Ausnahmen

Fachbeitrag

Mit der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) Rechnung tragen, sollen diese von der Pflicht befreit werden können. Die entsprechende Ausnahme ist allerdings derart unglücklich formuliert und sorgt für große Unsicherheit.

Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten

Die sorgfältige Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO stellt derzeit viele Unternehmen vor eine große Herausforderung. Nach einer aktuellen Umfrage des Bitkom e.V. haben 49 % der Unternehmen derzeit kein solches Verzeichnis. Vor allem für KMU bedeutet die Pflicht einen sehr hohen bürokratischen und personellen Aufwand.

Dies hat auch der Verordnungsgeber vermutet und daher für KMU mit weniger als 250 Mitarbeitern einen Ausnahmetatbestand geschaffen. Demnach sind diese nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit, es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Nach ihrem Wortlaut wäre die Ausnahme nie einschlägig

Es existieren also drei Ausnahmen von der Ausnahme, von denen die ersten beiden sehr unglücklich formuliert sind. Die Pflicht zur Erstellung des Verzeichnisses erstreckt sich schon dann auf KMU, wenn nur eine der Voraussetzungen erfüllt ist.

Dem Wortlaut nach würden mindestens zwei Rückausnahmen immer zur Anwendung kommen, da ein Risiko bei jeder Verarbeitung von personenbezogenen Daten besteht und auch eine gelegentliche Verarbeitung – je nach Definition des Wortes gelegentlich – heutzutage eher unwahrscheinlich ist. Die eigentliche Ausnahme für KMU würde daher leer laufen. Dies kann so nicht beabsichtigt sein.

Erwägungsgründe sprechen gegen wörtliche Auslegung

Erwägungsgrund 13 der DSGVO führt aus, dass der besonderen Situation der KMU Rechnung getragen werden müsse und daher abweichende Regelungen in Bezug auf das Führen von Verzeichnissen gelten. Mit der besonderen Situation sind u.a. die geringere Arbeitskraft und geringeren finanziellen Mittel gemeint.

Diese Gedanken sind bei der Frage, wie eng die Rückausnahmen des Art. 30 Abs. 5 DSGVO auszulegen sind, zu berücksichtigen. Hätte nämlich der Verordnungsgeber gewollt, dass im Ergebnis alle Unternehmen ein Verzeichnis über sämtliche Verarbeitungstätigkeiten führen, hätte er sicherlich auf die Ausnahme insgesamt verzichtet.

Wann birgt die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffen Person?

Die Verarbeitung personenbezogener Daten ohne jedes Risiko für die betroffene Person ist nicht denkbar. Der Begriff des Risikos wird in der DSGVO nicht definiert und muss daher unter Berücksichtigung des Gesetzgebungsprozesses und dem Sinn und Zweck der Regelung ausgelegt werden.

Es kann seitens des europäischen Gesetzgebers nur eine enge Anwendung der Rückausnahme gewollt sein, so dass zumindest ein gesteigertes Risiko gegeben sein muss. Als Beispiel kämen z.B. Standortdaten oder die Videoüberwachung in Betracht. Jedes noch so kleine oder fernliegende Risiko für die Rechte und Freiheiten der betroffenen Person reicht daher nicht aus. Die Geschäftskundenverwaltung einer Tischlerei sollte daher nicht risikoreich im Sinne des Art. 30 Abs. 5 DSGVO sein.

Wann erfolgt die Verarbeitung nicht nur gelegentlich?

Auch der Begriff gelegentlich ist in der DSGVO nicht definiert. Viele verstehen ihn ausschließlich auf einen zeitlichen Aspekt bezogen. Akquiriert die Tischlerei aus dem obigen Beispiel nun in steter Regelmäßigkeit neue Kunden und pflegt sie in die Kundendatenverwaltung, würde die Verarbeitung rein zeitlich gesehen nicht nur gelegentlich erfolgen und es müsste ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.

Auch hier ist bei der Auslegung der Wille des Verordnungsgebers zu berücksichtigen. Dieser wollte solche Verarbeitungen personenbezogener Daten privilegieren, die Kleinunternehmen, nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten vornehmen. Der Begriff gelegentlich bezieht sich also auf die Unternehmenstätigkeit. KMU, deren Haupttätigkeit Datenverarbeitung ist, können sich nicht auf die Ausnahme berufen, sondern nur solche, bei denen die Datenverarbeitung eine untergeordnete Bedeutung zum Hauptbetrieb darstellt.

Rechtsunsicherheit kann nicht gänzlich beseitigt werden

Leider führt auch die hier vorgenommene Auslegung der Rückausnahmen nicht zu einer absoluten Rechtssicherheit für KMU, da bzgl. der Begriffe „Risiko“ und „gelegentlich“ immer noch ein nicht unerheblicher Interpretationsspielraum verbleibt.

Allein die Frage, wann besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betroffen sind, lässt sich unzweifelhaft feststellen.

Klarstellung der Aufsichtsbehörden wünschenswert

Hier würde eine Klarstellung der Datenschutzaufsichtsbehörden den betroffenen KMU wohl einiges an Unsicherheit nehmen. Diese haben sich bislang nicht über den Wortlaut hinaus zu der Ausnahme geäußert, sondern nur in einem Nebensatz behauptet, dass jedes Risiko für die Rechte und Freiheiten der Betroffenen zu beachten und daher auch für KMU in der Regel das Erstellen eines (umfassenden) Verzeichnisses geboten sei.

