(2) 1Die Einrichtung von automatisierten Verfahren, die die Übermittlung der Daten nach Absatz 1 durch Abruf ermöglichen, ist zulässig, soweit diese Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen im Sinne des Absatzes 1 Satz 1 angemessen sind. 2Die beteiligten Stellen im Sinne des Absatzes 1 Satz 1 haben zu gewährleisten, dass das Abrufverfahren kontrolliert werden kann. 3Hierzu haben sie Folgendes schriftlich festzulegen:
- 1.
- Anlass und Zweck des Abrufverfahrens,
- 2.
- Dritte, an die Daten übermittelt werden,
- 3.
- Art der zu übermittelnden Daten und
- 4.
- die erforderlichen technischen und organisatorischen Maßnahmen nach Maßgabe der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679.
4Die erforderlichen Festlegungen können auch von den Fachaufsichtsbehörden getroffen werden.
5Das Bundesinstitut für Arzneimittel und Medizinprodukte unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit über die Einrichtung des automatisierten Abrufverfahrens und über die getroffenen Festlegungen.
6Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den die Daten übermittelt werden.
7Das Bundesinstitut für Arzneimittel und Medizinprodukte prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.
8Es hat zu gewährleisten, dass die Übermittlung personenbezogener und sonstiger Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.
9Wird ein Gesamtbestand dieser Daten abgerufen oder übermittelt, so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
10Die Sätze 1 bis 6 gelten nicht für den Abruf allgemein zugänglicher Daten.
11Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann.
(3) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte und das Zollkriminalamt protokollieren die Zeitpunkte der Abrufe, die abgerufenen Daten sowie Angaben, die eine eindeutige Identifizierung der für den Abruf verantwortlichen Person ermöglichen. 2Die Protokolldaten dürfen ohne Einwilligung der betroffenen Person nur für die Kontrolle der Zulässigkeit der Abrufe verwendet werden und sind nach sechs Monaten zu löschen.
Die nachfolgende Aufstellung zeigt alle Änderungen dieser Vorschrift. Über die Links aktuell und vorher können Sie jeweils alte Fassung (a.F.) und neue Fassung (n.F.) vergleichen. Beim Änderungsgesetz finden Sie dessen Volltext sowie die Begründung des Gesetzgebers.
Bitte beachten Sie, dass rückwirkende Änderungen - soweit vorhanden - nach dem Verkündungsdatum des Änderungstitels (Datum in Klammern) und nicht nach dem Datum des Inkrafttretens in diese Liste einsortiert sind.
Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
G. v. 20.11.2019 BGBl. I S. 1626