(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt, unbeschadet ihrer oder seiner in § 14 des Bundesdatenschutzgesetzes genannten Aufgaben, auch im Hinblick auf die Datenverarbeitung im Informationssystem nach § 13 und im Informationsverbund nach § 29 Kontrollen bezüglich der Datenverarbeitung bei Maßnahmen nach Abschnitt 5, nach § 34 oder nach § 64 und von Übermittlungen nach § 27 mindestens alle zwei Jahre durch. Sie oder er kontrolliert darüber hinaus mindestens alle zwei Jahre, dass Zugriffe auf personenbezogene Daten im Informationssystem und, im Rahmen ihrer oder seiner Zuständigkeit, im Informationsverbund nur innerhalb der Zugriffsberechtigungen nach § 15 Absatz 1 erfolgen.
(2) Sofern die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße nach § 16 Absatz 2 des Bundesdatenschutzgesetzes beanstandet hat, kann sie oder er geeignete Maßnahmen anordnen, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist.