Datenschutz: Verzeichnis von Verarbeitungstätigkeiten und Kleinstunternehmen

Datenschutz: Verzeichnis von Verarbeitungstätigkeiten und Kleinstunternehmen

2018

Fangen wir einmal so an, mit Zitaten und Links zur Überprüfung unserer Aussage:

Auszug aus Art 30 EU-DSGVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen….“
siehe: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:“ Die Datenschutz-Grundverordnung ist grundsätzlich sowohl im nicht-öffentlichen, als auch im öffentlichen Bereich anwendbar „. siehe: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=44

Hier wird also keine Einschränkung vorgenommen wie bei der Pflicht zur Benennung eines Datenschutzbeauftragen.  Zahlreiche Verbände und Juristen weisen ebenfalls darauf hin, das quasi jedes Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten erstellen und vorhalten sollte – unabhängig von der Stellung eines externen oder internen Datenschutzbeauftragten. Im übrigen folgt das auch einer Logik, wenn man das Ziel dieser Europäischen Verordnung einmal betrachtet, die Privatsphäre des einzelnen zu schützen und bei Verstößen eine Strafe durchsetzen zu können.

Liest man allerdings Art 30 EU-DSVGO Abs. 5 gibt es eine Einschränkung:
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Dieser Absatz würde also Kleinstunternehmen von dieser Pflicht ausnehmen – so würden wir das als Nichtjuristen sehen. Nehmen wir also mal den Fall aus, das Sie z.B. ein Telefonmarketingunternehmen betreiben oder sonstige wichtige Daten als Kleinstunternehmer (unwahrscheinlich) verarbeiten würde dieser Artikel darauf hindeuten das Firmen unter 250 Mitarbeitern kein Verzeichnis benötigen.

Jetzt wissen wir normale Menschen ja, dass Juristen findig sind und sich vermutlich am Satz : „Verarbeitung erfolgt nicht nur gelegentlich“, stoßen könnten. Arbeite ich in einer Werkstatt und schraube an Auto’s muss ich täglich schauen welches Auto wem gehört. Meine Kerntätigkeit ist das Reparieren, aber regelmäßig werde ich mir die Kundendaten ansehen müssen um einen Auftrag zu bearbeiten oder Rückfragen zu stellen, ebenso natürlich die Rechnungsstellung, die ich eigentlich nicht nur gelegentlich machen will.

In diesem Sinne empfehlen wir allen unseren Kunden sich doch einmal mit den Verzeichnissen zu beschäftigen und diese umzusetzen. Dafür gibt es übrigens auch ein paar Formulare, die durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit zur Verfügung gestellt wurden und helfen sollen ein solches Verzeichnis zu erstellen.

Wer sich nicht damit stundenlang beschäftigen möchte, kann uns auch gerne beauftragen Ihnen den Einstieg als Kleinunternehmen zu vereinfachen.

Durch die Erstellung einiger Verfahrensanweisungen haben wir eine Sammlung und können Ihnen da einfacher weiterhelfen und das zu einem Stundensatz, den auch Sie sich leisten können. In partnerschaftlicher Zusammenarbeit gehen wir schnell und effektiv das Thema mit Ihnen an und die entscheidenden Ausfüllhilfen.

Wir verstehen Ihre Sorgen, Ängste und Wut: „Schon wieder eine neue Verordnung – als habe ich nichts besseres zu tun. Ich möchte mich um mein Geschäft kümmern und in meinem Leben werde ich nicht mehr Daten sammeln als die großen Internetfirmen in 1 Minute“.
Ja das ist so und es ist auch vielfach unverhältnismäßig, aber eine neue Verordnung und man sollte etwas nicht übersehen:

Die zur Erstellung notwendige Analyse gemeinsam mit Ihnen ist auch eine Chance neue, moderne Verfahren einzuführen, die Ihre Arbeit effektiver, sicherer und schneller machen.

Thomas Böttcher

Die Chance effektivere Workflows zu gestalten oder unsichere Technik und Probleme auszuschalten hängt natürlich von Ihrer Bereitschaft auf  Veränderung ab, aber gerne sind wir Ihnen dabei behilflich!

Und sollten Sie einen Datenschutzbeauftragten benötigen, beachten Sie immer Art. 39 DSGVO. Art. 39 DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben – wie Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften, Schulungen und Zusammenarbeit mit der Aufsichtsbehörde. Es ist keine anwaltliche Vertretung, sondern eine Anleitung die Verordnung einzuhalten. Sollten Sie in Sachen DSGVO einen Anwalt benötigen, so arbeiten wir mit Anwälten zusammen, die sich auf diesen Bereich spezialisiert haben.