Rz. 66
Art. 30 Abs. 5 normiert Ausnahmen von der Verpflichtung zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten zugunsten solcher Unternehmen, die regelmäßig weniger als 250 Mitarbeiter beschäftigen. Gerade kleine und mittlere Unternehmen hören an dieser Stelle oft auf, das Gesetz zu lesen und wiegen sich in Sicherheit. Diese Erfahrung hat jedenfalls der Autor dieses Werkes im Rahmen seiner zahlreichen Vorträge zu den mit der DSGVO einhergehenden Veränderungen in den vergangenen zwei Jahren gemacht. Wer Art. 30 Abs. 5 DSGVO bis zum Ende liest, der erkennt schnell, dass hier tatsächlich eine echte und in vielen Konstellationen sicherlich nicht Platz greifende Ausnahme beschrieben wird, die eher restriktiv zu handhaben sein wird.
Rz. 67
Eine Verpflichtung auch bei Unternehmen mit weniger als 250 Mitarbeitern soll bestehen, sofern die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Diese "Öffnungsklausel" ist bereits recht weitreichend, geht doch mit jeder Verarbeitung personenbezogener Daten ein gewisses Risiko für die Rechte und Freiheiten der betroffenen Personen einher, so dass man sich bereits fragen kann, wo vor diesem Hintergrund überhaupt noch ein Anwendungsbereich für die Ausnahme verbleibt. Zu denken ist hier ggf. an wirkliche Kleinstbetriebe, bei denen die Verarbeitung personenbezogener Daten eher "Randerscheinung" denn eigentlicher Geschäftszweck ist. So mag der einzelunternehmerisch tätige Handwerker, der außer zum Zwecke der Terminswahrnehmung und der Rechnungsstellung gegenüber seinen Kunden, keine personenbezogenen Daten verarbeitet, von der Verpflichtung nach Art. 30 Abs. 1 DSGVO ausgenommen sein; ebenso diejenigen Unternehmen, die im reinen B2C-Verkehr agieren und die Verarbeitung nur gelegentlich erfolgt (so bspw. im klassischen Tante-Emma-Laden“).
Rz. 68
Ebenfalls entfällt die Verpflichtung nicht, soweit die Verarbeitung personenbezogener Daten einen Kernbestandteil der eigentlichen geschäftlichen Aktivität des Verantwortlichen bildet, so z.B. in der Inkasso- oder der Werbewirtschaft. Hier soll es gerade nicht darauf ankommen, wie viele Mitarbeiter ein Verantwortlicher im Rahmen seiner Verarbeitungsvorgänge beschäftigt. Ebenso entfällt eine Verpflichtung zur Führung eines Verarbeitungsverzeichnisses dort nicht, wo besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt. Sämtliche Leistungserbringer im Gesundheitswesen dürften in diesem Sinne zum Kreis der nach Art. 30 Abs. 1 DSGVO Verpflichteten zu zählen sein.