Erstes Buch Justizvollzugsgesetzbuch - Gemeinsame Regelungen und Organisation
Abschnitt 7 - Datenschutz (§§ 27 - 92) |
Unterabschnitt 5 - Datenverarbeitung zu Zwecken der Richtlinie (EU) 2016/680~Pflichten der Justizvollzugsanstalten und der Auftragsverarbeiter (§§ 71 - 82) |
(1) 1Im Falle einer Verletzung des Schutzes personenbezogener Daten hat die Justizvollzugsanstalt unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung diese der oder dem Landesbeauftragten für den Datenschutz zu melden. 2Erfolgt die Meldung nicht innerhalb von 72 Stunden, ist der späteren Meldung eine Begründung für die Verzögerung beizufügen.
(2) Die Meldung nach Absatz 1 kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
(3) 1Die Meldung nach Absatz 1 muss zumindest folgende Informationen enthalten:
2Können zum Zeitpunkt der Meldung nach Absatz 1 nicht alle Informationen nach Absatz 3 bereitgestellt werden, kann die Justizvollzugsanstalt diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(4) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich der Justizvollzugsanstalt zu melden.
(5) Die Justizvollzugsanstalt dokumentiert Verletzungen des Schutzes personenbezogener Daten nach Absatz 1 einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Umstände, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen in einer Weise, die es der oder dem Landesbeauftragten für den Datenschutz ermöglicht, die Einhaltung der Voraussetzungen nach dieser Vorschrift zu überprüfen.
(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.
(7) Die Justizvollzugsanstalt hat es zu ermöglichen, dass ihr vertrauliche Meldungen über in ihrem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.
(8) Weitere Pflichten der Justizvollzugsanstalt zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.
Vorschrift eingefügt durch das Gesetz zur Anpassung des besonderen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 für Justiz- und Bußgeldbehörden sowie zur Änderung vollzugsrechtlicher Gesetze vom 21.05.2019 (GBl. S. 189), in Kraft getreten am 06.06.2019.
Folgenabschätzung § 78Verzeichnis von Verarbeitungs-
tätigkeiten § 79Datenschutz durch Technikgestaltung und datenschutz-
freundliche Voreinstellung § 80Verfahren bei Übermittlungen § 81Berichtigung, Löschung und Einschränkung der Verarbeitung § 82Protokollierung