(1) Gemeinsame Verfahren sind automatisierte Verfahren, die mehreren Verantwortlichen im Sinne des Artikels 26 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung die Verarbeitung personenbezogener Daten in oder aus einem Datenbestand ermöglichen.
(1) 1Gemeinsame Verfahren sind automatisierte Verfahren, die mehreren verantwortlichen Stellen im Sinne des Bundesdatenschutzgesetzes die Verarbeitung personenbezogener Daten in oder aus einem Datenbestand ermöglichen. 2Soweit gemeinsame Verfahren auch Abrufe anderer Stellen ermöglichen sollen, gilt insoweit für die Abrufverfahren § 10 des Bundesdatenschutzgesetzes.
(2) 1Die Beteiligung öffentlicher Stellen des Bundes nach § 2 Absatz 1 des Bundesdatenschutzgesetzes an gemeinsamen Verfahren ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen [Bis 25.11.2019: Betroffenen] und der Aufgaben der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit der Verarbeitung der Daten im Einzelfall bleiben unberührt.
(3) 1Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens ist eine Vorabkontrolle nach § 4d Absatz 5 und 6 des Bundesdatenschutzgesetzes durchzuführen und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu hören. 2Ihm sind die Festlegungen nach Absatz 4 und das Ergebnis der Vorabkontrolle vorzulegen.
(4) 1Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens ist über die Angaben nach § 4e Satz 1 des Bundesdatenschutzgesetzes hinaus schriftlich oder elektronisch insbesondere festzulegen,
1. |
welche Verfahrensweise angewendet wird und welche Stelle jeweils für die Festlegung, Änderung, Fortentwicklung und Einhaltung von fachlichen und technischen Vorgaben für das gemeinsame Verfahren verantwortlich ist und |
2. |
welche der beteiligten Stellen jeweils für die Rechtmäßigkeit der Datenerhebung, -verarbeitung und -nutzung verantwortlich ist. |
2Die nach Satz 1 Nummer 1 verantwortlichen Stellen bestimmen eine der beteiligten Stellen, deren Beauftragter für den Datenschutz eine Kopie der von den beteiligten Stellen zu erstellenden Übersicht im Sinne von § 4g Absatz 2 Satz 1 des Bundesdatenschutzgesetzes verwahrt und diese nach § 4g Absatz 2 Satz 2 des Bundesdatenschutzgesetzes zusammen mit den Angaben nach Satz 1 Nummer 1 und 2 zur Einsicht für jedermann bereithält. 3Nach Satz 1 Nummer 1 können auch verantwortliche Stellen bestimmt werden, die andere Stellen mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für das gemeinsame Verfahren beauftragen dürfen. 4§ 11 des Bundesdatenschutzgesetzes bleibt im Übrigen unberührt.
(4 [Bis 25.11.2019: 5] ) 1Soweit für die beteiligten Stellen ungeachtet der Verordnung (EU) 2016/679 unterschiedliche bundes- oder landesrechtliche Datenschutzvorschriften gelten, ist vor der Einrichtung eines gemeinsamen Verfahrens zu regeln, welche dieser Datenschutzvorschriften angewendet werden. [Bis 25.11.2019: Soweit für die beteiligten Stellen unterschiedliche Datenschutzvorschriften gelten, ist vor Einrichtung eines gemeinsamen Verfahrens zu regeln, welches Datenschutzrecht angewendet wird. ] 2Weiterhin ist zu bestimmen, welche Kontrollstellen die Einhaltung der Datenschutzvorschriften prüfen.
(6) 1Die Betroffenen können ihre Rechte nach den §§ 19 bis 20 des Bundesdatenschutzgesetzes gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der jeweiligen Daten nach Absatz 4 Satz 1 Nummer 2 verantwortlich ist. 2Die Stelle, an die der Betroffene sich wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter.