Neben kleineren Abweichungen bzgl. des Inhaltes des Verzeichnisses gibt es im Vergleich zum BDSG in Art. 30 DS-GVO darüber hinaus einige Unterscheidungen bzgl. der Rahmenbedingungen. Die wesentlichen Unterschiede sollen im Nachfolgenden dargestellt werden:
Hinsichtlich der Auftragsdatenverarbeitung fordert(e) das BDSG einen schriftlichen Auftrag bzw. eine entsprechende "Regelung" (vgl. § 11 Abs. 2 BDSG). Unabhängig vom Wortlaut wurden in der Praxis überwiegend ADV-Verträge abgeschlossen. Die europäische DS-GVO verlangt nunmehr explizit einen Vertrag. Die DS-GVO fordert in Art. 30, dass in dem Verzeichnis alle Verarbeitungstätigkeiten aufgeführt werden müssen, die im Verantwortlichkeits- bzw. dem Zuständigkeitsbereich des Verantwortlichen liegen. Das BDSG forderte hingegen in § 4 e, dass nur meldepflichtige, automatisierte Verfahren zu dokumentieren sind. D. h. die Dokumentationsanforderungen der DS-GVO sind nun deutlich weiter gefasst als die Anforderungen des BDSG.
Das BDSG enthält in § 4d Abs. 5 S.2 Ausnahmetatbestände, wann ein Verfahrensverzeichnis nicht angelegt werden braucht. Diese Ausnahmetatbestände sind:
eine gesetzliche Verpflichtung (zur Verarbeitung) liegt vor
eine (wirksame) Einwilligung des Betroffenen in die Datenverarbeitung liegt vor
die Erhebung, Verarbeitung oder Nutzung ist für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich.
Die DS-GVO kennt diese Ausnahmetatbestände nicht.
Die Anforderungen des BDSG – und damit auch das Führen eines Verfahrensverzeichnisses - sind von allen Unternehmen, für die das BDSG gilt, zu erfüllen. Art. 30 Abs. 5 DS-GVO befreit Unternehmen von der Pflicht zum Führen eines Tätigkeitsverzeichnisses unter folgenden Umständen:
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, brauchen kein Verzeichnis führen, sofern
die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
die Verarbeitung nicht nur gelegentlich erfolgt oder
die Verarbeitung nicht besondere Datenkategorien gemäß Artikel 9 Absatz 1 bzw.
die Verarbeitung nicht personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
Das BDSG sieht grundsätzlich ein fehlendes Verfahrensverzeichnis nicht als bußgeldbewährte Ordnungswidrigkeit an. Vielmehr konnte nur eine fehlende Meldung entsprechend § 4d Abs. 1 BDSG sanktioniert werden. Da jedoch diese Meldepflicht entfiel, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellte, war diese Sanktionsmöglichkeit für die meisten Unternehmen irrelevant, da die meisten Unternehmen einen Datenschutzbeauftragten bestellt haben.
Im Gegensatz zum BDSG sieht jedoch Art. 83 Abs. 4 lit. a DS-GVO ein Bußgeld von bis zu 10.000.000 Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) vor, wenn kein den Anforderungen der DS-GVO entsprechendes Verzeichnis existiert!