- Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen Freigabe. In der Freigabeerklärung ist zu bestätigen, dass
- die Verarbeitung im Einklang mit den Artikeln 5 und 6 der Verordnung (EU) 2016/679 erfolgt,
- ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten, und
- für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.
- Absatz 1 Satz 1 gilt nicht für
- Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht,
- Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
- Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
- Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
- Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
- Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
- Zimmer-, Inventar- und Softwareverzeichnisse,
- Bibliothekskataloge und Fundstellenverzeichnisse oder
- Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.
- Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Satz 1 gilt nicht für
- Verfahren der Verfassungsschutzbehörde,
- Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
- Verfahren der Steuerfahndung,