Aller au contenu

§ 4 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten

(1) Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen Freigabe. In der Freigabeerklärung ist zu bestätigen, dass

  1. die Verarbeitung im Einklang mit den Artikeln 5 und 6 der Verordnung (EU) 2016/679 erfolgt,
  2. ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten, und
  3. für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.

Die Freigabe erfolgt durch den Verantwortlichen. Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 vereinbart werden. Die Freigabeerklärung ist dem Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 beizufügen.

(2) Absatz 1 Satz 1 gilt nicht für

  1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht,
  2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
  3. Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
  4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
  5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
  6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
  7. Zimmer-, Inventar- und Softwareverzeichnisse,
  8. Bibliothekskataloge und Fundstellenverzeichnisse oder
  9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.

(3) Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Satz 1 gilt nicht für

  1. Verfahren der Verfassungsschutzbehörde,
  2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
  3. Verfahren der Steuerfahndung,

soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.