(1) Der Bezieher von Abdrucken, der Einzelauskünfte im automatisierten Abrufverfahren erteilt (Auskunftsstelle), darf einen Abruf nur zulassen, wenn dessen Durchführung unter Verwendung von Benutzerkennung und Paßwort (Authentifikation) des zum Abruf Berechtigten (Abrufberechtigter) und einer davon unabhängigen, selbständigen Kennung des zum Abruf zugelassenen Endgerätes (Endgerätekennung) erfolgt. Ist der Abruf zulässig, wird die Auskunft im Wege des automatischen Rückrufs erteilt.

(2) Das Paßwort ist jeweils spätestens nach 120 Tagen zu ändern. Erfolgt die Änderung nicht rechtzeitig, ist durch ein selbsttätiges Verfahren sicherzustellen, daß mit dem Paßwort keine Abrufe mehr erfolgen können. Ein Paßwort darf nicht bereits an Abrufberechtigte derselben Auskunftsstelle vergeben sein oder gewesen sein, muß mindestens sechs Stellen lang sein und aus Buchstaben, Zahlen und Zeichen bestehen. Die Auskunftsstelle speichert die Paßwörter, die innerhalb der zurückliegenden drei Jahre benutzt wurden. Die Speicherung dient der Kontrolle der Ordnungsgemäßheit der Paßwörter, insbesondere zur Vermeidung unzulässiger wiederholter oder mehrfacher Verwendung.

(3) Wird eine Benutzerkennung innerhalb von 120 Tagen nicht benutzt, ist sie umgehend zu sperren. Sie darf als Teil der Authentifikation erst wieder zugelassen werden, wenn die Berechtigung zum Abruf der Auskunftsstelle erneut nachgewiesen wurde.

(4) Die Auskunftsstelle hat durch ein selbsttätiges Verfahren zu gewährleisten, daß keine Abrufe erfolgen können, sobald die Benutzerkennung, das Paßwort oder die Endgerätekennung mehr als zweimal hintereinander unrichtig eingegeben wurde.

(5) Sind bei einem Abrufberechtigten mehrere Nutzer vorhanden, darf der Abrufberechtigte diesen den Zugang zum automatisierten Abrufverfahren nur unter Verwendung jeweils eigener Authentifikationen eröffnen. Sind bei einem Abrufberechtigten mehrere Endgeräte vorhanden, ist zusätzlich eine Endgerätekennung zu verwenden. Für die Authentifikation der Nutzer und die Endgerätekennung nach den Sätzen 1 und 2 gelten die Absätze 2, 3 und 4 mit der Maßgabe, daß an die Stelle der Auskunftsstelle der Abrufberechtigte und an die Stelle des Abrufberechtigten die Nutzer treten. Bei den von den Nutzern verwendeten Endgeräten hat der Abrufberechtigte durch geeignete technische Vorkehrungen sicherzustellen, daß eine Weiterverbreitung von Paßwörtern, Benutzer- oder Endgerätekennungen nicht möglich ist. Der Abrufberechtigte hat der Auskunftsstelle die Einhaltung der Vorschriften dieses Absatzes jederzeit auf Anforderung nachzuweisen und die gefertigten Protokolle zu diesem Zweck vorzulegen.

(6) Die Auskunftsstelle hat sicherzustellen, daß Abrufe selbsttätig aufgezeichnet werden, wobei

    1. die bei der Durchführung der Abrufe verwendeten Daten,

    2. der Tag und die Uhrzeit der Abrufe,

    3. die Authentifikation und die Endgerätekennung und

    4. die abgerufenen Daten

festgehalten werden und daß Abrufe bei nicht ordnungsgemäßer Aufzeichnung unterbrochen werden. Mindestens aufzuzeichnen sind

    1. alle Abrufe in der Zeit von 20 bis 8 Uhr, an Sonn- und allgemeinen Feiertagen oder außerhalb der normalen Geschäftszeit der Auskunftsstelle,

    2. zehn Prozent der Abrufe der Abrufberechtigten, die innerhalb von 24 Stunden mehr als zehnmal abrufen,

    3. zehn Prozent der nicht bereits nach Nummer 1 oder 2 aufzuzeichnenden Abrufe, die nach dem Zufallsprinzip auszuwählen sind,

    4. alle Abrufe, bei denen datensicherheitsrelevante Ereignisse auftreten, und

    5. alle versuchten Abrufe, die unter Verwendung von fehlerhafter Authentifikation oder Endgerätekennung mehr als einmal vorgenommen werden.

Die Aufzeichnungen dürfen nur zur Datenschutzkontrolle, insbesondere zur Kontrolle der Zulässigkeit der Abrufe, zur Sicherstellung eines ordnungsgemäßen Betriebes der Datenverarbeitungsanlage sowie in gerichtlichen Verfahren verwendet werden. Sie sind nach drei Jahren zu löschen, es sei denn, sie werden noch bis zum Abschluß eines bereits eingeleiteten Verfahrens der Datenschutzkontrolle oder eines anhängigen gerichtlichen Verfahrens benötigt.

(7) Zwischen der Auskunftsstelle und dem Abrufberechtigten kann vertraglich vereinbart werden, daß

    1. das Paßwort und die Endgerätekennung abweichend von Absatz 1 nur beim Abrufberechtigten interne Zugangsvoraussetzungen zum Abrufverfahren sind;

    2. die Paßwortspeicherung nach Absatz 2 vom Abrufberechtigten statt von der Auskunftsstelle durchgeführt wird;

    3. die Abrufsperre nach Absatz 4 bei mehr als zweimal hintereinander unrichtiger Eingabe von Paßwort oder Endgerätekennung durch ein selbsttätiges Verfahren beim Abrufberechtigten gewährleistet wird;

    4. das Paßwort und die Endgerätekennung nach Absatz 6 beim Abrufberechtigten protokolliert werden.

Der Vertrag bedarf der Schriftform. In ihm muß sich der Abrufberechtigte verpflichten, seine Aufzeichnungen der Auskunftsstelle zu Kontrollzwecken jederzeit zur Verfügung zu stellen.