Sächsisches Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 (Sächsisches Datenschutz-Umsetzungsgesetz - SächsDSUG)
Abschnitt 4 – Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 26 SächsDSUG – Verzeichnis von Verarbeitungstätigkeiten
(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Tätigkeiten der Verarbeitungen zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat folgende Angaben zu enthalten:
- 1.
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten,
- 2.
die Zwecke der Verarbeitung,
- 3.
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
- 4.
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- 5.
gegebenenfalls die Verwendung von Profiling,
- 6.
gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
- 7.
Angaben über die Rechtsgrundlage der Verarbeitung,
- 8.
die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
- 9.
eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 20.
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt. Dieses Verzeichnis hat Folgendes zu enthalten:
- 1.
den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, und gegebenenfalls des Datenschutzbeauftragten,
- 2.
gegebenenfalls Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Drittstaates oder der internationalen Organisation und
- 3.
eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 20.
(3) Die Verzeichnisse nach den Absätzen 1 und 2 sind nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten und für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, zu führen. Die Verzeichnisse sind schriftlich oder elektronisch zu führen.
(4) Der Verantwortliche und der Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse dem Sächsischen Datenschutzbeauftragten zur Verfügung zu stellen.