kommt, dass auf der Basis von Art 21 Abs 2 DS-RL die Mitglied- resp EWR-Vertragsstaaten 
die Führung eines Datenregisters durch die jeweiligen Kontrollstellen zu regeln haben. 
Mit der DS-GVO entfällt das Datenregister und — in einem erheblichen Maße — auch die 
damit verbundene Meldepflicht der Datenverarbeitung gegenüber der Aufsichtsbehörde. Dies 
dient in erster Linie dem Bürokratieabbau zugunsten der Aufsichtsbehörde!®; mit den Auf- 
gaben, welche dieser neu zukommen!9? 
‚ ist die Führung und Wartung eines solchen Registers 
weder rentabel noch im Hinblick auf den dafür zu leistenden Aufwand angemessen. Auch für 
den Verantwortlichen wird auf diese Weise der bürokratische Aufwand in dieser Hinsicht ge- 
senkt. Ein Pendant zu Art 18 und 21 Abs 2 DS-RL gibt es so nicht; lediglich die Bestimmun- 
gen über den unternehmensinternen Datenschutzbeauftragten wurden aufgegriffen und stark 
erweitert (Art 37 ff DS-GVO).9? Die Zusammenarbeit mit der Aufsichtsbehörde im Rahmen 
einer Datenverarbeitung wird somit grundsätzlich weiter beibehalten; dies va im Rahmen der 
Verpflichtung des Verantwortlichen bzw des Auftragsverarbeiters zur Pflicht zur Führung ei- 
nes Verzeichnisses der Verarbeitungstätigkeiten gem Art 30 DS-GVO. Das Verzeichnis be- 
zweckt, dass die Einhaltung der Vorschriften der VO durch die Aufsichtsbehörde kontrolliert 
werden kann.'? Wesentlicher Unterschied zum Datenregister ist dabei, dass das Verzeichnis 
der Aufsichtsbehórde nur auf deren Anfrage hin zur Verfügung zu stellen ist (Art 30 Abs 4 
DS-GVO); dies stellt gerade den umgekehrten Fall zum Datenregister dar, welches jedenfalls 
bei der Kontrollstelle angemeldet werden musste. Die Pflicht zur Führung des Verzeichnisses 
ist mit einer Geldbufse von maximal EUR 10 Millionen bzw 2 96 des weltweiten unternehme- 
rischen Jahresumsatzes strafbewehrt (Art 83 Abs 4 lit a DS-GVO).!?? Das Verzeichnis muss 
gem Art 30 Abs 3 DS-GVO schriftlich geführt werden, was auch in einem elektronischen 
Format erfolgen kann. Zentral ist dabei, dass das Verzeichnis eine physische Form annehmen 
kann (durch einen Ausdruck), sodass eine Übermittlung an die Aufsichtsbehórde móglich 
  
196 Vgl Erw 89 der DS-GVO. 
297 S dazu Kapitel 7.11. 
199 Dazu bereits im Rahmen des Entwurfs der DS-GVO Pollirer, Die Datenschutz-Grundverordnung: Der Da- 
tenschutzbeauftragte, in Dako 2015, 65; ausführlich zur verabschiedeten Regelung s Konig, Der Datenschutzbe- 
auftragte — Die interne Beratungs- und Kontrollfunktion, in Knyrim, Datenschutz-Grundverordnung, 231. 
199 Vg] Erw 82 der DS-GVO; Selk, Verzeichnis von Verarbeitungstátigkeiten (Art 30 DSGVO): Wer muss es 
haben, wie hat es auszusehen?, in Knyrim, Datenschutz-Grundverordnung, 181 [182]. 
1010 Der Höchstbetrag der Geldbuße liegt dabei bei EUR 10 Millionen bzw bei Unternehmen 2 96 des Jahresum- 
satzes, wobei der hóhere Betrag das maximale Strafmafs darstellt. 
185