Teil 1
Gemeinsame Bestimmungen
Kapitel 1
Anwendungsbereich und
Begriffsbestimmungen
§ 1 Anwendungsbereich des
Gesetzes
(1) Dieses Gesetz gilt für die
Verarbeitung personenbezogener Daten
durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder,
soweit der Datenschutz nicht durch
Landesgesetz geregelt ist und soweit
sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege
tätig werden und es sich nicht
um Verwaltungsangelegenheiten
handelt.
Für nichtöffentliche Stellen gilt dieses
Gesetz für die ganz oder teilweise
automatisierte Verarbeitung
personenbezogener Daten sowie die
nicht automatisierte Verarbeitung
personenbezogener Daten, die in einem
Dateisystem gespeichert sind oder
gespeichert werden sollen, es sei denn,
die Verarbeitung durch natürliche
Personen erfolgt zur Ausübung
ausschließlich persönlicher oder
familiärer Tätigkeiten.
(2) Andere Rechtsvorschriften des
Bundes über den Datenschutz gehen den
Vorschriften dieses Gesetzes vor.
Regeln sie einen Sachverhalt, für den
dieses Gesetz gilt, nicht oder nicht
abschließend, finden die Vorschriften
dieses Gesetzes Anwendung. Die
Verpflichtung zur Wahrung gesetzlicher
Geheimhaltungspflichten oder von
Berufs- oder besonderen
Amtsgeheimnissen, die nicht auf
gesetzlichen Vorschriften beruhen, bleibt
unberührt.
(3) Die Vorschriften dieses Gesetzes
gehen denen des
Verwaltungsverfahrensgesetzes vor,
soweit bei der Ermittlung des
Sachverhalts personenbezogene Daten
verarbeitet werden.
(4) Dieses Gesetz findet Anwendung
auf öffentliche Stellen. Auf
nichtöffentliche Stellen findet es
Anwendung, sofern
1. der Verantwortliche oder
Auftragsverarbeiter
personenbezogene Daten im Inland
verarbeitet,
2. die Verarbeitung personenbezogener
Daten im Rahmen der Tätigkeiten
einer inländischen Niederlassung des
Verantwortlichen oder
Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder
Auftragsverarbeiter zwar keine
Niederlassung in einem Mitgliedstaat
der Europäischen Union oder in
einem anderen Vertragsstaat des
Abkommens über den Europäischen
Wirtschaftsraum hat, er aber in den
Anwendungsbereich der Verordnung
(EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27.
April 2016 zum Schutz natürlicher
Personen bei der Verarbeitung
personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG
(Datenschutz-Grundverordnung)
(ABl. L 119 vom 4.5.2016, S. 1; L
314 vom 22.11.2016, S. 72; L127
vom 23.5.2018, S.2) in der jeweils
geltenden Fassung fällt.
Sofern dieses Gesetz nicht gemäß Satz
2 Anwendung findet, gelten für den
Verantwortlichen oder
Auftragsverarbeiter nur die §§ 8 bis 21,
39 bis 44.
(5) Die Vorschriften dieses Gesetzes
finden keine Anwendung, soweit das
Recht der Europäischen Union, im
Besonderen die Verordnung (EU)
2016/679 in der jeweils geltenden
Fassung, unmittelbar gilt.
(6) Bei Verarbeitungen zu Zwecken
gemäß Artikel 2 der Verordnung (EU)
2016/679 stehen die Vertragsstaaten
des Abkommens über den Europäischen
Wirtschaftsraum den Mitgliedstaaten der
Europäischen Union gleich. Andere
Staaten gelten insoweit als Drittstaaten.
(7) Bei Verarbeitungen zu Zwecken
gemäß Artikel 1 Absatz 1 der Richtlinie
(EU) 2016/680 des Europäischen
Parlaments und des Rates vom 27. April
2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener
Daten durch die zuständigen Behörden
zum Zwecke der Verhütung, Ermittlung,
Aufdeckung oder Verfolgung von
Straftaten oder der Strafvollstreckung
sowie zum freien Datenverkehr und zur
Aufhebung des Rahmenbeschlusses
2008/977/JI des Rates (ABl. L 119 vom
4.5.2016, S. 89) stehen die bei der
Umsetzung, Anwendung und Entwicklung
des Schengen-Besitzstands assoziierten
Staaten den Mitgliedstaaten der
Europäischen Union gleich. Andere
Staaten gelten insoweit als Drittstaaten.
(8) Für Verarbeitungen
personenbezogener Daten durch
öffentliche Stellen im Rahmen von nicht
in die Anwendungsbereiche der
Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 fallenden
Tätigkeiten finden die Verordnung (EU)
2016/679 und die Teile 1 und 2 dieses
Gesetzes entsprechend Anwendung,
soweit nicht in diesem Gesetz oder
einem anderen Gesetz Abweichendes
geregelt ist.
§ 2 Begriffsbestimmungen
(1) Öffentliche Stellen des Bundes sind
die Behörden, die Organe der
Rechtspflege und andere
öffentlichrechtlich organisierte
Einrichtungen des Bundes, der
bundesunmittelbaren Körperschaften, der
Anstalten und Stiftungen des
öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer
Rechtsform.
(2) Öffentliche Stellen der Länder sind
die Behörden, die Organe der
Rechtspflege und andere
öffentlich-rechtlich organisierte
Einrichtungen eines Landes, einer
Gemeinde, eines Gemeindeverbandes
oder sonstiger der Aufsicht des Landes
unterstehender juristischer Personen des
öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer
Rechtsform.
(3) Vereinigungen des privaten Rechts
von öffentlichen Stellen des Bundes und
der Länder, die Aufgaben der
öffentlichen Verwaltung wahrnehmen,
gelten ungeachtet der Beteiligung
nichtöffentlicher Stellen als öffentliche
Stellen des Bundes, wenn
1. sie über den Bereich eines Landes
hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der
Anteile gehört oder die absolute
Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche
Stellen der Länder.
(4) Nichtöffentliche Stellen sind
natürliche und juristische Personen,
Gesellschaften und andere
Personenvereinigungen des privaten
Rechts, soweit sie nicht unter die
Absätze 1 bis 3 fallen. Nimmt eine
nichtöffentliche Stelle hoheitliche
Aufgaben der öffentlichen Verwaltung
wahr, ist sie insoweit öffentliche Stelle
im Sinne dieses Gesetzes.
(5) Öffentliche Stellen des Bundes
gelten als nichtöffentliche Stellen im
Sinne dieses Gesetzes, soweit sie als
öffentlich-rechtliche Unternehmen am
Wettbewerb teilnehmen. Als
nichtöffentliche Stellen im Sinne dieses
Gesetzes gelten auch öffentliche Stellen
der Länder, soweit sie als
öffentlich-rechtliche Unternehmen am
Wettbewerb teilnehmen, Bundesrecht
ausführen und der Datenschutz nicht
durch Landesgesetz geregelt ist.
Kapitel 2
Rechtsgrundlagen der
Verarbeitung personenbezogener
Daten
§ 3 Verarbeitung
personenbezogener Daten durch
öffentliche Stellen
Die Verarbeitung personenbezogener
Daten durch eine öffentliche Stelle ist
zulässig, wenn sie zur Erfüllung der in
der Zuständigkeit des Verantwortlichen
liegenden Aufgabe oder in Ausübung
öffentlicher Gewalt, die dem
Verantwortlichen übertragen wurde,
erforderlich ist.
§ 4 Videoüberwachung öffentlich
zugänglicher Räume
(1) Die Beobachtung öffentlich
zugänglicher Räume mit
optisch-elektronischen Einrichtungen
(Videoüberwachung) ist nur zulässig,
soweit sie
1. zur Aufgabenerfüllung öffentlicher
Stellen,
2. zur Wahrnehmung des Hausrechts
oder
3. zur Wahrnehmung berechtigter
Interessen für konkret festgelegte
Zwecke
erforderlich ist und keine Anhaltspunkte
bestehen, dass schutzwürdige Interessen
der betroffenen Personen überwiegen.
Bei der Videoüberwachung von
1. öffentlich zugänglichen großflächigen
Anlagen, wie insbesondere Sport-,
Versammlungs- und
Vergnügungsstätten, Einkaufszentren
oder Parkplätzen, oder
2. Fahrzeugen und öffentlich
zugänglichen großflächigen
Einrichtungen des öffentlichen
Schienen-, Schiffs- und
Busverkehrs
gilt der Schutz von Leben, Gesundheit
oder Freiheit von dort aufhältigen
Personen als ein besonders wichtiges
Interesse.
(2) Der Umstand der Beobachtung und
der Name und die Kontaktdaten des
Verantwortlichen sind durch geeignete
Maßnahmen zum frühestmöglichen
Zeitpunkt erkennbar zu machen.
(3) Die Speicherung oder Verwendung
von nach Absatz 1 erhobenen Daten ist
zulässig, wenn sie zum Erreichen des
verfolgten Zwecks erforderlich ist und
keine Anhaltspunkte bestehen, dass
schutzwürdige Interessen der
betroffenen Personen überwiegen.
Absatz 1 Satz 2 gilt entsprechend. Für
einen anderen Zweck dürfen sie nur
weiterverarbeitet werden, soweit dies
zur Abwehr von Gefahren für die
staatliche und öffentliche Sicherheit
sowie zur Verfolgung von Straftaten
erforderlich ist.
(4) Werden durch Videoüberwachung
erhobene Daten einer bestimmten
Person zugeordnet, so besteht die
Pflicht zur Information der betroffenen
Person über die Verarbeitung gemäß
den Artikeln 13 und 14 der Verordnung
(EU) 2016/679. § 32 gilt entsprechend.
(5) Die Daten sind unverzüglich zu
löschen, wenn sie zur Erreichung des
Zwecks nicht mehr erforderlich sind
oder schutzwürdige Interessen der
betroffenen Personen einer weiteren
Speicherung entgegenstehen.
Kapitel 3
Datenschutzbeauftragte
öffentlicher Stellen
§ 5 Benennung
(1) Öffentliche Stellen benennen eine
Datenschutzbeauftragte oder einen
Datenschutzbeauftragten. Dies gilt auch
für öffentliche Stellen nach § 2 Absatz
5, die am Wettbewerb teilnehmen.
(2) Für mehrere öffentliche Stellen
kann unter Berücksichtigung ihrer
Organisationsstruktur und ihrer Größe
eine gemeinsame Datenschutzbeauftragte
oder ein gemeinsamer
Datenschutzbeauftragter benannt werden.
(3) Die oder der Datenschutzbeauftragte
wird auf der Grundlage ihrer oder
seiner beruflichen Qualifikation und
insbesondere ihres oder seines
Fachwissens benannt, das sie oder er
auf dem Gebiet des Datenschutzrechts
und der Datenschutzpraxis besitzt, sowie
auf der Grundlage ihrer oder seiner
Fähigkeit zur Erfüllung der in § 7
genannten Aufgaben.
(4) Die oder der Datenschutzbeauftragte
kann Beschäftigte oder Beschäftigter der
öffentlichen Stelle sein oder ihre oder
seine Aufgaben auf der Grundlage eines
Dienstleistungsvertrags erfüllen.
(5) Die öffentliche Stelle veröffentlicht
die Kontaktdaten der oder des
Datenschutzbeauftragten und teilt diese
Daten der oder dem Bundesbeauftragten
für den Datenschutz und die
Informationsfreiheit mit.
§ 6 Stellung
(1) Die öffentliche Stelle stellt sicher,
dass die oder der
Datenschutzbeauftragte ordnungsgemäß
und frühzeitig in alle mit dem Schutz
personenbezogener Daten
zusammenhängenden Fragen eingebunden
wird.
(2) Die öffentliche Stelle unterstützt
die Datenschutzbeauftragte oder den
Datenschutzbeauftragten bei der
Erfüllung ihrer oder seiner Aufgaben
gemäß § 7, indem sie die für die
Erfüllung dieser Aufgaben erforderlichen
Ressourcen und den Zugang zu
personenbezogenen Daten und
Verarbeitungsvorgängen sowie die zur
Erhaltung ihres oder seines Fachwissens
erforderlichen Ressourcen zur Verfügung
stellt.
(3) Die öffentliche Stelle stellt sicher,
dass die oder der
Datenschutzbeauftragte bei der Erfüllung
ihrer oder seiner Aufgaben keine
Anweisungen bezüglich der Ausübung
dieser Aufgaben erhält. Die oder der
Datenschutzbeauftragte berichtet
unmittelbar der höchsten Leitungsebene
der öffentlichen Stelle. Die oder der
Datenschutzbeauftragte darf von der
öffentlichen Stelle wegen der Erfüllung
ihrer oder seiner Aufgaben nicht
abberufen oder benachteiligt werden.
(4) Die Abberufung der oder des
Datenschutzbeauftragten ist nur in
entsprechender Anwendung des § 626
des Bürgerlichen Gesetzbuchs zulässig.
Die Kündigung des Arbeitsverhältnisses
ist unzulässig, es sei denn, dass
Tatsachen vorliegen, welche die
öffentliche Stelle zur Kündigung aus
wichtigem Grund ohne Einhaltung einer
Kündigungsfrist berechtigen. Nach dem
Ende der Tätigkeit als
Datenschutzbeauftragte oder als
Datenschutzbeauftragter ist die
Kündigung des Arbeitsverhältnisses
innerhalb eines Jahres unzulässig, es sei
denn, dass die öffentliche Stelle zur
Kündigung aus wichtigem Grund ohne
Einhaltung einer Kündigungsfrist
berechtigt ist.
(5) Betroffene Personen können die
Datenschutzbeauftragte oder den
Datenschutzbeauftragten zu allen mit der
Verarbeitung ihrer personenbezogenen
Daten und mit der Wahrnehmung ihrer
Rechte gemäß der Verordnung (EU)
2016/679, diesem Gesetz sowie anderen
Rechtsvorschriften über den Datenschutz
im Zusammenhang stehenden Fragen zu
Rate ziehen. Die oder der
Datenschutzbeauftragte ist zur
Verschwiegenheit über die Identität der
betroffenen Person sowie über
Umstände, die Rückschlüsse auf die
betroffene Person zulassen, verpflichtet,
soweit sie oder er nicht davon durch
die betroffene Person befreit wird.
(6) Wenn die oder der
Datenschutzbeauftragte bei ihrer oder
seiner Tätigkeit Kenntnis von Daten
erhält, für die der Leitung oder einer
bei der öffentlichen Stelle beschäftigten
Person aus beruflichen Gründen ein
Zeugnisverweigerungsrecht zusteht,
steht dieses Recht auch der oder dem
Datenschutzbeauftragten und den ihr
oder ihm unterstellten Beschäftigten zu.
Über die Ausübung dieses Rechts
entscheidet die Person, der das
Zeugnisverweigerungsrecht aus
beruflichen Gründen zusteht, es sei
denn, dass diese Entscheidung in
absehbarer Zeit nicht herbeigeführt
werden kann. Soweit das
Zeugnisverweigerungsrecht der oder des
Datenschutzbeauftragten reicht,
unterliegen ihre oder seine Akten und
andere Dokumente einem
Beschlagnahmeverbot.
§ 7 Aufgaben
(1) Der oder dem
Datenschutzbeauftragten obliegen neben
den in der Verordnung (EU) 2016/679
genannten Aufgaben zumindest folgende
Aufgaben:
1. Unterrichtung und Beratung der
öffentlichen Stelle und der
Beschäftigten, die Verarbeitungen
durchführen, hinsichtlich ihrer
Pflichten nach diesem Gesetz und
sonstigen Vorschriften über den
Datenschutz, einschließlich der zur
Umsetzung der Richtlinie (EU)
2016/680 erlassenen
Rechtsvorschriften;
2. Überwachung der Einhaltung dieses
Gesetzes und sonstiger Vorschriften
über den Datenschutz, einschließlich
der zur Umsetzung der Richtlinie
(EU) 2016/680 erlassenen
Rechtsvorschriften, sowie der
Strategien der öffentlichen Stelle für
den Schutz personenbezogener Daten,
einschließlich der Zuweisung von
Zuständigkeiten, der Sensibilisierung
und der Schulung der an den
Verarbeitungsvorgängen beteiligten
Beschäftigten und der
diesbezüglichen Überprüfungen;
3. Beratung im Zusammenhang mit der
Datenschutz-Folgenabschätzung und
Überwachung ihrer Durchführung
gemäß § 67 dieses Gesetzes;
4. Zusammenarbeit mit der
Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die
Aufsichtsbehörde in mit der
Verarbeitung zusammenhängenden
Fragen, einschließlich der vorherigen
Konsultation gemäß § 69 dieses
Gesetzes, und gegebenenfalls
Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem
Gericht bestellten
Datenschutzbeauftragten beziehen sich
diese Aufgaben nicht auf das Handeln
des Gerichts im Rahmen seiner
justiziellen Tätigkeit.
(2) Die oder der Datenschutzbeauftragte
kann andere Aufgaben und Pflichten
wahrnehmen. Die öffentliche Stelle stellt
sicher, dass derartige Aufgaben und
Pflichten nicht zu einem
Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte
trägt bei der Erfüllung ihrer oder seiner
Aufgaben dem mit den
Verarbeitungsvorgängen verbundenen
Risiko gebührend Rechnung, wobei sie
oder er die Art, den Umfang, die
Umstände und die Zwecke der
Verarbeitung berücksichtigt.
Kapitel 4
Die oder der Bundesbeauftragte
für den Datenschutz und die
Informationsfreiheit
§ 8 Errichtung
(1) Die oder der Bundesbeauftragte für
den Datenschutz und die
Informationsfreiheit (Bundesbeauftragte)
ist eine oberste Bundesbehörde. Der
Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der
oder des Bundesbeauftragten sind
Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte
kann Aufgaben der Personalverwaltung
und Personalwirtschaft auf andere
Stellen des Bundes übertragen, soweit
hierdurch die Unabhängigkeit der oder
des Bundesbeauftragten nicht
beeinträchtigt wird. Diesen Stellen
dürfen personenbezogene Daten der
Beschäftigten übermittelt werden,
soweit deren Kenntnis zur Erfüllung der
übertragenen Aufgaben erforderlich ist.
§ 9 Zuständigkeit
(1) Die oder der Bundesbeauftragte ist
zuständig für die Aufsicht über die
öffentlichen Stellen des Bundes, auch
soweit sie als öffentlich-rechtliche
Unternehmen am Wettbewerb
teilnehmen, sowie über Unternehmen,
soweit diese für die geschäftsmäßige
Erbringung von
Telekommunikationsdienstleistungen
Daten von natürlichen oder juristischen
Personen verarbeiten und sich die
Zuständigkeit nicht bereits aus § 27 des
Telekomminokation-Telemedien-Datens
chutz-Gesetzes ergibt. Die Vorschriften
dieses Kapitels gelten auch für
Auftragsverarbeiter, soweit sie
nichtöffentliche Stellen sind, bei denen
dem Bund die Mehrheit der Anteile
gehört oder die Mehrheit der Stimmen
zusteht und der Auftraggeber eine
öffentliche Stelle des Bundes ist.
(2) Die oder der Bundesbeauftragte ist
nicht zuständig für die Aufsicht über die
von den Bundesgerichten im Rahmen
ihrer justiziellen Tätigkeit
vorgenommenen Verarbeitungen.
§ 10 Unabhängigkeit
(1) Die oder der Bundesbeauftragte
handelt bei der Erfüllung ihrer oder
seiner Aufgaben und bei der Ausübung
ihrer oder seiner Befugnisse völlig
unabhängig. Sie oder er unterliegt
weder direkter noch indirekter
Beeinflussung von außen und ersucht
weder um Weisung noch nimmt sie oder
er Weisungen entgegen.
(2) Die oder der Bundesbeauftragte
unterliegt der Rechnungsprüfung durch
den Bundesrechnungshof, soweit
hierdurch ihre oder seine
Unabhängigkeit nicht beeinträchtigt wird.
§ 11 Ernennung und Amtszeit
(1) Der Deutsche Bundestag wählt ohne
Aussprache auf Vorschlag der
Bundesregierung die Bundesbeauftragte
oder den Bundesbeauftragten mit mehr
als der Hälfte der gesetzlichen Zahl
seiner Mitglieder. Die oder der
Gewählte ist von der Bundespräsidentin
oder dem Bundespräsidenten zu
ernennen. Die oder der
Bundesbeauftragte muss bei ihrer oder
seiner Wahl das 35. Lebensjahr
vollendet haben. Sie oder er muss über
die für die Erfüllung ihrer oder seiner
Aufgaben und Ausübung ihrer oder
seiner Befugnisse erforderliche
Qualifikation, Erfahrung und Sachkunde
insbesondere im Bereich des Schutzes
personenbezogener Daten verfügen.
Insbesondere muss die oder der
Bundesbeauftragte über durch
einschlägige Berufserfahrung erworbene
Kenntnisse des Datenschutzrechts
verfügen und die Befähigung zum
Richteramt oder höheren
Verwaltungsdienst haben.
(2) Die oder der Bundesbeauftragte
leistet vor der Bundespräsidentin oder
dem Bundespräsidenten folgenden Eid:
„Ich schwöre, dass ich meine Kraft dem
Wohle des deutschen Volkes widmen,
seinen Nutzen mehren, Schaden von ihm
wenden, das Grundgesetz und die
Gesetze des Bundes wahren und
verteidigen, meine Pflichten
gewissenhaft erfüllen und Gerechtigkeit
gegen jedermann üben werde. So wahr
mir Gott helfe. " Der Eid kann auch
ohne religiöse Beteuerung geleistet
werden.
(3) Die Amtszeit der oder des
Bundesbeauftragten beträgt fünf Jahre.
Einmalige Wiederwahl ist zulässig.
§ 12 Amtsverhältnis
(1) Die oder der Bundesbeauftragte
steht nach Maßgabe dieses Gesetzes
zum Bund in einem öffentlichrechtlichen
Amtsverhältnis.
(2) Das Amtsverhältnis beginnt mit der
Aushändigung der Ernennungsurkunde.
Es endet mit dem Ablauf der Amtszeit
oder mit dem Rücktritt. Die
Bundespräsidentin oder der
Bundespräsident enthebt auf Vorschlag
der Präsidentin oder des Präsidenten
des Bundestages die Bundesbeauftragte
ihres oder den Bundesbeauftragten
seines Amtes, wenn die oder der
Bundesbeauftragte eine schwere
Verfehlung begangen hat oder die
Voraussetzungen für die Wahrnehmung
ihrer oder seiner Aufgaben nicht mehr
erfüllt. Im Fall der Beendigung des
Amtsverhältnisses oder der
Amtsenthebung erhält die oder der
Bundesbeauftragte eine von der
Bundespräsidentin oder dem
Bundespräsidenten vollzogene Urkunde.
Eine Amtsenthebung wird mit der
Aushändigung der Urkunde wirksam.
Endet das Amtsverhältnis mit Ablauf
der Amtszeit, ist die oder der
Bundesbeauftragte verpflichtet, auf
Ersuchen der Präsidentin oder des
Präsidenten des Bundestages die
Geschäfte bis zur Ernennung einer
Nachfolgerin oder eines Nachfolgers für
die Dauer von höchstens sechs Monaten
weiterzuführen.
