Der Europäische Datenschutzausschuss (EDSA, engl. EDPB), das Nachfolgeorgan der Artikel-29-Datenschutz-Gruppe, hat am 19. April 2018 ein Positionspapier zu Art. 30 Abs. 5 DSGVO veröffentlicht. Es geht dabei um die KMU-Ausnahme von der Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen:
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
Der EDSA hält dazu fest:
- Die Gegenausnahmen – d.h. die drei Tatbestände, bei denen die Ausnahme für KMU nicht greift – seien alternativ zu verstehen; es genüge daher, dass nur einer dieses Tabestände erfüllt ist, um die Ausnahme entfallen zu lassen.
- Soweit eine Gegenausnahme greift, entsteht die Pflicht, das Verarbeitungsverzeichnis zu führen, jedoch nur gerade für diejenigen Verarbeitungstätigkeiten, für welche die Gegenausnahme anwendbar ist (Bsp.: ein KMU bearbeitet Mitarbeiter- und gelegentlich auch harmlose Endkundendaten; Mitarbeiterdaten werden nicht nur gelegentlich verarbeitet, weshalb für diese Bearbeitung ein Verzeichnis zu führen ist, nicht aber für die Endkundendaten).