Verzeichnis für Verarbeitungstätigkeiten und Auftragsverwaltung

| Eine der zentralen Vorschriften, die den Verantwortlichen zum Nachweis der Einhaltung der DS-GVO verpflichtet, ist Art. 30 DS-GVO. Das sogenannte Verfahrensverzeichnis nach § 4e BDSG-alt wurde von dem Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO abgelöst. Inhaltlich gibt es jedoch große Überschneidungen, da das Verfahrensverzeichnis nach altem Recht weitgehend in Art. 30 DS-GVO aufgegangen ist (Martini in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. Art. 30 Rn. 4). |

1. Einleitung

In Art. 5 Abs. 1 DS-GVO werden die maßgeblichen Verarbeitungsgrundlagen genannt, die im Rahmen der Datenverarbeitung zu beachten sind. Es handelt sich dabei im Einzelnen um folgende Grundsätze: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit (siehe MK 18, 177). Art. 5 Abs. 2 DS-GVO bestimmt, dass der Verantwortliche diese Grundsätze einzuhalten und auch nachzuweisen hat. Dazu gehört der Nachweis gem. Art. 24 Abs. 1 DS-GVO sowie die Meldung und die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, insbesondere aber das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO. Die dem Art. 24 DS-GVO nachfolgenden Vorschriften stellen konkrete Ausformungen der Rechenschaftspflicht dar (Piltz in: Gola, DS-GVO, 2. Aufl., Art. 24 Rd. 12), die in der DS-GVO zumeist durch den Begriff „nachweist“ hervorgehoben wird.

Der Nachweis der Einhaltung der Anforderungen des Art. 30 DS-GVO setzt voraus, dass die Verarbeitung dokumentiert wird. Hierfür ist ein Konzept erforderlich, welches die Verarbeitungssituation im konkreten Unternehmen berücksichtigt. Erforderlich ist somit ein nachhaltiges, ganzheitliches Datenschutzmanagementsystem (Frenzel in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. Art. 5 Rn. 52). Eine Ausnahme von der Rechenschaftspflicht, etwa für kleine und mittlere Unternehmen (KMU), sieht Art. 24 DS-GVO nicht vor (Piltz, a.a.O., Art. 24 Rd. 18).