Zu den Verpflichtungen des Verantwortlichen zählt als Erstes das Verfassen eines Verzeichnisses von Verarbeitungstätigkeiten. Der erste Schritt besteht also darin, die verschiedenen Verarbeitungstätigkeiten von personenbezogenen Daten zu identifizieren und zu erfassen. Die Ausarbeitung eines Verzeichnisses erlaubt es Ihnen, eine Bestandsaufnahme der Verarbeitungen zu vollziehen. Prinzipiell müssen alle Vereine ein solches Verzeichnis für sich wiederholende Verarbeitungen erstellen (wie zum Beispiel die Aktualisierung der Mitgliedslisten, die Verwaltung der Mitgliedsbeiträge, die Erneuerung der Internetseite, gegebenenfalls die Einschreibung zu Wettkämpfen, usw.). Es ist nicht notwendig, die gelegentlichen Verarbeitungstätigkeiten zu erwähnen.
Identifizieren Sie also jene Aktivitäten, die das Erheben und Verarbeiten von personenbezogenen Daten benötigen und erstellen Sie je nach Zweck eine Liste mit allen Aktivitäten. Generell werden Daten von Vereinen für folgende Zwecke erhoben: administrative Verwaltung der Mitglieder, Verwaltung der Internetseite, Verschicken von Newsletter, Verwaltung der Lieferanten, Verwaltung der Beiträge, Buchführung, Verwaltung der „VIP“ Kontaktlisten um Einladungen zu Veranstaltungen zu verschicken. Sollte ein Verein zusätzlichen Aktivitäten nachgehen, so können Daten für andere Zwecke erfasst werden, wie zum Beispiel die Verwaltung im Personalbereich, die Dopingbekämpfung oder die Verwaltung der sportmedizinischen Betreuung.
Jedes Arbeitsblatt (oder eine Zeile pro Verarbeitung und pro Zweckbestimmung) sollte vor allem Folgendes spezifizieren:
- das verfolgte Ziel (der Zweck der Verarbeitung – siehe die obenstehenden Beispiele);
- die Kategorien betroffener Personen (z.B.: alle Lizenzinhaber);
- die Kategorien personenbezogener Daten (z.B. für die Lizenzinhaber: Name, Vorname, Postadresse, E-Mail-Adresse und Geburtsdatum; aufgepasst: das Verzeichnis soll nur Kategorien von Daten enthalten und auf keinen Fall die Daten selbst);
- die Kategorien von Empfängern (ein Buchhalter, ein Ministerium, der Veranstalter eines Sportturniers, usw.);
- die Aufbewahrungsdauer der Daten (Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; dies muss von Fall zu Fall analysiert werden);
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation.
Ein Muster eines Verzeichnisses mit konkreten Beispielen befindet sich im Anhang. Dieses Muster muss an die Aktivitäten und Zweckbestimmungen der Datenverarbeitungen eines Vereins angepasst werden.