250 Mitarbeiter -> kein Verzeichnis ?


 

Art 30 (5) DSGVO sieht vor, dass es Ausnahmen von der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten für „kleinere und mittlere Unternehmen“ geben soll.

 


 

Um die Bestimmung des Art 30 (5) DSGVO gibt es viele Interpretationen und auch Zweifel. ErwG 13 bezieht sich explizit auf KMU: „Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.

 

 

 

Die Artikel 29 Datenschutzgruppe hat sich mit der Ausnahmeregelung des Art 30 (5) DSGVO befasst, und dazu am 19.04.2018 eine Stellungnahme verfasst.

 

 

 

Die Ausnahme von der Verpflichtung zur Führung des Verzeichnisses nach Art 30 DSGVO ist nicht absolut, sondern von Voraussetzungen abhängig; diese sind:

 

·         Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen

 

·         Die Verarbeitung umfasst besondere Datenkategorien des Art 9 (1) oder Daten über strafrechtliche Verurteilungen und Straftaten iSd Ar t10 DSGVO

 

·         Die Verarbeitung erfolgt nicht nur gelegentlich.

 

 

 

Um das „nicht nur gelegentlich“ ranken sich mittlerweile einige Mythen, die auch darin gegipfelt sind, dass geschrieben wurde, dass Organisationen mit weniger als 250 beschäftigten Personen nicht verpflichtet sind, ein Verzeichnis für diejenigen Verarbeitungsvorgänge zu führen, die in derartigen Organisationen immer wieder ohnehin vorkommen, zB bei einem Unternehmen: Kunden- und Lieferantenverwaltung, Rechnungswesen oder Personalverwaltung.

 

Es gab auch Aussagen, dass Organisationen, die weniger als 250 Personen beschäftigen, gar kein Verzeichnis zu führen haben.

 

Unternehmen (oder auch sonstige Organisationen), die weniger als 250 Mitarbeiter haben müssen ein Verzeichnis führen, wenn die Verarbeitung nicht nur gelegentlich erfolgt, zB im Rahmen der Personalverwaltung der Mitarbeiter. Wenn ein Verarbeitungsvorgang in einem derartigen Unternehmen nicht nur gelegentlich erfolgt, dann ist er in das Verzeichnis aufzunehmen. Andere Verarbeitungstätigkeiten, die tatsächlich nur gelegentlich erfolgen, müssen nicht aufgenommen werden, sofern dies nicht zu einer Gefährdung der Rechte und Freiheiten von natürlichen Personen führt oder in diesen Verarbeitungen Art 9 oder Art 10 Daten verarbeitet werden.

 

 

 

Fazit:

 

 

 

Nur dann, wenn eine Organisation tatsächlich Verarbeitungsvorgänge nur „gelegentlich“ vornimmt, und auch in diesen besonderem Fall kein Risiko verursacht bzw. keine Art 9/10 Daten verarbeitet, dann ist diese von der Verpflichtung ein Verzeichnis zu führen, befreit.

 

 

 

Alle anderen Organisationen (unter 250 Mitarbeiter) müssen alle Verarbeitungsvorgänge, die

 

·         nicht nur gelegentlich erfolgen,

 

·         Ein Risiko für die Rechte und Freiheiten der natürlichen Personen darstellen (auch wenn diese gelegentlich erfolgen),

 

·         Art 9/10 Daten umfassten (auch wenn diese gelegentlich erfolgen)

 

 

 

in das Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO aufnehmen.