kommt, dass auf der Basis von Art 21 Abs 2 DS-RL die Mitglied- resp EWR-Vertragsstaaten
die Führung eines Datenregisters durch die jeweiligen Kontrollstellen zu regeln haben.
Mit der DS-GVO entfällt das Datenregister und — in einem erheblichen Maße — auch die
damit verbundene Meldepflicht der Datenverarbeitung gegenüber der Aufsichtsbehörde. Dies
dient in erster Linie dem Bürokratieabbau zugunsten der Aufsichtsbehörde!®; mit den Auf-
gaben, welche dieser neu zukommen!9?
‚ ist die Führung und Wartung eines solchen Registers
weder rentabel noch im Hinblick auf den dafür zu leistenden Aufwand angemessen. Auch für
den Verantwortlichen wird auf diese Weise der bürokratische Aufwand in dieser Hinsicht ge-
senkt. Ein Pendant zu Art 18 und 21 Abs 2 DS-RL gibt es so nicht; lediglich die Bestimmun-
gen über den unternehmensinternen Datenschutzbeauftragten wurden aufgegriffen und stark
erweitert (Art 37 ff DS-GVO).9? Die Zusammenarbeit mit der Aufsichtsbehörde im Rahmen
einer Datenverarbeitung wird somit grundsätzlich weiter beibehalten; dies va im Rahmen der
Verpflichtung des Verantwortlichen bzw des Auftragsverarbeiters zur Pflicht zur Führung ei-
nes Verzeichnisses der Verarbeitungstätigkeiten gem Art 30 DS-GVO. Das Verzeichnis be-
zweckt, dass die Einhaltung der Vorschriften der VO durch die Aufsichtsbehörde kontrolliert
werden kann.'? Wesentlicher Unterschied zum Datenregister ist dabei, dass das Verzeichnis
der Aufsichtsbehórde nur auf deren Anfrage hin zur Verfügung zu stellen ist (Art 30 Abs 4
DS-GVO); dies stellt gerade den umgekehrten Fall zum Datenregister dar, welches jedenfalls
bei der Kontrollstelle angemeldet werden musste. Die Pflicht zur Führung des Verzeichnisses
ist mit einer Geldbufse von maximal EUR 10 Millionen bzw 2 96 des weltweiten unternehme-
rischen Jahresumsatzes strafbewehrt (Art 83 Abs 4 lit a DS-GVO).!?? Das Verzeichnis muss
gem Art 30 Abs 3 DS-GVO schriftlich geführt werden, was auch in einem elektronischen
Format erfolgen kann. Zentral ist dabei, dass das Verzeichnis eine physische Form annehmen
kann (durch einen Ausdruck), sodass eine Übermittlung an die Aufsichtsbehórde móglich
196 Vgl Erw 89 der DS-GVO.
297 S dazu Kapitel 7.11.
199 Dazu bereits im Rahmen des Entwurfs der DS-GVO Pollirer, Die Datenschutz-Grundverordnung: Der Da-
tenschutzbeauftragte, in Dako 2015, 65; ausführlich zur verabschiedeten Regelung s Konig, Der Datenschutzbe-
auftragte — Die interne Beratungs- und Kontrollfunktion, in Knyrim, Datenschutz-Grundverordnung, 231.
199 Vg] Erw 82 der DS-GVO; Selk, Verzeichnis von Verarbeitungstátigkeiten (Art 30 DSGVO): Wer muss es
haben, wie hat es auszusehen?, in Knyrim, Datenschutz-Grundverordnung, 181 [182].
1010 Der Höchstbetrag der Geldbuße liegt dabei bei EUR 10 Millionen bzw bei Unternehmen 2 96 des Jahresum-
satzes, wobei der hóhere Betrag das maximale Strafmafs darstellt.
185