|
Die hier veröffentlichten
Rechtsgrundlagen erheben keinen Anspruch auf Aktualität,
sachliche Korrektheit oder Vollständigkeit; eine
entsprechende Gewähr wird nicht übernommen.
Gesetze und
Verordnungen sind nur gültig und finden Anwendung
entsprechend ihrer jeweils aktuellsten Fassung, die im
einschlägigen amtlichen Verkündungsorgan (insbesondere
Bundesgesetzblatt, Gemeinsames Ministerialblatt und
Bundesanzeiger) veröffentlicht ist.
vom 20. Dezember 1990 (BGBl. I
S 2954),
zuletzt geändert am 1.1.2002
Inhaltsübersicht
Erster Abschnitt: Allgemeine
und gemeinsame Bestimmungen
- § 1 Zweck und
Anwendungsbereich des Gesetzes
-
§
2 Öffentliche und nicht öffentliche Stellen
-
§
3 Weitere Begriffsbestimmungen
-
§
3a Datenvermeidung und Datensparsamkeit
-
§
4 Zulässigkeit der Datenerhebung, -verarbeitung und
-nutzung
-
§
4a Einwilligung
-
§
4b Übermittlung personenbezogener Daten ins Ausland
sowie an über- und zwischenstaatliche Stellen
-
§
4c Ausnahmen
-
§
4d Meldepflicht
-
§
4e Inhalt der Meldepflicht
-
§
4f Beauftragter für den Datenschutz
-
§
4g Aufgaben des Beauftragten für den Datenschutz
-
§
5 Datengeheimnis
-
§
6 Unabdingbare Rechte des Betroffenen
-
§
6a Automatisierte Einzelentscheidung
-
§
6b Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen
-
§
6c Mobile personenbezogene Speicher- und
Verarbeitungsmedien
-
§
7 Schadensersatz
-
§
8 Schadensersatz bei automatisierter Datenverarbeitung
durch öffentliche Stellen
-
§
9 Technische und organisatorische Maßnahmen
-
§
9a Datenschutzaudit
-
§
10 Einrichtung automatisierter Abrufverfahren
-
§
11 Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten im Auftrag
Zweiter Abschnitt:
Datenverarbeitung der öffentlichen Stellen
Erster Unterabschnitt: Rechtsgrundlagen
der Datenverarbeitung
-
§
12 Anwendungsbereich
-
§
13 Datenerhebung
-
§
14 Datenspeicherung, -veränderung und -nutzung
-
§
15 Datenübermittlung an öffentliche Stellen
-
§
16 Datenübermittlung an nicht öffentliche Stellen
-
§
17 weggefallen
-
§
18 Durchführung des Datenschutzes in der
Bundesverwaltung
Zweiter
Unterabschnitt: Rechte des Betroffenen
-
§
19 Auskunft an den Betroffenen
-
§
19a Benachrichtigung
-
§
20 Berichtigung, Löschung und Sperrung von Daten;
Widerspruchsrecht
-
§
21 Anrufung des Bundesbeauftragten für den Datenschutz
Dritter
Unterabschnitt: Bundesbeauftragter für den Datenschutz
-
§
22 Wahl des Bundesbeauftragten für den Datenschutz
-
§
23 Rechtsstellung des Bundesbeauftragten für den
Datenschutz
-
§
24 Kontrolle durch den Bundesbeauftragten für den
Datenschutz
-
§
25 Beanstandungen durch den Bundesbeauftragten für den
Datenschutz
-
§
26 Weitere Aufgaben des Bundesbeauftragten für den
Datenschutz
Dritter Abschnitt:
Datenverarbeitung nicht öffentlicher Stellen und
öffentlich-rechtlicher Wettbewerbsunternehmen
Erster Unterabschnitt: Rechtsgrundlagen
der Datenverarbeitung
-
§
27 Anwendungsbereich
-
§
28 Datenerhebung, -verarbeitung und -nutzung für
eigene Zwecke
-
§
29 Geschäftsmäßige Datenerhebung und -speicherung zum
Zwecke der Übermittlung
-
§
30 Geschäftsmäßige Datenerhebung und -speicherung zum
Zwecke der Übermittlung in anonymisierter Form
-
§
31 Besondere Zweckbindung
-
§ 32
weggefallen
Zweiter
Unterabschnitt: Rechte des Betroffenen
-
§
33 Benachrichtigung des Betroffenen
-
§
34 Auskunft an den Betroffenen
-
§
35 Berichtigung, Löschung und Sperrung von Daten
Dritter
Unterabschnitt: Aufsichtsbehörde
Vierter Abschnitt:
Sondervorschriften
-
§
39 Zweckbindung bei personenbezogenen Daten, die einem
Berufs- oder besonderen Amtsgeheimnis unterliegen
-
§
40 Verarbeitung und Nutzung personenbezogener Daten
durch Forschungseinrichtungen
-
§
41 Erhebung, Verarbeitung und Nutzung
personenbezogener Daten durch die Medien
-
§
42 Datenschutzbeauftragter der Deutschen Welle
Fünfter Abschnitt:
Schlussvorschriften
-
§
43 Bußgeldvorschriften
-
§
44 Strafvorschriften
Sechster Abschnitt:
Übergangsvorschriften
Dieses Gesetz dient der
Umsetzung der Richtlinie 95/46/EG des Europäischen
Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (ABl. EG Nr. L 281, S. 31
ff.).
Erster Abschnitt
Allgemeine und gemeinsame Bestimmungen
§ 1 Zweck und
Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes
ist es, den einzelnen davor zu schützen, dass er durch den
Umgang mit seinen personenbezogenen Daten in seinem
Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für
die Erhebung, Verarbeitung und Nutzung personenbezogener
Daten durch
1.
öffentliche Stellen des Bundes,
2.
öffentliche Stellen der Länder, soweit der Datenschutz nicht
durch Landesgesetz geregelt ist und soweit sie
a)
Bundesrecht ausführen oder
b) als Organe
der Rechtspflege tätig werden und es sich nicht um
Verwaltungsangelegenheiten handelt,
3. nicht
öffentliche Stellen, soweit sie die Daten unter Einsatz von
Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür
erheben oder die Daten in oder aus nicht automatisierten
Dateien verarbeiten, nutzen oder dafür erheben, es sei denn,
die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt
ausschließlich für persönliche oder familiäre Tätigkeiten.
(3) Soweit andere
Rechtsvorschriften des Bundes auf personenbezogene Daten
einschließlich deren Veröffentlichung anzuwenden sind, gehen
sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung
zur Wahrung gesetzlicher Geheimhaltungspflichten oder von
Berufs- oder besonderen Amtsgeheimnissen, die nicht auf
gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Die Vorschriften
dieses Gesetzes gehen denen des
Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung
des Sachverhalts personenbezogene Daten verarbeitet werden.
(5) Dieses Gesetz findet
keine Anwendung, sofern eine in einem anderen Mitgliedstaat
der Europäischen Union oder in einem anderen Vertragsstaat
des Abkommens über den Europäischen Wirtschaftsraum belegene
verantwortliche Stelle personenbezogene Daten im Inland
erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt
durch eine Niederlassung im Inland. Dieses Gesetz findet
Anwendung, sofern eine verantwortliche Stelle, die nicht in
einem Mitgliedstaat der Europäischen Union oder in einem
anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum belegen ist, personenbezogene Daten im
Inland erhebt, verarbeitet oder nutzt. Soweit die
verantwortliche Stelle nach diesem Gesetz zu nennen ist,
sind auch Angaben über im Inland ansässige Vertreter zu
machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger
nur zum Zwecke des Transits durch das Inland eingesetzt
werden. § 38 Abs. 1 Satz 1 bleibt unberührt.
§ 2 Öffentliche und
nichtöffentliche Stellen
(1) Öffentliche Stellen
des Bundes sind die Behörden, die Organe der Rechtspflege
und andere öffentlich-rechtlich organisierte Einrichtungen
des Bundes, der bundesunmittelbaren Körperschaften,
Anstalten und Stiftungen des öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche
Stellen gelten die aus dem Sondervermögen Deutsche
Bundespost durch Gesetz hervorgegangenen Unternehmen,
solange ihnen ein ausschließliches Recht nach dem Postgesetz
zusteht.
(2) Öffentliche Stellen
der Länder sind die Behörden, die Organe der Rechtspflege
und andere öffentlich-rechtlich organisierte Einrichtungen
eines Landes, einer Gemeinde, eines Gemeindeverbandes und
sonstiger der Aufsicht des Landes unterstehender
juristischer Personen des öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des
privaten Rechts von öffentlichen Stellen des Bundes und der
Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen,
gelten ungeachtet der Beteiligung nicht öffentlicher Stellen
als öffentliche Stellen des Bundes, wenn
1. sie über
den Bereich eines Landes hinaus tätig werden oder
2. dem Bund
die absolute Mehrheit der Anteile gehört oder die absolute
Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als
öffentliche Stellen der Länder.
(4) Nicht öffentliche
Stellen sind natürliche und juristische Personen,
Gesellschaften und andere Personenvereinigungen des privaten
Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen.
Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der
öffentlichen Verwaltung wahr, ist sie insoweit öffentliche
Stelle im Sinne dieses Gesetzes.
§ 3 Weitere
Begriffsbestimmungen
(1) Personenbezogene Daten
sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person (Betroffener).
(2) Automatisierte
Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten unter Einsatz von
Datenverarbeitungsanlagen. Eine nicht automatisierte Datei
ist jede nicht automatisierte Sammlung personenbezogener
Daten, die gleichartig aufgebaut ist und nach bestimmten
Merkmalen zugänglich ist und ausgewertet werden kann.
(3) Erheben ist das
Beschaffen von Daten über den Betroffenen.
(4) Verarbeiten ist das
Speichern, Verändern, Übermitteln, Sperren und Löschen
personenbezogener Daten. Im einzelnen ist, ungeachtet der
dabei angewendeten Verfahren:
1. Speichern
das Erfassen, Aufnehmen oder Aufbewahren personenbezogener
Daten auf einem Datenträger zum Zwecke ihrer weiteren
Verarbeitung oder Nutzung,
2. Verändern
das inhaltliche Umgestalten gespeicherter personenbezogener
Daten,
3.
Übermitteln das Bekannt geben gespeicherter oder durch
Datenverarbeitung gewonnener personenbezogener Daten an
einen Dritten in der Weise, dass
a) die Daten
an den Dritten weitergegeben werden oder
b) der Dritte
zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht
oder abruft,
4. Sperren
das Kennzeichnen gespeicherter personenbezogener Daten, um
ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen
das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede
Verwendung personenbezogener Daten, soweit es sich nicht um
Verarbeitung handelt.
(6) Anonymisieren ist das
Verändern personenbezogener Daten derart, dass die
Einzelangaben über persönliche oder sachliche Verhältnisse
nicht mehr oder nur mit einem unverhältnismäßig großen
Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten
oder bestimmbaren natürlichen Person zugeordnet werden
können.
(6a) Pseudonymisieren ist
das Ersetzen des Namens und anderer Identifikationsmerkmale
durch ein Kennzeichen zu dem Zweck, die Bestimmung des
Betroffenen auszuschließen oder wesentlich zu erschweren.
(7) Verantwortliche Stelle
ist jede Person oder Stelle, die personenbezogene Daten für
sich selbst erhebt, verarbeitet oder nutzt oder dies durch
andere im Auftrag vornehmen lässt.
(8) Empfänger ist jede
Person oder Stelle, die Daten erhält. Dritter ist jede
Person oder Stelle außerhalb der verantwortlichen Stelle.
Dritte sind nicht der Betroffene sowie Personen und Stellen,
die im Inland, in einem anderen Mitgliedstaat der
Europäischen Union oder in einem anderen Vertragsstaat des
Abkommens über den Europäischen Wirtschaftsraum
personenbezogene Daten im Auftrag erheben, verarbeiten oder
nutzen.
(9) Besondere Arten
personenbezogener Daten sind Angaben über die rassische und
ethnische Herkunft, politische Meinungen, religiöse oder
philosophische Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben.
(10) Mobile
personenbezogene Speicher- und Verarbeitungsmedien sind
Datenträger,
1. die an den
Betroffenen ausgegeben werden,
2. auf denen
personenbezogene Daten über die Speicherung hinaus durch die
ausgebende oder eine andere Stelle automatisiert verarbeitet
werden können und
3. bei denen
der Betroffene diese Verarbeitung nur durch den Gebrauch des
Mediums beeinflussen kann.
§ 3a Datenvermeidung
und Datensparsamkeit
Gestaltung und Auswahl von
Datenverarbeitungssystemen haben sich an dem Ziel
auszurichten, keine oder so wenig personenbezogene Daten wie
möglich zu erheben, zu verarbeiten oder zu nutzen.
Insbesondere ist von den Möglichkeiten der Anonymisierung
und Pseudonymisierung Gebrauch zu machen, soweit dies
möglich ist und der Aufwand in einem angemessenen Verhältnis
zu dem angestrebten Schutzzweck steht.
§ 4 Zulässigkeit der
Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten sind nur
zulässig, soweit dieses Gesetz oder eine andere
Rechtsvorschrift dies erlaubt oder anordnet oder der
Betroffene eingewilligt hat.
(2) Personenbezogene Daten
sind beim Betroffenen zu erheben. Ohne seine Mitwirkung
dürfen sie nur erhoben werden, wenn
1. eine
Rechtsvorschrift dies vorsieht oder zwingend voraussetzt
oder
2. a) die zu
erfüllende Verwaltungsaufgabe ihrer Art nach oder der
Geschäftszweck eine Erhebung bei anderen Personen oder
Stellen erforderlich macht oder
b) die
Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand
erfordern würde
und keine Anhaltspunkte
dafür bestehen, dass überwiegende schutzwürdige Interessen
des Betroffenen beeinträchtigt werden.
(3) Werden
personenbezogene Daten beim Betroffenen erhoben, so ist er,
sofern er nicht bereits auf andere Weise Kenntnis erlangt
hat, von der verantwortlichen Stelle über
1. die
Identität der verantwortlichen Stelle,
2. die
Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung
und
3. die
Kategorien von Empfängern nur, soweit der Betroffene nach
den Umständen des Einzelfalles nicht mit der Übermittlung an
diese rechnen muss,
zu unterrichten. Werden
personenbezogene Daten beim Betroffenen aufgrund einer
Rechtsvorschrift erhoben, die zur Auskunft verpflichtet,
oder ist die Erteilung der Auskunft Voraussetzung für die
Gewährung von Rechtsvorteilen, so ist der Betroffene
hierauf, sonst auf die Freiwilligkeit seiner Angaben
hinzuweisen. Soweit nach den Umständen des Einzelfalles
erforderlich oder auf Verlangen, ist er über die
Rechtsvorschrift und über die Folgen der Verweigerung von
Angaben aufzuklären.
