Dokumentationspflichten: was wird aus dem schönen Verfahrensverzeichnis?
Nach allen drei Entwürfen der DS-GVO haben sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter gewisse Dokumentationspflichten (Art. 28 DS-GVO).
Nach dem Entwurf der Kommission sind die der Zuständigkeit des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters unterliegenden Verarbeitungsvorgänge zu dokumentieren. Das Parlament möchte die Dokumentationspflicht dahingehend präzisieren, dass die verpflichteten Stellen eine Dokumentation für den Zweck vorhalten und auch aktualisieren müssen, um die Anforderungen der DS-GVO zu erfüllen. Danach muss also nur dokumentiert werden, was tatsächlich auch gesetzlich gefordert wird (beispielsweise der Nachweis einer erteilten Einwilligung). Der Rat möchte die allgemeine Dokumentationspflicht zunächst nur auf den für die Verarbeitung Verantwortlichen begrenzen. Nach Art. 28 Abs. 2a DS-GVO des Ratsentwurfs sind jedoch auch Auftragsverarbeiter dazu verpflichtet, eine Aufzeichnung zu allen Kategorien von den im Auftrag durchgeführten Tätigkeiten der Verarbeitungen personenbezogener Daten zu führen. Der inhaltliche Umfang der Dokumentationspflicht ist in diesem Fall jedoch eingeschränkt.
Interessant ist, wie die drei Entwürfe die Frage behandeln, was genau zu dokumentieren ist. So sieht der Kommissionsentwurf in Abs. 2 eine Liste von Informationen vor, die der zuvor benannten allgemeinen Dokumentationspflicht unterfallen. Der Parlamentsentwurf entgegen nimmt ausdrücklich eine Unterscheidung zu der allgemeinen Dokumentationspflicht in Abs. 1 vor und verlangt in Abs. 2 „darüber hinaus“ eine Dokumentation von weiteren näher aufgeführten Informationen.
Der Rat und die Kommission möchten in ihren Entwürfen zudem eine Ausnahmeregelung für KMUs vorsehen (Art. 28 Abs. 4 b) DS-GVO). Die in den Abs. 1 und 2 aufgestellten Verpflichtungen für eine Dokumentation gelten danach nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Der Rat möchte diesbezüglich jedoch eine Rückausnahme vorsehen, nämlich für den Fall, dass die vorgenommene Datenverarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
Mit Blick auf die tatsächlich zu dokumentierenden Informationen lässt sich beispielhaft anmerken, dass etwa Rat und Kommission es als ausreichend erachten, wenn die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten dokumentiert werden. Das Parlament möchte verlangen, dass „Name und Kontaktdaten“ für die Verarbeitung Verantwortlichen, denen personenbezogene Daten mitgeteilt werden, zu dokumentieren sind.