Jeder Verantwortliche und gegebenen­falls sein Vertreter haben gemäß Art. 30 DSGVO ein Verzeichnis aller Verarbeitungs­tätigkeiten zu führen, die ihrer Zuständigkeit unterliegen.

Dieses Verzeichnis hat unter anderem folgende Angaben zu enthalten:

  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz.

Dieses Verarbeitungsverzeichnis ist auf Anfrage der Aufsichtsbehörde (Datenschutzbehörde) vorzulegen und kann als Nachweis für die Einhaltung der oben genannten Grundsätze dienen.