Mit der im Mai 2018 in Kraft getretenen Fassung des EKD-Datenschutzgesetzes (DSG-EKD) wurde in § 31 DSG-EKD die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten eingeführt. Hierzu sind sowohl verantwortliche Stellen als auch Auftragsverarbeiter verpflichtet. Die Verzeichnisse müssen auf Anforderung den Aufsichtsbehörden vorlegt werden, damit diese in die Lage versetzt werden, einen Überblick zu bekommen und gezielt einzelne Verarbeitungsvorgänge kontrollieren zu können.

Dieses Merkblatt und das anliegende Muster beziehen sich lediglich auf Verzeichnisse von Verarbeitungstätigkeiten gemäß § 31 Abs. 1 DSG-EKD für verantwortliche Stellen und nicht für Auftragsverarbeiter.

Die Pflicht gilt gemäß § 31 Abs. 5 DSG-EKD nicht für kirchliche Stellen, die weniger als 250 Beschäftigte haben, es sei denn, sie verarbeiten besondere Kategorien personenbezogener Daten im Sinne des § 4 Nr. 2 DSG-EKD. In diesem Fall sind lediglich die Verarbeitungstätigkeiten aufzunehmen, in denen die besonderen Kategorien personenbezogener Daten verarbeitet werden.

Das Verzeichnis kann auch dazu genutzt werden weitere datenschutzrechtliche Pflichten zu erfüllen, insbesondere die allgemeine Rechenschaftspflicht aus § 5 Abs. 2 DSG-EKD oder auch die Informationspflichten gegenüber betroffenen Personen. Deswegen wird empfohlen, ein vollständiges Verzeichnis auch dann zu erstellen, wenn keine gesetzliche Pflicht dazu besteht.