Kein Ausweg aus dem Verzeichnis von Verarbeitungstätigkeiten

Im geschäftlichen Alltag ist die Datenschutzgrundverordnung gut 2 Jahre nach ihrer Einführung weitgehend angekommen. Der Sinn vieler Neuerungen ist oft verständlich und nachvollziehbar. Die Pflicht mach Art. 30 Abs. 1 DSGVO, nämlich ein Verzeichnis über die einzelnen Verarbeitungstätigkeiten zu führen, wird oft nur widerwillig angenommen. Selbst dann, wenn man sich den Sinn eines solchen Verzeichnisses vor Augen führt, scheint der Weg dorthin oft unverhältnismäßig müheselig. Dabei trifft die Pflicht nahezu jeden. Denn wie im Folgenden zu zeigen sein wird, läuft die einzige Ausnahme von der Pflicht – Art. 30 Abs. 5 DSGVO – vollkommen ins Leere.

Die Ausnahme

Der erste Eindruck der Ausnahmevorschrift stimmt noch positiv, denn dort steht:

„Die in den Absätzen 1 und 2 genannten Pflichten [also die Führung eines Verzeichnisses von Verarbeitungstätigkeiten] gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen…“.

Ganz deutlich wird hier die Absicht des Unionsgesetzgebers, kleine und mittelständische Unternehmen (KMUs) von dem Aufwand, den die Pflicht mit sich bringt, zu befreien. Dies ist auch nachvollziehbar, bedenkt man, dass das Kontrollbedürfnis im Umgang mit personenbezogenen Daten bei kleineren Unternehmen regelmäßig geringer ausfällt als bei größeren Unternehmen.

Von dieser Ausnahme hat der Gesetzgeber im zweiten Halbsatz der Vorschrift jedoch eine gewaltige Rückausnahme gemacht: So sind auch KMUs verpflichtet ein Verzeichnis zu führen, wenn:

• Die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen bedeuten, ODER
• Die Verarbeitung nicht nur gelegentlich erfolgt, ODER
• Besondere Datenkategorien gemäß 9 Abs. 1 oder Art. 10 verarbeitet werden.

Da ein alternatives Vorliegen der Rückausnahmen ausreicht, bleibt die Pflicht bestehen, wenn nur eine dieser Bedingungen zutrifft.

Folgen für die Praxis

Während man die beiden ersten Rückausnahmen mit einer entsprechenden Begründung gut ablehnen kann, sodass ein bestimmtes Unternehmen kein Verzeichnis führen muss, ist es praktisch unmöglich sich aus der letzten Ausnahme zu befreien, denn jedes Unternehmen verarbeitet zwangsläufig auch besondere Datenkategorien nach Art. 9 DSGVO. Hierbei handelt es sich beispielweise um Gesundheitsdaten oder Informationen über die religiöse und weltanschauliche Überzeugung – Informationen, die z.B. spätestens im Rahmen der Kirchensteuerabrechnung zum Tragen kommen. Doch auch Fotos werden von vielen Unternehmen verarbeitet, die Rückschlüsse auf viele besondere Datenkategorien erlauben. Da bereits das Vorliegen einer einzigen Rückausnahme dem Entfall der Pflicht, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen entgegensteht, läuft der Anwendungsbereich des Art. 30 Abs. 5 DSGVO in der Praxis leer.

Fazit

Nach der momentanen gesetzlichen Lage gibt es für Unternehmen kein Entkommen aus der Pflicht ein Verzeichnis über die Verarbeitungstätigkeiten zu führen. Das ist durchaus kritisch zu sehen, da das Verzeichnis für viele kleinere Unternehmen, deren Datenverarbeitung überschaubar ist und zumindest kein hohes Risiko für die betroffenen Personen darstellt, eine bloße Schreibarbeit darstellt – und das ohne praktischen Nutzen. Eine Änderung der Situation ist aber bis auf weiteres nicht zu erwarten, sodass sich auch kleinere Unternehmen weiterhin mit dem Verzeichnis auseinandersetzen müssen.

Als externe Datenschutzbeauftragten helfen wir Ihnen gerne mit geeigneten Vorlagen weiter, um den Aufwand möglichst gering zu halten.