Verzeichnis von Verarbeitungstätigkeiten – Pflicht mit Ausnahmen

Fachbeitrag

Mit der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) Rechnung tragen, sollen diese von der Pflicht befreit werden können. Die entsprechende Ausnahme ist allerdings derart unglücklich formuliert und sorgt für große Unsicherheit.

Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten

Die sorgfältige Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO stellt derzeit viele Unternehmen vor eine große Herausforderung. Nach einer aktuellen Umfrage des Bitkom e.V. haben 49 % der Unternehmen derzeit kein solches Verzeichnis. Vor allem für KMU bedeutet die Pflicht einen sehr hohen bürokratischen und personellen Aufwand.

Dies hat auch der Verordnungsgeber vermutet und daher für KMU mit weniger als 250 Mitarbeitern einen Ausnahmetatbestand geschaffen. Demnach sind diese nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit, es sei denn

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.

Nach ihrem Wortlaut wäre die Ausnahme nie einschlägig

Es existieren also drei Ausnahmen von der Ausnahme, von denen die ersten beiden sehr unglücklich formuliert sind. Die Pflicht zur Erstellung des Verzeichnisses erstreckt sich schon dann auf KMU, wenn nur eine der Voraussetzungen erfüllt ist.

Dem Wortlaut nach würden mindestens zwei Rückausnahmen immer zur Anwendung kommen, da ein Risiko bei jeder Verarbeitung von personenbezogenen Daten besteht und auch eine gelegentliche Verarbeitung – je nach Definition des Wortes gelegentlich – heutzutage eher unwahrscheinlich ist. Die eigentliche Ausnahme für KMU würde daher leer laufen. Dies kann so nicht beabsichtigt sein.

Erwägungsgründe sprechen gegen wörtliche Auslegung

Erwägungsgrund 13 der DSGVO führt aus, dass der besonderen Situation der KMU Rechnung getragen werden müsse und daher abweichende Regelungen in Bezug auf das Führen von Verzeichnissen gelten. Mit der besonderen Situation sind u.a. die geringere Arbeitskraft und geringeren finanziellen Mittel gemeint.

Diese Gedanken sind bei der Frage, wie eng die Rückausnahmen des Art. 30 Abs. 5 DSGVO auszulegen sind, zu berücksichtigen. Hätte nämlich der Verordnungsgeber gewollt, dass im Ergebnis alle Unternehmen ein Verzeichnis über sämtliche Verarbeitungstätigkeiten führen, hätte er sicherlich auf die Ausnahme insgesamt verzichtet.

Wann birgt die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffen Person?

Die Verarbeitung personenbezogener Daten ohne jedes Risiko für die betroffene Person ist nicht denkbar. Der Begriff des Risikos wird in der DSGVO nicht definiert und muss daher unter Berücksichtigung des Gesetzgebungsprozesses und dem Sinn und Zweck der Regelung ausgelegt werden.

Es kann seitens des europäischen Gesetzgebers nur eine enge Anwendung der Rückausnahme gewollt sein, so dass zumindest ein gesteigertes Risiko gegeben sein muss. Als Beispiel kämen z.B. Standortdaten oder die Videoüberwachung in Betracht. Jedes noch so kleine oder fernliegende Risiko für die Rechte und Freiheiten der betroffenen Person reicht daher nicht aus. Die Geschäftskundenverwaltung einer Tischlerei sollte daher nicht risikoreich im Sinne des Art. 30 Abs. 5 DSGVO sein.

Wann erfolgt die Verarbeitung nicht nur gelegentlich?

Auch der Begriff gelegentlich ist in der DSGVO nicht definiert. Viele verstehen ihn ausschließlich auf einen zeitlichen Aspekt bezogen. Akquiriert die Tischlerei aus dem obigen Beispiel nun in steter Regelmäßigkeit neue Kunden und pflegt sie in die Kundendatenverwaltung, würde die Verarbeitung rein zeitlich gesehen nicht nur gelegentlich erfolgen und es müsste ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.

Auch hier ist bei der Auslegung der Wille des Verordnungsgebers zu berücksichtigen. Dieser wollte solche Verarbeitungen personenbezogener Daten privilegieren, die Kleinunternehmen, nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten vornehmen. Der Begriff gelegentlich bezieht sich also auf die Unternehmenstätigkeit. KMU, deren Haupttätigkeit Datenverarbeitung ist, können sich nicht auf die Ausnahme berufen, sondern nur solche, bei denen die Datenverarbeitung eine untergeordnete Bedeutung zum Hauptbetrieb darstellt.

Rechtsunsicherheit kann nicht gänzlich beseitigt werden

Leider führt auch die hier vorgenommene Auslegung der Rückausnahmen nicht zu einer absoluten Rechtssicherheit für KMU, da bzgl. der Begriffe „Risiko“ und „gelegentlich“ immer noch ein nicht unerheblicher Interpretationsspielraum verbleibt.

Allein die Frage, wann besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betroffen sind, lässt sich unzweifelhaft feststellen.

Klarstellung der Aufsichtsbehörden wünschenswert

Hier würde eine Klarstellung der Datenschutzaufsichtsbehörden den betroffenen KMU wohl einiges an Unsicherheit nehmen. Diese haben sich bislang nicht über den Wortlaut hinaus zu der Ausnahme geäußert, sondern nur in einem Nebensatz behauptet, dass jedes Risiko für die Rechte und Freiheiten der Betroffenen zu beachten und daher auch für KMU in der Regel das Erstellen eines (umfassenden) Verzeichnisses geboten sei.

Der Verweis auf den reinen Wortlaut ist, wie dargestellt, nicht ausreichend. Aufsichtsbehörden sind nach Erwägungsgrund 13 DSGVO nämlich auch angehalten, die besonderen Bedürfnisse der KMU bei der Anwendung der DSGVO zu berücksichtigen.

Handlungsmöglichkeit für KMU

Vor diesem Hintergrund kann gut argumentiert werden, dass KMU weitaus häufiger von der Pflicht zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten befreit sind, als es auf den ersten Blick den Anschein hat. Sie sollten ihre Verarbeitungstätigkeiten sorgfältig im Hinblick auf ihre Risiken und ihre Bedeutung zu ihrer Geschäftstätigkeit prüfen.

Stellt sich nun heraus, dass einzelne Verarbeitungsvorgänge entweder risikoreich oder nicht nur gelegentlich im Sinne des Art. 30 Abs. 5 DSGVO sind, dürfte dies unter Berücksichtigung des Erwägungsgrundes 13 DSGVO nicht dazu führen, dass KMU ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Konsequenterweise sollten dann nur die einzelnen Vorgänge dokumentiert werden müssen, bei denen eine der Rückausnahmen einschlägig ist. Durch diese Vorgehensweise wären sowohl der Schutz der betroffenen Personen, als auch die Berücksichtigung der besonderen Bedürfnisse der KMU angemessen gewährleistet.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Wieder einmal ein sehr gelungener Artikel, der sich dem Thema mit Sachverstand und Logik annimmt!

    Bestenfalls wird die DSGVO noch einmal so angepasst, dass man das ursprünglich gewollte Recht verstehen kann, ohne sich in die Gefahr zu begeben, das Recht so verbogen interpretieren zu müssen, dass es dem eigentlichen Text schon widerspricht.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.