Artikel 30

Verzeichnis von VerarbeitungstÀtigkeiten

(1)   Jeder Verantwortliche und gegebenenfalls sein Vertreter fĂŒhren ein Verzeichnis aller VerarbeitungstĂ€tigkeiten, die ihrer ZustĂ€ndigkeit unterliegen. Dieses Verzeichnis enthĂ€lt sĂ€mtliche folgenden Angaben:

  • a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • b) die Zwecke der Verarbeitung;
  • c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • d) die Kategorien von EmpfĂ€ngern, gegenĂŒber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich EmpfĂ€nger in DrittlĂ€ndern oder internationalen Organisationen;
  • e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten DatenĂŒbermittlungen die Dokumentierung geeigneter Garantien;
  • f) wenn möglich, die vorgesehenen Fristen fĂŒr die Löschung der verschiedenen Datenkategorien;
  • g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemĂ€ĂŸ Artikel 32 Absatz 1.
  • a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tĂ€tig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  • b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgefĂŒhrt werden;
  • c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten DatenĂŒbermittlungen die Dokumentierung geeigneter Garantien;
  • d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemĂ€ĂŸ Artikel 32 Absatz 1.
  • (3)   Das in den AbsĂ€tzen 1 und 2 genannte Verzeichnis ist schriftlich zu fĂŒhren, was auch in einem elektronischen Format erfolgen kann.
  • (4)   Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur VerfĂŒgung.
  • (5)   Die in den AbsĂ€tzen 1 und 2 genannten Pflichten gelten nicht fĂŒr Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschĂ€ftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko fĂŒr die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemĂ€ĂŸ Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten ĂŒber strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.