(1) Die zuständige Stelle führt über die betroffene Person eine Sicherheitsakte, in die alle die Sicherheitsüberprüfung betreffenden Informationen aufzunehmen sind.

(2) Informationen über die persönlichen, dienstlichen und arbeitsrechtlichen Verhältnisse der Personen, die mit einer sicherheitsempfindlichen Tätigkeit befaßt sind, sind zur Sicherheitsakte zu nehmen, soweit sie für die sicherheitsmäßige Beurteilung erheblich sind. Dazu zählen insbesondere:

    1. Zuweisung, Übertragung einer sicherheitsempfindlichen Tätigkeit, die dazu erteilte Ermächtigung sowie deren Änderungen und Beendigung,

    2. Umsetzung, Abordnung, Versetzung und Ausscheiden,

    3. Änderungen des Namens, eines Wohnsitzes und der Staatsangehörigkeit,

    4. Beginn oder Ende einer Ehe, einer Lebenspartnerschaft oder einer auf Dauer angelegten Gemeinschaft,

    5. Anhaltspunkte für Überschuldung, insbesondere Pfändungs- und Überweisungsbeschlüsse, Mitteilungen über abgeschlossene Insolvenzverfahren sowie Beschlüsse zur Eröffnung eines Insolvenzverfahrens und zur Restschuldbefreiung sowie

    6. Strafverfahren und Disziplinarsachen sowie dienst- und arbeitsrechtliche Maßnahmen.

(3) Die Sicherheitsakte ist keine Personalakte. Sie ist gesondert zu führen und darf weder der personalverwaltenden Stelle noch der betroffenen Person zugänglich gemacht werden; § 23 Abs. 6 bleibt unberührt. Im Falle des Wechsels der Dienststelle oder des Dienstherrn ist die Sicherheitsakte nach dorthin abzugeben, wenn auch dort eine sicherheitsempfindliche Tätigkeit ausgeübt werden soll. Zum Zwecke der Prüfung nach § 2 Absatz 1 Satz 5 kann der anfordernden Stelle die Sicherheitsakte zur Einsichtnahme übersandt werden.

(3a) Im Geschäftsbereich des Bundesministeriums der Verteidigung ist im Falle des Wechsels der Dienststelle die Sicherheitsakte stets an die neue Dienststelle abzugeben. Die neue Dienststelle darf den Inhalt der Sicherheitsakte nur dann zur Kenntnis nehmen, wenn die betroffene Person dort mit einer sicherheitsempfindlichen Tätigkeit betraut werden soll. Sofern keine Betrauung mit einer sicherheitsempfindlichen Tätigkeit erfolgen soll, ist die Sicherheitsakte dort bis zur Vernichtung aufzubewahren.

(4) Die mitwirkende Behörde führt über die betroffene Person eine Sicherheitsüberprüfungsakte, in die aufzunehmen sind:

    1. Informationen, die die Sicherheitsüberprüfung, die durchgeführten Maßnahmen und das Ergebnis betreffen,

    2. das Ausscheiden aus oder die Nichtaufnahme der sicherheitsempfindlichen Tätigkeit,

    3. Änderungen des Namens, eines Wohnsitzes und der Staatsangehörigkeit,

    4. Beginn oder Ende einer Ehe, einer Lebenspartnerschaft oder einer auf Dauer angelegten Gemeinschaft.

Die in Absatz 2 Nummer 5 und 6 genannten Daten sind zur Sicherheitsüberprüfungsakte zu nehmen, wenn sie sicherheitserheblich sind. Absatz 3 Satz 1 und 2 gilt entsprechend. Im Falle des Wechsels der Dienststelle oder des Dienstherrn ist die Sicherheitsüberprüfungsakte auf Anforderung an die zuständige mitwirkende Behörde abzugeben, wenn eine sicherheitsempfindliche Tätigkeit nicht nur vorübergehend ausgeübt werden soll.

(5) Die zuständige Stelle ist verpflichtet, die in Absatz 4 Satz 1 Nummer 3 und 4 und Satz 2 genannten Daten mit Ausnahme der Änderung eines Wohnsitzes unverzüglich der mitwirkenden Behörde zu übermitteln. Die Übermittlung der in Absatz 4 Satz 1 Nr. 2 genannten Daten erfolgt nach den in § 22 Abs. 2 Nr. 1 festgelegten Fristen. Die in Absatz 4 Satz 1 Nummer 2 genannten Daten sind unverzüglich der mitwirkenden Behörde zu übermitteln, wenn sicherheitserhebliche Erkenntnisse oder Erkenntnisse, die ein Sicherheitsrisiko begründen, vorliegen.

(6) Die Sicherheitsakte und die Sicherheitsüberprüfungsakte dürfen auch in elektronischer Form geführt werden. Eine Abfrage personenbezogener Daten ist nur zulässig, wenn für die Daten die Voraussetzung der Speicherung nach § 20 vorliegt. Der automatisierte Abgleich personenbezogener Daten ist unzulässig.

(7) Bei jeder Abfrage einer Sicherheitsüberprüfungsakte nach Absatz 6 sind für Zwecke der Datenschutzkontrolle der Zeitpunkt, die Angaben, die die Feststellung der abgefragten Daten ermöglichen, sowie Angaben zur Feststellung des Abfragenden zu protokollieren. Die protokollierten Daten dürfen nur für Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage verwendet werden. Die Protokolldaten sind am Ende des Kalenderjahres, das dem Jahr der Protokollierung folgt, zu löschen.

(8) Der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz und der Militärische Abschirmdienst dürfen bei der Sicherheitsüberprüfung von Personen im Sinne des § 3 Absatz 3 die Sicherheitsakte zusammen mit der Sicherheitsüberprüfungsakte in einem gemeinsamen Aktenvorgang unter Beachtung der für die jeweiligen Akten geltenden unterschiedlichen Verwendungs- und Auskunftsregelungen führen.