(3) Die Leitende Beamtin oder der
Leitende Beamte nimmt die Rechte der
oder des Bundesbeauftragten wahr,
wenn die oder der Bundesbeauftragte an
der Ausübung ihres oder seines Amtes
verhindert ist oder wenn ihr oder sein
Amtsverhältnis endet und sie oder er
nicht zur Weiterführung der Geschäfte
verpflichtet ist. § 10 Absatz 1 ist
entsprechend anzuwenden.
(4) Die oder der Bundesbeauftragte
erhält vom Beginn des Kalendermonats
an, in dem das Amtsverhältnis beginnt,
bis zum Schluss des Kalendermonats, in
dem das Amtsverhältnis endet, im Fall
des Absatzes 2 Satz 6 bis zum Ende
des Monats, in dem die
Geschäftsführung endet, Amtsbezüge in
Höhe der Besoldungsgruppe B 11 sowie
den Familienzuschlag entsprechend
Anlage V des
Bundesbesoldungsgesetzes. Das
Bundesreisekostengesetz und das
Bundesumzugskostengesetz sind
entsprechend anzuwenden. Im Übrigen
sind § 12 Absatz 6 sowie die §§ 13 bis
20 und 21a Absatz 5 des
Bundesministergesetzes mit den
Maßgaben anzuwenden, dass an die
Stelle der vierjährigen Amtszeit in § 15
Absatz 1 des Bundesministergesetzes
eine Amtszeit von fünf Jahren tritt.
Abweichend von Satz 3 in Verbindung
mit den §§ 15 bis 17 und 21a Absatz 5
des Bundesministergesetzes berechnet
sich das Ruhegehalt der oder des
Bundesbeauftragten unter Hinzurechnung
der Amtszeit als ruhegehaltsfähige
Dienstzeit in entsprechender Anwendung
des Beamtenversorgungsgesetzes, wenn
dies günstiger ist und die oder der
Bundesbeauftragte sich unmittelbar vor
ihrer oder seiner Wahl zur oder zum
Bundesbeauftragten als Beamtin oder
Beamter oder als Richterin oder Richter
mindestens in dem letzten gewöhnlich
vor Erreichen der Besoldungsgruppe B
11 zu durchlaufenden Amt befunden hat.
§ 13 Rechte und Pflichten
(1) Die oder der Bundesbeauftragte
sieht von allen mit den Aufgaben ihres
oder seines Amtes nicht zu
vereinbarenden Handlungen ab und übt
während ihrer oder seiner Amtszeit
keine andere mit ihrem oder seinem
Amt nicht zu vereinbarende entgeltliche
oder unentgeltliche Tätigkeit aus.
Insbesondere darf die oder der
Bundesbeauftragte neben ihrem oder
seinem Amt kein anderes besoldetes
Amt, kein Gewerbe und keinen Beruf
ausüben und weder der Leitung oder
dem Aufsichtsrat oder Verwaltungsrat
eines auf Erwerb gerichteten
Unternehmens noch einer Regierung
oder einer gesetzgebenden Körperschaft
des Bundes oder eines Landes
angehören. Sie oder er darf nicht gegen
Entgelt außergerichtliche Gutachten
abgeben.
(2) Die oder der Bundesbeauftragte hat
der Präsidentin oder dem Präsidenten
des Bundestages Mitteilung über
Geschenke zu machen, die sie oder er
in Bezug auf das Amt erhält. Die
Präsidentin oder der Präsident des
Bundestages entscheidet über die
Verwendung der Geschenke. Sie oder er
kann Verfahrensvorschriften erlassen.
(3) Die oder der Bundesbeauftragte ist
berechtigt, über Personen, die ihr oder
ihm in ihrer oder seiner Eigenschaft als
Bundesbeauftragte oder
Bundesbeauftragter Tatsachen anvertraut
haben, sowie über diese Tatsachen
selbst das Zeugnis zu verweigern. Dies
gilt auch für die Mitarbeiterinnen und
Mitarbeiter der oder des
Bundesbeauftragten mit der Maßgabe,
dass über die Ausübung dieses Rechts
die oder der Bundesbeauftragte
entscheidet. Soweit das
Zeugnisverweigerungsrecht der oder des
Bundesbeauftragten reicht, darf die
Vorlegung oder Auslieferung von Akten
oder anderen Dokumenten von ihr oder
ihm nicht gefordert werden.
(4) Die oder der Bundesbeauftragte ist,
auch nach Beendigung ihres oder seines
Amtsverhältnisses, verpflichtet, über die
ihr oder ihm amtlich bekanntgewordenen
Angelegenheiten Verschwiegenheit zu
bewahren. Dies gilt nicht für
Mitteilungen im dienstlichen Verkehr
oder über Tatsachen, die offenkundig
sind oder ihrer Bedeutung nach keiner
Geheimhaltung bedürfen. Die oder der
Bundesbeauftragte entscheidet nach
pflichtgemäßem Ermessen, ob und
inwieweit sie oder er über solche
Angelegenheiten vor Gericht oder
außergerichtlich aussagt oder
Erklärungen abgibt; wenn sie oder er
nicht mehr im Amt ist, ist die
Genehmigung der oder des amtierenden
Bundesbeauftragten erforderlich.
Unberührt bleibt die gesetzlich
begründete Pflicht, Straftaten anzuzeigen
und bei einer Gefährdung der
freiheitlichen demokratischen
Grundordnung für deren Erhaltung
einzutreten. Für die Bundesbeauftragte
oder den Bundesbeauftragten und ihre
oder seine Mitarbeiterinnen und
Mitarbeiter gelten die §§ 93, 97 und
105 Absatz 1, § 111 Absatz 5 in
Verbindung mit § 105 Absatz 1 sowie §
116 Absatz 1 der Abgabenordnung
nicht. Satz 5 findet keine Anwendung,
soweit die Finanzbehörden die Kenntnis
für die Durchführung eines Verfahrens
wegen einer Steuerstraftat sowie eines
damit zusammenhängenden
Steuerverfahrens benötigen, an deren
Verfolgung ein zwingendes öffentliches
Interesse besteht, oder soweit es sich
um vorsätzlich falsche Angaben der oder
des Auskunftspflichtigen oder der für
sie oder ihn tätigen Personen handelt.
Stellt die oder der Bundesbeauftragte
einen Datenschutzverstoß fest, ist sie
oder er befugt, diesen anzuzeigen und
die betroffene Person hierüber zu
informieren.
(5) Die oder der Bundesbeauftragte darf
als Zeugin oder Zeuge aussagen, es sei
denn, die Aussage würde
1. dem Wohl des Bundes oder eines
Landes Nachteile bereiten,
insbesondere Nachteile für die
Sicherheit der Bundesrepublik
Deutschland oder ihre Beziehungen
zu anderen Staaten, oder
2. Grundrechte verletzen.
Betrifft die Aussage laufende oder
abgeschlossene Vorgänge, die dem
Kernbereich exekutiver
Eigenverantwortung der Bundesregierung
zuzurechnen sind oder sein könnten,
darf die oder der Bundesbeauftragte nur
im Benehmen mit der Bundesregierung
aussagen. § 28 des
Bundesverfassungsgerichtsgesetzes
bleibt unberührt.
(6) Die Absätze 3 und 4 Satz 5 bis 7
gelten entsprechend für die öffentlichen
Stellen, die für die Kontrolle der
Einhaltung der Vorschriften über den
Datenschutz in den Ländern zuständig
sind.
§ 14 Aufgaben
(1) Die oder der Bundesbeauftragte hat
neben den in der Verordnung (EU)
2016/679 genannten Aufgaben die
Aufgaben,
1. die Anwendung dieses Gesetzes und
sonstiger Vorschriften über den
Datenschutz, einschließlich der zur
Umsetzung der Richtlinie (EU)
2016/680 erlassenen
Rechtsvorschriften, zu überwachen
und durchzusetzen,
2. die Öffentlichkeit für die Risiken,
Vorschriften, Garantien und Rechte
im Zusammenhang mit der
Verarbeitung personenbezogener
Daten zu sensibilisieren und sie
darüber aufzuklären, wobei
spezifische Maßnahmen für Kinder
besondere Beachtung finden,
3. den Deutschen Bundestag und den
Bundesrat, die Bundesregierung und
andere Einrichtungen und Gremien
über legislative und administrative
Maßnahmen zum Schutz der Rechte
und Freiheiten natürlicher Personen
in Bezug auf die Verarbeitung
personenbezogener Daten zu beraten,
4. die Verantwortlichen und die
Auftragsverarbeiter für die ihnen aus
diesem Gesetz und sonstigen
Vorschriften über den Datenschutz,
einschließlich den zur Umsetzung der
Richtlinie (EU) 2016/680 erlassenen
Rechtsvorschriften, entstehenden
Pflichten zu sensibilisieren,
5. auf Anfrage jeder betroffenen Person
Informationen über die Ausübung
ihrer Rechte aufgrund dieses
Gesetzes und sonstiger Vorschriften
über den Datenschutz, einschließlich
der zur Umsetzung der Richtlinie
(EU) 2016/680 erlassenen
Rechtsvorschriften, zur Verfügung zu
stellen und gegebenenfalls zu diesem
Zweck mit den Aufsichtsbehörden in
anderen Mitgliedstaaten
zusammenzuarbeiten,
6. sich mit Beschwerden einer
betroffenen Person oder
Beschwerden einer Stelle, einer
Organisation oder eines Verbandes
gemäß Artikel 55 der Richtlinie
(EU) 2016/680 zu befassen, den
Gegenstand der Beschwerde in
angemessenem Umfang zu
untersuchen und den
Beschwerdeführer innerhalb einer
angemessenen Frist über den
Fortgang und das Ergebnis der
Untersuchung zu unterrichten,
insbesondere, wenn eine weitere
Untersuchung oder Koordinierung mit
einer anderen Aufsichtsbehörde
notwendig ist,
7. mit anderen Aufsichtsbehörden
zusammenzuarbeiten, auch durch
Informationsaustausch, und ihnen
Amtshilfe zu leisten, um die
einheitliche Anwendung und
Durchsetzung dieses Gesetzes und
sonstiger Vorschriften über den
Datenschutz, einschließlich der zur
Umsetzung der Richtlinie (EU)
2016/680 erlassenen
Rechtsvorschriften, zu gewährleisten,
8. Untersuchungen über die Anwendung
dieses Gesetzes und sonstiger
Vorschriften über den Datenschutz,
einschließlich der zur Umsetzung der
Richtlinie (EU) 2016/680 erlassenen
Rechtsvorschriften, durchzuführen,
auch auf der Grundlage von
Informationen einer anderen
Aufsichtsbehörde oder einer anderen
Behörde,
9. maßgebliche Entwicklungen zu
verfolgen, soweit sie sich auf den
Schutz personenbezogener Daten
auswirken, insbesondere die
Entwicklung der Informations- und
Kommunikationstechnologie und der
Geschäftspraktiken,
10.Beratung in Bezug auf die in § 69
genannten Verarbeitungsvorgänge zu
leisten und
11.Beiträge zur Tätigkeit des
Europäischen Datenschutzausschusses
zu leisten.
Im Anwendungsbereich der Richtlinie
(EU) 2016/680 nimmt die oder der
Bundesbeauftragte zudem die Aufgabe
nach § 60 wahr.
(2) Zur Erfüllung der in Absatz 1 Satz
1 Nummer 3 genannten Aufgabe kann
die oder der Bundesbeauftragte zu allen
Fragen, die im Zusammenhang mit dem
Schutz personenbezogener Daten stehen,
von sich aus oder auf Anfrage
Stellungnahmen an den Deutschen
Bundestag oder einen seiner
Ausschüsse, den Bundesrat, die
Bundesregierung, sonstige Einrichtungen
und Stellen sowie an die Öffentlichkeit
richten. Auf Ersuchen des Deutschen
Bundestages, eines seiner Ausschüsse
oder der Bundesregierung geht die oder
der Bundesbeauftragte ferner Hinweisen
auf Angelegenheiten und Vorgänge des
Datenschutzes bei den öffentlichen
Stellen des Bundes nach.
(3) Die oder der Bundesbeauftragte
erleichtert das Einreichen der in Absatz
1 Satz 1 Nummer 6 genannten
Beschwerden durch Maßnahmen wie
etwa die Bereitstellung eines
Beschwerdeformulars, das auch
elektronisch ausgefüllt werden kann,
ohne dass andere Kommunikationsmittel
ausgeschlossen werden.
(4) Die Erfüllung der Aufgaben der
oder des Bundesbeauftragten ist für die
betroffene Person unentgeltlich. Bei
offenkundig unbegründeten oder,
insbesondere im Fall von häufiger
Wiederholung, exzessiven Anfragen kann
die oder der Bundesbeauftragte eine
angemessene Gebühr auf der Grundlage
der Verwaltungskosten verlangen oder
sich weigern, aufgrund der Anfrage tätig
zu werden. In diesem Fall trägt die
oder der Bundesbeauftragte die
Beweislast für den offenkundig
unbegründeten oder exzessiven
Charakter der Anfrage.
§ 15 Tätigkeitsbericht
Die oder der Bundesbeauftragte erstellt
einen Jahresbericht über ihre oder seine
Tätigkeit, der eine Liste der Arten der
gemeldeten Verstöße und der Arten der
getroffenen Maßnahmen, einschließlich
der verhängten Sanktionen und der
Maßnahmen nach Artikel 58 Absatz 2
der Verordnung (EU) 2016/679,
enthalten kann. Die oder der
Bundesbeauftragte übermittelt den
Bericht dem Deutschen Bundestag, dem
Bundesrat und der Bundesregierung und
macht ihn der Öffentlichkeit, der
Europäischen Kommission und dem
Europäischen Datenschutzausschuss
zugänglich.
§ 16 Befugnisse
(1) Die oder der Bundesbeauftragte
nimmt im Anwendungsbereich der
Verordnung (EU) 2016/679 die
Befugnisse gemäß Artikel 58 der
Verordnung (EU) 2016/679 wahr.
Kommt die oder der Bundesbeauftragte
zu dem Ergebnis, dass Verstöße gegen
die Vorschriften über den Datenschutz
oder sonstige Mängel bei der
Verarbeitung personenbezogener Daten
vorliegen, teilt sie oder er dies der
zuständigen Rechts- oder
Fachaufsichtsbehörde mit und gibt
dieser vor der Ausübung der Befugnisse
des Artikels 58 Absatz 2 Buchstabe b
bis g, i und j der Verordnung (EU)
2016/679 gegenüber dem
Verantwortlichen Gelegenheit zur
Stellungnahme innerhalb einer
angemessenen Frist. Von der
Einräumung der Gelegenheit zur
Stellungnahme kann abgesehen werden,
wenn eine sofortige Entscheidung wegen
Gefahr im Verzug oder im öffentlichen
Interesse notwendig erscheint oder ihr
ein zwingendes öffentliches Interesse
entgegensteht. Die Stellungnahme soll
auch eine Darstellung der Maßnahmen
enthalten, die aufgrund der Mitteilung
der oder des Bundesbeauftragten
getroffen worden sind.
(2) Stellt die oder der
Bundesbeauftragte bei
Datenverarbeitungen durch öffentliche
Stellen des Bundes zu Zwecken
außerhalb des Anwendungsbereichs der
Verordnung (EU) 2016/679 Verstöße
gegen die Vorschriften dieses Gesetzes
oder gegen andere Vorschriften über
den Datenschutz oder sonstige Mängel
bei der Verarbeitung oder Nutzung
personenbezogener Daten fest, so
beanstandet sie oder er dies gegenüber
der zuständigen obersten Bundesbehörde
und fordert diese zur Stellungnahme
innerhalb einer von ihr oder ihm zu
bestimmenden Frist auf. Die oder der
Bundesbeauftragte kann von einer
Beanstandung absehen oder auf eine
Stellungnahme verzichten, insbesondere
wenn es sich um unerhebliche oder
inzwischen beseitigte Mängel handelt.
Die Stellungnahme soll auch eine
Darstellung der Maßnahmen enthalten,
die aufgrund der Beanstandung der oder
des Bundesbeauftragten getroffen
worden sind. Die oder der
Bundesbeauftragte kann den
Verantwortlichen auch davor warnen,
dass beabsichtigte
Verarbeitungsvorgänge voraussichtlich
gegen in diesem Gesetz enthaltene und
andere auf die jeweilige
Datenverarbeitung anzuwendende
Vorschriften über den Datenschutz
verstoßen.
(3) Die Befugnisse der oder des
Bundesbeauftragten erstrecken sich auch
auf
1. von ihrer oder seiner Aufsicht
unterliegenden Stellen erlangte
personenbezogene Daten über den
Inhalt und die näheren Umstände des
Brief-, Post- und
Fernmeldeverkehrs und
2. personenbezogene Daten, die einem
besonderen Amtsgeheimnis,
insbesondere dem Steuergeheimnis
nach § 30 der Abgabenordnung,
unterliegen.
Das Grundrecht des Brief-, Post- und
Fernmeldegeheimnisses des Artikels 10
des Grundgesetzes wird insoweit
eingeschränkt.
(4) Die öffentlichen Stellen des Bundes
sind verpflichtet, der oder dem
Bundesbeauftragten und ihren oder
seinen Beauftragten
1. jederzeit Zugang zu den
Grundstücken und Diensträumen,
einschließlich aller
Datenverarbeitungsanlagen und
-geräte, sowie zu allen
personenbezogenen Daten und
Informationen, die zur Erfüllung ihrer
oder seiner Aufgaben notwendig
sind, zu gewähren und
2. alle Informationen, die für die
Erfüllung ihrer oder seiner Aufgaben
erforderlich sind, bereitzustellen.
Für nichtöffentliche Stellen besteht die
Verpflichtung des Satzes 1 Nummer 1
nur während der üblichen Betriebs- und
Geschäftszeiten.
(5) Die oder der Bundesbeauftragte
wirkt auf die Zusammenarbeit mit den
öffentlichen Stellen, die für die
Kontrolle der Einhaltung der
Vorschriften über den Datenschutz in
den Ländern zuständig sind, sowie mit
den Aufsichtsbehörden nach § 40 hin. §
40 Absatz 3 Satz 1 zweiter Halbsatz
gilt entsprechend.
Kapitel 5
Vertretung im Europäischen
Datenschutzausschuss, zentrale
Anlaufstelle, Zusammenarbeit der
Aufsichtsbehörden des Bundes
und der Länder in
Angelegenheiten der
Europäischen Union
§ 17 Vertretung im Europäischen
Datenschutzausschuss, zentrale
Anlaufstelle
(1) Gemeinsamer Vertreter im
Europäischen Datenschutzausschuss und
zentrale Anlaufstelle ist die oder der
Bundesbeauftragte (gemeinsamer
Vertreter). Als Stellvertreterin oder
Stellvertreter des gemeinsamen
Vertreters wählt der Bundesrat eine
Leiterin oder einen Leiter der
Aufsichtsbehörde eines Landes
(Stellvertreter). Die Wahl erfolgt für
fünf Jahre. Mit dem Ausscheiden aus
dem Amt als Leiterin oder Leiter der
Aufsichtsbehörde eines Landes endet
zugleich die Funktion als Stellvertreter.
Wiederwahl ist zulässig.
(2) Der gemeinsame Vertreter überträgt
in Angelegenheiten, die die
Wahrnehmung einer Aufgabe betreffen,
für welche die Länder allein das Recht
zur Gesetzgebung haben, oder welche
die Einrichtung oder das Verfahren von
Landesbehörden betreffen, dem
Stellvertreter auf dessen Verlangen die
Verhandlungsführung und das
Stimmrecht im Europäischen
Datenschutzausschuss.
§ 18 Verfahren der Zusammenarbeit
der Aufsichtsbehörden des Bundes
und der Länder
(1) Die oder der Bundesbeauftragte und
die Aufsichtsbehörden der Länder
(Aufsichtsbehörden des Bundes und der
Länder) arbeiten in Angelegenheiten der
Europäischen Union mit dem Ziel einer
einheitlichen Anwendung der Verordnung
(EU) 2016/679 und der Richtlinie (EU)
2016/680 zusammen. Vor der
Übermittlung eines gemeinsamen
Standpunktes an die Aufsichtsbehörden
der anderen Mitgliedstaaten, die
Europäische Kommission oder den
Europäischen Datenschutzausschuss
geben sich die Aufsichtsbehörden des
Bundes und der Länder frühzeitig
Gelegenheit zur Stellungnahme. Zu
diesem Zweck tauschen sie
untereinander alle zweckdienlichen
Informationen aus. Die
Aufsichtsbehörden des Bundes und der
Länder beteiligen die nach den Artikeln
85 und 91 der Verordnung (EU)
2016/679 eingerichteten spezifischen
Aufsichtsbehörden, sofern diese von der
Angelegenheit betroffen sind.
(2) Soweit die Aufsichtsbehörden des
Bundes und der Länder kein
Einvernehmen über den gemeinsamen
Standpunkt erzielen, legen die
federführende Behörde oder in
Ermangelung einer solchen der
gemeinsame Vertreter und sein
Stellvertreter einen Vorschlag für einen
gemeinsamen Standpunkt vor. Einigen
sich der gemeinsame Vertreter und sein
Stellvertreter nicht auf einen Vorschlag
für einen gemeinsamen Standpunkt, legt
in Angelegenheiten, die die
Wahrnehmung von Aufgaben betreffen,
für welche die Länder allein das Recht
der Gesetzgebung haben, oder welche
die Einrichtung oder das Verfahren von
Landesbehörden betreffen, der
Stellvertreter den Vorschlag für einen
gemeinsamen Standpunkt fest. In den
übrigen Fällen fehlenden Einvernehmens
nach Satz 2 legt der gemeinsame
Vertreter den Standpunkt fest. Der nach
den Sätzen 1 bis 3 vorgeschlagene
Standpunkt ist den Verhandlungen zu
Grunde zu legen, wenn nicht die
Aufsichtsbehörden von Bund und
Ländern einen anderen Standpunkt mit
einfacher Mehrheit beschließen. Der
Bund und jedes Land haben jeweils eine
Stimme. Enthaltungen werden nicht
gezählt.
(3) Der gemeinsame Vertreter und
dessen Stellvertreter sind an den
gemeinsamen Standpunkt nach den
Absätzen 1 und 2 gebunden und legen
unter Beachtung dieses Standpunktes
einvernehmlich die jeweilige
Verhandlungsführung fest. Sollte ein
Einvernehmen nicht erreicht werden,
entscheidet in den in § 18 Absatz 2
Satz 2 genannten Angelegenheiten der
Stellvertreter über die weitere
Verhandlungsführung. In den übrigen
Fällen gibt die Stimme des
gemeinsamen Vertreters den Ausschlag.
§ 19 Zuständigkeiten
(1) Federführende Aufsichtsbehörde
eines Landes im Verfahren der
Zusammenarbeit und Kohärenz nach
Kapitel VII der Verordnung (EU)
2016/679 ist die Aufsichtsbehörde des
Landes, in dem der Verantwortliche
oder der Auftragsverarbeiter seine
Hauptniederlassung im Sinne des
Artikels 4 Nummer 16 der Verordnung
(EU) 2016/679 oder seine einzige
Niederlassung in der Europäischen
Union im Sinne des Artikels 56 Absatz
1 der Verordnung (EU) 2016/679 hat.
