Gesetz zum Schutz personenbezogener Daten (Landesdatenschutzgesetz
- LDSG)
in der Fassung vom 18. September 2000 (GBl. S. 648) , zuletzt geändert
durch Gesetz vom
18. November 2008 (GBl. S. 387)
INHALTSÜBERSICHT
ERSTER ABSCHNITT
Allgemeine Bestimmungen §§
Aufgabe des Gesetzes 1
Anwendungsbereich 2
Begriffsbestimmungen 3
Zulässigkeit der Datenverarbeitung 4
Rechte des Betroffenen 5
Datengeheimnis 6
Verarbeitung personenbezogener Daten im Auftrag 7
Automatisiertes Abrufverfahren 8
Technische und organisatorische Maßnahmen 9
Behördlicher Datenschutzbeauftragter 10
Verfahrensverzeichnis 11
Vorabkontrolle 12
ZWEITER ABSCHNITT
Rechtsgrundlagen der Datenverarbeitung
Erhebung 13
Unterrichtung bei der Erhebung 14
Speicherung, Veränderung und Nutzung 15
Übermittlung an Stellen innerhalb des öffentlichen Bereichs
16
Übermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
17
Übermittlung an Stellen außerhalb des öffentlichen
Bereichs 18
Übermittlung für Zwecke der wissenschaftlichen Forschung
19
Übermittlung an Stellen außerhalb des Geltungsbereichs
des Grundgesetzes 20
DRITTER ABSCHNITT
Rechte des Betroffenen
Auskunft 21
Berichtigung 22
Löschung 23
Sperrung 24
Schadensersatz 25
VIERTER ABSCHNITT
Landesbeauftragter für den Datenschutz
Bestellung und Rechtsstellung 26
Anrufung des Landesbeauftragten für den Datenschutz 27
Kontrolle durch den Landesbeauftragten für den Datenschutz
28
Pflicht zur Unterstützung 29
Mitteilung des Ergebnisses der Kontrolle, Beanstandungen 30
Weitere Aufgaben des Landesbeauftragten für den Datenschutz
31
Meldung an den Landesbeauftragten für den Datenschutz 32
FÜNFTER ABSCHNITT
Besondere Bestimmungen
Verarbeitung besonderer Arten personenbezogener Daten 33
Datenverarbeitung in der gemeinsamen Dienststelle 33a
Zweckbindung bei der Verarbeitung personen-bezogener Daten, die
einem Berufs- oder besonderen Amtsgeheimnis unterliegen 34
Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
35
Datenverarbeitung bei Dienst- und Arbeitsverhältnissen 36
Verarbeitung personenbezogener Daten durch den Südwestrundfunk
37
Rundfunkbeauftragter für den Datenschutz 38
SECHSTER ABSCHNITT
Bestimmungen über die Datenverarbeitung nicht-öffentlicher
Stellen
Tätigkeitsbericht 39
SIEBTER ABSCHNITT
Übergangs- und Schlussvorschriften
Ordnungswidrigkeiten 40
Straftaten 41
(aufgehoben) 42
Änderung des Landesverwaltungsverfahrens-gesetzes 43
Änderung des Vermessungsgesetzes 44
Änderung des Landeskatastrophenschutz-gesetzes 45
Änderung des Feuerwehrgesetzes 46
Änderung des Gesetzes zu dem Staatsvertrag über Bildschirmtext
47
Änderung des Meldegesetzes 48
Inkrafttreten 49
E R S T E R A B S C H N I T T
Allgemeine Bestimmungen
§ 1
Aufgabe des Gesetzes
Aufgabe dieses Gesetzes ist es, den Einzelnen davor zu schützen,
dass er durch die Verarbeitung seiner personenbezogenen Daten durch
öf-fentliche Stellen in seinem Persönlichkeitsrecht beeinträchtigt
wird.
§ 2
Anwendungsbereich
(1) Die Vorschriften dieses Gesetzes - ausge-nommen des Sechsten
Abschnitts - gelten für die Verarbeitung personenbezogener
Daten durch Behörden und sonstige öffentliche Stellen
des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen
der Aufsicht des Landes un-terstehenden juristischen Personen des
öffentli-chen Rechts (öffentliche Stellen).
(2) Als öffentliche Stellen gelten auch juristische Personen
und sonstige Vereinigungen des privaten Rechts, die Aufgaben der
öffentlichen Verwaltung wahrnehmen und an denen eine oder mehrere
der in Absatz 1 genannten juristischen Personen des öffentlichen
Rechts mit absoluter Mehrheit der Anteile oder absoluter Mehrheit
der Stimmen beteiligt sind. Beteiligt sich eine juristische Person
oder sonstige Vereinigung des privaten Rechts, auf die dieses Gesetz
nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des
privaten Rechts, so findet Satz 1 entsprechende Anwendung. Nehmen
nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen
Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne
dieses Gesetzes.
(3) Dieses Gesetz gilt für den Landtag nur, soweit er in Verwaltungsangelegenheiten
tätig wird; § 9 findet auch dann Anwendung, wenn der Landtag
bei der Wahrnehmung parlamentarischer Aufga-ben personenbezogene
Daten verarbeitet. Die §§ 10, 11, 27 bis 32 gelten für
die Gerichte nur, so-weit sie in Verwaltungsangelegenheiten tätig
werden, für den Rechnungshof und die staatlichen Rechnungsprüfungsämter
nur außerhalb ihrer Prüfungstätigkeit.
(4) Soweit öffentliche Stellen als Unternehmen mit eigener
Rechtspersönlichkeit am Wettbewerb teilnehmen, sind die für
nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutz-gesetzes
entsprechend anzuwenden. Satz 1 gilt nicht für Zweckverbände.
(5) Soweit besondere Rechtsvorschriften des Bundes oder des Landes
auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschrif-ten
dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher
Geheimhaltungspflichten und von Berufs- oder besonderen Amts-geheimnissen,
die nicht auf gesetzlichen Vor-schriften beruhen, bleibt unberührt.
§ 3
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche
oder sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener).
(2) Verarbeiten ist das Erheben, Speichern, Ver-ändern, Übermitteln,
Nutzen, Sperren und Lö-schen personenbezogener Daten. Im Einzelnen
ist, ungeachtet der dabei angewendeten Verfah-ren:
1. Erheben das Beschaffen von personenbezo-genen Daten über
den Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Auf-bewahren von personenbezogenen
Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
3. Verändern das inhaltliche Umgestalten gespei-cherter personenbezogener
Daten,
4. Übermitteln das Bekanntgeben personenbezo-gener Daten an
einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf be-reitgehaltene Daten
einsieht oder abruft,
5. Nutzen jede sonstige Verwendung personen-bezogener Daten innerhalb
der Daten verarbei-tenden Stelle,
6. Sperren die Einschränkung der weiteren Ver-arbeitung personenbezogener
Daten,
7. Löschen das Unkenntlichmachen gespeicherter personenbezogener
Daten.
(3) Verantwortliche Stelle ist jede Stelle, die per-sonenbezogene
Daten für sich selbst verarbeitet oder durch andere im Auftrag
verarbeiten lässt.
(4) Empfänger ist jede Person oder Stelle, die Daten erhält,
mit Ausnahme des Betroffenen.
(5) Dritter ist jede Person oder Stelle außerhalb der verantwortlichen
Stelle, ausgenommen der Betroffene sowie diejenige Person und Stelle,
die in einem Mitgliedstaat der Europäischen Union personenbezogene
Daten im Auftrag verarbeitet.
(6) Anonymisieren ist das Verändern personen-bezogener Daten
in der Weise, dass Einzelanga-ben über persönliche und
sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig
großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten
oder bestimmbaren natürlichen Person zugeordnet werden können.
(7) Pseudonymisieren ist das Ersetzen des Na-mens und anderer Identifikationsmerkmale
durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen
auszuschließen oder wesentlich zu erschweren.
(8) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz
eines elektronischen Datenve-rarbeitungssystems programmgesteuert
durchge-führt wird.
(9) Eine Datei ist
1. eine Sammlung personenbezogener Daten, die durch automatisierte
Verfahren nach bestimm-ten Merkmalen ausgewertet werden kann (au-tomatisierte
Datei) oder
2. eine sonstige Sammlung personenbezogener Daten, die gleichartig
aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet
und ausgewertet werden kann (nicht-automatisierte Datei).
(10) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken
dienende Unterlage. Nicht hierunter fallen Entwürfe und Notizen,
die nicht Bestandteil eines Vorgangs werden sollen.
§ 4
Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig,
1. wenn dieses Gesetz oder eine andere Rechts-vorschrift sie erlaubt
oder
2. soweit der Betroffene eingewilligt hat.
(2) Wird die Einwilligung beim Betroffenen einge-holt, ist er über
die beabsichtigte Datenverarbei-tung und den Zweck der Verarbeitung
aufzuklä-ren. Die Aufklärungspflicht umfasst bei einer
be-absichtigten Übermittlung auch den Empfänger der Daten.
Über die Möglichkeit einer weiterge-henden Datenverarbeitung
auf Grund gesetzlicher Bestimmungen ist er zu unterrichten. Der
Betrof-fene ist unter Darlegung der Folgen darauf hinzu-weisen,
dass er die Einwilligung verweigern kann und dass die Möglichkeit
besteht, die Einwilligung zu widerrufen.
(3) Die Einwilligung bedarf der Schriftform, soweit nicht wegen
besonderer Umstände eine andere Form angemessen ist. Soll die
Einwilligung zu-sammen mit anderen Erklärungen schriftlich
erteilt werden, ist die Einwilligungserklärung im äußeren
Erscheinungsbild der Erklärung hervorzuheben.
(4) Die Einwilligung kann auch elektronisch erklärt werden,
wenn die empfangende Stelle sicherstellt, dass
1. die Einwilligung nur durch eine eindeutige und bewusste Handlung
des Einwilligenden erfolgen kann,
2. sie nicht unerkennbar verändert werden kann,
3. ihr Urheber eindeutig erkannt werden kann und
4. die Einwilligung (Tag, Uhrzeit, Inhalt) protokol-liert wird.