Der Verweis auf den reinen Wortlaut ist, wie dargestellt, nicht ausreichend. Aufsichtsbehörden sind nach Erwägungsgrund 13 DSGVO nämlich auch angehalten, die besonderen Bedürfnisse der KMU bei der Anwendung der DSGVO zu berücksichtigen.

Handlungsmöglichkeit für KMU

Vor diesem Hintergrund kann gut argumentiert werden, dass KMU weitaus häufiger von der Pflicht zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten befreit sind, als es auf den ersten Blick den Anschein hat. Sie sollten ihre Verarbeitungstätigkeiten sorgfältig im Hinblick auf ihre Risiken und ihre Bedeutung zu ihrer Geschäftstätigkeit prüfen.

Stellt sich nun heraus, dass einzelne Verarbeitungsvorgänge entweder risikoreich oder nicht nur gelegentlich im Sinne des Art. 30 Abs. 5 DSGVO sind, dürfte dies unter Berücksichtigung des Erwägungsgrundes 13 DSGVO nicht dazu führen, dass KMU ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Konsequenterweise sollten dann nur die einzelnen Vorgänge dokumentiert werden müssen, bei denen eine der Rückausnahmen einschlägig ist. Durch diese Vorgehensweise wären sowohl der Schutz der betroffenen Personen, als auch die Berücksichtigung der besonderen Bedürfnisse der KMU angemessen gewährleistet.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Wieder einmal ein sehr gelungener Artikel, der sich dem Thema mit Sachverstand und Logik annimmt!

    Bestenfalls wird die DSGVO noch einmal so angepasst, dass man das ursprünglich gewollte Recht verstehen kann, ohne sich in die Gefahr zu begeben, das Recht so verbogen interpretieren zu müssen, dass es dem eigentlichen Text schon widerspricht.

  2. Ich beschäftige mich seit einigen Tagen mit der DSGVO und dem BDSG (neu), habe jedoch zum VVT eine kurze Frage.

    Das Datengeheimnis, das in § 53 BDSG (neu) Erwähnung findet, wird grundsätzlich nicht mehr für nicht-öffentliche Stellen anerkannt, weil es sich im dritten Teil des BDSG befindet und dieser seinen Anwendungsbereich in § 45 klar definiert. Allerdings befindet sich § 70 BGSG (neu) auch im dritten Teil. Ist er folglich auch nur auf öffentliche Stellen, oder nicht-öffentliche Stellen anwendbar, die vom Verantwortlichen (definiert als öffentliche Stelle) beauftragt wurde?

    Ich hoffe meine Frage war verständlich formuliert. Ich finde gerade keine Lösung zu meinem Verständnisproblem.

    Gruß J. Blakes

    • § 70 ist nur auf die in § 45 genannten öffentlichen Stellen anwendbar, gleich wer wen beauftragt hat. Für alle anderen ergibt sich die Pflicht zur Führung eines VVT aus Art. 30 DSGVO.

  3. Hallo, vielen Dank für die Beiträge zum Thema DS-GVO. Muss das Verarbeitungsverzeichnis für eine Unternehmensgruppe jeweils einzeln für jede eigenständige Firma der Gruppe geführt werden oder kann dies auch eher „themenbezogen“ sein? Wir haben einige übergeordnete Prozesse, die übergreifend stattfinden und daher in einem Verzeichnis, das strikt nach einzelnen Firmen getrennt bzw. geordnet ist, etwas „zerschossen“ wären.

    • Nach Art. 30 Abs. 1 S. 1 DSGVO führt jeder Verantwortliche und ggf. sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterfallen. Verantwortlicher ist in Art. 4 Nr. 7 DSGVO definiert. Die Verzeichnisse sind somit für jedes Unternehmen zu führen. Sind Verfahren vereinheitlich, ist es natürlich möglich, dasselbe Verfahren bei jedem Verantwortlichen zu verwenden, soweit es die tatsächliche Verarbeitung widerspiegelt. Ein Konzern kann jedoch nach Ansicht der Literatur kein Verantwortlicher sein.

  4. Aus diesen ganzen Gesetzesparagraphen mit für und wider, und Ausnahmen zu der Ausnahme und wieder nicht, kann ich nur sagen, der Gesetzgeber der das geschaffen hat ist ist nicht ganz normal im Kopf, reiner Theoretiker uind Verstand für tatsächliche Gegebenheiten.
    Allein aus diesem Artikel ist zu erkennen dass selbst der Berichterstatter nicht genau weiss was denn nun davon befreit oder nicht befreit, ein Verzeichnis zu führen.
    Ein Einzelunternehmer der alleine schaft und vielleicht einen Mirabeiter aus der dem erweiterten Familienkreis hat, wieso sollte der ein Verzeichnis führen, wo doch nur er an seinem Computer mit Passwort ran kommt um seine Auftragsabwicklung zu machen oder in einer Exceltabelle für den Steuerberater die Stunden angibt und sonstiges, damit der die Lohnabrechnung für 2 Leute fertig macht, die als Mitarbeiter im Betrieb sind und dort Maschinen reparieren.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.