(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie der oder des Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen, einschließlich Empfängern in Drittländern oder internationalen Organisationen,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- gegebenenfalls die Verwendung von Profiling,
- gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation,
- Angaben über die Rechtsgrundlage der Verarbeitung, einschließlich der Übermittlungen, für die die personenbezogenen Daten bestimmt sind,
- wenn möglich, die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 59.
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
- den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls die Kontaktdaten der oder des Datenschutzbeauftragten,
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, wenn vom Verantwortlichen entsprechend angewiesen, unter Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 59.
(3) Die in den Abs. 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.
(4) Verantwortliche und Auftragsverarbeiter haben auf Anfrage ihre Verzeichnisse der oder dem Hessischen Datenschutzbeauftragten zur Verfügung zu stellen.