§ 3a des Landesverwaltungsverfahrensgesetzes findet auf die
Einwilligung keine Anwendung.
(5) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer
Umstand im Sinne von Ab-satz 3 Satz 1 auch dann vor, wenn durch
die Schriftform der bestimmte Forschungszweck er-heblich beeinträchtigt
würde. In diesem Fall sind der Hinweis nach Absatz 2, die Gründe,
aus denen sich die erhebliche Beeinträchtigung des be-stimmten
Forschungszwecks ergibt, und die Ertei-lung der Einwilligung schriftlich
festzuhalten.
(6) Der Betroffene hat das Recht, gegenüber der Verarbeitung
seiner Daten, auch wenn diese rechtmäßig ist, ein schutzwürdiges,
in seiner per-sönlichen Situation begründetes Interesse
einzu-wenden (Einwendungsrecht). Die Verarbeitung ist in diesem
Fall nur zulässig, wenn eine Abwägung ergeben hat, dass
sein Interesse hinter dem öf-fentlichen Interesse an der Verarbeitung
zurück-zustehen hat. Das Ergebnis der Abwägung ist ihm
unter Angabe der Gründe mitzuteilen. Sätze 1 bis 3 finden
keine Anwendung in den in § 33 Abs. 3 genannten Fällen.
(7) Entscheidungen, die für den Betroffenen eine nachteilige
rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen,
dürfen nicht auf eine Bewertung seiner Persönlichkeitsmerkmale
gestützt werden, die ausschließlich im Wege einer automatisierten
Verarbeitung seiner personenbe-zogenen Daten zu Stande gekommen
ist.
§ 5
Rechte des Betroffenen
(1) Der Betroffene hat nach Maßgabe dieses Ge-setzes ein Recht
auf
1. Auskunft über die zu seiner Person gespei-cherten Daten
(§ 21),
2. Berichtigung, Löschung und Sperrung der zu seiner Person
gespeicherten Daten (§§ 22 bis 24),
3. Auskunft aus dem Verfahrensverzeichnis (§ 11 Abs. 4),
4. Einwendung eines schutzwürdigen, in seiner persönlichen
Situation begründeten Interesses gegenüber der Verarbeitung
seiner Daten (§ 4 Abs. 6),
5. Schadensersatz (§ 25),
6. Anrufung des Landesbeauftragten für den Da-tenschutz (§
27).
Diese Rechte können nicht durch Rechtsgeschäft ausgeschlossen
oder beschränkt werden.
(2) Wird für den Erhalt einer Leistung, das Erken-nen einer
Person oder für einen anderen Zweck ein Datenträger herausgegeben,
den der Inhaber mit sich führen kann und auf dem seine perso-nenbezogenen
Daten automatisiert verarbeitet werden, hat die verantwortliche
Stelle sicherzus-tellen, dass er dies erkennen und seine ihm nach
Absatz 1 Nr. 1 bis 6 zustehenden Rechte ohne unvertretbaren Aufwand
geltend machen kann. Der Inhaber ist bei Ausgabe des Datenträgers
über die ihm nach Absatz 1 zustehenden Rechte sowie über
die von ihm bei Verlust des Datenträgers zu treffenden Maßnahmen
und über die Folgen aufzuklären.
§ 6
Datengeheimnis
Den bei öffentlichen Stellen beschäftigten Perso-nen ist
untersagt, personenbezogene Daten un-befugt zu verarbeiten oder
sonst zu verwenden (Datengeheimnis). Das Datengeheimnis besteht
auch nach Beendigung ihrer Tätigkeit fort.
§ 7
Verarbeitung personenbezogener Daten
im Auftrag
(1) Werden personenbezogene Daten im Auftrag öffentlicher Stellen
durch andere Personen oder Stellen verarbeitet, bleibt der Auftraggeber
für die Einhaltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz ver-antwortlich. Die in §
5 Abs. 1 Satz 1 Nr. 1 bis 5 genannten Rechte sind ihm gegenüber
geltend zu machen.
(2) Der Auftraggeber hat den Auftragnehmer sorg-fältig auszuwählen.
Dabei ist besonders zu be-rücksichtigen, ob der Auftragnehmer
ausreichend Gewähr dafür bietet, dass er die für
eine daten-schutzgerechte Datenverarbeitung erforderlichen technischen
und organisatorischen Maßnahmen zu treffen in der Lage ist.
Der Auftrag ist schriftlich zu erteilen. Dabei sind insbesondere
Gegenstand und Umfang der Datenverarbeitung, die notwen-digen technischen
und organisatorischen Maß-nahmen, etwaige Unterauftragsverhältnisse
sowie die Befugnis des Auftraggebers festzulegen, dass er hinsichtlich
der Verarbeitung personenbezoge-ner Daten dem Auftragnehmer Weisungen
erteilen darf. Der Auftrag kann auch durch die Fach-aufsichtsbehörde
mit Wirkung für ihrer Aufsicht unterliegende Stellen des Landes
erteilt werden; diese sind von der Auftragserteilung zu unterrich-ten.
Der Auftraggeber hat sich von der Einhaltung der getroffenen technischen
und organisatori-schen Maßnahmen durch den Auftragnehmer zu
überzeugen.
(3) Ist der Auftragnehmer eine öffentliche Stelle, gelten für
ihn nur die §§ 6, 9, 10, 27 bis 31, 40 und 41. Die Verarbeitung
personenbezogener Daten ist nur im Rahmen des Auftrags und der Weisungen
zulässig. Ist der Auftragnehmer der Ansicht, dass der Auftrag,
einzelne Bestimmungen des Auftrags oder eine Weisung des Auftraggebers
gegen dieses Gesetz oder andere Vorschriften über den Datenschutz
verstoßen, hat er den Auftraggeber unverzüglich darauf
hinzuweisen.
(4) Soweit juristische Personen, Gesellschaften und andere Personenvereinigungen
des privaten Rechts, bei denen dem Land oder der Aufsicht des Landes
unterstehenden juristischen Personen des öffentlichen Rechts
die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen
zusteht, für eine öffentliche Stelle Daten im Auftrag
verarbei-ten, gelten die §§ 27 bis 31 entsprechend. Dies
gilt nicht, soweit diese Personen oder Personen-vereinigungen personenbezogene
Daten im Auf-trag eines der in § 2 Abs. 4 Satz 1 genannten
Un-ternehmen oder deren Vereinigungen verarbeiten.
(5) Werden Wartungsarbeiten und vergleichbare Hilfstätigkeiten
bei der Datenverarbeitung durch Stellen oder Personen außerhalb
der verantwort-lichen Stelle erbracht, gilt dies als Datenverarbei-tung
im Auftrag.
§ 8
Automatisiertes Abrufverfahren
(1) Ein automatisiertes Verfahren, das die Über-mittlung personenbezogener
Daten durch Abruf ermöglicht, darf nur eingerichtet werden,
soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen
Interessen der Betroffenen und der Aufgaben der beteiligten Stellen
angemessen ist.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die
Zulässigkeit des Abrufverfahrens kontrolliert werden kann.
Hierzu haben sie schrift-lich festzulegen
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der abzurufenden Daten,
4. nach § 9 erforderliche technische und organi-satorische
Maßnahmen.
Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde
mit Wirkung für ihrer Aufsicht unterliegende Stellen des Landes
getroffen werden.
(3) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach
den für die Erhebung und Übermittlung geltenden Vorschriften.
Die Verantwortung für die Zulässigkeit des einzelnen Abrufs
trägt der Dritte, an den übermittelt wird. Die speichernde
Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu
Anlass besteht. Die speichernde Stelle hat zu gewährleisten,
dass die Übermittlung personen-bezogener Daten zumindest durch
geeignete Stichprobenverfahren festgestellt und überprüft
werden kann.
(4) Für die Einrichtung oder wesentliche Änderung eines
automatisierten Verfahrens, das den Abruf personenbezogener Daten
nur innerhalb einer öffentlichen Stelle ermöglicht, gelten
die Absätze 1 und 2 entsprechend, wenn die Daten für einen
anderen Zweck als den, für den sie gespeichert worden sind,
genutzt werden sollen; dabei ist eine angemessene Abrufkontrolle
zu gewährleisten.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus
Datenbeständen, die jedermann ohne oder nach besonderer Zulassung
zur Benutzung offen stehen oder deren Veröffentlichung zulässig
wäre.
§ 9
Technische und organisatorische Maßnahmen
(1) Die Gestaltung und Auswahl der technischen Einrichtungen und
der Verfahren zur automatisier-ten Verarbeitung personenbezogener
Daten hat sich an dem Grundsatz auszurichten, keine oder so wenige
personenbezogene Daten wie möglich zu verarbeiten.
(2) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene
Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen
zu treffen, die erforderlich sind, um eine den Vor-schriften dieses
Gesetzes entsprechende Daten-verarbeitung zu gewährleisten.
Erforderlich sind Maßnahmen, wenn ihr Aufwand, insbesondere
unter Berücksichtigung der Art der zu schützenden personenbezogenen
Daten, in einem ange-messenen Verhältnis zu dem angestrebten
Schutzzweck steht.
