Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten
Beantworten wir zunächst die intensiv diskutierte Frage zur Grenze von 250 Beschäftigten und zu den etwaigen Ausnahmen von der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, die Art. 30 Abs. 5 Datenschutz-Grundverordnung (DSGVO) vorsieht.
Ist nun mit weniger als 250 Beschäftigten ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Oder sind Unternehmen nach Auslegung des Wortlauts von Art. 30 Abs. 5 DSGVO tatsächlich von dieser Pflicht befreit?
Die Bedeutung des Verarbeitungsverzeichnisses
Das Verzeichnis von Verarbeitungstätigkeiten ist für Aufsichtsbehörden der wichtigste Nachweis, ob ein Verantwortlicher Art. 5 Abs. 2 DSGVO einhält (Rechenschaftspflicht).
Entwürfe der DSGVO enthielten – auch und gerade zur Entlastung kleiner und mittelständischer Unternehmen (KMU) – die Regelung, dass das Verzeichnis von Verarbeitungstätigkeiten nur von Unternehmen zu führen sei, die personenbezogene Daten als Haupttätigkeit verarbeiten und mehr als 250 Beschäftigte haben.
In der finalen Version ist allerdings der risikobasierte Ansatz deutlich stärker in den Fokus gerückt: Das heißt, ein Verzeichnis von Verarbeitungstätigkeiten ist auch dann zu führen, wenn mit der (nicht nur gelegentlichen) Verarbeitung Risiken für die betroffenen Personen verbunden sind bzw. besondere personenbezogene Daten verarbeitet werden. Letzteres wird regelmäßig in Personalabteilungen der Fall sein.
Ausnahmen von der Regel
Grundsätzlich bleibt also festzuhalten: Ja, es gibt Ausnahmen für Unternehmen mit weniger als 250 Beschäftigten. Die Ausnahme greift allerdings nur dann…