§ 11 Verarbeitung besonderer Kategorien personenbezogener Daten¶
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zulässig, soweit sie
- erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm beziehungsweise ihr aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen beziehungsweise ihren diesbezüglichen Pflichten nachkommen kann,
- aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen,
- für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder für die Verwaltung von Diensten im Gesundheitsbereich erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.
(2) In den Fällen des Absatzes 1 und in den weiteren Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß dieses Abschnitts sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte, Freiheiten und Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
- geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung erfolgt,
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
- Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten,
- Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
- Pseudonymisierung personenbezogener Daten,
- Verschlüsselung personenbezogener Daten,
- Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall wiederherzustellen,
- zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen,
- spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung sicherstellen.
Der Verantwortliche und der Auftragsverarbeiter sollen insbesondere die Maßnahmen gemäß Nummer 1, 4, 7, 8 und 9 treffen.