HDSIG § 65

Dritter Teil: Bestimmungen für Verarbeitungen zu Zwecken nach Artikel 1 Absatz 1 der Richtlinie (EU) Nr. 2016/680

Vierter Abschnitt: Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 65 Verzeichnis von Verarbeitungstätigkeiten

(1)  1Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. 2Dieses Verzeichnis hat die folgenden Angaben zu enthalten:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie der oder des Datenschutzbeauftragten,

  2. die Zwecke der Verarbeitung,

  3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen, einschließlich Empfängern in Drittländern oder internationalen Organisationen,

  4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

  5. gegebenenfalls die Verwendung von Profiling,

  6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation,

  7. Angaben über die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind,

  8. wenn möglich, die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und

  9. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 59.

(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:

  1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls die Kontaktdaten der oder des Datenschutzbeauftragten,

  2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,

  3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, wenn vom Verantwortlichen entsprechend angewiesen, unter Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und

  4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 59.

(3) Die in den Abs. 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.

(4) Verantwortliche und Auftragsverarbeiter haben auf Anfrage ihre Verzeichnisse der oder dem Hessischen Datenschutzbeauftragten zur Verfügung zu stellen.

Fundstelle(n):
zur Änderungsdokumentation
LAAAG-89452