Datenverarbeitung – Wer kann sich ein Verfahrensverzeichnis sparen?
Datenschutzrecht
Datenverarbeitung – gelegentlich, regelmäßig, ständig
Wer kann sich ein Verfahrensverzeichnis sparen?
Die Wirrungen im Rahmen des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) haben noch kein Ende gefunden. Nun sind verschiedene mittelständische Medienunternehmen an uns herangetreten, die sich mit der Erstellung diverser Verfahrensverzeichnisse überfordert sehen. Alle fürchten, oft grundlos, derzeit drakonische Maßnahmen, insbesondere Bußgelder, von Aufsichtsbehörden. Doch wen trifft überhaupt eine gesetzliche Pflicht zur Erstellung von Verfahrensverzeichnissen?
Gemäß Artikel 30 Absatz 1 Satz 1 DSGVO führt grundsätzlich einmal jeder verantwortliche Datenverarbeiter ein umfassendes Verzeichnis, dessen Inhaltsanforderung in Artikel 30 Absatz 1 Satz 2 DSGVO genau ausgestaltet ist. Von dieser Pflicht gibt es jedoch gemäß Absatz 5 von Artikel 30 DSGVO eine Ausnahme für Unternehmen von bis zu 249 Mitarbeitern. Um die Komplexität der Vorschrift weiter zu erhöhen gibt es wiederum drei Ausnahmen von der Ausnahme von der Erleichterung kleiner und mittelständischer Unternehmen, juristisch auch als „Schranken-Schranke“ bezeichnet. Wir behandeln hier nur die zweite Ausnahme, wonach das Privileg für Unternehmen von unter 250 Mitarbeitern nicht greift, wenn „die Verarbeitung nicht nur gelegentlich erfolgt“. Im Umkehrschluss, e contrario, bedeutet dies, dass Unternehmen bis zu der genannten Größe keine Verfahrensverzeichnisse führen müssen, wenn sie eine Datenverarbeitung „nur gelegentlich“ betreiben.
Der Begriff der „gelegentlichen Datenverarbeitung“ wird gesetzlich nicht definiert. Es ist ein unbestimmter Rechtsbegriff. Aufgrund der unmittelbaren Anwendbarkeit der DSGVO sind für eine angemessene Rechtsfindung nationale Grundsätze ergänzend heranzuziehen. Trotz des Gebotes hinreichender Bestimmtheit der Gesetze nach Artikel 20 Absatz 3 GG ist die Gesetzgebung nicht gezwungen jeden Tatbestand mit genau erfassbaren Maßstäben zu beschreiben. Allerdings liegt die letztentscheidende Auslegungshoheit und Konkretisierung unbestimmter Rechtsbegriffe ausschließlich bei den Gerichten (siehe Bundesverfassungsgericht, Beschluss vom 31. Mai 2011, Az. 1 BvR 857/07). Behörden haben lediglich in Rechtsfolgeentscheidungen einen Ermessenspielraum.
Vor diesem Hintergrund verwundert mit welcher Überzeugungskraft die Datenschutzkonferenz der obersten Datenschützer der Länder (DSK) Ende Februar in einem Memorandum mit knappen Worten vermerkt hat, der Begriff „nicht nur gelegentlich“ ersetze das „regelmäßig“ des alten Bundesdatenschutzgesetztes (BDSG). Entsprechend genüge es, wenn die Datenverarbeitung a) fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkomme, b) immer wieder oder wiederholt zu bestimmten Zeitpunkten auftrete oder c) ständig oder regelmäßig stattfinde. Im Fazit meint die DSK, es sei davon auszugehen, dass die Schranken daher nur selten greifen würde und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sei.
Dem widersprechen wir. Die Vorschrift fordert, dass die Datenverarbeitung „nicht nur bei Gelegenheit“ erfolgt. Dies ist kein rein zeitliches Kriterium. Es kommt nicht nur auf die Quantität, sondern auch auf die Qualität, also den inhaltlichen Sachzusammenhang der Verarbeitung an. Wer zum Beispiel lediglich bei der Gelegenheit der Führung von Personalakten zwecks Lohnabrechnung Daten verarbeitet kann als Mittelständler auf Verfahrensverzeichnisse verzichten. Ebenso dürfte das Aufbauen und gelegentliche Überarbeiten einer Adressdatenbank zum Versenden von Newslettern nicht zu einer Verzeichnispflicht von Unternehmen kleiner und mittlerer Größe führen. Da die DSGVO den Mittelstand in der Zielsetzung verschonen will, ist Artikel 30 Absatz 5 DSGVO zurückhaltend auszulegen. Wer Datenverarbeitung fernab vom eigentlichen Unternehmenszweck nur nebenbei betreibt muss kein Verzeichnis führen, auch wenn er diese Verarbeitung regelmäßig wiederkehrend ausführt. Würde man jedem, der sein Geschäft im Schwerpunkt jenseits regelmäßiger Datenverarbeitung betreibt, eine Verzeichnispflicht aufbürden, nur weil seine Datenverarbeitung aus der Natur der Sache heraus wiederkehrend ist, so liefe die Idee einer Mittelstandentlastung durch die DSGVO Schranke des Artikel 30 Absatz 5 praktisch leer. Dies ist vom Gesetzgeber erkennbar nicht gewollt.
Einfach zusammengefasst: Auch zeitlich regelmäßig wiederkehrende Datenverarbeitungen können im Sinne von Artikel 30 Absatz 5 DSGVO gelegentlich bleiben, wenn sie nur nebenbei erfolgen und den Unternehmenszweck nicht wesentlich bestimmen.
Freilich lässt sich über die Auslegung der gelegentlichen Datenverarbeitung vortrefflich streiten. Wir warten gespannt auf erste Gerichtsentscheidungen dazu.