(3) Werden personenbezogene Daten automati-siert verarbeitet, sind
je nach Art und Verwendung der zu schützenden personenbezogenen
Daten und unter Berücksichtigung des Standes der Technik Maßnahmen
zu treffen, die geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbei-tungsanlagen zu verwehren
(Zutrittskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert,
verändert oder entfernt wer-den können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme,
Veränderung oder Löschung gespeicherter Daten zu ver-hindern
(Speicherkontrolle),
4. zu verhindern, dass Datenverarbeitungssys-teme mit Hilfe von
Einrichtungen zur Daten-übertragung von Unbefugten genutzt
werden können (Benutzerkontrolle),
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtig-ten ausschließlich auf die ihrer Zugriffsbe-rechtigung
unterliegenden Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, dass überprüft und festges-tellt
werden kann, an welche Stellen Daten durch Einrichtungen zur Datenübertragung
übermittelt werden können (Übermittlungs-kontrolle),
7. zu gewährleisten, dass nachträglich überprüft
und festgestellt werden kann, welche Daten zu welcher Zeit von wem
in Datenverarbei-tungssysteme eingegeben worden sind (Ein-gabekontrolle),
8. zu gewährleisten, dass Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet
werden können (Auftragskontrolle),
9. zu gewährleisten, dass bei der Übertragung von Daten
sowie beim Transport von Daten-trägern die Daten nicht unbefugt
gelesen, ko-piert, verändert oder gelöscht werden können
(Transportkontrolle),
10. zu gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
und
11. die innerbehördliche oder innerbetriebliche Organisation
so zu gestalten, dass sie den besonderen Anforderungen des Datenschut-zes
gerecht wird (Organisationskontrolle).
(4) Die Landesregierung wird ermächtigt, die in Absatz 3 genannten
Anforderungen nach dem jeweiligen Stand der Technik und Organisation
durch Rechtsverordnung fortzuschreiben.
(5) Werden personenbezogene Daten in nicht-automatisierten Dateien
oder in Akten verarbeitet, sind insbesondere Maßnahmen zu
treffen, um zu verhindern, dass Unbefugte bei der Bearbeitung, der
Aufbewahrung, dem Transport und der Ver-nichtung auf die Daten zugreifen
können.
§ 10
Behördlicher Datenschutzbeauftragter
(1) Öffentliche Stellen können einen behördlichen
Datenschutzbeauftragten bestellen. Die Bestellung bedarf der Schriftform.
(2) Bestellt werden darf nur, wer die zur Erfüllung seiner
Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt
und durch die Bestellung keinem Interessenkonflikt ausgesetzt wird.
Die öffentliche Stelle kann einen Bediensteten ihrer Aufsichtsbehörde
mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen.
Meh-rere Stellen können gemeinsam einen Daten-schutzbeauftragten
bestellen.
(3) Der behördliche Datenschutzbeauftragte ist bei der Erfüllung
seiner Aufgaben der Behördenleitung unmittelbar zu unterstellen.
Er ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf
deswegen nicht benachteiligt werden.
(4) Der behördliche Datenschutzbeauftragte hat die Aufgabe,
die öffentliche Stelle bei der Ausfüh-rung dieses Gesetzes
sowie anderer Vorschriften über den Datenschutz zu unterstützen.
Zu seinen Aufgaben gehört es insbesondere,
1. auf die Einhaltung der Datenschutzvorschriften bei der Planung,
Einführung und Anwendung von Verfahren, mit denen personenbezogene
Daten automatisiert verarbeitet werden, hinzu-wirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen
Personen durch geeignete Maß-nahmen mit den Bestimmungen dieses
Geset-zes sowie den sonstigen Vorschriften über den Datenschutz
und den besonderen Erfordernis-sen des Datenschutzes in ihrem Tätigkeitsbe-reich
vertraut zu machen sowie
3. das Verfahrensverzeichnis (§ 11) zu führen.
Der behördliche Datenschutzbeauftragte ist vor dem Einsatz
oder der wesentlichen Änderung eines automatisierten Verfahrens
rechtzeitig zu unterrichten.
§ 11
Verfahrensverzeichnis
(1) Jede öffentliche Stelle führt ein Verzeichnis der
automatisierten Verfahren, mit denen perso-nenbezogene Daten verarbeitet
werden (Verfah-rensverzeichnis). Das Verzeichnis kann auch von einer
Stelle für andere Stellen geführt werden.
(2) In das Verfahrensverzeichnis sind einzutragen:
1. Name und Anschrift der verantwortlichen Stelle,
2. die Bezeichnung des Verfahrens,
3. die Zweckbestimmung und die Rechtsgrund-lage der Verarbeitung,
4. die Art der gespeicherten Daten,
5. der Kreis der Betroffenen,
6. die Empfänger der Daten oder Gruppen von Empfängern
sowie die jeweiligen Datenarten, wenn vorgesehen ist,
a) die Daten zu übermitteln,
b) sie innerhalb der öffentlichen Stelle für ei-nen weiteren
Zweck zu nutzen oder
c) sie im Auftrag verarbeiten zu lassen,
7. die Fristen für die Prüfung der Sperrung und Löschung
der Daten oder für die Sperrung und Löschung,
8. die zugriffsberechtigten Personengruppen oder Personen, die allein
zugriffsberechtigt sind,
9. eine allgemeine Beschreibung der eingesetz-ten Hardware, der
Vernetzung und der Soft-ware und
10. die technischen und organisatorischen Maß-nahmen nach
§ 9.
(3) Absatz 1 gilt nicht für Verfahren, deren einziger Zweck
das Führen eines Registers ist, das zur Information der Öffentlichkeit
bestimmt ist und allen Personen, die ein berechtigtes Interesse
nachweisen können, zur Einsichtnahme offen steht, sowie für
Verfahren, die allgemeinen Ver-waltungszwecken dienen, insbesondere
Verfahren der Textverarbeitung.
(4) Die öffentliche Stelle macht die Angaben nach Absatz 2
Nr. 1 bis 7 des Verfahrensverzeichnisses auf Antrag jedermann in
geeigneter Weise verfügbar. Satz 1 findet keine Anwendung auf
Verfahren des Landesamtes für Verfassungs-schutz.
§ 12
Vorabkontrolle
Wer für den Einsatz oder die wesentliche Ände-rung eines
automatisierten Verfahrens zur Verar-beitung personenbezogener Daten
zuständig ist, das mit besonderen Gefahren für das Persönlich-keitsrecht
verbunden sein kann, insbesondere auf Grund der Art oder der Zweckbestimmung
der Verarbeitung, darf das Verfahren erst einsetzen, wenn sichergestellt
ist, dass diese Gefahren nicht bestehen oder durch technische oder
organisato-rische Maßnahmen verhindert werden; dies gilt insbesondere
für die Einrichtung eines automati-sierten Abrufverfahrens
nach § 8, für automati-sierte Verfahren, mit denen Daten
nach § 33 ver-arbeitet werden, und für die Herausgabe
von Da-tenträgern nach § 5 Abs. 2. Das Ergebnis der Un-tersuchung
und dessen Begründung sind aufzu-zeichnen und dem behördlichen
Datenschutzbe-auftragten oder, wenn ein solcher nicht bestellt ist,
dem Landesbeauftragten für den Datenschutz zur Prüfung
zuzuleiten. Der behördliche Daten-schutzbeauftragte wendet
sich in Zweifelsfällen an den Landesbeauftragten für den
Datenschutz.
Z W E I T E R A B S C H N I T T
Rechtsgrundlagen der Datenverarbeitung
§ 13
Erhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn
ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle
erforderlich ist.
(2) Personenbezogene Daten, die nicht aus all-gemein zugänglichen
Quellen entnommen wer-den, sind beim Betroffenen mit seiner Kenntnis
zu erheben. Werden Daten nicht über eine bestimmte Person,
sondern über einen bestimmten Per-sonenkreis, etwa durch Videoüberwachung,
erho-ben, muss der Betroffene die seinen schutzwürdi-gen Belangen
angemessene Möglichkeit zur Kenntnisnahme erhalten.
(3) Personenbezogene Daten dürfen beim Betrof-fenen ohne seine
Kenntnis nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwin-gend voraussetzt
oder
2. die zu erfüllende Aufgabe ihrer Art nach eine solche Erhebung
erforderlich macht und keine Anhaltspunkte dafür vorliegen,
dass ihr über-wiegende schutzwürdige Interessen des Be-troffenen
entgegenstehen.
(4) Bei Dritten dürfen personenbezogene Daten nur erhoben werden,
wenn
1. einer der in § 15 Abs. 2 Nr. 1 bis 6 genannten Fälle
vorliegt oder
2. die zu erfüllende Aufgabe ihrer Art nach eine solche Erhebung
erforderlich macht und keine Anhaltspunkte dafür vorliegen,
dass ihr über-wiegende schutzwürdige Interessen des Be-troffenen
entgegenstehen.
§ 14
Unterrichtung bei der Erhebung
(1) Werden personenbezogene Daten beim Be-troffenen mit seiner Kenntnis
erhoben, sind ihm gegenüber anzugeben:
1. die beabsichtigte Datenverarbeitung und der Zweck der Verarbeitung
sowie
2. bei einer beabsichtigten Übermittlung auch die Empfänger
der Daten oder Gruppen von Emp-fängern, soweit der Betroffene
nach den Um-ständen des Einzelfalls nicht mit der Übermitt-lung
an diese rechnen muss.
Werden die Daten auf Grund einer Rechtsvor-schrift erhoben, die
zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung
für die Gewährung von Rechtsvorteilen, so ist der Betroffene
hierauf, sonst auf die Freiwilligkeit sei-ner Angaben hinzuweisen.
Über die der Aus-kunftspflicht zu Grunde liegende Rechtsvorschrift
und die Folgen der Verweigerung von Angaben ist der Betroffene bei
Verwendung eines Erhebungs-vordrucks stets, sonst nur auf Verlangen
aufzuklä-ren. Bei Verwendung eines Erhebungsvordrucks ist der
Betroffene auch auf das Bestehen von Auskunfts- und Berichtigungsrechten
hinzuweisen.
(2) Werden Daten beim Betroffenen ohne seine Kenntnis oder bei Dritten
erhoben, ist der Betrof-fene entsprechend Absatz 1 Satz 1 zu benach-richtigen,
wenn die Daten in einer Datei gespei-chert werden. Bei schriftlicher
Benachrichtigung ist der Betroffene auch auf das Bestehen von Auskunfts-
und Berichtigungsrechten hinzuweisen. Die Benachrichtigung erfolgt
zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten
Übermittlung spätestens bei der ersten Übermitt-lung.
