Was ist unter einer Verarbeitung zu verstehen?
Der Begriff der Verarbeitung ist ähnlich weit gefasst, wie der Begriff der personenbezogenen Daten. Sie finden die Definition in Art. 4 Ziffer 2 DSGVO.
Bei der Lektüre des Gesetzestextes werden Sie feststellen, dass praktisch jeder erdenkliche Umgang mit
personenbezogenen Daten eine Verarbeitung im Sinne der DSGVO darstellt.
Beispiele für Verarbeitungen:
- erheben,
- speichern,
- ordnen,
- auslesen,
- verändern,
- übermitteln,
- löschen.
Verabschieden Sie sich also schnell von dem Gedanken, dass Sie die DSGVO nicht beachten müssen, weil Sie keine Verarbeitungen vornehmen.
Muss ich ein Verarbeitungsverzeichnis führen?
Aus Art. 30 Abs. 1 Satz 1 DSGVO ergibt sich für jeden Verantwortlichen – unabhängig von der Größe – die Verpflichtung
zur Führung eines Verarbeitungsverzeichnisses.
Nach Art. 30 Abs. 5 DSGVO besteht eine Ausnahme für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es
sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen
Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer
Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche
Verurteilungen und Straftaten im Sinne des Artikels 10. Wegen der zahlreichen und umfangreichen Rückausnahmen findet
diese Ausnahmeregel praktisch keine Anwendung. Zum einen birgt nahezu jede elektronische Datenverarbeitung Risiken
für die Betroffenen und zum anderen erfolgt eine Verarbeitung meist nicht nur gelegentlich, sondern regelmäßig.
Ein Verstoß gegen die Verpflichtung, ein Verarbeitungsverzeichnis zu führen, kann nach Art. 83 Abs. 4 lit. a DSGVO
mit einem Bußgeld geahndet werden.
Ergebnis: Praktisch jedes Unternehmen muss ein Verarbeitungsverzeichnis führen.