Artikel 31 VO (EU) 2018/1725

(1) Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a)

den Namen und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten und gegebenenfalls des Auftragsverarbeiters und des gemeinsam mit ihm Verantwortlichen,

b)

die Zwecke der Verarbeitung,

c)

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

d)

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Mitgliedstaaten, Drittländern oder internationalen Organisationen,

e)

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,

f)

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

g)

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.

(2) Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a)

den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie des Datenschutzbeauftragten,

b)

die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,

c)

gegebenenfalls Übermittlungen von personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,

d)

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4) Die Organe und Einrichtungen der Union stellen das Verzeichnis auf Anfrage dem Europäischen Datenschutzbeauftragten zur Verfügung.

(5) Die Organe und Einrichtungen der Union führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Sie machen das Register öffentlich zugänglich.