Sätze 1 bis 3 finden keine Anwendung auf Verfahren des Landesamtes
für Verfassungs-schutz.
(3) Eine Pflicht zur Benachrichtigung besteht in den Fällen
des Absatzes 2 nicht, wenn
1. die Verarbeitung der Daten durch Gesetz aus-drücklich vorgesehen
ist,
2. der Betroffene auf andere Weise Kenntnis von der Verarbeitung
seiner Daten erlangt,
3. die Benachrichtigung des Betroffenen einen unverhältnismäßigen
Aufwand erfordern wür-de,
4. die Benachrichtigung die ordnungsgemäße Erfüllung
von Aufgaben der Gefahrenabwehr oder von Aufgaben der Finanzverwaltung
im Anwendungsbereich der Abgabenordnung zur Überwachung und
Prüfung oder die Verfolgung von Straftaten oder Ordnungswidrigkeiten
ge-fährden würde,
5. die Benachrichtigung die Sicherheit des Bundes oder eines Landes
gefährden würde,
6. die Daten oder die Tatsache ihrer Speicherung zum Schutze des
Betroffenen oder zum Schut-ze der Rechte Dritter geheim gehalten
werden müssen und deshalb das Interesse des Betrof-fenen an
der Benachrichtigung zurücktreten muss oder
7. die Daten ausschließlich für Zwecke der wis-senschaftlichen
Forschung oder der Statistik verarbeitet werden.
(4) Werden personenbezogene Daten bei einem Dritten außerhalb
des öffentlichen Bereichs erho-ben, so ist er auf Verlangen
auf den Erhebungs-zweck hinzuweisen, soweit dadurch schutzwürdi-ge
Interessen des Betroffenen nicht beeinträchtigt werden. Werden
die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft
ver-pflichtet, so ist er auf die Auskunftspflicht, sonst auf die
Freiwilligkeit seiner Angaben hinzuweisen. Über die der Auskunftspflicht
zu Grunde liegende Rechtsvorschrift und die Folgen der Verweigerung
von Angaben ist er bei Verwendung eines Erhe-bungsvordrucks stets,
sonst nur auf Verlangen aufzuklären.
§ 15
Speicherung, Veränderung und Nutzung
(1) Das Speichern, Verändern und Nutzen perso-nenbezogener
Daten ist zulässig, wenn es
1. zur Erfüllung der Aufgaben der öffentlichen Stelle
erforderlich ist und
2. für Zwecke erfolgt, für die die Daten erhoben worden
sind; ist keine Erhebung vorausgegan-gen, dürfen die Daten
nur für Zwecke genutzt werden, für die sie erstmals gespeichert
wor-den sind.
(2) Das Speichern, Verändern und Nutzen perso-nenbezogener
Daten für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwin-gend voraussetzt,
2. der Betroffene eingewilligt hat oder offensich-tlich ist, dass
dies im Interesse des Betroffenen liegt, und kein Grund zu der Annahme
besteht, dass er seine Einwilligung hierzu verweigern würde,
3. der Betroffene einer durch Rechtsvorschrift festgelegten Auskunftspflicht
nicht nachge-kommen und über die beabsichtigte Datenver-arbeitung
unterrichtet worden ist,
4. Angaben des Betroffenen überprüft werden müssen,
weil tatsächliche Anhaltspunkte für deren Unrichtigkeit
bestehen,
5. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder
einer sonst unmittelbar dro-henden Gefahr für die öffentliche
Sicherheit oder zur Abwehr einer schwerwiegenden Be-einträchtigung
der Rechte einer anderen Per-son erforderlich ist,
6. die Erhebung beim Betroffenen einen unver-hältnismäßigen
Aufwand erfordern würde, es sei denn, dass überwiegende
schutzwürdige Interessen des Betroffenen entgegenstehen,
7. die Daten aus allgemein zugänglichen Quellen entnommen werden
können oder die verant-wortliche Stelle sie veröffentlichen
dürfte, es sei denn, dass überwiegende schutzwürdige
Interessen des Betroffenen entgegenstehen, oder
8. es zur Verfolgung von Straftaten oder Ord-nungswidrigkeiten,
zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen
im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von
Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsge-setzes
oder zur Vollstreckung von Bußgeldent-scheidungen erforderlich
ist.
(3) Eine Speicherung oder Nutzung für andere Zwecke liegt nicht
vor, wenn sie der Wahrneh-mung von Aufsichts- und Kontrollbefugnissen,
der Rechnungsprüfung, der Durchführung von Orga-nisationsuntersuchungen,
der Prüfung und War-tung von automatisierten Verfahren der
Datenver-arbeitung sowie statistischen Zwecken oder Zwe-cken der
Durchführung eigener wissenschaftlicher Forschung der speichernden
Stelle dient. Dies gilt auch für die Speicherung und Nutzung
zu Ausbil-dungs- und Prüfungszwecken, soweit nicht über-wiegende
schutzwürdige Interessen des Betroffe-nen entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zum Zweck der
Datenschutzkontrolle, der Daten-sicherung oder zur Sicherstellung
eines ord-nungsgemäßen Betriebs einer Datenverarbei-tungsanlage
gespeichert werden, dürfen nur für diesen Zweck und hiermit
in Zusammenhang ste-hende Maßnahmen gegenüber Bediensteten
ge-nutzt werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 bis 3 gespeichert
werden dürfen, weitere personenbezogene Daten des Betroffenen
oder eines Dritten in Akten so verbunden, dass eine Trennung nicht
oder nur mit unverhältnismäßigem Aufwand möglich
ist, so ist die Speicherung auch dieser Daten zulässig, soweit
nicht schutzwürdige Interessen des Betroffenen oder eines Dritten
an deren Geheimhaltung offensichtlich überwiegen. Unter denselben
Voraussetzungen dürfen die für die Aufgabenerfüllung
nicht erforderlichen Daten innerhalb der speichernden Stelle weitergegeben
werden; eine darüber hinausgehende Nutzung dieser Daten ist
unzulässig.
§ 16
Übermittlung an Stellen innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an Stellen innerhalb
des öffentlichen Bereichs ist zulässig, wenn sie
1. zur Erfüllung der Aufgaben der übermittelnden Stelle
oder der Stelle, an die die Daten über-mittelt werden, erforderlich
ist und
2. für Zwecke erfolgt, für die eine Nutzung nach §
15 Abs. 1 bis 4 zulässig wäre.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung
trägt die übermittelnde Stelle. Erfolgt die Übermittlung
auf Ersuchen einer öffentlichen Stelle im Geltungsbereich des
Grundgesetzes, trägt diese die Verantwortung. In diesem Fall
prüft die übermittelnde Stelle nur, ob das Übermitt-lungsersuchen
im Rahmen der Aufgaben der er-suchenden Stelle liegt, es sei denn,
dass beson-derer Anlass zur Prüfung der Zulässigkeit der
Übermittlung besteht. § 8 Abs. 3 Satz 2 und 3 bleibt unberührt.
(3) Die Stelle, an die die Daten übermittelt werden, darf sie
nur für den Zweck verarbeiten, zu dessen Erfüllung sie
ihr übermittelt worden sind. Eine Verarbeitung für andere
Zwecke ist nur unter den Voraussetzungen des § 15 Abs. 2 zulässig.
(4) Auf die Übermittlung verbundener Daten findet § 15
Abs. 5 entsprechende Anwendung.
§ 17
Übermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
Für die Übermittlung personenbezogener Daten an Stellen
der öffentlich-rechtlichen Religionsge-sellschaften gilt §
16 Abs. 1 bis 3 entsprechend, sofern für diese Stellen ausreichende
Daten-schutzregelungen gelten. Die Feststellung hierüber trifft
das Innenministerium.
§ 18
Übermittlung an Stellen außerhalb des öffentlichen
Bereichs
(1) Die Übermittlung personenbezogener Daten an Personen oder
Stellen außerhalb des öffentlichen Bereichs ist zulässig,
wenn
1. sie zur Erfüllung der Aufgaben der übermitteln-den
Stelle erforderlich ist und für Zwecke er-folgt, für die
eine Nutzung nach § 15 Abs. 1 bis 4 zulässig wäre,
oder
2. der Dritte, an den die Daten übermittelt werden sollen,
ein berechtigtes Interesse an der Kenn-tnis der zu übermittelnden
Daten glaubhaft dar-legt und der Betroffene kein schutzwürdiges
Interesse am Ausschluss der Übermittlung hat.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung
trägt die übermittelnde Stelle.
(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2
unterrichtet die übermittelnde Stelle den Betroffenen von der
Übermittlung seiner Daten, insbesondere über den Dritten,
an den die Daten übermittelt werden, und den Zweck der Übermitt-lung.
Dies gilt nicht, wenn die Unterrichtung einen unverhältnismäßigen
Aufwand erfordern würde, der Betroffene von der Übermittlung
auf andere Weise Kenntnis erlangt, die Unterrichtung wegen der Art
der personenbezogenen Daten unter Be-rücksichtigung der schutzwürdigen
Interessen des Betroffenen nicht geboten erscheint oder wenn die
Unterrichtung die öffentliche Sicherheit gefährden oder
sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten
würde.
(4) Die Stelle, an die die Daten übermittelt werden, darf diese
nur für den Zweck verarbeiten, zu dessen Erfüllung sie
ihr übermittelt worden sind. Die übermittelnde Stelle
hat sie in den Fällen des Absatzes 1 Nr. 2 hierauf hinzuweisen.
Eine Ver-arbeitung für andere Zwecke ist nur zulässig,
wenn eine Übermittlung nach Absatz 1 zulässig wäre
und die übermittelnde Stelle eingewilligt hat.
(5) Die übermittelnde Stelle soll die Übermittlung mit
Auflagen versehen, die den Datenschutz bei dem Dritten, an den die
Daten übermittelt werden, sicherstellen, oder mit dem Dritten
Vereinbarun-gen zur Gewährleistung des Datenschutzes tref-fen.
