Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO). Diese bringt erhebliche Änderungen und Neuerungen in Bezug auf die Rechenschaftspflichten und die Dokumentationspflichten der Verantwortlichen mit sich. Ein Verstoß gegen diese Pflichten kann mit immensen Bußgeldern belegt werden. Die Höhe der Bußgelder ist in der DSGVO deutlich nach oben angepasst worden und liegt mit Bußgeldern von bis zu 10.000.000,- € (oder bis zu 2% des Jahresumsatzes) bzw. bei schwerwiegenden Verstößen bis zu 20.000.000,- € (oder bis zu 4% des Jahresumsatzes) ganz beträchtlich über dem bisherigen Bußgeldrahmen des alten Bundesdatenschutzgesetzes (BDSG) von 50.000,- € bis 300.000,- €. Ein Verstoß gegen die Vorschriften der DSGVO und insbesondere gegen die Dokumentationspflichten kann somit ganz erhebliche wirtschaftliche Folgen haben. Hinzu kommt die folgende Neuerung: Art. 5 Absatz 2 DSGVO normiert eine „Rechenschaftspflicht“ des Verantwortlichen für die Einhaltung der in Art. 5 Absatz 1 DSGVO geregelten Grundsätze für die Verarbeitung von personenbezogenen Daten. Das bedeutet konkret, jeder Verantwortliche muss bei einer Überprüfung durch die Aufsichtsbehörde die Einhaltung der gesetzlichen Vorschriften und insbesondere der Dokumentationspflichten der DSGVO nachweisen können. Kann er dies nicht, wird das ein erhebliches Bußgeld zur Folge haben. Der Verantwortliche ist somit in der Nachweispflicht. Anders verhielt es sich im bisherigen Datenschutzrecht. Nach dem alten BDSG gab es eine allgemeine Pflicht zur Einhaltung der Datenschutzvorschriften. Etwaige Verstöße waren von der Aufsichtsbehörde nachzuweisen.
In Bezug auf eine ordnungsgemäße Dokumentation enthält Art. 30 Absatz 4 DSGVO eine konkrete Nachweispflicht. Hier ist geregelt, dass der Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten auf Anfrage der Aufsichtsbehörde zur Verfügung stellen muss. Kann eine ordnungsgemäße Dokumentation nicht vorgelegt werden, führt allein dies zu einem Verstoß gegen die DSGVO, selbst wenn die Verarbeitung der personenbezogenen Daten nicht gegen die DSGVO verstößt. Bei Vorliegen der entsprechenden Voraussetzungen des Art. 30 DSGVO ist eine umfangreiche Dokumentation Pflicht, auch wenn dies einen erheblichen Verwaltungsaufwand und damit verbunden einen erheblichen finanziellen Aufwand bedeutet.
Zentrale Vorschrift zur Dokumentationspflicht ist der Artikel 30 DSGVO. Dieser schreibt unter bestimmten Voraussetzungen das Erstellen und Führen von einem „Verzeichnis von Verarbeitungstätigkeiten“ vor. Die inhaltlichen Anforderungen an ein solches Verzeichnis sind in Art. 30 Absatz 1 DSGVO konkret beschrieben. Dieses Verzeichnis ist gemäß Art. 30 Absatz 3 schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Wann ist das Führen eines Verzeichnisses nach Art. 30 DSGVO Pflicht? Gemäß Art. 30 Absatz 5 DSGVO in jedem Fall, wenn ein Unternehmen oder eine Einrichtung mindestens 250 Mitarbeiter beschäftigt. Bedeutet dies im Umkehrschluss, dass eine solche Pflicht entfällt, wenn weniger als 250 Mitarbeiter beschäftigt sind? Nein! Eine Pflicht zum Erstellen eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO besteht auch bei einer Mitarbeiteranzahl von weniger als 250, wenn die Verarbeitung der Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder die Verarbeitung nicht nur gelegentlich erfolgt oder eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Absatz 1 DSGVO (z.B. Daten zu religiösen und politischen Weltanschauungen) oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO erfolgt. Hieraus folgt, dass der Anwendungsbereich des Art. 30 DSGVO erheblich weiter ist, als er auf den ersten Blick im Hinblick auf die angegebene Mitarbeiteranzahl von 250 scheint. So könnte im Prinzip jedes Unternehmen oder jede Einrichtung in den Anwendungsbereich des Art. 30 DSGVO fallen, so dass diese gut beraten sind, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu erstellen. Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Absatz 1 DSGVO. Das Verarbeitungsverzeichnis muss zunächst erstellt und dann geführt, das heißt jeweils auf den aktuellem Stand gebracht werden. In dem Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO müssen sämtliche Verarbeitungen personenbezogener Daten dokumentiert werden. Zur Datenverarbeitung zählen automatische und nicht automatische Verfahren im Zusammenhang mit personenbezogenen Daten, wie z.B. das Erheben von Daten, das Erfassen, das Speichern, das Übermitteln, das Verwenden und auch das Offenlegen von Daten. Die inhaltlichen Anforderungen gemäß Art. 30 Absatz 1 DSGVO müssen erfüllt sein. Erst dann handelt es sich um ein ordnungsgemäßes Verarbeitungsverzeichnis im Sinne des Art. 30 DSGVO und hält einer etwaigen datenschutzrechtlichen Überprüfung durch die jeweilige Aufsichtsbehörde stand.