Artikel 30

Verzeichnis von Verar­bei­tungs­tä­tig­keiten


  1. 1Jeder Verant­wort­liche und gegebe­nen­falls sein Vertreter führen ein Verzeichnis aller Verar­bei­tungs­tä­tig­keiten, die ihrer Zustän­digkeit unter­liegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:
    1. den Namen und die Kontakt­daten des Verant­wort­lichen und gegebe­nen­falls des gemeinsam mit ihm Verant­wort­lichen, des Vertreters des Verant­wort­lichen sowie eines etwaigen Daten­schutz­be­auf­tragten;
    2. die Zwecke der Verar­beitung;
    3. eine Beschreibung der Kategorien betrof­fener Personen und der Kategorien perso­nen­be­zo­gener Daten;
    4. die Kategorien von Empfängern, gegenüber denen die perso­nen­be­zo­genen Daten offen­gelegt worden sind oder noch offen­gelegt werden, einschließlich Empfänger in Dritt­ländern oder inter­na­tio­nalen Organi­sa­tionen;
    5. gegebe­nen­falls Übermitt­lungen von perso­nen­be­zo­genen Daten an ein Drittland oder an eine inter­na­tionale Organi­sation, einschließlich der Angabe des betref­fenden Dritt­lands oder der betref­fenden inter­na­tio­nalen Organi­sation, sowie bei den in Artikel 49 Absatz 1 Unter­absatz 2 genannten Daten­über­mitt­lungen die Dokumen­tierung geeig­neter Garantien;
    6. wenn möglich, die vorge­se­henen Fristen für die Löschung der verschie­denen Daten­ka­te­gorien;
    7. wenn möglich, eine allge­meine Beschreibung der techni­schen und organi­sa­to­ri­schen Maßnahmen gemäß Artikel 32 Absatz 1.
  2. Jeder Auftrags­ver­ar­beiter und gegebe­nen­falls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verant­wort­lichen durch­ge­führten Tätig­keiten der Verar­beitung, die Folgendes enthält:
    1. den Namen und die Kontakt­daten des Auftrags­ver­ar­beiters oder der Auftrags­ver­ar­beiter und jedes Verant­wort­lichen, in dessen Auftrag der Auftrags­ver­ar­beiter tätig ist, sowie gegebe­nen­falls des Vertreters des Verant­wort­lichen oder des Auftrags­ver­ar­beiters und eines etwaigen Daten­schutz­be­auf­tragten;
    2. die Kategorien von Verar­bei­tungen, die im Auftrag jedes Verant­wort­lichen durch­ge­führt werden;
    3. gegebe­nen­falls Übermitt­lungen von perso­nen­be­zo­genen Daten an ein Drittland oder an eine inter­na­tionale Organi­sation, einschließlich der Angabe des betref­fenden Dritt­lands oder der betref­fenden inter­na­tio­nalen Organi­sation, sowie bei den in Artikel 49 Absatz 1 Unter­absatz 2 genannten Daten­über­mitt­lungen die Dokumen­tierung geeig­neter Garantien;
    4. wenn möglich, eine allge­meine Beschreibung der techni­schen und organi­sa­to­ri­schen Maßnahmen gemäß Artikel 32 Absatz 1.
  3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektro­ni­schen Format erfolgen kann.
  4. Der Verant­wort­liche oder der Auftrags­ver­ar­beiter sowie gegebe­nen­falls der Vertreter des Verant­wort­lichen oder des Auftrags­ver­ar­beiters stellen der Aufsichts­be­hörde das Verzeichnis auf Anfrage zur Verfügung.
  5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unter­nehmen oder Einrich­tungen, die weniger als 250 Mitar­beiter beschäf­tigen, es sei denn die von ihnen vorge­nommene Verar­beitung birgt ein Risiko für die Rechte und Freiheiten der betrof­fenen Personen, die Verar­beitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verar­beitung beson­derer Daten­ka­te­gorien gemäß Artikel 9 Absatz 1 bzw. die Verar­beitung von perso­nen­be­zo­genen Daten über straf­recht­liche Verur­tei­lungen und Straf­taten im Sinne des Artikels 10.

←Art. 29 DSGVO | Art. 31 DSGVO

DSGVO Inhalts­ver­zeichnis