Im Zuständigkeitsbereich der oder des
Bundesbeauftragten gilt Artikel 56
Absatz 1 in Verbindung mit Artikel 4
Nummer 16 der Verordnung (EU)
2016/679 entsprechend. Besteht über
die Federführung kein Einvernehmen,
findet für die Festlegung der
federführenden Aufsichtsbehörde das
Verfahren des § 18 Absatz 2
entsprechende Anwendung.
(2) Die Aufsichtsbehörde, bei der eine
betroffene Person Beschwerde
eingereicht hat, gibt die Beschwerde an
die federführende Aufsichtsbehörde nach
Absatz 1, in Ermangelung einer solchen
an die Aufsichtsbehörde eines Landes
ab, in dem der Verantwortliche oder der
Auftragsverarbeiter eine Niederlassung
hat. Wird eine Beschwerde bei einer
sachlich unzuständigen Aufsichtsbehörde
eingereicht, gibt diese, sofern eine
Abgabe nach Satz 1 nicht in Betracht
kommt, die Beschwerde an die
Aufsichtsbehörde am Wohnsitz des
Beschwerdeführers ab. Die empfangende
Aufsichtsbehörde gilt als die
Aufsichtsbehörde nach Maßgabe des
Kapitels VII der Verordnung (EU)
2016/679, bei der die Beschwerde
eingereicht worden ist, und kommt den
Verpflichtungen aus Artikel 60 Absatz 7
bis 9 und Artikel 65 Absatz 6 der
Verordnung (EU) 2016/679 nach.
Im Zuständigkeitsbereich der oder des
Bundesbeauftragten gibt die
Aufsichtsbehörde, bei der eine
Beschwerde eingereicht wurde, diese,
sofern eine Abgabe nach Absatz 1 nicht
in Betracht kommt,
an den Bundesbeauftragten oder die
Bundesbeauftragte ab.
Kapitel 6
Rechtsbehelfe
§ 20 Gerichtlicher Rechtsschutz
(1) Für Streitigkeiten zwischen einer
natürlichen oder einer juristischen
Person und einer Aufsichtsbehörde des
Bundes oder eines Landes über Rechte
gemäß Artikel 78 Absatz 1 und 2 der
Verordnung (EU) 2016/679 sowie § 61
ist der Verwaltungsrechtsweg gegeben.
Satz 1 gilt nicht für Bußgeldverfahren.
(2) Die Verwaltungsgerichtsordnung ist
nach Maßgabe der Absätze 3 bis 7
anzuwenden.
(3) Für Verfahren nach Absatz 1 Satz 1
ist das Verwaltungsgericht örtlich
zuständig, in dessen Bezirk die
Aufsichtsbehörde ihren Sitz hat.
(4) In Verfahren nach Absatz 1 Satz 1
ist die Aufsichtsbehörde
beteiligungsfähig.
(5) Beteiligte eines Verfahrens nach
Absatz 1 Satz 1 sind
1. die natürliche oder juristische Person
als Klägerin oder Antragstellerin und
2. die Aufsichtsbehörde als Beklagte
oder Antragsgegnerin.
§ 63 Nummer 3 und 4 der
Verwaltungsgerichtsordnung bleibt
unberührt.
(6) Ein Vorverfahren findet nicht statt.
(7) Die Aufsichtsbehörde darf
gegenüber einer Behörde oder deren
Rechtsträger nicht die sofortige
Vollziehung gemäß § 80 Absatz 2 Satz
1 Nummer 4 der
Verwaltungsgerichtsordnung anordnen.
§ 21 Antrag der Aufsichtsbehörde
auf gerichtliche Entscheidung bei
angenommener Rechtswidrigkeit
eines Beschlusses der Europäischen
Kommission
(1) Hält eine Aufsichtsbehörde einen
Angemessenheitsbeschluss der
Europäischen Kommission, einen
Beschluss über die Anerkennung von
Standardschutzklauseln oder über die
Allgemeingültigkeit von genehmigten
Verhaltensregeln, auf dessen Gültigkeit
es für eine Entscheidung der
Aufsichtsbehörde ankommt, für
rechtswidrig, so hat die
Aufsichtsbehörde ihr Verfahren
auszusetzen und einen Antrag auf
gerichtliche Entscheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist
der Verwaltungsrechtsweg gegeben. Die
Verwaltungsgerichtsordnung ist nach
Maßgabe der Absätze 3 bis 6
anzuwenden.
(3) Über einen Antrag der
Aufsichtsbehörde nach Absatz 1
entscheidet im ersten und letzten
Rechtszug das
Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die
Aufsichtsbehörde beteiligungsfähig. An
einem Verfahren nach Absatz 1 ist die
Aufsichtsbehörde als Antragstellerin
beteiligt; § 63 Nummer 3 und 4 der
Verwaltungsgerichtsordnung bleibt
unberührt. Das Bundesverwaltungsgericht
kann der Europäischen Kommission
Gelegenheit zur Äußerung binnen einer
zu bestimmenden Frist geben.
(5) Ist ein Verfahren zur Überprüfung
der Gültigkeit eines Beschlusses der
Europäischen Kommission nach Absatz 1
bei dem Gerichtshof der Europäischen
Union anhängig, so kann das
Bundesverwaltungsgericht anordnen,
dass die Verhandlung bis zur Erledigung
des Verfahrens vor dem Gerichtshof der
Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist §
47 Absatz 5 Satz 1 und Absatz 6 der
Verwaltungsgerichtsordnung
entsprechend anzuwenden. Kommt das
Bundesverwaltungsgericht zu der
Überzeugung, dass der Beschluss der
Europäischen Kommission nach Absatz 1
gültig ist, so stellt es dies in seiner
Entscheidung fest. Andernfalls legt es
die Frage nach der Gültigkeit des
Beschlusses gemäß Artikel 267 des
Vertrags über die Arbeitsweise der
Europäischen Union dem Gerichtshof der
Europäischen Union zur Entscheidung
vor.
Teil 2
Durchführungsbestimmungen
für Verarbeitungen zu
Zwecken gemäß Artikel 2 der
Verordnung (EU) 2016/679
Kapitel 1
Rechtsgrundlagen der
Verarbeitung personenbezogener
Daten
Abschnitt 1
Verarbeitung besonderer
Kategorien personenbezogener
Daten und Verarbeitung zu
anderen Zwecken
§ 22 Verarbeitung besonderer
Kategorien personenbezogener
Daten
(1) Abweichend von Artikel 9 Absatz 1
der Verordnung (EU) 2016/679 ist die
Verarbeitung besonderer Kategorien
personenbezogener Daten im Sinne des
Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 zulässig
1. durch öffentliche und nichtöffentliche
Stellen, wenn sie
a) erforderlich ist, um die aus dem
Recht der sozialen Sicherheit und
des Sozialschutzes erwachsenden
Rechte auszuüben und den
diesbezüglichen Pflichten
nachzukommen,
b) zum Zweck der
Gesundheitsvorsorge, für die
Beurteilung der Arbeitsfähigkeit
des Beschäftigten, für die
medizinische Diagnostik, die
Versorgung oder Behandlung im
Gesundheits- oder Sozialbereich
oder für die Verwaltung von
Systemen und Diensten im
Gesundheits- und Sozialbereich
oder aufgrund eines Vertrags der
betroffenen Person mit einem
Angehörigen eines
Gesundheitsberufs erforderlich ist
und diese Daten von ärztlichem
Personal oder durch sonstige
Personen, die einer
entsprechenden
Geheimhaltungspflicht unterliegen,
oder unter deren Verantwortung
verarbeitet werden,
c) aus Gründen des öffentlichen
Interesses im Bereich der
öffentlichen Gesundheit, wie des
Schutzes vor schwerwiegenden
grenzüberschreitenden
Gesundheitsgefahren oder zur
Gewährleistung hoher Qualitätsund Sicherheitsstandards bei der
Gesundheitsversorgung und bei
Arzneimitteln und
Medizinprodukten erforderlich ist;
ergänzend zu den in Absatz 2
genannten Maßnahmen sind
insbesondere die
berufsrechtlichen und
strafrechtlichen Vorgaben zur
Wahrung des Berufsgeheimnisses
einzuhalten, oder
d) aus Gründen eines erheblichen
öffentlichen Interesses zwingend
erforderlich ist,
2. durch öffentliche Stellen, wenn sie
a) zur Abwehr einer erheblichen
Gefahr für die öffentliche
Sicherheit erforderlich ist,
b) zur Abwehr erheblicher Nachteile
für das Gemeinwohl oder zur
Wahrung erheblicher Belange des
Gemeinwohls zwingend
erforderlich ist oder
c) aus zwingenden Gründen der
Verteidigung oder der Erfüllung
über- oder zwischenstaatlicher
Verpflichtungen einer öffentlichen
Stelle des Bundes auf dem
Gebiet der Krisenbewältigung
oder Konfliktverhinderung oder
für humanitäre Maßnahmen
erforderlich ist
und soweit die Interessen des
Verantwortlichen an der
Datenverarbeitung in den Fällen der
Nummer 1 Buchstabe d und der
Nummer 2 die Interessen der
betroffenen Person überwiegen.
(2) In den Fällen des Absatzes 1 sind
angemessene und spezifische
Maßnahmen zur Wahrung der Interessen
der betroffenen Person vorzusehen.
Unter Berücksichtigung des Stands der
Technik, der Implementierungskosten
und der Art, des Umfangs, der
Umstände und der Zwecke der
Verarbeitung sowie der
unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere
der mit der Verarbeitung verbundenen
Risiken für die Rechte und Freiheiten
natürlicher Personen können dazu
insbesondere gehören:
1. technisch organisatorische
Maßnahmen, um sicherzustellen, dass
die Verarbeitung gemäß der
Verordnung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass
nachträglich überprüft und
festgestellt werden kann, ob und von
wem personenbezogene Daten
eingegeben, verändert oder entfernt
worden sind,
3. Sensibilisierung der an
Verarbeitungsvorgängen Beteiligten,
4. Benennung einer oder eines
Datenschutzbeauftragten,
5. Beschränkung des Zugangs zu den
personenbezogenen Daten innerhalb
der verantwortlichen Stelle und von
Auftragsverarbeitern,
6. Pseudonymisierung
personenbezogener Daten,
7. Verschlüsselung personenbezogener
Daten,
8. Sicherstellung der Fähigkeit,
Vertraulichkeit, Integrität,
Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im
Zusammenhang mit der Verarbeitung
personenbezogener Daten,
einschließlich der Fähigkeit, die
Verfügbarkeit und den Zugang bei
einem physischen oder technischen
Zwischenfall rasch
wiederherzustellen,
9. zur Gewährleistung der Sicherheit
der Verarbeitung die Einrichtung
eines Verfahrens zur regelmäßigen
Überprüfung, Bewertung und
Evaluierung der Wirksamkeit der
technischen und organisatorischen
Maßnahmen oder
10.spezifische Verfahrensregelungen, die
im Fall einer Übermittlung oder
Verarbeitung für andere Zwecke die
Einhaltung der Vorgaben dieses
Gesetzes sowie der Verordnung
(EU) 2016/679 sicherstellen.
§ 23 Verarbeitung zu anderen
Zwecken durch öffentliche Stellen
(1) Die Verarbeitung personenbezogener
Daten zu einem anderen Zweck als zu
demjenigen, zu dem die Daten erhoben
wurden, durch öffentliche Stellen im
Rahmen ihrer Aufgabenerfüllung ist
zulässig, wenn
1. offensichtlich ist, dass sie im
Interesse der betroffenen Person
liegt und kein Grund zu der
Annahme besteht, dass sie in
Kenntnis des anderen Zwecks ihre
Einwilligung verweigern würde,
2. Angaben der betroffenen Person
überprüft werden müssen, weil
tatsächliche Anhaltspunkte für deren
Unrichtigkeit bestehen,
3. sie zur Abwehr erheblicher Nachteile
für das Gemeinwohl oder einer
Gefahr für die öffentliche Sicherheit,
die Verteidigung oder die nationale
Sicherheit, zur Wahrung erheblicher
Belange des Gemeinwohls oder zur
Sicherung des Steuer- und
Zollaufkommens erforderlich ist,
4. sie zur Verfolgung von Straftaten
oder Ordnungswidrigkeiten, zur
Vollstreckung oder zum Vollzug von
Strafen oder Maßnahmen im Sinne
des § 11 Absatz 1 Nummer 8 des
Strafgesetzbuchs oder von
Erziehungsmaßregeln oder
Zuchtmitteln im Sinne des
Jugendgerichtsgesetzes oder zur
Vollstreckung von Geldbußen
erforderlich ist,
5. sie zur Abwehr einer
schwerwiegenden Beeinträchtigung
der Rechte einer anderen Person
erforderlich ist oder
6. sie der Wahrnehmung von
Aufsichts- und Kontrollbefugnissen,
der Rechnungsprüfung oder der
Durchführung von
Organisationsuntersuchungen des
Verantwortlichen dient; dies gilt auch
für die Verarbeitung zu
Ausbildungs- und Prüfungszwecken
durch den Verantwortlichen, soweit
schutzwürdige Interessen der
betroffenen Person dem nicht
entgegenstehen.
(2) Die Verarbeitung besonderer
Kategorien personenbezogener Daten im
Sinne des Artikels 9 Absatz 1 der
Verordnung (EU) 2016/679 zu einem
anderen Zweck als zu demjenigen, zu
dem die Daten erhoben wurden, ist
zulässig, wenn die Voraussetzungen des
Absatzes 1 und ein Ausnahmetatbestand
nach Artikel 9 Absatz 2 der Verordnung
(EU) 2016/679 oder nach § 22
vorliegen.
§ 24 Verarbeitung zu anderen
Zwecken durch nichtöffentliche
Stellen
(1) Die Verarbeitung personenbezogener
Daten zu einem anderen Zweck als zu
demjenigen, zu dem die Daten erhoben
wurden, durch nichtöffentliche Stellen
ist zulässig, wenn
1. sie zur Abwehr von Gefahren für die
staatliche oder öffentliche Sicherheit
oder zur Verfolgung von Straftaten
erforderlich ist oder
2. sie zur Geltendmachung, Ausübung
oder Verteidigung zivilrechtlicher
Ansprüche erforderlich ist, sofern
nicht die Interessen der betroffenen
Person an dem Ausschluss der
Verarbeitung überwiegen.
(2) Die Verarbeitung besonderer
Kategorien personenbezogener Daten im
Sinne des Artikels 9 Absatz 1 der
Verordnung (EU) 2016/679 zu einem
anderen Zweck als zu demjenigen, zu
dem die Daten erhoben wurden, ist
zulässig, wenn die Voraussetzungen des
Absatzes 1 und ein Ausnahmetatbestand
nach Artikel 9 Absatz 2 der Verordnung
(EU) 2016/679 oder nach § 22
vorliegen.
§ 25 Datenübermittlungen durch
öffentliche Stellen
(1) Die Übermittlung personenbezogener
Daten durch öffentliche Stellen an
öffentliche Stellen ist zulässig, wenn sie
zur Erfüllung der in der Zuständigkeit
der übermittelnden Stelle oder des
Dritten, an den die Daten übermittelt
werden, liegenden Aufgaben erforderlich
ist und die Voraussetzungen vorliegen,
die eine Verarbeitung nach § 23
zulassen würden. Der Dritte, an den die
Daten übermittelt werden, darf diese
nur für den Zweck verarbeiten, zu
dessen Erfüllung sie ihm übermittelt
werden. Eine Verarbeitung für andere
Zwecke ist unter den Voraussetzungen
des § 23 zulässig.
(2) Die Übermittlung personenbezogener
Daten durch öffentliche Stellen an
nichtöffentliche Stellen ist zulässig,
wenn
1. sie zur Erfüllung der in der
Zuständigkeit der übermittelnden
Stelle liegenden Aufgaben
erforderlich ist und die
Voraussetzungen vorliegen, die eine
Verarbeitung nach § 23 zulassen
würden,
2. der Dritte, an den die Daten
übermittelt werden, ein berechtigtes
Interesse an der Kenntnis der zu
übermittelnden Daten glaubhaft
darlegt und die betroffene Person
kein schutzwürdiges Interesse an
dem Ausschluss der Übermittlung
hat oder
3. es zur Geltendmachung, Ausübung
oder Verteidigung rechtlicher
Ansprüche erforderlich ist
und der Dritte sich gegenüber der
übermittelnden öffentlichen Stelle
verpflichtet hat, die Daten nur für den
Zweck zu verarbeiten, zu dessen
Erfüllung sie ihm übermittelt werden.
Eine Verarbeitung für andere Zwecke
ist zulässig, wenn eine Übermittlung
nach Satz 1 zulässig wäre und die
übermittelnde Stelle zugestimmt hat.
(3) Die Übermittlung besonderer
Kategorien personenbezogener Daten im
Sinne des Artikels 9 Absatz 1 der
Verordnung (EU) 2016/679 ist zulässig,
wenn die Voraussetzungen des Absatzes
1 oder 2 und ein Ausnahmetatbestand
nach Artikel 9 Absatz 2 der Verordnung
(EU) 2016/679 oder nach § 22
vorliegen.
Abschnitt 2
Besondere
Verarbeitungssituationen
§ 26 Datenverarbeitung für Zwecke
des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von
Beschäftigten dürfen für Zwecke des
Beschäftigungsverhältnisses verarbeitet
werden, wenn dies für die Entscheidung
über die Begründung eines
Beschäftigungsverhältnisses oder nach
Begründung des
Beschäftigungsverhältnisses für dessen
Durchführung oder Beendigung oder zur
Ausübung oder Erfüllung der sich aus
einem Gesetz oder einem Tarifvertrag,
einer Betriebs- oder Dienstvereinbarung
(Kollektivvereinbarung) ergebenden
Rechte und Pflichten der
Interessenvertretung der Beschäftigten
erforderlich ist. Zur Aufdeckung von
Straftaten dürfen personenbezogene
Daten von Beschäftigten nur dann
verarbeitet werden, wenn zu
dokumentierende tatsächliche
Anhaltspunkte den Verdacht begründen,
dass die betroffene Person im
Beschäftigungsverhältnis eine Straftat
begangen hat, die Verarbeitung zur
Aufdeckung erforderlich ist und das
schutzwürdige Interesse der oder des
Beschäftigten an dem Ausschluss der
Verarbeitung nicht überwiegt,
insbesondere Art und Ausmaß im
Hinblick auf den Anlass nicht
unverhältnismäßig sind.
(2) Erfolgt die Verarbeitung
personenbezogener Daten von
Beschäftigten auf der Grundlage einer
Einwilligung, so sind für die Beurteilung
der Freiwilligkeit der Einwilligung
insbesondere die im
Beschäftigungsverhältnis bestehende
Abhängigkeit der beschäftigten Person
sowie die Umstände, unter denen die
Einwilligung erteilt worden ist, zu
berücksichtigen. Freiwilligkeit kann
insbesondere vorliegen, wenn für die
beschäftigte Person ein rechtlicher oder
wirtschaftlicher Vorteil erreicht wird
oder Arbeitgeber und beschäftigte
Person gleichgelagerte Interessen
verfolgen. Die Einwilligung hat
schriftlich oder elektronisch zu erfolgen,
soweit nicht wegen besonderer
Umstände eine andere Form angemessen
ist. Der Arbeitgeber hat die beschäftigte
Person über den Zweck der
Datenverarbeitung und über ihr
Widerrufsrecht nach Artikel 7 Absatz 3
der Verordnung (EU) 2016/679 in
Textform aufzuklären.
(3) Abweichend von Artikel 9 Absatz 1
der Verordnung (EU) 2016/679 ist die
Verarbeitung besonderer Kategorien
personenbezogener Daten im Sinne des
Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 für Zwecke des
Beschäftigungsverhältnisses zulässig,
wenn sie zur Ausübung von Rechten
oder zur Erfüllung rechtlicher Pflichten
aus dem Arbeitsrecht, dem Recht der
sozialen Sicherheit und des
Sozialschutzes erforderlich ist und kein
Grund zu der Annahme besteht, dass
das schutzwürdige Interesse der
betroffenen Person an dem Ausschluss
der Verarbeitung überwiegt. Absatz 2
gilt auch für die Einwilligung in die
Verarbeitung besonderer Kategorien
personenbezogener Daten; die
Einwilligung muss sich dabei
ausdrücklich auf diese Daten beziehen. §
22 Absatz 2 gilt entsprechend.
(4) Die Verarbeitung personenbezogener
Daten, einschließlich besonderer
Kategorien personenbezogener Daten
von Beschäftigten für Zwecke des
Beschäftigungsverhältnisses, ist auf der
Grundlage von Kollektivvereinbarungen
zulässig. Dabei haben die
Verhandlungspartner Artikel 88 Absatz
2 der Verordnung (EU) 2016/679 zu
beachten.
(5) Der Verantwortliche muss geeignete
Maßnahmen ergreifen, um
sicherzustellen, dass insbesondere die in
Artikel 5 der Verordnung (EU)
2016/679 dargelegten Grundsätze für
die Verarbeitung personenbezogener
Daten eingehalten werden.
(6) Die Beteiligungsrechte der
Interessenvertretungen der Beschäftigten
bleiben unberührt.
(7) Die Absätze 1 bis 6 sind auch
anzuwenden, wenn personenbezogene
Daten, einschließlich besonderer
Kategorien personenbezogener Daten,
von Beschäftigten verarbeitet werden,
ohne dass sie in einem Dateisystem
gespeichert sind oder gespeichert
werden sollen.
(8) Beschäftigte im Sinne dieses
Gesetzes sind:
1. Arbeitnehmerinnen und
Arbeitnehmer, einschließlich der
Leiharbeitnehmerinnen und
Leiharbeitnehmer im Verhältnis zum
Entleiher,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an
Leistungen zur Teilhabe am
Arbeitsleben sowie an Abklärungen
der beruflichen Eignung oder
Arbeitserprobung (Rehabilitandinnen
und Rehabilitanden),
4. in anerkannten Werkstätten für
behinderte Menschen Beschäftigte,
5. Freiwillige, die einen Dienst nach
dem Jugendfreiwilligendienstegesetz
oder dem
Bundesfreiwilligendienstgesetz
leisten,
6. Personen, die wegen ihrer
wirtschaftlichen Unselbständigkeit als
arbeitnehmerähnliche Personen
anzusehen sind; zu diesen gehören
auch die in Heimarbeit Beschäftigten
und die ihnen Gleichgestellten,
7. Beamtinnen und Beamte des Bundes,
Richterinnen und Richter des Bundes,
Soldatinnen und Soldaten sowie
Zivildienstleistende.
Bewerberinnen und Bewerber für ein
Beschäftigungsverhältnis sowie
Personen, deren
Beschäftigungsverhältnis beendet ist,
gelten als Beschäftigte.
§ 27 Datenverarbeitung zu
wissenschaftlichen oder historischen
Forschungszwecken und zu
statistischen Zwecken
(1) Abweichend von Artikel 9 Absatz 1
der Verordnung (EU) 2016/679 ist die
Verarbeitung besonderer Kategorien
personenbezogener Daten im Sinne des
Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 auch ohne Einwilligung
für wissenschaftliche oder historische
Forschungszwecke oder für statistische
Zwecke zulässig, wenn die Verarbeitung
zu diesen Zwecken erforderlich ist und
die Interessen des Verantwortlichen an
der Verarbeitung die Interessen der
betroffenen Person an einem Ausschluss
der Verarbeitung erheblich überwiegen.
Der Verantwortliche sieht angemessene
und spezifische Maßnahmen zur
Wahrung der Interessen der betroffenen
Person gemäß § 22 Absatz 2 Satz 2
vor.
(2) Die in den Artikeln 15, 16, 18 und
21 der Verordnung (EU) 2016/679
vorgesehenen Rechte der betroffenen
Person sind insoweit beschränkt, als
diese Rechte voraussichtlich die
Verwirklichung der Forschungs- oder
Statistikzwecke unmöglich machen oder
ernsthaft beinträchtigen und die
Beschränkung für die Erfüllung der
Forschungs- oder Statistikzwecke
notwendig ist. Das Recht auf Auskunft
gemäß Artikel 15 der Verordnung (EU)
2016/679 besteht darüber hinaus nicht,
wenn die Daten für Zwecke der
wissenschaftlichen Forschung
erforderlich sind und die
Auskunftserteilung einen
unverhältnismäßigen Aufwand erfordern
würde.
(3) Ergänzend zu den in § 22 Absatz 2
genannten Maßnahmen sind zu
wissenschaftlichen oder historischen
Forschungszwecken oder zu statistischen
Zwecken verarbeitete besondere
Kategorien personenbezogener Daten im
Sinne des Artikels 9 Absatz 1 der
Verordnung (EU) 2016/679 zu
anonymisieren, sobald dies nach dem
Forschungs- oder Statistikzweck
möglich ist, es sei denn, berechtigte
Interessen der betroffenen Person
stehen dem entgegen. Bis dahin sind die
Merkmale gesondert zu speichern, mit
denen Einzelangaben über persönliche
oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren Person
zugeordnet werden können. Sie dürfen
mit den Einzelangaben nur
zusammengeführt werden, soweit der
Forschungs- oder Statistikzweck dies
erfordert.
(4) Der Verantwortliche darf
personenbezogene Daten nur
veröffentlichen, wenn die betroffene
Person eingewilligt hat oder dies für die
Darstellung von Forschungsergebnissen
über Ereignisse der Zeitgeschichte
unerlässlich ist.
§ 28 Datenverarbeitung zu im
öffentlichen Interesse liegenden
Archivzwecken
(1) Abweichend von Artikel 9 Absatz 1
der Verordnung (EU) 2016/679 ist die
Verarbeitung besonderer Kategorien
personenbezogener Daten im Sinne des
Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 zulässig, wenn sie für
im öffentlichen Interesse liegende
Archivzwecke erforderlich ist. Der
Verantwortliche sieht angemessene und
spezifische Maßnahmen zur Wahrung der
Interessen der betroffenen Person
gemäß § 22 Absatz 2 Satz 2 vor.
(2) Das Recht auf Auskunft der
betroffenen Person gemäß Artikel 15
der Verordnung (EU) 2016/679 besteht
nicht, wenn das Archivgut nicht durch
den Namen der Person erschlossen ist
oder keine Angaben gemacht werden,
die das Auffinden des betreffenden
Archivguts mit vertretbarem
Verwaltungsaufwand ermöglichen.
(3) Das Recht auf Berichtigung der
betroffenen Person gemäß Artikel 16
der Verordnung (EU) 2016/679 besteht
nicht, wenn die personenbezogenen
Daten zu Archivzwecken im öffentlichen
Interesse verarbeitet werden. Bestreitet
die betroffene Person die Richtigkeit
der personenbezogenen Daten, ist ihr
die Möglichkeit einer Gegendarstellung
einzuräumen. Das zuständige Archiv ist
verpflichtet, die Gegendarstellung den
Unterlagen hinzuzufügen.
(4) Die in Artikel 18 Absatz 1
Buchstabe a, b und d, den Artikeln 20
und 21 der Verordnung (EU) 2016/679
vorgesehenen Rechte bestehen nicht,
soweit diese Rechte voraussichtlich die
Verwirklichung der im öffentlichen
Interesse liegenden Archivzwecke
unmöglich machen oder ernsthaft
beeinträchtigen und die Ausnahmen für
die Erfüllung dieser Zwecke erforderlich
sind.
§ 29 Rechte der betroffenen Person
und aufsichtsbehördliche Befugnisse
im Fall von Geheimhaltungspflichten
(1) Die Pflicht zur Information der
betroffenen Person gemäß Artikel 14
Absatz 1 bis 4 der Verordnung (EU)
2016/679 besteht ergänzend zu den in
Artikel 14 Absatz 5 der Verordnung
(EU) 2016/679 genannten Ausnahmen
nicht, soweit durch ihre Erfüllung
Informationen offenbart würden, die
ihrem Wesen nach, insbesondere wegen
der überwiegenden berechtigten
Interessen eines Dritten, geheim
gehalten werden müssen. Das Recht auf
Auskunft der betroffenen Person gemäß
Artikel 15 der Verordnung (EU)
2016/679 besteht nicht, soweit durch
die Auskunft Informationen offenbart
würden, die nach einer Rechtsvorschrift
oder ihrem Wesen nach, insbesondere
wegen der überwiegenden berechtigten
Interessen eines Dritten, geheim
gehalten werden müssen. Die Pflicht zur
Benachrichtigung gemäß Artikel 34 der
Verordnung (EU) 2016/679 besteht
ergänzend zu der in Artikel 34 Absatz 3
der Verordnung (EU) 2016/679
genannten Ausnahme nicht, soweit durch
die Benachrichtigung Informationen
offenbart würden, die nach einer
Rechtsvorschrift oder ihrem Wesen
nach, insbesondere wegen der
überwiegenden berechtigten Interessen
eines Dritten, geheim gehalten werden
müssen. Abweichend von der Ausnahme
nach Satz 3 ist die betroffene Person
nach Artikel 34 der Verordnung (EU)
2016/679 zu benachrichtigen, wenn die
Interessen der betroffenen Person,
insbesondere unter Berücksichtigung
drohender Schäden, gegenüber dem
Geheimhaltungsinteresse überwiegen.
(2) Werden Daten Dritter im Zuge der
Aufnahme oder im Rahmen eines
Mandatsverhältnisses an einen
Berufsgeheimnisträger übermittelt, so
besteht die Pflicht der übermittelnden
Stelle zur Information der betroffenen
Person gemäß Artikel 13 Absatz 3 der
Verordnung (EU) 2016/679 nicht,
sofern nicht das Interesse der
betroffenen Person an der
Informationserteilung überwiegt.
(3) Gegenüber den in § 203 Absatz 1,
2a und 3 des Strafgesetzbuchs
genannten Personen oder deren
Auftragsverarbeitern bestehen die
Untersuchungsbefugnisse der
Aufsichtsbehörden gemäß Artikel 58
Absatz 1 Buchstabe e und f der
Verordnung (EU) 2016/679 nicht,
soweit die Inanspruchnahme der
Befugnisse zu einem Verstoß gegen die
Geheimhaltungspflichten dieser Personen
führen würde. Erlangt eine
Aufsichtsbehörde im Rahmen einer
Untersuchung Kenntnis von Daten, die
einer Geheimhaltungspflicht im Sinne
des Satzes 1 unterliegen, gilt die
Geheimhaltungspflicht auch für die
Aufsichtsbehörde.
§ 30 Verbraucherkredite
(1) Eine Stelle, die geschäftsmäßig
personenbezogene Daten, die zur
Bewertung der Kreditwürdigkeit von
Verbrauchern genutzt werden dürfen,
zum Zweck der Übermittlung erhebt,
speichert oder verändert, hat
Auskunftsverlangen von Darlehensgebern
aus anderen Mitgliedstaaten der
Europäischen Union genauso zu
behandeln wie Auskunftsverlangen
inländischer Darlehensgeber.
(2) Wer den Abschluss eines
Verbraucherdarlehensvertrags oder eines
Vertrags über eine entgeltliche
Finanzierungshilfe mit einem
Verbraucher infolge einer Auskunft
einer Stelle im Sinne des Absatzes 1
ablehnt, hat den Verbraucher
unverzüglich hierüber sowie über die
erhaltene Auskunft zu unterrichten. Die
Unterrichtung unterbleibt, soweit
hierdurch die öffentliche Sicherheit oder
Ordnung gefährdet würde. § 37 bleibt
unberührt.
§ 31 Schutz des
Wirtschaftsverkehrs bei Scoring und
Bonitätsauskünften
(1) Die Verwendung eines
Wahrscheinlichkeitswerts über ein
bestimmtes zukünftiges Verhalten einer
natürlichen Person zum Zweck der
Entscheidung über die Begründung,
Durchführung oder Beendigung eines
Vertragsverhältnisses mit dieser Person
(Scoring) ist nur zulässig, wenn
1. die Vorschriften des
Datenschutzrechts eingehalten
wurden,
2. die zur Berechnung des
Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines
wissenschaftlich anerkannten
mathematisch-statistischen
Verfahrens nachweisbar für die
Berechnung der Wahrscheinlichkeit
des bestimmten Verhaltens erheblich
sind,
3. für die Berechnung des
Wahrscheinlichkeitswerts nicht
ausschließlich Anschriftendaten
genutzt wurden und
4. im Fall der Nutzung von
Anschriftendaten die betroffene
Person vor Berechnung des
Wahrscheinlichkeitswerts über die
vorgesehene Nutzung dieser Daten
unterrichtet worden ist; die
Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von
Auskunfteien ermittelten
Wahrscheinlichkeitswerts über die
Zahlungsfähig- und Zahlungswilligkeit
einer natürlichen Person ist im Fall der
Einbeziehung von Informationen über
Forderungen nur zulässig, soweit die
Voraussetzungen nach Absatz 1
vorliegen und nur solche Forderungen
über eine geschuldete Leistung, die
trotz Fälligkeit nicht erbracht worden
ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder
für vorläufig vollstreckbar erklärtes
Urteil festgestellt worden sind oder
für die ein Schuldtitel nach § 794
der Zivilprozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung
festgestellt und nicht vom Schuldner
im Prüfungstermin bestritten worden
sind,
3. die der Schuldner ausdrücklich
anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der
Fälligkeit der Forderung
mindestens zweimal schriftlich
gemahnt worden ist,
b) die erste Mahnung mindestens
vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch
frühestens bei der ersten
Mahnung, über eine mögliche
Berücksichtigung durch eine
Auskunftei unterrichtet worden
ist und
d) der Schuldner die Forderung
nicht bestritten hat oder
5. deren zugrunde liegendes
Vertragsverhältnis aufgrund von
Zahlungsrückständen fristlos
gekündigt werden kann und bei
denen der Schuldner zuvor über eine
mögliche Berücksichtigung durch eine
Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung,
einschließlich der Ermittlung von
Wahrscheinlichkeitswerten, von anderen
bonitätsrelevanten Daten nach
allgemeinem Datenschutzrecht bleibt
unberührt.
Kapitel 2
Rechte der betroffenen Person
§ 32 Informationspflicht bei
Erhebung von personenbezogenen
Daten bei der betroffenen Person
(1) Die Pflicht zur Information der
betroffenen Person gemäß Artikel 13
Absatz 3 der Verordnung (EU)
2016/679 besteht ergänzend zu der in
Artikel 13 Absatz 4 der Verordnung
(EU) 2016/679 genannten Ausnahme
dann nicht, wenn die Erteilung der
Information über die beabsichtigte
Weiterverarbeitung
1. eine Weiterverarbeitung analog
gespeicherter Daten betrifft, bei der
sich der Verantwortliche durch die
Weiterverarbeitung unmittelbar an
die betroffene Person wendet, der
Zweck mit dem ursprünglichen
Erhebungszweck gemäß der
Verordnung (EU) 2016/679 vereinbar
ist, die Kommunikation mit der
betroffenen Person nicht in digitaler
Form erfolgt und das Interesse der
betroffenen Person an der
Informationserteilung nach den
Umständen des Einzelfalls,
insbesondere mit Blick auf den
Zusammenhang, in dem die Daten
erhoben wurden, als gering
anzusehen ist,
2. im Fall einer öffentlichen Stelle die
ordnungsgemäße Erfüllung der in der
Zuständigkeit des Verantwortlichen
liegenden Aufgaben im Sinne des
Artikels 23 Absatz 1 Buchstabe a
bis e der Verordnung (EU) 2016/679
gefährden würde und die Interessen
des Verantwortlichen an der
Nichterteilung der Information die
Interessen der betroffenen Person
überwiegen,
3. die öffentliche Sicherheit oder
Ordnung gefährden oder sonst dem
Wohl des Bundes oder eines Landes
Nachteile bereiten würde und die
Interessen des Verantwortlichen an
der Nichterteilung der Information
die Interessen der betroffenen
Person überwiegen,
4. die Geltendmachung, Ausübung oder
Verteidigung rechtlicher Ansprüche
beeinträchtigen würde und die
Interessen des Verantwortlichen an
der Nichterteilung der Information
die Interessen der betroffenen
Person überwiegen oder
5. eine vertrauliche Übermittlung von
Daten an öffentliche Stellen
gefährden würde.
(2) Unterbleibt eine Information der
betroffenen Person nach Maßgabe des
Absatzes 1, ergreift der Verantwortliche
geeignete Maßnahmen zum Schutz der
berechtigten Interessen der betroffenen
Person, einschließlich der Bereitstellung
der in Artikel 13 Absatz 1 und 2 der
Verordnung (EU) 2016/679 genannten
Informationen für die Öffentlichkeit in
präziser, transparenter, verständlicher
und leicht zugänglicher Form in einer
klaren und einfachen Sprache. Der
Verantwortliche hält schriftlich fest, aus
welchen Gründen er von einer
Information abgesehen hat. Die Sätze 1
und 2 finden in den Fällen des Absatzes
1 Nummer 4 und 5 keine Anwendung.
(3) Unterbleibt die Benachrichtigung in
den Fällen des Absatzes 1 wegen eines
vorübergehenden Hinderungsgrundes,
kommt der Verantwortliche der
Informationspflicht unter
Berücksichtigung der spezifischen
Umstände der Verarbeitung innerhalb
einer angemessenen Frist nach Fortfall
des Hinderungsgrundes, spätestens
jedoch innerhalb von zwei Wochen,
nach.
§ 33 Informationspflicht, wenn die
personenbezogenen Daten nicht bei
der betroffenen Person erhoben
wurden
(1) Die Pflicht zur Information der
betroffenen Person gemäß Artikel 14
Absatz 1, 2 und 4 der Verordnung (EU)
2016/679 besteht ergänzend zu den in
Artikel 14 Absatz 5 der Verordnung
(EU) 2016/679 und der in § 29 Absatz
1Satz 1 genannten Ausnahme nicht,
wenn die Erteilung der Information
1. im Fall einer öffentlichen Stelle
a) die ordnungsgemäße Erfüllung
der in der Zuständigkeit des
Verantwortlichen liegenden
Aufgaben im Sinne des Artikels
23 Absatz 1 Buchstabe a bis e
der Verordnung (EU) 2016/679
gefährden würde oder
b) die öffentliche Sicherheit oder
Ordnung gefährden oder sonst
dem Wohl des Bundes oder eines
Landes Nachteile bereiten würde
und deswegen das Interesse der
betroffenen Person an der
Informationserteilung zurücktreten muss,
2. im Fall einer nichtöffentlichen Stelle
a) die Geltendmachung, Ausübung
oder Verteidigung zivilrechtlicher
Ansprüche beeinträchtigen würde
oder die Verarbeitung Daten aus
zivilrechtlichen Verträgen
beinhaltet und der Verhütung von
Schäden durch Straftaten dient,
sofern nicht das berechtigte
Interesse der betroffenen Person
an der Informationserteilung
überwiegt, oder
b) die zuständige öffentliche Stelle
gegenüber dem Verantwortlichen
festgestellt hat, dass das
Bekanntwerden der Daten die
öffentliche Sicherheit oder
Ordnung gefährden oder sonst
dem Wohl des Bundes oder eines
Landes Nachteile bereiten würde;
im Fall der Datenverarbeitung für
Zwecke der Strafverfolgung
bedarf es keiner Feststellung
nach dem ersten Halbsatz.
(2) Unterbleibt eine Information der
betroffenen Person nach Maßgabe des
Absatzes 1, ergreift der Verantwortliche
geeignete Maßnahmen zum Schutz der
berechtigten Interessen der betroffenen
Person, einschließlich der Bereitstellung
der in Artikel 14 Absatz 1 und 2 der
Verordnung (EU) 2016/679 genannten
Informationen für die Öffentlichkeit in
präziser, transparenter, verständlicher
und leicht zugänglicher Form in einer
klaren und einfachen Sprache. Der
Verantwortliche hält schriftlich fest, aus
welchen Gründen er von einer
Information abgesehen hat.
(3) Bezieht sich die
Informationserteilung auf die
Übermittlung personenbezogener Daten
durch öffentliche Stellen an
Verfassungsschutzbehörden, den
Bundesnachrichtendienst, den
Militärischen Abschirmdienst und,
soweit die Sicherheit des Bundes
berührt wird, andere Behörden des
Bundesministeriums der Verteidigung,
ist sie nur mit Zustimmung dieser
Stellen zulässig.
§ 34 Auskunftsrecht der betroffenen
Person
(1) Das Recht auf Auskunft der
betroffenen Person gemäß Artikel 15
der Verordnung (EU) 2016/679 besteht
ergänzend zu den in § 27 Absatz 2, §
28 Absatz 2 und § 29 Absatz 1 Satz 2
genannten Ausnahmen nicht, wenn
1. die betroffene Person nach § 33
Absatz 1 Nummer 1, 2 Buchstabe b
oder Absatz 3 nicht zu informieren
ist, oder
2. die Daten
a) nur deshalb gespeichert sind,
weil sie aufgrund gesetzlicher
oder satzungsmäßiger
Aufbewahrungsvorschriften nicht
gelöscht werden dürfen, oder
b) ausschließlich Zwecken der
Datensicherung oder der
Datenschutzkontrolle dienen
und die Auskunftserteilung einen
unverhältnismäßigen Aufwand
erfordern würde sowie eine
Verarbeitung zu anderen Zwecken
durch geeignete technische und
organisatorische Maßnahmen
ausgeschlossen ist.
(2) Die Gründe der
Auskunftsverweigerung sind zu
dokumentieren. Die Ablehnung der
Auskunftserteilung ist gegenüber der
betroffenen Person zu begründen, soweit
nicht durch die Mitteilung der
tatsächlichen und rechtlichen Gründe,
auf die die Entscheidung gestützt wird,
der mit der Auskunftsverweigerung
verfolgte Zweck gefährdet würde. Die
zum Zweck der Auskunftserteilung an
die betroffene Person und zu deren
Vorbereitung gespeicherten Daten dürfen
nur für diesen Zweck sowie für Zwecke
der Datenschutzkontrolle verarbeitet
werden; für andere Zwecke ist die
Verarbeitung nach Maßgabe des Artikels
18 der Verordnung (EU) 2016/679
einzuschränken.
(3) Wird der betroffenen Person durch
eine öffentliche Stelle des Bundes keine
Auskunft erteilt, so ist sie auf ihr
Verlangen der oder dem
Bundesbeauftragten zu erteilen, soweit
nicht die jeweils zuständige oberste
Bundesbehörde im Einzelfall feststellt,
dass dadurch die Sicherheit des Bundes
oder eines Landes gefährdet würde. Die
Mitteilung der oder des
Bundesbeauftragten an die betroffene
Person über das Ergebnis der
datenschutzrechtlichen Prüfung darf
keine Rückschlüsse auf den
Erkenntnisstand des Verantwortlichen
zulassen, sofern dieser nicht einer
weitergehenden Auskunft zustimmt.
(4) Das Recht der betroffenen Person
auf Auskunft über personenbezogene
Daten, die durch eine öffentliche Stelle
weder automatisiert verarbeitet noch
nicht automatisiert verarbeitet und in
einem Dateisystem gespeichert werden,
besteht nur, soweit die betroffene
Person Angaben macht, die das
Auffinden der Daten ermöglichen, und
der für die Erteilung der Auskunft
erforderliche Aufwand nicht außer
Verhältnis zu dem von der betroffenen
Person geltend gemachten
Informationsinteresse steht.
§ 35 Recht auf Löschung
(1) Ist eine Löschung im Fall nicht
automatisierter Datenverarbeitung wegen
der besonderen Art der Speicherung
nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich und ist das
Interesse der betroffenen Person an der
Löschung als gering anzusehen, besteht
das Recht der betroffenen Person auf
und die Pflicht des Verantwortlichen zur
Löschung personenbezogener Daten
gemäß Artikel 17 Absatz 1 der
Verordnung (EU) 2016/679 ergänzend
zu den in Artikel 17 Absatz 3 der
Verordnung (EU) 2016/679 genannten
Ausnahmen nicht. In diesem Fall tritt an
die Stelle einer Löschung die
Einschränkung der Verarbeitung gemäß
Artikel 18 der Verordnung (EU)
2016/679. Die Sätze 1 und 2 finden
keine Anwendung, wenn die
personenbezogenen Daten unrechtmäßig
verarbeitet wurden.
(2) Ergänzend zu Artikel 18 Absatz 1
Buchstabe b und c der Verordnung
(EU) 2016/679 gilt Absatz 1 Satz 1
und 2 entsprechend im Fall des Artikels
17 Absatz 1 Buchstabe a und d der
Verordnung (EU) 2016/679, solange und
soweit der Verantwortliche Grund zu
der Annahme hat, dass durch eine
Löschung schutzwürdige Interessen der
betroffenen Person beeinträchtigt
würden. Der Verantwortliche
unterrichtet die betroffene Person über
die Einschränkung der Verarbeitung,
sofern sich die Unterrichtung nicht als
unmöglich erweist oder einen
unverhältnismäßigen Aufwand erfordern
würde.
(3) Ergänzend zu Artikel 17 Absatz 3
Buchstabe b der Verordnung (EU)
2016/679 gilt Absatz 1 entsprechend im
Fall des Artikels 17 Absatz 1 Buchstabe
a der Verordnung (EU) 2016/679, wenn
einer Löschung satzungsgemäße oder
vertragliche Aufbewahrungsfristen
entgegenstehen.
§ 36 Widerspruchsrecht
Das Recht auf Widerspruch gemäß
Artikel 21 Absatz 1 der Verordnung
(EU) 2016/679 gegenüber einer
öffentlichen Stelle besteht nicht, soweit
an der Verarbeitung ein zwingendes
öffentliches Interesse besteht, das die
Interessen der betroffenen Person
überwiegt, oder eine Rechtsvorschrift
zur Verarbeitung verpflichtet.
