Inhaltsverzeichnis
(Zur Übersicht: ThürDSG)
§ 51 Thüringer Datenschutzgesetz
Wortlaut
§ 51 Protokollierung
(Artikel 25 der Richtlinie (EU) 2016/680)
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich Übermittlung,
5. Kombination und
6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und soweit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch den Datenschutzbeauftragten, den Landesbeauftragten für den Datenschutz und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter stellen die Protokolle dem Landesbeauftragten für den Datenschutz auf Anforderung zur Verfügung.
Amtliche Gesetzesbegründung
Zu § 51
Protokollierung (Artikel 25 der Richtlinie (EU) 2016/680)
Zu Absatz 1:
§ 51 dient der Umsetzung von Artikel 25 der Richtlinie (EU) 2016/680 und enthält in Absatz 1 eine umfassende Pflicht des Verantwortlichen zur Protokollierung der unter seiner Verantwortung durchgeführten Datenverarbeitungen.
Zu Absatz 2:
Absatz 2 enthält konkrete Vorgaben an den Inhalt der Protokolle.
Zu Absatz 3:
Absatz 3 schränkt die Verwendung ein, wobei von der durch die Richtlinie (EU) 2016/680 eröffneten Möglichkeit, die Protokolldaten über die Daten-schutzkontrolle, Eigenüberwachung und Aufrechterhaltung der Datensicherheit hinaus auch im Zusammenhang mit der Verhütung oder Verfolgung von Straftaten zu verwenden, Gebrauch gemacht wird.
Zu Absatz 4:
In Absatz 4 wird eine Löschfrist für die Protokolldaten generiert.
Zu Absatz 5:
In Absatz 5 wird festgelegt, dass die Protokolle dem Landesbeauftragten für den Datenschutz zum Zwecke der Datenschutzkontrolle zur Verfügung stehen müssen.
(Quelle: Thüringer Landtag Drucksache 6/4943, S. 129f.)
Parallelvorschriften
§ 76 BDSG und § 64 LDSG-RP sind wortgleich zu § 51 ThürDSG.
Das BayDSG scheint keine vergleichbare Regelung zu enthalten.
Erläuterung
Die Norm gilt wie der gesamte Dritte Abschnitt unmittelbar nur im Geltungsbereich der JI-Richtlinie und dient der Umsetzung von Art. 25 RICHTLINIE (EU) 2016/680 in nationales Recht. Außerhalb des Anwendungsbereiches der JI-Richtlinie fehlen vergleichbare Regelungen. Hier kann es sich anbieten, bei Verarbeitungen ähnlich sensibler Daten wie im Strafrechtsbereich § 51 ThürDSG analog anzuwenden.
Dies betrifft im Einzelnen den Umfang der Protokollierung, der in den Absätzen 1 und 2 geregelt wird, die Zweckbindung der Daten in Absatz 3 aber vor allem die Aufbewahrungsfrist für Protokolldaten in Absatz 4. Diese Aufbewahrungsfrist sollte allerdings nur dann zur Anwendung kommen, wenn keine konkreteren Aufbewahrungsfristen zur Verfügung stehen. Konkreter ist insbesondere die mittlerweile allgemein anerkannte Frist von sieben Tagen für die Speicherung von Internet-Verbindungsdaten in Auslegung von § 100 TKG.1) Auch aus Absatz 5 könnte sich ein genereller Hinweis ergeben, wie lange Altsysteme zu dulden sind, die nach altem Recht zulässig automatisiert personenbezogene Daten verarbeiten aber nach neuem Recht so nicht mehr zulässig sind.
