Die DSGVO verpflichtet die HWR als Verantwortlichen für die Verarbeitung von personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen. Es handelt sich hierbei um eine schriftliche Dokumentation über die jeweiligen Fachverfahren, in denen personenbezogene Daten verarbeitet werden. Vor Aufnahme einer neuen Verarbeitungstätigkeit muss ein entsprechender Eintrag im Verarbeitungsverzeichnis erstellt werden.
In diesem „Verzeichnis von Verarbeitungstätigkeiten“ (Artikel 30 DSGVO bzw. §56 BlnDSG) müssen alle wesentlichen Angaben zur Datenverarbeitung aufgeführt werden. Unter anderem sind dies:
- Arten und Kategorien von Daten
- Kreis der betroffenen Personen
- Zweck der Verarbeitung
- Risiken der Verarbeitung
- Getroffene technische und organisatorische Maßnahmen
Die jeweiligen Fachverantwortlichen der HWR sind dafür zuständig, die bei ihnen stattfindenden Verarbeitungstätigkeiten zu dokumentieren und die Aktualität der Dokumentation regelmäßig zu überprüfen. Das Gesamtverzeichnis der Verarbeitungstätigkeiten wird mittels Software in der IT zentral geführt.
Zur dezentralen Erfassung der Verarbeitungstätigkeiten steht eine Webapplikation (audatis) zur Verfügung. Die Applikation führt über einen Workflow durch den Erhebungsprozess. Zu jedem Datenfeld steht eine Ausfüllhilfe zur Verfügung.