Ausnahmen von der Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten
Gemäß Art. 30 Abs. 1 Satz 1 der Datenschutz-Grundverordnung (DSGVO) muss jeder Verantwortliche (egal ob Unternehmen oder Behörde) und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten erstellen und führen, die ihrer Zuständigkeit unterliegen. Es gibt aber Ausnahmen von dieser Verpflichtung.
Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten gilt gemäß Art. 30 Abs. 5 DSGVO nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht
- ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt (sobald eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist, liegt ein Risiko vor),
- die Verarbeitung nicht nur gelegentlich (also von Zeit zu Zeit oder nur unter gewissen Umständen) erfolgt oder
- nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (sensible Daten wie Gesundheitsdaten, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person oder Daten zum Sexualleben oder der sexuellen Orientierung) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 DSGVO einschließt.
Für diese drei Fallgruppen müssen also trotzdem die Angaben in das Verzeichnis aufgenommen werden. Wegen der beispielsweise regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein; allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen. Zudem liegen bei Lohnabrechnungen mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien i. S. d. Art. 9 Abs. 1 DSGVO vor.
Außerdem trifft die Pflicht, ein Verarbeitungsverzeichnis zu führen, jede öffentliche Stelle, welche personenbezogene Daten (ganz oder teilweise) automatisiert verarbeitet oder - im Fall einer nichtautomatisierten Verarbeitung - personenbezogene Daten in einem Dateisystem speichert oder dies beabsichtigt (Art. 2 Abs. 1 DSGVO).
Personenkreis
Neben den fest beschäftigten Mitarbeitern zählen sowohl die Mitglieder der Unternehmensleitung selbst als auch Auszubildende, Teilzeitkräfte und ehrenamtliche oder freie Mitarbeiter zu dem Kreis der 250 Personen, soweit sie an der automatisierten Verarbeitung beteiligt sind.
Risiko für die Rechte und Freiheiten
Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, sind z. B.:
- Videoüberwachungen,
- Bonitätsscoring- und Betrugspräventionsverfahren,
- Übermittlung von Daten in Drittländer,
- Ortung von Mitarbeitern (z. B. mittels GPS),
- Daten, die einem Berufsgeheimnis unterliegen,
- Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.
Nicht nur gelegentliche Verarbeitung
Eine Verarbeitung findet nicht nur gelegentlich statt, wenn
- sie fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommt,
- immer wieder oder wiederholt zu bestimmten Zeitpunkten auftritt,
- ständig oder regelmäßig stattfindend.
Sinn der Regelung
Mit der Regelung sollen Kleinstunternehmen sowie kleine und mittlere Unternehmen gemäß des Erwägungsgrundes 13 zur Datenschutz-Grundverordnung soweit wie möglich von der Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten ausgenommen werden. Allerdings genügt bereits das Vorhandensein einer der drei Bedingungen, um die Verpflichtung zur Führung des Verzeichnisses wieder in Kraft treten zu lassen.
Insbesondere da die Ausnahme von der Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten nur gilt, soweit keine regelmäßige Datenverarbeitung (wie z. B. die Lohnabrechnung) erfolgt, greift diese Regelung in der Praxis nur bei den allerwenigsten Unternehmen.
Außerdem finden die Ausnahmeregelungen des Art. 30 Abs. 5 DSGVO in der Regel keine Anwendung bei Auftragsverarbeitern, da deren Verarbeitung nicht nur gelegentlich erfolgt, zumindest falls die Auftragsverarbeitung über einen längeren Zeitraum erfolgt.
Fazit: Da die erwähnten Ausnahmen nur selten greifen werden, ist zumeist das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten erforderlich.