Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

16. Januar 2021

Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten

DP+
Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten
Bild: NicoElNino / iStock / Thinkstock
2,00 (1)
Antworten auf zentrale Fragen
Brauchen kleine Einheiten mit weniger als 250 Beschäftigten keine Verarbeitungsübersicht? Was ist eigentlich ein Verfahren bzw. eine Verarbeitungstätigkeit? Was sind typische Verarbeitungstätigkeiten?

Beantworten wir zunächst die intensiv diskutierte Frage zur Grenze von 250 Beschäftigten und zu den etwaigen Ausnahmen von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, die Art. 30 Abs. 5 Datenschutz-Grundverordnung (DSGVO) vorsieht.

Ist nun mit weniger als 250 Beschäftigten ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Oder sind Unternehmen nach Auslegung des Wortlauts von Art. 30 Abs. 5 DSGVO tatsächlich von dieser Pflicht befreit?

Die Bedeutung des Verarbeitungsverzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten ist für Aufsichtsbehörden der wichtigste Nachweis, ob ein Verantwortlicher Art. 5 Abs. 2 DSGVO einhält (Rechenschaftspflicht).

Entwürfe der DSGVO enthielten – auch und gerade zur Entlastung kleiner und mittelständischer Unternehmen (KMU) –  die Regelung, dass das Verzeichnis von Verarbeitungstätigkeiten nur von Unternehmen zu führen sei, die personenbezogene Daten als Haupttätigkeit verarbeiten und mehr als 250 Beschäftigte haben.

In der finalen Version ist allerdings der risikobasierte Ansatz deutlich stärker in den Fokus gerückt: Das heißt, ein Verzeichnis von Verarbeitungstätigkeiten ist auch dann zu führen, wenn mit der (nicht nur gelegentlichen) Verarbeitung Risiken für die betroffenen Personen verbunden sind bzw. besondere personenbezogene Daten verarbeitet werden. Letzteres wird regelmäßig in Personalabteilungen der Fall sein.

Ausnahmen von der Regel

Grundsätzlich bleibt also festzuhalten: Ja, es gibt Ausnahmen für Unternehmen mit weniger als 250 Beschäftigten. Die Ausnahme greift allerdings nur dann…

Michael Scharnagl
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Michael Scharnagl
Michael Scharnagl ist als Datenschutz-Consultant (DSB-TÜV) bei der rehm Datenschutz GmbH tätig. Er verfügt über langjährige Erfahrungen als Datenschutzberater in verschiedenen Unternehmensstrukturen.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.