Abschnitt 1: Allgemeine Bestimmungen
§ 4 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten
(1) 1Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen Freigabe. 2In der Freigabeerklärung ist zu bestätigen, dass
die Verarbeitung im Einklang mit den Artikeln 5 und 6 der Verordnung (EU) 2016/679 erfolgt,
ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten, und
für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.
3Die Freigabe erfolgt durch den Verantwortlichen. 4Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 vereinbart werden. 5Die Freigabeerklärung ist dem Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 beizufügen.
(2) Absatz 1 Satz 1 gilt nicht für
Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht,
Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
Zimmer-, Inventar- und Softwareverzeichnisse,
Bibliothekskataloge und Fundstellenverzeichnisse oder
Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.
(3) 1Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. 2Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. 3Satz 1 gilt nicht für
Verfahren der Verfassungsschutzbehörde,
Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
Verfahren der Steuerfahndung,
soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.
Fundstelle(n):
zur Änderungsdokumentation
WAAAG-89444