Die Verantwortlichen nach § 307 haben durch geeignete technische Maßnahmen sicherzustellen, dass für Zwecke der Datenschutzkontrolle bei Anwendungen nach den §§ 327 und 334 Absatz 1 nachträglich für den Zeitraum der regelmäßigen dreijährigen Verjährungsfrist nach § 195 des Bürgerlichen Gesetzbuchs die Zugriffe und die versuchten Zugriffe auf personenbezogene Daten der Versicherten in diesen Anwendungen überprüft werden können und festgestellt werden kann, ob, von wem und welche Daten des Versicherten in dieser Anwendung verarbeitet worden sind.
Eine Verwendung der Protokolldaten nach Absatz 1 für andere als die dort genannten Zwecke ist unzulässig.
Die Protokolldaten sind nach Ablauf der in Absatz 1 genannten Frist unverzüglich zu löschen.
Die Verantwortlichen nach § 307 haben durch geeignete technische Maßnahmen in den Anwendungen nach den §§ 327 und 334 Absatz 1 sicherzustellen, dass ab dem die Zugriffe und die versuchten Zugriffe auf personenbezogene Daten der Versicherten personenbeziehbar protokolliert werden.