Mit der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, Verzeichnisse von Verarbeitungstätigkeiten zu führen. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) Rechnung tragen, sollen diese von der Pflicht befreit werden können. Die entsprechende Ausnahme ist allerdings derart unglücklich formuliert und sorgt für große Unsicherheit.
Der Inhalt im Überblick
- Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten
- Nach ihrem Wortlaut wäre die Ausnahme nie einschlägig
- Erwägungsgründe sprechen gegen wörtliche Auslegung
- Wann birgt die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffen Person?
- Wann erfolgt die Verarbeitung nicht nur gelegentlich?
- Rechtsunsicherheit kann nicht gänzlich beseitigt werden
- Klarstellung der Aufsichtsbehörden wünschenswert
- Handlungsmöglichkeit für KMU
Pflicht zur Führung des Verzeichnisses von Verarbeitungstätigkeiten
Die sorgfältige Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO stellt derzeit viele Unternehmen vor eine große Herausforderung. Nach einer aktuellen Umfrage des Bitkom e.V. haben 49 % der Unternehmen derzeit kein solches Verzeichnis. Vor allem für KMU bedeutet die Pflicht einen sehr hohen bürokratischen und personellen Aufwand.
Dies hat auch der Verordnungsgeber vermutet und daher für KMU mit weniger als 250 Mitarbeitern einen Ausnahmetatbestand geschaffen. Demnach sind diese nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses befreit, es sei denn
- die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
- die Verarbeitung erfolgt nicht nur gelegentlich oder
- es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO.
Nach ihrem Wortlaut wäre die Ausnahme nie einschlägig
Es existieren also drei Ausnahmen von der Ausnahme, von denen die ersten beiden sehr unglücklich formuliert sind. Die Pflicht zur Erstellung des Verzeichnisses erstreckt sich schon dann auf KMU, wenn nur eine der Voraussetzungen erfüllt ist.
Dem Wortlaut nach würden mindestens zwei Rückausnahmen immer zur Anwendung kommen, da ein Risiko bei jeder Verarbeitung von personenbezogenen Daten besteht und auch eine gelegentliche Verarbeitung – je nach Definition des Wortes gelegentlich – heutzutage eher unwahrscheinlich ist. Die eigentliche Ausnahme für KMU würde daher leer laufen. Dies kann so nicht beabsichtigt sein.
Erwägungsgründe sprechen gegen wörtliche Auslegung
Erwägungsgrund 13 der DSGVO führt aus, dass der besonderen Situation der KMU Rechnung getragen werden müsse und daher abweichende Regelungen in Bezug auf das Führen von Verzeichnissen gelten. Mit der besonderen Situation sind u.a. die geringere Arbeitskraft und geringeren finanziellen Mittel gemeint.
Diese Gedanken sind bei der Frage, wie eng die Rückausnahmen des Art. 30 Abs. 5 DSGVO auszulegen sind, zu berücksichtigen. Hätte nämlich der Verordnungsgeber gewollt, dass im Ergebnis alle Unternehmen ein Verzeichnis über sämtliche Verarbeitungstätigkeiten führen, hätte er sicherlich auf die Ausnahme insgesamt verzichtet.
Wann birgt die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffen Person?
Die Verarbeitung personenbezogener Daten ohne jedes Risiko für die betroffene Person ist nicht denkbar. Der Begriff des Risikos wird in der DSGVO nicht definiert und muss daher unter Berücksichtigung des Gesetzgebungsprozesses und dem Sinn und Zweck der Regelung ausgelegt werden.
Es kann seitens des europäischen Gesetzgebers nur eine enge Anwendung der Rückausnahme gewollt sein, so dass zumindest ein gesteigertes Risiko gegeben sein muss. Als Beispiel kämen z.B. Standortdaten oder die Videoüberwachung in Betracht. Jedes noch so kleine oder fernliegende Risiko für die Rechte und Freiheiten der betroffenen Person reicht daher nicht aus. Die Geschäftskundenverwaltung einer Tischlerei sollte daher nicht risikoreich im Sinne des Art. 30 Abs. 5 DSGVO sein.
Wann erfolgt die Verarbeitung nicht nur gelegentlich?