§ 4a Einwilligung
(1) Die Einwilligung ist
nur wirksam, wenn sie auf der freien Entscheidung des
Betroffenen beruht. Er ist auf den vorgesehenen Zweck der
Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den
Umständen des Einzelfalles erforderlich oder auf Verlangen,
auf die Folgen der Verweigerung der Einwilligung
hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit
nicht wegen besonderer Umstände eine andere Form angemessen
ist. Soll die Einwilligung zusammen mit anderen Erklärungen
schriftlich erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der
wissenschaftlichen Forschung liegt ein besonderer Umstand im
Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die
Schriftform der bestimmte Forschungszweck erheblich
beeinträchtigt würde. In diesem Fall sind der Hinweis nach
Absatz 1 Satz 2 und die Gründe, aus denen sich die
erhebliche Beeinträchtigung des bestimmten Forschungszwecks
ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten
personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet
oder genutzt werden, muss sich die Einwilligung darüber
hinaus ausdrücklich auf diese Daten beziehen.
§ 4b Übermittlung
personenbezogener Daten ins Ausland sowie an über- oder
zwischenstaatliche Stellen
(1) Für die Übermittlung
personenbezogener Daten an Stellen
1. in anderen
Mitgliedstaaten der Europäischen Union,
2. in anderen
Vertragsstaaten des Abkommens über den Europäischen
Wirtschaftsraum oder
3. der Organe
und Einrichtungen der Europäischen Gemeinschaften
gelten § 15 Abs. 1, § 16
Abs. 1 und §§ 28 bis 30 nach Maßgabe der für diese
Übermittlung geltenden Gesetze und Vereinbarungen, soweit
die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz
oder teilweise in den Anwendungsbereich des Rechts der
Europäischen Gemeinschaften fallen.
(2) Für die Übermittlung
personenbezogener Daten an Stellen nach Absatz 1, die nicht
im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise
in den Anwendungsbereich des Rechts der Europäischen
Gemeinschaften fallen, sowie an sonstige ausländische oder
über- oder zwischenstaatliche Stellen gilt Absatz 1
entsprechend. Die
Übermittlung unterbleibt,
soweit der Betroffene ein schutzwürdiges Interesse an dem
Ausschluss der Übermittlung hat, insbesondere wenn bei den
in Satz 1 genannten Stellen ein angemessenes
Datenschutzniveau nicht gewährleistet ist. Satz 2 gilt
nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben
einer öffentlichen Stelle des Bundes aus zwingenden Gründen
der Verteidigung oder der Erfüllung über- oder
zwischenstaatlicher Verpflichtungen auf dem Gebiet der
Krisenbewältigung oder Konfliktverhinderung oder für
humanitäre Maßnahmen erforderlich ist.
(3) Die Angemessenheit des
Schutzniveaus wird unter Berücksichtigung aller Umstände
beurteilt, die bei einer Datenübermittlung oder einer
Kategorie von Datenübermittlungen von Bedeutung sind;
insbesondere können die Art der Daten, die Zweckbestimmung,
die Dauer der geplanten Verarbeitung, das Herkunfts- und das
Endbestimmungsland, die für den betreffenden Empfänger
geltenden Rechtsnormen sowie die für ihn geltenden
Standesregeln und Sicherheitsmaßnahmen herangezogen werden.
(4) In den Fällen des § 16
Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den
Betroffenen von der Übermittlung seiner Daten. Dies gilt
nicht, wenn damit zu rechnen ist, dass er davon auf andere
Weise Kenntnis erlangt, oder wenn die Unterrichtung die
öffentliche Sicherheit gefährden oder sonst dem Wohl des
Bundes oder eines Landes Nachteile bereiten würde.
(5) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle.
(6) Die Stelle, an die die
Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu
dessen Erfüllung die Daten übermittelt werden.
§ 4c Ausnahmen
(1) Im Rahmen von
Tätigkeiten, die ganz oder teilweise in den
Anwendungsbereich des Rechts der Europäischen Gemeinschaften
fallen, ist eine Übermittlung personenbezogener Daten an
andere als die in § 4b Abs. 1 genannten Stellen, auch wenn
bei ihnen ein angemessenes Datenschutzniveau nicht
gewährleistet ist, zulässig, sofern
1. der
Betroffene seine Einwilligung gegeben hat,
2. die
Übermittlung für die Erfüllung eines Vertrags zwischen dem
Betroffenen und der verantwortlichen Stelle oder zur
Durchführung von vorvertraglichen Maßnahmen, die auf
Veranlassung des Betroffenen getroffen worden sind,
erforderlich ist,
3. die
Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags
erforderlich ist, der im Interesse des Betroffenen von der
verantwortlichen Stelle mit einem Dritten geschlossen wurde
oder geschlossen werden soll,
4. die
Übermittlung für die Wahrung eines wichtigen öffentlichen
Interesses oder zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen vor Gericht erforderlich
ist,
5. die
Übermittlung für die Wahrung lebenswichtiger Interessen des
Betroffenen erforderlich ist oder
6. die
Übermittlung aus einem Register erfolgt, das zur Information
der Öffentlichkeit bestimmt ist und entweder der gesamten
Öffentlichkeit oder allen Personen, die ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offen steht,
soweit die gesetzlichen Voraussetzungen im Einzelfall
gegeben sind.
Die Stelle, an die die
Daten übermittelt werden, ist darauf hinzuweisen, dass die
übermittelten Daten nur zu dem Zweck verarbeitet oder
genutzt werden dürfen, zu dessen Erfüllung sie übermittelt
werden.
(2) Unbeschadet des
Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde
einzelne Übermittlungen oder bestimmte Arten von
Übermittlungen personenbezogener Daten an andere als die in
§ 4b Abs. 1 genannten Stellen genehmigen, wenn die
verantwortliche Stelle ausreichende Garantien hinsichtlich
des Schutzes des Persönlichkeitsrechts und der Ausübung der
damit verbundenen Rechte vorweist; die Garantien können sich
insbesondere aus Vertragsklauseln oder verbindlichen
Unternehmensregelungen ergeben. Bei den Post- und
Telekommunikationsunternehmen ist der Bundesbeauftragte für
den Datenschutz zuständig. Sofern die Übermittlung durch
öffentliche Stellen erfolgen soll, nehmen diese die Prüfung
nach Satz 1 vor.
(3) Die Länder teilen dem
Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.
§ 4d Meldepflicht
(1) Verfahren
automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme
von nicht öffentlichen verantwortlichen Stellen der
zuständigen Aufsichtsbehörde und von öffentlichen
verantwortlichen Stellen des Bundes sowie von den Post- und
Telekommunikationsunternehmen dem Bundesbeauftragten für den
Datenschutz nach Maßgabe von § 4e zu melden.
(2) Die Meldepflicht
entfällt, wenn die verantwortliche Stelle einen Beauftragten
für den Datenschutz bestellt hat.
(3) Die Meldepflicht
entfällt ferner, wenn die verantwortliche Stelle
personenbezogene Daten für eigene Zwecke erhebt, verarbeitet
oder nutzt, hierbei höchstens vier Arbeitnehmer mit der
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
beschäftigt und entweder eine Einwilligung der Betroffenen
vorliegt oder die Erhebung, Verarbeitung oder Nutzung der
Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit den
Betroffenen dient.
(4) Die Absätze 2 und 3
gelten nicht, wenn es sich um automatisierte Verarbeitungen
handelt, in denen geschäftsmäßig personenbezogene Daten von
der jeweiligen Stelle
1. zum Zweck
der Übermittlung oder
2. zum Zweck
der anonymisierten Übermittlung
gespeichert werden.
(5) Soweit automatisierte
Verarbeitungen besondere Risiken für die Rechte und
Freiheiten der Betroffenen aufweisen, unterliegen sie der
Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine
Vorabkontrolle ist insbesondere durchzuführen, wenn
1. besondere
Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet
werden oder
2. die
Verarbeitung personenbezogener Daten dazu bestimmt ist, die
Persönlichkeit des Betroffenen zu bewerten einschließlich
seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,
es sei denn, dass eine
gesetzliche Verpflichtung oder eine Einwilligung des
Betroffenen vorliegt oder die Erhebung, Verarbeitung oder
Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient.
(6) Zuständig für die
Vorabkontrolle ist der Beauftragte für den Datenschutz.
Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht
nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen
an die Aufsichtsbehörde oder bei den Post- und
Telekommunikationsunternehmen an den Bundesbeauftragten für
den Datenschutz zu wenden.
§ 4e Inhalt der
Meldepflicht
Sofern Verfahren
automatisierter Verarbeitungen meldepflichtig sind, sind
folgende Angaben zu machen:
1. Name oder
Firma der verantwortlichen Stelle,
2. Inhaber,
Vorstände, Geschäftsführer oder sonstige gesetzliche oder
nach der Verfassung des Unternehmens berufene Leiter und die
mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift
der verantwortlichen Stelle,
4.
Zweckbestimmungen der Datenerhebung, -verarbeitung oder
-nutzung,
5. eine
Beschreibung der betroffenen Personengruppen und der
diesbezüglichen Daten oder Datenkategorien,
6. Empfänger
oder Kategorien von Empfängern, denen die Daten mitgeteilt
werden können,
7.
Regelfristen für die Löschung der Daten,
8. eine
geplante Datenübermittlung in Drittstaaten,
9. eine
allgemeine Beschreibung, die es ermöglicht, vorläufig zu
beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der
Sicherheit der Verarbeitung angemessen sind. § 4d Abs. 1 und
4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben
sowie für den Zeitpunkt der Aufnahme und der Beendigung der
meldepflichtigen Tätigkeit entsprechend.
§ 4f Beauftragter für
den Datenschutz
(1) Öffentliche und nicht
öffentliche Stellen, die personenbezogene Daten
automatisiert erheben, verarbeiten oder nutzen, haben einen
Beauftragten für den Datenschutz schriftlich zu bestellen.
Nicht öffentliche Stellen sind hierzu spätestens innerhalb
eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das
Gleiche gilt, wenn personenbezogene Daten auf andere Weise
erhoben, verarbeitet oder genutzt werden und damit in der
Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1
und 2 gelten nicht für nicht öffentliche Stellen, die
höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung
oder Nutzung personenbezogener Daten beschäftigen. Soweit
aufgrund der Struktur einer öffentlichen Stelle
erforderlich, genügt die Bestellung eines Beauftragten für
den Datenschutz für mehrere Bereiche. Soweit nicht
öffentliche Stellen automatisierte Verarbeitungen vornehmen,
die einer Vorabkontrolle unterliegen oder personenbezogene
Daten geschäftsmäßig zum Zweck der Übermittlung oder der
anonymisierten Übermittlung erheben, verarbeiten oder
nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer
einen Beauftragten für den Datenschutz zu bestellen.
(2) Zum Beauftragten für
den Datenschutz darf nur bestellt werden, wer die zur
Erfüllung seiner Aufgaben erforderliche Fachkunde und
Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine
Person außerhalb der verantwortlichen Stelle betraut werden.
Öffentliche Stellen können mit Zustimmung ihrer
Aufsichtsbehörde einen Bediensteten aus einer anderen
öffentlichen Stelle zum Beauftragten für den Datenschutz
bestellen.
(3) Der Beauftragte für
den Datenschutz ist dem Leiter der öffentlichen oder nicht
öffentlichen Stelle unmittelbar zu unterstellen. Er ist in
Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes
weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben
nicht benachteiligt werden. Die Bestellung zum Beauftragten
für den Datenschutz kann in entsprechender Anwendung von §
626 des Bürgerlichen Gesetzbuches, bei nicht öffentlichen
Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen
werden.
(4) Der Beauftragte für
den Datenschutz ist zur Verschwiegenheit über die Identität
des Betroffenen sowie über Umstände, die Rückschlüsse auf
den Betroffenen zulassen, verpflichtet, soweit er nicht
davon durch den Betroffenen befreit wird.
(5) Die öffentlichen und
nicht öffentlichen Stellen haben den Beauftragten für den
Datenschutz bei der Erfüllung seiner Aufgaben zu
unterstützen und ihm insbesondere, soweit dies zur Erfüllung
seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume,
Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
Betroffene können sich jederzeit an den Beauftragten für den
Datenschutz wenden.
§ 4g Aufgaben des
Beauftragten für den Datenschutz
(1) Der Beauftragte für
den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und
anderer Vorschriften über den Datenschutz hin. Zu diesem
Zweck kann sich der Beauftragte für den Datenschutz in
Zweifelsfällen an die für die Datenschutzkontrolle bei der
verantwortlichen Stelle zuständige Behörde wenden. Er hat
insbesondere
1. die
ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,
mit deren Hilfe personenbezogene Daten verarbeitet werden
sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben
der automatisierten Verarbeitung personenbezogener Daten
rechtzeitig zu unterrichten,
2. die bei
der Verarbeitung personenbezogener Daten tätigen Personen
durch geeignete Maßnahmen mit den Vorschriften dieses
Gesetzes sowie anderen Vorschriften über den Datenschutz und
mit den jeweiligen besonderen Erfordernissen des
Datenschutzes vertraut zu machen.
(2) Dem Beauftragten für
den Datenschutz ist von der verantwortlichen Stelle eine
Übersicht über die in § 4e
Satz 1 genannten Angaben sowie über zugriffsberechtigte
Personen zur Verfügung zu stellen. Im Fall des § 4d Abs. 2
macht der Beauftragte für den Datenschutz die Angaben nach §
4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter
Weise verfügbar. Im Fall des § 4d Abs. 3 gilt Satz 2
entsprechend für die verantwortliche Stelle.
(3) Auf die in § 6 Abs. 2
Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine
Anwendung. Absatz 1 Satz 2 findet mit der Maßgabe Anwendung,
dass der behördliche Beauftragte für den Datenschutz das
Benehmen mit dem Behördenleiter herstellt; bei
Unstimmigkeiten zwischen dem behördlichen Beauftragten für
den Datenschutz und dem Behördenleiter entscheidet die
oberste Bundesbehörde.
