(1) Jede und jeder Verantwortliche ist verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.
(2) Dieses Verzeichnis hat sämtliche folgende Angaben zu enthalten:
1. Name, Anschrift und Kontaktdaten der oder des Verantwortlichen, sowie Kontaktdaten eines/einer benannten Datenschutzbeauftragten;
2. Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung der Stelle berufene Leiter,
3. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, sowie die Rechtsgrundlage der Datenverarbeitung
4. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
5. Empfängerinnen oder Empfänger oder Kategorien von Empfängerinnen oder Empfängern, denen die Daten mitgeteilt werden können,
6. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
7. eine geplante Datenübermittlung ins ein Drittland oder an eine internationale Organisation,
8. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 26 dieser Verordnung zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind,
9. zugriffsberechtigte Personen oder Personengruppen.
(3) Jede Auftragsverarbeiterin oder jeder Auftragsverarbeiter und gegebenenfalls seine Vertreterin oder sein
Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag einer oder eines Verantwortlichen durchgeführten
Tätigkeiten der Verarbeitung, die Folgendes enthält:
1. den Namen und die Kontaktdaten der Auftragsverarbeiterin oder des Auftragsverarbeiters oder der Auftragsverarbeiterinnen
oder Auftragsverarbeiter und jeder oder jedes Verantwortlichen, in deren oder dessen Auftrag die Auftragsverarbeiterin oder der Auftragsverarbeiter tätig ist, sowie gegebenenfalls der Vertreterin oder des Vertreters der oder des Verantwortlichen oder der Auftragsverarbeiterin oder des Auftragsverarbeiters und einer oder eines etwaigen Datenschutzbeauftragten;
2. die Kategorien von Verarbeitungen, die im Auftrag jeder oder jedes Verantwortlichen durchgeführt werden;
3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 26 dieser Verordnung.
(4) Das in den Absätzen 1 und 2 genannte Verzeichnis ist in Textform oder schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(5) Die oder der Verantwortliche oder der Auftragsverarbeiter stellen der Datenschutzaufsicht das Verzeichnis auf Anfrage zur Verfügung.
