Weit gefehlt! Sofern Sie geprüft haben, dass Sie wirklich keinen Datenschutzbeauftragten bestellen müssen, stellt sich die Frage nach der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten.

Laut Art. 30 Abs. 5 DSGVO ist ein Verzeichnis von Verarbeitungstätigkeiten zu führen, sofern:

- die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt

- die Verarbeitung nicht nur gelegentlich erfolgt

- es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10

Es ist anzunehmen, dass die meisten Unternehmen nicht nur gelegentlich personenbezogene Daten verarbeiten. Sicherlich kann man diskutieren, was hier gelegentlich heißt. Da aber selbst Kleinstunternehmen täglich Daten verarbeiten, ist zumindest das Führen eines Verzeichnis von Verarbeitungstätigkeiten erforderlich.

Grundsätzlich gilt die DSGVO Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Da dies in nahezu jedem Unternehmen oder Verein, etc. anzunehmen ist, sollte man immer die DSGVO im Auge behalten.

Sie gilt nicht für natürliche Personen die ausschließlich persönliche oder familiäre Tätigkeiten ausüben.

Und zur Erinnerung: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.