(1)In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

1.

Erhebung,

2.

Veränderung,

3.

Abfrage,

4.

Offenlegung einschließlich Übermittlung,

5.

Kombination und

6.

Löschung.

(2)Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

(3)1Die Protokolldaten dürfen nur für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung, durch eine dazu befugte öffentliche Stelle, sowie für die Eigenüberwachung, der Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren verwendet werden. 2Die Protokolldaten sind am Ende des auf die Generierung folgenden Jahres zu löschen, es sei denn, dass sie für den in Satz 1 genannten Zweck noch erforderlich sind.

(4)Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen.