Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO - Teil 1


Wer ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Who is obliged to have a record of processing activities?


´Darstellung des Regel-Ausnahme-Prinzips des Art 30 DSGVO / The Rule-Exemption-Principle of Art 30 GDPR


Grundsätzliches     Basics

 

m 25.5.2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft; die derzeit bestehende Melde- bzw. Registrierungspflicht von Datenanwendungen nach dem österreichischen (Datenschutzgesetz) DSG fällt dann weg.    
On May 25th, 2018 the General Data Protection Regulation (GDPR) enters into force; the obligation to register data processing activities according to the Austrian Data Protection Act (DPA) will no longer be applicable.

 

Die Unternehmen und auch andere Organisationen müssen sich daher bewusst sein, dass die DVR-Meldung ab 25.5.2018 von einem gänzlich anderen System abgelöst wird.          
The companies and other organizations should be aware that the registration at the data processing register (DVR) will be substituted by a totally different system as of May 25th, 2018.

 

 

 

Die DSGVO geht von „Accountability“, dh Verantwortlichkeit desjenigen der Verarbeitungen von personenbezogenen Daten vornimmt, aus. Selbstverantwortlichkeit für die Verarbeitung von personenbezogenen Daten wird zu einem Grundprinzip des Datenschutzes in der gesamten Europäischen Union.

 

The GDPR is based on „accountability“, meaning that the processor is accountable for the processing of personal data. Responsibility for the processing of personal data is one of the key principles of data protection in the European Union.

 

Das Verzeichnis von Verarbeitungstätigkeiten ist gem. Art 30 DSGVO verpflichtend zu führen.        
The record of processing activities is mandatory according to Art 30 GDPR.

 


Die Ausnahme The Exemption

 

Art 30 (5) DSGVO normiert eine Ausnahme von dieser Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die dem Rechnung tragen sollen, dass kleinere und mittlere Unternehmen nicht durch Bürokratie belastet sein sollen, wobei jedoch von der Ausnahme risikobedingt Einschränkungen erfolgen:

 

(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen,

 

·        die weniger als 250 Mitarbeiter beschäftigen,

 

·        sofern

 

o   die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,

 

o   die Verarbeitung nicht nur gelegentlich erfolgt oder

 

o   nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

 

 

 

Die korrekte Übersetzung sollte mE lauten:

 

(5)   Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen,

 

·        die weniger als 250 Mitarbeiter beschäftigen,

 

·        es sei denn

 

o   die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,

 

o   die Verarbeitung erfolgt nicht nur gelegentlich oder

 

o   die Verarbeitung schließt besondere Datenkategorien gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 ein.

 

 

 

Art 30 (5) GDPR is stating an exemption from this obligation to maintain a record of processing activities that should take into account the fact that small and medium sized companies shall not be burdened by bureaucracy; however this exemption is narrowed down from a risk perspective:

 

5.   The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organization

 

·        employing fewer than 250 persons

 

·        unless

 

o   the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects,

 

o   the processing is not occasional, or

 

o   the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.

 

Sie werden uU erkennen, dass es einen Übersetzungsfehler in der deutschen Version des Textes der DSGVO gibt, wobei dies nicht die authentische Sprache ist.

You may notice that there is a translation mistake in the German version of the text of GDPR, which is not the authentic language.           

 

 

 


Die Schluss-folgerung  The Conclusion

 

Wer ist nun konkret verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen?           
Who is obliged to maintain a record of processing activities?

 

1.     Einrichtungen und Unternehmen mit mehr als 250 Mitarbeitern; bereits hier stellt sich die Frage, der „Definition“ von „Mitarbeiter“, wenn Unternehmen z.B. mit Leiharbeitskräften tätig sind, oder mehrere Schwestergesellschaften mit ähnlichen Aufgabengebieten in einem „Gesamtunternehmen“ (Konzern) tätig sind. Durch die Verwendung des Wortes „Einrichtungen“ist mE klargestellt, dass „alle“ Personen, die für das „Gesamtunternehmen“ tätig sind, in die Beurteilung einzubeziehen sind.

