(1)    Die Mit­glied­staa­ten sehen vor, dass jeder Ver­ant­wort­li­che ein Ver­zeich­nis aller Ka­te­go­rien von Tä­tig­kei­ten der Ver­ar­bei­tung, die sei­ner Zu­stän­dig­keit un­ter­lie­gen, führt. Die­ses Ver­zeich­nis ent­hält alle der fol­gen­den An­ga­ben:

a)    den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen, ge­ge­be­nen­falls des ge­mein­sam mit ihm Ver­ant­wort­li­chen und eines et­wa­igen Da­ten­schutz­be­auf­trag­ten,
b)    die Zwe­cke der Ver­ar­bei­tung,
c)    die Ka­te­go­rien von Emp­fän­gern, ge­gen­über denen die per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt wor­den sind oder noch of­fen­ge­legt wer­den, ein­schließ­lich Emp­fän­gern in Dritt­län­dern oder in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen,
d)    eine Be­schrei­bung der Ka­te­go­rien be­trof­fe­ner Per­so­nen und der Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten,
e)    ge­ge­be­nen­falls die Ver­wen­dung von Pro­fi­ling,
f)    ge­ge­be­nen­falls die Ka­te­go­rien von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an ein Dritt­land oder an eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on,
g)    An­ga­ben über die Rechts­grund­la­ge der Ver­ar­bei­tung, ein­schließ­lich der Über­mitt­lun­gen, für die die per­so­nen­be­zo­ge­nen Daten be­stimmt sind,
h)    wenn mög­lich, die vor­ge­se­he­nen Fris­ten für die Lö­schung der ver­schie­de­nen Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten,
i)    wenn mög­lich, eine all­ge­mei­ne Be­schrei­bung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men gemäß Ar­ti­kel 29 Ab­satz 1.

(2)    Die Mit­glied­staa­ten sehen vor, dass jeder Auf­trags­ver­ar­bei­ter ein Ver­zeich­nis zu allen Ka­te­go­rien von im Auf­trag eines Ver­ant­wort­li­chen durch­ge­führ­ten Tä­tig­kei­ten der Ver­ar­bei­tung führt, die Fol­gen­des ent­hält:

a)    Name und Kon­takt­da­ten des Auf­trags­ver­ar­bei­ters oder der Auf­trags­ver­ar­bei­ter, jedes Ver­ant­wort­li­chen, in des­sen Auf­trag der Auf­trags­ver­ar­bei­ter tätig ist, sowie eines et­wa­igen Da­ten­schutz­be­auf­trag­ten,
b)    die Ka­te­go­rien von Ver­ar­bei­tun­gen, die im Auf­trag jedes Ver­ant­wort­li­chen durch­ge­führt wer­den,
c)    ge­ge­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on, wenn vom Ver­ant­wort­li­chen ent­spre­chend an­ge­wie­sen, ein­schließ­lich der Iden­ti­fi­zie­rung des Dritt­lan­des oder der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on,
d)    wenn mög­lich, eine all­ge­mei­ne Be­schrei­bung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men gemäß Ar­ti­kel 29 Ab­satz 1.

(3)    Das in den Ab­sät­zen 1 und 2 ge­nann­te Ver­zeich­nis ist schrift­lich zu füh­ren, was auch in einem elek­tro­ni­schen For­mat er­fol­gen kann. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter stel­len der Auf­sichts­be­hör­de das Ver­zeich­nis auf An­fra­ge zur Ver­fü­gung.

Ar­ti­kel 23         In­halt          Ar­ti­kel 25