(1) Die Fluggastdatenzentralstelle hat mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

1. Erhebung,

2. Veränderung,

3. Abfrage,

4. Übermittlung und

5. Löschung.

(2) Die Protokolle über Abfragen und Übermittlungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder übermittelt hat, und die Identität des Empfängers der Daten festzustellen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten der Fluggastdatenzentralstelle sowie die nationale Kontrollstelle sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Audits verwendet werden.

(4) Die Protokolldaten sind fünf Jahre lang aufzubewahren und anschließend zu löschen.

(5) Die Fluggastdatenzentralstelle hat die Protokolle der nationalen Kontrollstelle auf Anforderung zur Verfügung zu stellen.

(6) Die Protokollierung erfolgt in einer Weise, dass die Protokolle der oder dem Datenschutzbeauftragten der Fluggastdatenzentralstelle oder der nationalen Kontrollstelle in elektronisch auswertbarer Form für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung zur Verfügung stehen.