26 BlnDSG Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung — Specific technical and organisational measures to ensure lawful processing

German Original (Official) Version

§ 26 BlnDSG Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung

  1. Soweit die Verarbeitung personenbezogener Daten automatisiert erfolgt, hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Maßnahmen zu ergreifen, die gewährleisten, dass
    1. personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können,
    2. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat,
    3. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können und
    4. bei der Bereitstellung personenbezogener Daten eine Trennung der Daten nach den jeweils verfolgten Zwecken und betroffenen Personen möglich ist.
  2. 1Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und in einem Datenschutzkonzept zu dokumentieren. 2Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen.
  3. 1Werden Systeme und Dienste, die für Verarbeitungen nach Absatz 1 genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung erforderlichen personenbezogenen Daten zugegriffen werden kann. 2Diese Maßnahmen müssen insbesondere Folgendes gewährleisten:
    1. die Wartung darf nur durch autorisiertes Personal erfolgen,
    2. jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,
    3. die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern und
    4. es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können.
    3Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. 4Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Verordnung (EU) 2016/679 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des Artikels 45 oder 46 der Verordnung (EU) 2016/679 vorliegen.
  4. Die Regelungen der Verordnung (EU) 2016/679 werden durch die Absätze 1 bis 3 nicht eingeschränkt.

English Machine Translated Version

Section 26 Specific technical and organisational measures to ensure lawful processing

  1. Where the processing of personal data is automated, the controller shall, taking into account the state of the art, the cost of implementation and the nature, scope, circumstances and purposes of the processing, implement measures to ensure that
    1. personal data can be assigned to its origin at any time,
    2. it can be determined who processed which personal data when and in what way,
    3. the procedures for processing personal data are complete, up-to-date and documented in such a way that they can be retraced within a reasonable period of time, and
    4. when providing personal data, it is possible to separate the data according to the purposes pursued and the persons concerned.
  2. 1Prior to a decision on the use or a significant change of automated processing of personal data, the technical and organisational measures to be taken shall be determined on the basis of a risk analysis and documented in a data protection concept. 2The determination of the measures shall be repeated at appropriate intervals in accordance with technical developments and in the event of changes in the risks associated with the processing operations.
  3. 1Where systems and services used for processing operations referred to in paragraph 1 are maintained, appropriate technical and organisational measures shall be taken to ensure that only the personal data necessary for the maintenance can be accessed. 2Those measures shall in particular ensure the following:
    1. maintenance may only be carried out by authorised personnel,
    2. any maintenance operation may only be carried out with the knowledge and will of the storing entity,
    3. the unauthorised removal or transfer of personal data in the course of maintenance shall be prevented; and
    4. it must be ensured that all maintenance operations can be checked and traced after they have been carried out.
  4. 3To the extent that maintenance is carried out by processors, the contract or legal instrument referred to in Article 28(3) of Regulation (EU) 2016/679 shall contain rules ensuring that the processor does not transfer personal data which come to its knowledge to other entities. 4The performance of maintenance activities with the possibility of personal data coming to the knowledge of entities outside the scope of Regulation (EU) 2016/679 shall only be allowed if they are necessary and, in the case of a transfer, the conditions of Article 45 or 46 of Regulation (EU) 2016/679 are met.
  5. The provisions of Regulation (EU) 2016/679 are not restricted by paragraphs 1 to 3.

Previous: 25 BlnDSG Recht auf Löschung — Right to deletion

BLNDSG Outline

Next: 27 BlnDSG Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person — Notification of the person affected by a personal data breach

Scroll to Top