Wann müssen sich kleine Organisationen an die Pflicht zur Führung eines Verzeichnisses der Verareitungstätigkeiten halten?

Wenn man als Organisation personenbezogene Daten verarbeitet, ist es nach der kommenden Datenschutz-Grundverordnung (DSGVO) in vielen Fällen zwingend erforderlich, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (auch bekannt als Verzeichnispflicht). Ein Missverständnis besteht darin, dass viele Menschen glauben, dass diese Verzeichnispflicht nur für große Unternehmen gilt. Auch kleinere Organisationen müssen dieser Verpflichtung in vielen Fällen nachkommen.

Die Führung eines Verzeichnisses der Verarbeitungstätigkeiten ist oft nicht nur eine Verpflichtung, sondern auch ein unverzichtbares Mittel, um den Überblick über die Verarbeitungstätigkeiten zu behalten. Denn nur mit einem guten Überblick über die Verarbeitungstätigkeiten kann ein Unternehmen die richtigen Schritte zur Einhaltung des Datenschutzes unternehmen. Wie können Sie sonst auf einen Antrag auf Zugang oder Löschung wirksam reagieren? Darüber hinaus ist es wichtig zu wissen, wann Sie die Bedingungen der Meldepflicht erfüllen und wann nicht, denn mit diesem Wissen können Sie auch hohe Bußgelder vermeiden.

Das Gesetz besagt, dass Organisationen, die weniger als 250 Mitarbeiter beschäftigen, nicht verpflichtet sind, ein Verzeichnis zu führen – es sei denn, die Organisation führt Verarbeitungstätigkeiten durch, die:

  1. ein Risiko für die beteiligten Personen darstellen;
  2. nicht zufällig sind; oder
  3. strafrechtlich relevante Daten oder die Verarbeitung spezieller Datenkategorien betreffen, wie z.B. Daten über Gesundheit oder Religion.

Wenn Ihre Organisation nur gelegentlich Daten verarbeitet, entfällt die Verzeichnispflicht. Ein Beispiel dafür ist eine Marketingabteilung, die eine Adressänderung der Organisation an die Kunden weitergibt. Dabei handelt es sich um Verarbeitungstätigkeiten, die höchstens einige Male im Jahr stattfinden können. Das bedeutet aber, dass viele kleine Organisationen der Verzeichnispflicht nachkommen müssen, da die meisten Organisationen nicht nur eine Verarbeitung von Daten als Nebentätigkeit, sondern auch deren Verarbeitung im strukturellen Maßstab durchführen. Zum Beispiel die Datenverarbeitung bei der Einstellung eines neuen Mitarbeiters oder des Telefonverkehrs im Kundenservice.

Als Organisation müssen Sie daher über alle Verarbeitungstätigkeiten innerhalb der Organisation gut informiert sein. Darüber hinaus ist es wichtig, über alle Verpflichtungen aus der Datenschutzverordnung, die für dein Unternehmen gelten, gut informiert zu sein, um böse Überraschungen zu vermeiden.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company