Laut Art. 30 DSGVO müssen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen, welches zugleich die wichtigste Datenbasis eines effektiven Datenschutzmanagements darstellt. Ob schriftlich oder elektronisch – die Art und Weise,
wie das VVT nach der DSGVO geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann zu hohen Bußgeldern führen.
Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO kann das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.