(1) Die zuständige Bundesoberbehörde hat Daten gemäß § 28, die im Zusammenhang mit der Errichtung und dem Betrieb gentechnischer Anlagen, der Durchführung gentechnischer Arbeiten, mit Freisetzungen oder mit einem Inverkehrbringen von ihr erhoben oder ihr übermittelt worden sind, zum Zweck der Beobachtung, Sammlung und Auswertung von Sachverhalten, die Auswirkungen auf die in § 1 Nr. 1 und 2 genannten Rechtsgüter und Belange haben können, zu verarbeiten. Sie kann Daten über Stellungnahmen der Kommission zur Sicherheitseinstufung und zu Sicherheitsmaßnahmen gentechnischer Arbeiten sowie über die von den zuständigen Behörden getroffenen Entscheidungen an die zuständige Behörden zur Verwendung im Rahmen von Anmelde- und Genehmigungsverfahren übermitteln. Die Empfänger dürfen die übermittelten Daten nur zu dem Zweck verwenden, zu dem sie übermittelt worden sind.
(1a) Die Einrichtung eines automatisierten Abrufverfahrens ist zulässig. Die zuständige Bundesoberbehörde und die zuständigen Behörden legen bei der Einrichtung des automatisierten Abrufverfahrens die Art der zu übermittelnden Daten und die erforderlichen technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 schriftlich fest. Die Einrichtung des automatisierten Abrufverfahrens bedarf der Genehmigung des Bundesministeriums für Ernährung und Landwirtschaft im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie. Über die Einrichtung des Abrufverfahrens ist der Bundesbeauftragte für den Datenschutz unter Mitteilung der Festlegungen nach Satz 2 zu unterrichten. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die zuständige Bundesoberbehörde prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht. Sie hat zu gewährleisten, daß die Übermittlung der Daten festgestellt und überprüft werden kann.
(2) Die Rechtsvorschriften über die Geheimhaltung bleiben unberührt. Die Übermittlung von sachbezogenen Erkenntnissen im Sinne des § 17a an Dienststellen der Europäischen Union und Behörden anderer Staaten darf nur erfolgen, wenn die anfordernde Stelle darlegt, daß sie Vorkehrungen zum Schutz von Betriebs- und Geschäftsgeheimnissen sowie zum Schutz von personenbezogenen Daten getroffen hat, die den entsprechenden Vorschriften im Geltungsbereich dieses Gesetzes gleichwertig sind.
(3) Personenbezogene Daten dürfen bei der zuständigen Bundesoberbehörde nur verarbeitet werden, soweit dies für die Beurteilung der Zuverlässigkeit des Betreibers, des Projektleiters sowie des oder der Beauftragten für die Biologische Sicherheit oder für die Beurteilung der Sachkunde des Projektleiters oder des oder der Beauftragten für die Biologische Sicherheit erforderlich ist.
(4) Art und Umfang der Daten regelt das Bundesministerium für Ernährung und Landwirtschaft im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung mit Zustimmung des Bundesrates.