§ 19
Übermittlung für Zwecke der
wissenschaftlichen Forschung
(1) Die Übermittlung personenbezogener Daten für Zwecke
der wissenschaftlichen Forschung an Stellen innerhalb des öffentlichen
Bereichs ist zulässig, wenn dies zur Durchführung wissen-schaftlicher
Forschung erforderlich ist, das wis-senschaftliche Interesse an
der Durchführung des Forschungsvorhabens das Interesse des
Betrof-fenen am Ausschluss der Übermittlung erheblich überwiegt
und der Zweck der Forschung auf an-dere Weise nicht oder nur mit
unverhältnismäßi-gem Aufwand erreicht werden kann.
Kann der Zweck der Forschung auch mit anonymisierten Daten erreicht
werden und steht der verantwortli-chen Stelle nicht ausreichend
Personal für eine Anonymisierung der Daten zur Verfügung,
können die mit der Durchführung des Forschungsvorha-bens
befassten Personen diese Aufgabe für die verantwortliche Stelle
unter deren Aufsicht wahr-nehmen. Die betreffenden Personen sind
zuvor nach dem Verpflichtungsgesetz zu verpflichten.
(2) Für die Übermittlung personenbezogener Da-ten an Stellen
außerhalb des öffentlichen Bereichs gilt Absatz 1 mit
der Maßgabe, dass die Übermittlung nur zulässig
ist, wenn sich die Stelle verpflichtet, die übermittelten Daten
nicht für an-dere Zwecke zu verarbeiten und die Bestimmun-gen
des § 35 Abs. 2 und 3 einzuhalten.
§ 20
Übermittlung an Stellen außerhalb des
Geltungsbereichs des Grundgesetzes
(1) Für die Übermittlung personenbezogener Da-ten an Stellen
1. in anderen Mitgliedstaaten der Europäischen Union,
2. in anderen Vertragsstaaten des Abkommens über den Europäischen
Wirtschaftsraum oder
3. der Organe und Einrichtungen der Europä-ischen Gemeinschaften
gelten §§ 16, 18 und 19 entsprechend.
(2) Die Übermittlung personenbezogener Daten in Staaten außerhalb
der Europäischen Union oder an über- oder zwischenstaatliche
Stellen ist unter den Voraussetzungen der §§ 18 und 19
zulässig, soweit in den folgenden Absätzen nichts anderes
bestimmt ist.
(3) Die Übermittlung unterbleibt, soweit
1. Grund zu der Annahme besteht, dass durch sie gegen den Zweck
eines deutschen Gesetzes verstoßen würde, oder
2. der Betroffene ein überwiegendes schutzwürdi-ges Interesse
an dem Ausschluss der Über-mittlung hat, insbesondere wenn
in dem Staat außerhalb der Europäischen Union oder bei
der über- oder zwischenstaatlichen Stelle ein angemessenes
Datenschutzniveau nicht ge-währleistet ist.
Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung
aller Umstände beurteilt, die bei Datenübermittlungen
von Bedeutung sind; insbesondere können die Art der Daten,
die Zweckbestimmung, die Dauer der geplanten Ver-arbeitung, das
Herkunfts- und das Endbestim-mungsland, die für den Empfänger
geltenden Rechtsnormen sowie die dort geltenden Standes-regeln und
Sicherheitsmaßnahmen herangezogen werden.
(4) Ist in dem Staat, in den die Daten übermittelt werden sollen,
kein angemessenes Datenschutz-niveau gewährleistet, ist die
Übermittlung nur zu-lässig, wenn
1. der Betroffene eingewilligt hat,
2. die Übermittlung für die Wahrung eines über-wiegenden
öffentlichen Interesses oder zur Geltendmachung rechtlicher
Ansprüche vor Gericht einschließlich eines Vorverfahrens
er-forderlich ist,
3. die Übermittlung für die Wahrung lebenswichti-ger Interessen
des Betroffenen erforderlich ist oder
4. die Übermittlung aus einem Register erfolgt, das zur Information
der Öffentlichkeit bestimmt ist und allen Personen, die ein
berechtigtes Interesse nachweisen können, zur Einsich-tnahme
offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall
gegeben sind.
(5) Ist in dem Staat, in den die Daten übermittelt werden sollen,
kein angemessenes Datenschutz-niveau gewährleistet, ist unbeschadet
des Absat-zes 4 eine Übermittlung auch zulässig, wenn
die Person oder Stelle, an die die Daten übermittelt werden
sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts
und der Ausübung der damit verbundenen Rechte vorweist; diese
Garantien können sich auch aus Vertragsklauseln ergeben.
D R I T T E R A B S C H N I T T
Rechte des Betroffenen
§ 21
Auskunft
(1) Dem Betroffenen ist von der speichernden Stelle auf Antrag unentgeltlich
Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten,
2. den Zweck der Verarbeitung,
3. die Herkunft der Daten, soweit diese gespei-chert oder sonst
bekannt ist, und die Empfän-ger oder Gruppen von Empfängern,
an die die Daten übermittelt werden sollen, sowie
4. den strukturierten Ablauf der automatisierten Verarbeitung der
ihn betreffenden Daten in den Fällen des § 4 Abs. 7 und
die dabei herange-zogenen Entscheidungskriterien.
Dies gilt nicht für personenbezogene Daten, die ausschließlich
zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert
sind.
(2) In dem Antrag soll die Art der personenbezo-genen Daten näher
bezeichnet werden, über die Auskunft erteilt werden soll. Sind
die personenbe-zogenen Daten in Akten gespeichert, wird Aus-kunft
nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden
der Daten ermöglichen und der für die Erteilung der Auskunft
erforderli-che Aufwand nicht außer Verhältnis zu dem
vom Betroffenen geltend gemachten Informationsinter-esse steht.
(3) Die speichernde Stelle bestimmt das Verfah-ren, insbesondere
die Form der Auskunftsertei-lung, nach pflichtgemäßem
Ermessen. Sind die Daten in Akten gespeichert, ist dem Betroffenen
auf Verlangen Akteneinsicht zu gewähren; Ab-satz 2 Satz 2 findet
entsprechende Anwendung. Ein Recht auf Akteneinsicht besteht nicht,
wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen
nicht personenbezo-genen Daten derart verbunden sind, dass ihre
Trennung nicht oder nur mit unverhältnismäßig großem
Aufwand möglich ist. In diesem Fall ist dem Betroffenen Auskunft
zu erteilen. Rechtsvor-schriften über die Akteneinsicht im
Verwaltungs-verfahren bleiben unberührt.
(4) Bezieht sich die Auskunftserteilung auf die Übermittlung
personenbezogener Daten an Be-hörden der Staatsanwaltschaften,
an Polizei-dienststellen, Verfassungsschutzbehörden und Behörden
der Finanzverwaltung, soweit sie per-sonenbezogene Daten in Erfüllung
ihrer gesetzli-chen Aufgaben im Anwendungsbereich der Ab-gabenordnung
zur Überwachung und Prüfung speichern, ist sie nur mit
Zustimmung dieser oder der nach Absatz 7 zuständigen Stelle
zulässig. Satz 1 findet auch Anwendung auf die Über-mittlung
personenbezogener Daten an den Bun-desnachrichtendienst, den Militärischen
Ab-schirmdienst und, soweit die Sicherheit des Bun-des berührt
wird, andere Behörden des Bundes-ministers der Verteidigung.
Für die Versagung der Zustimmung gelten die Absätze 5
und 6 entspre-chend.
(5) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemäße Erfüllung der
in der Zuständigkeit der speichernden Stelle liegenden Aufgaben
gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden
oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten
würde oder
3. die personenbezogenen Daten oder die Tatsa-che ihrer Speicherung
nach einer Rechtsvor-schrift oder ihrem Wesen nach, insbesondere
wegen überwiegender berechtigter Interessen eines Dritten,
geheim gehalten werden müssen
und deswegen das Interesse des Betroffenen an der Auskunftserteilung
zurücktreten muss.
(6) Die Ablehnung der Auskunftserteilung bedarf keiner Begründung,
soweit durch die Mitteilung der tatsächlichen und rechtlichen
Gründe der mit der Auskunftsverweigerung verfolgte Zweck ge-fährdet
würde. In diesem Fall ist der Betroffene darauf hinzuweisen,
dass er den Landesbeauft-ragten für den Datenschutz anrufen
kann.
(7) Die fachlich zuständige oberste Landesbehör-de kann
durch Rechtsverordnung bestimmen, dass eine andere als die speichernde
Stelle die Auskunft erteilt.
§ 22
Berichtigung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig
sind. Wird bei personenbezo-genen Daten in Akten festgestellt, dass
sie unrich-tig sind, oder wird ihre Richtigkeit vom Betroffenen
bestritten, so ist dies in der Akte zu vermerken oder auf sonstige
Weise festzuhalten.
(2) Von der Berichtigung unrichtiger Daten sind die Empfänger
der Daten zu verständigen, soweit dies zur Wahrung schutzwürdiger
Interessen des Betroffenen oder zur Erfüllung der Aufgaben
der verantwortlichen Stelle oder des Empfängers er-forderlich
erscheint; dies gilt nicht, wenn dies einen unverhältnismäßigen
Aufwand erfordern würde.
§ 23
Löschung
(1) Personenbezogene Daten in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die speichernde Stelle zur Erfüllung
ihrer Aufgaben nicht mehr erforder-lich ist.
(2) Personenbezogene Daten in Akten sind zu löschen, wenn die
speichernde Stelle im Einzelfall feststellt, dass die gesamte Akte
zur Aufgabener-füllung nicht mehr erforderlich ist.
(3) Vor einer Löschung sind die Daten dem zu-ständigen
Archiv nach Maßgabe der §§ 3, 7 und 8 des Landesarchivgesetzes
zur Übernahme anzu-bieten.
