Gemäß Art. 30 EU-DSGVO hat jeder Verantwortliche einer Verarbeitungstätigkeit ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis ist regelmäßig (mindestens einmal jährlich) zu aktualisieren und auf Anfrage der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) als zuständiger Aufsichtsbehörde vorzulegen, damit die einzelnen Verarbeitungsvorgänge bzw. -verfahren kontrolliert werden können. Es ersetzt das bisher aus dem NDSG bekannte Verfahrensverzeichnis mit den darin enthaltenen Verfahrensbeschreibungen nach § 8 NDSG (Fassung vom 29. Januar 2002) und ist künftig nicht mehr in einen "öffentlichen" und einen "behördeninternen" Teil zu untergliedern.
Gemäß § 2 "Erweiterte Anwendung der Datenschutz-Grundverordnung" des novellierten NDSG (Fassung vom 16. Mai 2018) finden die Regelungen der Datenschutz-Grundverordnung abweichend von Art. 2 Abs. 1 EU-DSGVO grundsätzlich auch Anwendung auf die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen. Sobald personenbezogene Daten - unabhängig davon, ob es sich um Daten in elektronischer oder Papierform handelt - in einem Dateisystem gespeichert werden, muss hierfür im VVT eine entsprechende Dokumentation erfolgen.
Gemäß Art. 30 EU-DSGVO enthält das „Verarbeitungsverzeichnis“ zumindest sämtliche folgenden Angaben:
Außer zur Umsetzung dieser Verpflichtung nach Art. 30 EU-DSGVO sollte das Verarbeitungsverzeichnis gemäß den Empfehlungen der LfD zudem als Grundlage zur Erfüllung weiterer datenschutzrechtlicher Pflichten verwendet werden, z.B.:
Hierzu sollen beispielsweise einzelne Datenfelder, die Herkunft bzw. Quelle der Daten, die Rechtsgrundlage für die Verarbeitung, verantwortliche Mitarbeiter, zugriffsberechtigte Personen/Personengruppen usw. mit in die Dokumentationen der Verarbeitungstätigkeiten aufgenommen werden.
Das VVT soll künftig, nicht zuletzt aufgrund der zu erwartenden sehr hohen Zahl an anzuzeigenden und der Genehmigung unterliegenden Dokumentationen, elektronisch basiert geführt werden. Es ist geplant im Jahr 2019 ein entsprechendes System einzuführen. Bis dahin kann ein papierbasierter Entwurf als Vorbereitung bzw. zur vorläufigen Orientierung verwendet werden (siehe unten).
Die Dokumentation wird in folgende Teile untergliedert:
Sie finden (hochschulintern) einen Mustervordruck zur Dokumentation von Verarbeitungstätigkeiten im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten unter diesem Link.
Die (ebenfalls nur zum internen Gebrauch bestimmten) Ausfüllhinweise zur Dokumentation finden Sie unter diesem Link.
Das Verzeichnis von Verarbeitungstätigkeiten stellt ein zentrales und wesentliches Instrumentarium im Rahmen der Dokumentations- und Rechenschaftspflicht dar und dient u.a. auch dazu, der Datenschutz-Aufsichtsbehörde (hier: der LfD) die Möglichkeit zu bieten, "die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse" einsehen und kontrollieren zu können. Im Gegensatz zu den bisherigen Regelungen nach dem NDSG ist künftig bereits das Fehlen oder unvollständige Führen des Verarbeitungsverzeichnisses grundsätzlich bußgeldbewehrt (Art. 83 Abs. 4 a EU-DSGVO). Nach bisherigem Kenntnisstand besteht für die bisher angezeigten und genehmigten Verfahrensbeschreibungen (öffentliche Teile bisheriger Verfahrensbeschreibungen sind hier (Befragungsrunde 2007) bzw. im Informationsportal der TU Braunschweig zu finden) nach § 8 NDSG (Fassung vom 29. Januar 2002) kein Bestandsschutz, so dass jede bereits laufende oder geplante Verarbeitungstätigkeit mit personenbezogenen Daten mit Hilfe des neuen Vordrucks angezeigt bzw. ergänzt werden muss!
Für jede einzelne Verarbeitungstätigkeit ist nach Maßgabe des Art. 30 EU-DSGVO eine eigene Beschreibung anzufertigen. Dabei soll ein strenger Maßstab angelegt werden, so dass beispielsweise bereits jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden kann oder ob eine vollständig neue Beschreibung anzufertigen ist.
Als weitergehende Literatur kann diese Publikation der Bitkom herangezogen werden.