Ein Verzeichnis von Verarbeitungstätigkeiten ist eine Übersichtstabelle, die von dem Verantwortlichen oder dessen Vertreter, schriftlich oder digital erstellt und fortgeführt wird, deren Inhalt die Verarbeitung von personenbezogenen Daten im Unternehmen transparent darlegt.
Kleinere Betriebe müssen das Verzeichnis von Verarbeitungstätigkeiten in folgenden Fällen vorweisen können:
- personenbezogene Daten werden laufend verarbeitet (z.B. Bestellvorgänge)
- bei Verarbeitung besonders sensibler Daten:
rassische und ethische Herkunft, politische Meinung, religiöse und politische Meinung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, sexuelle Orientierung.
Das Verzeichnis von Verarbeitungstätigkeiten sollte folgende Informationen beinhalten:
- allgemeine Angaben zu dem Unternehmen
- Art der Verarbeitungstätigkeit
- Ansprechpartner für diese Verarbeitungstätigkeit
- Datum der Einführung der Verarbeitungstätigkeit
- Zwecke der Datenverarbeitung
- Kategorien der betroffenen Personen
- Kategorien der personenbezogenen Daten
- Kategorien von Empfängern
- Drittlandtransfer
- Löschfristen
- technische und organisatorischen Maßnahmen (TOM)
Die Dokumentation der Verarbeitungsvorgänge der personenbezogenen Daten im Unternehmen schärft das Bewusstsein des Verantwortlichen und dient als Grundlage für weitere Dokumente, die gemäß der EU DSGVO erforderlich sind, wie z.B. Verträge zur Auftragsverarbeitung oder Informationen zur Datenverarbeitung.
Bei Änderungen in den Verarbeitungsvorgängen muss das Verzeichnis aktualisiert werden.
Des Weiteren kann das Verzeichnis von Verarbeitungstätigkeiten z.B. von der Datenschutzbehörde zur Vorlage eingefordert werden. Sollte ein Unternehmen nicht in der Lage sein, ein solches Verzeichnis vorzulegen, ist mit Bußgeld zu rechnen. Kunden oder Dritten muss kein Einblick in dieses Verzeichnis gewährt werden.