Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA), das Nach­fol­ge­or­gan der Arti­kel-29-Daten­schutz-Grup­pe, hat am 19. April 2018 ein Posi­ti­ons­pa­pier zu Art. 30 Abs. 5 DSGVO ver­öf­fent­licht. Es geht dabei um die KMU-Aus­nah­me von der Pflicht, ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren:

(5) Die in den Absät­zen 1 und 2 genann­ten Pflich­ten gel­ten nicht für Unter­neh­men oder Ein­rich­tun­gen, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen, sofern die von ihnen vor­ge­nom­me­ne Ver­ar­bei­tung nicht ein Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen birgt, die Ver­ar­bei­tung nicht nur gele­gent­lich erfolgt oder nicht die Ver­ar­bei­tung beson­de­rer Daten­ka­te­go­ri­en gemäß Arti­kel 9 Absatz 1 bzw. die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten im Sin­ne des Arti­kels 10 ein­schließt.

Der EDSA hält dazu fest:

  • Die Gegen­aus­nah­men – d.h. die drei Tat­be­stän­de, bei denen die Aus­nah­me für KMU nicht greift – sei­en alter­na­tiv zu ver­ste­hen; es genü­ge daher, dass nur einer die­ses Tabe­stän­de erfüllt ist, um die Aus­nah­me ent­fal­len zu las­sen.
  • Soweit eine Gegen­aus­nah­me greift, ent­steht die Pflicht, das Ver­ar­bei­tungs­ver­zeich­nis zu füh­ren, jedoch nur gera­de für die­je­ni­gen Ver­ar­bei­tungs­tä­tig­kei­ten, für wel­che die Gegen­aus­nah­me anwend­bar ist (Bsp.: ein KMU bear­bei­tet Mit­ar­bei­ter- und gele­gent­lich auch harm­lo­se End­kun­den­da­ten; Mit­ar­bei­ter­da­ten wer­den nicht nur gele­gent­lich ver­ar­bei­tet, wes­halb für die­se Bear­bei­tung ein Ver­zeich­nis zu füh­ren ist, nicht aber für die End­kun­den­da­ten).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.