Gemäß Art. 30 DSGVO sind grundsätzlich alle Verantwortlichen aufgefordert ein Verzeichnis über alle Verarbeitungsätigkeiten zu führen, die in ihrem Unternehmen oder Verein durchgeführt werden. In diesem Verzeichnis wird dokumentiert in welchen Zusammenhang mit personenbezogenen Daten gearbeitet wird.
Beispiele
Theoretisch gibt es für Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern eine Freistellung von der Verpflichtung ein Verfahrensverzeichnis der Verarbeitungstätigkeiten anzufertigen. Diese Freistellung gilt aber nur, wenn (1) die Verarbeitung nur gelegentlich erfolgt und / oder (2) keine Verabeitung von personenbezogenen Daten besonderer Kategorien (Gesundheits-, Religionsdaten usw.) erfolgt.
Vereine die eine Mitgliederliste führen und pflegen sind somit bereits von der Freistellung ausgeschlossen.
Für Unternehmen gilt die Freistellung bereits nicht mehr, sobald beispielsweise Lohnabrechnungen durchgeführt werden, Krankentage erfasst werden, oder die Religionszugehörtigkeit zur Abführung der Kirchensteuer erfasst wird.
Das Verzeichnis von Verarbeitungstätigkeiten ist nicht öffentlich. Sie sind nicht verpflichtet einer betroffenen Person Einsicht in das Verzeichnis zu gewähren. Das Verzeichnis dient vornehmlich der eigenen Qualitätskontrolle in Ihrem Unternehmen und dient des Weiteren dazu der Aufsichtsbehörde nachzuweisen wie in Ihrem Unternehmen mit personenbezogenen Daten verahren wird.
Sie sind verpflichtet das Verzeichnis in deutscher Sprache zu führen. Ob Sie das Verzeichnis digital oder in analoger Form führen ist Ihnen überlassen.
Die bestehendes Verzeichnisse sind von Ihnen stets aktuell zu halten. Änderungen an den Verzeichnissen sollten immer dokumentiert werden. Dies können Sie beispielsweise sicherstellen, in dem Sie die alten Dokumente aufheben und Änderungen durch laufende Versionsnummern kenntlich machen. Ältere Dokumente sollten mindestens ein Jahr aufbewahrt werden.
Welche Inhalte das Verzeichnis haben muss lässt sich Art. 30 Abs. 1 DSGVO entnehmen:
Die bestehendes Verzeichnisse sind von Ihnen stets aktuell zu halten. Änderungen an den Verzeichnissen sollten immer dokumentiert werden. Dies können Sie beispielsweise sicherstellen, in dem Sie die alten Dokumente aufheben und Änderungen durch laufende Versionsnummern kenntlich machen. Ältere Dokumente sollten mindestens ein Jahr aufbewahrt werden.