§ 5 Datengeheimnis
Den bei der
Datenverarbeitung beschäftigten Personen ist untersagt,
personenbezogene Daten unbefugt zu erheben, zu verarbeiten
oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit
sie bei nicht öffentlichen Stellen beschäftigt werden, bei
der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu
verpflichten. Das Datengeheimnis besteht auch nach
Beendigung ihrer Tätigkeit fort.
§ 6 Unabdingbare Rechte
des Betroffenen
(1) Die Rechte des
Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung,
Löschung oder Sperrung (§§ 20, 35) können nicht durch
Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(2) Sind die Daten des
Betroffenen automatisiert in der Weise gespeichert, dass
mehrere Stellen speicherungsberechtigt sind, und ist der
Betroffene nicht in der Lage festzustellen, welche Stelle
die Daten gespeichert hat, so kann er sich an jede dieser
Stellen wenden. Diese ist verpflichtet, das Vorbringen des
Betroffenen an die Stelle, die die Daten gespeichert hat,
weiterzuleiten. Der Betroffene ist über die Weiterleitung
und jene Stelle zu unterrichten. Die in § 19 Abs. 3
genannten Stellen, die Behörden der Staatsanwaltschaft und
der Polizei sowie öffentliche Stellen der Finanzverwaltung,
soweit sie personenbezogene Daten in Erfüllung ihrer
gesetzlichen Aufgaben im Anwendungsbereich der
Abgabenordnung zur Überwachung und Prüfung speichern, können
statt des Betroffenen den Bundesbeauftragten für den
Datenschutz unterrichten. In diesem Fall richtet sich das
weitere Verfahren nach § 19 Abs. 6.
§ 6a Automatisierte
Einzelentscheidung
(1) Entscheidungen, die
für den Betroffenen eine rechtliche Folge nach sich ziehen
oder ihn erheblich beeinträchtigen, dürfen nicht
ausschließlich auf eine automatisierte Verarbeitung
personenbezogener Daten gestützt werden, die der Bewertung
einzelner Persönlichkeitsmerkmale dienen.
(2) Dies gilt nicht, wenn
1. die
Entscheidung im Rahmen des Abschlusses oder der Erfüllung
eines Vertragsverhältnisses oder eines sonstigen
Rechtsverhältnisses ergeht und dem Begehren des Betroffenen
stattgegeben wurde oder
2. die
Wahrung der berechtigten Interessen des Betroffenen durch
geeignete Maßnahmen gewährleistet und dem Betroffenen von
der verantwortlichen Stelle die Tatsache des Vorliegens
einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird.
Als geeignete Maßnahme gilt insbesondere die Möglichkeit des
Betroffenen, seinen Standpunkt geltend zu machen. Die
verantwortliche Stelle ist verpflichtet, ihre Entscheidung
erneut zu prüfen.
(3) Das Recht des
Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt
sich auch auf den logischen Aufbau der automatisierten
Verarbeitung der ihn betreffenden Daten.
§ 6b Beobachtung
öffentlich zugänglicher Räume mit optisch-elektronischen
Einrichtungen
(1) Die Beobachtung
öffentlich zugänglicher Räume mit optisch-elektronischen
Einrichtungen (Videoüberwachung) ist nur zulässig, soweit
sie
1. zur
Aufgabenerfüllung öffentlicher Stellen,
2. zur
Wahrnehmung des Hausrechts oder
3. zur
Wahrnehmung berechtigter Interessen für konkret festgelegte
Zwecke
erforderlich ist und keine
Anhaltspunkte bestehen, dass schutzwürdige Interessen der
Betroffenen überwiegen.
(2) Der Umstand der
Beobachtung und die verantwortliche Stelle sind durch
geeignete Maßnahmen erkennbar zu machen.
(3) Die Verarbeitung oder
Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn
sie zum Erreichen des verfolgten Zwecks erforderlich ist und
keine Anhaltspunkte bestehen, dass schutzwürdige Interessen
der Betroffenen überwiegen. Für einen anderen Zweck dürfen
sie nur verarbeitet oder genutzt werden, soweit dies zur
Abwehr von Gefahren für die staatliche und öffentliche
Sicherheit sowie zur Verfolgung von Straftaten erforderlich
ist.
(4) Werden durch
Videoüberwachung erhobene Daten einer bestimmten Person
zugeordnet, ist diese über eine Verarbeitung oder Nutzung
entsprechend §§ 19a und 33 zu benachrichtigen.
(5) Die Daten sind
unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks
nicht mehr erforderlich sind oder schutzwürdige Interessen
der Betroffenen einer weiteren Speicherung entgegenstehen.
§ 6c Mobile
personenbezogene Speicher- und Verarbeitungsmedien
(1) Die Stelle, die ein
mobiles personenbezogenes Speicher- und Verarbeitungsmedium
ausgibt oder ein Verfahren zur automatisierten Verarbeitung
personenbezogener Daten, das ganz oder teilweise auf einem
solchen Medium abläuft, auf das Medium aufbringt, ändert
oder hierzu bereithält, muss den Betroffenen
1. über ihre
Identität und Anschrift,
2. in
allgemein verständlicher Form über die Funktionsweise des
Mediums einschließlich der Art der zu verarbeitenden
personenbezogenen Daten,
3. darüber,
wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben
kann, und
4. über die
bei Verlust oder Zerstörung des Mediums zu treffenden
Maßnahmen
unterrichten, soweit der
Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1
verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur
Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder
Einrichtungen in angemessenem Umfang zum unentgeltlichen
Gebrauch zur Verfügung stehen.
(3)
Kommunikationsvorgänge, die auf dem Medium eine
Datenverarbeitung auslösen, müssen für den Betroffenen
eindeutig erkennbar sein.
§ 7 Schadensersatz
Fügt eine verantwortliche
Stelle dem Betroffenen durch eine nach diesem Gesetz oder
nach anderen Vorschriften über den Datenschutz unzulässige
oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner
personenbezogenen Daten einen Schaden zu, ist sie oder ihr
Träger dem Betroffenen zum Schadensersatz verpflichtet. Die
Ersatzpflicht entfällt, soweit die verantwortliche Stelle
die nach den Umständen des Falles gebotene Sorgfalt beachtet
hat.
§ 8 Schadensersatz bei
automatisierter Datenverarbeitung durch öffentliche Stellen
(1) Fügt eine
verantwortliche öffentliche Stelle dem Betroffenen durch
eine nach diesem Gesetz oder nach anderen Vorschriften über
den Datenschutz unzulässige oder unrichtige automatisierte
Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen
Daten einen Schaden zu, ist ihr Träger dem Betroffenen
unabhängig von einem Verschulden zum Schadensersatz
verpflichtet.
(2) Bei einer schweren
Verletzung des Persönlichkeitsrechts ist dem Betroffenen der
Schaden, der nicht Vermögensschaden ist, angemessen in Geld
zu ersetzen.
(3) Die Ansprüche nach den
Absätzen 1 und 2 sind insgesamt auf einen Betrag von 250 000
Deutsche Mark begrenzt. Ist aufgrund desselben Ereignisses
an mehrere Personen Schadensersatz zu leisten, der insgesamt
den Höchstbetrag von 250 000 Deutsche Mark übersteigt, so
verringern sich die einzelnen Schadensersatzleistungen in
dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag
steht.
(4) Sind bei einer
automatisierten Verarbeitung mehrere Stellen
speicherungsberechtigt und ist der Geschädigte nicht in der
Lage, die speichernde Stelle festzustellen, so haftet jede
dieser Stellen.
(5) Auf das Mitverschulden
des Betroffenen und die Verjährung sind die §§ 254 und 852
des Bürgerlichen Gesetzbuches entsprechend anzuwenden.
§ 9 Technische und
organisatorische Maßnahmen
Öffentliche und nicht
öffentliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder nutzen,
haben die technischen und organisatorischen Maßnahmen zu
treffen, die erforderlich sind, um die Ausführung der
Vorschriften dieses Gesetzes, insbesondere die in der Anlage
zu diesem Gesetz genannten Anforderungen, zu gewährleisten.
Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem
angemessenen Verhältnis zu dem angestrebten Schutzzweck
steht.
§ 9a Datenschutzaudit
Zur Verbesserung des
Datenschutzes und der Datensicherheit können Anbieter von
Datenverarbeitungssystemen und -programmen und
datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre
technischen Einrichtungen durch unabhängige und zugelassene
Gutachter prüfen und bewerten lassen sowie das Ergebnis der
Prüfung veröffentlichen. Die näheren Anforderungen an die
Prüfung und Bewertung, das Verfahren sowie die Auswahl und
Zulassung der Gutachter werden durch besonderes Gesetz
geregelt.
§ 10 Einrichtung
automatisierter Abrufverfahren
(1) Die Einrichtung eines
automatisierten Verfahrens, das die Übermittlung
personenbezogener Daten durch Abruf ermöglicht, ist
zulässig, soweit dieses Verfahren unter Berücksichtigung der
schutzwürdigen Interessen der Betroffenen und der Aufgaben
oder Geschäftszwecke der beteiligten Stellen angemessen ist.
Die Vorschriften über die Zulässigkeit des einzelnen Abrufs
bleiben unberührt.
(2) Die beteiligten
Stellen haben zu gewährleisten, dass die Zulässigkeit des
Abrufverfahrens kontrolliert werden kann. Hierzu haben sie
schriftlich festzulegen:
1. Anlass und
Zweck des Abrufverfahrens,
2. Dritte, an
die übermittelt wird,
3. Art der zu
übermittelnden Daten,
4. nach § 9
erforderliche technische und organisatorische Maßnahmen.
Im öffentlichen Bereich
können die erforderlichen Festlegungen auch durch die
Fachaufsichtsbehörden getroffen werden.
(3) Über die Einrichtung
von Abrufverfahren ist in Fällen, in denen die in § 12 Abs.
1 genannten Stellen beteiligt sind, der Bundesbeauftragte
für den Datenschutz unter Mitteilung der Festlegungen nach
Absatz 2 zu unterrichten. Die Einrichtung von
Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs.
3 genannten Stellen beteiligt sind, ist nur zulässig, wenn
das für die speichernde und die abrufende Stelle jeweils
zuständige Bundes- oder Landesministerium zugestimmt hat.
(4) Die Verantwortung für
die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an
den übermittelt wird. Die speichernde Stelle prüft die
Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die
speichernde Stelle hat zu gewährleisten, dass die
Übermittlung personenbezogener Daten zumindest durch
geeignete Stichprobenverfahren festgestellt und überprüft
werden kann. Wird ein Gesamtbestand personenbezogener Daten
abgerufen oder übermittelt (Stapelverarbeitung), so bezieht
sich die Gewährleistung der Feststellung und Überprüfung nur
auf die Zulässigkeit des Abrufes oder der Übermittlung des
Gesamtbestandes.
(5) Die Absätze 1 bis 4
gelten nicht für den Abruf allgemein zugänglicher Daten.
Allgemein zugänglich sind Daten, die jedermann, sei es ohne
oder nach vorheriger Anmeldung, Zulassung oder Entrichtung
eines Entgelts, nutzen kann.
§ 11 Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden
personenbezogene Daten im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt, ist der Auftraggeber für
die Einhaltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz verantwortlich. Die in den
§§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu
machen.
(2) Der Auftragnehmer ist
unter besonderer Berücksichtigung der Eignung der von ihm
getroffenen technischen und organisatorischen Maßnahmen
sorgfältig auszuwählen. Der Auftrag ist schriftlich zu
erteilen, wobei die Datenerhebung, -verarbeitung oder
-nutzung, die technischen
und organisatorischen Maßnahmen und etwaige
Unterauftragsverhältnisse festzulegen sind. Er kann bei
öffentlichen Stellen auch durch die Fachaufsichtsbehörde
erteilt werden. Der Auftraggeber hat sich von der Einhaltung
der beim Auftragnehmer getroffenen technischen und
organisatorischen Maßnahmen zu überzeugen.
(3) Der Auftragnehmer darf
die Daten nur im Rahmen der Weisungen des Auftraggebers
erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass
eine Weisung des Auftraggebers gegen dieses Gesetz oder
andere Vorschriften über den Datenschutz verstößt, hat er
den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer
gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und 4 sowie § 44
Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften
über die Datenschutzkontrolle oder die Aufsicht, und zwar
für
1. a)
öffentliche Stellen,
b) nicht
öffentliche Stellen, bei denen der öffentlichen Hand die
Mehrheit der Anteile gehört oder die Mehrheit der Stimmen
zusteht und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder
die entsprechenden Vorschriften der Datenschutzgesetze der
Länder,
2. die
übrigen nicht öffentlichen Stellen, soweit sie
personenbezogene Daten im Auftrag als
Dienstleistungsunternehmen geschäftsmäßig erheben,
verarbeiten
oder nutzen, die §§ 4 f ,
4 g und 38.
(5) Die Absätze 1 bis 4
gelten entsprechend, wenn die Prüfung oder Wartung
automatisierter Verfahren oder von Datenverarbeitungsanlagen
durch andere Stellen im Auftrag vorgenommen wird und dabei
ein Zugriff auf personenbezogene Daten nicht ausgeschlossen
werden kann.
Zweiter Abschnitt
Datenverarbeitung der öffentlichen Stellen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 12 Anwendungsbereich
(1) Die Vorschriften
dieses Abschnittes gelten für öffentliche Stellen des
Bundes, soweit sie nicht als öffentlich-rechtliche
Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz
nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis
16, 19 bis 20 auch für die öffentlichen Stellen der Länder,
soweit sie
1.
Bundesrecht ausführen und nicht als öffentlich-rechtliche
Unternehmen am Wettbewerb teilnehmen oder
2. als Organe
der Rechtspflege tätig werden und es sich nicht um
Verwaltungsangelegenheiten handelt.
(3) Für Landesbeauftragte
für den Datenschutz gilt § 23 Abs. 4 entsprechend.
(4) Werden
personenbezogene Daten für frühere, bestehende oder
zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse
erhoben, verarbeitet oder genutzt, gelten anstelle der §§ 13
bis 16, 19 bis 20 der § 28 Abs. 1 und 3 Nr. 1 sowie die §§
33 bis 35, auch soweit personenbezogene Daten weder
automatisiert verarbeitet noch in nicht automatisierten
Dateien verarbeitet oder genutzt oder dafür erhoben werden.
§ 13 Datenerhebung
(1) Das Erheben
personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur
Erfüllung der Aufgaben der verantwortlichen Stelle
erforderlich ist.
(1a) Werden
personenbezogene Daten statt beim Betroffenen bei einer
nicht öffentlichen Stelle erhoben, so ist die Stelle auf die
Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf
die Freiwilligkeit ihrer Angaben hinzuweisen.
