Zum Inhalt

§ 31 Verzeichnis von Verarbeitungstätigkeiten

(1) 1Jede verantwortliche Stelle führt ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält folgende Angaben:

  1. den Namen und die Kontaktdaten der verantwortlichen Stelle und gegebenenfalls der gemeinsam mit ihr verantwortlichen Stelle sowie gegebenenfalls der oder des örtlich Beauftragten;

  2. die Zwecke der Verarbeitung;

  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

  4. gegebenenfalls die Verwendung von Profiling;

  5. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen;

  6. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe der dort getroffenen geeigneten Garantien;

  7. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

  8. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 27.

(2) Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag einer verantwortlichen Stelle durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:

  1. den Namen und die Kontaktdaten der Auftragsverarbeiter und jeder verantwortlichen Stelle, in deren Auftrag der Auftragsverarbeiter tätig ist, sowie der örtlich Beauftragten;

  2. die Kategorien von Verarbeitungen, die im Auftrag jeder verantwortlichen Stelle durchgeführt werden;

  3. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe der dort getroffenen geeigneten Garantien;

  4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 27.

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich oder elektronisch zu führen.

(4) Verantwortliche Stellen und Auftragsverarbeiter stellen der Aufsichtsbehörde die Verzeichnisse auf Anfrage zur Verfügung.

(5) 1Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für verantwortliche Stellen, die weniger als 250 Beschäftigte haben. 2Kirchliche Stellen, die weniger als 250 Beschäftigte haben, erstellen Verzeichnisse nach Absatz 1 und 2 nur hinsichtlich der Verfahren, die die Verarbeitung besonderer Kategorien personenbezogener Daten einschließen.

(6) Das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der gliedkirchlichen Zusammenschlüsse kann vorsehen, dass für einheitliche Verfahren das Verzeichnis zentral geführt wird.