§ 37 Automatisierte Entscheidungen
im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz
1 der Verordnung (EU) 2016/679,
keiner ausschließlich auf einer
automatisierten Verarbeitung beruhenden
Entscheidung unterworfen zu werden,
besteht über die in Artikel 22 Absatz 2
Buchstabe a und c der Verordnung (EU)
2016/679 genannten Ausnahmen hinaus
nicht, wenn die Entscheidung im
Rahmen der Leistungserbringung nach
einem Versicherungsvertrag ergeht und
1. dem Begehren der betroffenen
Person stattgegeben wurde oder
2. die Entscheidung auf der Anwendung
verbindlicher Entgeltregelungen für
Heilbehandlungen beruht und der
Verantwortliche für den Fall, dass
dem Antrag nicht vollumfänglich
stattgegeben wird, angemessene
Maßnahmen zur Wahrung der
berechtigten Interessen der
betroffenen Person trifft, wozu
mindestens das Recht auf Erwirkung
des Eingreifens einer Person seitens
des Verantwortlichen, auf Darlegung
des eigenen Standpunktes und auf
Anfechtung der Entscheidung zählt;
der Verantwortliche informiert die
betroffene Person über diese Rechte
spätestens zum Zeitpunkt der
Mitteilung, aus der sich ergibt, dass
dem Antrag der betroffenen Person
nicht vollumfänglich stattgegeben
wird.
(2) Entscheidungen nach Absatz 1
dürfen auf der Verarbeitung von
Gesundheitsdaten im Sinne des Artikels
4 Nummer 15 der Verordnung (EU)
2016/679 beruhen. Der Verantwortliche
sieht angemessene und spezifische
Maßnahmen zur Wahrung der Interessen
der betroffenen Person gemäß § 22
Absatz 2 Satz 2 vor.
Kapitel 3
Pflichten der Verantwortlichen
und Auftragsverarbeiter
§ 38 Datenschutzbeauftragte
nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1
Buchstabe b und c der Verordnung
(EU) 2016/679 benennen der
Verantwortliche und der
Auftragsverarbeiter eine
Datenschutzbeauftragte oder einen
Datenschutzbeauftragten, soweit sie in
der Regel mindestens 20 Personen
ständig mit der automatisierten
Verarbeitung personenbezogener Daten
beschäftigen. Nehmen der
Verantwortliche oder der
Auftragsverarbeiter Verarbeitungen vor,
die einer
Datenschutz-Folgenabschätzung nach
Artikel 35 der Verordnung (EU)
2016/679 unterliegen, oder verarbeiten
sie personenbezogene Daten
geschäftsmäßig zum Zweck der
Übermittlung, der anonymisierten
Übermittlung oder für Zwecke der
Markt- oder Meinungsforschung, haben
sie unabhängig von der Anzahl der mit
der Verarbeitung beschäftigten Personen
eine Datenschutzbeauftragte oder einen
Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz
6 finden Anwendung, § 6 Absatz 4
jedoch nur, wenn die Benennung einer
oder eines Datenschutzbeauftragten
verpflichtend ist.
§ 39 Akkreditierung
Die Erteilung der Befugnis, als
Zertifizierungsstelle gemäß Artikel 43
Absatz 1 Satz 1 der Verordnung (EU)
2016/679 tätig zu werden, erfolgt durch
die für die datenschutzrechtliche
Aufsicht über die Zertifizierungsstelle
zuständige Aufsichtsbehörde des Bundes
oder der Länder auf der Grundlage einer
Akkreditierung durch die Deutsche
Akkreditierungsstelle. § 2 Absatz 3 Satz
2, § 4 Absatz 3 und § 10 Absatz 1
Satz 1 Nummer 3 des
Akkreditierungsstellengesetzes finden
mit der Maßgabe Anwendung, dass der
Datenschutz als ein dem
Anwendungsbereich des § 1 Absatz 2
Satz 2 unterfallender Bereich gilt.
Kapitel 4
Aufsichtsbehörde für die
Datenverarbeitung durch
nichtöffentliche Stellen
§ 40 Aufsichtsbehörden der Länder
(1) Die nach Landesrecht zuständigen
Behörden überwachen im
Anwendungsbereich der Verordnung
(EU) 2016/679 bei den nichtöffentlichen
Stellen die Anwendung der Vorschriften
über den Datenschutz.
(2) Hat der Verantwortliche oder
Auftragsverarbeiter mehrere inländische
Niederlassungen, findet für die
Bestimmung der zuständigen
Aufsichtsbehörde Artikel 4 Nummer 16
der Verordnung (EU) 2016/679
entsprechende Anwendung. Wenn sich
mehrere Behörden für zuständig oder
für unzuständig halten oder wenn die
Zuständigkeit aus anderen Gründen
zweifelhaft ist, treffen die
Aufsichtsbehörden die Entscheidung
gemeinsam nach Maßgabe des § 18
Absatz 2. § 3 Absatz 3 und 4 des
Verwaltungsverfahrensgesetzes findet
entsprechende Anwendung.
(3) Die Aufsichtsbehörde darf die von
ihr gespeicherten Daten nur für Zwecke
der Aufsicht verarbeiten; hierbei darf
sie Daten an andere Aufsichtsbehörden
übermitteln. Eine Verarbeitung zu einem
anderen Zweck ist über Artikel 6
Absatz 4 der Verordnung (EU)
2016/679 hinaus zulässig, wenn
1. offensichtlich ist, dass sie im
Interesse der betroffenen Person
liegt und kein Grund zu der
Annahme besteht, dass sie in
Kenntnis des anderen Zwecks ihre
Einwilligung verweigern würde,
2. sie zur Abwehr erheblicher Nachteile
für das Gemeinwohl oder einer
Gefahr für die öffentliche Sicherheit
oder zur Wahrung erheblicher
Belange des Gemeinwohls
erforderlich ist oder
3. sie zur Verfolgung von Straftaten
oder Ordnungswidrigkeiten, zur
Vollstreckung oder zum Vollzug von
Strafen oder Maßnahmen im Sinne
des § 11 Absatz 1 Nummer 8 des
Strafgesetzbuchs oder von
Erziehungsmaßregeln oder
Zuchtmitteln im Sinne des
Jugendgerichtsgesetzes oder zur
Vollstreckung von Geldbußen
erforderlich ist.
Stellt die Aufsichtsbehörde einen
Verstoß gegen die Vorschriften über
den Datenschutz fest, so ist sie befugt,
die betroffenen Personen hierüber zu
unterrichten, den Verstoß anderen für
die Verfolgung oder Ahndung
zuständigen Stellen anzuzeigen sowie bei
schwerwiegenden Verstößen die
Gewerbeaufsichtsbehörde zur
Durchführung gewerberechtlicher
Maßnahmen zu unterrichten. § 13
Absatz 4 Satz 4 bis 7 gilt entsprechend.
(4) Die der Aufsicht unterliegenden
Stellen sowie die mit deren Leitung
beauftragten Personen haben einer
Aufsichtsbehörde auf Verlangen die für
die Erfüllung ihrer Aufgaben
erforderlichen Auskünfte zu erteilen.
Der Auskunftspflichtige kann die
Auskunft auf solche Fragen verweigern,
deren Beantwortung ihn selbst oder
einen der in § 383 Absatz 1 Nummer 1
bis 3 der Zivilprozessordnung
bezeichneten Angehörigen der Gefahr
strafgerichtlicher Verfolgung oder eines
Verfahrens nach dem Gesetz über
Ordnungswidrigkeiten aussetzen würde.
Der Auskunftspflichtige ist darauf
hinzuweisen.
(5) Die von einer Aufsichtsbehörde mit
der Überwachung der Einhaltung der
Vorschriften über den Datenschutz
beauftragten Personen sind befugt, zur
Erfüllung ihrer Aufgaben Grundstücke
und Geschäftsräume der Stelle zu
betreten und Zugang zu allen
Datenverarbeitungsanlagen und -geräten
zu erhalten. Die Stelle ist insoweit zur
Duldung verpflichtet. § 16 Absatz 4 gilt
entsprechend.
(6) Die Aufsichtsbehörden beraten und
unterstützen die Datenschutzbeauftragten
mit Rücksicht auf deren typische
Bedürfnisse. Sie können die Abberufung
der oder des Datenschutzbeauftragten
verlangen, wenn sie oder er die zur
Erfüllung ihrer oder seiner Aufgaben
erforderliche Fachkunde nicht besitzt
oder im Fall des Artikels 38 Absatz 6
der Verordnung (EU) 2016/679 ein
schwerwiegender Interessenkonflikt
vorliegt.
(7) Die Anwendung der
Gewerbeordnung bleibt unberührt.
Kapitel 5
Sanktionen
§ 41 Anwendung der Vorschriften
über das Bußgeld- und
Strafverfahren
(1) Für Verstöße nach Artikel 83
Absatz 4 bis 6 der Verordnung (EU)
2016/679 gelten, soweit dieses Gesetz
nichts nderes bestimmt, die Vorschriften
des Gesetzes über Ordnungswidrigkeiten
sinngemäß. Die §§ 17, 35 und 36 des
Gesetzes über Ordnungswidrigkeiten
finden keine Anwendung. § 68 des
Gesetzes über Ordnungswidrigkeiten
findet mit der Maßgabe Anwendung,
dass das Landgericht entscheidet, wenn
die festgesetzte Geldbuße den Betrag
von einhunderttausend Euro übersteigt.
(2) Für Verfahren wegen eines
Verstoßes nach Artikel 83 Absatz 4 bis
6 der Verordnung (EU) 2016/679
gelten, soweit dieses Gesetz nichts
anderes bestimmt, die Vorschriften des
Gesetzes über Ordnungswidrigkeiten und
der allgemeinen Gesetze über das
Strafverfahren, namentlich der
Strafprozessordnung und des
Gerichtsverfassungsgesetzes,
entsprechend. Die §§ 56 bis 58, 87, 88,
99 und 100 des Gesetzes über
Ordnungswidrigkeiten finden keine
Anwendung. § 69 Absatz 4 Satz 2 des
Gesetzes über Ordnungswidrigkeiten
findet mit der Maßgabe Anwendung,
dass die Staatsanwaltschaft das
Verfahren nur mit Zustimmung der
Aufsichtsbehörde, die den
Bußgeldbescheid erlassen hat, einstellen
kann.
§ 42 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu drei
Jahren oder mit Geldstrafe wird
bestraft, wer wissentlich nicht allgemein
zugängliche personenbezogene Daten
einer großen Zahl von Personen, ohne
hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art und Weise zugänglich
macht
und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei
Jahren oder mit Geldstrafe wird
bestraft, wer personenbezogene Daten,
die nicht allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein,
verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der
Absicht handelt, sich oder einen anderen
zu bereichern oder einen anderen zu
schädigen.
(3) Die Tat wird nur auf Antrag
verfolgt. Antragsberechtigt sind die
betroffene Person, der Verantwortliche,
die oder der Bundesbeauftragte und die
Aufsichtsbehörde.
(4) Eine Meldung nach Artikel 33 der
Verordnung (EU) 2016/679 oder eine
Benachrichtigung nach Artikel 34 Absatz
1 der Verordnung (EU) 2016/679 darf
in einem Strafverfahren gegen den
Meldepflichtigen oder
Benachrichtigenden oder seine in § 52
Absatz 1 der Strafprozessordnung
bezeichneten Angehörigen nur mit
Zustimmung des Meldepflichtigen oder
Benachrichtigenden verwendet werden.
§ 43 Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer
vorsätzlich oder fahrlässig
1. entgegen § 30 Absatz 1 ein
Auskunftsverlangen nicht richtig
behandelt oder
2. entgegen § 30 Absatz 2 Satz 1
einen Verbraucher nicht, nicht
richtig, nicht vollständig oder nicht
rechtzeitig unterrichtet.
(2) Die Ordnungswidrigkeit kann mit
einer Geldbuße bis zu fünfzigtausend
Euro geahndet werden.
(3) Gegen Behörden und sonstige
öffentliche Stellen im Sinne des § 2
Absatz 1 werden keine Geldbußen
verhängt.
(4) Eine Meldung nach Artikel 33 der
Verordnung (EU) 2016/679 oder eine
Benachrichtigung nach Artikel 34 Absatz
1 der Verordnung (EU) 2016/679 darf
in einem Verfahren nach dem Gesetz
über Ordnungswidrigkeiten gegen den
Meldepflichtigen oder
Benachrichtigenden oder seine in § 52
Absatz 1 der Strafprozessordnung
bezeichneten Angehörigen nur mit
Zustimmung des Meldepflichtigen oder
Benachrichtigenden verwendet werden.
Kapitel 6
Rechtsbehelfe
§ 44 Klagen gegen den
Verantwortlichen oder
Auftragsverarbeiter
(1) Klagen der betroffenen Person
gegen einen Verantwortlichen oder einen
Auftragsverarbeiter wegen eines
Verstoßes gegen datenschutzrechtliche
Bestimmungen im Anwendungsbereich
der Verordnung (EU) 2016/679 oder
der darin enthaltenen Rechte der
betroffenen Person können bei dem
Gericht des Ortes erhoben werden, an
dem sich eine Niederlassung des
Verantwortlichen oder
Auftragsverarbeiters befindet. Klagen
nach Satz 1 können auch bei dem
Gericht des Ortes erhoben werden, an
dem die betroffene Person ihren
gewöhnlichen Aufenthaltsort hat.
(2) Absatz 1 gilt nicht für Klagen
gegen Behörden, die in Ausübung ihrer
hoheitlichen Befugnisse tätig geworden
sind.
(3) Hat der Verantwortliche oder
Auftragsverarbeiter einen Vertreter nach
Artikel 27 Absatz 1 der Verordnung
(EU) 2016/679 benannt, gilt dieser
auch als bevollmächtigt, Zustellungen in
zivilgerichtlichen Verfahren nach Absatz
1 entgegenzunehmen. § 184 der
Zivilprozessordnung bleibt unberührt.
Teil 3
Bestimmungen für
Verarbeitungen zu Zwecken
gemäß Artikel 1 Absatz 1 der
Richtlinie (EU) 2016/680
Kapitel 1
Anwendungsbereich,
Begriffsbestimmungen und
allgemeine Grundsätze für die
Verarbeitung personenbezogener
Daten
§ 45 Anwendungsbereich
Die Vorschriften dieses Teils gelten für
die Verarbeitung personenbezogener
Daten durch die für die Verhütung,
Ermittlung, Aufdeckung, Verfolgung oder
Ahndung von Straftaten oder
Ordnungswidrigkeiten zuständigen
öffentlichen Stellen, soweit sie Daten
zum Zweck der Erfüllung dieser
Aufgaben verarbeiten. Die öffentlichen
Stellen gelten dabei als Verantwortliche.
Die Verhütung von Straftaten im Sinne
des Satzes 1 umfasst den Schutz vor
und die Abwehr von Gefahren für die
öffentliche Sicherheit. Die Sätze 1 und
2 finden zudem Anwendung auf
diejenigen öffentlichen Stellen, die für
die Vollstreckung von Strafen, von
Maßnahmen im Sinne des § 11 Absatz
1 Nummer 8 des Strafgesetzbuchs, von
Erziehungsmaßregeln oder Zuchtmitteln
im Sinne des Jugendgerichtsgesetzes
und von Geldbußen zuständig sind.
Soweit dieser Teil Vorschriften für
Auftragsverarbeiter enthält, gilt er auch
für diese.
§ 46 Begriffsbestimmungen
Es bezeichnen die Begriffe:
1. „personenbezogene Daten" alle
Informationen, die sich auf eine
identifizierte oder identifizierbare
natürliche Person (betroffene
Person) beziehen; als identifizierbar
wird eine natürliche Person
angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu
einer Kennung wie einem Namen, zu
einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung oder zu
einem oder mehreren besonderen
Merkmalen, die Ausdruck der
physischen, physiologischen,
genetischen, psychischen,
wirtschaftlichen, kulturellen oder
sozialen Identität dieser Person sind,
identifiziert werden kann;
2. „Verarbeitung" jeden mit oder ohne
Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede
solche Vorgangsreihe im
Zusammenhang mit
personenbezogenen Daten wie das
Erheben, das Erfassen, die
Organisation, das Ordnen, die
Speicherung, die Anpassung, die
Veränderung, das Auslesen, das
Abfragen, die Verwendung, die
Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form
der Bereitstellung, den Abgleich, die
Verknüpfung, die Einschränkung, das
Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung" die
Markierung gespeicherter
personenbezogener Daten mit dem
Ziel, ihre künftige Verarbeitung
einzuschränken;
4. „Profiling" jede Art der
automatisierten Verarbeitung
personenbezogener Daten, bei der
diese Daten verwendet werden, um
bestimmte persönliche Aspekte, die
sich auf eine natürliche Person
beziehen, zu bewerten, insbesondere
um Aspekte der Arbeitsleistung, der
wirtschaftlichen Lage, der
Gesundheit, der persönlichen
Vorlieben, der Interessen, der
Zuverlässigkeit, des Verhaltens, der
Aufenthaltsorte oder der Ortswechsel
dieser natürlichen Person zu
analysieren oder vorherzusagen;
5. „Pseudonymisierung" die
Verarbeitung personenbezogener
Daten in einer Weise, in der die
Daten ohne Hinzuziehung zusätzlicher
Informationen nicht mehr einer
spezifischen betroffenen Person
zugeordnet werden können, sofern
diese zusätzlichen Informationen
gesondert aufbewahrt werden und
technischen und organisatorischen
Maßnahmen unterliegen, die
gewährleisten, dass die Daten keiner
betroffenen Person zugewiesen
werden können;
6. „Dateisystem" jede strukturierte
Sammlung personenbezogener Daten,
die nach bestimmten Kriterien
zugänglich sind, unabhängig davon,
ob diese Sammlung zentral, dezentral
oder nach funktionalen oder
geografischen Gesichtspunkten
geordnet geführt wird;
7. „Verantwortlicher" die natürliche
oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die
allein oder gemeinsam mit anderen
über die Zwecke und Mittel der
Verarbeitung von personenbezogenen
Daten entscheidet;
8. „Auftragsverarbeiter" eine natürliche
oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag
des Verantwortlichen verarbeitet;
9. „Empfänger" eine natürliche oder
juristische Person, Behörde,
Einrichtung oder andere Stelle, der
personenbezogene Daten offengelegt
werden, unabhängig davon, ob es
sich bei ihr um einen Dritten handelt
oder nicht; Behörden, die im Rahmen
eines bestimmten
Untersuchungsauftrags nach dem
Unionsrecht oder anderen
Rechtsvorschriften personenbezogene
Daten erhalten, gelten jedoch nicht
als Empfänger; die Verarbeitung
dieser Daten durch die genannten
Behörden erfolgt im Einklang mit
den geltenden
Datenschutzvorschriften gemäß den
Zwecken der Verarbeitung;
10.„Verletzung des Schutzes
personenbezogener Daten" eine
Verletzung der Sicherheit, die zur
unbeabsichtigten oder
unrechtmäßigen Vernichtung, zum
Verlust, zur Veränderung oder zur
unbefugten Offenlegung von oder
zum unbefugten Zugang zu
personenbezogenen Daten geführt
hat, die verarbeitet wurden;
11.„genetische Daten" personenbezogene
Daten zu den ererbten oder
erworbenen genetischen
Eigenschaften einer natürlichen
Person, die eindeutige Informationen
über die Physiologie oder die
Gesundheit dieser Person liefern,
insbesondere solche, die aus der
Analyse einer biologischen Probe der
Person gewonnen wurden;
12.„biometrische Daten" mit speziellen
technischen Verfahren gewonnene
personenbezogene Daten zu den
physischen, physiologischen oder
verhaltenstypischen Merkmalen einer
natürlichen Person, die die
eindeutige Identifizierung dieser
natürlichen Person ermöglichen oder
bestätigen, insbesondere
Gesichtsbilder oder daktyloskopische
Daten;
13.„Gesundheitsdaten" personenbezogene
Daten, die sich auf die körperliche
oder geistige Gesundheit einer
natürlichen Person, einschließlich der
Erbringung von
Gesundheitsdienstleistungen, beziehen
und aus denen Informationen über
deren Gesundheitszustand
hervorgehen;
14.„besondere Kategorien
personenbezogener Daten"
a) Daten, aus denen die rassische
oder ethnische Herkunft,
politische Meinungen, religiöse
oder weltanschauliche
Überzeugungen oder die
Gewerkschaftszugehörigkeit
hervorgehen,
b) genetische Daten,
c) biometrische Daten zur
eindeutigen Identifizierung einer
natürlichen Person,
d) Gesundheitsdaten und
e) Daten zum Sexualleben oder zur
sexuellen Orientierung;
15.„Aufsichtsbehörde" eine von einem
Mitgliedstaat gemäß Artikel 41 der
Richtlinie (EU) 2016/680
eingerichtete unabhängige staatliche
Stelle;
16.„internationale Organisation" eine
völkerrechtliche Organisation und
ihre nachgeordneten Stellen sowie
jede sonstige Einrichtung, die durch
eine von zwei oder mehr Staaten
geschlossene Übereinkunft oder auf
der Grundlage einer solchen
Übereinkunft geschaffen wurde;
17.„Einwilligung" jede freiwillig für den
bestimmten Fall, in informierter
Weise und unmissverständlich
abgegebene Willensbekundung in
Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden
Handlung, mit der die betroffene
Person zu verstehen gibt, dass sie
mit der Verarbeitung der sie
betreffenden personenbezogenen
Daten einverstanden ist.
§ 47 Allgemeine Grundsätze für die
Verarbeitung personenbezogener
Daten
Personenbezogene Daten müssen
1. auf rechtmäßige Weise und nach
Treu und Glauben verarbeitet
werden,
2. für festgelegte, eindeutige und
rechtmäßige Zwecke erhoben und
nicht in einer mit diesen Zwecken
nicht zu vereinbarenden Weise
verarbeitet werden,
3. dem Verarbeitungszweck
entsprechen, für das Erreichen des
Verarbeitungszwecks erforderlich
sein und ihre Verarbeitung nicht
außer Verhältnis zu diesem Zweck
stehen,
4. sachlich richtig und
erforderlichenfalls auf dem neuesten
Stand sein; dabei sind alle
angemessenen Maßnahmen zu
treffen, damit personenbezogene
Daten, die im Hinblick auf die
Zwecke ihrer Verarbeitung unrichtig
sind, unverzüglich gelöscht oder
berichtigt werden,
5. nicht länger als es für die Zwecke,
für die sie verarbeitet werden,
erforderlich ist, in einer Form
gespeichert werden, die die
Identifizierung der betroffenen
Personen ermöglicht, und
6. in einer Weise verarbeitet werden,
die eine angemessene Sicherheit der
personenbezogenen Daten
gewährleistet; hierzu gehört auch ein
durch geeignete technische und
organisatorische Maßnahmen zu
gewährleistender Schutz vor
unbefugter oder unrechtmäßiger
Verarbeitung, unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung
oder unbeabsichtigter Schädigung.
Kapitel 2
Rechtsgrundlagen der
Verarbeitung personenbezogener
Daten
§ 48 Verarbeitung besonderer
Kategorien personenbezogener
Daten
(1) Die Verarbeitung besonderer
Kategorien personenbezogener Daten ist
nur zulässig, wenn sie zur
Aufgabenerfüllung unbedingt erforderlich
ist.
(2) Werden besondere Kategorien
personenbezogener Daten verarbeitet,
sind geeignete Garantien für die
Rechtsgüter der betroffenen Personen
vorzusehen. Geeignete Garantien können
insbesondere sein
1. spezifische Anforderungen an die
Datensicherheit oder die
Datenschutzkontrolle,
2. die Festlegung von besonderen
Aussonderungsprüffristen,
3. die Sensibilisierung der an
Verarbeitungsvorgängen Beteiligten,
4. die Beschränkung des Zugangs zu
den personenbezogenen Daten
innerhalb der verantwortlichen Stelle,
5. die von anderen Daten getrennte
Verarbeitung,
6. die Pseudonymisierung
personenbezogener Daten,
7. die Verschlüsselung
personenbezogener Daten oder
8. spezifische Verfahrensregelungen, die
im Fall einer Übermittlung oder
Verarbeitung für andere Zwecke die
Rechtmäßigkeit der Verarbeitung
sicherstellen.
§ 49 Verarbeitung zu anderen
Zwecken
Eine Verarbeitung personenbezogener
Daten zu einem anderen Zweck als zu
demjenigen, zu dem sie erhoben wurden,
ist zulässig, wenn es sich bei dem
anderen Zweck um einen der in § 45
genannten Zwecke handelt, der
Verantwortliche befugt ist, Daten zu
diesem Zweck zu verarbeiten, und die
Verarbeitung zu diesem Zweck
erforderlich und verhältnismäßig ist. Die
Verarbeitung personenbezogener Daten
zu einem anderen, in § 45 nicht
genannten Zweck ist zulässig, wenn sie
in einer Rechtsvorschrift vorgesehen ist.
§ 50 Verarbeitung zu
archivarischen, wissenschaftlichen
und statistischen Zwecken
Personenbezogene Daten dürfen im
Rahmen der in § 45 genannten Zwecke
in archivarischer, wissenschaftlicher
oder statistischer Form verarbeitet
werden, wenn hieran ein öffentliches
Interesse besteht und geeignete
Garantien für die Rechtsgüter der
betroffenen Personen vorgesehen
werden. Solche Garantien können in
einer so zeitnah wie möglich
erfolgenden Anonymisierung der
personenbezogenen Daten, in
Vorkehrungen gegen ihre unbefugte
Kenntnisnahme durch Dritte oder in
ihrer räumlich und organisatorisch von
den sonstigen Fachaufgaben getrennten
Verarbeitung bestehen.
§ 51 Einwilligung
(1) Soweit die Verarbeitung
personenbezogener Daten nach einer
Rechtsvorschrift auf der Grundlage einer
Einwilligung erfolgen kann, muss der
Verantwortliche die Einwilligung der
betroffenen Person nachweisen können.
(2) Erfolgt die Einwilligung der
betroffenen Person durch eine
schriftliche Erklärung, die noch andere
Sachverhalte betrifft, muss das
Ersuchen um Einwilligung in
verständlicher und leicht zugänglicher
Form in einer klaren und einfachen
Sprache so erfolgen, dass es von den
anderen Sachverhalten klar zu
unterscheiden ist.
(3) Die betroffene Person hat das
Recht, ihre Einwilligung jederzeit zu
widerrufen. Durch den Widerruf der
Einwilligung wird die Rechtmäßigkeit
der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht
berührt. Die betroffene Person ist vor
Abgabe der Einwilligung hiervon in
Kenntnis zu setzen.
(4) Die Einwilligung ist nur wirksam,
wenn sie auf der freien Entscheidung
der betroffenen Person beruht. Bei der
Beurteilung, ob die Einwilligung
freiwillig erteilt wurde, müssen die
Umstände der Erteilung berücksichtigt
werden. Die betroffene Person ist auf
den vorgesehenen Zweck der
Verarbeitung hinzuweisen. Ist dies nach
den Umständen des Einzelfalles
erforderlich oder verlangt die betroffene
Person dies, ist sie auch über die
Folgen der Verweigerung der
Einwilligung zu belehren.
(5) Soweit besondere Kategorien
personenbezogener Daten verarbeitet
werden, muss sich die Einwilligung
ausdrücklich auf diese Daten beziehen.
§ 52 Verarbeitung auf Weisung des
Verantwortlichen
Jede einem Verantwortlichen oder einem
Auftragsverarbeiter unterstellte Person,
die Zugang zu personenbezogenen Daten
hat, darf diese Daten ausschließlich auf
Weisung des Verantwortlichen
verarbeiten, es sei denn, dass sie nach
einer Rechtsvorschrift zur Verarbeitung
verpflichtet ist.
§ 53 Datengeheimnis
Mit Datenverarbeitung befasste
Personen dürfen personenbezogene
Daten nicht unbefugt verarbeiten
(Datengeheimnis). Sie sind bei der
Aufnahme ihrer Tätigkeit auf das
Datengeheimnis zu verpflichten. Das
Datengeheimnis besteht auch nach der
Beendigung ihrer Tätigkeit fort.
§ 54 Automatisierte
Einzelentscheidung
(1) Eine ausschließlich auf einer
automatischen Verarbeitung beruhende
Entscheidung, die mit einer nachteiligen
Rechtsfolge für die betroffene Person
verbunden ist oder sie erheblich
beeinträchtigt, ist nur zulässig, wenn sie
in einer Rechtsvorschrift vorgesehen ist.
(2) Entscheidungen nach Absatz 1
dürfen nicht auf besonderen Kategorien
personenbezogener Daten beruhen,
sofern nicht geeignete Maßnahmen zum
Schutz der Rechtsgüter sowie der
berechtigten Interessen der betroffenen
Personen getroffen wurden.
(3) Profiling, das zur Folge hat, dass
betroffene Personen auf der Grundlage
von besonderen Kategorien
personenbezogener Daten diskriminiert
werden, ist verboten.
Kapitel 3
Rechte der betroffenen Person
§ 55 Allgemeine Informationen zu
Datenverarbeitungen
Der Verantwortliche hat in allgemeiner
Form und für jedermann zugänglich
Informationen zur Verfügung zu stellen
über
1. die Zwecke der von ihm
vorgenommenen Verarbeitungen,
2. die im Hinblick auf die Verarbeitung
ihrer personenbezogenen Daten
bestehenden Rechte der betroffenen
Personen auf Auskunft, Berichtigung,
Löschung und Einschränkung der
Verarbeitung,
3. den Namen und die Kontaktdaten des
Verantwortlichen und der oder des
Datenschutzbeauftragten,
4. das Recht, die Bundesbeauftragte
oder den Bundesbeauftragten
anzurufen, und
5. die Erreichbarkeit der oder des
Bundesbeauftragten.
§ 56 Benachrichtigung betroffener
Personen
(1) Ist die Benachrichtigung betroffener
Personen über die Verarbeitung sie
betreffender personenbezogener Daten in
speziellen Rechtsvorschriften,
insbesondere bei verdeckten
Maßnahmen, vorgesehen oder
angeordnet, so hat diese
Benachrichtigung zumindest die
folgenden Angaben zu enthalten:
1. die in § 55 genannten Angaben,
2. die Rechtsgrundlage der
Verarbeitung,
3. die für die Daten geltende
Speicherdauer oder, falls dies nicht
möglich ist, die Kriterien für die
Festlegung dieser Dauer,
4. gegebenenfalls die Kategorien von
Empfängern der personenbezogenen
Daten sowie
5. erforderlichenfalls weitere
Informationen, insbesondere, wenn
die personenbezogenen Daten ohne
Wissen der betroffenen Person
erhoben wurden.
(2) In den Fällen des Absatzes 1 kann
der Verantwortliche die
Benachrichtigung insoweit und solange
aufschieben, einschränken oder
unterlassen, wie andernfalls
1. die Erfüllung der in § 45 genannten
Aufgaben,
2. die öffentliche Sicherheit oder
3. Rechtsgüter Dritter
gefährdet würden, wenn das Interesse
an der Vermeidung dieser Gefahren das
Informationsinteresse der betroffenen
Person überwiegt.
(3) Bezieht sich die Benachrichtigung
auf die Übermittlung personenbezogener
Daten an Verfassungsschutzbehörden,
den Bundesnachrichtendienst, den
Militärischen Abschirmdienst und,
soweit die Sicherheit des Bundes
berührt wird, andere Behörden des
Bundesministeriums der Verteidigung,
ist sie nur mit Zustimmung dieser
Stellen zulässig.
(4) Im Fall der Einschränkung nach
Absatz 2 gilt § 57 Absatz 7
entsprechend.
§ 57 Auskunftsrecht
(1) Der Verantwortliche hat betroffenen
Personen auf Antrag Auskunft darüber
zu erteilen, ob er sie betreffende Daten
verarbeitet. Betroffene Personen haben
darüber hinaus das Recht, Informationen
zu erhalten über
1. die personenbezogenen Daten, die
Gegenstand der Verarbeitung sind,
und die Kategorie, zu der sie
gehören,
2. die verfügbaren Informationen über
die Herkunft der Daten,
3. die Zwecke der Verarbeitung und
deren Rechtsgrundlage,
4. die Empfänger oder die Kategorien
von Empfängern, gegenüber denen
die Daten offengelegt worden sind,
insbesondere bei Empfängern in
Drittstaaten oder bei internationalen
Organisationen,
5. die für die Daten geltende
Speicherdauer oder, falls dies nicht
möglich ist, die Kriterien für die
Festlegung dieser Dauer,
6. das Bestehen eines Rechts auf
Berichtigung, Löschung oder
Einschränkung der Verarbeitung der
Daten durch den Verantwortlichen,
7. das Recht nach § 60, die
Bundesbeauftragte oder den
Bundesbeauftragten anzurufen, sowie
8. Angaben zur Erreichbarkeit der oder
des Bundesbeauftragten.
(2) Absatz 1 gilt nicht für
personenbezogene Daten, die nur
deshalb verarbeitet werden, weil sie
aufgrund gesetzlicher
Aufbewahrungsvorschriften nicht
gelöscht werden dürfen oder die
ausschließlich Zwecken der
Datensicherung oder der
Datenschutzkontrolle dienen, wenn die
Auskunftserteilung einen
unverhältnismäßigen Aufwand erfordern
würde und eine Verarbeitung zu anderen
Zwecken durch geeignete technische und
organisatorische Maßnahmen
ausgeschlossen ist.
(3) Von der Auskunftserteilung ist
abzusehen, wenn die betroffene Person
keine Angaben macht, die das Auffinden
der Daten ermöglichen, und deshalb der
für die Erteilung der Auskunft
erforderliche Aufwand außer Verhältnis
zu dem von der betroffenen Person
geltend gemachten Informationsinteresse
steht.
(4) Der Verantwortliche kann unter den
Voraussetzungen des § 56 Absatz 2 von
der Auskunft nach Absatz 1 Satz 1
absehen oder die Auskunftserteilung
nach Absatz 1 Satz 2 teilweise oder
vollständig einschränken.
(5) Bezieht sich die Auskunftserteilung
auf die Übermittlung personenbezogener
Daten an Verfassungsschutzbehörden,
den Bundesnachrichtendienst, den
Militärischen Abschirmdienst und,
soweit die Sicherheit des Bundes
berührt wird, andere Behörden des
Bundesministeriums der Verteidigung,
ist sie nur mit Zustimmung dieser
Stellen zulässig.
(6) Der Verantwortliche hat die
betroffene Person über das Absehen
von oder die Einschränkung einer
Auskunft unverzüglich schriftlich zu
unterrichten. Dies gilt nicht, wenn
bereits die Erteilung dieser
Informationen eine Gefährdung im Sinne
des § 56 Absatz 2 mit sich bringen
würde. Die Unterrichtung nach Satz 1
ist zu begründen, es sei denn, dass die
Mitteilung der Gründe den mit dem
Absehen von oder der Einschränkung
der Auskunft verfolgten Zweck
gefährden würde.
(7) Wird die betroffene Person nach
Absatz 6 über das Absehen von oder
die Einschränkung der Auskunft
unterrichtet, kann sie ihr Auskunftsrecht
auch über die Bundesbeauftragte oder
den Bundesbeauftragten ausüben. Der
Verantwortliche hat die betroffene
Person über diese Möglichkeit sowie
darüber zu unterrichten, dass sie gemäß
§ 60 die Bundesbeauftragte oder den
Bundesbeauftragten anrufen oder
gerichtlichen Rechtsschutz suchen kann.
Macht die betroffene Person von ihrem
Recht nach Satz 1 Gebrauch, ist die
Auskunft auf ihr Verlangen der oder
dem Bundesbeauftragten zu erteilen,
soweit nicht die zuständige oberste
Bundesbehörde im Einzelfall feststellt,
dass dadurch die Sicherheit des Bundes
oder eines Landes gefährdet würde. Die
oder der Bundesbeauftragte hat die
betroffene Person zumindest darüber zu
unterrichten, dass alle erforderlichen
Prüfungen erfolgt sind oder eine
Überprüfung durch sie stattgefunden
hat. Diese Mitteilung kann die
Information enthalten, ob
datenschutzrechtliche Verstöße
festgestellt wurden. Die Mitteilung der
oder des Bundesbeauftragten an die
betroffene Person darf keine
Rückschlüsse auf den Erkenntnisstand
des Verantwortlichen zulassen, sofern
dieser keiner weitergehenden Auskunft
zustimmt. Der Verantwortliche darf die
Zustimmung nur insoweit und solange
verweigern, wie er nach Absatz 4 von
einer Auskunft absehen oder sie
einschränken könnte. Die oder der
Bundesbeauftragte hat zudem die
betroffene Person über ihr Recht auf
gerichtlichen Rechtsschutz zu
unterrichten.
(8) Der Verantwortliche hat die
sachlichen oder rechtlichen Gründe für
die Entscheidung zu dokumentieren.
§ 58 Rechte auf Berichtigung und
Löschung sowie Einschränkung der
Verarbeitung
(1) Die betroffene Person hat das
Recht, von dem Verantwortlichen
unverzüglich die Berichtigung sie
betreffender unrichtiger Daten zu
verlangen. Insbesondere im Fall von
Aussagen oder Beurteilungen betrifft die
Frage der Richtigkeit nicht den Inhalt
der Aussage oder Beurteilung. Wenn die
Richtigkeit oder Unrichtigkeit der Daten
nicht festgestellt werden kann, tritt an
die Stelle der Berichtigung eine
Einschränkung der Verarbeitung. In
diesem Fall hat der Verantwortliche die
betroffene Person zu unterrichten, bevor
er die Einschränkung wieder aufhebt.
Die betroffene Person kann zudem die
Vervollständigung unvollständiger
personenbezogener Daten verlangen,
wenn dies unter Berücksichtigung der
Verarbeitungszwecke angemessen ist.
(2) Die betroffene Person hat das
Recht, von dem Verantwortlichen
unverzüglich die Löschung sie
betreffender Daten zu verlangen, wenn
deren Verarbeitung unzulässig ist, deren
Kenntnis für die Aufgabenerfüllung nicht
mehr erforderlich ist oder diese zur
Erfüllung einer rechtlichen Verpflichtung
gelöscht werden müssen.
(3) Anstatt die personenbezogenen
Daten zu löschen, kann der
Verantwortliche deren Verarbeitung
einschränken, wenn
1. Grund zu der Annahme besteht, dass
eine Löschung schutzwürdige
Interessen einer betroffenen Person
beeinträchtigen würde,
2. die Daten zu Beweiszwecken in
Verfahren, die Zwecken des § 45
dienen, weiter aufbewahrt werden
müssen oder
3. eine Löschung wegen der besonderen
Art der Speicherung nicht oder nur
mit unverhältnismäßigem Aufwand
möglich ist.
In ihrer Verarbeitung nach Satz 1
eingeschränkte Daten dürfen nur zu dem
Zweck verarbeitet werden, der ihrer
Löschung entgegenstand.
(4) Bei automatisierten Dateisystemen
ist technisch sicherzustellen, dass eine
Einschränkung der Verarbeitung
eindeutig erkennbar ist und eine
Verarbeitung für andere Zwecke nicht
ohne weitere Prüfung möglich ist.
(5) Hat der Verantwortliche eine
Berichtigung vorgenommen, hat er einer
Stelle, die ihm die personenbezogenen
Daten zuvor übermittelt hat, die
Berichtigung mitzuteilen. In Fällen der
Berichtigung, Löschung oder
Einschränkung der Verarbeitung nach
den Absätzen 1 bis 3 hat der
Verantwortliche Empfängern, denen die
Daten übermittelt wurden, diese
Maßnahmen mitzuteilen. Der Empfänger
hat die Daten zu berichtigen, zu löschen
oder ihre Verarbeitung einzuschränken.
(6) Der Verantwortliche hat die
betroffene Person über ein Absehen von
der Berichtigung oder Löschung
personenbezogener Daten oder über die
an deren Stelle tretende Einschränkung
der Verarbeitung schriftlich zu
unterrichten. Dies gilt nicht, wenn
bereits die Erteilung dieser
Informationen eine Gefährdung im Sinne
des § 56 Absatz 2 mit sich bringen
würde. Die Unterrichtung nach Satz 1
ist zu begründen, es sei denn, dass die
Mitteilung der Gründe den mit dem
Absehen von der Unterrichtung
verfolgten Zweck gefährden würde.
(7) § 57 Absatz 7 und 8 findet
entsprechende Anwendung.
§ 59 Verfahren für die Ausübung
der Rechte der betroffenen Person
(1) Der Verantwortliche hat mit
betroffenen Personen unter Verwendung
einer klaren und einfachen Sprache in
präziser, verständlicher und leicht
zugänglicher Form zu kommunizieren.
Unbeschadet besonderer
Formvorschriften soll er bei der
Beantwortung von Anträgen
grundsätzlich die für den Antrag
gewählte Form verwenden.
(2) Bei Anträgen hat der
Verantwortliche die betroffene Person
unbeschadet des § 57 Absatz 6 und des
§ 58 Absatz 6 unverzüglich schriftlich
darüber in Kenntnis zu setzen, wie
verfahren wurde.
(3) Die Erteilung von Informationen
nach § 55, die Benachrichtigungen nach
den §§ 56 und 66 und die Bearbeitung
von Anträgen nach den §§ 57 und 58
erfolgen unentgeltlich. Bei offenkundig
unbegründeten oder exzessiven Anträgen
nach den §§ 57 und 58 kann der
Verantwortliche entweder eine
angemessene Gebühr auf der Grundlage
der Verwaltungskosten verlangen oder
sich weigern, aufgrund des Antrags tätig
zu werden. In diesem Fall muss der
Verantwortliche den offenkundig
unbegründeten oder exzessiven
Charakter des Antrags belegen können.
(4) Hat der Verantwortliche begründete
Zweifel an der Identität einer
betroffenen Person, die einen Antrag
nach den §§ 57 oder 58 gestellt hat,
kann er von ihr zusätzliche
Informationen anfordern, die zur
Bestätigung ihrer Identität erforderlich
sind.
§ 60 Anrufung der oder des
Bundesbeauftragten
(1) Jede betroffene Person kann sich
unbeschadet anderweitiger Rechtsbehelfe
mit einer Beschwerde an die
Bundesbeauftragte oder den
Bundesbeauftragten wenden, wenn sie
der Auffassung ist, bei der Verarbeitung
ihrer personenbezogenen Daten durch
öffentliche Stellen zu den in § 45
genannten Zwecken in ihren Rechten
verletzt worden zu sein. Dies gilt nicht
für die Verarbeitung von
personenbezogenen Daten durch
Gerichte, soweit diese die Daten im
Rahmen ihrer justiziellen Tätigkeit
verarbeitet haben. Die oder der
Bundesbeauftragte hat die betroffene
Person über den Stand und das
Ergebnis der Beschwerde zu
unterrichten und sie hierbei auf die
Möglichkeit gerichtlichen Rechtsschutzes
nach § 61 hinzuweisen.
(2) Die oder der Bundesbeauftragte hat
eine bei ihr oder ihm eingelegte
Beschwerde über eine Verarbeitung, die
in die Zuständigkeit einer
Aufsichtsbehörde in einem anderen
Mitgliedstaat der Europäischen Union
fällt, unverzüglich an die zuständige
Aufsichtsbehörde des anderen Staates
weiterzuleiten. Sie oder er hat in
diesem Fall die betroffene Person über
die Weiterleitung zu unterrichten und
ihr auf deren Ersuchen weitere
Unterstützung zu leisten.
§ 61 Rechtsschutz gegen
Entscheidungen der oder des
Bundesbeauftragten oder bei deren
oder dessen Untätigkei
(1) Jede natürliche oder juristische
Person kann unbeschadet anderer
Rechtsbehelfe gerichtlich gegen eine
verbindliche Entscheidung der oder des
Bundesbeauftragten vorgehen.
(2) Absatz 1 gilt entsprechend
zugunsten betroffener Personen, wenn
sich die oder der Bundesbeauftragte mit
einer Beschwerde nach § 60 nicht
befasst oder die betroffene Person nicht
innerhalb von drei Monaten nach
Einlegung der Beschwerde über den
Stand oder das Ergebnis der
Beschwerde in Kenntnis gesetzt hat.
Kapitel 4
Pflichten der Verantwortlichen
und Auftragsverarbeiter
§ 62 Auftragsverarbeitung
(1) Werden personenbezogene Daten im
Auftrag eines Verantwortlichen durch
andere Personen oder Stellen
verarbeitet, hat der Verantwortliche für
die Einhaltung der Vorschriften dieses
Gesetzes und anderer Vorschriften über
den Datenschutz zu sorgen. Die Rechte
der betroffenen Personen auf Auskunft,
Berichtigung, Löschung, Einschränkung
der Verarbeitung und Schadensersatz
sind in diesem Fall gegenüber dem
Verantwortlichen geltend zu machen.
(2) Ein Verantwortlicher darf nur
solche Auftragsverarbeiter mit der
Verarbeitung personenbezogener Daten
beauftragen, die mit geeigneten
technischen und organisatorischen
Maßnahmen sicherstellen, dass die
Verarbeitung im Einklang mit den
gesetzlichen Anforderungen erfolgt und
der Schutz der Rechte der betroffenen
Personen gewährleistet wird.
(3) Auftragsverarbeiter dürfen ohne
vorherige schriftliche Genehmigung des
Verantwortlichen keine weiteren
Auftragsverarbeiter hinzuziehen. Hat der
Verantwortliche dem Auftragsverarbeiter
eine allgemeine Genehmigung zur
Hinzuziehung weiterer
Auftragsverarbeiter erteilt, hat der
Auftragsverarbeiter den
Verantwortlichen über jede beabsichtigte
Hinzuziehung oder Ersetzung zu
informieren. Der Verantwortliche kann
in diesem Fall die Hinzuziehung oder
Ersetzung untersagen.
(4) Zieht ein Auftragsverarbeiter einen
weiteren Auftragsverarbeiter hinzu, so
hat er diesem dieselben Verpflichtungen
aus seinem Vertrag mit dem
Verantwortlichen nach Absatz 5
aufzuerlegen, die auch für ihn gelten,
soweit diese Pflichten für den weiteren
Auftragsverarbeiter nicht schon aufgrund
anderer Vorschriften verbindlich sind.
Erfüllt ein weiterer Auftragsverarbeiter
diese Verpflichtungen nicht, so haftet
der ihn beauftragende
Auftragsverarbeiter gegenüber dem
Verantwortlichen für die Einhaltung der
Pflichten des weiteren
Auftragsverarbeiters.