(2) Das Erheben besonderer
Arten personenbezogener Daten (§ 3 Abs. 9) ist nur
zu-lässig, soweit
1. eine
Rechtsvorschrift dies vorsieht oder aus Gründen eines
wichtigen öffentlichen Interesses zwingend erfordert,
2. der
Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat,
3. dies zum
Schutz lebenswichtiger Interessen des Betroffenen oder eines
Dritten erforderlich ist, sofern der Betroffene aus
physischen oder rechtlichen Gründen außerstande ist, seine
Einwilligung zu geben,
4. es sich um
Daten handelt, die der Betroffene offenkundig öffentlich
gemacht hat,
5. dies zur
Abwehr einer erheblichen Gefahr für die öffentliche
Sicherheit erforderlich ist,
6. dies zur
Abwehr erheblicher Nachteile für das Gemeinwohl oder zur
Wahrung erheblicher Belange des Gemeinwohls zwingend
erforderlich ist,
7. dies zum
Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik,
der Gesundheitsversorgung oder Behandlung oder für die
Verwaltung von Gesundheitsdiensten erforderlich ist und die
Verarbeitung dieser Daten durch ärztliches Personal oder
durch sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht unterliegen,
8. dies zur
Durchführung wissenschaftlicher Forschung erforderlich ist,
das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Erhebung erheblich überwiegt und der Zweck
der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden kann oder
9. dies aus
zwingenden Gründen der Verteidigung oder der Erfüllung über-
oder zwischenstaatlicher Verpflichtungen einer öffentlichen
Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder
Konfliktverhinderung oder für humanitäre Maßnahmen
erforderlich ist.
§ 14 Datenspeicherung,
-veränderung und -nutzung
(1) Das Speichern,
Verändern oder Nutzen personenbezogener Daten ist zulässig,
wenn es zur Erfüllung der in der Zuständigkeit der
verantwortlichen Stelle liegenden Aufgaben erforderlich ist
und es für die Zwe-cke erfolgt, für die die Daten erhoben
worden sind. Ist keine Erhebung vorausgegangen, dürfen die
Daten nur für die Zwecke geändert oder genutzt werden, für
die sie gespeichert worden sind.
(2) Das Speichern,
Verändern oder Nutzen für andere Zwecke ist nur zulässig,
wenn
1. eine
Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. der
Betroffene eingewilligt hat,
3.
offensichtlich ist, dass es im Interesse des Betroffenen
liegt, und kein Grund zu der Annahme besteht, dass er in
Kenntnis des anderen Zwecks seine Einwilligung verweigern
würde,
4. Angaben
des Betroffenen überprüft werden müssen, weil tatsächliche
Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Daten
allgemein zugänglich sind oder die verantwortliche Stelle
sie veröffentlichen dürfte, es sei denn, dass das
schutzwürdige Interesse des Betroffenen an dem Ausschluss
der Zweckänderung offensichtlich überwiegt,
6. es zur
Abwehr erheblicher Nachteile für das Gemeinwohl oder einer
Gefahr für die öffentliche Sicherheit oder zur Wahrung
erheblicher Belange des Gemeinwohls erforderlich ist,
7. es zur
Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur
Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im
Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von
Erziehungsmaßregeln oder Zuchtmitteln im Sinne des
Jugendgerichtsgesetzes oder zur Vollstreckung von
Bußgeldentscheidungen erforderlich ist,
8. es zur
Abwehr einer schwerwiegenden Beeinträchtigung der Rechte
einer anderen Person erforderlich ist oder
9. es zur
Durchführung wissenschaftlicher Forschung erforderlich ist,
das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Zweckänderung erheblich
überwiegt und der Zweck
der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder
Nutzung für andere Zwecke liegt nicht vor, wenn sie der
Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der
Rechnungsprüfung oder der Durchführung von
Organisationsuntersuchungen für die verantwortliche Stelle
dient. Das gilt auch für die Verarbeitung oder Nutzung zu
Ausbildungs- und Prüfungszwecken durch die verantwortliche
Stelle, soweit nicht überwiegende schutzwürdige Interessen
des Betroffenen entgegenstehen.
(4) Personenbezogene
Daten, die ausschließlich zu Zwecken der
Datenschutzkontrolle, der Datensicherung oder zur
Sicherstellung eines ordnungsgemäßen Betriebes einer
Datenverarbeitungsanlage gespeichert werden, dürfen nur für
diese Zwecke verwendet werden.
(5) Das Speichern,
Verändern oder Nutzen von besonderen Arten personenbezogener
Daten (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn
1. die
Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs.
2 Nr. 1 bis 6
oder 9 zulassen würden
oder
2. dies zur
Durchführung wissenschaftlicher Forschung erforderlich ist,
das öffentliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Zweckänderung erheblich überwiegt und der
Zweck der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden kann.
Bei der Abwägung nach Satz
1 Nr. 2 ist im Rahmen des öffentlichen Interesses das
wissenschaftliche Interesse an dem Forschungsvorhaben
besonders zu berücksichtigen.
(6) Die Speicherung,
Veränderung oder Nutzung von besonderen Arten
personenbezogener Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2
Nr. 7 genannten Zwecken richtet sich nach den für die in §
13 Abs. 2 Nr. 7 genannten Personen geltenden
Geheimhaltungspflichten.
§ 15 Datenübermittlung
an öffentliche Stellen
(1) Die Übermittlung
personenbezogener Daten an öffentliche Stellen ist zulässig,
wenn
1. sie zur
Erfüllung der in der Zuständigkeit der übermittelnden Stelle
oder des Dritten, an den die Daten übermittelt werden,
liegenden Aufgaben erforderlich ist und
2. die
Voraussetzungen vorliegen, die eine Nutzung nach § 14
zulassen würden.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle. Erfolgt die Übermittlung auf Ersuchen des Dritten,
an den die Daten übermittelt werden, trägt dieser die
Verantwortung. In diesem Falle prüft die übermittelnde
Stelle nur, ob das Übermittlungsersuchen im Rahmen der
Aufgaben des Dritten, an den die Daten übermittelt werden,
liegt, es sei denn, dass besonderer Anlass zur Prüfung der
Zulässigkeit der Übermittlung besteht. § 10 Abs. 4 bleibt
unberührt.
(3) Der Dritte, an den die
Daten übermittelt werden, darf diese für den Zweck
verarbeiten oder nutzen, zu dessen Erfüllung sie ihm
übermittelt werden. Eine Verarbeitung oder Nutzung für
andere Zwecke ist nur unter den Voraussetzungen des § 14
Abs. 2 zulässig.
(4) Für die Übermittlung
personenbezogener Daten an Stellen der
öffentlich-rechtlichen Religionsgesellschaften gelten die
Absätze 1 bis 3 entsprechend, sofern sichergestellt ist,
dass bei diesen ausreichende Datenschutzmaßnahmen getroffen
werden.
(5) Sind mit
personenbezogenen Daten, die nach Absatz 1 übermittelt
werden dürfen, weitere personenbezogene Daten des
Betroffenen oder eines Dritten so verbunden, dass eine
Trennung nicht oder nur mit unvertretbarem Aufwand möglich
ist, so ist die Übermittlung auch dieser Daten zulässig,
soweit nicht berechtigte Interessen des Betroffenen oder
eines Dritten an deren Geheimhaltung offensichtlich
überwiegen; eine Nutzung dieser Daten ist unzulässig.
(6) Absatz 5 gilt
entsprechend, wenn personenbezogene Daten innerhalb einer
öffentlichen Stelle weitergegeben werden.
§ 16 Datenübermittlung
an nicht-öffentliche Stellen
(1) Die Übermittlung
personenbezogener Daten an nicht öffentliche Stellen ist
zulässig, wenn
1. sie zur
Erfüllung der in der Zuständigkeit der übermittelnden Stelle
liegenden Aufgaben erforderlich ist und die Voraussetzungen
vorliegen, die eine Nutzung nach § 14 zulassen würden, oder
2. der
Dritte, an den die Daten übermittelt werden, ein
berechtigtes Interesse an der Kenntnis der zu übermittelnden
Daten glaubhaft darlegt und der Betroffene kein
schutzwürdiges Interesse an dem Ausschluss der Übermittlung
hat. Das Übermitteln von besonderen Arten personenbezogener
Daten (§ 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur
zulässig, wenn die Voraussetzungen vorliegen, die eine
Nutzung nach § 14 Abs. 5 und 6 zulassen würden oder soweit
dies zur Geltendmachung, Ausübung oder Verteidigung
rechtlicher Ansprüche erforderlich ist.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle.
(3) In den Fällen der
Übermittlung nach Absatz 1 Nr. 2 unterrichtet die
übermittelnde Stelle den Betroffenen von der Übermittlung
seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist,
dass er davon auf andere Weise Kenntnis erlangt, oder wenn
die Unterrichtung die öffentliche Sicherheit gefährden oder
sonst dem Wohle des Bundes oder eines Landes Nachteile
bereiten würde.
(4) Der Dritte, an den die
Daten übermittelt werden, darf diese nur für den Zweck
verarbeiten oder nutzen, zu dessen Erfüllung sie ihm
übermittelt werden. Die übermittelnde Stelle hat ihn darauf
hinzuweisen. Eine Verarbeitung oder Nutzung für andere
Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1
zulässig wäre und die übermittelnde Stelle zugestimmt hat.
§ 17 Datenübermittlung
an Stellen außerhalb des Geltungsbereiches dieses Gesetzes
weggefallen
§ 18 Durchführung des
Datenschutzes in der Bundesverwaltung
(1) Die obersten
Bundesbehörden, der Präsident des Bundeseisenbahnvermögens,
sowie die bundesunmittelbaren Körperschaften, Anstalten und
Stiftungen des öffentlichen Rechts, über die von der
Bundesregierung oder einer obersten Bundesbehörde lediglich
die Rechtsaufsicht ausgeübt wird, haben für ihren
Geschäftsbereich die Ausführung dieses Gesetzes sowie
anderer Rechtsvorschriften über den Datenschutz
sicherzustellen. Das gleiche gilt für die Vorstände der aus
dem Sondervermögen Deutsche Bundespost durch Gesetz
hervorgegangenen Unternehmen, solange ihnen ein
ausschließliches Recht nach dem Postgesetz zusteht.
(2) Die öffentlichen
Stellen führen ein Verzeichnis der eingesetzten
Datenverarbeitungsanlagen. Für ihre automatisierten
Verarbeitungen haben sie die Angaben nach § 4e sowie die
Rechtsgrundlage der Verarbeitung schriftlich festzulegen.
Bei allgemeinen Verwaltungszwecken dienenden automatisierten
Verarbeitungen, bei welchen das Auskunftsrecht des
Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt
wird, kann hiervon abgesehen werden. Für automatisierte
Verarbeitungen, die in gleicher oder ähnlicher Weise
mehrfach geführt werden, können die Festlegungen
zusammengefasst werden.
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 19 Auskunft an den
Betroffenen
(1) Dem Betroffenen ist
auf Antrag Auskunft zu erteilen über
1. die zu
seiner Person gespeicherten Daten, auch soweit sie sich auf
die Herkunft dieser Daten beziehen,
2. die
Empfänger oder Kategorien von Empfängern, an die die Daten
weitergegeben werden, und
3. den Zweck
der Speicherung.
In dem Antrag soll die Art
der personenbezogenen Daten, über die Auskunft erteilt
werden soll, näher bezeichnet werden. Sind die
personenbezogenen Daten weder automatisiert noch in nicht
automatisierten Dateien gespeichert, wird die Auskunft nur
erteilt, soweit der Betroffene Angaben macht, die das
Auffinden der Daten ermöglichen, und der für die Erteilung
der Auskunft erforderliche Aufwand nicht außer Verhältnis zu
dem vom Betroffenen geltend gemachten Informationsinteresse
steht. Die verantwortliche Stelle bestimmt das Verfahren,
insbesondere die Form der Auskunftserteilung, nach
pflichtgemäßem Ermessen.
(2) Absatz 1 gilt nicht
für personenbezogene Daten, die nur deshalb gespeichert
sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder
vertraglicher Aufbewahrungsvorschriften nicht gelöscht
werden dürfen, oder ausschließlich Zwecken der
Datensicherung oder der Datenschutzkontrolle dienen und eine
Auskunftserteilung einen unverhältnismäßigen Aufwand
erfordern würde.
(3) Bezieht sich die
Auskunftserteilung auf die Übermittlung personenbezogener
Daten an Verfassungsschutzbehörden, den
Bundesnachrichtendienst, den Militärischen Abschirmdienst
und, soweit die Sicherheit des Bundes berührt wird, andere
Behörden des Bundesministeriums der Verteidigung, ist sie
nur mit Zustimmung dieser Stellen zulässig.
(4) Die Auskunftserteilung
unterbleibt, soweit
1. die
Auskunft die ordnungsgemäße Erfüllung der in der
Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben
gefährden würde,
2. die
Auskunft die öffentliche Sicherheit oder Ordnung gefährden
oder sonst dem Wohle des Bundes oder eines Landes Nachteile
bereiten würde oder
3. die Daten
oder die Tatsache ihrer Speicherung nach einer
Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen
der überwiegenden berechtigten Interessen eines Dritten,
geheim gehalten werden müssen
und deswegen das Interesse
des Betroffenen an der Auskunftserteilung zurücktreten muss.
(5) Die Ablehnung der
Auskunftserteilung bedarf einer Begründung nicht, soweit
durch die Mitteilung der tatsächlichen und rechtlichen
Gründe, auf die die Entscheidung gestützt wird, der mit der
Auskunftsverweigerung verfolgte Zweck gefährdet würde. In
diesem Falle ist der Betroffene darauf hinzuweisen, dass er
sich an den Bundesbeauftragten für den Datenschutz wenden
kann.
(6) Wird dem Betroffenen
keine Auskunft erteilt, so ist sie auf sein Verlangen dem
Bundesbeauftragten für den Datenschutz zu erteilen, soweit
nicht die jeweils zuständige oberste Bundesbehörde im
Einzelfall feststellt, dass dadurch die Sicherheit des
Bundes oder eines Landes gefährdet würde. Die Mitteilung des
Bundesbeauftragten an den Betroffenen darf keine
Rückschlüsse auf den Erkenntnisstand der verantwortlichen
Stelle zulassen, sofern diese nicht einer weitergehenden
Auskunft zustimmt.
(7) Die Auskunft ist
unentgeltlich.
§ 19a Benachrichtigung
(1) Werden Daten ohne
Kenntnis des Betroffenen erhoben, so ist er von der
Speicherung, der Identität der verantwortlichen Stelle sowie
über die Zweckbestimmungen der Erhebung, Verarbeitung oder
Nutzung zu unterrichten. Der Betroffene ist auch über die
Empfänger oder Kategorien von Empfängern von Daten zu
unterrichten, soweit er nicht mit der Übermittlung an diese
rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat
die Unterrichtung spätestens bei der ersten Übermittlung zu
erfolgen.
(2) Eine Pflicht zur
Benachrichtigung besteht nicht, wenn
1. der
Betroffene auf andere Weise Kenntnis von der Speicherung
oder der Übermittlung erlangt hat,
2. die
Unterrichtung des Betroffenen einen unverhältnismäßigen
Aufwand erfordert oder
3. die
Speicherung oder Übermittlung der personenbezogenen Daten
durch Gesetz ausdrücklich vorgesehen ist.
Die verantwortliche Stelle
legt schriftlich fest, unter welchen Voraussetzungen von
einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird.
(3) § 19 Abs. 2 bis 4 gilt
entsprechend.
§ 20 Berichtigung,
Löschung und Sperrung von Daten; Widerspruchsrecht
(1) Personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind. Wird
festgestellt, dass personenbezogene Daten, die weder
automatisiert verarbeitet noch in nicht automatisierten
Dateien gespeichert sind, unrichtig sind, oder wird ihre
Richtigkeit von dem Betroffenen bestritten, so ist dies in
geeigneter Weise festzuhalten.
(2) Personenbezogene
Daten, die automatisiert verarbeitet oder in nicht
automatisierten Dateien gespeichert sind, sind zu löschen,
wenn
1. ihre
Speicherung unzulässig ist oder
2. ihre
Kenntnis für die verantwortliche Stelle zur Erfüllung der in
ihrer Zuständigkeit liegenden Aufgaben nicht mehr
erforderlich ist.
(3) An die Stelle einer
Löschung tritt eine Sperrung, soweit
1. einer
Löschung gesetzliche, satzungsmäßige oder vertragliche
Aufbewahrungsfristen entgegenstehen,
2. Grund zu
der Annahme besteht, dass durch eine Löschung schutzwürdige
Interessen des Betroffenen beeinträchtigt würden, oder
3. eine
Löschung wegen der besonderen Art der Speicherung nicht oder
nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene
Daten, die automatisiert verarbeitet oder in nicht
automatisierten Dateien gespeichert sind, sind ferner zu
sperren, soweit ihre Richtigkeit vom Betroffenen bestritten
wird und sich weder die Richtigkeit noch die Unrichtigkeit
feststellen lässt.
(5) Personenbezogene Daten
dürfen nicht für eine automatisierte Verarbeitung oder
Verarbeitung in nicht automatisierten Dateien erhoben,
verarbeitet oder genutzt werden, soweit der Betroffene
dieser bei der verantwortlichen Stelle widerspricht und eine
Prüfung ergibt, dass das schutzwürdige Interesse des
Betroffenen wegen seiner besonderen persönlichen Situation
das Interesse der verantwortlichen Stelle an dieser
Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt
nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung
oder Nutzung verpflichtet.
(6) Personenbezogene
Daten, die weder automatisiert verarbeitet noch in einer
nicht automatisierten Datei gespeichert sind, sind zu
sperren, wenn die Behörde im Einzelfall feststellt, dass
ohne die Sperrung schutzwürdige Interessen des Betroffenen
beeinträchtigt würden und die Daten für die
Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.
(7) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder
genutzt werden, wenn
1. es zu
wissenschaftlichen Zwecken, zur Behebung einer bestehenden
Beweisnot oder aus sonstigen im überwiegenden Interesse der
verantwortlichen Stelle
oder eines Dritten
liegenden Gründen unerlässlich ist und
2. die Daten
hierfür übermittelt oder genutzt werden dürften, wenn sie
nicht gesperrt wären
(8) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der
Löschung oder Sperrung wegen Unzulässigkeit der Speicherung
sind die Stellen zu verständigen, denen im Rahmen einer
Datenübermittlung diese Daten zur Speicherung weitergegeben
wurden, wenn dies keinen unverhältnismäßigen Aufwand
erfordert und schutzwürdige Interessen des Betroffenen nicht
entgegenstehen.
(9) § 2 Abs. 1 bis 6, 8
und 9 des Bundesarchivgesetzes ist anzuwenden.
§ 21 Anrufung des
Bundesbeauftragten für den Datenschutz
Jedermann kann sich an den
Bundesbeauftragten für den Datenschutz wenden, wenn er der
Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung
seiner personenbezogenen Daten durch öffentliche Stellen des
Bundes in seinen Rechten verletzt worden zu sein. Für die
Erhebung, Verarbeitung oder Nutzung von personenbezogenen
Daten durch Gerichte des Bundes gilt dies nur, soweit diese
in Verwaltungsangelegenheiten tätig werden.
Dritter Unterabschnitt
Bundesbeauftragter für den Datenschutz
§ 22 Wahl des
Bundesbeauftragten für den Datenschutz
(1) Der Deutsche Bundestag
wählt auf Vorschlag der Bundesregierung den
Bundesbeauftragten für den Datenschutz mit mehr als der
Hälfte der gesetzlichen Zahl seiner Mitglieder. Der
Bundesbeauftragte muss bei seiner Wahl das 35. Lebensjahr
vollendet haben. Der Gewählte ist vom Bundespräsidenten zu
ernennen.
(2) Der Bundesbeauftragte
leistet vor dem Bundesminister des Innern folgenden Eid:
"Ich schwöre, dass ich
meine Kraft dem Wohle des deutschen Volkes widmen, seinen
Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und
die Gesetze des Bundes wahren und verteidigen, meine
Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen
jedermann üben werde. So wahr mir Gott helfe."
Der Eid kann auch ohne
religiöse Beteuerung geleistet werden.
(3) Die Amtszeit des
Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl
ist zulässig.
(4) Der Bundesbeauftragte
steht nach Maßgabe dieses Gesetzes zum Bund in einem
öffentlich-rechtlichen Amtsverhältnis. Er ist in Ausübung
seines Amtes unabhängig und nur dem Gesetz unterworfen. Er
untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte
wird beim Bundesministerium des Innern eingerichtet. Er
untersteht der Dienstaufsicht des Bundesministeriums des
Innern. Dem Bundesbeauftragten ist die für die Erfüllung
seiner Aufgaben notwendige Personal- und Sachausstattung zur
Verfügung zu stellen; sie ist im Einzelplan des
Bundesministeriums des Innern in einem eigenen Kapitel
auszuweisen. Die Stellen sind im Einvernehmen mit dem
Bundesbeauftragten zu besetzen. Die Mitarbeiter können,
falls sie mit der beabsichtigten Maßnahme nicht
einverstanden sind, nur im Einvernehmen mit ihm versetzt,
abgeordnet oder umgesetzt werden.
(6) Ist der
Bundesbeauftragte vorübergehend an der Ausübung seines Amtes
verhindert, kann der Bundesminister des Innern einen
Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der
Bundesbeauftragte soll dazu gehört werden.
§ 23 Rechtsstellung des
Bundesbeauftragten für den Datenschutz
(1) Das Amtsverhältnis des
Bundesbeauftragten für den Datenschutz beginnt mit der
Aushändigung der Ernennungsurkunde. Es endet
1. mit Ablauf
der Amtszeit,
2. mit der
Entlassung.
Der Bundespräsident
entlässt den Bundesbeauftragten, wenn dieser es verlangt
oder auf Vorschlag der Bundesregierung, wenn Gründe
vorliegen, die bei einem Richter auf Lebenszeit die
Entlassung aus dem Dienst rechtfertigen. Im Falle der
Beendigung des Amtsverhältnisses erhält der
Bundesbeauftragte eine vom Bundespräsidenten vollzogene
Urkunde. Eine Entlassung wird mit der Aushändigung der
Urkunde wirksam. Auf Ersuchen des Bundesministers des Innern
ist der Bundesbeauftragte verpflichtet, die Geschäfte bis
zur Ernennung seines Nachfolgers weiterzuführen.
(2) Der Bundesbeauftragte
darf neben seinem Amt kein anderes besoldetes Amt, kein
Gewerbe und keinen Beruf ausüben und weder der Leitung oder
dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb
gerichteten Unternehmens noch einer Regierung oder einer
gesetzgebenden Körperschaft des Bundes oder eines Landes
angehören. Er darf nicht gegen Entgelt außergerichtliche
Gutachten abgeben.
(3) Der Bundesbeauftragte
hat dem Bundesministerium des Innern Mitteilung über
Geschenke zu machen, die er in Bezug auf sein Amt erhält.
Das Bundesministerium des Innern entscheidet über die
Verwendung der Geschenke.
(4) Der Bundesbeauftragte
ist berechtigt, über Personen, die ihm in seiner Eigenschaft
als Bundesbeauftragter Tatsachen anvertraut haben, sowie
über diese Tatsachen selbst das Zeugnis zu verweigern. Dies
gilt auch für die Mitarbeiter des Bundesbeauftragten mit der
Maßgabe, dass über die Ausübung dieses Rechts der
Bundesbeauftragte entscheidet. Soweit das
Zeugnisverweigerungsrecht des Bundesbeauftragten reicht,
darf die Vorlegung oder Auslieferung von Akten oder anderen
Schriftstücken von ihm nicht gefordert werden.
(5) Der Bundesbeauftragte
ist, auch nach Beendigung seines Amtsverhältnisses,
verpflichtet, über die ihm amtlich bekannt gewordenen
Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt
nicht für Mitteilungen im dienstlichen Verkehr oder über
Tatsachen, die offenkundig sind oder ihrer Bedeutung nach
keiner Geheimhaltung bedürfen. Der Bundesbeauftragte darf,
auch wenn er nicht mehr im Amt ist, über solche
Angelegenheiten ohne Genehmigung des Bundesministeriums des
Innern weder vor Gericht noch außergerichtlich aussagen oder
Erklärungen abgeben. Unberührt bleibt die gesetzlich
begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung
der freiheitlichen demokratischen Grundordnung für deren
Erhaltung einzutreten. Für den Bundesbeauftragten und seine
Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5
in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der
Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit
die Finanzbehörden die Kenntnis für die Durchführung eines
Verfahrens wegen einer Steuerstraftat sowie eines damit
zusammenhängenden Steuerverfahrens benötigen, an deren
Verfolgung ein zwingendes öffentliches Interesse besteht,
oder soweit es sich um vorsätzlich falsche Angaben des
Auskunftspflichtigen oder der für ihn tätigen Personen
handelt. Stellt der Bundesbeauftragte einen
Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen
und den Betroffenen hierüber zu informieren.
(6) Die Genehmigung, als
Zeuge auszusagen, soll nur versagt werden, wenn die Aussage
dem Wohle des Bundes oder eines deutschen Landes Nachteile
bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich
gefährden oder erheblich erschweren würde. Die Genehmigung,
ein Gutachten zu erstatten, kann versagt werden, wenn die
Erstattung den dienstlichen Interessen Nachteile bereiten
würde. § 28 des Bundesverfassungsgerichtsgesetzes bleibt
unberührt.
(7) Der Bundesbeauftragte
erhält vom Beginn des Kalendermonats an, in dem das
Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats,
in dem das Amtsverhältnis endet, im Falle des Absatzes 1
Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung
endet, Amtsbezüge in Höhe der einem Bundesbeamten der
Besoldungsgruppe B 9 zustehenden Besoldung. Das
Bundesreisekostengesetz und das Bundesumzugskostengesetz
sind entsprechend anzuwenden. Im übrigen sind die §§ 13 bis
20 des Bundesministergesetzes in der Fassung der
Bekanntmachung vom 27. Juli 1971 (BGBl. I S. 1166), zuletzt
geändert durch das Gesetz zur Kürzung des Amtsgehalts der
Mitglieder der Bundesregierung und der Parlamentarischen
Staatssekretäre vom 22. Dezember 1982 (BGBl. I S. 2007), mit
der Maßgabe anzuwenden, dass an die Stelle der zweijährigen
Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine
Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in
Verbindung mit den §§ 15 bis 17 des Bundesministergesetzes
berechnet sich das Ruhegehalt des Bundesbeauftragten unter
Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit
in entsprechender Anwendung des Beamtenversorgungsgesetzes,
wenn dies günstiger ist und der Bundesbeauftragte sich
unmittelbar vor seiner Wahl zum Bundesbeauftragten als
Beamter oder Richter mindestens in dem letzten gewöhnlich
vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt
befunden hat.
(8) Absatz 5 Satz 5 bis 7
gilt entsprechend für die öffentlichen Stellen, die für die
Kontrolle der Einhaltung der Vorschriften über den
Datenschutz in den Ländern zuständig sind.
§ 24 Kontrolle durch
den Bundesbeauftragten für den Datenschutz
(1) Der Bundesbeauftragte
für den Datenschutz kontrolliert bei den öffentlichen
Stellen des Bundes die Einhaltung der Vorschriften dieses
Gesetzes und anderer Vorschriften über den Datenschutz.
(2) Die Kontrolle des
Bundesbeauftragten erstreckt sich auch auf
1. von
öffentlichen Stellen des Bundes erlangte personenbezogene
Daten über den Inhalt und die näheren Umstände des Brief-,
Post- und Fernmeldeverkehrs, und
2.
personenbezogene Daten, die einem Be-rufs- oder besonderen
Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30
der Abgabenordnung, unterliegen.
Das Grundrecht des Brief-,
Post- und Fernmeldegeheimnisses des Artikels 10 des
Grundgesetzes wird insoweit eingeschränkt. Personenbezogene
Daten, die der Kontrolle durch die Kommission nach § 15 des
Artikel 10-Gesetzes unterliegen, unterliegen nicht der
Kontrolle durch den Bundesbeauftragten, es sei denn, die
Kommission ersucht den Bundesbeauftragten, die Einhaltung
der Vorschriften über den Datenschutz bei bestimmten
Vorgängen oder in bestimmten Bereichen zu kontrollieren und
ausschließlich ihr darüber zu berichten. Der Kontrolle durch
den Bundesbeauftragten unterliegen auch nicht
personenbezogene Daten in Akten über die
Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle
der auf ihn bezogenen Daten im Einzelfall gegenüber dem
Bundesbeauftragten widerspricht.
