Ein zu beschreibender Verarbeitungsvorgang besteht normalerweise aus einer Vielzahl von Einzelprozessen, kann dadurch mehrere unterschiedliche Softwareprogramme umfassen.
Das Verarbeitungsverzeichnis dient der Dokumentation aller Verarbeitungsvorgänge mit personenbezogenen Daten.
Es dokumentiert Zweck der Verarbeitung, Art der Daten, definiert betroffene Personen, hält Löschfristen fest. Ein besonderer Augenmerk ist dabei auf die Sicherheitsmaßnahmen zur Datensicherheit und zum Datenschutz (TOM: technisch-organisatorische Maßnahmen) zu legen.
Es dient intern den Datenschutzbeauftragten als Informationsquelle bei Datenpannen oder Auskunftsersuchen. Bei einer Kontrolle durch die Aufsichtsbehörde ist das Verzeichnis vorzulegen.
Das Verzeichnis ist mindestens einmal jährlich auf Veränderungen zu überprüfen (Revision). Die Änderungen sind zu dokumentieren.
Im Unterschied zum bisherigen Verfahrensverzeichnis erfolgt die Beschreibung nicht mehr software- oder it-technisch bezogen, sondern prozessorientiert.
Beispiele für mögliche Verzeichnisse:
Das Verarbeitungsverzeichnis wird vom Verantwortlichen erstellt.
Verantwortlicher:
Verantwortlich ist derjenige, der über Zweck und Mittel entscheidet. Der Verantwortliche hat zu gewährleisten, dass die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung eingehalten werden und die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich rechtmäßig erfolgt. Er muss die Einhaltung der Verarbeitungsgrundsätze nachweisen können (u.a. durch das Verarbeitungsverzeichnis).(vgl. auch: BayLFD zu Verantwortlichkeit und Auftragsverarbeitung)
Mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sind keinesfalls alle von der DS-GVO geforderten Dokumentationspflichten erfüllt. Das Verzeichnis ist nur ein Baustein, um der in Art. 5 Abs. 2 DS-GVO normierten Rechenschaftspflicht zu genügen. So müssen bspw. auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1 DS-GVO), die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1 DS-GVO) und das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7 DS-GVO) durch entsprechende Dokumentationen nachgewiesen werden.
Um Redundanzen zu vermeiden und den Aufwand für die Erstellung und Führung des Verzeichnisses zu reduzieren, können in die einzelnen Beschreibungen Verweise auf bestehende Dokumente aufgenommen werden, insbesondere solche, die im Rahmen des Informationssicherheitsmanagements angelegt wurden, ohne dass diese in das Verzeichnis übernommen werden müssen. So wird bspw. ein unternehmens- oder behördenweites Informationssicherheitsrahmenkonzept nur einmal erstellt werden. In verfahrensspezifische Konzepte sind dann nur noch zusätzliche oder abweichende technische und organisatorische Maßnahmen aufzunehmen. (NRW-LDI: Hinweise zum Verzeichnis von Verarbeitungstätigkeiten)
Neben der DSGVO gibt es eine Vielzahl von möglichen Rechtsgrundlagen:
Thüringer Gesetz zur Abmilderung der Folgen der Corona-Pandemie im Hochschulbereich (ThürCorHG) vom 23. März 2021