Enterprises or organizations with more than 250 employees; already in this context the question of the definition of „employee“ arises if companies e.g. work with borrowed workforce, or more subsidiaries with similar working areas of one single coporation (group of companies). By using the term “enterprise” it is clear that all persons that are working for the single corporation are to be included in the determination.      

 

2.     Wenn die Organisation weniger als 250 Mitarbeiter hat, dann kommt es auf die konkrete Art der Datenverarbeitung an.  
If the organization has fewer than 250 employees that actual activity of the data processing is relevant.   

Die DSGVO unterscheidet drei Varianten an Verarbeitungstätigkeiten, bei denen eine Organisation (unabhängig von der Anzahl der Mitarbeiter) verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.      
The GDPR has three different variations of processing activities according to which the organization (independent from the number of employees) is obliged to have a record of processing activities.

 

a.     die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen; diese Ausnahme berücksichtigt die Risken, die mit der Datenverarbeitung für betroffene Personen verbunden sind.           
the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects; this exemption relates to the risks that are connected with data processing for the data subjects.        

 

b.     die Verarbeitung erfolgt nicht nur gelegentlich. Diese Einschränkung der Ausnahme von der Verpflichtung zur Führung des Verzeichnisses von Verarbeitungstätigkeiten führt dazu, dass der Anwendungsbereich des Art. 30 DSGVO (wieder) stark erweitert wird. Viele Unternehmen werden personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern „nicht nur gelegentlich“, sondern im Rahmen ihrer täglichen Geschäftsprozesse verarbeiten. Diese Einschränkung der Ausnahmeregelung für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, führt zweifellos dazu, dass die meisten mittelgroßen Unternehmen, uU auch Kleinbetriebe, ein Verzeichnis von Verarbeitungstätigkeiten zu führen haben.  Bei den Kleinbetrieben, wie etwa einem Spielwarengeschäft oder eine kleine Buchhandlung wird das uU in einer einfachen Form möglich sein, da das Unternehmen nur in Lieferantendaten oder Kundendaten (z.B. für Stammkunden oder Newsletter) und unter Umständen Mitarbeiterdaten (Mitarbeiterdatei, Urlaubs- und Krankenstandsaufzeichnungen) personenbezogene Daten verarbeitet.      
the processing is not occasional. This narrowing down of the exemption to have a record of processing activities leads to a wide broadening of the applicability of Art. 30 GDPR. Many companies will process personal data of customers, suppliers or employees “not only ocassionally”, but in the context of their day to day business activities. This limitation of the exemption for companies with less than 250 employees leads certainly to the obligation for medium sized companies and small enterprises to have a record of processing activities. In small enterprises the record of processing activities can be drafted in an easy form, because such organizations will usually only process personal data of suppliers or customers (e.g. a database for a newsletter or regular customers) and employees (employee data base, vacation and/or absence database).   

c.  Die Verarbeitung schließt besondere Datenkategorien gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 ein. Bei diesen „besonderen Datenkategorien“ handelt es sich um die bisher als „sensible Daten“ bezeichneten Daten (siehe Art. 9 DSGVO) und „strafrechtlich relevante Daten“ (siehe Art. 10 DSGVO. Nicht umfasst sind personenbezogene Daten, die sich auf die Bonität der betroffenen Person beziehen, wobei diese uU ein „Risiko für die Rechte und Freiheiten der betroffenen Personen“ (siehe a.) darstellen, sodass aus diesem Grund das Verzeichnis von Verarbeitungstätigkeiten zu führen sein wird.
the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10. This special categories of data include the commonly known “sensitive data” (see Art. 9 GDPR) and data of criminal records (see Art. 10 GDPR). Personal data that relates to the credit rating of the data subjects is not included in these articles, but such may cause a risk to the rights and freedom of the data subjects (see a) and the record of processing activities must be kept based on this evaluation.                      

 

 

 


Kommentar schreiben

Kommentare: 0