(3) Bei den
Bundesgerichten ist die unmittelbar der Rechtsprechung
dienende Tätigkeit der Richter von der Kontrolle
ausgenommen.
(4) Die öffentlichen
Stellen des Bundes sind verpflichtet, den Bundesbeauftragten
und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu
unterstützen. Ihnen ist dabei insbesondere
1. Auskunft
zu ihren Fragen sowie Einsicht in alle Unterlagen,
insbesondere in die gespeicherten Daten und in die
Datenverarbeitungsprogramme, zu gewähren, die im
Zusammenhang mit der Kontrolle nach Absatz 1 stehen,
2. jederzeit
Zutritt in alle Diensträume zu gewähren.
Die in § 6 Abs. 2 und § 19
Abs. 3 genannten Behörden gewähren die Unterstützung nur dem
Bundesbeauftragten selbst und den von ihm schriftlich
besonders Beauftragten. Satz 2 gilt für diese Behörden
nicht, soweit die oberste Bundesbehörde im Einzelfall
feststellt, dass die Auskunft oder Einsicht die Sicherheit
des Bundes oder eines Landes gefährden würde.
(5) Der Bundesbeauftragte
teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle
mit. Damit kann er Vorschläge zur Verbesserung des
Datenschutzes, insbesondere zur Beseitigung von
festgestellten Mängeln bei der Verarbeitung oder Nutzung
personenbezogener Daten, verbinden. § 25 bleibt unberührt.
(6) Absatz 2 gilt
entsprechend für die öffentlichen Stellen, die für die
Kontrolle der Einhaltung der Vorschriften über den
Datenschutz in den Ländern zuständig sind.
§ 25 Beanstandungen
durch den Bundesbeauftragten für den Datenschutz
(1) Stellt der
Bundesbeauftragte für den Datenschutz Verstöße gegen die
Vorschriften dieses Gesetzes oder gegen andere Vorschriften
über den Datenschutz oder sonstige Mängel bei der
Verarbeitung oder Nutzung personenbezogener Daten fest, so
beanstandet er dies
1. bei der
Bundesverwaltung gegenüber der zuständigen obersten
Bundesbehörde,
2. beim
Bundeseisenbahnvermögen gegenüber dem Präsidenten,
3. bei den
aus dem Sondervermögen Deutsche Bundespost durch Gesetz
hervorgegangenen Unternehmen, solange ihnen ein
ausschließliches Recht nach dem Postgesetz zusteht,
gegenüber deren Vorständen,
4. bei den
bundesunmittelbaren Körperschaften, Anstalten und Stiftungen
des öffentlichen Rechts sowie bei Vereinigungen solcher
Körperschaften, Anstalten und Stiftungen gegenüber dem
Vorstand oder dem sonst vertretungsberechtigten Organ
und fordert zur
Stellungnahme innerhalb einer von ihm zu bestimmenden Frist
auf. In den Fällen von Satz 1 Nr. 4 unterrichtet der
Bundesbeauftragte gleichzeitig die zuständige
Aufsichtsbehörde.
(2) Der Bundesbeauftragte
kann von einer Beanstandung absehen oder auf eine
Stellungnahme der betroffenen Stelle verzichten,
insbesondere wenn es sich um unerhebliche oder inzwischen
beseitigte Mängel handelt.
(3) Die Stellungnahme soll
auch eine Darstellung der Maßnahmen enthalten, die auf Grund
der Beanstandung des Bundesbeauftragten getroffen worden
sind. Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten
der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift
ihrer Stellungnahme an den Bundesbeauftragten zu.
§ 26 Weitere Aufgaben
des Bundesbeauftragten für den Datenschutz
(1) Der Bundesbeauftragte
für den Datenschutz erstattet dem Deutschen Bundestag alle
zwei Jahre einen Tätigkeitsbericht. Er unterrichtet den
Deutschen Bundestag und die Öffentlichkeit über wesentliche
Entwicklungen des Datenschutzes.
(2) Auf Anforderung des
Deutschen Bundestages oder der Bundesregierung hat der
Bundesbeauftragte Gutachten zu erstellen und Berichte zu
erstatten. Auf Ersuchen des Deutschen Bundestages, des
Petitionsausschusses, des Innenausschusses oder der
Bundesregierung geht der Bundesbeauftragte ferner Hinweisen
auf Angelegenheiten und Vorgänge des Datenschutzes bei den
öffentlichen Stellen des Bundes nach. Der Bundesbeauftragte
kann sich jederzeit an den Deutschen Bundestag wenden.
(3) Der Bundesbeauftragte
kann der Bundesregierung und den in § 12 Abs. 1 genannten
Stellen des Bundes Empfehlungen zur Verbesserung des
Datenschutzes geben und sie in Fragen des Datenschutzes
beraten. Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen
sind durch den Bundesbeauftragten zu unterrichten, wenn die
Empfehlung oder Beratung sie nicht unmittelbar betrifft.
(4) Der Bundesbeauftragte
wirkt auf die Zusammenarbeit mit den öffentlichen Stellen,
die für die Kontrolle der Einhaltung der Vorschriften über
den Datenschutz in den Ländern zuständig sind, sowie mit den
Aufsichtsbehörden nach § 38 hin. § 38 Abs. 1 Satz 3 und 4
gilt entsprechend.
Dritter Abschnitt
Datenverarbeitung nicht öffentlicher Stellen und
öffentlich-rechtlicher Wettbewerbsunternehmen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
(1) Die Vorschriften
dieses Abschnittes finden Anwendung, soweit personenbezogene
Daten unter Einsatz von Datenverarbeitungsanlagen
verarbeitet, genutzt oder dafür erhoben werden oder die
Daten in oder aus nicht automatisierten Dateien verarbeitet,
genutzt oder dafür erhoben werden durch
1. nicht
öffentliche Stellen,
2. a)
öffentliche Stellen des Bundes, soweit sie als
öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
b)
öffentlichen Stellen der Länder, soweit sie als
öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
Bundesrecht ausführen und der Datenschutz nicht durch
Landesgesetz geregelt ist.
Dies gilt nicht, wenn die
Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich
für persönliche oder familiäre Tätigkeiten erfolgt. In den
Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die
§§ 18, 21 und 24 bis 26.
(2) Die Vorschriften
dieses Abschnittes gelten nicht für die Verarbeitung und
Nutzung personenbezogener Daten außerhalb von nicht
automatisierten Dateien, soweit es sich nicht um
personenbezogene Daten handelt, die offensichtlich aus einer
automatisierten Verarbeitung entnommen worden sind.
§ 28 Datenerhebung,
-verarbeitung und -nutzung für eigene Zwecke
(1) Das Erheben,
Speichern, Verändern oder Übermitteln personenbezogener
Daten oder ihre Nutzung als Mittel für die Erfüllung eigener
Geschäftszwecke ist zulässig
1. wenn es
der Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses mit dem
Betroffenen dient,
2. soweit es
zur Wahrung berechtigter Interessen der verantwortlichen
Stelle erforderlich ist und kein Grund zu der Annahme
besteht, dass das schutzwürdige Interesse des Betroffenen an
dem Ausschluss der Verarbeitung oder Nutzung überwiegt oder
3. wenn die
Daten allgemein zugänglich sind oder die verantwortliche
Stelle sie veröffentlichen dürfte, es sei denn, dass das
schutzwürdige Interesse des Betroffenen an dem Ausschluss
der Verarbeitung oder Nutzung gegenüber dem berechtigten
Interesse der verantwortlichen Stelle offensichtlich
überwiegt.
Bei der Erhebung
personenbezogener Daten sind die Zwecke, für die die Daten
verarbeitet oder genutzt werden sollen, konkret festzulegen.
(2) Für einen anderen
Zweck dürfen sie nur unter den Voraussetzungen des Absatzes
1 Satz 1 Nr. 2 und 3 übermittelt oder genutzt werden.
(3) Die Übermittlung oder
Nutzung für einen anderen Zweck ist auch zulässig:
1. soweit es
zur Wahrung berechtigter Interessen eines Dritten oder
2. zur Abwehr
von Gefahren für die staatliche und öffentliche Sicherheit
sowie zur Verfolgung von Straftaten erforderlich ist, oder
3. für Zwecke
der Werbung, der Markt- und Meinungsforschung, wenn es sich
um listenmäßig oder sonst zusammengefasste Daten über
Angehörige einer Personengruppe handelt, die sich auf
a) eine
Angabe über die Zugehörigkeit des Betroffenen zu dieser
Personengruppe,
b) Berufs-,
Branchen- oder Geschäftsbeziehung,
c) Namen,
d) Titel,
e)
akademische Grade,
f) Anschrift
und
g)
Geburtsjahr
beschränken
und kein Grund zu der
Annahme besteht, dass der Betroffene ein schutzwürdiges
Interesse an dem Ausschluss der Übermittlung oder Nutzung
hat, oder
4. wenn es im
Interesse einer Forschungseinrichtung zur Durchführung
wissenschaftlicher Forschung erforderlich ist, das
wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Zweckänderung erheblich überwiegt und der
Zweck der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden kann.
In den Fällen des Satzes 1
Nr. 3 ist anzunehmen, dass dieses Interesse besteht, wenn im
Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder
vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten
übermittelt werden sollen, die sich
1. auf
strafbare Handlungen,
2. auf
Ordnungswidrigkeiten sowie
3. bei
Übermittlung durch den Arbeitgeber auf arbeitsrechtliche
Rechtsverhältnisse
beziehen.
(4) Widerspricht der
Betroffene bei der verantwortlichen Stelle der Nutzung oder
Übermittlung seiner Daten für Zwecke der Werbung oder der
Markt- oder Meinungsforschung, ist eine Nutzung oder
Übermittlung für diese Zwecke unzulässig. Der Betroffene ist
bei der Ansprache zum Zweck der Werbung oder der Markt- oder
Meinungsforschung über die verantwortliche Stelle sowie über
das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit
der Ansprechende personenbezogene Daten des Betroffenen
nutzt, die bei einer ihm nicht bekannten Stelle gespeichert
sind, hat er auch sicherzustellen, dass der Betroffene
Kenntnis über die Herkunft der Daten erhalten kann.
Widerspricht der Betroffenen bei dem Dritten, dem die Daten
nach Absatz 3 übermittelt werden, der Verarbeitung oder
Nutzung zum Zwecke der Werbung oder der Markt- oder
Meinungsforschung, hat dieser die Daten für diese Zwecke zu
sperren.
(5) Der Dritte, dem die
Daten übermittelt worden sind, darf diese nur für den Zweck
verarbeiten oder nutzen, zu dessen Erfüllung sie ihm
übermittelt werden. Eine Verarbeitung oder Nutzung für
andere Zwecke ist nicht öffentlichen Stellen nur unter den
Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen
nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. Die
übermittelnde Stelle hat
ihn darauf hinzuweisen.
(6) Das Erheben,
Verarbeiten und Nutzen von besonderen Arten
personenbezogener Daten (§ 3 Abs. 9) für eigene
Geschäftszwecke ist zulässig, soweit nicht der Betroffene
nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn
1. dies zum
Schutz lebenswichtiger Interessen des Betroffenen oder eines
Dritten erforderlich ist, sofern der Betroffene aus
physischen oder rechtlichen Gründen außerstande ist, seine
Einwilligung zu geben,
2. es sich um
Daten handelt, die der Betroffene offenkundig öffentlich
gemacht hat,
3. dies zur
Geltendmachung, Ausübung oder Verteidigung rechtlicher
Ansprüche erforderlich ist und kein Grund zu der Annahme
besteht, dass das schutzwürdige Interesse des Betroffenen an
dem Ausschluss der Erhebung, Verarbeitung oder Nutzung
überwiegt, oder
4. dies
zur Durchführung wissenschaftlicher Forschung erforderlich
ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich
überwiegt und der Zweck der Forschung auf andere Weise nicht
oder nur mit unverhältnismäßigem Aufwand erreicht werden
kann.
(7) Das Erheben von
besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist
ferner zulässig, wenn dies zum Zweck der
Gesundheitsvorsorge, der medizinischen Diagnostik, der
Gesundheitsversorgung oder Behandlung oder für die
Verwaltung von Gesundheitsdiensten erforderlich ist und die
Verarbeitung dieser Daten durch ärztliches Personal oder
durch sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht unterliegen. Die Verarbeitung und
Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet
sich nach den für die in Satz 1 genannten Personen geltenden
Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten
Zweck Daten über die Gesundheit von Personen durch
Angehörige eines anderen als in § 203 Abs. 1 und 3 des
Strafgesetzbuches genannten Berufes, dessen Ausübung die
Feststellung, Heilung oder Linderung von Krankheiten oder
die Herstellung oder den Vertrieb von Hilfsmitteln mit sich
bringt, erhoben, verarbeitet oder genutzt, ist dies nur
unter den Voraussetzungen zulässig, unter denen ein Arzt
selbst hierzu befugt wäre.
(8) Für einen anderen
Zweck dürfen die besonderen Arten personenbezogener Daten (§
3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1
bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt
werden. Eine Übermittlung oder Nutzung ist auch zulässig,
wenn dies zur Abwehr von erheblichen Gefahren für die
staatliche und öffentliche Sicherheit sowie zur Verfolgung
von Straftaten von erheblicher Bedeutung erforderlich ist.
(9) Organisationen, die
politisch, philosophisch, religiös oder gewerkschaftlich
ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen
besondere Arten personenbezogener Daten (§ 3 Abs. 9)
erheben, verarbeiten oder nutzen, soweit dies für die
Tätigkeit der Organisation erforderlich ist. Dies gilt nur
für personenbezogene Daten ihrer Mitglieder oder von
Personen, die im Zusammenhang mit deren Tätigkeitszweck
regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung
dieser personenbezogenen Daten an Personen oder Stellen
außerhalb der Organisation ist nur unter den Voraussetzungen
des § 4a Abs. 3 zulässig. Ab-
satz 3 Nr. 2 gilt
entsprechend.
§ 29 Geschäftsmäßige
Datenerhebung und -speicherung zum Zwecke der Übermittlung
(1) Das geschäftsmäßige
Erheben, Speichern oder Verändern personenbezogener Daten
zum Zwecke der Übermittlung, insbesondere wenn dies der
Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel
oder der Markt- und Meinungsforschung dient, ist zulässig,
wenn
1. kein Grund
zu der Annahme besteht, dass der Betroffene ein
schutzwürdiges Interesse an dem Ausschluss der Erhebung,
Speicherung oder Veränderung hat, oder
2. die Daten
aus allgemein zugänglichen Quellen entnommen werden können
oder die verantwortliche
Stelle sie veröffentlichen dürfte, es sei denn, dass das
schutzwürdige Interesse des Betroffenen an dem Ausschluss
der Erhebung, Speicherung oder Veränderung offensichtlich
überwiegt.