(4) Die Löschung unterbleibt, wenn
1. Grund zu der Annahme besteht, dass durch sie schutzwürdige
Interessen des Betroffenen be-einträchtigt würden, oder
2. sie wegen der besonderen Art der Speicherung nicht oder nur mit
unverhältnismäßig hohem Aufwand möglich ist.
(5) Von einer Löschung unzulässig gespeicherter Daten
sind die Empfänger der Daten nach Maß-gabe des §
22 Abs. 2 zu verständigen.
§ 24
Sperrung
(1) Personenbezogene Daten in Dateien sind zu sperren, wenn
1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder
die Richtigkeit noch die Unrich-tigkeit feststellen lässt oder
2. in den Fällen des § 23 Abs. 4 eine Löschung unterbleibt.
(2) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde
Stelle im Einzelfall feststellt, dass die Daten unzulässig
gespeichert sind. Sie sind ferner zu sperren, wenn die spei-chernde
Stelle im Einzelfall feststellt, dass die Daten zur Aufgabenerfüllung
nicht mehr erforder-lich sind, eine Löschung nach § 23
Abs. 2 nicht in Betracht kommt und ohne die Sperrung schutz-würdige
Interessen des Betroffenen beeinträchtigt würden.
(3) Gesperrte personenbezogene Daten sind ge-sondert aufzubewahren;
bei automatisierten Ver-fahren kann die Sperrung statt dessen auch
durch zusätzliche technische Maßnahmen gewährleistet
werden. Lassen sich auf Grund der Art der Verar-beitung Maßnahmen
nach Satz 1 nicht oder nur mit unverhältnismäßig
hohem Aufwand durchfüh-ren, sind die Daten mit einem Sperrvermerk
zu versehen.
(4) Ohne Einwilligung des Betroffenen dürfen ge-sperrte personenbezogene
Daten nur genutzt oder übermittelt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behe-bung einer bestehenden
Beweisnot, zu Auf-sichts- und Kontrollzwecken, zur Rechnungs-prüfung
oder aus sonstigen im überwiegenden Interesse der speichernden
Stelle oder eines Dritten liegenden Gründen unerlässlich
ist und
2. die Daten hierfür übermittelt oder genutzt wer-den
dürften, wenn sie nicht gesperrt wären.
Personenbezogene Daten, die unzulässig in Akten gespeichert
sind, dürfen ohne Einwilligung des Betroffenen nicht mehr genutzt
oder übermittelt werden.
(5) Von einer Sperrung unzulässig gespeicherter Daten sind
die Empfänger der Daten nach Maß-gabe des § 22 Abs.
2 zu verständigen.
§ 25
Schadensersatz
(1) Fügt eine öffentliche Stelle dem Betroffenen durch
eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften
über den Da-tenschutz unzulässige oder unrichtige Verarbei-tung
seiner personenbezogenen Daten in oder aus Dateien einen Schaden
zu, ist sie dem Betrof-fenen zum Ersatz des daraus entstehenden
Schadens verpflichtet. Dies gilt nicht, wenn die öffentliche
Stelle nachweist, dass der Umstand, durch den der Schaden eingetreten
ist, nicht von ihr zu vertreten ist.
(2) Bei einer schweren Verletzung des Persön-lichkeitsrechts
ist dem Betroffenen der Schaden, der nicht Vermögensschaden
ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt
bis zu einem Betrag in Höhe von 130 000 Euro begrenzt. Ist
auf Grund desselben Ereignisses an mehrere Personen Schadensersatz
zu leisten, der insgesamt den Höchstbetrag von 130 000 Euro
übersteigt, so verringern sich die einzelnen Schadensersatzleistungen
in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag
steht.
(4) Sind bei einer Datei mehrere Stellen speiche-rungsberechtigt
und ist der Geschädigte nicht in der Lage, die speichernde
Stelle festzustellen, so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige haften als Gesamt-schuldner.
(6) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen
mitgewirkt, so gilt § 254 des Bürgerlichen Gesetzbuches
entspre-chend. Auf die Verjährung finden die für unerlaub-te
Handlungen geltenden Verjährungsvorschriften des Bürgerlichen
Gesetzbuchs entsprechende Anwendung.
(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang
als nach dieser Vorschrift haftet oder nach denen ein anderer für
den Scha-den verantwortlich ist, bleiben unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
V I E R T E R A B S C H N I T T
Landesbeauftragter für den Datenschutz
§ 26
Bestellung und Rechtsstellung
(1) Die Landesregierung bestellt mit Zustimmung des Landtags einen
Landesbeauftragten für den Datenschutz. Dieser muss die Befähigung
zum Richteramt oder zum höheren Verwaltungsdienst haben oder
für eine andere Laufbahn des höheren Dienstes befähigt
sein. Der Landesbeauftragte für den Datenschutz ist Beamter
auf Zeit und wird für die Dauer von acht Jahren berufen; einmalige
Wiederberufung ist zulässig.
(2) Der Landesbeauftragte für den Datenschutz ist in Ausübung
seines Amtes unabhängig und nur dem Gesetz unterworfen.
(3) Die Dienststelle des Landesbeauftragten für den Datenschutz
wird beim Innenministerium ein-gerichtet. Der Landesbeauftragte
trifft die Ent-scheidungen nach §§ 79 und 80 des Landesbe-amtengesetzes
für sich und seine Mitarbeiter in eigener Verantwortung. Er
untersteht der Dienst-aufsicht des Innenministeriums, soweit seine
Unabhängigkeit dadurch nicht beeinträchtigt wird.
(4) Dem Landesbeauftragten für den Datenschutz ist die für
die Erfüllung seiner Aufgaben notwen-dige Personal- und Sachausstattung
zur Verfü-gung zu stellen; sie ist im Einzelplan des Innen-ministeriums
in einem eigenen Kapitel auszuwei-sen. Die Besetzung der Personalstellen
erfolgt im Einvernehmen mit dem Landesbeauftragten für den
Datenschutz. Die Mitarbeiter können, falls sie mit der beabsichtigten
Maßnahme nicht einver-standen sind, nur im Einvernehmen mit
ihm ver-setzt, abgeordnet oder umgesetzt werden.
(5) Ist der Landesbeauftragte für den Datenschutz an der Ausübung
seines Amtes verhindert, nimmt der leitende Beamte der Dienststelle
des Landes-beauftragten für den Datenschutz dessen Ge-schäfte
wahr. Geht die Dauer der Verhinderung über drei Monate hinaus,
kann die Landesregie-rung einen Vertreter mit der Wahrnehmung der
Geschäfte beauftragen; der Landesbeauftragte für den Datenschutz
soll dazu gehört werden.
§ 27
Anrufung des Landesbeauftragten
für den Datenschutz
(1) Jeder kann sich an den Landesbeauftragten für den Datenschutz
wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezoge-nen
Daten durch eine öffentliche Stelle in seinen Rechten verletzt
worden zu sein. Niemand darf benachteiligt oder gemaßregelt
werden, weil er von seinem Recht nach Satz 1 Gebrauch ge-macht hat.
(2) Wendet sich ein Betroffener an den Landes-beauftragten für
den Datenschutz, weil ihm nach § 21 Abs. 5 oder besonderen
gesetzlichen Vor-schriften keine Auskunft erteilt worden ist, darf
die Mitteilung des Landesbeauftragten für den Daten-schutz
an den Betroffenen keine Rückschlüsse auf den Erkenntnisstand
der speichernden Stelle zulassen, sofern diese oder die nach §
21 Abs. 7 zuständige Stelle nicht einer weitergehenden Auskunft
zustimmt. Das Gleiche gilt, wenn ein Betroffener unmittelbar den
Landesbeauftragten für den Datenschutz anruft und die für
die Ertei-lung der Auskunft zuständige Stelle diesem unter
Angabe von Gründen darlegt, dass sie bei einem Auskunftsersuchen
eine Auskunft nach den in Satz 1 genannten Vorschriften verweigern
würde.
§ 28
Kontrolle durch den
Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz kontrolliert
bei den öffentlichen Stellen die Einhal-tung der Vorschriften
dieses Gesetzes und ande-rer Vorschriften über den Datenschutz.
(2) Die Kontrolle des Landesbeauftragten für den Datenschutz
erstreckt sich auch auf personenbe-zogene Daten, die einem Berufs-
oder besonderen Amtsgeheimnis unterliegen. Für personenbe-zogene
Daten in Dateien oder Akten über die Si-cherheitsüberprüfung
gilt dies jedoch nur, wenn der Betroffene der Kontrolle der auf
ihn bezoge-nen Daten nicht widersprochen hat. Die spei-chernde Stelle
hat die Betroffenen im Einzelfall oder in allgemeiner Form auf das
Widerspruchs-recht hinzuweisen. Der Widerspruch ist schriftlich
gegenüber der speichernden Stelle oder dem Landesbeauftragten
für den Datenschutz zu erklä-ren.
(3) Die Kontrolle des Landesbeauftragten für den Datenschutz
erstreckt sich nicht auf personenbe-zogene Daten, die der Kontrolle
durch die Kom-mission nach § 2 des Ausführungsgesetzes
zum Artikel 10-Gesetz unterliegen, es sei denn, die Kommission ersucht
den Landesbeauftragten für den Datenschutz, die Einhaltung
der Vorschriften über den Datenschutz bei bestimmten Vorgängen
oder in bestimmten Bereichen zu kontrollieren und ausschließlich
ihr darüber zu berichten.
(4) Stellt der Landesbeauftragte für den Daten-schutz bei seiner
Kontrolle einen Verstoß gegen dieses Gesetz oder andere Vorschriften
über den Datenschutz fest, so ist er befugt, diesen bei den
für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen.
§ 29
Pflicht zur Unterstützung
(1) Die öffentlichen Stellen sind verpflichtet, den Landesbeauftragten
für den Datenschutz und sei-ne Beauftragten bei der Erfüllung
ihrer Aufgaben zu unterstützen. Ihnen ist im Rahmen der Kont-rollbefugnis
nach § 28 insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und
Akten, insbesondere in die ge-speicherten Daten und die Datenverarbei-tungsprogramme,
zu gewähren, die im Zu-sammenhang mit der Verarbeitung personen-bezogener
Daten stehen,
2. jederzeit Zutritt zu den Diensträumen zu ge-währen.