(5) Die Verarbeitung durch einen
Auftragsverarbeiter hat auf der
Grundlage eines Vertrags oder eines
anderen Rechtsinstruments zu erfolgen,
der oder das den Auftragsverarbeiter an
den Verantwortlichen bindet und der
oder das den Gegenstand, die Dauer, die
Art und den Zweck der Verarbeitung,
die Art der personenbezogenen Daten,
die Kategorien betroffener Personen und
die Rechte und Pflichten des
Verantwortlichen festlegt. Der Vertrag
oder das andere Rechtsinstrument haben
insbesondere vorzusehen, dass der
Auftragsverarbeiter
1. nur auf dokumentierte Weisung des
Verantwortlichen handelt; ist der
Auftragsverarbeiter der Auffassung,
dass eine Weisung rechtswidrig ist,
hat er den Verantwortlichen
unverzüglich zu informieren;
2. gewährleistet, dass die zur
Verarbeitung der personenbezogenen
Daten befugten Personen zur
Vertraulichkeit verpflichtet werden,
soweit sie keiner angemessenen
gesetzlichen Verschwiegenheitspflicht
unterliegen;
3. den Verantwortlichen mit geeigneten
Mitteln dabei unterstützt, die
Einhaltung der Bestimmungen über
die Rechte der betroffenen Person
zu gewährleisten;
4. alle personenbezogenen Daten nach
Abschluss der Erbringung der
Verarbeitungsleistungen nach Wahl
des Verantwortlichen zurückgibt oder
löscht und bestehende Kopien
vernichtet, wenn nicht nach einer
Rechtsvorschrift eine Verpflichtung
zur Speicherung der Daten besteht;
5. dem Verantwortlichen alle
erforderlichen Informationen,
insbesondere die gemäß § 76
erstellten Protokolle, zum Nachweis
der Einhaltung seiner Pflichten zur
Verfügung stellt;
6. Überprüfungen, die von dem
Verantwortlichen oder einem von
diesem beauftragten Prüfer
durchgeführt werden, ermöglicht und
dazu beiträgt;
7. die in den Absätzen 3 und 4
aufgeführten Bedingungen für die
Inanspruchnahme der Dienste eines
weiteren Auftragsverarbeiters
einhält;
8. alle gemäß § 64 erforderlichen
Maßnahmen ergreift und
9. unter Berücksichtigung der Art der
Verarbeitung und der ihm zur
Verfügung stehenden Informationen
den Verantwortlichen bei der
Einhaltung der in den §§ 64 bis 67
und § 69 genannten Pflichten
unterstützt.
(6) Der Vertrag im Sinne des Absatzes
5 ist schriftlich oder elektronisch
abzufassen.
(7) Ein Auftragsverarbeiter, der die
Zwecke und Mittel der Verarbeitung
unter Verstoß gegen diese Vorschrift
bestimmt, gilt in Bezug auf diese
Verarbeitung als Verantwortlicher.
§ 63 Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche
gemeinsam die Zwecke und die Mittel
der Verarbeitung fest, gelten sie als
gemeinsam Verantwortliche. Gemeinsam
Verantwortliche haben ihre jeweiligen
Aufgaben und datenschutzrechtlichen
Verantwortlichkeiten in transparenter
Form in einer Vereinbarung festzulegen,
soweit diese nicht bereits in
Rechtsvorschriften festgelegt sind. Aus
der Vereinbarung muss insbesondere
hervorgehen, wer welchen
Informationspflichten nachzukommen hat
und wie und gegenüber wem betroffene
Personen ihre Rechte wahrnehmen
können. Eine entsprechende
Vereinbarung hindert die betroffene
Person nicht, ihre Rechte gegenüber
jedem der gemeinsam Verantwortlichen
geltend zu machen.
§ 64 Anforderungen an die
Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der
Auftragsverarbeiter haben unter
Berücksichtigung des Stands der
Technik, der Implementierungskosten,
der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung sowie
der Eintrittswahrscheinlichkeit und der
Schwere der mit der Verarbeitung
verbundenen Gefahren für die
Rechtsgüter der betroffenen Personen
die erforderlichen technischen und
organisatorischen Maßnahmen zu treffen,
um bei der Verarbeitung
personenbezogener Daten ein dem
Risiko angemessenes Schutzniveau zu
gewährleisten, insbesondere im Hinblick
auf die Verarbeitung besonderer
Kategorien personenbezogener Daten.
Der Verantwortliche hat hierbei die
einschlägigen Technischen Richtlinien
und Empfehlungen des Bundesamtes für
Sicherheit in der Informationstechnik zu
berücksichtigen.
(2) Die in Absatz 1 genannten
Maßnahmen können unter anderem die
Pseudonymisierung und Verschlüsselung
personenbezogener Daten umfassen,
soweit solche Mittel in Anbetracht der
Verarbeitungszwecke möglich sind. Die
Maßnahmen nach Absatz 1 sollen dazu
führen, dass
1. die Vertraulichkeit, Integrität,
Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im
Zusammenhang mit der Verarbeitung
auf Dauer sichergestellt werden und
2. die Verfügbarkeit der
personenbezogenen Daten und der
Zugang zu ihnen bei einem
physischen oder technischen
Zwischenfall rasch wiederhergestellt
werden können.
(3) Im Fall einer automatisierten
Verarbeitung haben der Verantwortliche
und der Auftragsverarbeiter nach einer
Risikobewertung Maßnahmen zu
ergreifen, die Folgendes bezwecken:
1. Verwehrung des Zugangs zu
Verarbeitungsanlagen, mit denen die
Verarbeitung durchgeführt wird, für
Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens,
Kopierens, Veränderns oder
Löschens von Datenträgern
(Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe
von personenbezogenen Daten sowie
der unbefugten Kenntnisnahme,
Veränderung und Löschung von
gespeicherten personenbezogenen
Daten (Speicherkontrolle),
4. Verhinderung der Nutzung
automatisierter Verarbeitungssysteme
mit Hilfe von Einrichtungen zur
Datenübertragung durch Unbefugte
(Benutzerkontrolle),
5. Gewährleistung, dass die zur
Benutzung eines automatisierten
Verarbeitungssystems Berechtigten
ausschließlich zu den von ihrer
Zugangsberechtigung umfassten
personenbezogenen Daten Zugang
haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und
festgestellt werden kann, an welche
Stellen personenbezogene Daten mit
Hilfe von Einrichtungen zur
Datenübertragung übermittelt oder
zur Verfügung gestellt wurden oder
werden können
(Übertragungskontrolle),
7. Gewährleistung, dass nachträglich
überprüft und festgestellt werden
kann, welche personenbezogenen
Daten zu welcher Zeit und von wem
in automatisierte
Verarbeitungssysteme eingegeben
oder verändert worden sind
(Eingabekontrolle),
8. Gewährleistung, dass bei der
Übermittlung personenbezogener
Daten sowie beim Transport von
Datenträgern die Vertraulichkeit und
Integrität der Daten geschützt
werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte
Systeme im Störungsfall
wiederhergestellt werden können
(Wiederherstellbarkeit),
10.Gewährleistung, dass alle Funktionen
des Systems zur Verfügung stehen
und auftretende Fehlfunktionen
gemeldet werden (Zuverlässigkeit),
11.Gewährleistung, dass gespeicherte
personenbezogene Daten nicht durch
Fehlfunktionen des Systems
beschädigt werden können
(Datenintegrität),
12.Gewährleistung, dass
personenbezogene Daten, die im
Auftrag verarbeitet werden, nur
entsprechend den Weisungen des
Auftraggebers verarbeitet werden
können (Auftragskontrolle),
13.Gewährleistung, dass
personenbezogene Daten gegen
Zerstörung oder Verlust geschützt
sind (Verfügbarkeitskontrolle),
14.Gewährleistung, dass zu
unterschiedlichen Zwecken erhobene
personenbezogene Daten getrennt
verarbeitet werden können
(Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5
kann insbesondere durch die
Verwendung von dem Stand der Technik
entsprechenden
Verschlüsselungsverfahren erreicht
werden.
§ 65 Meldung von Verletzungen des
Schutzes personenbezogener Daten
an die oder den Bundesbeauftragten
(1) Der Verantwortliche hat eine
Verletzung des Schutzes
personenbezogener Daten unverzüglich
und möglichst innerhalb von 72 Stunden,
nachdem sie ihm bekannt geworden ist,
der oder dem Bundesbeauftragten zu
melden, es sei denn, dass die
Verletzung voraussichtlich keine Gefahr
für die Rechtsgüter natürlicher Personen
mit sich gebracht hat. Erfolgt die
Meldung an die Bundesbeauftragte oder
den Bundesbeauftragten nicht innerhalb
von 72 Stunden, so ist die Verzögerung
zu begründen.
(2) Ein Auftragsverarbeiter hat eine
Verletzung des Schutzes
personenbezogener Daten unverzüglich
dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu
enthalten:
1. eine Beschreibung der Art der
Verletzung des Schutzes
personenbezogener Daten, die, soweit
möglich, Angaben zu den Kategorien
und der ungefähren Anzahl der
betroffenen Personen, zu den
betroffenen Kategorien
personenbezogener Daten und zu der
ungefähren Anzahl der betroffenen
personenbezogenen Datensätze zu
enthalten hat,
2. den Namen und die Kontaktdaten der
oder des Datenschutzbeauftragten
oder einer sonstigen Person oder
Stelle, die weitere Informationen
erteilen kann,
3. eine Beschreibung der
wahrscheinlichen Folgen der
Verletzung und
4. eine Beschreibung der von dem
Verantwortlichen ergriffenen oder
vorgeschlagenen Maßnahmen zur
Behandlung der Verletzung und der
getroffenen Maßnahmen zur
Abmilderung ihrer möglichen
nachteiligen Auswirkungen.
(4) Wenn die Informationen nach
Absatz 3 nicht zusammen mit der
Meldung übermittelt werden können, hat
der Verantwortliche sie unverzüglich
nachzureichen, sobald sie ihm vorliegen.
(5) Der Verantwortliche hat
Verletzungen des Schutzes
personenbezogener Daten zu
dokumentieren. Die Dokumentation hat
alle mit den Vorfällen
zusammenhängenden Tatsachen, deren
Auswirkungen und die ergriffenen
Abhilfemaßnahmen zu umfassen.
(6) Soweit von einer Verletzung des
Schutzes personenbezogener Daten
personenbezogene Daten betroffen sind,
die von einem oder an einen
Verantwortlichen in einem anderen
Mitgliedstaat der Europäischen Union
übermittelt wurden, sind die in Absatz 3
genannten Informationen dem dortigen
Verantwortlichen unverzüglich zu
übermitteln.
(7) § 42 Absatz 4 findet entsprechende
Anwendung.
(8) Weitere Pflichten des
Verantwortlichen zu Benachrichtigungen
über Verletzungen des Schutzes
personenbezogener Daten bleiben
unberührt.
§ 66 Benachrichtigung betroffener
Personen bei Verletzungen des
Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes
personenbezogener Daten voraussichtlich
eine erhebliche Gefahr für Rechtsgüter
betroffener Personen zur Folge, so hat
der Verantwortliche die betroffenen
Personen unverzüglich über den Vorfall
zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1
hat in klarer und einfacher Sprache die
Art der Verletzung des Schutzes
personenbezogener Daten zu beschreiben
und zumindest die in § 65 Absatz 3
Nummer 2 bis 4 genannten
Informationen und Maßnahmen zu
enthalten.
(3) Von der Benachrichtigung nach
Absatz 1 kann abgesehen werden, wenn
1. der Verantwortliche geeignete
technische und organisatorische
Sicherheitsvorkehrungen getroffen
hat und diese Vorkehrungen auf die
von der Verletzung des Schutzes
personenbezogener Daten betroffenen
Daten angewandt wurden; dies gilt
insbesondere für Vorkehrungen wie
Verschlüsselungen, durch die die
Daten für unbefugte Personen
unzugänglich gemacht wurden;
2. der Verantwortliche durch im
Anschluss an die Verletzung
getroffene Maßnahmen sichergestellt
hat, dass aller Wahrscheinlichkeit
nach keine erhebliche Gefahr im
Sinne des Absatzes 1 mehr besteht,
oder
3. dies mit einem unverhältnismäßigen
Aufwand verbunden wäre; in diesem
Fall hat stattdessen eine öffentliche
Bekanntmachung oder eine ähnliche
Maßnahme zu erfolgen, durch die die
betroffenen Personen vergleichbar
wirksam informiert werden.
(4) Wenn der Verantwortliche die
betroffenen Personen über eine
Verletzung des Schutzes
personenbezogener Daten nicht
benachrichtigt hat, kann die oder der
Bundesbeauftragte förmlich feststellen,
dass ihrer oder seiner Auffassung nach
die in Absatz 3 genannten
Voraussetzungen nicht erfüllt sind.
Hierbei hat sie oder er die
Wahrscheinlichkeit zu berücksichtigen,
dass die Verletzung eine erhebliche
Gefahr im Sinne des Absatzes 1 zur
Folge hat.
(5) Die Benachrichtigung der
betroffenen Personen nach Absatz 1
kann unter den in § 56 Absatz 2
genannten Voraussetzungen
aufgeschoben, eingeschränkt oder
unterlassen werden, soweit nicht die
Interessen der betroffenen Person
aufgrund der von der Verletzung
ausgehenden erheblichen Gefahr im
Sinne des Absatzes 1 überwiegen.
(6) § 42 Absatz 4 findet entsprechende
Anwendung.
§ 67 Durchführung einer
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung,
insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des
Umfangs, der Umstände und der Zwecke
der Verarbeitung voraussichtlich eine
erhebliche Gefahr für die Rechtsgüter
betroffener Personen zur Folge, so hat
der Verantwortliche vorab eine
Abschätzung der Folgen der
vorgesehenen Verarbeitungsvorgänge für
die betroffenen Personen durchzuführen.
(2) Für die Untersuchung mehrerer
ähnlicher Verarbeitungsvorgänge mit
ähnlich hohem Gefahrenpotential kann
eine gemeinsame
Datenschutz-Folgenabschätzung
vorgenommen werden.
(3) Der Verantwortliche hat die
Datenschutzbeauftragte oder den
Datenschutzbeauftragten an der
Durchführung der Folgenabschätzung zu
beteiligen.
(4) Die Folgenabschätzung hat den
Rechten der von der Verarbeitung
betroffenen Personen Rechnung zu
tragen und zumindest Folgendes zu
enthalten:
1. eine systematische Beschreibung der
geplanten Verarbeitungsvorgänge und
der Zwecke der Verarbeitung,
2. eine Bewertung der Notwendigkeit
und Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf
deren Zweck,
3. eine Bewertung der Gefahren für die
Rechtsgüter der betroffenen
Personen und
4. die Maßnahmen, mit denen
bestehenden Gefahren abgeholfen
werden soll, einschließlich der
Garantien, der
Sicherheitsvorkehrungen und der
Verfahren, durch die der Schutz
personenbezogener Daten
sichergestellt und die Einhaltung der
gesetzlichen Vorgaben nachgewiesen
werden sollen.
(5) Soweit erforderlich, hat der
Verantwortliche eine Überprüfung
durchzuführen, ob die Verarbeitung den
Maßgaben folgt, die sich aus der
Folgenabschätzung ergeben haben.
§ 68 Zusammenarbeit mit der oder
dem Bundesbeauftragten
Der Verantwortliche hat mit der oder
dem Bundesbeauftragten bei der
Erfüllung ihrer oder seiner Aufgaben
zusammenzuarbeiten.
§ 69 Anhörung der oder des
Bundesbeauftragten
(1) Der Verantwortliche hat vor der
Inbetriebnahme von neu anzulegenden
Dateisystemen die Bundesbeauftragte
oder den Bundesbeauftragten anzuhören,
wenn
1. aus einer
Datenschutz-Folgenabschätzung nach
§ 67 hervorgeht, dass die
Verarbeitung eine erhebliche Gefahr
für die Rechtsgüter der betroffenen
Personen zur Folge hätte, wenn der
Verantwortliche keine
Abhilfemaßnahmen treffen würde,
oder
2. die Form der Verarbeitung,
insbesondere bei der Verwendung
neuer Technologien, Mechanismen
oder Verfahren, eine erhebliche
Gefahr für die Rechtsgüter der
betroffenen Personen zur Folge hat.
Die oder der Bundesbeauftragte kann
eine Liste der Verarbeitungsvorgänge
erstellen, die der Pflicht zur Anhörung
nach Satz 1 unterliegen.
(2) Der oder dem Bundesbeauftragten
sind im Fall des Absatzes 1 vorzulegen:
1. die nach § 67 durchgeführte
Datenschutz-Folgenabschätzung,
2. gegebenenfalls Angaben zu den
jeweiligen Zuständigkeiten des
Verantwortlichen, der gemeinsam
Verantwortlichen und der an der
Verarbeitung beteiligten
Auftragsverarbeiter,
3. Angaben zu den Zwecken und
Mitteln der beabsichtigten
Verarbeitung,
4. Angaben zu den zum Schutz der
Rechtsgüter der betroffenen
Personen vorgesehenen Maßnahmen
und Garantien und
5. Name und Kontaktdaten der oder des
Datenschutzbeauftragten.
Auf Anforderung sind ihr oder ihm
zudem alle sonstigen Informationen zu
übermitteln, die sie oder er benötigt,
um die Rechtmäßigkeit der Verarbeitung
sowie insbesondere die in Bezug auf
den Schutz der personenbezogenen
Daten der betroffenen Personen
bestehenden Gefahren und die
diesbezüglichen Garantien bewerten zu
können.
(3) Falls die oder der
Bundesbeauftragte der Auffassung ist,
dass die geplante Verarbeitung gegen
gesetzliche Vorgaben verstoßen würde,
insbesondere weil der Verantwortliche
das Risiko nicht ausreichend ermittelt
oder keine ausreichenden
Abhilfemaßnahmen getroffen hat, kann
sie oder er dem Verantwortlichen und
gegebenenfalls dem Auftragsverarbeiter
innerhalb eines Zeitraums von sechs
Wochen nach Einleitung der Anhörung
schriftliche Empfehlungen unterbreiten,
welche Maßnahmen noch ergriffen
werden sollten. Die oder der
Bundesbeauftragte kann diese Frist um
einen Monat verlängern, wenn die
geplante Verarbeitung besonders
komplex ist. Sie oder er hat in diesem
Fall innerhalb eines Monats nach
Einleitung der Anhörung den
Verantwortlichen und gegebenenfalls den
Auftragsverarbeiter über die
Fristverlängerung zu informieren.
(4) Hat die beabsichtigte Verarbeitung
erhebliche Bedeutung für die
Aufgabenerfüllung des Verantwortlichen
und ist sie daher besonders dringlich,
kann er mit der Verarbeitung nach
Beginn der Anhörung, aber vor Ablauf
der in Absatz 3 Satz 1 genannten Frist
beginnen. In diesem Fall sind die
Empfehlungen der oder des
Bundesbeauftragten im Nachhinein zu
berücksichtigen und sind die Art und
Weise der Verarbeitung daraufhin
gegebenenfalls anzupassen.
§ 70 Verzeichnis von
Verarbeitungstätigkeiten
(1) Der Verantwortliche hat ein
Verzeichnis aller Kategorien von
Verarbeitungstätigkeiten zu führen, die
in seine Zuständigkeit fallen. Dieses
Verzeichnis hat die folgenden Angaben
zu enthalten:
1. den Namen und die Kontaktdaten des
Verantwortlichen und gegebenenfalls
des gemeinsam mit ihm
Verantwortlichen sowie den Namen
und die Kontaktdaten der oder des
Datenschutzbeauftragten,
2. die Zwecke der Verarbeitung,
3. die Kategorien von Empfängern,
gegenüber denen die
personenbezogenen Daten offengelegt
worden sind oder noch offengelegt
werden sollen,
4. eine Beschreibung der Kategorien
betroffener Personen und der
Kategorien personenbezogener Daten,
5. gegebenenfalls die Verwendung von
Profiling,
6. gegebenenfalls die Kategorien von
Übermittlungen personenbezogener
Daten an Stellen in einem Drittstaat
oder an eine internationale
Organisation,
7. Angaben über die Rechtsgrundlage
der Verarbeitung,
8. die vorgesehenen Fristen für die
Löschung oder die Überprüfung der
Erforderlichkeit der Speicherung der
verschiedenen Kategorien
personenbezogener Daten und
9. eine allgemeine Beschreibung der
technischen und organisatorischen
Maßnahmen gemäß § 64.
(2) Der Auftragsverarbeiter hat ein
Verzeichnis aller Kategorien von
Verarbeitungen zu führen, die er im
Auftrag eines Verantwortlichen
durchführt, das Folgendes zu enthalten
hat:
1. den Namen und die Kontaktdaten des
Auftragsverarbeiters, jedes
Verantwortlichen, in dessen Auftrag
der Auftragsverarbeiter tätig ist,
sowie gegebenenfalls der oder des
Datenschutzbeauftragten,
2. gegebenenfalls Übermittlungen von
personenbezogenen Daten an Stellen
in einem Drittstaat oder an eine
internationale Organisation unter
Angabe des Staates oder der
Organisation und
3. eine allgemeine Beschreibung der
technischen und organisatorischen
Maßnahmen gemäß § 64.
(3) Die in den Absätzen 1 und 2
genannten Verzeichnisse sind schriftlich
oder elektronisch zu führen.
(4) Verantwortliche und
Auftragsverarbeiter haben auf
Anforderung ihre Verzeichnisse der oder
dem Bundesbeauftragten zur Verfügung
zu stellen.
§ 71 Datenschutz durch
Technikgestaltung und
datenschutzfreundliche
Voreinstellungen
(1) Der Verantwortliche hat sowohl zum
Zeitpunkt der Festlegung der Mittel für
die Verarbeitung als auch zum Zeitpunkt
der Verarbeitung selbst angemessene
Vorkehrungen zu treffen, die geeignet
sind, die Datenschutzgrundsätze wie
etwa die Datensparsamkeit wirksam
umzusetzen, und die sicherstellen, dass
die gesetzlichen Anforderungen
eingehalten und die Rechte der
betroffenen Personen geschützt werden.
Er hat hierbei den Stand der Technik,
die Implementierungskosten und die Art,
den Umfang, die Umstände und die
Zwecke der Verarbeitung sowie die
unterschiedliche
Eintrittswahrscheinlichkeit und Schwere
der mit der Verarbeitung verbundenen
Gefahren für die Rechtsgüter der
betroffenen Personen zu berücksichtigen.
Insbesondere sind die Verarbeitung
personenbezogener Daten und die
Auswahl und Gestaltung von
Datenverarbeitungssystemen an dem Ziel
auszurichten, so wenig
personenbezogene Daten wie möglich zu
verarbeiten. Personenbezogene Daten
sind zum frühestmöglichen Zeitpunkt zu
anonymisieren oder zu
pseudonymisieren, soweit dies nach dem
Verarbeitungszweck möglich ist.
(2) Der Verantwortliche hat geeignete
technische und organisatorische
Maßnahmen zu treffen, die sicherstellen,
dass durch Voreinstellungen
grundsätzlich nur solche
personenbezogenen Daten verarbeitet
werden können, deren Verarbeitung für
den jeweiligen bestimmten
Verarbeitungszweck erforderlich ist.
