(1) Im Fall einer automatisierten Verarbeitung hat der Verantwortliche auf Grundlage einer Risikobewertung nach § 34 Abs. 1 und 2 Maßnahmen zu ergreifen, die je nach Art der Daten und ihrer Verwendung geeignet sind,
- Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle),
- zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
- zu verhindern, dass personenbezogene Daten unbefugt in den Speicher eingegeben oder gespeicherte personenbezogene Daten zur Kenntnis genommen, verändert oder gelöscht werden (Speicherkontrolle),
- zu verhindern, dass Datenverarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
- zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten Zugriff haben (Zugriffskontrolle),
- zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
- zu gewährleisten, dass überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
- zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
- zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle),
- zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
- die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
- zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
- zu gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
- zu gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).
(2) In automatisierten Datenverarbeitungssystemen hat der Verantwortliche zumindest folgende Verarbeitungsvorgänge zu protokollieren:
- Erhebung,
- Veränderung,
- Abfrage,
- Offenlegung einschließlich Übermittlung,
- Kombination und
- Löschung
der personenbezogenen Daten.
(3) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identifizierung der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers solcher personenbezogenen Daten festzustellen.
(4) ¹Die Protokolldaten dürfen ausschließlich verwendet werden für
- Strafverfahren,
- die Gewährleistung der Datensicherheit oder des ordnungsgemäßen Betriebes eines Datenverarbeitungssystems,
- die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten oder durch die von dem oder der Landesbeauftragten für den Datenschutz geleitete Behörde.
²Der Verantwortliche hat die Protokolle der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde auf Anforderung zur Verfügung zu stellen. ³Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.