(2) Für die in § 21 Abs. 4 Satz 1 genannten öffent-lichen
Stellen besteht die Pflicht zur Unterstützung nur gegenüber
dem Landesbeauftragten für den Datenschutz selbst und den von
ihm oder dem leitenden Beamten seiner Dienststelle schriftlich besonders
Beauftragten. Absatz 1 Satz 2 findet für diese Stellen keine
Anwendung, soweit die jeweils zuständige oberste Landesbehörde
im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit
des Bundes oder eines Landes gefährden würde.
§ 30
Mitteilung des Ergebnisses der Kontrolle,
Beanstandungen
(1) Der Landesbeauftragte für den Datenschutz teilt der verantwortlichen
Stelle das Ergebnis sei-ner Kontrolle mit. Damit können Vorschläge
zur Verbesserung des Datenschutzes verbunden werden, insbesondere
zur Beseitigung von fest-gestellten Mängeln bei der Verarbeitung
perso-nenbezogener Daten.
(2) Stellt der Landesbeauftragte für den Daten-schutz Verstöße
gegen Vorschriften dieses Ge-setzes oder gegen andere Vorschriften
über den Datenschutz oder sonstige Mängel bei der Verar-beitung
personenbezogener Daten fest, so beans-tandet er dies
1. bei den öffentlichen Stellen des Landes gege-nüber
der zuständigen obersten Landesbehör-de,
2. bei den Gemeinden, Gemeindeverbänden und den sonstigen der
Aufsicht des Landes unters-tehenden juristischen Personen des öffentli-chen
Rechts sowie bei den in § 2 Abs. 2 ge-nannten Stellen gegenüber
dem vertretungsbe-rechtigten Organ
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden
angemessenen Frist auf. In den Fällen des Satzes 1 Nr. 2 unterrichtet
der Landesbeauftragte für den Datenschutz gleichzei-tig die
zuständige Aufsichtsbehörde.
(3) Der Landesbeauftragte für den Datenschutz kann von einer
Beanstandung absehen oder auf eine Stellungnahme der betroffenen
Stelle ver-zichten, insbesondere wenn es sich um unerheb-liche oder
inzwischen beseitigte Mängel handelt.
(4) Die Stellungnahme soll auch eine Darstellung der Maßnahmen
enthalten, die auf Grund der Be-anstandung des Landesbeauftragten
für den Da-tenschutz getroffen worden oder beabsichtigt sind.
Die in Absatz 2 Satz 1 Nr. 2 genannten Stellen leiten der zuständigen
Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den
Landesbe-auftragten für den Datenschutz zu.
§ 31
Weitere Aufgaben des
Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz erstattet dem
Landtag zum 1. Dezember jedes zweiten Jahres einen Tätigkeitsbericht.
(2) Der Landesbeauftragte für den Datenschutz hat auf Anforderung
des Landtags oder der Lan-desregierung Gutachten zu erstellen und
beson-dere Berichte zu erstatten. Auf Ersuchen des Landtags, seiner
Ausschüsse oder der Landesre-gierung geht der Landesbeauftragte
für den Da-tenschutz Hinweisen auf Angelegenheiten nach, die
den Datenschutz in dem seiner Kontrolle un-terliegenden Bereich
betreffen. Er kann sich je-derzeit an den Landtag wenden.
(3) Der Landesbeauftragte für den Datenschutz kann der Landesregierung
und einzelnen Ministe-rien sowie anderen öffentlichen Stellen
Empfeh-lungen zur Verbesserung des Datenschutzes ge-ben und sie
in Fragen des Datenschutzes beraten. Er ist bei der Ausarbeitung
von Rechts- und Verwaltungsvorschriften zu beteiligen, wenn sie
die Verarbeitung personenbezogener Daten be-treffen.
(4) Der Landesbeauftragte für den Datenschutz leistet den anderen
Kontrollstellen in den Mitg-liedstaaten der Europäischen Union
auf Ersuchen ergänzende Hilfe (Amtshilfe).
§ 32
Meldung an den
Landesbeauftragten für den Datenschutz
(1) Die öffentlichen Stellen, die keinen Daten-schutzbeauftragten
nach § 10 bestellt haben, melden dem Landesbeauftragten für
den Daten-schutz den Einsatz und die wesentliche Verände-rung
eines automatisierten Verfahrens. Ausge-nommen sind die in §
11 Abs. 3 und 4 Satz 2 ge-nannten Verfahren.
(2) Die meldepflichtigen Stellen haben spätestens gleichzeitig
mit der ersten Einspeicherung die Angaben nach § 11 Abs. 2
mitzuteilen.
F Ü N F T E R A B S C H N I T T
Besondere Bestimmungen
§ 33
Verarbeitung besonderer Arten
personenbezogener Daten
(1) Daten, aus denen die rassische und ethnische Herkunft, politische
Meinungen, religiöse oder weltanschauliche Überzeugungen,
die Gewerk-schaftszugehörigkeit, die Gesundheit oder das Sexualleben
hervorgehen, dürfen nur verarbeitet werden, wenn
1. eine besondere Rechtsvorschrift dies vorsieht,
2. der Betroffene ausdrücklich eingewilligt hat,
3. die Verarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen
oder eines Dritten erforderlich ist und der Betroffene aus rechtli-chen
oder tatsächlichen Gründen nicht in der Lage ist, seine
Einwilligung zu geben, oder
4. dies zur Geltendmachung rechtlicher Ansprü-che vor Gericht
einschließlich eines Vorverfah-rens erforderlich ist.
(2) Absatz 1 findet keine Anwendung auf die Ver-arbeitung von Daten
über religiöse oder weltan-schauliche Überzeugungen
nach § 17, von Daten für Zwecke der wissenschaftlichen
Forschung nach §§ 19 und 35 und von Daten im Zusammen-hang
mit Dienst- und Arbeitsverhältnissen nach § 36.
(3) Absatz 1 findet ferner keine Anwendung auf die Verarbeitung
personenbezogener Daten
1. zur Gefahrenabwehr,
2. zur Verfolgung von Straftaten oder Ordnungs-widrigkeiten, zur
Vollstreckung oder zum Voll-zug von Strafen oder Maßnahmen
im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von
Erziehungsmaßregeln oder Zuchtmit-teln im Sinne des Jugendgerichtsgesetzes
oder zur Vollstreckung von Bußgeldentscheidungen,
3. durch das Landesamt für Verfassungsschutz,
4. durch die Finanzverwaltung, soweit sie die Da-ten in Erfüllung
ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung
zur Überwachung und Prüfung verarbeitet, und
5. bei einer Sicherheitsüberprüfung nach dem Landessicherheitsüberprüfungsgesetz.
§ 33a
Datenverarbeitung in der
gemeinsamen Dienststelle
Die örtlich zuständige Stelle darf personenbezoge-ne Daten
nur den in einer gemeinsamen Dienststelle nach § 13 a des Landesverwaltungs-gesetzes
beschäftigten eigenen Bediensteten zur Verarbeitung für
eigene Aufgaben überlassen. Durch technische und organisatorische
Maßnah-men ist sicherzustellen, dass ein Zugriff auf die Daten
nach Satz 1 durch Bedienstete anderer Behörden nicht möglich
ist. Soweit dies zur Si-cherstellung einer sachgerechten Erledigung
der eigenen Aufgaben erforderlich ist, darf die örtlich zuständige
Stelle auch Bediensteten anderer Be-hörden, die in der gemeinsamen
Dienststelle be-schäftigt sind, personenbezogene Daten zur
Ver-arbeitung überlassen. Im Rahmen einer solchen Datenverarbeitung
unterliegen die Bediensteten anderer Behörden den Weisungen
der örtlich zu-ständigen Stelle. Hinsichtlich der Daten,
die sie im Rahmen ihrer Tätigkeit für die fremde Behörde
zur Kenntnis nehmen, haben sie das Datengeheimnis (§ 6) gegenüber
ihrer eigenen Dienststelle zu wahren. Das Nähere ist durch
gemeinsame inter-ne Dienstanweisungen zu regeln. Verantwortliche
Stelle im Sinne des § 3 Abs. 3 bleibt die örtlich zuständige
Stelle.
§ 34
Zweckbindung bei der Verarbeitung
personenbezogener Daten, die einem Berufs-
oder besonderen Amtsgeheimnis unterliegen
(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis
unterliegen und die von der zur Verschwiegenheit verpflichteten
Person oder Stelle in Ausübung ihrer Berufs- oder Amtspflicht
zur Verfügung gestellt worden sind, dürfen von der speichernden
Stelle nur für den Zweck verarbeitet werden, für den sie
sie erhalten hat. § 33 bleibt unberührt. In die Übermittlung
an einen Dritten außerhalb des öffentlichen Bereichs
muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet
werden, wenn
1. die Änderung des Zwecks durch besonderes Gesetz zugelassen
ist oder
2. die Voraussetzungen vorliegen, die eine Nut-zung nach §
15 Abs. 1 bis 4 zulassen würden und die zur Verschwiegenheit
verpflichtete Stelle eingewilligt hat.
§ 35
Verarbeitung personenbezogener Daten
durch Forschungseinrichtungen
(1) Öffentliche Stellen mit der Aufgabe unabhän-giger
wissenschaftlicher Forschung dürfen die zur Durchführung
wissenschaftlicher Forschung er-forderlichen personenbezogenen Daten
erheben. Ohne Kenntnis des Betroffenen dürfen die Daten nur
erhoben werden, wenn der Zweck des For-schungsvorhabens auf andere
Weise nicht oder nur mit unverhältnismäßigem Aufwand
erreicht werden kann. Für Zwecke der wissenschaftlichen Forschung
erhobene oder gespeicherte perso-nenbezogene Daten dürfen nur
für Zwecke der wissenschaftlichen Forschung verarbeitet werden.
