(1) Personenbezogene Daten und Pseudonyme sind so zu verarbeiten, dass nur die Personen und Stellen von ihnen Kenntnis nehmen können, die die Daten zur rechtmäßigen Erfüllung ihrer jeweiligen Aufgaben benötigen. Hierzu sind geeignete und dem jeweiligen aktuellen Stand der Technik entsprechende technische, organisatorische und personelle Vorkehrungen zu treffen, die einen unbefugten Zugriff auf personenbezogene Daten, Pseudonyme und die Zuordnungsregel verhindern. Die Zuordnungsregel ist durch technische Maßnahmen nach dem Stand der Technik derart zu schützen, dass Dritten mit beherrschbarem Aufwand eine Verknüpfung von pseudonymisierten Daten mit personenidentifizierenden Angaben nicht möglich ist. Die Nachvollziehbarkeit der Verarbeitung und Nutzung der personenbezogenen Daten einschließlich der Zusammenführung von personenidentifizierenden Angaben und anderen personenbezogenen Daten ist zu gewährleisten.

(2) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person nach Maßgabe des § 14 Absatz 3 und des § 26 des Berliner Datenschutzgesetzes vorzusehen.