Dies betrifft die Menge der erhobenen
Daten, den Umfang ihrer Verarbeitung,
ihre Speicherfrist und ihre
Zugänglichkeit. Die Maßnahmen müssen
insbesondere gewährleisten, dass die
Daten durch Voreinstellungen nicht
automatisiert einer unbestimmten Anzahl
von Personen zugänglich gemacht
werden können.
§ 72 Unterscheidung zwischen
verschiedenen Kategorien
betroffener Personen
Der Verantwortliche hat bei der
Verarbeitung personenbezogener Daten
so weit wie möglich zwischen den
verschiedenen Kategorien betroffener
Personen zu unterscheiden. Dies betrifft
insbesondere folgende Kategorien:
1. Personen, gegen die ein begründeter
Verdacht besteht, dass sie eine
Straftat begangen haben,
2. Personen, gegen die ein begründeter
Verdacht besteht, dass sie in naher
Zukunft eine Straftat begehen
werden,
3. verurteilte Straftäter,
4. Opfer einer Straftat oder Personen,
bei denen bestimmte Tatsachen
darauf hindeuten, dass sie Opfer
einer Straftat sein könnten, und
5. andere Personen wie insbesondere
Zeugen, Hinweisgeber oder Personen,
die mit den in den Nummern 1 bis 4
genannten Personen in Kontakt oder
Verbindung stehen.
§ 73 Unterscheidung zwischen
Tatsachen und persönlichen
Einschätzungen
Der Verantwortliche hat bei der
Verarbeitung so weit wie möglich
danach zu unterscheiden, ob
personenbezogene Daten auf Tatsachen
oder auf persönlichen Einschätzungen
beruhen. Zu diesem Zweck soll er,
soweit dies im Rahmen der jeweiligen
Verarbeitung möglich und angemessen
ist, Beurteilungen, die auf persönlichen
Einschätzungen beruhen, als solche
kenntlich machen. Es muss außerdem
feststellbar sein, welche Stelle die
Unterlagen führt, die der auf einer
persönlichen Einschätzung beruhenden
Beurteilung zugrunde liegen.
§ 74 Verfahren bei Übermittlungen
(1) Der Verantwortliche hat
angemessene Maßnahmen zu ergreifen,
um zu gewährleisten, dass
personenbezogene Daten, die unrichtig
oder nicht mehr aktuell sind, nicht
übermittelt oder sonst zur Verfügung
gestellt werden. Zu diesem Zweck hat
er, soweit dies mit angemessenem
Aufwand möglich ist, die Qualität der
Daten vor ihrer Übermittlung oder
Bereitstellung zu überprüfen. Bei jeder
Übermittlung personenbezogener Daten
hat er zudem, soweit dies möglich und
angemessen ist, Informationen
beizufügen, die es dem Empfänger
gestatten, die Richtigkeit, die
Vollständigkeit und die Zuverlässigkeit
der Daten sowie deren Aktualität zu
beurteilen.
(2) Gelten für die Verarbeitung von
personenbezogenen Daten besondere
Bedingungen, so hat bei
Datenübermittlungen die übermittelnde
Stelle den Empfänger auf diese
Bedingungen und die Pflicht zu ihrer
Beachtung hinzuweisen. Die
Hinweispflicht kann dadurch erfüllt
werden, dass die Daten entsprechend
markiert werden.
(3) Die übermittelnde Stelle darf auf
Empfänger in anderen Mitgliedstaaten
der Europäischen Union und auf
Einrichtungen und sonstige Stellen, die
nach den Kapiteln 4 und 5 des Titels V
des Dritten Teils des Vertrags über die
Arbeitsweise der Europäischen Union
errichtet wurden, keine Bedingungen
anwenden, die nicht auch für
entsprechende innerstaatliche
Datenübermittlungen gelten.
§ 75 Berichtigung und Löschung
personenbezogener Daten sowie
Einschränkung der Verarbeitung
(1) Der Verantwortliche hat
personenbezogene Daten zu berichtigen,
wenn sie unrichtig sind.
(2) Der Verantwortliche hat
personenbezogene Daten unverzüglich zu
löschen, wenn ihre Verarbeitung
unzulässig ist, sie zur Erfüllung einer
rechtlichen Verpflichtung gelöscht
werden müssen oder ihre Kenntnis für
seine Aufgabenerfüllung nicht mehr
erforderlich ist.
(3) § 58 Absatz 3 bis 5 ist
entsprechend anzuwenden. Sind
unrichtige personenbezogene Daten oder
personenbezogene Daten unrechtmäßig
übermittelt worden, ist auch dies dem
Empfänger mitzuteilen.
(4) Unbeschadet in Rechtsvorschriften
festgesetzter Höchstspeicher- oder
Löschfristen hat der Verantwortliche für
die Löschung von personenbezogenen
Daten oder eine regelmäßige
Überprüfung der Notwendigkeit ihrer
Speicherung angemessene Fristen
vorzusehen und durch
verfahrensrechtliche Vorkehrungen
sicherzustellen, dass diese Fristen
eingehalten werden.
§ 76 Protokollierung
(1) In automatisierten
Verarbeitungssystemen haben
Verantwortliche und Auftragsverarbeiter
mindestens die folgenden
Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich
Übermittlung,
5. Kombination und
6. Löschung.
(2) Die Protokolle über Abfragen und
Offenlegungen müssen es ermöglichen,
die Begründung, das Datum und die
Uhrzeit dieser Vorgänge und so weit
wie möglich die Identität der Person,
die die personenbezogenen Daten
abgefragt oder offengelegt hat, und die
Identität des Empfängers der Daten
festzustellen.
(3) Die Protokolle dürfen ausschließlich
für die Überprüfung der Rechtmäßigkeit
der Datenverarbeitung durch die
Datenschutzbeauftragte oder den
Datenschutzbeauftragten, die
Bundesbeauftragte oder den
Bundesbeauftragten und die betroffene
Person sowie für die Eigenüberwachung,
für die Gewährleistung der Integrität
und Sicherheit der personenbezogenen
Daten und für Strafverfahren verwendet
werden.
(4) Die Protokolldaten sind am Ende
des auf deren Generierung folgenden
Jahres zu löschen.
(5) Der Verantwortliche und der
Auftragsverarbeiter haben die Protokolle
der oder dem Bundesbeauftragten auf
Anforderung zur Verfügung zu stellen.
§ 77 Vertrauliche Meldung von
Verstößen
Der Verantwortliche hat zu ermöglichen,
dass ihm vertrauliche Meldungen über in
seinem Verantwortungsbereich
erfolgende Verstöße gegen
Datenschutzvorschriften zugeleitet
werden können.
Kapitel 5
Datenübermittlungen an
Drittstaaten und an internationale
Organisationen
§ 78 Allgemeine Voraussetzungen
(1) Die Übermittlung personenbezogener
Daten an Stellen in Drittstaaten oder an
internationale Organisationen ist bei
Vorliegen der übrigen für
Datenübermittlungen geltenden
Voraussetzungen zulässig, wenn
1. die Stelle oder internationale
Organisation für die in § 45
genannten Zwecke zuständig ist und
2. die Europäische Kommission gemäß
Artikel 36 Absatz 3 der Richtlinie
(EU) 2016/680 einen
Angemessenheitsbeschluss gefasst
hat.
(2) Die Übermittlung personenbezogener
Daten hat trotz des Vorliegens eines
Angemessenheitsbeschlusses im Sinne
des Absatzes 1 Nummer 2 und des zu
berücksichtigenden öffentlichen
Interesses an der Datenübermittlung zu
unterbleiben, wenn im Einzelfall ein
datenschutzrechtlich angemessener und
die elementaren Menschenrechte
wahrender Umgang mit den Daten beim
Empfänger nicht hinreichend gesichert
ist oder sonst überwiegende
schutzwürdige Interessen einer
betroffenen Person entgegenstehen. Bei
seiner Beurteilung hat der
Verantwortliche maßgeblich zu
berücksichtigen, ob der Empfänger im
Einzelfall einen angemessenen Schutz
der übermittelten Daten garantiert.
(3) Wenn personenbezogene Daten, die
aus einem anderen Mitgliedstaat der
Europäischen Union übermittelt oder zur
Verfügung gestellt wurden, nach Absatz
1 übermittelt werden sollen, muss diese
Übermittlung zuvor von der zuständigen
Stelle des anderen Mitgliedstaats
genehmigt werden. Übermittlungen ohne
vorherige Genehmigung sind nur dann
zulässig, wenn die Übermittlung
erforderlich ist, um eine unmittelbare
und ernsthafte Gefahr für die öffentliche
Sicherheit eines Staates oder für die
wesentlichen Interessen eines
Mitgliedstaats abzuwehren, und die
vorherige Genehmigung nicht rechtzeitig
eingeholt werden kann. Im Fall des
Satzes 2 ist die Stelle des anderen
Mitgliedstaats, die für die Erteilung der
Genehmigung zuständig gewesen wäre,
unverzüglich über die Übermittlung zu
unterrichten.
(4) Der Verantwortliche, der Daten
nach Absatz 1 übermittelt, hat durch
geeignete Maßnahmen sicherzustellen,
dass der Empfänger die übermittelten
Daten nur dann an andere Drittstaaten
oder andere internationale
Organisationen weiterübermittelt, wenn
der Verantwortliche diese Übermittlung
zuvor genehmigt hat. Bei der
Entscheidung über die Erteilung der
Genehmigung hat der Verantwortliche
alle maßgeblichen Faktoren zu
berücksichtigen, insbesondere die
Schwere der Straftat, den Zweck der
ursprünglichen Übermittlung und das in
dem Drittstaat oder der internationalen
Organisation, an das oder an die die
Daten weiterübermittelt werden sollen,
bestehende Schutzniveau für
personenbezogene Daten. Eine
Genehmigung darf nur dann erfolgen,
wenn auch eine direkte Übermittlung an
den anderen Drittstaat oder die andere
internationale Organisation zulässig
wäre. Die Zuständigkeit für die
Erteilung der Genehmigung kann auch
abweichend geregelt werden.
§ 79 Datenübermittlung bei
geeigneten Garantien
(1) Liegt entgegen § 78 Absatz 1
Nummer 2 kein Beschluss nach Artikel
36 Absatz 3 der Richtlinie (EU)
2016/680 vor, ist eine Übermittlung bei
Vorliegen der übrigen Voraussetzungen
des § 78 auch dann zulässig, wenn
1. in einem rechtsverbindlichen
Instrument geeignete Garantien für
den Schutz personenbezogener Daten
vorgesehen sind oder
2. der Verantwortliche nach Beurteilung
aller Umstände, die bei der
Übermittlung eine Rolle spielen, zu
der Auffassung gelangt ist, dass
geeignete Garantien für den Schutz
personenbezogener Daten bestehen.
(2) Der Verantwortliche hat
Übermittlungen nach Absatz 1 Nummer
2 zu dokumentieren. Die Dokumentation
hat den Zeitpunkt der Übermittlung, die
Identität des Empfängers, den Grund
der Übermittlung und die übermittelten
personenbezogenen Daten zu enthalten.
Sie ist der oder dem
Bundesbeauftragten auf Anforderung zur
Verfügung zu stellen.
(3) Der Verantwortliche hat die
Bundesbeauftragte oder den
Bundesbeauftragten zumindest jährlich
über Übermittlungen zu unterrichten, die
aufgrund einer Beurteilung nach Absatz
1 Nummer 2 erfolgt sind. In der
Unterrichtung kann er die Empfänger
und die Übermittlungszwecke
angemessen kategorisieren.
§ 80 Datenübermittlung ohne
geeignete Garantien
(1) Liegt entgegen § 78 Absatz 1
Nummer 2 kein Beschluss nach Artikel
36 Absatz 3 der Richtlinie (EU)
2016/680 vor und liegen auch keine
geeigneten Garantien im Sinne des § 79
Absatz 1 vor, ist eine Übermittlung bei
Vorliegen der übrigen Voraussetzungen
des § 78 auch dann zulässig, wenn die
Übermittlung erforderlich ist
1. zum Schutz lebenswichtiger
Interessen einer natürlichen Person,
2. zur Wahrung berechtigter Interessen
der betroffenen Person,
3. zur Abwehr einer gegenwärtigen und
erheblichen Gefahr für die öffentliche
Sicherheit eines Staates,
4. im Einzelfall für die in § 45
genannten Zwecke oder
5. im Einzelfall zur Geltendmachung,
Ausübung oder Verteidigung von
Rechtsansprüchen im Zusammenhang
mit den in § 45 genannten Zwecken.
(2) Der Verantwortliche hat von einer
Übermittlung nach Absatz 1 abzusehen,
wenn die Grundrechte der betroffenen
Person das öffentliche Interesse an der
Übermittlung überwiegen.
(3) Für Übermittlungen nach Absatz 1
gilt § 79 Absatz 2 entsprechend.
§ 81 Sonstige Datenübermittlung an
Empfänger in Drittstaaten
(1) Verantwortliche können bei
Vorliegen der übrigen für die
Datenübermittlung in Drittstaaten
geltenden Voraussetzungen im
besonderen Einzelfall personenbezogene
Daten unmittelbar an nicht in § 78
Absatz 1 Nummer 1 genannte Stellen in
Drittstaaten übermitteln, wenn die
Übermittlung für die Erfüllung ihrer
Aufgaben unbedingt erforderlich ist und
1. m konkreten Fall keine Grundrechte
der betroffenen Person das
öffentliche Interesse an einer
Übermittlung überwiegen,
2. die Übermittlung an die in § 78
Absatz 1 Nummer 1 genannten
Stellen wirkungslos oder ungeeignet
wäre, insbesondere weil sie nicht
rechtzeitig durchgeführt werden
kann, und
3. der Verantwortliche dem Empfänger
die Zwecke der Verarbeitung mitteilt
und ihn darauf hinweist, dass die
übermittelten Daten nur in dem
Umfang verarbeitet werden dürfen,
in dem ihre Verarbeitung für diese
Zwecke erforderlich ist.
(2) Im Fall des Absatzes 1 hat der
Verantwortliche die in § 78 Absatz 1
Nummer 1 genannten Stellen
unverzüglich über die Übermittlung zu
unterrichten, sofern dies nicht
wirkungslos oder ungeeignet ist.
(3) Für Übermittlungen nach Absatz 1
gilt § 79 Absatz 2 und 3 entsprechend.
(4) Bei Übermittlungen nach Absatz 1
hat der Verantwortliche den Empfänger
zu verpflichten, die übermittelten
personenbezogenen Daten ohne seine
Zustimmung nur für den Zweck zu
verarbeiten, für den sie übermittelt
worden sind.
(5) Abkommen im Bereich der
justiziellen Zusammenarbeit in
Strafsachen und der polizeilichen
Zusammenarbeit bleiben unberührt.
Kapitel 6
Zusammenarbeit der
Aufsichtsbehörden
§ 82 Gegenseitige Amtshilfe
(1) Die oder der Bundesbeauftragte hat
den Datenschutzaufsichtsbehörden in
anderen Mitgliedstaaten der
Europäischen Union Informationen zu
übermitteln und Amtshilfe zu leisten,
soweit dies für eine einheitliche
Umsetzung und Anwendung der
Richtlinie (EU) 2016/680 erforderlich
ist. Die Amtshilfe betrifft insbesondere
Auskunftsersuchen und
aufsichtsbezogene Maßnahmen,
beispielsweise Ersuchen um
Konsultation oder um Vornahme von
Nachprüfungen und Untersuchungen.
(2) Die oder der Bundesbeauftragte hat
alle geeigneten Maßnahmen zu
ergreifen, um Amtshilfeersuchen
unverzüglich und spätestens innerhalb
eines Monats nach deren Eingang
nachzukommen.
(3) Die oder der Bundesbeauftragte darf
Amtshilfeersuchen nur ablehnen, wenn
1. sie oder er für den Gegenstand des
Ersuchens oder für die Maßnahmen,
die sie oder er durchführen soll,
nicht zuständig ist oder
2. ein Eingehen auf das Ersuchen gegen
Rechtsvorschriften verstoßen würde.
(4) Die oder der Bundesbeauftragte hat
die ersuchende Aufsichtsbehörde des
anderen Staates über die Ergebnisse
oder gegebenenfalls über den Fortgang
der Maßnahmen zu informieren, die
getroffen wurden, um dem
Amtshilfeersuchen nachzukommen. Sie
oder er hat im Fall des Absatzes 3 die
Gründe für die Ablehnung des
Ersuchens zu erläutern.
(5) Die oder der Bundesbeauftragte hat
die Informationen, um die sie oder er von der Aufsichtsbehörde des anderen
Staates ersucht wurde, in der Regel
elektronisch und in einem
standardisierten Format zu übermitteln.
(6) Die oder der Bundesbeauftragte hat
Amtshilfeersuchen kostenfrei zu
erledigen, soweit sie oder er nicht im
Einzelfall mit der Aufsichtsbehörde des
anderen Staates die Erstattung
entstandener Ausgaben vereinbart hat.
(7) Ein Amtshilfeersuchen der oder des
Bundesbeauftragten hat alle
erforderlichen Informationen zu
enthalten; hierzu gehören insbesondere
der Zweck und die Begründung des
Ersuchens. Die auf das Ersuchen
übermittelten Informationen dürfen
ausschließlich zu dem Zweck verwendet
werden, zu dem sie angefordert wurden.
Kapitel 7
Haftung und Sanktionen
§ 83 Schadensersatz und
Entschädigung
(1) Hat ein Verantwortlicher einer
betroffenen Person durch eine
Verarbeitung personenbezogener Daten,
die nach diesem Gesetz oder nach
anderen auf ihre Verarbeitung
anwendbaren Vorschriften rechtswidrig
war, einen Schaden zugefügt, ist er
oder sein Rechtsträger der betroffenen
Person zum Schadensersatz verpflichtet.
Die Ersatzpflicht entfällt, soweit bei
einer nicht automatisierten Verarbeitung
der Schaden nicht auf ein Verschulden
des Verantwortlichen zurückzuführen ist.
(2) Wegen eines Schadens, der nicht
Vermögensschaden ist, kann die
betroffene Person eine angemessene
Entschädigung in Geld verlangen.
(3) Lässt sich bei einer automatisierten
Verarbeitung personenbezogener Daten
nicht ermitteln, welche von mehreren
beteiligten Verantwortlichen den
Schaden verursacht hat, so haftet jeder
Verantwortliche beziehungsweise sein
Rechtsträger.
(4) Hat bei der Entstehung des
Schadens ein Verschulden der
betroffenen Person mitgewirkt, ist §
254 des Bürgerlichen Gesetzbuchs
entsprechend anzuwenden.
(5) Auf die Verjährung finden die für
unerlaubte Handlungen geltenden
Verjährungsvorschriften des Bürgerlichen
Gesetzbuchs entsprechende Anwendung.
§ 84 Strafvorschriften
Für Verarbeitungen personenbezogener
Daten durch öffentliche Stellen im
Rahmen von Tätigkeiten nach § 45 Satz
1, 3 oder 4 findet § 42 entsprechende
Anwendung.
Teil 4
Besondere Bestimmungen für
Verarbeitungen im Rahmen
von nicht in die
Anwendungsbereiche der
Verordnung (EU) 2016/679
und der Richtlinie (EU)
2016/680 fallenden
Tätigkeiten
§ 85 Verarbeitung
personenbezogener Daten im
Rahmen von nicht in die
Anwendungs- bereiche der
Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 fallenden
Tätigkeiten
(1) Die Übermittlung personenbezogener
Daten an einen Drittstaat oder an überoder zwischenstaatliche Stellen oder
internationale Organisationen im Rahmen
von nicht in die Anwendungsbereiche
der Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 fallenden
Tätigkeiten ist über die bereits gemäß
der Verordnung (EU) 2016/679
zulässigen Fälle hinaus auch dann
zulässig, wenn sie zur Erfüllung eigener
Aufgaben aus zwingenden Gründen der
Verteidigung oder zur Erfüllung überoder zwischenstaatlicher Verpflichtungen
einer öffentlichen Stelle des Bundes auf
dem Gebiet der Krisenbewältigung oder
Konfliktverhinderung oder für
humanitäre Maßnahmen erforderlich ist.
Der Empfänger ist darauf hinzuweisen,
dass die übermittelten Daten nur zu
dem Zweck verwendet werden dürfen,
zu dem sie übermittelt wurden.
(2) Für Verarbeitungen im Rahmen von
nicht in die Anwendungsbereiche der
Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 fallenden
Tätigkeiten durch Dienststellen im
Geschäftsbereich des
Bundesministeriums der Verteidigung
gilt § 16 Absatz 4 nicht, soweit das
Bundesministerium der Verteidigung im
Einzelfall feststellt, dass die Erfüllung
der dort genannten Pflichten die
Sicherheit des Bundes gefährden würde.
(3) Für Verarbeitungen im Rahmen von
nicht in die Anwendungsbereiche der
Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 fallenden
Tätigkeiten durch öffentliche Stellen des
Bundes besteht keine Informationspflicht
gemäß Artikel 13 Absatz 1 und 2 der
Verordnung (EU) 2016/679, wenn
1. es sich um Fälle des § 32 Absatz 1
Nummer 1 bis 3 handelt oder
2. durch ihre Erfüllung Informationen
offenbart würden, die nach einer
Rechtsvorschrift oder ihrem Wesen
nach, insbesondere wegen der
überwiegenden berechtigten
Interessen eines Dritten, geheim
gehalten werden müssen, und
deswegen das Interesse der
betroffenen Person an der Erteilung
der Information zurücktreten muss.
Ist die betroffene Person in den Fällen
des Satzes 1 nicht zu informieren,
besteht auch kein Recht auf Auskunft. §
32 Absatz 2 und § 33 Absatz 2 finden
keine Anwendung.
§ 86 Verarbeitung
personenbezogener Daten für
Zwecke staatlicher Auszeichnungen
und Ehrungen
(1) Zur Vorbereitung und Durchführung
staatlicher Verfahren bei
Auszeichnungen und Ehrungen
dürfen sowohl die zuständigen als auch
andere öffentliche und nichtöffentliche
Stellen die dazu
erforderlichen personenbezogenen Daten,
einschließlich besonderer Kategorien
personenbezogener
Daten im Sinne des Artikels 9 Absatz 1
der Verordnung (EU) 2016/679, auch
ohne Kenntnis der
betroffenen Person verarbeiten. Für
nichtöffentliche Stellen gilt insoweit § 1
Absatz 8
entsprechend. Eine Verarbeitung der
personenbezogenen Daten nach Satz 1
für andere Zwecke ist
nur mit Einwilligung der betroffenen
Person zulässig.
(2) Soweit eine Verarbeitung
ausschließlich für die in Absatz 1 Satz
1 genannten Zwecke erfolgt,
sind die Artikel 13 bis 16, 19 und 21
der Verordnung (EU) 2016/679 nicht
anzuwenden.
(3) Bei der Verarbeitung besonderer
Kategorien personenbezogener Daten im
Sinne des Artikels 9
Absatz 1 der Verordnung (EU)
2016/679 sieht der Verantwortliche
angemessene und spezifische
Maßnahmen zur Wahrung der Rechte
der betroffenen Person gemäß § 22
Absatz 2 vor.
