Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens beginnt mit einer Untersuchung von Stichproben, ob und wie Datenschutzbestimmungen im privaten Sektor eingehalten werden. Dies gab diese am vergangenen 17. Juli 2018 auf ihrer Webseite bekannt.
Verzeichnis von Verarbeitungstätigkeiten
Im Fokus sind hierbei große Organisationen aus zehn unterschiedlichen Unternehmenssektoren, die nachweisen müssen, ob ein Verzeichnis von Verarbeitungstätigkeiten (VvV) vorhanden ist. Sofern dieses vorhanden ist, wird zudem die Qualität der in dem VvV angeführten Informationen überprüft.
Ausnahmen vom VvV
Interessanterweise verweist hierbei die niederländische Datenschutzbehörde auf das Positionspapier der Artikel-29-Arbeitsgruppe zu Ausnahmen von der Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Artikel 29 Datenschutzgruppe war ein unabhängiges Beratungsgremium, das zum 25. Mai 2018 seine Tätigkeiten eingestellt hat. Ähnliche Tätigkeiten wurden von dem European Data Protection Board übernommen, das zum 25. Mai 2018 entsprechende Tätigkeiten gemäß Art. 68 DSGVO aufgenommen hat.
Nach Erwägungsgrund 13 der Datenschutz-Grundverordnung sind die Unterschiede von Kleinstunternehmen, sowie kleiner und mittlerer Unternehmen hinsichtlich der Umsetzbarkeit zu berücksichtigen. Präziser statuiert Art. 30 Abs. 5 DSGVO, dass die Pflichten, u.A. wie ein Verzeichnis von Verarbeitungstätigkeiten zu führen, „nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen [gelten], es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien […] bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“
Zwischenstand
Es bleibt zu erwarten, ob die Ergebnisse der Stichprobenuntersuchung einen rein informativen Wert für die niederländische Datenschutzbehörde haben werden oder tatsächlich Sanktionen gem. Art. 82 et. Seq. DSGVO erlassen werden. Wir werden Sie auf dem Laufenden halten.
20. Juli 2022 @ 22:58
Leider kann man bei Autoriteit Persoonsgegevens mit einer deutschen Postleitzahl keine Beschwerde über eine niederländische Firma einreichen, die Postleitzahl wird als ungültig moniert.