Abschnitt 3: Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

Unterabschnitt 4: Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 52 Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

1. Erhebung,

2. Veränderung,

3. Abfrage,

4. Offenlegung einschließlich Übermittlung,

5. Kombination und

6. Löschung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

(3)  ¹Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten und die betroffene Person sowie für die Eigenüberwachung und für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten verwendet werden. ²Die Protokolle dürfen für Straf- und Ordnungswidrigkeitenverfahren verwendet werden, wenn dies durch Rechtsvorschrift geregelt ist.

(4) Soweit durch Gesetz nichts anderes geregelt ist, sind die Protokolldaten am Ende des auf deren Generierung folgenden Jahres zu löschen.

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Landesbeauftragten auf Anforderung zur Verfügung zu stellen.

(6) Für vor dem 6. Mai 2016 eingerichtete automatisierte Verarbeitungssysteme kann bis zum 6. Mai 2023 von Absatz 1 und 2 abgewichen werden, soweit die Umsetzung mit einem unverhältnismäßigen Aufwand verbunden wäre.