(1) Die gemäß §§ 50 bis 56 jeweils datenschutzrechtlich verantwortliche Person oder Stelle kann von der Informationspflicht über die Erhebung personenbezogener Daten nach Artikel 13 und Artikel 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1, zuletzt ber. ABl. L 074 vom 4. März 2021, S. 35) zum Zeitpunkt der Erhebung absehen, sofern die Erhebung und die weitere Verarbeitung für Zwecke der Durchführung der Notfallrettung erfolgt und sofern ansonsten das Wohl der Patientinnen und Patienten gefährdet wäre. Unterbleibt eine Information nach Satz 1, muss die datenschutzrechtlich verantwortliche Person oder Stelle die Mitteilung über die erhobenen und gegebenenfalls weiterverwendeten Daten nachholen, sobald und sofern

1. 1.

   eine Abrechnung des Leistungsentgeltes mit der betroffenen Person oder deren Krankenkasse erfolgt oder

2. 2.

   die datenschutzrechtlich verantwortliche Person oder Stelle zu einem späteren Zeitpunkt im Zusammenhang mit der Abwicklung der rettungsdienstlichen Maßnahmen mit der betroffenen Person in Kontakt tritt.

Zusätzlich veröffentlicht die datenschutzrechtlich verantwortliche Person oder Stelle die Informationen nach Artikel 30 Absatz 1 Buchstabe a bis f der Verordnung (EU) 2016/679 in präziser, transparenter, verständlicher und leicht zugänglicher Form auf ihrer Internetseite.

(2) Werden personenbezogene Daten verarbeitet, sind von der datenschutzrechtlich verantwortlichen Person oder Stelle Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:

1. 1.

   technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,

2. 2.

   Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,

3. 3.

   die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

4. 4.

   die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,

5. 5.

   die Anonymisierung und, wenn sie nicht möglich ist, die Pseudonymisierung personenbezogener Daten,

6. 6.

   die Verschlüsselung personenbezogener Daten,

7. 7.

   die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der unverzüglichen Wiederherstellung der Verfügbarkeit und des Zugangs bei einem physischen oder technischen Zwischenfall,

8. 8.

   die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und

9. 9.

   spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.