Auch der Begriff gelegentlich ist in der DSGVO nicht definiert. Viele verstehen ihn ausschließlich auf einen zeitlichen Aspekt bezogen. Akquiriert die Tischlerei aus dem obigen Beispiel nun in steter Regelmäßigkeit neue Kunden und pflegt sie in die Kundendatenverwaltung, würde die Verarbeitung rein zeitlich gesehen nicht nur gelegentlich erfolgen und es müsste ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.
Auch hier ist bei der Auslegung der Wille des Verordnungsgebers zu berücksichtigen. Dieser wollte solche Verarbeitungen personenbezogener Daten privilegieren, die Kleinunternehmen, nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten vornehmen. Der Begriff gelegentlich bezieht sich also auf die Unternehmenstätigkeit. KMU, deren Haupttätigkeit Datenverarbeitung ist, können sich nicht auf die Ausnahme berufen, sondern nur solche, bei denen die Datenverarbeitung eine untergeordnete Bedeutung zum Hauptbetrieb darstellt.
Rechtsunsicherheit kann nicht gänzlich beseitigt werden
Leider führt auch die hier vorgenommene Auslegung der Rückausnahmen nicht zu einer absoluten Rechtssicherheit für KMU, da bzgl. der Begriffe „Risiko“ und „gelegentlich“ immer noch ein nicht unerheblicher Interpretationsspielraum verbleibt.
Allein die Frage, wann besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betroffen sind, lässt sich unzweifelhaft feststellen.
Klarstellung der Aufsichtsbehörden wünschenswert
Hier würde eine Klarstellung der Datenschutzaufsichtsbehörden den betroffenen KMU wohl einiges an Unsicherheit nehmen. Diese haben sich bislang nicht über den Wortlaut hinaus zu der Ausnahme geäußert, sondern nur in einem Nebensatz behauptet, dass jedes Risiko für die Rechte und Freiheiten der Betroffenen zu beachten und daher auch für KMU in der Regel das Erstellen eines (umfassenden) Verzeichnisses geboten sei.
Der Verweis auf den reinen Wortlaut ist, wie dargestellt, nicht ausreichend. Aufsichtsbehörden sind nach Erwägungsgrund 13 DSGVO nämlich auch angehalten, die besonderen Bedürfnisse der KMU bei der Anwendung der DSGVO zu berücksichtigen.
Handlungsmöglichkeit für KMU
Vor diesem Hintergrund kann gut argumentiert werden, dass KMU weitaus häufiger von der Pflicht zur Erstellung des Verzeichnisses von Verarbeitungstätigkeiten befreit sind, als es auf den ersten Blick den Anschein hat. Sie sollten ihre Verarbeitungstätigkeiten sorgfältig im Hinblick auf ihre Risiken und ihre Bedeutung zu ihrer Geschäftstätigkeit prüfen.
Stellt sich nun heraus, dass einzelne Verarbeitungsvorgänge entweder risikoreich oder nicht nur gelegentlich im Sinne des Art. 30 Abs. 5 DSGVO sind, dürfte dies unter Berücksichtigung des Erwägungsgrundes 13 DSGVO nicht dazu führen, dass KMU ein umfassendes Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Konsequenterweise sollten dann nur die einzelnen Vorgänge dokumentiert werden müssen, bei denen eine der Rückausnahmen einschlägig ist. Durch diese Vorgehensweise wären sowohl der Schutz der betroffenen Personen, als auch die Berücksichtigung der besonderen Bedürfnisse der KMU angemessen gewährleistet.
Infos & Tipps zur Umsetzung des Verzeichnis von Verarbeitungstätigkeiten finden Sie hier.
Wieder einmal ein sehr gelungener Artikel, der sich dem Thema mit Sachverstand und Logik annimmt!
Bestenfalls wird die DSGVO noch einmal so angepasst, dass man das ursprünglich gewollte Recht verstehen kann, ohne sich in die Gefahr zu begeben, das Recht so verbogen interpretieren zu müssen, dass es dem eigentlichen Text schon widerspricht.
Ich beschäftige mich seit einigen Tagen mit der DSGVO und dem BDSG (neu), habe jedoch zum VVT eine kurze Frage.
Das Datengeheimnis, das in § 53 BDSG (neu) Erwähnung findet, wird grundsätzlich nicht mehr für nicht-öffentliche Stellen anerkannt, weil es sich im dritten Teil des BDSG befindet und dieser seinen Anwendungsbereich in § 45 klar definiert. Allerdings befindet sich § 70 BGSG (neu) auch im dritten Teil. Ist er folglich auch nur auf öffentliche Stellen, oder nicht-öffentliche Stellen anwendbar, die vom Verantwortlichen (definiert als öffentliche Stelle) beauftragt wurde?
