Die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten gemäss Art. 12 DSG besteht sowohl für Verantwortliche als auch Auftragsbearbeiter. Jedoch gibt es Ausnahmen für kleine und mittlere Unternehmen (KMU), deren Datenbearbeitungen nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt.

Unternehmen, die bereits ein Verzeichnis gemäss den Anforderungen der Datenschutz-Grundverordnung (DSGVO) erstellt haben, können dies entsprechend übernehmen. Es müssen lediglich Angaben bezüglich der Übermittlung ins Ausland und etwaige Garantien, auf welche sich der Verantwortliche stützt, dem Schweizer Datenschutzrecht angepasst werden.

Die Registrierungspflicht für Datensammlungen nach altem Datenschutzrecht entfällt hingegen; sie fand in der Praxis ohnehin kaum Beachtung.

Das DSG und die Verordnung für den Datenschutz (DSV) sehen eine Erleichterung für KMU mit weniger als 250 Mitarbeitern vor. Diese könnten laut Art. 12 Abs. 5 DSG i.V.m. in Art. 24 DSV von der Führung eines Verzeichnisses befreit sein, sofern diese

1. keine besonders schützenswerte Personendaten in grossem Umfang bearbeiten
2. und/oder kein Profiling mit hohem Risiko durchführen.

Es empfiehlt sich jedoch, als Unternehmen freiwillig ein solches Verzeichnis der Bearbeitungstätigkeiten zu erstellen. Insbesondere wenn regelmässig Personendaten bearbeitet werden, ist das Verzeichnis der Bearbeitungstätigkeiten ein nützliches und einfaches Instrument, um einen Überblick über die Datenbearbeitungen im Unternehmen zu behalten. Zudem kann die Einhaltung anderer Verpflichtungen, z.B. bei der Informationspflicht oder dem Auskunftsrecht, erleichtert werden.

Allgemein dient das Verzeichnis der Transparenz über die Bearbeitung von Personendaten und der rechtlichen Absicherung des Unternehmens. Konkret werden damit zwei Zwecke verfolgt:

Einerseits ermöglicht das Verzeichnis der Bearbeitungstätigkeiten, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sich jederzeit über alle Bearbeitungen der Personendaten informieren kann. Deshalb ist das Verzeichnis auf Anfrage der Behörde bereitzustellen.

Andererseits stellt das Verzeichnis der Bearbeitungstätigkeiten die zentrale Unternehmensdokumentation dar und bildet die Grundlage, um einen Überblick über die Datenbearbeitungen im eignen Unternehmen zu erlangen. Das DSG kennt zwar im Gegensatz zur DSGVO keine allgemeine Dokumentationspflicht. Allerdings lässt sich solch eine Pflicht aus Art. 7 DSG ableiten, da der Verantwortliche sicherstellen muss, dass die Bearbeitung wie von ihm vorgesehen stattfindet und alle Datenschutzvorschriften eingehalten werden. Anhand des Verzeichnisses wird dokumentiert, ob eine Datenbearbeitung dem Grundsatz nach datenschutzkonform ausgestaltet ist oder nicht. Nur dokumentierte Prozesse lassen sich belegen.

Art. 12 Abs. 2 DSG enthält die Mindestangaben, die das Verzeichnis der Bearbeitungstätigkeiten enthalten muss. Das Verzeichnis umfasst alle Bearbeitungstätigkeiten mit Personendaten. Es enthält also beliebig viele Verfahrensbeschreibungen. In den Verfahrensbeschreibungen werden die Bearbeitungsschritte von Personendaten dokumentiert. Aus der Dokumentation muss hervorgehen, welche Personendaten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise bearbeitet und welche technisch-organisatorischen Massnahmen zum Schutz dieser Daten dabei getroffen wurden.

Hierzu empfiehlt sich eine Übersicht aller im Unternehmen eingesetzten Anwendungen und Tools (IT-Verfahren und Dateien), in denen Personendaten bearbeitet werden, zu erstellen. Typische Beispiele sind Zeiterfassungssysteme, E-Mailverarbeitungen, CRM-Systeme, Personalverwaltung und Websitebesucheranalysen.

Eine Formvorschrift gibt es nicht. Das Verzeichnis der Bearbeitungstätigkeiten kann in schriftlicher oder elektronischer Form geführt werden. Das Verzeichnis muss alle Bearbeitungstätigkeiten enthalten und aktuell sein. Die Beschreibung der Datenbearbeitungen sollte zudem so konkret erfolgen, dass sich daraus ein guter Überblick über die Arten von Daten, angewendete Sicherheitsmassnahmen und Restrisiken ergibt.

Bundesorgane müssen ihre Verzeichnisse dem EDÖB melden (Art. 12 Abs. 4 DSG). Privatunternehmen müssen im Rahmen ihrer Mitwirkungspflicht dem EDÖB ihr Verzeichnis der Bearbeitungstätigkeiten auf Anfrage vorlegen, damit dieser die Einhaltung des Datenschutzrechts kontrollieren kann (siehe Art. 49 Abs.3 DSG und Art. 50 Abs. 1 lit. a DSG).

Achtung: Betroffene Personen und Verantwortliche bzw. Auftragsverarbeiter haben kein Recht auf Einsicht in das Verzeichnis der Bearbeitungstätigkeiten.