§ 28 Abs. 1 Satz 2 ist
anzuwenden.
(2) Die Übermittlung im
Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn
1. a) der
Dritte, dem die Daten übermittelt werden, ein berechtigtes
Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
b) es sich um
listenmäßig oder sonst zusammengefasste Daten nach § 28 Abs.
3 Nr. 3 handelt, die für Zwecke der Werbung oder der Markt-
oder Meinungsforschung übermittelt werden sollen, und
2. kein Grund
zu der Annahme besteht, dass der Betroffene ein
schutzwürdiges Interesse an dem Ausschluss der Übermittlung
hat.
§ 28 Abs. 3 gilt
entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe a
sind die Gründe für das Vorliegen eines berechtigten
Interesses und die Art und Weise ihrer glaubhaften Darlegung
von der übermittelnden Stelle aufzuzeichnen. Bei der
Übermittlung im automatisierten Abrufverfahren obliegt die
Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt
werden.
(3) Die Aufnahme
personenbezogener Daten in elektronische oder gedruckte
Adress-, Telefon-, Branchen- oder vergleichbare
Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende
Wille des Betroffenen aus dem zugrunde liegenden
elektronischen oder gedruckten Verzeichnis oder Register
ersichtlich ist. Der Empfänger der Daten hat
sicherzustellen, dass Kennzeichnungen aus elektronischen
oder gedruckten Verzeichnissen oder Registern bei der
Übernahme in Verzeichnisse oder Register übernommen werden.
(4) Für die Verarbeitung
oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5.
(5) § 28 Abs. 6 bis 9 gilt
entsprechend.
§ 30 Geschäftsmäßige
Datenerhebung und -speicherung zum Zwecke der Übermittlung
in anonymisierter Form
(1) Werden
personenbezogene Daten geschäftsmäßig erhoben und
gespeichert, um sie in anonymisierter Form zu übermitteln,
sind die Merkmale gesondert zu speichern, mit denen
Einzelangaben über persönliche oder sachliche Verhältnisse
einer bestimmten oder bestimmbaren natürlichen Person
zugeordnet werden können. Diese Merkmale dürfen mit den
Einzelangaben nur zusammengeführt werden, soweit dies für
die Erfüllung des Zweckes der Speicherung oder zu
wissenschaftlichen Zwecken erforderlich ist.
(2) Die Veränderung
personenbezogener Daten ist zulässig, wenn
1. kein Grund
zu der Annahme besteht, dass der Betroffene ein
schutzwürdiges Interesse an dem Ausschluss der Veränderung
hat, oder
2. die Daten
aus allgemein zugänglichen Quellen entnommen werden können
oder die verantwortliche Stelle sie veröffentlichen dürfte,
soweit nicht das schutzwürdige Interesse des Betroffenen an
dem Ausschluss der Veränderung offensichtlich überwiegt.
(3) Die personenbezogenen
Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) § 29 gilt nicht.
(5) § 28 Abs. 6 bis 9 gilt
entsprechend.
§ 31 Besondere
Zweckbindung
Personenbezogene Daten,
die ausschließlich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen
Betriebes einer Datenverarbeitungsanlage gespeichert werden,
dürfen nur für diese Zwecke verwendet werden.
§ 32 Meldepflichten
weggefallen
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 33 Benachrichtigung
des Betroffenen
(1) Werden erstmals
personenbezogene Daten für eigene Zwecke ohne Kenntnis des
Betroffenen gespeichert, ist der Betroffene von der
Speicherung, der Art der Daten, der Zweckbestimmung der
Erhebung, Verarbeitung oder Nutzung und der Identität der
verantwortlichen Stelle zu benachrichtigen. Werden
personenbezogene Daten geschäftsmäßig zum Zwecke der
Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist
der Betroffene von der erstmaligen Übermittlung und der Art
der übermittelten Daten zu benachrichtigen. Der Betroffene
ist in den Fällen der Sätze 1 und 2 auch über die Kategorien
von Empfängern zu unterrichten, soweit er nach den Umständen
des Einzelfalles nicht mit der Übermittlung an diese rechnen
muss.
(2) Eine Pflicht zur
Benachrichtigung besteht nicht, wenn
1. der
Betroffene auf andere Weise Kenntnis von der Speicherung
oder der Übermittlung erlangt hat,
2. die Daten
nur deshalb gespeichert sind, weil sie aufgrund
gesetzlicher, satzungsmäßiger oder vertraglicher
Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder
ausschließlich der Datensicherung oder der
Datenschutzkontrolle dienen und eine Benachrichtigung einen
unverhältnismäßigen Aufwand erfordern würde,
3. die Daten
nach einer Rechtsvorschrift oder ihrem Wesen nach,
namentlich wegen des überwiegenden rechtlichen Interesses
eines Dritten, geheim gehalten werden müssen,
4. die
Speicherung oder Übermittlung durch Gesetz ausdrücklich
vorgesehen ist,
5. die
Speicherung oder Übermittlung für Zwecke der
wissenschaftlichen Forschung erforderlich ist und eine
Benachrichtigung einen unverhältnismäßigen Aufwand erfordern
würde,
6. die
zuständige öffentliche Stelle gegenüber der verantwortlichen
Stelle festgestellt hat, dass das Bekannt werden der Daten
die öffentliche Sicherheit oder Ordnung gefährden oder sonst
dem Wohle des Bundes oder eines Landes Nachteile bereiten
würde,
7. die Daten
für eigene Zwecke gespeichert sind und
a) aus
allgemein zugänglichen Quellen entnommen sind und eine
Benachrichtigung wegen der Vielzahl der betroffenen Fälle
unverhältnismäßig ist, oder
b) die
Benachrichtigung die Geschäftszwecke der verantwortlichen
Stelle erheblich gefährden würde, es sei denn, dass das
Interesse an der Benachrichtigung die Gefährdung überwiegt,
oder
8. die Daten
geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind
und
a) aus
allgemein zugänglichen Quellen entnommen sind, soweit sie
sich auf diejenigen Personen beziehen, die diese Daten
veröffentlicht haben,
oder
b) es sich um
listenmäßig oder sonst zusammengefasste Daten handelt (§ 29
Abs. 2 Nr. 1 Buchstabe b)
und eine Benachrichtigung
wegen der Vielzahl der betroffenen Fälle unverhältnismäßig
ist.
Die verantwortliche Stelle
legt schriftlich fest, unter welchen Voraussetzungen von
einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen
wird.
§ 34 Auskunft an den
Betroffenen
(1) Der Betroffene kann
Auskunft verlangen über
1. die zu
seiner Person gespeicherten Daten, auch soweit sie sich auf
die Herkunft dieser Daten beziehen,
2. Empfänger
oder Kategorien von Empfängern, an die Daten weitergegeben
werden, und
3. den Zweck
der Speicherung.
Er soll die Art der
personenbezogenen Daten, über die Auskunft erteilt werden
soll, näher bezeichnen. Werden die personenbezogenen Daten
geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann
der Betroffene über Herkunft und Empfänger nur Auskunft
verlangen, sofern nicht das Interesse an der Wahrung des
Geschäftsgeheimnisses überwiegt. In diesem Falle ist
Auskunft über Herkunft und Empfänger auch dann zu erteilen,
wenn diese Angaben nicht gespeichert sind.
(2) Der Betroffene kann
von Stellen, die geschäftsmäßig personenbezogene Daten zum
Zwecke der Auskunftserteilung speichern, Auskunft über seine
personenbezogenen Daten verlangen, auch wenn sie weder in
einer automatisierten Verarbeitung noch in einer nicht
automatisierten Datei gespeichert sind. Auskunft über
Herkunft und Empfänger kann der Betroffene nur verlangen,
sofern nicht das Interesse an der Wahrung des
Geschäftsgeheimnisses überwiegt.
(3) Die Auskunft wird
schriftlich erteilt, soweit nicht wegen der besonderen
Umstände eine andere Form der Auskunftserteilung angemessen
ist.
(4) Eine Pflicht zur
Auskunftserteilung besteht nicht, wenn der Betroffene nach §
33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu
benachrichtigen ist.
(5) Die Auskunft ist
unentgeltlich. Werden die personenbezogenen Daten
geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann
jedoch ein Entgelt verlangt werden, wenn der Betroffene die
Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken
nutzen kann. Das Entgelt darf über die durch die
Auskunftserteilung entstandenen direkt zurechenbaren Kosten
nicht hinausgehen. Ein Entgelt kann in den Fällen nicht
verlangt werden, in denen besondere Umstände die Annahme
rechtfertigen, dass Daten unrichtig oder unzulässig
gespeichert werden, oder in denen die Auskunft ergibt, dass
die Daten zu berichtigen oder unter der Voraussetzung des §
35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
(6) Ist die
Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen
die Möglichkeit zu geben, sich im Rahmen seines
Auskunftsanspruchs persönlich Kenntnis über die ihn
betreffenden Daten und Angaben zu verschaffen. Er ist
hierauf in geeigneter Weise hinzuweisen.
§ 35 Berichtigung,
Löschung und Sperrung von Daten
(1) Personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind.
(2) Personenbezogene Daten
können außer in den Fällen des Absatzes 3 Nr. 1 und 2
jederzeit gelöscht werden. Personenbezogene Daten sind zu
löschen, wenn
1. ihre
Speicherung unzulässig ist,
2. es sich um
Daten über die rassische oder ethnische Herkunft, politische
Meinungen, religiöse oder philosophische Überzeugungen oder
die Gewerkschaftszugehörigkeit, über Gesundheit oder das
Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten
handelt und ihre Richtigkeit von der verantwortlichen
Stel-le nicht bewiesen werden kann,
3. sie für
eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für
die Erfüllung des Zweckes der Speicherung nicht mehr
erforderlich ist, oder
4. sie
geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden
und eine Prüfung jeweils am Ende des vierten Kalenderjahres
beginnend mit ihrer erstmaligen Speicherung ergibt, dass
eine längerwährende Speicherung nicht erforderlich ist.
(3) An die Stelle einer
Löschung tritt eine Sperrung, soweit
1. im Falle
des Absatzes 2 Nr. 3 einer Löschung gesetzliche,
satzungsmäßige
oder vertragliche
Aufbewahrungsfristen entgegenstehen,
2. Grund zu
der Annahme besteht, dass durch eine Löschung schutzwürdige
Interessen des Betroffenen beeinträchtigt würden, oder
3. eine
Löschung wegen der besonderen Art der Speicherung nicht oder
nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten
sind ferner zu sperren, soweit ihre Richtigkeit vom
Betroffenen bestritten wird und sich weder die Richtigkeit
noch die Unrichtigkeit feststellen lässt.
(5) Personenbezogene Daten
dürfen nicht für eine automatisierte Verarbeitung oder
Verarbeitung in nicht automatisierten Dateien erhoben,
verarbeitet oder genutzt werden, soweit der Betroffene
dieser bei der verantwortlichen Stelle widerspricht und eine
Prüfung ergibt, dass das schutzwürdige Interesse des
Betroffenen wegen seiner besonderen persönlichen Situation
das Interesse der verantwortlichen Stelle an dieser
Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt
nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung
oder Nutzung verpflichtet.
(6) Personenbezogene
Daten, die unrichtig sind oder deren Richtigkeit bestritten
wird, müssen bei der geschäftsmäßigen Datenspeicherung zum
Zwecke der Übermittlung außer in den Fällen des Absatzes 2
Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn
sie aus allgemein zugänglichen Quellen entnommen und zu
Dokumentationszwecken gespeichert sind. Auf Verlangen des
Betroffenen ist diesen Daten für die Dauer der Speicherung
seine Gegendarstellung beizufügen. Die Daten dürfen nicht
ohne diese Gegendarstellung übermittelt werden.
(7) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der
Löschung oder Sperrung wegen Unzulässigkeit der Speicherung
sind die Stellen zu verständigen, denen im Rahmen einer
Datenübermittlung diese Daten zur Speicherung weitergegeben
werden, wenn dies keinen unverhältnismäßigen Aufwand
erfordert und schutzwürdige Interessen des Betroffenen nicht
entgegenstehen.
(8) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder
genutzt werden, wenn
1 es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus
sonstigen im überwiegenden Interesse der verantwortlichen
Stelle
oder eines Dritten
liegenden Gründen unerlässlich ist und
2. die Daten
hierfür übermittelt oder genutzt werden dürften, wenn sie
nicht gesperrt wären.
Dritter Unterabschnitt
Aufsichtsbehörde
§ 36 Bestellung eines
Beauftragten für den Datenschutz
weggefallen
§ 37 Aufgaben des
Beauftragten für den Datenschutz
weggefallen
§ 38 Aufsichtsbehörde
(1) Die Aufsichtsbehörde
kontrolliert die Ausführung dieses Gesetzes sowie anderer
Vorschriften über den Datenschutz, soweit diese die
automatisierte Verarbeitung personenbezogener Daten oder die
Verarbeitung oder Nutzung personenbezogener Daten in oder
aus nicht automatisierten Dateien regeln einschließlich des
Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Die
Aufsichtsbehörde darf die von ihr gespeicherten Daten nur
für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2
Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darf
die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere
Aufsichtsbehörden übermitteln. Sie leistet den
Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen
Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Stellt die
Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder
andere Vorschriften über den Datenschutz fest, so ist sie
befugt, die Betroffenen hierüber zu unterrichten, den
Verstoß bei den für die Verfolgung oder Ahndung zuständigen
Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die
Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher
Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig,
spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21
Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend.
(2) Die Aufsichtsbehörde
führt ein Register der nach § 4d meldepflichtigen
automatisierten Verarbeitungen mit den Angaben nach § 4e
Satz 1. Das Register kann von jedem eingesehen werden. Das
Einsichtsrecht erstreckt sich nicht auf die Angaben nach §
4e Satz 1 Nr. 9 sowie auf die Angabe der
zugriffsberechtigten Personen.
(3) Die der Kontrolle
unterliegenden Stellen sowie die mit deren Leitung
beauftragten Personen haben der Aufsichtsbehörde auf
Verlangen die für die Erfüllung ihrer Aufgaben
erforderlichen Auskünfte unverzüglich zu erteilen. Der
Auskunftspflichtige kann die Auskunft auf solche Fragen
verweigern, deren Beantwortung ihn selbst oder einen der in
§ 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung
bezeichneten Angehörigen der Gefahr strafgerichtlicher
Verfolgung oder eines Verfahrens nach dem Gesetz über
Ordnungswidrigkeiten aussetzen würde. Der
Auskunftspflichtige ist darauf hinzuweisen.
