Durch die DSGVO werden Unternehmen insbesondere erhöhte Rechenschaftspflichten in Bezug auf den Datenschutz auferlegt. Relevant ist insoweit vor allem die Dokumentation von Datenverarbeitungen und Maßnahmen zur Wahrung des Datenschutzes.
Einen Spezialfall zur Umsetzung der sog. Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO stellt die Vorschrift des Art. 30 DSGVO dar, die die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten (im Folgenden: VVT) regelt, das heißt aller datenschutzrechtlich relevanten Vorgänge im Unternehmen. Art. 30 Abs. 1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Insbesondere müssen ferner Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten und zu Empfängern bzw. Empfängerkategorien enthalten sein. Zudem sind Übermittlungen von personenbezogenen Daten an Drittländer zu dokumentieren, Angaben zu Löschfristen vorzunehmen sowie technische und organisatorische Maßnahmen zu benennen.
Das VVT ist schriftlich oder elektronisch aufzusetzen und den Aufsichtsbehörden auf Anfrage vorzulegen. Unternehmen sollten sich auf Grund Umfang und Komplexität der Anforderungen bei der Erstellung und Pflege des VVTs Rechtsrat einholen und sich diesbezüglich an den Behördenhinweisen zur Erstellung des VVT orientieren.