Die DSGVO beschreibt in ErwG 13 das Ziel, dass Kleinstunternehmen und kleine und mittlere Unternehmen von der Regulierung nicht so stark betroffen sein sollen.

Von der Verpflichtung zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten sind ausgenommen (siehe Art. 30 Abs 5 DSGVO):

Organisationen / Unternehmen (gleich ob Verantwortliche oder Auftragsdatenverarbeiter) die verpflichtet sind, ein VV zu erstellen und zu führen:

mehr als 250 Mitarbeiter -> jedenfalls ein VV zu erstellen

weniger als 250 Mitarbeiter,

der Verarbeitungen durchführt, die

• nicht nur gelegentlich erfolgen;
• ein Risiko für Rechte und Freiheiten der betroffenen Personen darstellen können oder
• besondere Kategorien von personenbezogenen Daten (Art. 9-Daten) oder strafrechtlich relevante Daten (Art. 10-Daten) betreffen

Aufgrund der Tatsache, dass die Verpflichtung alle Organisationen trifft, die personenbezogene Daten natürlicher Personen nicht nur gelegentlich (not occasional) verarbeiten, wird nahezu jedes Unternehmen und jede sonstige Organisation ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und auch auf aktuellem Stand zu halten haben, sofern sich die anzugebenden Inhalte ändern.

Prämisse:

Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

Wie kommt man zu dieser Schlussfolgerung?

Das deutsche BDSG kennt ein sog. Verfahrensverzeichnis. Ein "Verfahren" ist ein Bündel von Verarbeitungen, die über eine vom Verantwortlichen definierte Zweckbestimmung verbunden sind (Begründung zu Art. 18 RL 95/46/EG Datenschutzrichtlinie).

Nach dem österreichischen DSG sind sog. Datenanwendungen uU meldepflichtig und die Formulare des DVR oder auch die Vorlagen der StMV 2004 sind vielen bekannt. 

Der Begriff "Verarbeitungstätigkeiten" ist in der DSGVO nicht definiert. Der englische Text enthält den Begriff "records of processing activities". 

Ausgehend davon, dass Daten in "Datenanwendungen" (siehe z.B. § 4 Z 7 DSG) verarbeitet werden, kann man den Schluss ziehen, dass nach österreichischer Sichtweise es sich um ein Verzeichnis von Datenawendungen handelt.

Auf der Seite der Datenschutzbehörde findet man dazu:

"Eine Datenanwendung dient einem bestimmten Zweck und ist dabei nicht notwendigerweise identisch mit einem bestimmten Programm. Es ist zum Beispiel möglich, eine Datenanwendung "Personalverwaltung" zu führen. Es ist dabei [...] unbedeutend, ob das Unternehmen ein Softwarepaket für die Personalverwaltung benützt oder getrennte Programme für Lohnbuchhaltung und Zeitverwaltung einsetzt."

In der DSGVO ist in Art 4 Z 2 eine Definition von "Verarbeitung" enthalten:

1. Im Sinne dieser Verordnung bezeichnet der Ausdruck
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Fazit:

Eine "Verarbeitungstätigkeit" iSd Art 30 DSGVO ist die Tätigkeit, Verarbeitungen iSd Art 4 Z 2 DSGVO durchzuführen, und bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten verwenden.

• Beschreibung des Verantwortlichen / Dienstleisters
• Informationen zum Datenschutzbeauftragten
• Zweck der Verarbeitung
• Kategorien der betroffenen Personen
• Kategorien der personenbezogenen Daten
• Kategorien der Empfängerkreise
• Löschungsroutine
• Beschreibung der technischen und organistorischen Maßnahmen gem. Art. 32 Abs 1 DSGVO (Datensicherheitsmaßnahmen)