Zum Inhalt

§ 64 Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

  1. Erhebung,
  2. Veränderung,
  3. Abfrage,
  4. Offenlegung einschließlich Übermittlung,
  5. Kombination und
  6. Löschung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum, die Uhrzeit dieser Vorgänge, so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen. Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit auf Anforderung zur Verfügung zu stellen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung, die Eigenüberwachung, die Sicherstellung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

(5) Für vor dem 6. Mai 2016 eingerichtete automatisierte Verarbeitungssysteme kann die Umsetzung der Vorgaben der Absätze 1 bis 4 in Ausnahmefällen bis längstens zum 6. Mai 2023 aufgeschoben werden, wenn die technische Umsetzung mit einem unverhältnismäßigen Aufwand verbunden ist.