Für die interne Datenschutzkontrolle und die Kontrolle durch die Aufsichtsbehörden ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Geregelt ist das genannte Verzeichnis in Artikel 30 DSGVO und dort in Absatz 1 für den Verantwortlichen und in Absatz 2 für den Auftragsverarbeiter.

Kurz gesagt sind in das Verzeichnis alle Tätigkeiten des Unternehmens oder des Selbständigen aufzunehmen, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen. Der Onlinehändler erfasst hier zum Beispeil, dass er Angebote erstelllt, Aufträge bestätigt, Bestellungen ausführt und Reklamationen bearbeitet; die Verarbeitungstätigkeiten lauten dann im Verzeichnis "Angebotserstellung", "Auftragsbestätigung", "Lieferung" usw. usw.

Zu jeder Verarbeitungstätigkeit sind im Falle des Absatzes 1 (Verzeichnis des Verantwortlichen) die Zwecke zu erfassen, sowie die Kategorien der betroffenen Personen und die verarbeiteten personenbezogenen Daten. Weiterhin sind die internen und externen Empfänger zu benennen, also z.B. intern die befassten Abteilungen bzw. Mitarbeiter und extern die Auftragsverarbeiter und anzugeben, ob eine Verarbeitung in einem Drittland erfolgt und wenn möglich die Fristen für die Löschung der personenbezogenen Daten.

Für das Beispiel des Onlinehändlers könnte die Verarbeitungstätigkeit "Lieferung" folgendermaßen aufgelistet werden:

Verarbeitungstätigkeit: Auslieferung Ware

Zweck: Ausführung der Bestellung, Erfüllung des Kauf-/Liefervertrages

Empfänger intern: Geschäftsführer, Mitarbeiter Kundendienst und Warenlager

Empfänger extern: Transportunternehmen

Eine Datenübetragung in ein Drittland ist nicht geplant.

Löschfristen: Wir löschen verarbeitete personenbezogene Daten, sobald diese für die jeweiligen Zwecke nicht länger benötigt werden. Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden sie regelmäßig gelöscht, soweit nicht ihre - befristete - Aufbewahrung weiterhin notwendig ist, insbesondere zur Erfüllung gesetzlicher Aufbewahrungsfristen von bis zu zehn Jahren (u.a. aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz) oder zum Erhalt von Beweismitteln für rechtliche Auseinandersetzungen im Rahmen der gesetzlichen Verjährungsfristen von bis zu 30 Jahren, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

So ist für alle Verarbeitungstätigkeiten zu verfahren. Die Tätigkeiten können, wie in unserem Beispiel, den Kernprozessen eines Unternehmens oder eines Selbständigen entstammen oder aber auch den Sekundärprozessen, die bei nahezu allen Firmen ausgeführt werden, wie beispielsweise Personal (Bewerbung, Anstellung, Beendigung usw.) oder die IT-Infrastruktur.

In einer Art Vorblatt oder wie auch immer vor die Klammer gezogen, müssen Angaben zum Verantwortlichen gemacht werden (Kontaktdaten etc.) und ein etwaig bestellter  Datenschutzbeauftragten verzeichnet werden.

Auch die Angaben der technisch-organisatorischen Maßnahmen, die Artikel 30 Absatz 1 Buchstabe g DSGVO für den Verantwortlichen und Absatz 2 Buchstabe d DSGVO für den Auftragsverarbeiter verlangen, können "vor die Klammer" gezogen werden. Diese Maßnahmen gelten in der Regel für alle Verarbeitungstätigkeiten und müssen nicht bei jeder Tätigkeit einzeln aufgeführt werden.

Die Form des Verzeichnisses ist frei wählbar. In der Praxis werden hier oft Excellisten genutzt. Ich persönlich bin kein großer Freund solcher Excellisten, da sie schwer zu lesen sind. Bedenken Sie immer den Sinn und Zweck eines Verzeichnisses gemäß Artikel 30 DSGVO: Die Vorlage bei einer Aufsichtsbehörde. Hier wollen Sie den Prüfer doch nicht schon beim ersten Eindruck nerven, wenn er sich durch kleinteilige, unübersichtliche Exelfelder quälen muss. Wählen Sie ein ansprechend layoutetes Dokument, erstellt mit der Textverarbeitung in einer gefälligen, vor allen Dingen übersichtlichen Tabelle. Aber letztlich ist die Form, wie so oft, Geschmackssache.