§ 26 Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung¶
(1) Soweit die Verarbeitung personenbezogener Daten automatisiert erfolgt, hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Maßnahmen zu ergreifen, die gewährleisten, dass
- personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können,
- festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat,
- die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können und
- bei der Bereitstellung personenbezogener Daten eine Trennung der Daten nach den jeweils verfolgten Zwecken und betroffenen Personen möglich ist.
(2) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und in einem Datenschutzkonzept zu dokumentieren. Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen.
(3) Werden Systeme und Dienste, die für Verarbeitungen nach Absatz 1 genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung erforderlichen personenbezogenen Daten zugegriffen werden kann. Diese Maßnahmen müssen insbesondere Folgendes gewährleisten:
- die Wartung darf nur durch autorisiertes Personal erfolgen,
- jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,
- die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern und
- es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können.
Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Verordnung (EU) 2016/679 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des Artikels 45 oder 46 der Verordnung (EU) 2016/679 vorliegen.
(4) Die Regelungen der Verordnung (EU) 2016/679 werden durch die Absätze 1 bis 3 nicht eingeschränkt.