Den Regelungen des Art. 30 DS-GVO folgend, werden folgende Anforderungen an ein Verzeichnis von Verarbeitungstätigkeiten gestellt:
Es existiert genau ein Verzeichnis, in dem alle Verarbeitungstätigkeiten für jeden Verantwortlichen (Art. 30 Abs. 1 DS-GVO) bzw. Auftragsverarbeiter (Art. 30 Abs. 2 DS-GVO) aufgeführt sind.
Das Verzeichnet bildet alle (Mindest-) Inhalte, die in Art. 30 Abs. 1 DS-GVO für den Verantwortlichen bzw. in Art. 30 Abs. 2 DS-GVO für den Auftragsverarbeiter verbindlich festgelegt sind, ab.
as Verzeichnis ist grundsätzlich schriftlich zu führen. Eine elektronische Form ist jedoch auch zulässig (Art. 30 Abs. 3 DS-GVO).
Auf Anfrage muss der Verantwortliche bzw. der Auftragsverarbeiter der Aufsichtsbehörde das Verzeichnis zur Verfügung stellen (Art. 30 Abs. 4 DS-GVO).
Da nur ein Verzeichnis existieren soll, ist es offensichtlich, dass die "Stammdaten" von Verantwortlichen und Auftragnehmer (also Anschrift und entsprechende Kontaktdaten) nur einmal aufgeführt werden müssen.
In diesem Zusammenhang sei insbesondere auf die Forderung von Art. 30 Abs. 2 lit. a hingewiesen, in der festgelegt wird, dass der Auftragnehmer zur jeweiligen Tätigkeit insbesondere auch die Kontaktdaten des Verantwortlichen angeben muss. Diese Forderung lässt sich ferner auch aus Erwägungsgrund 82 herleiten. Denn nur wenn die entsprechenden Informationen vorhanden sind, ist eine Aufsichtsbehörde in der Lage, eine ordnungsgemäße Auftragsvergabe und –abwicklung zu überprüfen.
Rechenschaftspflicht ("Accountability")
Der Gesetzgeber sieht das Verzeichnis aus Art. 30 DS-GVO als "dynamisch" an. Dieses hat mithin zur Konsequenz, dass jede identifizierte bzw. definierte Tätigkeit in regelmäßigen Abständen darauf hin zu überprüfen ist, ob die Prozesse auch genauso ablaufen, wie ursprünglich festgestellt und dokumentiert. Dieses wiederum hat zur Konsequenz, dass, wenn sich Verarbeitungstätigkeiten z.B. auf Grund geänderter Anforderungen ändern, diese Änderung auch in der Dokumentation / dem Verzeichnis dargestellt werden muss.
Diese Notwendigkeit wird nochmals durch die in Art. 5 Abs. 2 DS-GVO definierte "Rechenschaftspflicht" unterstrichen. Nach dieser Pflicht muss der Verantwortliche (jederzeit) nachweisen können, dass die Datenverarbeitung (zu jeder Zeit) rechtskonform erfolgt(e). Diese gesetzliche Anforderung hat mithin zur Konsequenz, dass ein Verzeichnis von Verarbeitungstätigkeiten eine Historie enthalten muss, die entsprechend gepflegt wird, um damit die Einhaltung der Vorgaben der DS-GVO auch für den zurückliegenden Zeitraum nachweisen kann.
Die Artikel-29-Datenschutzgruppe erstellte zum Thema Rechenschaftspflicht im Jahre 2010 ein "Working Paper ", welches das Thema aus ihrer Sichtweise behandelt. Die von der Artikel-29-Datenschutzgruppe in diesem Paper vertretenen Sichtweisen, dürften durchaus weiterhin ihre Relevanz behalten haben und für die Zukunft (die Geltung der DS-GVO) höchstwahrscheinlich ihre Geltung behalten.
