(1)Die Mitgliedstaaten sehen vor, dass jeder Verantwortliche ein Verzeichnis aller Kategorien von Tätigkeiten der Verarbeitung, die seiner Zuständigkeit unterliegen, führt. Dieses Verzeichnis enthält alle der folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen, gegebenenfalls des gemeinsam mit ihm Verantwortlichen und eines etwaigen Datenschutzbeauftragten, b) die Zwecke der Verarbeitung, c) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen, d) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, e) gegebenenfalls die Verwendung von Profiling, f) gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation, g) Angaben über die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind, h) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Kategorien personenbezogener Daten, i) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 29 Absatz 1.
(2)Die Mitgliedstaaten sehen vor, dass jeder Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führt, die Folgendes enthält: a) Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines etwaigen Datenschutzbeauftragten, b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, wenn vom Verantwortlichen entsprechend angewiesen, einschließlich der Identifizierung des Drittlandes oder der internationalen Organisation, d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 29 Absatz 1.
(3)Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Der Verantwortliche und der Auftragsverarbeiter stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 06.02.2025
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
