(1) Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung oder Nutzung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen (gemeinsame Verfahren) ist nur zulässig, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen nach Art. 7 Risiken für die Rechte und Freiheiten der Betroffenen vermieden werden können.

(2) Die Betroffenen können ihre Rechte gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle für die Datenverarbeitung verantwortlich ist.

(3) ¹Die beteiligten Stellen haben vorab festzulegen und zu dokumentieren, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. ²Im Rahmen der technischen und organisatorischen Maßnahmen nach Art. 7 ist insbesondere sicherzustellen, dass der Zugriff auf Daten nur denjenigen Bediensteten möglich ist, die für diese Maßnahmen zuständig sind.

(4) Gemeinsame Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.