(4) Die von der
Aufsichtsbehörde mit der Kontrolle beauftragten Personen
sind befugt, soweit es zur Erfüllung der der
Aufsichtsbehörde übertragenen Aufgaben erforderlich ist,
während der Betriebs- und Geschäftszeiten Grundstücke und
Geschäftsräume der Stelle zu betreten und dort Prüfungen und
Besichtigungen vorzunehmen. Sie können geschäftliche
Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz
1 sowie die gespeicherten personenbezogenen Daten und die
Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt
entsprechend. Der Auskunftspflichtige hat diese Maßnahmen zu
dulden.
(5) Zur Gewährleistung des
Datenschutzes nach diesem Gesetz und anderen Vorschriften
über den Datenschutz, soweit diese die automatisierte
Verarbeitung personenbezogener Daten oder die Verarbeitung
personenbezogener Daten in oder aus nicht automatisierten
Dateien regeln, kann die Aufsichtsbehörde anordnen, dass im
Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung
festgestellter technischer oder organisatorischer Mängel
getroffen werden. Bei schwerwiegenden Mängeln dieser Art,
insbesondere, wenn sie mit besonderer Gefährdung des
Persönlichkeitsrechts verbunden sind, kann sie den Einsatz
einzelner Verfahren untersagen, wenn die Mängel entgegen der
Anordnung nach Satz 1 und trotz der Verhängung eines
Zwangsgeldes nicht in angemessener Zeit beseitigt werden.
Sie kann die Abberufung des Beauftragten für den Datenschutz
verlangen, wenn er die zur Erfüllung seiner Aufgaben
erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.
(6) Die Landesregierungen
oder die von ihnen ermächtigten Stellen bestimmen die für
die Kontrolle der Durchführung des Datenschutzes im
Anwendungsbereich dieses Abschnittes zuständigen
Aufsichtsbehörden.
(7) Die Anwendung der
Gewerbeordnung auf die den Vorschriften dieses Abschnitts
unterliegenden Gewerbebetriebe bleibt unberührt.
§ 38a
Verhaltensregeln zur Förderung der Durchführung
datenschutzrechtlicher Regelungen
(1) Berufsverbände und
andere Vereinigungen, die bestimmte Gruppen von
verantwortlichen Stellen vertreten, können Entwürfe für
Verhaltensregeln zur Förderung der Durchführung von
datenschutzrechtlichen Regelungen der zuständigen
Aufsichtsbehörde unterbreiten.
(2) Die Aufsichtsbehörde
überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe
mit dem geltenden Datenschutzrecht.
Vierter Abschnitt
Sondervorschriften
§ 39 Zweckbindung bei
personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
(1) Personenbezogene
Daten, die einem Berufs- oder besonderen Amtsgeheimnis
unterliegen und die von der zur Verschwiegenheit
verpflichteten Stelle in Ausübung ihrer Berufs- oder
Amtspflicht zur Verfügung gestellt worden sind, dürfen von
der verantwortlichen Stelle nur für den Zweck verarbeitet
oder genutzt werden, für den sie sie erhalten hat. In die
Übermittlung an eine nicht öffentliche Stelle muss die zur
Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen
Zweck dürfen die Daten nur verarbeitet oder genutzt werden,
wenn die Änderung des Zwecks durch besonderes Gesetz
zugelassen ist.
§ 40 Verarbeitung und
Nutzung personenbezogener Daten durch
Forschungseinrichtungen
(1) Für Zwecke der
wissenschaftlichen Forschung erhobene oder gespeicherte
personenbezogene Daten dürfen nur für Zwecke der
wissenschaftlichen Forschung verarbeitet oder genutzt
werden.
(2) Die personenbezogenen
Daten sind zu anonymisieren, sobald dies nach dem
Forschungszweck möglich ist. Bis dahin sind die Merkmale
gesondert zu speichern, mit denen Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten
oder bestimmbaren Person zugeordnet werden können. Sie
dürfen mit den Einzelangaben nur zusammengeführt werden,
soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche
Forschung betreibenden Stellen dürfen personenbezogene Daten
nur veröffentlichen, wenn
1. der
Betroffene eingewilligt hat oder
2. dies für
die Darstellung von Forschungsergebnissen über Ereignisse
der Zeitgeschichte unerlässlich ist.
§ 41 Erhebung,
Verarbeitung und Nutzung personenbezogener Daten durch die
Medien
(1) Die Länder haben in
ihrer Gesetzgebung vorzusehen, dass für die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten von
Unternehmen und Hilfsunternehmen der Presse ausschließlich
zu eigenen journalistisch-redaktionellen oder literarischen
Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende
Regelungen einschließlich einer hierauf bezogenen
Haftungsregelung entsprechend § 7 zur Anwendung kommen.
(2) Führt die
journalistisch-redaktionelle Erhebung, Verarbeitung oder
Nutzung personenbezogener Daten durch die Deutsche Welle zur
Veröffentlichung von Gegendarstellungen des Betroffenen, so
sind diese Gegendarstellungen zu den gespeicherten Daten zu
nehmen und für dieselbe Zeitdauer aufzubewahren wie die
Daten selbst.
(3) Wird jemand durch eine
Berichterstattung der Deutschen Welle in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft
über die der Berichterstattung zugrunde liegenden, zu seiner
Person gespeicherten Daten verlangen. Die Auskunft kann nach
Abwägung der schutzwürdigen Interessen der Beteiligten
verweigert werden, soweit
1. aus den
Daten auf Personen, die bei der Vorbereitung, Herstellung
oder Verbreitung von Rundfunksendungen berufsmäßig
journalistisch mitwirken oder mitgewirkt haben, geschlossen
werden kann,
2. aus den
Daten auf die Person des Einsenders oder des Gewährsträgers
von Beiträgen, Unterlagen und Mitteilungen für den
redaktionellen Teil geschlossen werden kann,
3. durch die
Mitteilung der recherchierten oder sonst erlangten Daten die
journalistische Aufgabe der Deutschen Welle durch
Ausforschung des Informationsbestandes beeinträchtigt würde.
Der Betroffene kann die
Berichtigung un-richtiger Daten verlangen.
(4) Im übrigen gelten für
die Deutsche Welle von den Vorschriften dieses Gesetzes die
§§ 5, 7, 9 und 38a. Anstelle der §§ 24 bis 26 gilt § 42,
auch soweit es sich um Verwaltungsangelegenheiten handelt.
§ 42
Datenschutzbeauftragter der Deutschen Welle
(1) Die Deutsche Welle
bestellt einen Beauftragten für den Datenschutz, der an die
Stelle des Bundesbeauftragten für den Datenschutz tritt. Die
Bestellung erfolgt auf Vorschlag des Intendanten durch den
Verwaltungsrat für die Dauer von vier Jahren, wobei
Wiederbestellungen zulässig sind. Das Amt eines Beauftragten
für den Datenschutz kann neben anderen Aufgaben innerhalb
der Rundfunkanstalt wahrgenommen werden.
(2) Der Beauftragte für
den Datenschutz kontrolliert die Einhaltung der Vorschriften
dieses Gesetzes sowie anderer Vorschriften über den
Datenschutz. Er ist in Ausübung dieses Amtes unabhängig und
nur dem Gesetz unterworfen. Im übrigen untersteht er der
Dienst- und Rechtsaufsicht des Verwaltungsrates.
(3) Jedermann kann sich
entsprechend § 21 Satz 1 an den Beauftragten für den
Datenschutz wenden.
(4) Der Beauftragte für
den Datenschutz erstattet den Organen der Deutschen Welle
alle zwei Jahre, erstmals zum 1. Januar 1994 einen
Tätigkeitsbericht. Er erstattet darüber hinaus besondere
Berichte auf Beschluss eines Organes der Deutschen Welle.
Die Tätigkeitsberichte übermittelt der Beauftragte auch an
den Bundesbeauftragten für den Datenschutz.
(5) Weitere Regelungen
entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für
ihren Bereich. Die § 4f und 4g bleiben unberührt.
Fünfter Abschnitt
Schlussvorschriften
§ 43
Bußgeldvorschriften
(1) Ordnungswidrig
handelt, wer vorsätzlich oder fahrlässig
1. entgegen §
4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung
nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig macht,
2. entgegen §
4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz
3 und 6, einen Beauftragten für den Datenschutz nicht, nicht
in der vorgeschriebenen Weise oder nicht rechtzeitig
bestellt,
3. entgegen §
28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder
nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass
der Betroffene Kenntnis erhalten kann,
4. entgegen §
28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder
nutzt,
5. entgegen §
29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder
die Art und Weise ihrer glaubhaften Darlegung nicht
aufzeichnet,
6. entgegen §
29 Abs. 3 Satz 1 personenbezogene Daten in elektronische
oder gedruckte Adress-, Rufnummern-, Branchen- oder
vergleichbare Verzeichnisse aufnimmt,
7. entgegen §
29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht
sicherstellt,
8. entgegen §
33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht
vollständig benachrichtigt,
9. entgegen §
35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,
10. entgegen
§ 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht,
nicht richtig, nicht vollständig oder nicht rechtzeitig
erteilt oder eine Maßnahme nicht duldet oder
11. einer
vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1
zuwiderhandelt.
(2) Ordnungswidrig
handelt, wer vorsätzlich oder fahrlässig
1. unbefugt
personenbezogene Daten, die nicht allgemein zugänglich sind,
erhebt oder verarbeitet,
2. unbefugt
personenbezogene Daten, die nicht allgemein zugänglich sind,
zum Abruf mittels automatisierten Verfahrens bereithält,
3. unbefugt
personenbezogene Daten, die nicht allgemein zugänglich sind,
abruft oder sich oder einem anderen aus automatisierten
Verarbeitungen oder nicht automatisierten Dateien
verschafft,
4. die
Übermittlung von personenbezogenen Daten, die nicht
allgemein zugänglich sind, durch unrichtige Angaben
erschleicht,
5. entgegen §
16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit
§ 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die
übermittelten Daten für andere Zwecke nutzt, indem er sie an
Dritte weitergibt, oder
6. entgegen §
30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten
Merkmale oder entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2
Satz 2 bezeichneten Merkmale mit den Einzelangaben
zusammenführt.
(3) Die Ordnungswidrigkeit
kann im Falle des Absatzes 1 mit einer Geldbuße bis zu
fünfundzwanzigtausend Euro, in den Fällen des Absatzes 2 mit
einer Geldbuße bis zu zweihundertfünfzigtausend Euro
geahndet werden.
§ 44 Strafvorschriften
(1) Wer eine in § 43 Abs.
2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in
der Absicht, sich oder einen anderen zu bereichern oder
einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe
bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf
Antrag verfolgt. Antragsberechtigt sind der Betroffene, die
verantwortliche Stelle, der Bundesbeauftragte für den
Datenschutz und die Aufsichtsbehörde.
Sechster Abschnitt
Übergangsvorschriften
§ 45 Laufende
Verwendungen
Erhebungen, Verarbeitungen
oder Nutzungen personenbezogener Daten, die am 23. Mai 2001
bereits begonnen haben, sind binnen drei Jahren nach diesem
Zeitpunkt mit den Vorschriften dieses Gesetzes in
Übereinstimmung zu bringen. Soweit Vorschriften dieses
Gesetzes in Rechtsvorschriften außerhalb des
Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen
Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr zur Anwendung gelangen,
sind Erhebungen, Verarbeitungen oder Nutzungen
personenbezogener Daten, die am 23. Mai 2001 bereits
begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit
den Vorschriften dieses Gesetzes in Übereinstimmung zu
bringen.
§ 46 Weitergeltung von
Begriffsbestimmungen
(1) Wird in besonderen
Rechtsvorschriften des Bundes der Begriff Datei verwendet,
ist Datei
1. eine
Sammlung personenbezogener Daten, die durch automatisierte
Verfahren nach bestimmten Merkmalen ausgewertet werden kann
(automatisierte Datei), oder
2. jede
sonstige Sammlung personenbezogener Daten, die gleichartig
aufgebaut ist und nach bestimmten Merkmalen geordnet,
umgeordnet und ausgewertet werden kann (nicht automatisierte
Datei).
Nicht hierzu gehören Akten
und Aktensammlungen, es sei denn, dass sie durch
automatisierte Verfahren umgeordnet und ausgewertet werden
können.
(2) Wird in besonderen
Rechtsvorschriften des Bundes der Begriff Akte verwendet,
ist Akte jede amtlichen oder dienstlichen Zwecken dienende
Unterlage, die nicht dem Dateibegriff des Absatzes 1
unterfällt; dazu zählen auch Bild- und Tonträger. Nicht
hierunter fallen Vorentwürfe und Notizen, die nicht
Bestandteil eines Vorgangs werden sollen.
(3) Wird in besonderen
Rechtsvorschriften des Bundes der Begriff Empfänger
verwendet, ist Empfänger jede Person oder Stelle außerhalb
der verantwortlichen Stelle. Empfänger sind nicht der
Betroffene sowie Personen und Stellen, die im Inland, in
einem anderen Mitgliedstaat der Europäischen Union oder in
einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum personenbezogene Daten im
Auftrag erheben, verarbeiten oder nutzen.
Anlage (zu § 9 Satz 1)
Werden personenbezogene
Daten automatisiert verarbeitet oder genutzt, ist die
innerbehördliche oder innerbetriebliche Organisation so zu
gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Dabei sind insbesondere
Maßnahmen zu treffen, die je nach der Art der zu schützenden
personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten
den Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, zu
verwehren (Zutrittskontrolle),
2. zu
verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können (Zugangskontrolle),
3. zu
gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf
die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können, und dass personenbezogene Daten bei der
Verarbeitung, Nutzung und nach der Speicherung nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden
können (Zugriffskontrolle),
4. zu
gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports
oder ihrer Speicherung auf Datenträger nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden können, und
dass überprüft und festgestellt werden kann, an welche
Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist
(Weitergabekontrolle),
5. zu
gewährleisten, dass nachträglich
überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind (Eingabekontrolle),
6. zu
gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des
Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu
gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung
oder Verlust geschützt
sind (Verfügbarkeitskontrolle),
8. zu
gewährleisten, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können. |
