Ein auf Papier oder elektronisch geführtes Verzeichnis von Verarbeitungstätigkeiten enthält mehrere Verfahrensbeschreibungen, welche personenbezogenen Daten wann, wie und warum erhoben werden. Dieses Verzeichnis lässt sich auch als Verfahrensverzeichnis beschreiben und kann von den Datenschutzbehörden zur Vorlage verlangt werden, ansonsten ist mit einem Bußgeld zu rechnen.

Sowohl Kundendaten als auch interne Daten werden notiert. Das Verzeichnis muss fortlaufend gepflegt werden und muss zumindest in Form einer simplen Tabelle vorliegen. Eine einmalige Dokumentation ist nicht ausreichend. Sollten sich Prozesse ändern, muss dies ebenfalls im Verzeichnis aktualisiert werden.

Es sollten für jeden Arbeitsschritt folgende Punkte festgehalten werden:

  • Name des Datenschutzbeauftragten (falls dieser erforderlich ist)

  • Name und Kontaktdaten des Verantwortlichen des Verfahrens
  • Zweck der Datenaufnahme und -verarbeitung
  • Betroffene Personen der Datenerhebung (Wessen Daten sind das?)
  • Auflistung der erhobenen Daten (Welche Daten sind das?)
  • Zugriff auf diese Daten (Wer hat Zugriff? Intern? Extern? EU? Non-EU?)
  • Evtl. Art und Rechtmäßigkeit der Übermittlung an das Drittland (EU, Non-EU)
  • Rechtsgrundlage der Verarbeitung (Einwilligung der Betroffenen? gesetzliche Pflicht? etc…) Evtl. „Hohes Risiko für Rechte und Freiheiten“ der Betroffenen
  • Löschfristen der erhobenen Daten (Wann werden Daten, falls vorgesehen, gelöscht?
  • Maßnahmen zur Datenschutzgewährung (IT-Sicherheitsmaßnahmen, Zugangskontrollen etc.)