§ 8 Befugnisse und Verantwortlichkeiten

(1) Die datenschutzrechtliche Verantwortung des einzelnen Datenabrufs trägt die jeweilige abrufende Stelle.

(2) ¹Die Registermodernisierungsbehörde hat durch geeignete technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) sicherzustellen, dass die Daten nach § 4 Absatz 2 und 3 nicht unbefugt verarbeitet werden können. ²Die abrufende Stelle hat bei Einrichtung eines automatisierten Abrufverfahrens durch geeignete technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 sicherzustellen, dass Daten nur von hierzu befugten Personen abgerufen werden können.

(3) ¹Bei Datenabrufen prüft die Registermodernisierungsbehörde automatisiert bei jedem Aufbau einer Verbindung anhand sicherer Authentifizierungsverfahren die Identität der abrufenden Stelle; über die Identität der abrufenden Stelle darf kein Zweifel bestehen. ²Andernfalls werden keine personenbezogenen Daten übermittelt.

(4) ¹Die Registermodernisierungsbehörde überprüft die Zulässigkeit der Abrufe über Absatz 3 hinaus durch geeignete Stichprobenverfahren sowie wenn dazu Anlass besteht. ²Die abrufende Stelle hat ein Berechtigungskonzept zu erstellen, welches mit dem jeweiligen Datenschutzbeauftragten der abrufenden Stelle abzustimmen ist.