(2) Die personenbezogenen Daten sind zu ano-nymisieren, sobald dies
nach dem Forschungs-zweck möglich ist. Bis dahin sind die Merkmale
gesondert zu speichern, mit denen Einzelangaben einer bestimmten
oder bestimmbaren Person zu-geordnet werden können. Sie dürfen
mit den Ein-zelangaben nur zusammengeführt werden, soweit der
Forschungszweck dies erfordert.
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen
personenbezogene Daten nur ver-öffentlichen, soweit
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergeb-nissen über
Ereignisse der Zeitgeschichte unerlässlich ist und überwiegende
schutzwür-dige Interessen des Betroffenen nicht entge-genstehen.
(4) Bei der Meldung nach § 32 darf die Beschrei-bung der Zweckbestimmung
der Verarbeitung, zu deren Erfüllung personenbezogene Daten
verar-beitet werden, auf die Angabe "Forschungsvorha-ben"
beschränkt werden.
§ 36
Datenverarbeitung bei Dienst-
und Arbeitsverhältnissen
(1) Personenbezogene Daten von Beschäftigten dürfen nur
verarbeitet werden, soweit dies zur Eingehung, Durchführung,
Beendigung oder Ab-wicklung des Dienst- oder Arbeitsverhältnisses
oder zur Durchführung innerdienstlicher planeri-scher, organisatorischer,
personeller, sozialer oder haushalts- und kostenrechnerischer Maßnahmen,
insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes,
erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder
eine Dienst- oder Betriebsvereinbarung es vorsieht.
(2) Auf die Verarbeitung von Personalaktendaten von Angestellten
und Arbeitern sowie Auszubil-denden in einem privatrechtlichen Ausbildungs-verhältnis
finden die für Beamte geltenden Vor-schriften der §§
113 bis 113 g des Landesbeam-tengesetzes entsprechende Anwendung,
es sei denn, besondere Rechtsvorschriften oder tarifliche Vereinbarungen
gehen vor.
(3) Im Zusammenhang mit der Begründung eines Dienst- oder Arbeitsverhältnisses
ist die Erhebung personenbezogener Daten eines Bewerbers bei dem
bisherigen Dienstherrn oder Arbeitgeber nur zulässig, wenn
der Betroffene eingewilligt hat. Satz 1 gilt entsprechend für
die Übermittlung per-sonenbezogener Daten an künftige
Dienstherrn oder Arbeitgeber. Steht fest, dass ein Dienst- oder
Arbeitsverhältnis nicht zu Stande kommt, sind dem Betroffenen
die von ihm vorgelegten Unter-lagen unverzüglich zurückzusenden
und die zu ihm gespeicherten Daten spätestens nach Ablauf eines
Jahres zu löschen, es sei denn, er hat in die weitere Verarbeitung
eingewilligt oder diese ist wegen eines anhängigen Rechtsstreits
erforder-lich.
§ 37
Verarbeitung personenbezogener Daten
durch den Südwestrundfunk
(1) Soweit der Südwestrundfunk personenbezo-gene Daten ausschließlich
zu eigenen journalis-tisch-redaktionellen Zwecken verarbeitet, gelten
von den Vorschriften dieses Gesetzes neben den Absätzen 2 und
3 und § 38 nur die §§ 6 und 9 sowie § 25 mit
der Maßgabe, dass nur für Schä-den gehaftet wird,
die durch eine Verletzung von § 6 oder § 9 eintreten,
entsprechend. Für die Ver-arbeitung personenbezogener Daten
zu anderen Zwecken gelten neben § 38 die Vorschriften die-ses
Gesetzes entsprechend mit Ausnahme des Vierten Abschnitts. Für
Hilfsunternehmen des Südwestrundfunks, die öffentliche
Stellen im Sin-ne des § 2 sind, gelten für die Verarbeitung
per-sonenbezogener Daten zu ausschließlich eigenen journalistisch-redaktionellen
Zwecken Satz 1 so-wie zu anderen Zwecken die Vorschriften dieses
Gesetzes entsprechend.
(2) Führt die journalistisch-redaktionelle Verarbei-tung personenbezogener
Daten durch den Süd-westrundfunk zur Verbreitung einer Gegendarstel-lung
des Betroffenen, so ist diese zu den gespei-cherten Daten zu nehmen
und für dieselbe Zeit-dauer aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine Berichterstattung des Südwestrundfunks
in seinem Persönlichkeitsrecht beeinträchtigt, so kann
er Auskunft über die der Berichterstattung zugrunde liegenden,
zu seiner Person gespeicherten Daten verlangen. Die Aus-kunft kann
verweigert werden, soweit aus den Daten auf die Person des Verfassers,
Einsenders oder Gewährsmannes von Beiträgen, Unterlagen
und Mitteilungen für den redaktionellen Teil ge-schlossen werden
kann. Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
§ 38
Rundfunkbeauftragter für den Datenschutz
(1) Der Südwestrundfunk bestellt auf die Dauer von acht Jahren
einen Rundfunkbeauftragten für den Datenschutz. Die Bestellung
erfolgt durch den Intendanten mit Zustimmung des Verwaltungsrats.
(2) Der Rundfunkbeauftragte für den Datenschutz kontrolliert
die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften
über den Datenschutz. Er ist in Ausübung seines Amtes
unabhängig und nur dem Gesetz unterworfen; im Übrigen
untersteht er der Dienstaufsicht des In-tendanten.
(3) Jeder kann sich an den Rundfunkbeauftragten für den Datenschutz
wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezoge-nen
Daten durch den Südwestrundfunk in seinen Rechten verletzt
worden zu sein.
(4) Für Beanstandungen gilt § 30 entsprechend mit der
Maßgabe, dass Beanstandungen an den Intendanten unter gleichzeitiger
Unterrichtung des Verwaltungsrats zu richten sind. Dem Verwal-tungsrat
ist auch die zu der Beanstandung abge-gebene Stellungnahme des Intendanten
zuzulei-ten.
(5) Der Rundfunkbeauftragte für den Datenschutz erstattet dem
Verwaltungsrat und dem Intendanten alle zwei Jahre einen schriftlichen
Bericht über seine Tätigkeit. Der Bericht wird veröffentlicht.
Auf Beschluss des Verwaltungsrats oder auf Anord-nung des Intendanten
erstattet er darüber hinaus besondere Berichte.
(6) Der Rundfunkbeauftragte für den Datenschutz ist auch nach
Beendigung seiner Tätigkeit ver-pflichtet, über die ihm
bei seiner dienstlichen Tä-tigkeit bekannt gewordenen Angelegenheiten
Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen
im dienstlichen Verkehr oder über Tatsachen, die offenkundig
sind oder ihrer Bedeu-tung nach keiner Geheimhaltung bedürfen.
Er darf ohne Genehmigung des Intendanten über Ange-legenheiten
im Sinne von Satz 1 weder vor Ge-richt noch außergerichtlich
aussagen oder Erklä-rungen abgeben.
S E C H S T E R A B S C H N I T T
Bestimmungen über die Datenverarbeitung
nicht-öffentlicher Stellen
§ 39
Tätigkeitsbericht
Das Innenministerium erstattet dem Landtag zum 1. Juli jeden zweiten
Jahres einen Bericht über die Tätigkeit der für den
Datenschutz im nicht-öffentlichen Bereich zuständigen
Aufsichtsbehör-de. Der Bericht wird veröffentlicht.
S I E B T E R A B S C H N I T T
Übergangs- und Schlussvorschriften
§ 40
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer
1. unbefugt von diesem Gesetz geschützte per-sonenbezogene
Daten, die nicht offenkundig sind,
a) speichert, nutzt, verändert, übermittelt oder löscht,
b) zum Abruf mittels automatisierten Verfah-rens bereithält
oder
c) abruft oder sich oder einem anderen aus Dateien verschafft,
2. die Übermittlung von personenbezogenen Da-ten, die durch
dieses Gesetz geschützt werden und nicht offenkundig sind,
durch unrichtige Angaben erschleicht,
3. personenbezogene Daten ohne die nach § 18 Abs. 4 Satz 3
oder nach § 34 Abs. 2 Nr. 2 er-forderliche Einwilligung oder
entgegen § 35 Abs. 1 für einen anderen Zweck nutzt,
4. entgegen § 35 Abs. 2 Satz 3 die in § 35 Abs. 2 Satz
2 bezeichneten Merkmale mit den Einzel-angaben zusammenführt
oder
5. entgegen § 18 Abs. 5 eine vollziehbare Auflage nicht, nicht
rechtzeitig oder nicht vollständig er-füllt.
(2) Die Ordnungswidrigkeit kann mit einer Geld-buße bis zu
25 000 Euro geahndet werden.
(3) Verwaltungsbehörden im Sinne von § 36 Abs. 1 Nr. 1
des Gesetzes über Ordnungswidrig-keiten sind die Regierungspräsidien.
§ 41
Straftaten
Wer eine der in § 40 Abs. 1 Nr. 1 bis 4 bezeichne-ten Handlungen
gegen Entgelt oder in der Absicht begeht, sich oder einen anderen
zu bereichern oder einen anderen zu schädigen, wird mit Frei-heitsstrafe
bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist
strafbar.
§ 42
Übergangsvorschriften
(aufgehoben)
§ 43
Änderung des Landesverwaltungsverfahrensge-setzes
(nicht abgedruckt)
§ 44
Änderung des Vermessungsgesetzes
(nicht abgedruckt)
§ 45
Änderung des Landeskatastrophenschutz-
gesetzes
(nicht abgedruckt)
§ 46
Änderung des Feuerwehrgesetzes
(nicht abgedruckt)
§ 47
Änderung des Gesetzes zu dem Staatsvertrag über Bildschirmtext
(nicht abgedruckt)
§ 48
Änderung des Meldegesetzes
(nicht abgedruckt)
§ 49
Inkrafttreten
(nicht abgedruckt)
|