EDPB: Posi­ti­ons­pa­pier zu Art. 30 Abs. 5 DSGVO (KMU-Aus­nah­me)

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA, engl. EDPB), das Nach­fol­ge­or­gan der Arti­kel-29-Daten­­­schutz-Grup­­pe, hat am 19. April 2018 ein Posi­ti­ons­pa­pier zu Art. 30 Abs. 5 DSGVO ver­öf­fent­licht. Es geht dabei um die KMU-Aus­­­nah­­me von der Pflicht, ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu führen:

(5) Die in den Absät­zen 1 und 2 genann­ten Pflich­ten gel­ten nicht für Unter­neh­men oder Ein­rich­tun­gen, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen, sofern die von ihnen vor­ge­nom­me­ne Ver­ar­bei­tung nicht ein Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen birgt, die Ver­ar­bei­tung nicht nur gele­gent­lich erfolgt oder nicht die Ver­ar­bei­tung beson­de­rer Daten­ka­te­go­ri­en gemäß Arti­kel 9 Absatz 1 bzw. die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten im Sin­ne des Arti­kels 10 einschließt.

Der EDSA hält dazu fest:

• Die Gegen­aus­nah­men – d.h. die drei Tat­be­stän­de, bei denen die Aus­nah­me für KMU nicht greift – sei­en alter­na­tiv zu ver­ste­hen; es genü­ge daher, dass nur einer die­ses Tabe­stän­de erfüllt ist, um die Aus­nah­me ent­fal­len zu lassen.
• Soweit eine Gegen­aus­nah­me greift, ent­steht die Pflicht, das Ver­ar­bei­tungs­ver­zeich­nis zu füh­ren, jedoch nur gera­de für die­je­ni­gen Ver­ar­bei­tungs­tä­tig­kei­ten, für wel­che die Gegen­aus­nah­me anwend­bar ist (Bsp.: ein KMU bear­bei­tet Mit­ar­­bei­ter- und gele­gent­lich auch harm­lo­se End­kun­den­da­ten; Mit­ar­bei­ter­da­ten wer­den nicht nur gele­gent­lich ver­ar­bei­tet, wes­halb für die­se Bear­bei­tung ein Ver­zeich­nis zu füh­ren ist, nicht aber für die Endkundendaten).