(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der DatenschutzGrundverordnung ist zulässig, soweit und solange es erforderlich ist
1. |
zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen, |
2. |
zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts, |
5. |
zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung, |
6. |
zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs (StGB) oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen. |
(2) Werden im Rahmen der Datenverarbeitung nach diesem Kapitel oder nach anderen datenschutzrechtlichen Bestimmungen besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung verarbeitet, so sind von den Verantwortlichen und den Auftragsverarbeitern zur Wahrung der Grundrechte und Interessen der betroffenen Person die folgenden Maßnahmen zu treffen:
1. |
Sicherstellung, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet worden sind, |
2. |
Beschränkung der Befugnisse für den Zugriff auf personenbezogene Daten auf das erforderliche Maß sowie die Dokumentation der Befugnisse, |
3. |
Sensibilisierung der Personen, die Zugang zu den personenbezogenen Daten haben. |
(3) 1Soweit es zum Schutz besonderer Kategorien personenbezogener Daten erforderlich ist, haben die Verantwortlichen und Auftragsverarbeiter ergänzend zu Absatz 2 weitere angemessene und spezifische Maßnahmen zu treffen. 2Als Maßnahmen kommen insbesondere in Betracht:
1. |
Sicherstellung, dass die personenbezogenen Daten zur Verarbeitung nur im Vier-Augen-Prinzip freigegeben werden, |
2. |
Sicherstellung, dass auf die personenbezogenen Daten nur nach einer Zwei-Faktor-Authentisierung zugegriffen wird, |
3. |
Sicherstellung, dass die elektronische Übermittlung von personenbezogenen Daten nur mit einer Verschlüsselung erfolgt, |
4. |
Sicherstellung, dass in einem vernetzten IT-System die personenbezogenen Daten nur mit Verschlüsselung gespeichert werden, |
5. |
Sicherstellung, dass durch eine redundante Auslegung der Systeme, der Energieversorgung und der Datenübertragungseinrichtungen ein Datenverlust vermieden wird, |
6. |
Sicherstellung, dass Daten nicht unbefugt verändert werden und ihre Integrität gewahrt ist, etwa durch Einsatz einer elektronischen Signatur, |
7. |
Schulung der Personen, die Zugang zu den personenbezogenen Daten haben. |
(4) Art und Umfang der Maßnahmen nach den Absätzen 2 und 3 richten sich nach dem Stand der Technik und den Implementierungskosten, nach der Art, dem Umfang, den Umständen und dem Zweck der Datenverarbeitung sowie nach der Eintrittswahrscheinlichkeit und der Schwere der mit der Datenverarbeitung verbundenen Risiken für die Grundrechte und Interessen der betroffenen Person.
Dieser Inhalt ist unter anderem im TVöD Office Professional enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen