HKRG 338 § 11 � Datensicherheit (1) 1 Die Vertrauensstelle sowie die Landesauswer- tungsstelle und die Abrechnungsstelle haben im Rahmen ihrer Aufgaben die technischen und orga- nisatorischen Maßnahmen zu treffen, die erforder- lich sind, um den Datenschutz bei der Ausführung dieses Gesetzes zu gewährleisten. 2 Erforderlich sind diese Maßnahmen, soweit der damit verbun- dene Aufwand unter Berücksichtigung der Art der personenbezogenen Daten und ihrer Verarbeitung zum Schutz des Rechts des Einzelnen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, angemessen ist. (2) 1 Bei der automatisierten Verarbeitung der per- sonenbezogenen Daten ist das Verfahren auszu- wählen oder zu entwickeln, welches geeignet ist, so wenig personenbezogene Daten zu verarbeiten, wie zur Umsetzung dieses Gesetzes erforderlich ist. 2 Außerdem sind Maßnahmen schriftlich anzu- ordnen, die nach dem jeweiligen Stand der Technik und der Art des eingesetzten Verfahrens erforder- lich sind, um zu gewährleisten, dass 1. Unbefugte keinen Zutritt zu Datenverarbei- tungsanlagen erhalten, mit denen personen- bezogene Daten verarbeitet werden (Zutritts- kontrolle), 2. Unbefugte an der Benutzung von Datenver- arbeitungsanlagen und -verfahren gehindert werden (Benutzerkontrolle), 3. die zur Benutzung eines Datenverarbeitungs- verfahrens Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden per- sonenbezogenen Daten zugreifen können (Zu- griffskontrolle). 4. personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genom- men, verändert, kopiert, übermittelt, gelöscht, entfernt, vernichtet oder sonst verarbeitet wer- den (Datenverarbeitungskontrolle), 5. es möglich ist, festzustellen, wer welche perso- nenbezogenen Daten zu welcher Zeit verarbei- tet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlich- keitskontrolle), 6. personenbezogene Daten, die im Auftrag ver- arbeitet werden, nur entsprechend den Wei- sungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. durch eine Dokumentation aller wesentlichen Verarbeitungsschritte die Uberprüfbarkeit der Datenverarbeitungsanlage und des -verfah- rens möglich ist (Dokumentationskontrolle), 8. die innerbehördliche oder innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisati- onskontrolle). (3) Werden die personenbezogenen Daten nicht automatisiert verarbeitet, dann sind insbesonde- re Maßnahmen zu treffen, die den Zugriff Unbe- fugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung verhindern. § 12 � Patientenbezogener Datenabruf durch meldepflichtige Personen (1) 1 Zur effektiven Krebsbehandlung übermittelt die Vertrauensstelle auf Abruf durch eine melde- pflichtige Person personenbezogene Informationen zu allen Tumorerkrankungen einer bestimmten Pa- tientin oder eines bestimmten Patienten. 2 Hierzu hat die meldepflichtige Person beim Abruf Identi- täts- und Stammdaten der betreffenden Patientin oder des betreffenden Patienten zu übermitteln und glaubhaft zu machen, dass sie in die Behandlung der Krebserkrankung involviert ist. 3 Jede Anfrage ist zu protokollieren. 4 Das Protokoll ist zehn Jahre aufzubewahren. § 13 � Auskunft an Patientinnen und Patienten (1) Die Vertrauensstelle hat auf Antrag einer Pati- entin oder eines Patienten oder der Betreuerin oder des Betreuers oder der oder des Personensorge- berechtigten einer von dieser oder diesem benann- ten meldepflichtigen Person schriftlich mitzuteilen, ob und gegebenenfalls welche Daten zur Person der Patientin oder des Patienten gespeichert sind. (2) Die Herausgabe von personenbezogenen Da- ten des Hessischen Krebsregisters an Dritte, außer in den in diesem Gesetz geregelten Fällen, ist un- zulässig. �