Ich hoffe meine Frage war verständlich formuliert. Ich finde gerade keine Lösung zu meinem Verständnisproblem.
Gruß J. Blakes
§ 70 ist nur auf die in § 45 genannten öffentlichen Stellen anwendbar, gleich wer wen beauftragt hat. Für alle anderen ergibt sich die Pflicht zur Führung eines VVT aus Art. 30 DSGVO.
Hallo, vielen Dank für die Beiträge zum Thema DS-GVO. Muss das Verarbeitungsverzeichnis für eine Unternehmensgruppe jeweils einzeln für jede eigenständige Firma der Gruppe geführt werden oder kann dies auch eher „themenbezogen“ sein? Wir haben einige übergeordnete Prozesse, die übergreifend stattfinden und daher in einem Verzeichnis, das strikt nach einzelnen Firmen getrennt bzw. geordnet ist, etwas „zerschossen“ wären.
Nach Art. 30 Abs. 1 S. 1 DSGVO führt jeder Verantwortliche und ggf. sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterfallen. Verantwortlicher ist in Art. 4 Nr. 7 DSGVO definiert. Die Verzeichnisse sind somit für jedes Unternehmen zu führen. Sind Verfahren vereinheitlich, ist es natürlich möglich, dasselbe Verfahren bei jedem Verantwortlichen zu verwenden, soweit es die tatsächliche Verarbeitung widerspiegelt. Ein Konzern kann jedoch nach Ansicht der Literatur kein Verantwortlicher sein.
Aus diesen ganzen Gesetzesparagraphen mit für und wider, und Ausnahmen zu der Ausnahme und wieder nicht, kann ich nur sagen, der Gesetzgeber der das geschaffen hat ist ist nicht ganz normal im Kopf, reiner Theoretiker uind Verstand für tatsächliche Gegebenheiten.
Allein aus diesem Artikel ist zu erkennen dass selbst der Berichterstatter nicht genau weiss was denn nun davon befreit oder nicht befreit, ein Verzeichnis zu führen.
Ein Einzelunternehmer der alleine schaft und vielleicht einen Mirabeiter aus der dem erweiterten Familienkreis hat, wieso sollte der ein Verzeichnis führen, wo doch nur er an seinem Computer mit Passwort ran kommt um seine Auftragsabwicklung zu machen oder in einer Exceltabelle für den Steuerberater die Stunden angibt und sonstiges, damit der die Lohnabrechnung für 2 Leute fertig macht, die als Mitarbeiter im Betrieb sind und dort Maschinen reparieren.
Hallo,
im Rahmen von QM/QS-Tätigkeiten ist es üblich, dass „Namen“ von Prüfern, Q-Verantwortlichen, Beteiligten Personen, auf Prüfprotokollen und/oder QM-Dokumenten festgehalten werden. Nach welcher Rechtsgrundlage läßt sich die Speicherung von „Namen“ in einem Verarbeitungsverzeichnis jedoch begünden?
In einem Verarbeitungsverzeichnis sind nur die in Art. 30 DSGVO aufgeführten Personen namentlich zu nennen. Dies sind der Verantwortliche bzw. der Auftragsverarbeiter, ggf. ein gemeinsam mit diesem Verantwortlicher/Auftragsverarbeitender, der Vertreter des Verantwortlichen/Auftragsverarbeiters und der Datenschutzbeauftragte. Hierfür ist Art. 30 DSGVO auch Ihre Rechtsgrundlage.
Danke für Ihre Rückmeldung. Mein eigentliches Anliegen ist aber noch nicht geklärt.
Für mich ist nicht klar, auf welche Rechtsgrundlage (Art. 6 DSGVO ?) man sich beziehen kann, um die Dokumentation und Speicherung von Namen, auf QM-Dokumenten, zu rechtfertigen.
Inwieweit es erforderlich ist, im Rahmen des QM tatsächlich vollständige Namen zu dokumentierten und zu speichern, müsste im Einzelfall betrachtet werden. Als Rechtsgrundlage kommt m.E. vor allem Art. 6 Abs. 1 lit. f DSGVO in Betracht.