Veröffentlicht von:
Das Verarbeitungsverzeichnis nach Art. 30 Datenschutzgrundverordnung (DSGVO)
- 2 Minuten Lesezeit
Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Das betrifft nach Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter.
Verpflichtung von Unternehmen mit weniger als 250 Mitarbeitern?
In Art. 30 Abs. 5 DSGVO ist eine Ausnahme von der Verpflichtung zum Führen eines Verarbeitungsverzeichnisses für Unternehmen normiert, die weniger als 250 Mitarbeiter beschäftigen. Die Ausnahmeregelung des Art. 30 Abs. 5 DSGVO soll der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung tragen.
Gleichzeitig wird die Auswirkung der Ausnahmeregelung in der Praxis aufgrund der Rückausnahme in Art. 30 Abs. 5, 2. Halbsatz DSGVO aber wieder konterkariert. Danach gilt die Ausnahmeregelung nämlich nicht, wenn die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Dies allerdings könnte vor dem Hintergrund der zunehmenden Digitalisierung auch in Kleinstunternehmen regelmäßig angenommen werden.
Anhaltspunkte dafür, dass die Rückausnahme so verstanden werden könnte, dass das Risiko für die Rechte und Freiheiten der betroffenen Personen erheblich oder zumindest gesteigert sein müsse, bestehen nicht. Insbesondere findet an anderer Stelle in der DSGVO (Art. 35 DSGVO) eine Differenzierung zwischen einem einfachen und einem hohen Risiko statt. Diese Differenzierung hat der Gesetzgeber in Art. 30 DSGVO nicht vorgenommen.
Rechenschaftspflicht nach der DSGVO
Unabhängig von dem weit auszulegenden Anwendungsbereich der Pflicht zum Führen eines Verarbeitungsverzeichnisses ist es vor dem Hintergrund der angedrohten Bußgelder und der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht hinsichtlich der Rechtmäßigkeit der Datenverarbeitung ohnehin empfehlenswert, ein Verarbeitungsverzeichnis zu führen. Jeder Verantwortliche hat nach Art. 32 DSGVO die Pflicht, geeignete technische und organisatorische Maßnahmen vorzusehen, um ein dem Risiko der Datenverarbeitung angemessenes Schutzniveau zu gewährleisten. Für die Umsetzung dieser Verpflichtung muss der Verantwortliche auch den Nachweis erbringen können (Art. 24 Abs. 1 DSGVO). Das Verarbeitungsverzeichnis stellt ein geeignetes Mittel dar, um im Unternehmen eine Übersicht über die Einhaltung der Pflichten nach der DSGVO vorzuhalten.
Erstellung eines Verarbeitungsverzeichnisses
Wir beraten und vertreten Sie gerne in allen Bereichen des Datenschutzrechts und werden Ihnen gerne bei der Umsetzung der DSGVO (online wie auch im Betrieb) fachkundig zur Seite stehen.
Die betrieblichen Vorgänge sind an die DSGVO anzupassen. Angefangen bei bereit zu haltenden schriftlichen Informationen (Verarbeitungsverzeichnis, Maßnahmen zur Datensicherheit, Vertrag zur Auftragsdatenverarbeitung, …), muss in so gut wie allen Fällen sowohl die IT als auch die Büroorganisation angepasst werden, um die neuen Vorgaben zu erfüllen.
Aufgrund unserer Erfahrungen können wir Ihnen zeitnah Ihre rechtlichen Möglichkeiten darlegen.
Kostenloses Erstgespräch durch Rechtsanwälte| Fachanwälte
Unsere telefonische allgemeine Ersteinschätzung zu Ihrem Anliegen bieten wir Ihnen gerne kostenlos an. Melden Sie sich bei Interesse via E-Mail, Telefax oder über unser Direkthilfe-Formular unter http://www.muensteraner-rechtsanwaelte.de/direkthilfe-formular/.
Wir freuen uns, Sie deutschlandweit zu beraten.
Artikel teilen: