(1) In automatisierten Verarbeitungssystemen sind die folgenden Verarbeitungsvorgänge zu protokollieren:

1. 1.

   Erhebung und Speicherung,

2. 2.

   Veränderung,

3. 3.

   Abfrage,

4. 4.

   Offenlegung einschließlich Übermittlung,

5. 5.

   Kombination und

6. 6.

   Löschung oder Einschränkung der Verarbeitung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identifizierung der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität der empfangenden Stelle der Daten festzustellen. Aus der Identität der Person muss sich auch die Begründung für eine Abfrage oder Offenlegung ableiten lassen.

(3) Die Protokolle dürfen ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit sowie für die Eigenüberwachung und für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten verwendet werden. Die Protokolldaten dürfen auch zur Verfolgung von Straftaten oder für beamtenrechtliche oder disziplinarrechtliche Maßnahmen im Zusammenhang mit einer Verletzung des Datengeheimnisses sowie zur Verfolgung von Straftaten von erheblicher Bedeutung verarbeitet werden.

(4) Die Protokolldaten sind zwei Jahre nach ihrer Generierung zu löschen. Die §§ 42 bis 44 gelten entsprechend.

(5) Die Protokolle sind der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen.