Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Bundesdatenschutzgesetz
BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundes-datenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdaten-schutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutz-gesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundes-datenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdaten-schutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutz-gesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundes-datenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdaten-schutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutz-gesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundes-datenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdaten-schutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutz-gesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG Bundesdatenschutzgesetz BDSG
Impressum
Herausgeber: DieLandesbeauftragtefürdenDatenschutz undfürdasRechtaufAkteneinsichtBrandenburg StahnsdorferDamm77 14532Kleinmachnow
Telefon: 033203356-0 Telefax: 033203356-49 E-Mail: [email protected] Internet: https://www.LDA.Brandenburg.de Stand: 6.aktualisierteAuflage,August2018
Druck: BrandenburgischeUniversitätsdruckerei undVerlagsgesellschaftPotsdammbH
Bundesdatenschutzgesetz (BDSG)
5Inhalt
Vorwort 11
Bundesdatenschutzgesetz
Teil 1 GemeinsameBestimmungen
Kapitel1 AnwendungsbereichundBegriffsbestimmungen§1 AnwendungsbereichdesGesetzes 13§2 Begriffsbestimmungen 15
Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten§3 VerarbeitungpersonenbezogenerDatendurchöffentlicheStellen 16§4 VideoüberwachungöffentlichzugänglicherRäume 17
Kapitel3 DatenschutzbeauftragteöffentlicherStellen§5 Benennung 18§6 Stellung 19§7 Aufgaben 20
Kapitel4 DieoderderBundesbeauftragtefürdenDatenschutzunddieIn-formationsfreiheit
§8 Errichtung 21§9 Zuständigkeit 22§10 Unabhängigkeit 22§11 ErnennungundAmtszeit 22§12 Amtsverhältnis 23§13 RechteundPflichten 24§14 Aufgaben 26§15 Tätigkeitsbericht 29§16 Befugnisse 29
6
Kapitel 5 Vertretung im Europäischen Datenschutzausschuss, zentrale An-laufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundesund der Länder in Angelegenheiten der Europäischen Union
§17 VertretungimEuropäischenDatenschutzausschuss,zentraleAnlaufstelle 31
§18 VerfahrenderZusammenarbeitderAufsichtsbehördendesBundesundderLänder 31
§19 Zuständigkeiten 32
Kapitel6 Rechtsbehelfe§20 GerichtlicherRechtsschutz 33§21 AntragderAufsichtsbehördeaufgerichtlicheEntscheidungbei
angenommenerRechtswidrigkeiteinesBeschlussesderEuropäischenKommission 34
Teil 2 DurchführungsbestimmungenfürVerarbeitungenzuZweckengemäßArtikel2derVerordnung(EU)2016/679
Kapitel 1 Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Abschnitt1 VerarbeitungbesondererKategorienpersonenbezogenerDatenundVerarbeitungzuanderenZwecken
§22 VerarbeitungbesondererKategorienpersonenbezogenerDaten 36§23 VerarbeitungzuanderenZweckendurchöffentlicheStellen 39§24 VerarbeitungzuanderenZweckendurchnichtöffentlicheStellen 40§25 DatenübermittlungendurchöffentlicheStellen 40
Abschnitt2 BesondereVerarbeitungssituationen
§26 DatenverarbeitungfürZweckedesBeschäftigungsverhältnisses 41
7Inhalt
§27 DatenverarbeitungzuwissenschaftlichenoderhistorischenForschungszweckenundzustatistischenZwecken 44
§28 DatenverarbeitungzuimöffentlichenInteresseliegendenArchivzwecken 45
§29 RechtederbetroffenenPersonundaufsichtsbehördlicheBefugnisseimFallvonGeheimhaltungspflichten 46
§30 Verbraucherkredite 47§31 SchutzdesWirtschaftsverkehrsbeiScoringundBonitätsauskünften 47
Kapitel2 RechtederbetroffenenPerson§32 InformationspflichtbeiErhebungvonpersonenbezogenenDatenbeider
betroffenenPerson 49§33 Informationspflicht,wenndiepersonenbezogenenDatennichtbeider
betroffenenPersonerhobenwurden 50§34 AuskunftsrechtderbetroffenenPerson 52§35 RechtaufLöschung 53§36 Widerspruchsrecht 54§37 AutomatisierteEntscheidungenimEinzelfalleinschließlichProfiling 54
Kapitel3 PflichtenderVerantwortlichenundAuftragsverarbeiter§38 DatenschutzbeauftragtenichtöffentlicherStellen 55§39 Akkreditierung 55
Kapitel4 AufsichtsbehördefürdieDatenverarbeitungdurchnichtöffentli-cheStellen
§40 AufsichtsbehördenderLänder 56
Kapitel5 Sanktionen§41 AnwendungderVorschriftenüberdasBußgeld-undStrafverfahren 58§42 Strafvorschriften 58§43 Bußgeldvorschriften 59
Kapitel6 Rechtsbehelfe§44 KlagengegendenVerantwortlichenoderAuftragsverarbeiter 60
8
Teil 3 BestimmungenfürVerarbeitungenzuZweckengemäßArtikel1Absatz1derRichtlinie(EU)2016/680
Kapitel1 Anwendungsbereich, Begriffsbestimmungen und allgemeineGrundsätzefürdieVerarbeitungpersonenbezogenerDaten
§45 Anwendungsbereich 61§46 Begriffsbestimmungen 61§47 AllgemeineGrundsätzefürdieVerarbeitungpersonenbezogenerDaten 64
Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten§48 VerarbeitungbesondererKategorienpersonenbezogenerDaten 65§49 VerarbeitungzuanderenZwecken 66§50 Verarbeitungzuarchivarischen,wissenschaftlichenundstatistischen
Zwecken 67§51 Einwilligung 67§52 VerarbeitungaufWeisungdesVerantwortlichen 68§53 Datengeheimnis 68§54 AutomatisierteEinzelentscheidung 68
Kapitel3 RechtederbetroffenenPerson§55 AllgemeineInformationenzuDatenverarbeitungen 69§56 BenachrichtigungbetroffenerPersonen 69§57 Auskunftsrecht 70§58 RechteaufBerichtigungundLöschungsowieEinschränkungder
Verarbeitung 73§59 VerfahrenfürdieAusübungderRechtederbetroffenenPerson 74§60 AnrufungderoderdesBundesbeauftragten 75§61 RechtsschutzgegenEntscheidungenderoderdesBundesbeauftragten
oderbeiderenoderdessenUntätigkeit 75
Kapitel4 PflichtenderVerantwortlichenundAuftragsverarbeiter§62 Auftragsverarbeitung 76§63 GemeinsamVerantwortliche 78
9Inhalt
§64 AnforderungenandieSicherheitderDatenverarbeitung 78§65 MeldungvonVerletzungendesSchutzespersonenbezogenerDatenan
dieoderdenBundesbeauftragten 81§66 BenachrichtigungbetroffenerPersonenbeiVerletzungendesSchutzes
personenbezogenerDaten 82§67 DurchführungeinerDatenschutz-Folgenabschätzung 83§68 ZusammenarbeitmitderoderdemBundesbeauftragten 84§69 AnhörungderoderdesBundesbeauftragten 85§70 VerzeichnisvonVerarbeitungstätigkeiten 86§71 DatenschutzdurchTechnikgestaltungunddatenschutzfreundliche
Voreinstellungen 88§72 UnterscheidungzwischenverschiedenenKategorienbetroffener
Personen 88§73 UnterscheidungzwischenTatsachenundpersönlichenEinschätzungen 89§74 VerfahrenbeiÜbermittlungen 89§75 BerichtigungundLöschungpersonenbezogenerDatensowie
EinschränkungderVerarbeitung 90§76 Protokollierung 91§77 VertraulicheMeldungvonVerstößen 92
Kapitel5 DatenübermittlungenanDrittstaatenundaninternationaleOrga-nisationen
§78 AllgemeineVoraussetzungen 92§79 DatenübermittlungbeigeeignetenGarantien 93§80 DatenübermittlungohnegeeigneteGarantien 94§81 SonstigeDatenübermittlunganEmpfängerinDrittstaaten 95
Kapitel6 ZusammenarbeitderAufsichtsbehörden§82 GegenseitigeAmtshilfe 96
Kapitel7 HaftungundSanktionen§83 SchadensersatzundEntschädigung 97§84 Strafvorschriften 98
10
Teil 4 BesondereBestimmungenfürVerarbeitungenimRahmenvonnichtindieAnwendungsbereichederVerordnung(EU)2016/679undderRichtlinie(EU)2016/680fallendenTätigkeiten
§85 VerarbeitungpersonenbezogenerDatenimRahmenvonnichtindieAnwendungsbereichederVerordnung(EU)2016/679undderRichtlinie(EU)2016/680fallendenTätigkeiten 98
11Inhalt
1212
13Vorwort 13Vorwort
Vorwort
Seit dem 25. Mai 2018 gilt in allen Mitgliedstaaten der Europäi-schen Union mit der Datenschutz-Grundverordnung (VerordnungEU2016/679)eineinheitlicherStandard.DiedirektanwendbarenVorschriften sollen den freien Verkehr personenbezogener DatenimWirtschaftslebenermöglichenundgleichzeitigeineneffektivenSchutzderPrivatsphäregewährleisten.
Die Datenschutz-Grundverordnung ersetzt das bisherige Daten-schutzrecht weitgehend. Das neu gefasste Brandenburgische Da-tenschutzgesetz füllt ihrebegrenztenRegelungsspielräume fürdieDatenverarbeitung durch öffentliche Stellen aus. Spezialgesetzli-che Regelungen sind gerade in diesem Bereich jedoch weiterhinzubeachtenundwurdenzumgroßenTeilandieErfordernissedeseuropäischenRechts angepasst.AuchdasneugefassteBundesda-tenschutzgesetzergänztdieDatenschutz-Grundverordnung;esgiltfürdieDatenverarbeitungdurchnichtöffentlicheStellenwieUnter-nehmenoderVereine.
DieLandesbeauftragtefürdenDatenschutzundfürdasRechtaufAkteneinsicht bleibt als unabhängigeAufsichtsbehörde sowohl fürdie brandenburgischen öffentlichen als auch für nicht öffentlicheStellen,diehierihrenSitzhaben,zuständig.Brandenburgerkönnensich imFalleeinergrenzübergreifendenDatenverarbeitungkünftigzudemüberUnternehmenmitSitzaußerhalbDeutschlandsbeimirbeschweren.
DieseBroschüreenthältdenTextdesBundesdatenschutzgesetzes.BittebeachtenSie,dassseineRegelungenlediglicheineErgänzungderDatenschutz-GrundverordnungfürdieDatenverarbeitungdurchnicht öffentliche Stellen darstellen. Den Text der Datenschutz-Grundverordnung sowiedasBrandenburgischeDatenschutzgesetzmitseinenErgänzungenfürdieDatenverarbeitungöffentlicherStel-lengebeichjeweilszusätzlichinFormeinerBroschüreheraus.
Für Polizei und Justiz führt die Richtlinie für Justiz und Inneres(RichtlinieEU2016/680)zudemerstmalseineMindestharmonisie-runginnerhalbderMitgliedstaatenderEuropäischenUnionherbei.Siewarbiszum6.Mai2018 innationalesundLandesrechtumzu-setzen.Dies geschah jedocherst zum25.Mai2018.Derzeit sind
14
fürdiebrandenburgischeJustiz,soweitsienicht indensachlichenAnwendungsbereich derVerordnung (EU) 2016/679 fällt, dieVor-schriften der Datenschutz-Grundverordnung und des Brandenbur-gischenDatenschutzgesetzes (BbgDSG)dennochentsprechendan-zuwenden (§2Abs.6BbgDSG).DieDatenverarbeitungdurchdiebrandenburgischePolizeirichtetsichübergangsweisenachdembiszum24.Mai2018geltendenBrandenburgischenDatenschutzrecht(§35Abs.2BbgDSG).
Weitere Informationen zurAuslegung und Umsetzung des Daten-schutzrechtssteheninmeinemInternetangebotzurVerfügung.
DagmarHartge LandesbeauftragtefürdenDatenschutz undfürdasRechtaufAkteneinsicht
Bundesdatenschutzgesetz
15Bundesdatenschutzgesetz Teil 1
Bundesdatenschutzgesetz–BDSGvom30.Juni2017(BGBl.IS.2097)
Teil1 GemeinsameBestimmungen
Kapitel1 Anwendungsbereich und Begriffsbe-stimmungen
§ 1 Anwendungsbereich des Gesetzes
(1)DiesesGesetzgiltfürdieVerarbeitungpersonenbezogenerDatendurch
1. öffentlicheStellendesBundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nichtdurchLandesgesetzgeregeltistundsoweitsie
a) Bundesrechtausführenoder
b) alsOrganederRechtspflegetätigwerdenundessichnichtumVerwaltungsangelegenheitenhandelt.
FürnichtöffentlicheStellengiltdiesesGesetzfürdieganzoderteil-weiseautomatisierteVerarbeitungpersonenbezogenerDatensowiedienichtautomatisierteVerarbeitungpersonenbezogenerDaten,dieineinemDateisystemgespeichertsindodergespeichertwerdensol-len,esseidenn,dieVerarbeitungdurchnatürlichePersonenerfolgtzurAusübungausschließlichpersönlicheroderfamiliärerTätigkeiten.
(2)AndereRechtsvorschriftendesBundesüberdenDatenschutzge-hendenVorschriftendiesesGesetzesvor.RegelnsieeinenSachver-halt,fürdendiesesGesetzgilt,nichtodernichtabschließend,findendieVorschriftendiesesGesetzesAnwendung.DieVerpflichtungzur
16
Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs-oderbesonderenAmtsgeheimnissen,dienichtaufgesetzlichenVor-schriftenberuhen,bleibtunberührt.
(3)DieVorschriftendiesesGesetzesgehendenendesVerwaltungs-verfahrensgesetzesvor,soweitbeiderErmittlungdesSachverhaltspersonenbezogeneDatenverarbeitetwerden.
(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. AufnichtöffentlicheStellenfindetesAnwendung,sofern
1. derVerantwortlicheoderAuftragsverarbeiterpersonenbezogeneDatenimInlandverarbeitet,
2. dieVerarbeitungpersonenbezogenerDatenimRahmenderTä-tigkeiteneinerinländischenNiederlassungdesVerantwortlichenoderAuftragsverarbeiterserfolgtoder
3. derVerantwortlicheoderAuftragsverarbeiterzwarkeineNieder-lassung ineinemMitgliedstaatderEuropäischenUnionoder ineinemanderenVertragsstaatdesAbkommensüberdenEuropäi-schenWirtschaftsraumhat,eraberindenAnwendungsbereichder Verordnung (EU) 2016/679 des Europäischen ParlamentsunddesRatesvom27.April2016zumSchutznatürlicherPer-sonenbeiderVerarbeitungpersonenbezogenerDaten,zumfrei-en Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG(Datenschutz-Grundverordnung)(ABl.L119vom4.5.2016,S.1;L314vom22.11.2016,S.72)fällt.
SoferndiesesGesetznichtgemäßSatz2Anwendungfindet,geltenfürdenVerantwortlichenoderAuftragsverarbeiternurdie§§8bis21,39bis44.
(5)DieVorschriftendiesesGesetzesfindenkeineAnwendung, so-weitdasRechtderEuropäischenUnion,imBesonderendieVerord-nung(EU)2016/679inderjeweilsgeltendenFassung,unmittelbargilt.
(6)BeiVerarbeitungenzuZweckengemäßArtikel2derVerordnung(EU)2016/679stehendieVertragsstaatendesAbkommensüberdenEuropäischenWirtschaftsraumunddieSchweizdenMitgliedstaaten
17Bundesdatenschutzgesetz Teil 1
derEuropäischenUniongleich.AndereStaatengelten insoweitalsDrittstaaten.
(7) BeiVerarbeitungen zu Zwecken gemäßArtikel 1Absatz 1 derRichtlinie (EU) 2016/680 des Europäischen Parlaments und desRatesvom27.April2016zumSchutznatürlicherPersonenbeiderVerarbeitungpersonenbezogenerDatendurchdiezuständigenBe-hörden zum Zwecke derVerhütung, Ermittlung, Aufdeckung oderVerfolgung von Straftaten oder der Strafvollstreckung sowie zumfreien Datenverkehr und zur Aufhebung des Rahmenbeschlusses2008/977/JIdesRates(ABl.L119vom4.5.2016,S.89)stehendiebei der Umsetzung, Anwendung und Entwicklung des Schengen-BesitzstandsassoziiertenStaatendenMitgliedstaatenderEuropäi-schenUniongleich.AndereStaatengelteninsoweitalsDrittstaaten.
(8)FürVerarbeitungenpersonenbezogenerDatendurchöffentlicheStellenimRahmenvonnichtindieAnwendungsbereichederVerord-nung(EU)2016/679undderRichtlinie(EU)2016/680fallendenTä-tigkeitenfindendieVerordnung(EU)2016/679unddieTeile1und2diesesGesetzesentsprechendAnwendung,soweitnichtindiesemGesetzodereinemanderenGesetzAbweichendesgeregeltist.
§ 2 Begriffsbestimmungen
(1)Öffentliche Stellen desBundes sind dieBehörden, dieOrganeder Rechtspflege und andere öffentlich-rechtlich organisierte Ein-richtungen des Bundes, der bundesunmittelbaren Körperschaften,derAnstaltenundStiftungendesöffentlichenRechts sowiederenVereinigungenungeachtetihrerRechtsform.
(2)ÖffentlicheStellenderLändersinddieBehörden,dieOrganederRechtspflege und andere öffentlich-rechtlich organisierte Einrich-tungen eines Landes, einer Gemeinde, eines GemeindeverbandesodersonstigerderAufsichtdesLandesunterstehender juristischerPersonendesöffentlichenRechtssowiederenVereinigungenunge-achtetihrerRechtsform.
(3)VereinigungendesprivatenRechtsvonöffentlichenStellendesBundesundderLänder,dieAufgabenderöffentlichenVerwaltungwahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicherStellenalsöffentlicheStellendesBundes,wenn
18
1. sieüberdenBereicheinesLandeshinaustätigwerdenoder
2. demBunddieabsoluteMehrheitderAnteilegehörtoderdieab-soluteMehrheitderStimmenzusteht.
AndernfallsgeltensiealsöffentlicheStellenderLänder.
(4) Nichtöffentliche Stellen sind natürliche und juristische Perso-nen,GesellschaftenundanderePersonenvereinigungendespriva-tenRechts,soweitsienichtunterdieAbsätze1bis3fallen.Nimmteine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichenVerwaltungwahr, istsieinsoweitöffentlicheStelleimSinnediesesGesetzes.
(5)ÖffentlicheStellendesBundesgeltenalsnichtöffentlicheStellenimSinnediesesGesetzes,soweitsiealsöffentlich-rechtlicheUnter-nehmenamWettbewerbteilnehmen.AlsnichtöffentlicheStellenimSinnediesesGesetzesgeltenauchöffentlicheStellenderLänder,so-weitsiealsöffentlich-rechtlicheUnternehmenamWettbewerbteil-nehmen,BundesrechtausführenundderDatenschutznichtdurchLandesgesetzgeregeltist.
Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
DieVerarbeitungpersonenbezogenerDatendurcheineöffentlicheStelleistzulässig,wennsiezurErfüllungderinderZuständigkeitdesVerantwortlichenliegendenAufgabeoderinAusübungöffentlicherGewalt, die demVerantwortlichen übertragenwurde, erforderlichist.
19Bundesdatenschutzgesetz Teil 1
§ 4 Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischenEinrichtungen (Videoüberwachung) ist nur zulässig,soweitsie
1. zurAufgabenerfüllungöffentlicherStellen,
2. zurWahrnehmungdesHausrechtsoder
3. zurWahrnehmungberechtigterInteressenfürkonkretfestgeleg-teZwecke
erforderlichistundkeineAnhaltspunktebestehen,dassschutzwür-digeInteressenderBetroffenenüberwiegen.BeiderVideoüberwa-chungvon
1. öffentlichzugänglichengroßflächigenAnlagen,wieinsbesondereSport-, Versammlungs- undVergnügungsstätten, Einkaufszent-renoderParkplätzen,oder
2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrich-tungendesöffentlichenSchienen-,Schiffs-undBusverkehrs
giltderSchutzvonLeben,GesundheitoderFreiheitvondortaufhäl-tigenPersonenalseinbesonderswichtigesInteresse.
(2)DerUmstandderBeobachtungundderNameunddieKontakt-datendesVerantwortlichensinddurchgeeigneteMaßnahmenzumfrühestmöglichenZeitpunkterkennbarzumachen.
(3)DieSpeicherungoderVerwendungvonnachAbsatz1erhobenenDatenistzulässig,wennsiezumErreichendesverfolgtenZweckser-forderlichistundkeineAnhaltspunktebestehen,dassschutzwürdigeInteressenderBetroffenenüberwiegen.Absatz1Satz2giltentspre-chend. Für einen anderen Zweck dürfen sie nurweiterverarbeitetwerden,soweitdieszurAbwehrvonGefahrenfürdiestaatlicheundöffentlicheSicherheitsowiezurVerfolgungvonStraftatenerforder-lichist.
(4) Werden durch Videoüberwachung erhobene Daten einer be-stimmtenPersonzugeordnet,sobestehtdiePflichtzurInformation
20
derbetroffenenPersonüberdieVerarbeitunggemäßdenArtikeln13und14derVerordnung(EU)2016/679.§32giltentsprechend.
(5)DieDatensindunverzüglichzulöschen,wennsiezurErreichungdesZwecksnichtmehrerforderlichsindoderschutzwürdigeInter-essenderBetroffeneneinerweiterenSpeicherungentgegenstehen.
Kapitel3 Datenschutzbeauftragte öffentlicherStellen
§ 5 Benennung
(1)ÖffentlicheStellenbenenneneineDatenschutzbeauftragteodereinenDatenschutzbeauftragten.DiesgiltauchfüröffentlicheStellennach§2Absatz5,dieamWettbewerbteilnehmen.
(2)FürmehrereöffentlicheStellenkannunterBerücksichtigungih-rerOrganisationsstrukturundihrerGrößeeinegemeinsameDaten-schutzbeauftragte oder ein gemeinsamerDatenschutzbeauftragterbenanntwerden.
(3) Die oder der Datenschutzbeauftragte wird auf der Grundlageihrer oder seiner beruflichenQualifikationund insbesondere ihresoder seinesFachwissensbenannt,das sieoderer aufdemGebietdesDatenschutzrechtsundderDatenschutzpraxisbesitzt,sowieaufderGrundlage ihrer oder seiner Fähigkeit zur Erfüllung der in § 7genanntenAufgaben.
(4)DieoderderDatenschutzbeauftragtekannBeschäftigteoderBe-schäftigterderöffentlichenStelleseinoderihreoderseineAufgabenaufderGrundlageeinesDienstleistungsvertragserfüllen.
(5)Die öffentliche Stelle veröffentlicht die Kontaktdaten der oderdesDatenschutzbeauftragten und teilt dieseDaten der oder demBundesbeauftragtenfürdenDatenschutzunddieInformationsfrei-heitmit.
21Bundesdatenschutzgesetz Teil 1
§ 6 Stellung
(1)DieöffentlicheStellestelltsicher,dassdieoderderDatenschutz-beauftragteordnungsgemäßund frühzeitig in allemitdemSchutzpersonenbezogenerDatenzusammenhängendenFrageneingebun-denwird.
(2) Die öffentliche Stelle unterstützt die Datenschutzbeauftrag-te oder denDatenschutzbeauftragten bei der Erfüllung ihrer oderseinerAufgabengemäߧ7, indemsiedie fürdieErfüllungdieserAufgabenerforderlichenRessourcenunddenZugangzupersonen-bezogenenDatenundVerarbeitungsvorgängensowiediezurErhal-tung ihres oder seines Fachwissens erforderlichenRessourcen zurVerfügungstellt.
(3)DieöffentlicheStellestelltsicher,dassdieoderderDatenschutz-beauftragtebeiderErfüllungihreroderseinerAufgabenkeineAn-weisungenbezüglichderAusübungdieserAufgabenerhält.DieoderderDatenschutzbeauftragteberichtetunmittelbarderhöchstenLei-tungsebenederöffentlichenStelle.DieoderderDatenschutzbeauf-tragtedarfvonderöffentlichenStellewegenderErfüllungihreroderseinerAufgabennichtabberufenoderbenachteiligtwerden.
(4)DieAbberufung der oder desDatenschutzbeauftragten ist nurinentsprechenderAnwendungdes§626desBürgerlichenGesetz-buchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzu-lässig,esseidenn,dassTatsachenvorliegen,welchedieöffentlicheStelle zur Kündigung auswichtigemGrund ohne Einhaltung einerKündigungsfristberechtigen.NachdemEndederTätigkeitalsDa-tenschutzbeauftragteoderalsDatenschutzbeauftragteristdieKün-digungdesArbeitsverhältnissesinnerhalbeinesJahresunzulässig,essei denn, dass die öffentliche Stelle zurKündigung auswichtigemGrundohneEinhaltungeinerKündigungsfristberechtigtist.
(5) Betroffene Personen können dieDatenschutzbeauftragte oderden Datenschutzbeauftragten zu allen mit der Verarbeitung ihrerpersonenbezogenenDatenundmitderWahrnehmungihrerRechtegemäßderVerordnung(EU)2016/679,diesemGesetzsowieande-ren Rechtsvorschriften über den Datenschutz im ZusammenhangstehendenFragenzuRateziehen.DieoderderDatenschutzbeauf-tragte ist zurVerschwiegenheit über die Identität der betroffenenPersonsowieüberUmstände,dieRückschlüsseaufdiebetroffene
22
Personzulassen,verpflichtet,soweitsieoderernichtdavondurchdiebetroffenePersonbefreitwird.
(6)Wenn die oder derDatenschutzbeauftragte bei ihrer oder sei-nerTätigkeitKenntnisvonDatenerhält,fürdiederLeitungoderei-nerbeideröffentlichenStellebeschäftigtenPersonausberuflichenGründeneinZeugnisverweigerungsrechtzusteht,stehtdiesesRechtauchderoderdemDatenschutzbeauftragtenunddenihroderihmunterstellten Beschäftigten zu. Über die Ausübung dieses Rechtsentscheidet die Person, der das Zeugnisverweigerungsrecht ausberuflichenGründenzusteht,esseidenn,dassdieseEntscheidungin absehbarer Zeit nicht herbeigeführt werden kann. Soweit dasZeugnisverweigerungsrechtderoderdesDatenschutzbeauftragtenreicht,unterliegenihreoderseineAktenundandereDokumenteei-nemBeschlagnahmeverbot.
§ 7 Aufgaben
(1)DeroderdemDatenschutzbeauftragtenobliegennebenden inderVerordnung(EU)2016/679genanntenAufgabenzumindestfol-gendeAufgaben:
1. UnterrichtungundBeratungderöffentlichenStelleundderBe-schäftigten, die Verarbeitungen durchführen, hinsichtlich ihrerPflichtennachdiesemGesetzund sonstigenVorschriftenüberdenDatenschutz,einschließlichderzurUmsetzungderRichtlinie(EU)2016/680erlassenenRechtsvorschriften;
2. ÜberwachungderEinhaltungdiesesGesetzesundsonstigerVor-schriften über denDatenschutz, einschließlich der zurUmset-zungderRichtlinie (EU)2016/680erlassenenRechtsvorschrif-ten,sowiederStrategienderöffentlichenStellefürdenSchutzpersonenbezogener Daten, einschließlich der Zuweisung vonZuständigkeiten, der Sensibilisierung und der Schulung der andenVerarbeitungsvorgängenbeteiligtenBeschäftigtenundderdiesbezüglichenÜberprüfungen;
3. Beratung im Zusammenhang mit der Datenschutz-Folgenab-schätzung und Überwachung ihrer Durchführung gemäß § 67diesesGesetzes;
23Bundesdatenschutzgesetz Teil 1
4. ZusammenarbeitmitderAufsichtsbehörde;
5. TätigkeitalsAnlaufstellefürdieAufsichtsbehördeinmitderVer-arbeitung zusammenhängenden Fragen, einschließlich dervor-herigenKonsultationgemäߧ69diesesGesetzes,undgegebe-nenfallsBeratungzuallensonstigenFragen.
ImFalleinerodereinesbeieinemGerichtbestelltenDatenschutzbe-auftragtenbeziehensichdieseAufgabennichtaufdasHandelndesGerichtsimRahmenseinerjustiziellenTätigkeit.
(2) Die oder der Datenschutzbeauftragte kann andere AufgabenundPflichtenwahrnehmen.DieöffentlicheStellestelltsicher,dassderartigeAufgabenundPflichtennichtzueinemInteressenkonfliktführen.
(3)DieoderderDatenschutzbeauftragteträgtbeiderErfüllungihreroderseinerAufgabendemmitdenVerarbeitungsvorgängenverbun-denenRisikogebührendRechnung,wobei sieodererdieArt,denUmfang, dieUmstände und die Zwecke derVerarbeitung berück-sichtigt.
Kapitel4 Die oder der Bundesbeauftragte fürden Datenschutz und die Informa-tionsfreiheit
§ 8 Errichtung
(1)DieoderderBundesbeauftragtefürdenDatenschutzunddieIn-formationsfreiheit (Bundesbeauftragte) isteineobersteBundesbe-hörde.DerDienstsitzistBonn.
(2)DieBeamtinnenundBeamtenderoderdesBundesbeauftragtensindBeamtinnenundBeamtedesBundes.
(3)Die oder der Bundesbeauftragte kannAufgaben der Personal-verwaltungundPersonalwirtschaftauf andereStellendesBundesübertragen,soweithierdurchdieUnabhängigkeitderoderdesBun-
24
desbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfenpersonenbezogene Daten der Beschäftigten übermittelt werden,soweitderenKenntniszurErfüllungderübertragenenAufgabener-forderlichist.
§ 9 Zuständigkeit
(1) Die oder der Bundesbeauftragte ist zuständig für dieAufsichtüberdieöffentlichenStellendesBundes,auchsoweitsiealsöffent-lich-rechtlicheUnternehmenamWettbewerbteilnehmen.DieVor-schriftendiesesKapitelsgeltenauchfürAuftragsverarbeiter,soweitsienichtöffentlicheStellensind,beidenendemBunddieMehrheitderAnteilegehörtoderdieMehrheitderStimmenzustehtundderAuftraggebereineöffentlicheStelledesBundesist.
(2)DieoderderBundesbeauftragteistnichtzuständigfürdieAuf-sichtüberdievondenBundesgerichtenimRahmenihrerjustiziellenTätigkeitvorgenommenenVerarbeitungen.
§ 10 Unabhängigkeit
(1)DieoderderBundesbeauftragtehandeltbeiderErfüllung ihreroderseinerAufgabenundbeiderAusübungihreroderseinerBefug-nissevölligunabhängig.SieodererunterliegtwederdirekternochindirekterBeeinflussungvonaußenundersuchtwederumWeisungnochnimmtsieodererWeisungenentgegen.
(2)Die oder der Bundesbeauftragte unterliegt der Rechnungsprü-fung durch den Bundesrechnungshof, soweit hierdurch ihre oderseineUnabhängigkeitnichtbeeinträchtigtwird.
§ 11 Ernennung und Amtszeit
(1)DerDeutscheBundestagwähltohneAusspracheaufVorschlagderBundesregierungdieBundesbeauftragteoderdenBundesbeauf-tragtenmitmehralsderHälftedergesetzlichenZahlseinerMitglie-der.DieoderderGewählteistvonderBundespräsidentinoderdemBundespräsidenten zu ernennen.Die oder der BundesbeauftragtemussbeiihreroderseinerWahldas35.Lebensjahrvollendethaben.
25Bundesdatenschutzgesetz Teil 1
SieoderermussüberdiefürdieErfüllungihreroderseinerAufgabenundAusübungihreroderseinerBefugnisseerforderlicheQualifikati-on,ErfahrungundSachkundeinsbesondereimBereichdesSchutzespersonenbezogener Daten verfügen. Insbesondere muss die oderderBundesbeauftragteüberdurcheinschlägigeBerufserfahrunger-worbeneKenntnissedesDatenschutzrechtsverfügenunddieBefä-higungzumRichteramtoderhöherenVerwaltungsdiensthaben.
(2)DieoderderBundesbeauftragteleistetvorderBundespräsiden-tinoderdemBundespräsidentenfolgendenEid:„Ichschwöre,dassichmeineKraftdemWohledesdeutschenVolkeswidmen,seinenNutzenmehren,Schadenvonihmwenden,dasGrundgesetzunddieGesetzedesBundeswahrenundverteidigen,meinePflichtengewis-senhafterfüllenundGerechtigkeitgegenjedermannübenwerde.SowahrmirGotthelfe.“DerEidkannauchohnereligiöseBeteuerunggeleistetwerden.
(3)DieAmtszeitderoderdesBundesbeauftragtenbeträgtfünfJah-re.EinmaligeWiederwahlistzulässig.
§ 12 Amtsverhältnis
(1)DieoderderBundesbeauftragtestehtnachMaßgabediesesGe-setzeszumBundineinemöffentlich-rechtlichenAmtsverhältnis.
(2) Das Amtsverhältnis beginnt mit der Aushändigung der Ernen-nungsurkunde.EsendetmitdemAblaufderAmtszeitodermitdemRücktritt.DieBundespräsidentinoderderBundespräsidententhebtaufVorschlagderPräsidentinoderdesPräsidentendesBundestagesdie Bundesbeauftragte ihres oder den Bundesbeauftragten seinesAmtes,wenndieoderderBundesbeauftragteeineschwereVerfeh-lungbegangenhatoderdieVoraussetzungenfürdieWahrnehmungihrer oder seinerAufgaben nichtmehr erfüllt. Im Fall der Beendi-gungdesAmtsverhältnissesoderderAmtsenthebungerhältdieoderder Bundesbeauftragte einevon der Bundespräsidentin oder demBundespräsidentenvollzogeneUrkunde.EineAmtsenthebungwirdmit derAushändigung der Urkundewirksam. Endet dasAmtsver-hältnismitAblaufderAmtszeit,istdieoderderBundesbeauftragteverpflichtet,aufErsuchenderPräsidentinoderdesPräsidentendesBundestages die Geschäfte bis zur Ernennung einer Nachfolgerin
26
odereinesNachfolgersfürdieDauervonhöchstenssechsMonatenweiterzuführen.
(3)DieLeitendeBeamtinoderderLeitendeBeamtenimmtdieRech-tederoderdesBundesbeauftragtenwahr,wenndieoderderBun-desbeauftragteanderAusübungihresoderseinesAmtesverhindertist oderwenn ihr oder seinAmtsverhältnis endet und sie oder ernichtzurWeiterführungderGeschäfteverpflichtetist.§10Absatz1istentsprechendanzuwenden.
(4)DieoderderBundesbeauftragteerhältvomBeginndesKalen-dermonatsan, indemdasAmtsverhältnisbeginnt,biszumSchlussdesKalendermonats, indemdasAmtsverhältnisendet, imFalldesAbsatzes2Satz6biszumEndedesMonats,indemdieGeschäfts-führung endet,Amtsbezüge in Höhe der Besoldungsgruppe B 11sowie den Familienzuschlag entsprechend Anlage V des Bundes-besoldungsgesetzes. Das Bundesreisekostengesetz und das Bun-desumzugskostengesetz sind entsprechend anzuwenden. ImÜbri-gen sind§12Absatz6 sowiedie §§13bis20und21aAbsatz5desBundesministergesetzesmitdenMaßgabenanzuwenden,dassan die Stelle dervierjährigenAmtszeit in § 15Absatz 1 desBun-desministergesetzeseineAmtszeitvonfünfJahrentritt.AbweichendvonSatz3inVerbindungmitden§§15bis17und21aAbsatz5desBundesministergesetzesberechnetsichdasRuhegehaltderoderdesBundesbeauftragtenunterHinzurechnungderAmtszeitalsruhege-haltsfähigeDienstzeitinentsprechenderAnwendungdesBeamten-versorgungsgesetzes,wenndiesgünstigeristunddieoderderBun-desbeauftragtesichunmittelbarvorihreroderseinerWahlzuroderzumBundesbeauftragtenalsBeamtinoderBeamteroderalsRichte-rinoderRichtermindestensindemletztengewöhnlichvorErreichenderBesoldungsgruppeB11zudurchlaufendenAmtbefundenhat.
§ 13 Rechte und Pflichten
(1)DieoderderBundesbeauftragtesiehtvonallenmitdenAufgabenihresoderseinesAmtesnichtzuvereinbarendenHandlungenabundübtwährendihreroderseinerAmtszeitkeineanderemitihremoderseinemAmtnichtzuvereinbarendeentgeltlicheoderunentgeltlicheTätigkeitaus.InsbesonderedarfdieoderderBundesbeauftragtene-benihremoderseinemAmtkeinanderesbesoldetesAmt,keinGe-werbeundkeinenBerufausübenundwederderLeitungoderdem
27Bundesdatenschutzgesetz Teil 1
AufsichtsratoderVerwaltungsrateinesaufErwerbgerichtetenUn-ternehmensnocheinerRegierungodereinergesetzgebendenKör-perschaftdesBundesodereinesLandesangehören.SieodererdarfnichtgegenEntgeltaußergerichtlicheGutachtenabgeben.
(2)DieoderderBundesbeauftragtehat derPräsidentinoderdemPräsidentendesBundestagesMitteilungüberGeschenkezumachen,diesieodererinBezugaufdasAmterhält.DiePräsidentinoderderPräsident des Bundestages entscheidet über dieVerwendung derGeschenke.SieodererkannVerfahrensvorschriftenerlassen.
(3)DieoderderBundesbeauftragte ist berechtigt, überPersonen,die ihroder ihm in ihreroder seinerEigenschaftalsBundesbeauf-tragteoderBundesbeauftragterTatsachenanvertrauthaben,sowieüberdieseTatsachenselbstdasZeugniszuverweigern.DiesgiltauchfürdieMitarbeiterinnenundMitarbeiterderoderdesBundesbeauf-tragtenmitderMaßgabe,dassüberdieAusübungdiesesRechtsdieoderderBundesbeauftragteentscheidet.SoweitdasZeugnisverwei-gerungsrechtderoderdesBundesbeauftragtenreicht,darfdieVor-legungoderAuslieferungvonAktenoderanderenDokumentenvonihroderihmnichtgefordertwerden.
(4)DieoderderBundesbeauftragte ist, auchnachBeendigung ih-resoderseinesAmtsverhältnisses,verpflichtet,überdieihroderihmamtlichbekanntgewordenenAngelegenheitenVerschwiegenheitzubewahren.Diesgiltnicht fürMitteilungen imdienstlichenVerkehroderüberTatsachen,dieoffenkundigsindoderihrerBedeutungnachkeiner Geheimhaltung bedürfen. Die oder der BundesbeauftragteentscheidetnachpflichtgemäßemErmessen,obund inwieweit sieodererübersolcheAngelegenheitenvorGerichtoderaußergericht-lichaussagtoderErklärungenabgibt;wennsieoderernichtmehrimAmtist,istdieGenehmigungderoderdesamtierendenBundesbe-auftragtenerforderlich.UnberührtbleibtdiegesetzlichbegründetePflicht,StraftatenanzuzeigenundbeieinerGefährdungderfreiheit-lichendemokratischenGrundordnungfürderenErhaltungeinzutre-ten.FürdieBundesbeauftragteoderdenBundesbeauftragtenundihreoderseineMitarbeiterinnenundMitarbeitergeltendie§§93,97und105Absatz1,§111Absatz5inVerbindungmit§105Absatz1sowie§116Absatz1derAbgabenordnungnicht.Satz5findetkeineAnwendung,soweitdieFinanzbehördendieKenntnisfürdieDurch-führung eines Verfahrens wegen einer Steuerstraftat sowie einesdamit zusammenhängendenSteuerverfahrensbenötigen,anderen
28
VerfolgungeinzwingendesöffentlichesInteressebesteht,oderso-weitessichumvorsätzlichfalscheAngabenderoderdesAuskunfts-pflichtigenoderderfürsieoderihntätigenPersonenhandelt.StelltdieoderderBundesbeauftragteeinenDatenschutzverstoßfest,istsie oder er befugt, diesen anzuzeigen und die betroffene Personhierüberzuinformieren.
(5)DieoderderBundesbeauftragtedarfalsZeuginoderZeugeaus-sagen,esseidenn,dieAussagewürde
1. demWohl des Bundes oder eines Landes Nachteile bereiten,insbesondere Nachteile für die Sicherheit der BundesrepublikDeutschlandoderihreBeziehungenzuanderenStaaten,oder
2. Grundrechteverletzen.
Betrifft die Aussage laufende oder abgeschlossene Vorgänge, diedemKernbereichexekutiverEigenverantwortungderBundesregie-rungzuzurechnensindoderseinkönnten,darfdieoderderBundes-beauftragtenur imBenehmenmit derBundesregierung aussagen.§28desBundesverfassungsgerichtsgesetzesbleibtunberührt.
(6)DieAbsätze3und4Satz5bis7geltenentsprechendfürdieöf-fentlichenStellen,diefürdieKontrollederEinhaltungderVorschrif-tenüberdenDatenschutzindenLändernzuständigsind.
§ 14 Aufgaben
(1)DieoderderBundesbeauftragtehatnebendeninderVerordnung(EU)2016/679genanntenAufgabendieAufgaben,
1. dieAnwendungdiesesGesetzesundsonstigerVorschriftenüberdenDatenschutz,einschließlichderzurUmsetzungderRichtlinie(EU) 2016/680 erlassenen Rechtsvorschriften, zu überwachenunddurchzusetzen,
2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien undRechte im Zusammenhang mit der Verarbeitung personenbe-zogener Daten zu sensibilisieren und sie darüber aufzuklären,wobeispezifischeMaßnahmenfürKinderbesondereBeachtungfinden,
29Bundesdatenschutzgesetz Teil 1
3. denDeutschenBundestagunddenBundesrat,dieBundesregie-rungundandereEinrichtungenundGremienüberlegislativeundadministrativeMaßnahmenzumSchutzderRechteundFreihei-tennatürlicherPersonen inBezug aufdieVerarbeitungperso-nenbezogenerDatenzuberaten,
4. dieVerantwortlichenunddieAuftragsverarbeiter fürdie ihnenaus diesem Gesetz und sonstigen Vorschriften über den Da-tenschutz,einschließlichdenzurUmsetzungderRichtlinie(EU)2016/680erlassenenRechtsvorschriften, entstehendenPflich-tenzusensibilisieren,
5. auf Anfrage jeder betroffenen Person Informationen über dieAusübungihrerRechteaufgrunddiesesGesetzesundsonstigerVorschriftenüberdenDatenschutz, einschließlichder zurUm-setzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvor-schriften,zurVerfügungzustellenundgegebenenfallszudiesemZweck mit denAufsichtsbehörden in anderenMitgliedstaatenzusammenzuarbeiten,
6. sichmitBeschwerdeneinerbetroffenenPersonoderBeschwer-deneinerStelle,einerOrganisationodereinesVerbandesgemäßArtikel55derRichtlinie(EU)2016/680zubefassen,denGegen-standderBeschwerdeinangemessenemUmfangzuuntersuchenunddenBeschwerdeführerinnerhalbeinerangemessenenFristüberdenFortgangunddasErgebnisderUntersuchung zuun-terrichten,insbesondere,wenneineweitereUntersuchungoderKoordinierung mit einer anderen Aufsichtsbehörde notwendigist,
7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auchdurchInformationsaustausch,undihnenAmtshilfezuleisten,umdieeinheitlicheAnwendungundDurchsetzungdiesesGesetzesund sonstiger Vorschriften über den Datenschutz, einschließ-lichderzurUmsetzungderRichtlinie(EU)2016/680erlassenenRechtsvorschriften,zugewährleisten,
8. UntersuchungenüberdieAnwendungdiesesGesetzesundsons-tigerVorschriftenüberdenDatenschutz, einschließlichder zurUmsetzungderRichtlinie(EU)2016/680erlassenenRechtsvor-schriften,durchzuführen,auchaufderGrundlagevon Informa-
30
tioneneineranderenAufsichtsbehördeodereineranderenBe-hörde,
9. maßgeblicheEntwicklungenzuverfolgen,soweitsiesichaufdenSchutzpersonenbezogenerDatenauswirken, insbesonderedieEntwicklungderInformations-undKommunikationstechnologieundderGeschäftspraktiken,
10.BeratunginBezugaufdiein§69genanntenVerarbeitungsvor-gängezuleistenund
11.BeiträgezurTätigkeitdesEuropäischenDatenschutzausschusseszuleisten.
Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt dieoderderBundesbeauftragtezudemdieAufgabenach§60wahr.
(2)ZurErfüllungderinAbsatz1Satz1Nummer3genanntenAuf-gabekanndieoderderBundesbeauftragtezuallenFragen,die imZusammenhangmitdemSchutzpersonenbezogenerDatenstehen,von sich ausoder aufAnfrageStellungnahmenandenDeutschenBundestagodereinenseinerAusschüsse,denBundesrat,dieBun-desregierung,sonstigeEinrichtungenundStellensowieandieÖf-fentlichkeitrichten.AufErsuchendesDeutschenBundestages,einesseinerAusschüsseoderderBundesregierunggehtdieoderderBun-desbeauftragtefernerHinweisenaufAngelegenheitenundVorgän-gedesDatenschutzesbeidenöffentlichenStellendesBundesnach.
(3)DieoderderBundesbeauftragte erleichtert dasEinreichenderinAbsatz1Satz1Nummer6genanntenBeschwerdendurchMaß-nahmenwieetwadieBereitstellungeinesBeschwerdeformulars,dasauchelektronischausgefülltwerdenkann,ohnedassandereKom-munikationsmittelausgeschlossenwerden.
(4)DieErfüllungderAufgabenderoderdesBundesbeauftragtenistfürdiebetroffenePersonunentgeltlich.Beioffenkundigunbegrün-detenoder,insbesondereimFallvonhäufigerWiederholung,exzes-sivenAnfragenkanndieoderderBundesbeauftragteeineangemes-seneGebühr auf der Grundlage derVerwaltungskosten verlangenodersichweigern,aufgrundderAnfragetätigzuwerden.IndiesemFallträgtdieoderderBundesbeauftragtedieBeweislastfürdenof-fenkundigunbegründetenoderexzessivenCharakterderAnfrage.
31Bundesdatenschutzgesetz Teil 1
§ 15 Tätigkeitsbericht
Die oder der Bundesbeauftragte erstellt einen Jahresbericht überihreoder seineTätigkeit, der eine ListederArtender gemeldetenVerstößeundderArtendergetroffenenMaßnahmen,einschließlichderverhängtenSanktionenundderMaßnahmennachArtikel58Ab-satz2derVerordnung(EU)2016/679,enthaltenkann.DieoderderBundesbeauftragte übermittelt den Bericht dem Deutschen Bun-destag,demBundesratundderBundesregierungundmachtihnderÖffentlichkeit,derEuropäischenKommissionunddemEuropäischenDatenschutzausschusszugänglich.
§ 16 Befugnisse
(1)DieoderderBundesbeauftragtenimmtimAnwendungsbereichderVerordnung(EU)2016/679dieBefugnissegemäßArtikel58derVerordnung(EU)2016/679wahr.KommtdieoderderBundesbeauf-tragtezudemErgebnis,dassVerstößegegendieVorschriftenüberdenDatenschutzodersonstigeMängelbeiderVerarbeitungperso-nenbezogenerDatenvorliegen,teiltsieodererdiesderzuständigenRechts-oderFachaufsichtsbehördemitundgibtdieservorderAus-übungderBefugnissedesArtikels58Absatz2Buchstabebbisg,iundjderVerordnung(EU)2016/679gegenüberdemVerantwortli-chenGelegenheitzurStellungnahmeinnerhalbeinerangemessenenFrist.VonderEinräumungderGelegenheitzurStellungnahmekannabgesehenwerden,wenneinesofortigeEntscheidungwegenGefahrimVerzugoderimöffentlichenInteressenotwendigerscheintoderihr ein zwingendes öffentliches Interesse entgegensteht.Die Stel-lungnahmesollaucheineDarstellungderMaßnahmenenthalten,dieaufgrundderMitteilungderoderdesBundesbeauftragtengetroffenwordensind.
(2)StelltdieoderderBundesbeauftragtebeiDatenverarbeitungendurchöffentlicheStellendesBundeszuZweckenaußerhalbdesAn-wendungsbereichsderVerordnung(EU)2016/679Verstößegegendie Vorschriften dieses Gesetzes oder gegen andere Vorschriftenüber denDatenschutz oder sonstigeMängel bei derVerarbeitungoder Nutzung personenbezogener Daten fest, so beanstandet sieoder er dies gegenüber der zuständigen oberstenBundesbehördeund fordert diese zur Stellungnahme innerhalb einer von ihr oderihm zu bestimmenden Frist auf. Die oder der Bundesbeauftragte
32
kannvoneinerBeanstandungabsehenoderaufeineStellungnah-me verzichten, insbesonderewenn es sich um unerhebliche oderinzwischenbeseitigteMängelhandelt.DieStellungnahmesollaucheineDarstellungderMaßnahmenenthalten, die aufgrundderBe-anstandung der oder des Bundesbeauftragten getroffen wordensind. Die oder der Bundesbeauftragte kann denVerantwortlichenauchdavorwarnen,dassbeabsichtigteVerarbeitungsvorgängevor-aussichtlichgegenindiesemGesetzenthalteneundandereaufdiejeweiligeDatenverarbeitunganzuwendendeVorschriftenüberdenDatenschutzverstoßen.
(3)DieBefugnissederoderdesBundesbeauftragtenerstreckensichauchauf
1. vonöffentlichenStellendesBundeserlangtepersonenbezoge-neDatenüberdenInhaltunddienäherenUmständedesBrief-,Post-undFernmeldeverkehrsund
2. personenbezogeneDaten,dieeinembesonderenAmtsgeheim-nis,insbesonderedemSteuergeheimnisnach§30derAbgaben-ordnung,unterliegen.
DasGrundrechtdesBrief-, Post- undFernmeldegeheimnissesdesArtikels10desGrundgesetzeswirdinsoweiteingeschränkt.
(4)DieöffentlichenStellendesBundes sindverpflichtet, deroderdemBundesbeauftragtenundihrenoderseinenBeauftragten
1. jederzeitZugangzudenGrundstückenundDiensträumen,ein-schließlich allerDatenverarbeitungsanlagenund -geräte, sowiezuallenpersonenbezogenenDatenund Informationen,diezurErfüllungihreroderseinerAufgabennotwendigsind,zugewäh-ren und
2. alleInformationen,diefürdieErfüllungihreroderseinerAufga-benerforderlichsind,bereitzustellen.
(5)DieoderderBundesbeauftragtewirktaufdieZusammenarbeitmitdenöffentlichenStellen,diefürdieKontrollederEinhaltungderVorschriftenüberdenDatenschutz indenLändernzuständigsind,sowiemitdenAufsichtsbehördennach§40hin.§40Absatz3Satz1zweiterHalbsatzgiltentsprechend.
33Bundesdatenschutzgesetz Teil 1
Kapitel 5 Vertretung im Europäischen Daten-schutzausschuss, zentrale Anlaufstel-le, Zusammenarbeit der Aufsichtsbe-hörden des Bundes und der Länderin Angelegenheiten der Europäischen Union
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentra-le Anlaufstelle
(1)GemeinsamerVertreter imEuropäischenDatenschutzausschussund zentraleAnlaufstelle ist die oder der Bundesbeauftragte (ge-meinsamerVertreter).AlsStellvertreterinoderStellvertreterdesge-meinsamenVertreterswähltderBundesrateineLeiterinodereinenLeiterderAufsichtsbehördeeinesLandes(Stellvertreter).DieWahlerfolgtfürfünfJahre.MitdemAusscheidenausdemAmtalsLeiterinoder Leiter derAufsichtsbehörde eines Landes endet zugleich dieFunktionalsStellvertreter.Wiederwahlistzulässig.
(2)DergemeinsameVertreterüberträgtinAngelegenheiten,diedieWahrnehmung einerAufgabe betreffen, fürwelche die Länder al-leindasRechtzurGesetzgebunghaben,oderwelchedieEinrichtungoderdasVerfahrenvonLandesbehördenbetreffen,demStellvertre-teraufdessenVerlangendieVerhandlungsführungunddasStimm-rechtimEuropäischenDatenschutzausschuss.
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
(1) Die oder der Bundesbeauftragte und die AufsichtsbehördenderLänder (AufsichtsbehördendesBundesundderLänder)arbei-teninAngelegenheitenderEuropäischenUnionmitdemZieleinereinheitlichenAnwendungderVerordnung (EU)2016/679undderRichtlinie (EU) 2016/680 zusammen. Vor der Übermittlung einesgemeinsamenStandpunktesandieAufsichtsbehördenderanderenMitgliedstaaten, die Europäische Kommission oder den Europäi-schenDatenschutzausschussgebensichdieAufsichtsbehördendesBundesundderLänder frühzeitigGelegenheit zurStellungnahme.
34
ZudiesemZwecktauschensieuntereinanderallezweckdienlichenInformationenaus.DieAufsichtsbehördendesBundesundderLän-derbeteiligendienachdenArtikeln85und91derVerordnung(EU)2016/679 eingerichteten spezifischen Aufsichtsbehörden, soferndiesevonderAngelegenheitbetroffensind.
(2)SoweitdieAufsichtsbehördendesBundesundderLänderkeinEinvernehmen über den gemeinsamen Standpunkt erzielen, legendiefederführendeBehördeoder inErmangelungeinersolchendergemeinsame Vertreter und sein Stellvertreter einen Vorschlag füreinengemeinsamenStandpunktvor. Einigen sichder gemeinsameVertreterundseinStellvertreternichtaufeinenVorschlagfüreinengemeinsamen Standpunkt, legt inAngelegenheiten, die dieWahr-nehmungvonAufgabenbetreffen,fürwelchedieLänderalleindasRechtderGesetzgebunghaben,oderwelchedieEinrichtungoderdasVerfahrenvonLandesbehördenbetreffen,derStellvertreterdenVorschlag füreinengemeinsamenStandpunkt fest. IndenübrigenFällenfehlendenEinvernehmensnachSatz2 legtdergemeinsameVertreterdenStandpunktfest.DernachdenSätzen1bis3vorge-schlageneStandpunkt istdenVerhandlungen zuGrunde zu legen,wenn nicht die Aufsichtsbehörden von Bund und Ländern einenanderenStandpunktmiteinfacherMehrheitbeschließen.DerBundund jedes Land haben jeweils eine Stimme. Enthaltungenwerdennichtgezählt.
(3)DergemeinsameVertreterunddessenStellvertretersindandengemeinsamenStandpunktnachdenAbsätzen1und2gebundenundlegenunterBeachtungdiesesStandpunkteseinvernehmlichdieje-weiligeVerhandlungsführungfest.SollteeinEinvernehmennichter-reichtwerden,entscheidetindenin§18Absatz2Satz2genanntenAngelegenheitenderStellvertreterüberdieweitereVerhandlungs-führung. In den übrigen Fällen gibt die Stimme des gemeinsamenVertretersdenAusschlag.
§ 19 Zuständigkeiten
(1)FederführendeAufsichtsbehördeeinesLandesimVerfahrenderZusammenarbeitundKohärenznachKapitelVIIderVerordnung(EU)2016/679istdieAufsichtsbehördedesLandes,indemderVerant-wortliche oder der Auftragsverarbeiter seine HauptniederlassungimSinnedesArtikels4Nummer16derVerordnung(EU)2016/679
35Bundesdatenschutzgesetz Teil 1
oderseineeinzigeNiederlassunginderEuropäischenUnionimSin-nedesArtikels56Absatz1derVerordnung(EU)2016/679hat.ImZuständigkeitsbereich der oder des Bundesbeauftragten gilt Arti-kel56Absatz1inVerbindungmitArtikel4Nummer16derVerord-nung(EU)2016/679entsprechend.BestehtüberdieFederführungkein Einvernehmen, findet für die Festlegung der federführendenAufsichtsbehördedasVerfahrendes§18Absatz2entsprechendeAnwendung.
(2)DieAufsichtsbehörde,beidereinebetroffenePersonBeschwer-deeingereichthat,gibtdieBeschwerdeandiefederführendeAuf-sichtsbehördenachAbsatz1, inErmangelungeinersolchenandieAufsichtsbehörde eines Landes ab, in dem der VerantwortlicheoderderAuftragsverarbeitereineNiederlassunghat.WirdeineBe-schwerdebeieinersachlichunzuständigenAufsichtsbehördeeinge-reicht,gibtdiese,soferneineAbgabenachSatz1nichtinBetrachtkommt,dieBeschwerdeandieAufsichtsbehördeamWohnsitzdesBeschwerdeführersab.DieempfangendeAufsichtsbehördegiltalsdieAufsichtsbehörde nachMaßgabe des KapitelsVII derVerord-nung (EU) 2016/679, bei der dieBeschwerde eingereichtwordenist,undkommtdenVerpflichtungenausArtikel60Absatz7bis9undArtikel65Absatz6derVerordnung(EU)2016/679nach.
Kapitel6 Rechtsbehelfe
§ 20 Gerichtlicher Rechtsschutz
(1)FürStreitigkeiten zwischeneinernatürlichenodereiner juristi-schen Person und einerAufsichtsbehörde des Bundes oder einesLandesüberRechtegemäßArtikel78Absatz1und2derVerord-nung(EU)2016/679sowie§61istderVerwaltungsrechtsweggege-ben.Satz1giltnichtfürBußgeldverfahren.
(2)DieVerwaltungsgerichtsordnungistnachMaßgabederAbsätze3bis7anzuwenden.
36
(3)FürVerfahrennachAbsatz1Satz1 istdasVerwaltungsgerichtörtlichzuständig, indessenBezirkdieAufsichtsbehörde ihrenSitzhat.
(4)InVerfahrennachAbsatz1Satz1istdieAufsichtsbehördebetei-ligungsfähig.
(5)BeteiligteeinesVerfahrensnachAbsatz1Satz1sind
1. dienatürlicheoder juristischePersonalsKlägerinoderAntrag-stellerinund
2. dieAufsichtsbehördealsBeklagteoderAntragsgegnerin.
§63Nummer3und4derVerwaltungsgerichtsordnungbleibtun-berührt.
(6)EinVorverfahrenfindetnichtstatt.
(7)DieAufsichtsbehördedarfgegenübereinerBehördeoderderenRechtsträgernicht die sofortigeVollziehunggemäߧ80Absatz2Satz1Nummer4derVerwaltungsgerichtsordnunganordnen.
§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
(1)HälteineAufsichtsbehördeeinenAngemessenheitsbeschlussderEuropäischenKommission, einenBeschlussüberdieAnerkennungvon Standardschutzklauseln oder über dieAllgemeingültigkeitvongenehmigtenVerhaltensregeln,aufdessenGültigkeitesfüreineEnt-scheidungderAufsichtsbehördeankommt,fürrechtswidrig,sohatdieAufsichtsbehörde ihrVerfahren auszusetzen und einenAntragaufgerichtlicheEntscheidungzustellen.
(2)FürVerfahrennachAbsatz1istderVerwaltungsrechtsweggege-ben.DieVerwaltungsgerichtsordnungistnachMaßgabederAbsät-ze3bis6anzuwenden.
(3)ÜbereinenAntragderAufsichtsbehördenachAbsatz1entschei-detimerstenundletztenRechtszugdasBundesverwaltungsgericht.
37Bundesdatenschutzgesetz Teil 1
(4)InVerfahrennachAbsatz1istdieAufsichtsbehördebeteiligungs-fähig.AneinemVerfahrennachAbsatz1 istdieAufsichtsbehördealsAntragstellerinbeteiligt;§63Nummer3und4derVerwaltungs-gerichtsordnung bleibt unberührt. Das BundesverwaltungsgerichtkannderEuropäischenKommissionGelegenheitzurÄußerungbin-neneinerzubestimmendenFristgeben.
(5)IsteinVerfahrenzurÜberprüfungderGültigkeiteinesBeschlus-sesderEuropäischenKommissionnachAbsatz1beidemGerichts-hofderEuropäischenUnionanhängig,sokanndasBundesverwal-tungsgerichtanordnen,dassdieVerhandlungbiszurErledigungdesVerfahrensvordemGerichtshofderEuropäischenUnionauszuset-zensei.
(6) InVerfahren nachAbsatz 1 ist § 47Absatz 5 Satz 1 undAb-satz6derVerwaltungsgerichtsordnungentsprechendanzuwenden.Kommt das Bundesverwaltungsgericht zu der Überzeugung, dassderBeschluss der EuropäischenKommission nachAbsatz 1 gültigist,sostelltesdiesinseinerEntscheidungfest.AndernfallslegtesdieFragenachderGültigkeitdesBeschlussesgemäßArtikel267desVertrags über dieArbeitsweise der Europäischen Union dem Ge-richtshofderEuropäischenUnionzurEntscheidungvor.
38
Teil2 Durchführungsbestimmungen für Verar-beitungen zu Zwecken gemäß Artikel 2derVerordnung(EU)2016/679
Kapitel 1 Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Abschnitt1 VerarbeitungbesondererKategorienper-sonenbezogener Daten und Verarbeitung zuanderenZwecken
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU)2016/679istdieVerarbeitungbesondererKategorienpersonenbe-zogenerDatenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679zulässig
1. durchöffentlicheundnichtöffentlicheStellen,wennsie
a) erforderlichist,umdieausdemRechtdersozialenSicherheitund des Sozialschutzes erwachsenden Rechte auszuübenunddendiesbezüglichenPflichtennachzukommen,
b) zumZweckderGesundheitsvorsorge,fürdieBeurteilungderArbeitsfähigkeitdesBeschäftigten,fürdiemedizinischeDia-gnostik, dieVersorgung oder Behandlung im Gesundheits-oderSozialbereichoderfürdieVerwaltungvonSystemenundDiensten imGesundheits-undSozialbereichoderaufgrundeinesVertragsderbetroffenenPersonmiteinemAngehöri-geneinesGesundheitsberufserforderlichistunddieseDatenvon ärztlichemPersonal oderdurch sonstigePersonen, dieeiner entsprechenden Geheimhaltungspflicht unterliegen,oderunterderenVerantwortungverarbeitetwerden,oder
39Bundesdatenschutzgesetz Teil 2
c) ausGründendesöffentlichen Interesses imBereichderöf-fentlichenGesundheit,wiedesSchutzesvorschwerwiegen-den grenzüberschreitenden Gesundheitsgefahren oder zurGewährleistung hoher Qualitäts- und Sicherheitsstandardsbei der Gesundheitsversorgung und bei Arzneimitteln undMedizinproduktenerforderlich ist;ergänzendzuden inAb-satz2genanntenMaßnahmensindinsbesonderedieberufs-rechtlichenundstrafrechtlichenVorgabenzurWahrungdesBerufsgeheimnisseseinzuhalten,
2. durchöffentlicheStellen,wennsie
a) ausGründeneineserheblichenöffentlichenInteresseszwin-genderforderlichist,
b) zurAbwehreinererheblichenGefahr fürdieöffentlicheSi-cherheiterforderlichist,
c) zurAbwehrerheblicherNachteilefürdasGemeinwohloderzurWahrung erheblicher Belange des Gemeinwohls zwin-genderforderlichistoder
d) auszwingendenGründenderVerteidigungoderderErfüllungüber-oderzwischenstaatlicherVerpflichtungeneineröffent-lichenStelledesBundesaufdemGebietderKrisenbewälti-gung oder Konfliktverhinderung oder für humanitäreMaß-nahmenerforderlichist
undsoweitdie InteressendesVerantwortlichenanderDaten-verarbeitungindenFällenderNummer2dieInteressenderbe-troffenenPersonüberwiegen.
(2)IndenFällendesAbsatzes1sindangemesseneundspezifischeMaßnahmen zurWahrung der Interessen der betroffenen Personvorzusehen.UnterBerücksichtigungdesStandsderTechnik,derIm-plementierungskostenundderArt,desUmfangs,derUmständeundderZweckederVerarbeitungsowiederunterschiedlichenEintritts-wahrscheinlichkeit undSchweredermit derVerarbeitungverbun-denenRisiken für die Rechte und Freiheiten natürlicher Personenkönnendazuinsbesonderegehören:
40
1. technisch organisatorische Maßnahmen, um sicherzustellen,dassdieVerarbeitunggemäßderVerordnung(EU)2016/679er-folgt,
2. Maßnahmen,diegewährleisten,dassnachträglichüberprüftundfestgestelltwerden kann, obundvonwempersonenbezogeneDateneingegeben,verändertoderentferntwordensind,
3. SensibilisierungderanVerarbeitungsvorgängenBeteiligten,
4. BenennungeinerodereinesDatenschutzbeauftragten,
5. Beschränkung des Zugangs zu den personenbezogenenDateninnerhalbderverantwortlichenStelleundvonAuftragsverarbei-tern,
6. PseudonymisierungpersonenbezogenerDaten,
7. VerschlüsselungpersonenbezogenerDaten,
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfüg-barkeit undBelastbarkeit derSystemeundDienste imZusam-menhangmitderVerarbeitungpersonenbezogenerDaten,ein-schließlichderFähigkeit,dieVerfügbarkeitunddenZugangbeieinemphysischenodertechnischenZwischenfall raschwieder-herzustellen,
9. zurGewährleistungderSicherheitderVerarbeitungdieEinrich-tung eines Verfahrens zur regelmäßigen Überprüfung, Bewer-tungundEvaluierungderWirksamkeitdertechnischenundor-ganisatorischenMaßnahmenoder
10.spezifischeVerfahrensregelungen,dieimFalleinerÜbermittlungoderVerarbeitungfürandereZweckedieEinhaltungderVorga-ben diesesGesetzes sowie derVerordnung (EU) 2016/679 si-cherstellen.
41Bundesdatenschutzgesetz Teil 2
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
(1)DieVerarbeitungpersonenbezogenerDaten zu einemanderenZweckalszudemjenigen,zudemdieDatenerhobenwurden,durchöffentlicheStellen imRahmen ihrerAufgabenerfüllung istzulässig,wenn
1. offensichtlich ist, dass sie im Interesseder betroffenenPersonliegtundkeinGrundzuderAnnahmebesteht,dasssieinKennt-nisdesanderenZwecksihreEinwilligungverweigernwürde,
2. AngabenderbetroffenenPersonüberprüftwerdenmüssen,weiltatsächlicheAnhaltspunktefürderenUnrichtigkeitbestehen,
3. siezurAbwehrerheblicherNachteilefürdasGemeinwohlodereinerGefahrfürdieöffentlicheSicherheit,dieVerteidigungoderdienationaleSicherheit, zurWahrungerheblicherBelangedesGemeinwohlsoder zurSicherungdesSteuer-undZollaufkom-menserforderlichist,
4. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,zurVollstreckungoder zumVollzugvonStrafenoderMaßnah-menimSinnedes§11Absatz1Nummer8desStrafgesetzbuchsodervonErziehungsmaßregelnoderZuchtmitteln imSinnedesJugendgerichtsgesetzes oder zurVollstreckungvonGeldbußenerforderlichist,
5. sie zur Abwehr einer schwerwiegenden Beeinträchtigung derRechteeineranderenPersonerforderlichistoder
6. siederWahrnehmungvonAufsichts-undKontrollbefugnissen,derRechnungsprüfungoderderDurchführungvonOrganisati-onsuntersuchungen desVerantwortlichen dient; dies gilt auchfür die Verarbeitung zu Ausbildungs- und Prüfungszweckendurch den Verantwortlichen, soweit schutzwürdige InteressenderbetroffenenPersondemnichtentgegenstehen.
(2)DieVerarbeitungbesondererKategorienpersonenbezogenerDa-tenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679zueinemanderenZweckalszudemjenigen,zudemdieDatenerho-benwurden,istzulässig,wenndieVoraussetzungendesAbsatzes1
42
undeinAusnahmetatbestandnachArtikel 9Absatz 2 derVerord-nung(EU)2016/679odernach§22vorliegen.
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1)DieVerarbeitungpersonenbezogenerDaten zu einemanderenZweckalszudemjenigen,zudemdieDatenerhobenwurden,durchnichtöffentlicheStellenistzulässig,wenn
1. siezurAbwehrvonGefahrenfürdiestaatlicheoderöffentlicheSicherheit oder zur Verfolgung von Straftaten erforderlich istoder
2. siezurGeltendmachung,AusübungoderVerteidigungzivilrecht-licherAnsprücheerforderlichist,
sofern nicht die Interessen der betroffenen Person an dem Aus-schlussderVerarbeitungüberwiegen.
(2)DieVerarbeitungbesondererKategorienpersonenbezogenerDa-tenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679zueinemanderenZweckalszudemjenigen,zudemdieDatenerho-benwurden,istzulässig,wenndieVoraussetzungendesAbsatzes1und einAusnahmetatbestandnachArtikel 9Absatz 2 derVerord-nung(EU)2016/679odernach§22vorliegen.
§ 25 Datenübermittlungen durch öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten durch öffentlicheStellenanöffentlicheStellenistzulässig,wennsiezurErfüllungderinderZuständigkeitderübermittelndenStelleoderdesDritten,andendieDatenübermitteltwerden,liegendenAufgabenerforderlichistunddieVoraussetzungenvorliegen,dieeineVerarbeitungnach§23zulassenwürden.DerDritte,andendieDatenübermitteltwer-den,darfdiesenurfürdenZweckverarbeiten,zudessenErfüllungsieihmübermitteltwerden.EineVerarbeitungfürandereZweckeistunterdenVoraussetzungendes§23zulässig.
43Bundesdatenschutzgesetz Teil 2
(2) Die Übermittlung personenbezogener Daten durch öffentlicheStellenannichtöffentlicheStellenistzulässig,wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelndenStelleliegendenAufgabenerforderlichistunddieVoraussetzun-genvorliegen,dieeineVerarbeitungnach§23zulassenwürden,
2. derDritte,andendieDatenübermitteltwerden,einberechtigtesInteresseanderKenntnisderzuübermittelndenDatenglaubhaftdarlegtunddiebetroffenePersonkeinschutzwürdigesInteresseandemAusschlussderÜbermittlunghatoder
3. eszurGeltendmachung,AusübungoderVerteidigungrechtlicherAnsprücheerforderlichist
undderDrittesichgegenüberderübermittelndenöffentlichenStel-leverpflichtethat,dieDatennurfürdenZweckzuverarbeiten,zudessenErfüllungsieihmübermitteltwerden.EineVerarbeitungfürandereZweckeistzulässig,wenneineÜbermittlungnachSatz1zu-lässigwäreunddieübermittelndeStellezugestimmthat.
(3)DieÜbermittlungbesondererKategorienpersonenbezogenerDa-tenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679istzulässig,wenndieVoraussetzungendesAbsatzes1oder2undeinAusnahmetatbestand nachArtikel 9Absatz 2 derVerordnung(EU)2016/679odernach§22vorliegen.
Abschnitt2 BesondereVerarbeitungssituationen
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhält-nisses
(1)PersonenbezogeneDatenvonBeschäftigtendürfenfürZweckedesBeschäftigungsverhältnissesverarbeitetwerden,wenndiesfürdie Entscheidung über die Begründung eines Beschäftigungsver-hältnisses oder nach Begründung des BeschäftigungsverhältnissesfürdessenDurchführungoderBeendigungoderzurAusübungoderErfüllungdersichauseinemGesetzodereinemTarifvertrag,einerBetriebs-oderDienstvereinbarung(Kollektivvereinbarung)ergeben-denRechteundPflichtenderInteressenvertretungderBeschäftig-
44
tenerforderlichist.ZurAufdeckungvonStraftatendürfenpersonen-bezogene Daten von Beschäftigten nur dann verarbeitet werden,wennzudokumentierendetatsächlicheAnhaltspunktedenVerdachtbegründen, dass die betroffene Person im Beschäftigungsverhält-nis eine Straftat begangen hat, die Verarbeitung zur Aufdeckungerforderlich ist unddas schutzwürdige InteressederoderdesBe-schäftigten an demAusschluss der Verarbeitung nicht überwiegt,insbesondereArtundAusmaßimHinblickaufdenAnlassnichtun-verhältnismäßigsind.
(2) Erfolgt die Verarbeitung personenbezogener Daten von Be-schäftigten auf der Grundlage einer Einwilligung, so sind für dieBeurteilungderFreiwilligkeitderEinwilligung insbesonderedie imBeschäftigungsverhältnis bestehendeAbhängigkeit der beschäftig-tenPersonsowiedieUmstände,unterdenendieEinwilligungerteiltwordenist,zuberücksichtigen.Freiwilligkeitkanninsbesonderevor-liegen,wenn fürdiebeschäftigtePersonein rechtlicheroderwirt-schaftlicherVorteilerreichtwirdoderArbeitgeberundbeschäftigtePersongleichgelagerteInteressenverfolgen.DieEinwilligungbedarfder Schriftform, soweit nicht wegen besonderer Umstände eineandereFormangemessenist.DerArbeitgeberhatdiebeschäftigtePersonüberdenZweckderDatenverarbeitungundüberihrWider-rufsrechtnachArtikel7Absatz3derVerordnung(EU)2016/679inTextformaufzuklären.
(3)AbweichendvonArtikel9Absatz1derVerordnung(EU)2016/679istdieVerarbeitungbesondererKategorienpersonenbezogenerDa-tenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679fürZweckedesBeschäftigungsverhältnisseszulässig,wennsiezurAusübungvonRechtenoderzurErfüllungrechtlicherPflichtenausdemArbeitsrecht,demRechtdersozialenSicherheitunddesSozial-schutzeserforderlich istundkeinGrundzuderAnnahmebesteht,dass das schutzwürdige Interesse der betroffenen Person an demAusschluss derVerarbeitungüberwiegt.Absatz2 gilt auch für dieEinwilligung in dieVerarbeitungbesondererKategorienpersonen-bezogenerDaten;dieEinwilligungmusssichdabeiausdrücklichaufdieseDatenbeziehen.§22Absatz2giltentsprechend.
(4)DieVerarbeitung personenbezogenerDaten, einschließlich be-sondererKategorien personenbezogenerDatenvonBeschäftigtenfürZweckedesBeschäftigungsverhältnisses, istaufderGrundlagevon Kollektivvereinbarungen zulässig. Dabei haben die Verhand-
45Bundesdatenschutzgesetz Teil 2
lungspartnerArtikel88Absatz2derVerordnung(EU)2016/679zubeachten.
(5)DerVerantwortlichemussgeeigneteMaßnahmenergreifen,umsicherzustellen,dass insbesonderedie inArtikel5derVerordnung(EU)2016/679dargelegtenGrundsätzefürdieVerarbeitungperso-nenbezogenerDateneingehaltenwerden.
(6)DieBeteiligungsrechtederInteressenvertretungenderBeschäf-tigtenbleibenunberührt.
(7)DieAbsätze1bis6sindauchanzuwenden,wennpersonenbezo-geneDaten,einschließlichbesondererKategorienpersonenbezoge-nerDaten,vonBeschäftigtenverarbeitetwerden,ohnedasssie ineinemDateisystemgespeichertsindodergespeichertwerdensollen.
(8)BeschäftigteimSinnediesesGesetzessind:
1. ArbeitnehmerinnenundArbeitnehmer,einschließlichderLeihar-beitnehmerinnenundLeiharbeitnehmer imVerhältniszumEnt-leiher,
2. zuihrerBerufsbildungBeschäftigte,
3. TeilnehmerinnenundTeilnehmeranLeistungenzurTeilhabeamArbeitsleben sowie an Abklärungen der beruflichen EignungoderArbeitserprobung(RehabilitandinnenundRehabilitanden),
4. inanerkanntenWerkstättenfürbehinderteMenschenBeschäf-tigte,
5. Freiwillige,dieeinenDienstnachdemJugendfreiwilligendiens-tegesetzoderdemBundesfreiwilligendienstgesetzleisten,
6. Personen,diewegenihrerwirtschaftlichenUnselbständigkeitalsarbeitnehmerähnlichePersonenanzusehensind;zudiesengehö-renauchdieinHeimarbeitBeschäftigtenunddieihnenGleichge-stellten,
7. BeamtinnenundBeamtedesBundes,RichterinnenundRichterdesBundes,SoldatinnenundSoldatensowieZivildienstleisten-de.
46
BewerberinnenundBewerberfüreinBeschäftigungsverhältnisso-wiePersonen,derenBeschäftigungsverhältnisbeendetist,geltenalsBeschäftigte.
§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
(1)AbweichendvonArtikel9Absatz1derVerordnung(EU)2016/679istdieVerarbeitungbesondererKategorienpersonenbezogenerDa-tenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679auchohneEinwilligung fürwissenschaftlicheoderhistorischeFor-schungszweckeoderfürstatistischeZweckezulässig,wenndieVer-arbeitungzudiesenZweckenerforderlichistunddieInteressendesVerantwortlichenanderVerarbeitungdieInteressenderbetroffenenPersonaneinemAusschlussderVerarbeitungerheblichüberwiegen.DerVerantwortliche sieht angemessene und spezifischeMaßnah-menzurWahrungderInteressenderbetroffenenPersongemäߧ22Absatz2Satz2vor.
(2) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU)2016/679vorgesehenenRechtederbetroffenenPersonsindinso-weitbeschränkt,alsdieseRechtevoraussichtlichdieVerwirklichungder Forschungs- oder Statistikzwecke unmöglich machen oderernsthaft beinträchtigen und die Beschränkung für die ErfüllungderForschungs-oderStatistikzweckenotwendigist.DasRechtaufAuskunftgemäßArtikel15derVerordnung(EU)2016/679bestehtdarüberhinausnicht,wenndieDatenfürZweckederwissenschaft-lichenForschungerforderlichsindunddieAuskunftserteilungeinenunverhältnismäßigenAufwanderfordernwürde.
(3)Ergänzendzudenin§22Absatz2genanntenMaßnahmensindzu wissenschaftlichen oder historischen Forschungszwecken oderzustatistischenZweckenverarbeitetebesondereKategorienperso-nenbezogenerDaten imSinnedesArtikels9Absatz1derVerord-nung(EU)2016/679zuanonymisieren,sobalddiesnachdemFor-schungs- oder Statistikzweckmöglich ist, es sei denn, berechtigteInteressenderbetroffenenPersonstehendementgegen.BisdahinsinddieMerkmalegesondertzuspeichern,mitdenenEinzelangabenüberpersönlicheodersachlicheVerhältnisseeinerbestimmtenoderbestimmbaren Person zugeordnetwerden können. Sie dürfenmit
47Bundesdatenschutzgesetz Teil 2
denEinzelangabennur zusammengeführtwerden, soweitderFor-schungs-oderStatistikzweckdieserfordert.
(4) DerVerantwortliche darf personenbezogene Daten nur veröf-fentlichen,wenndiebetroffenePersoneingewilligthatoderdiesfürdieDarstellungvonForschungsergebnissenüberEreignissederZeit-geschichteunerlässlichist.
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU)2016/679istdieVerarbeitungbesondererKategorienpersonenbe-zogenerDatenimSinnedesArtikels9Absatz1derVerordnung(EU)2016/679zulässig,wennsiefürimöffentlichenInteresseliegendeArchivzweckeerforderlich ist.DerVerantwortlichesiehtangemes-seneundspezifischeMaßnahmenzurWahrungder InteressenderbetroffenenPersongemäߧ22Absatz2Satz2vor.
(2)DasRechtaufAuskunftderbetroffenenPersongemäßArtikel15derVerordnung (EU)2016/679bestehtnicht,wenndasArchivgutnichtdurchdenNamenderPersonerschlossenistoderkeineAnga-bengemachtwerden,diedasAuffindendesbetreffendenArchivgutsmitvertretbaremVerwaltungsaufwandermöglichen.
(3)DasRechtaufBerichtigungderbetroffenenPersongemäßArti-kel16derVerordnung(EU)2016/679bestehtnicht,wenndieper-sonenbezogenenDatenzuArchivzweckenimöffentlichenInteresseverarbeitetwerden.BestreitetdiebetroffenePersondieRichtigkeitderpersonenbezogenenDaten,istihrdieMöglichkeiteinerGegen-darstellungeinzuräumen.DaszuständigeArchivistverpflichtet,dieGegendarstellungdenUnterlagenhinzuzufügen.
(4)Die inArtikel 18Absatz 1Buchstabe a, b und d, denArtikeln20und21derVerordnung(EU)2016/679vorgesehenenRechtebe-stehennicht,soweitdieseRechtevoraussichtlichdieVerwirklichungder im öffentlichen Interesse liegenden Archivzwecke unmöglichmachenoderernsthaftbeeinträchtigenunddieAusnahmenfürdieErfüllungdieserZweckeerforderlichsind.
48
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
(1)DiePflichtzurInformationderbetroffenenPersongemäßArti-kel14Absatz1bis4derVerordnung(EU)2016/679bestehtergän-zendzudeninArtikel14Absatz5derVerordnung(EU)2016/679genanntenAusnahmennicht,soweitdurchihreErfüllungInformatio-nenoffenbartwürden,dieihremWesennach,insbesonderewegender überwiegenden berechtigten Interessen einesDritten, geheimgehaltenwerdenmüssen.DasRechtaufAuskunftderbetroffenenPerson gemäßArtikel 15 derVerordnung (EU) 2016/679 bestehtnicht, soweit durchdieAuskunft Informationenoffenbartwürden,dienacheinerRechtsvorschriftoderihremWesennach,insbesonde-rewegenderüberwiegendenberechtigtenInteresseneinesDritten,geheimgehaltenwerdenmüssen.DiePflichtzurBenachrichtigunggemäßArtikel34derVerordnung(EU)2016/679bestehtergänzendzuderinArtikel34Absatz3derVerordnung(EU)2016/679genann-tenAusnahmenicht,soweitdurchdieBenachrichtigungInformatio-nenoffenbartwürden, dienacheinerRechtsvorschriftoder ihremWesennach,insbesonderewegenderüberwiegendenberechtigtenInteresseneinesDritten,geheimgehaltenwerdenmüssen.Abwei-chendvonderAusnahmenachSatz3istdiebetroffenePersonnachArtikel34derVerordnung(EU)2016/679zubenachrichtigen,wenndieInteressenderbetroffenenPerson,insbesondereunterBerück-sichtigungdrohenderSchäden,gegenüberdemGeheimhaltungsin-teresseüberwiegen.
(2)WerdenDatenDritterimZugederAufnahmeoderimRahmenei-nesMandatsverhältnissesaneinenBerufsgeheimnisträgerübermit-telt,sobestehtdiePflichtderübermittelndenStellezurInformationderbetroffenenPersongemäßArtikel13Absatz3derVerordnung(EU)2016/679nicht,sofernnichtdasInteressederbetroffenenPer-sonanderInformationserteilungüberwiegt.
(3)Gegenüberdenin§203Absatz1,2aund3desStrafgesetzbuchsgenanntenPersonenoderderenAuftragsverarbeiternbestehendieUntersuchungsbefugnissederAufsichtsbehördengemäßArtikel58Absatz1BuchstabeeundfderVerordnung (EU)2016/679nicht,soweitdieInanspruchnahmederBefugnissezueinemVerstoßgegendieGeheimhaltungspflichtendieserPersonenführenwürde.ErlangteineAufsichtsbehördeimRahmeneinerUntersuchungKenntnisvon
49Bundesdatenschutzgesetz Teil 2
Daten,dieeinerGeheimhaltungspflichtimSinnedesSatzes1unter-liegen,giltdieGeheimhaltungspflichtauchfürdieAufsichtsbehörde.
§ 30 Verbraucherkredite
(1)EineStelle,diegeschäftsmäßigpersonenbezogeneDaten,diezurBewertungderKreditwürdigkeitvonVerbraucherngenutztwerdendürfen, zum Zweck der Übermittlung erhebt, speichert oder ver-ändert, hatAuskunftsverlangenvonDarlehensgebernaus anderenMitgliedstaatenderEuropäischenUniongenausozubehandelnwieAuskunftsverlangeninländischerDarlehensgeber.
(2)WerdenAbschlusseinesVerbraucherdarlehensvertragsoderei-nesVertragsübereineentgeltlicheFinanzierungshilfemiteinemVer-braucherinfolgeeinerAuskunfteinerStelleimSinnedesAbsatzes1ablehnt,hatdenVerbraucherunverzüglichhierübersowieüberdieerhalteneAuskunftzuunterrichten.DieUnterrichtungunterbleibt,soweithierdurchdieöffentlicheSicherheitoderOrdnunggefährdetwürde.§37bleibtunberührt.
§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitäts-auskünften
(1) Die Verwendung einesWahrscheinlichkeitswerts über ein be-stimmteszukünftigesVerhalteneinernatürlichenPersonzumZweckderEntscheidungüberdieBegründung,DurchführungoderBeendi-gungeinesVertragsverhältnissesmitdieserPerson(Scoring)istnurzulässig,wenn
1. dieVorschriftendesDatenschutzrechtseingehaltenwurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutztenDaten unter Zugrundelegung eineswissenschaftlich anerkann-tenmathematisch-statistischenVerfahrensnachweisbarfürdieBerechnungderWahrscheinlichkeitdesbestimmtenVerhaltenserheblichsind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht aus-schließlichAnschriftendatengenutztwurdenund
50
4. imFallderNutzungvonAnschriftendatendiebetroffenePersonvorBerechnungdesWahrscheinlichkeitswertsüberdievorgese-heneNutzungdieserDatenunterrichtetwordenist;dieUnter-richtungistzudokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahr-scheinlichkeitswertsüberdieZahlungsfähig-undZahlungswilligkeiteinernatürlichenPerson ist imFallderEinbeziehungvon Informa-tionenüberForderungennurzulässig,soweitdieVoraussetzungennachAbsatz1vorliegenundnursolcheForderungenübereinege-schuldeteLeistung,dietrotzFälligkeitnichterbrachtwordenist,be-rücksichtigtwerden,
1. diedurcheinrechtskräftigesoderfürvorläufigvollstreckbarer-klärtesUrteilfestgestelltwordensindoderfürdieeinSchuldtitelnach§794derZivilprozessordnungvorliegt,
2. dienach§178derInsolvenzordnungfestgestelltundnichtvomSchuldnerimPrüfungsterminbestrittenwordensind,
3. diederSchuldnerausdrücklichanerkannthat,
4. beidenen
a) derSchuldnernachEintrittderFälligkeitderForderungmin-destenszweimalschriftlichgemahntwordenist,
b) dieersteMahnungmindestensvierWochenzurückliegt,
c) derSchuldnerzuvor,jedochfrühestensbeidererstenMah-nung,übereinemöglicheBerücksichtigungdurcheineAus-kunfteiunterrichtetwordenistund
d) derSchuldnerdieForderungnichtbestrittenhatoder
5. derenzugrundeliegendesVertragsverhältnisaufgrundvonZah-lungsrückständenfristlosgekündigtwerdenkannundbeidenenderSchuldnerzuvorübereinemöglicheBerücksichtigungdurcheineAuskunfteiunterrichtetwordenist.
51Bundesdatenschutzgesetz Teil 2
DieZulässigkeitderVerarbeitung,einschließlichderErmittlungvonWahrscheinlichkeitswerten,vonanderenbonitätsrelevantenDatennachallgemeinemDatenschutzrechtbleibtunberührt.
Kapitel2 RechtederbetroffenenPerson
§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1)DiePflichtzurInformationderbetroffenenPersongemäßArti-kel13Absatz3derVerordnung(EU)2016/679bestehtergänzendzuderinArtikel13Absatz4derVerordnung(EU)2016/679genann-tenAusnahmedannnicht,wenndieErteilungderInformationüberdiebeabsichtigteWeiterverarbeitung
1. eineWeiterverarbeitunganaloggespeicherterDatenbetrifft,beider sichderVerantwortlichedurchdieWeiterverarbeitungun-mittelbarandiebetroffenePersonwendet,derZweckmitdemursprünglichen Erhebungszweck gemäß der Verordnung (EU)2016/679vereinbarist,dieKommunikationmitderbetroffenenPersonnichtindigitalerFormerfolgtunddasInteressederbe-troffenenPersonanderInformationserteilungnachdenUmstän-dendesEinzelfalls, insbesonderemitBlickaufdenZusammen-hang, indemdieDatenerhobenwurden,alsgeringanzusehenist,
2. im Fall einer öffentlichen Stelle die ordnungsgemäße Erfüllungder in der Zuständigkeit des Verantwortlichen liegenden Auf-gabenimSinnedesArtikels23Absatz1BuchstabeabisederVerordnung(EU)2016/679gefährdenwürdeunddieInteressendesVerantwortlichenanderNichterteilungderInformationdieInteressenderbetroffenenPersonüberwiegen,
3. die öffentliche Sicherheit oderOrdnung gefährden oder sonstdemWohl des Bundes oder eines Landes Nachteile bereitenwürdeunddieInteressendesVerantwortlichenanderNichter-teilung der Information die Interessen der betroffenen Personüberwiegen,
52
4. die Geltendmachung, Ausübung oder Verteidigung rechtlicherAnsprüche beeinträchtigenwürde und die Interessen desVer-antwortlichenanderNichterteilungderInformationdieInteres-senderbetroffenenPersonüberwiegenoder
5. einevertraulicheÜbermittlungvonDatenanöffentlicheStellengefährdenwürde.
(2)UnterbleibteineInformationderbetroffenenPersonnachMaß-gabedesAbsatzes1,ergreiftderVerantwortlichegeeigneteMaß-nahmen zum Schutz der berechtigten Interessen der betroffenenPerson,einschließlichderBereitstellungder inArtikel13Absatz1und2derVerordnung(EU)2016/679genanntenInformationenfürdieÖffentlichkeitinpräziser,transparenter,verständlicherundleichtzugänglicherFormineinerklarenundeinfachenSprache.DerVer-antwortlichehältschriftlichfest,auswelchenGründenervoneinerInformationabgesehenhat.DieSätze1und2findenindenFällendesAbsatzes1Nummer4und5keineAnwendung.
(3)Unterbleibt dieBenachrichtigung indenFällendesAbsatzes1wegeneinesvorübergehendenHinderungsgrundes,kommtderVer-antwortliche der Informationspflicht unter Berücksichtigung derspezifischenUmständederVerarbeitung innerhalbeinerangemes-senenFristnachFortfalldesHinderungsgrundes,spätestensjedochinnerhalbvonzweiWochen,nach.
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
(1)DiePflichtzurInformationderbetroffenenPersongemäßArti-kel14Absatz1,2und4derVerordnung(EU)2016/679bestehter-gänzendzudeninArtikel14Absatz5derVerordnung(EU)2016/679undderin§29Absatz1Satz1genanntenAusnahmenicht,wenndieErteilungderInformation
1. imFalleineröffentlichenStelle
a) dieordnungsgemäßeErfüllungder inderZuständigkeitdesVerantwortlichen liegendenAufgaben imSinnedesArtikels23Absatz1BuchstabeabisederVerordnung(EU)2016/679gefährdenwürdeoder
53Bundesdatenschutzgesetz Teil 2
b) dieöffentlicheSicherheitoderOrdnunggefährdenodersonstdemWohldesBundesodereinesLandesNachteilebereitenwürde
unddeswegendasInteressederbetroffenenPersonanderInforma-tionserteilungzurücktretenmuss,
2. imFalleinernichtöffentlichenStelle
a) dieGeltendmachung,AusübungoderVerteidigungzivilrecht-licherAnsprüche beeinträchtigenwürde oder dieVerarbei-tungDatenauszivilrechtlichenVerträgenbeinhaltetundderVerhütungvonSchädendurchStraftatendient,sofernnichtdasberechtigteInteressederbetroffenenPersonanderIn-formationserteilungüberwiegt,oder
b) diezuständigeöffentlicheStellegegenüberdemVerantwort-lichen festgestellt hat, dass das Bekanntwerden derDatendie öffentliche Sicherheit oder Ordnung gefährden odersonstdemWohldesBundesodereinesLandesNachteilebe-reitenwürde;imFallderDatenverarbeitungfürZweckederStrafverfolgungbedarfeskeinerFeststellungnachdemers-tenHalbsatz.
(2)UnterbleibteineInformationderbetroffenenPersonnachMaß-gabedesAbsatzes1,ergreiftderVerantwortlichegeeigneteMaß-nahmen zum Schutz der berechtigten Interessen der betroffenenPerson,einschließlichderBereitstellungder inArtikel14Absatz1und2derVerordnung(EU)2016/679genanntenInformationenfürdieÖffentlichkeitinpräziser,transparenter,verständlicherundleichtzugänglicherFormineinerklarenundeinfachenSprache.DerVer-antwortlichehältschriftlichfest,auswelchenGründenervoneinerInformationabgesehenhat.
(3)BeziehtsichdieInformationserteilungaufdieÜbermittlungper-sonenbezogener Daten durch öffentliche Stellen an Verfassungs-schutzbehörden, den Bundesnachrichtendienst, den MilitärischenAbschirmdienstund,soweitdieSicherheitdesBundesberührtwird,andereBehördendesBundesministeriumsderVerteidigung, istsienurmitZustimmungdieserStellenzulässig.
54
§ 34 Auskunftsrecht der betroffenen Person
(1)DasRechtaufAuskunftderbetroffenenPersongemäßArtikel15derVerordnung (EU)2016/679bestehtergänzendzuden in§27Absatz2,§28Absatz2und§29Absatz1Satz2genanntenAusnah-mennicht,wenn
1. diebetroffenePersonnach§33Absatz1Nummer1,2Buchsta-beboderAbsatz3nichtzuinformierenist,oder
2. dieDaten
a) nurdeshalbgespeichertsind,weilsieaufgrundgesetzlicherodersatzungsmäßigerAufbewahrungsvorschriftennichtge-löschtwerdendürfen,oder
b) ausschließlichZweckenderDatensicherungoderderDaten-schutzkontrolledienen
unddieAuskunftserteilungeinenunverhältnismäßigenAufwanderfordernwürdesowieeineVerarbeitungzuanderenZweckendurch geeignete technische und organisatorischeMaßnahmenausgeschlossenist.
(2)DieGründederAuskunftsverweigerungsindzudokumentieren.DieAblehnungderAuskunftserteilungistgegenüberderbetroffenenPersonzubegründen,soweitnichtdurchdieMitteilungdertatsäch-lichen und rechtlichen Gründe, auf die die Entscheidung gestütztwird,dermitderAuskunftsverweigerungverfolgteZweckgefährdetwürde.DiezumZweckderAuskunftserteilungandiebetroffenePer-sonundzuderenVorbereitunggespeichertenDatendürfennurfürdiesenZwecksowiefürZweckederDatenschutzkontrolleverarbei-tetwerden;fürandereZweckeistdieVerarbeitungnachMaßgabedesArtikels18derVerordnung(EU)2016/679einzuschränken.
(3)Wird der betroffenen Person durch eine öffentliche Stelle desBundeskeineAuskunfterteilt,soistsieaufihrVerlangenderoderdemBundesbeauftragtenzuerteilen,soweitnichtdiejeweilszustän-digeobersteBundesbehördeimEinzelfallfeststellt,dassdadurchdieSicherheitdesBundesodereinesLandesgefährdetwürde.DieMit-teilungderoderdesBundesbeauftragtenandiebetroffenePersonüber das Ergebnis der datenschutzrechtlichen Prüfung darf keine
55Bundesdatenschutzgesetz Teil 2
RückschlüsseaufdenErkenntnisstanddesVerantwortlichenzulas-sen,soferndiesernichteinerweitergehendenAuskunftzustimmt.
(4)DasRechtderbetroffenenPersonaufAuskunftüberpersonen-bezogeneDaten,diedurcheineöffentlicheStellewederautomati-siertverarbeitetnochnichtautomatisiertverarbeitetundineinemDateisystemgespeichertwerden,bestehtnur,soweitdiebetroffenePersonAngabenmacht,diedasAuffindenderDatenermöglichen,undderfürdieErteilungderAuskunfterforderlicheAufwandnichtaußerVerhältnis zu dem von der betroffenen Person geltend ge-machtenInformationsinteressesteht.
§ 35 Recht auf Löschung
(1)IsteineLöschungimFallnichtautomatisierterDatenverarbeitungwegenderbesonderenArtderSpeicherungnichtodernurmitun-verhältnismäßighohemAufwandmöglichundistdasInteressederbetroffenenPersonanderLöschungalsgeringanzusehen,bestehtdas Recht der betroffenenPerson auf und die Pflicht desVerant-wortlichen zur Löschung personenbezogener Daten gemäß Arti-kel17Absatz1derVerordnung (EU)2016/679ergänzendzudeninArtikel 17Absatz 3 derVerordnung (EU) 2016/679 genanntenAusnahmennicht.IndiesemFalltrittandieStelleeinerLöschungdieEinschränkungderVerarbeitunggemäßArtikel18derVerordnung(EU)2016/679.DieSätze1und2findenkeineAnwendung,wenndiepersonenbezogenenDatenunrechtmäßigverarbeitetwurden.
(2)ErgänzendzuArtikel18Absatz1BuchstabebundcderVerord-nung(EU)2016/679giltAbsatz1Satz1und2entsprechendimFalldesArtikels 17Absatz 1Buchstabe a und d derVerordnung (EU)2016/679, solange und soweit derVerantwortlicheGrund zu derAnnahmehat,dassdurcheineLöschungschutzwürdigeInteressenderbetroffenenPersonbeeinträchtigtwürden.DerVerantwortlicheunterrichtetdiebetroffenePersonüberdieEinschränkungderVer-arbeitung,sofernsichdieUnterrichtungnichtalsunmöglicherweistodereinenunverhältnismäßigenAufwanderfordernwürde.
(3)ErgänzendzuArtikel17Absatz3BuchstabebderVerordnung(EU)2016/679giltAbsatz1entsprechend imFall desArtikels17Absatz1BuchstabeaderVerordnung (EU)2016/679,wenneiner
56
LöschungsatzungsgemäßeodervertraglicheAufbewahrungsfristenentgegenstehen.
§ 36 Widerspruchsrecht
DasRechtaufWiderspruchgemäßArtikel21Absatz1derVerord-nung (EU) 2016/679 gegenüber einer öffentlichen Stelle bestehtnicht,soweitanderVerarbeitungeinzwingendesöffentlichesInter-essebesteht,dasdieInteressenderbetroffenenPersonüberwiegt,odereineRechtsvorschriftzurVerarbeitungverpflichtet.
§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU)2016/679, keiner ausschließlich auf einer automatisierten Verar-beitungberuhendenEntscheidungunterworfenzuwerden,bestehtüberdie inArtikel22Absatz2BuchstabeaundcderVerordnung(EU)2016/679genanntenAusnahmenhinausnicht,wenndieEnt-scheidung im Rahmen der Leistungserbringung nach einemVersi-cherungsvertragergehtund
1. demBegehrenderbetroffenenPersonstattgegebenwurdeoder
2. die Entscheidung auf der Anwendung verbindlicher Entgeltre-gelungenfürHeilbehandlungenberuhtundderVerantwortlichefürdenFall,dassdemAntragnichtvollumfänglichstattgegebenwird,angemesseneMaßnahmenzurWahrungderberechtigtenInteressen der betroffenen Person trifft,wozumindestens dasRecht auf Erwirkung des Eingreifens einer Person seitens desVerantwortlichen,aufDarlegungdeseigenenStandpunktesundaufAnfechtungderEntscheidungzählt;derVerantwortlichein-formiertdiebetroffenePersonüberdieseRechtespätestenszumZeitpunktderMitteilung, ausder sichergibt, dassdemAntragderbetroffenenPersonnichtvollumfänglichstattgegebenwird.
(2)EntscheidungennachAbsatz1dürfenaufderVerarbeitungvonGesundheitsdatenimSinnedesArtikels4Nummer15derVerord-nung(EU)2016/679beruhen.DerVerantwortlichesiehtangemes-
57Bundesdatenschutzgesetz Teil 2
seneundspezifischeMaßnahmenzurWahrungder InteressenderbetroffenenPersongemäߧ22Absatz2Satz2vor.
Kapitel3 Pflichten der Verantwortlichen undAuftragsverarbeiter
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zuArtikel 37Absatz 1Buchstabe b und c derVer-ordnung (EU) 2016/679 benennen der Verantwortliche und derAuftragsverarbeiter eine Datenschutzbeauftragte oder einen Da-tenschutzbeauftragten, soweit sie in der Regel mindestens zehnPersonen ständigmit der automatisiertenVerarbeitung personen-bezogenerDaten beschäftigen.Nehmen derVerantwortliche oderderAuftragsverarbeiterVerarbeitungenvor,dieeinerDatenschutz-FolgenabschätzungnachArtikel35derVerordnung(EU)2016/679unterliegen, oder verarbeiten sie personenbezogene Daten ge-schäftsmäßig zum Zweck der Übermittlung, der anonymisiertenÜbermittlungoderfürZweckederMarkt-oderMeinungsforschung,habensieunabhängigvonderAnzahldermitderVerarbeitungbe-schäftigtenPersoneneineDatenschutzbeauftragteodereinenDa-tenschutzbeauftragtenzubenennen.
(2)§6Absatz4,5Satz2undAbsatz6findenAnwendung,§6Ab-satz 4 jedoch nur, wenn die Benennung einer oder eines Daten-schutzbeauftragtenverpflichtendist.
§ 39 Akkreditierung
DieErteilungderBefugnis,alsZertifizierungsstellegemäßArtikel43Absatz1Satz1derVerordnung(EU)2016/679tätigzuwerden,er-folgtdurchdiefürdiedatenschutzrechtlicheAufsichtüberdieZer-tifizierungsstellezuständigeAufsichtsbehördedesBundesoderderLänderaufderGrundlageeinerAkkreditierungdurchdieDeutscheAkkreditierungsstelle.§2Absatz3Satz2,§4Absatz3und§10Ab-satz1Satz1Nummer3desAkkreditierungsstellengesetzesfinden
58
mitderMaßgabeAnwendung,dassderDatenschutzalseindemAn-wendungsbereichdes§1Absatz2Satz2unterfallenderBereichgilt.
Kapitel4 Aufsichtsbehörde fürdieDatenverar-beitungdurchnichtöffentlicheStellen
§ 40 Aufsichtsbehörden der Länder
(1)DienachLandesrechtzuständigenBehördenüberwachenimAn-wendungsbereichderVerordnung (EU)2016/679beidennichtöf-fentlichenStellendieAnwendungderVorschriftenüberdenDaten-schutz.
(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere in-ländischeNiederlassungen,findet fürdieBestimmungder zustän-digenAufsichtsbehördeArtikel4Nummer16derVerordnung(EU)2016/679entsprechendeAnwendung.WennsichmehrereBehör-denfürzuständigoderfürunzuständighaltenoderwenndieZustän-digkeitausanderenGründenzweifelhaft ist, treffendieAufsichts-behörden die Entscheidung gemeinsam nach Maßgabe des § 18Absatz 2. § 3Absatz 3 und 4 desVerwaltungsverfahrensgesetzesfindetentsprechendeAnwendung.
(3)DieAufsichtsbehördedarfdievon ihrgespeichertenDatennurfürZweckederAufsichtverarbeiten;hierbeidarfsieDatenanande-reAufsichtsbehördenübermitteln.EineVerarbeitungzueinemande-renZweckistüberArtikel6Absatz4derVerordnung(EU)2016/679hinauszulässig,wenn
1. offensichtlich ist, dass sie im Interesseder betroffenenPersonliegtundkeinGrundzuderAnnahmebesteht,dasssieinKennt-nisdesanderenZwecksihreEinwilligungverweigernwürde,
2. siezurAbwehrerheblicherNachteilefürdasGemeinwohlodereinerGefahrfürdieöffentlicheSicherheitoderzurWahrunger-heblicherBelangedesGemeinwohlserforderlichistoder
59Bundesdatenschutzgesetz Teil 2
3. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,zurVollstreckungoder zumVollzugvonStrafenoderMaßnah-menimSinnedes§11Absatz1Nummer8desStrafgesetzbuchsodervonErziehungsmaßregelnoderZuchtmitteln imSinnedesJugendgerichtsgesetzes oder zurVollstreckungvonGeldbußenerforderlichist.
Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriftenüber denDatenschutz fest, so ist sie befugt, die betroffenenPer-sonen hierüber zu unterrichten, denVerstoß anderen für dieVer-folgung oder Ahndung zuständigen Stellen anzuzeigen sowie beischwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zurDurchführung gewerberechtlicher Maßnahmen zu unterrichten.§13Absatz4Satz4bis7giltentsprechend.
(4)DiederAufsichtunterliegendenStellensowiediemitderenLei-tungbeauftragtenPersonenhabeneinerAufsichtsbehördeaufVer-langendiefürdieErfüllungihrerAufgabenerforderlichenAuskünftezu erteilen. DerAuskunftspflichtige kann dieAuskunft auf solcheFragenverweigern,derenBeantwortungihnselbstodereinenderin§383Absatz1Nummer1bis3derZivilprozessordnungbezeichne-tenAngehörigenderGefahrstrafgerichtlicherVerfolgungodereinesVerfahrensnachdemGesetzüberOrdnungswidrigkeitenaussetzenwürde.DerAuskunftspflichtigeistdaraufhinzuweisen.
(5)DievoneinerAufsichtsbehördemitderÜberwachungderEin-haltung derVorschriften über denDatenschutz beauftragten Per-sonen sind befugt, zur Erfüllung ihrerAufgabenGrundstücke undGeschäftsräumederStellezubetretenundZugangzuallenDaten-verarbeitungsanlagenund-gerätenzuerhalten.DieStelle ist inso-weitzurDuldungverpflichtet.§16Absatz4giltentsprechend.
(6) Die Aufsichtsbehörden beraten und unterstützen die Daten-schutzbeauftragtenmit Rücksicht auf deren typische Bedürfnisse.SiekönnendieAbberufungderoderdesDatenschutzbeauftragtenverlangen,wennsieodererdiezurErfüllungihreroderseinerAuf-gabenerforderlicheFachkundenichtbesitztoder imFalldesArti-kels38Absatz6derVerordnung(EU)2016/679einschwerwiegen-derInteressenkonfliktvorliegt.
(7)DieAnwendungderGewerbeordnungbleibtunberührt.
60
Kapitel5 Sanktionen
§ 41 Anwendung der Vorschriften über das Bußgeld- und Straf-verfahren
(1)FürVerstößenachArtikel83Absatz4bis6derVerordnung(EU)2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt,dieVorschriften des Gesetzes überOrdnungswidrigkeiten sinnge-mäß.Die§§17,35und36desGesetzesüberOrdnungswidrigkeitenfindenkeineAnwendung.§68desGesetzesüberOrdnungswidrig-keiten findetmit derMaßgabeAnwendung, dass das Landgerichtentscheidet,wenndie festgesetzteGeldbußedenBetragvonein-hunderttausendEuroübersteigt.
(2)FürVerfahrenwegeneinesVerstoßesnachArtikel83Absatz4bis6derVerordnung(EU)2016/679gelten,soweitdiesesGesetznichtsanderesbestimmt,dieVorschriftendesGesetzesüberOrdnungswi-drigkeiten und der allgemeinen Gesetze über das Strafverfahren,namentlichderStrafprozessordnungunddesGerichtsverfassungs-gesetzes,entsprechend.Die§§56bis58,87,88,99und100desGesetzesüberOrdnungswidrigkeitenfindenkeineAnwendung.§69Absatz4Satz2desGesetzesüberOrdnungswidrigkeitenfindetmitderMaßgabeAnwendung,dassdieStaatsanwaltschaftdasVerfah-rennurmitZustimmungderAufsichtsbehörde,diedenBußgeldbe-scheiderlassenhat,einstellenkann.
§ 42 Strafvorschriften
(1)Mit Freiheitsstrafe bis zu drei Jahren odermitGeldstrafewirdbestraft,werwissentlichnichtallgemeinzugänglichepersonenbezo-geneDateneinergroßenZahlvonPersonen,ohnehierzuberechtigtzusein,
1. einemDrittenübermitteltoder
2. aufandereArtundWeisezugänglichmacht
undhierbeigewerbsmäßighandelt.
61Bundesdatenschutzgesetz Teil 2
(2)MitFreiheitsstrafebis zuzweiJahrenodermitGeldstrafewirdbestraft,werpersonenbezogeneDaten,dienichtallgemeinzugäng-lichsind,
1. ohnehierzuberechtigtzusein,verarbeitetoder
2. durchunrichtigeAngabenerschleicht
undhierbeigegenEntgeltoderinderAbsichthandelt,sichoderei-nenanderenzubereichernodereinenanderenzuschädigen.
(3)DieTatwirdnuraufAntragverfolgt.AntragsberechtigtsinddiebetroffenePerson,derVerantwortliche,dieoderderBundesbeauf-tragteunddieAufsichtsbehörde.
(4) EineMeldung nachArtikel 33 derVerordnung (EU) 2016/679odereineBenachrichtigungnachArtikel34Absatz1derVerordnung(EU)2016/679darfineinemStrafverfahrengegendenMeldepflich-tigenoderBenachrichtigendenoderseinein§52Absatz1derStraf-prozessordnungbezeichnetenAngehörigennurmitZustimmungdesMeldepflichtigenoderBenachrichtigendenverwendetwerden.
§ 43 Bußgeldvorschriften
(1)Ordnungswidrighandelt,wervorsätzlichoderfahrlässig
1. entgegen§30Absatz1einAuskunftsverlangennichtrichtigbe-handeltoder
2. entgegen § 30Absatz 2 Satz 1 einenVerbraucher nicht, nichtrichtig,nichtvollständigodernichtrechtzeitigunterrichtet.
(2)DieOrdnungswidrigkeitkannmiteinerGeldbußebiszufünfzig-tausendEurogeahndetwerden.
(3)GegenBehördenundsonstigeöffentlicheStellenimSinnedes§2Absatz1werdenkeineGeldbußenverhängt.
(4) EineMeldung nachArtikel 33 derVerordnung (EU) 2016/679oder eine Benachrichtigung nachArtikel 34Absatz 1 derVerord-nung(EU)2016/679darfineinemVerfahrennachdemGesetzüber
62
Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benach-richtigendenoder seine in§52Absatz1derStrafprozessordnungbezeichnetenAngehörigennurmitZustimmungdesMeldepflichti-genoderBenachrichtigendenverwendetwerden.
Kapitel6 Rechtsbehelfe
§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbei-ter
(1) Klagen der betroffenen Person gegen einen Verantwortlichenoder einenAuftragsverarbeiter wegen eines Verstoßes gegen da-tenschutzrechtliche Bestimmungen im Anwendungsbereich derVerordnung(EU)2016/679oderderdarinenthaltenenRechtederbetroffenenPersonkönnenbeidemGerichtdesOrteserhobenwer-den,andemsicheineNiederlassungdesVerantwortlichenoderAuf-tragsverarbeitersbefindet.KlagennachSatz1könnenauchbeidemGerichtdesOrteserhobenwerden,andemdiebetroffenePersonihrengewöhnlichenAufenthaltsorthat.
(2)Absatz1giltnichtfürKlagengegenBehörden,dieinAusübungihrerhoheitlichenBefugnissetätiggewordensind.
(3)HatderVerantwortlicheoderAuftragsverarbeitereinenVertreternachArtikel27Absatz1derVerordnung (EU)2016/679benannt,giltdieserauchalsbevollmächtigt,ZustellungeninzivilgerichtlichenVerfahrennachAbsatz1entgegenzunehmen.§184derZivilprozes-sordnungbleibtunberührt.
63Bundesdatenschutzgesetz Teil 3
Teil3 Bestimmungen für Verarbeitungen zuZwecken gemäß Artikel 1 Absatz 1 derRichtlinie(EU)2016/680
Kapitel1 Anwendungsbereich, Begriffsbestim-mungen und allgemeine Grundsätze fürdieVerarbeitungpersonenbezoge-ner Daten
§ 45 Anwendungsbereich
DieVorschriftendiesesTeilsgeltenfürdieVerarbeitungpersonenbe-zogenerDatendurchdiefürdieVerhütung,Ermittlung,Aufdeckung,VerfolgungoderAhndungvonStraftatenoderOrdnungswidrigkei-tenzuständigenöffentlichenStellen, soweit sieDatenzumZweckderErfüllungdieserAufgabenverarbeiten.DieöffentlichenStellengeltendabei alsVerantwortliche.DieVerhütungvonStraftaten imSinnedesSatzes1umfasstdenSchutzvorunddieAbwehrvonGe-fahren fürdieöffentlicheSicherheit.DieSätze1und2findenzu-demAnwendungaufdiejenigenöffentlichenStellen,diefürdieVoll-streckungvonStrafen,vonMaßnahmenimSinnedes§11Absatz1Nummer 8 des Strafgesetzbuchs, von Erziehungsmaßregeln oderZuchtmittelnimSinnedesJugendgerichtsgesetzesundvonGeldbu-ßenzuständigsind.SoweitdieserTeilVorschriftenfürAuftragsverar-beiterenthält,gilterauchfürdiese.
§ 46 Begriffsbestimmungen
EsbezeichnendieBegriffe:
1. „personenbezogeneDaten“alleInformationen,diesichaufeineidentifizierteoderidentifizierbarenatürlichePerson(betroffenePerson)beziehen;alsidentifizierbarwirdeinenatürlichePersonangesehen,diedirektoderindirekt,insbesonderemittelsZuord-nungzueinerKennungwieeinemNamen,zueinerKennnummer,zuStandortdaten,zueinerOnline-Kennungoderzueinemoder
64
mehrerenbesonderenMerkmalen,dieAusdruckderphysischen,physiologischen,genetischen,psychischen,wirtschaftlichen,kul-turellen oder sozialen Identität dieser Person sind, identifiziertwerdenkann;
2. „Verarbeitung“jedenmitoderohneHilfeautomatisierterVerfah-renausgeführtenVorgangoderjedesolcheVorgangsreiheimZu-sammenhangmit personenbezogenenDatenwiedasErheben,dasErfassen,dieOrganisation,dasOrdnen,dieSpeicherung,dieAnpassung, die Veränderung, das Auslesen, das Abfragen, dieVerwendung,dieOffenlegungdurchÜbermittlung,VerbreitungodereineandereFormderBereitstellung,denAbgleich,dieVer-knüpfung,dieEinschränkung,dasLöschenoderdieVernichtung;
3. „EinschränkungderVerarbeitung“dieMarkierunggespeicherterpersonenbezogenerDatenmitdemZiel,ihrekünftigeVerarbei-tungeinzuschränken;
4. „Profiling“jedeArtderautomatisiertenVerarbeitungpersonen-bezogenerDaten, bei der dieseDatenverwendetwerden, umbestimmte persönliche Aspekte, die sich auf eine natürlichePerson beziehen, zu bewerten, insbesondere umAspekte derArbeitsleistung, derwirtschaftlichen Lage, derGesundheit, derpersönlichenVorlieben,der Interessen,derZuverlässigkeit,desVerhaltens,derAufenthaltsorteoderderOrtswechseldieserna-türlichenPersonzuanalysierenodervorherzusagen;
5. „Pseudonymisierung“dieVerarbeitungpersonenbezogenerDa-tenineinerWeise,inderdieDatenohneHinzuziehungzusätz-licher Informationennichtmehreiner spezifischenbetroffenenPersonzugeordnetwerdenkönnen,soferndiesezusätzlichenIn-formationengesondertaufbewahrtwerdenundtechnischenundorganisatorischen Maßnahmen unterliegen, die gewährleisten,dass dieDaten keiner betroffenen Person zugewiesenwerdenkönnen;
6. „Dateisystem“jedestrukturierteSammlungpersonenbezogenerDaten,dienachbestimmtenKriterienzugänglichsind,unabhän-gigdavon,obdieseSammlungzentral,dezentralodernachfunk-tionalenodergeografischenGesichtspunktengeordnetgeführtwird;
65Bundesdatenschutzgesetz Teil 3
7. „Verantwortlicher“dienatürlicheoderjuristischePerson,Behör-de,EinrichtungoderandereStelle,diealleinodergemeinsammitanderenüberdieZweckeundMittelderVerarbeitungvonperso-nenbezogenenDatenentscheidet;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person,Behörde,EinrichtungoderandereStelle,diepersonenbezogeneDatenimAuftragdesVerantwortlichenverarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde,Einrichtung oder andere Stelle, der personenbezogene Datenoffengelegtwerden,unabhängigdavon,obessichbeiihrumei-nenDrittenhandeltodernicht;Behörden,dieimRahmeneinesbestimmtenUntersuchungsauftragsnachdemUnionsrechtoderanderenRechtsvorschriftenpersonenbezogeneDatenerhalten,geltenjedochnichtalsEmpfänger;dieVerarbeitungdieserDatendurchdiegenanntenBehördenerfolgtimEinklangmitdengel-tendenDatenschutzvorschriftengemäßdenZweckenderVerar-beitung;
10.„VerletzungdesSchutzespersonenbezogenerDaten“eineVer-letzung der Sicherheit, die zur unbeabsichtigten oder unrecht-mäßigen Vernichtung, zum Verlust, zur Veränderung oder zurunbefugtenOffenlegungvonoder zumunbefugtenZugang zupersonenbezogenenDatengeführthat,dieverarbeitetwurden;
11.„genetischeDaten“ personenbezogeneDaten zu den ererbtenoder erworbenen genetischen Eigenschaften einer natürlichenPerson,dieeindeutigeInformationenüberdiePhysiologieoderdieGesundheit dieser Person liefern, insbesondere solche, dieausderAnalyseeinerbiologischenProbederPersongewonnenwurden;
12.„biometrischeDaten“mit speziellen technischenVerfahrenge-wonnenepersonenbezogeneDatenzudenphysischen,physio-logischenoderverhaltenstypischenMerkmaleneinernatürlichenPerson,diedieeindeutigeIdentifizierungdiesernatürlichenPer-son ermöglichen oder bestätigen, insbesondere GesichtsbilderoderdaktyloskopischeDaten;
13.„Gesundheitsdaten“ personenbezogeneDaten, die sich auf diekörperlicheoder geistigeGesundheit einer natürlichenPerson,
66
einschließlichderErbringungvonGesundheitsdienstleistungen,beziehenundausdenenInformationenüberderenGesundheits-zustandhervorgehen;
14.„besondereKategorienpersonenbezogenerDaten“
a) Daten,ausdenendierassischeoderethnischeHerkunft,poli-tischeMeinungen,religiöseoderweltanschaulicheÜberzeu-gungenoderdieGewerkschaftszugehörigkeithervorgehen,
b) genetischeDaten,
c) biometrischeDatenzureindeutigenIdentifizierungeinerna-türlichenPerson,
d) Gesundheitsdatenund
e) DatenzumSexuallebenoderzursexuellenOrientierung;
15.„Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Arti-kel41derRichtlinie (EU)2016/680eingerichteteunabhängigestaatlicheStelle;
16.„internationaleOrganisation“einevölkerrechtlicheOrganisationund ihre nachgeordneten Stellen sowie jede sonstige Einrich-tung,diedurcheinevonzweiodermehrStaatengeschlosseneÜbereinkunftoderaufderGrundlageeinersolchenÜbereinkunftgeschaffenwurde;
17.„Einwilligung“ jede freiwillig für den bestimmten Fall, in infor-mierterWeise und unmissverständlich abgegebeneWillensbe-kundung inFormeinerErklärungodereiner sonstigeneindeu-tigenbestätigendenHandlung,mitderdiebetroffenePersonzuverstehengibt,dasssiemitderVerarbeitungdersiebetreffen-denpersonenbezogenenDateneinverstandenist.
§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezo-gener Daten
PersonenbezogeneDatenmüssen
67Bundesdatenschutzgesetz Teil 3
1. aufrechtmäßigeWeiseundnachTreuundGlaubenverarbeitetwerden,
2. für festgelegte, eindeutige und rechtmäßige Zwecke erhobenundnichtineinermitdiesenZweckennichtzuvereinbarendenWeiseverarbeitetwerden,
3. dem Verarbeitungszweck entsprechen, für das Erreichen desVerarbeitungszwecks erforderlich sein und ihre VerarbeitungnichtaußerVerhältniszudiesemZweckstehen,
4. sachlichrichtigunderforderlichenfallsaufdemneuestenStandsein;dabeisindalleangemessenenMaßnahmenzutreffen,damitpersonenbezogeneDaten,die imHinblickaufdieZweckeihrerVerarbeitungunrichtigsind,unverzüglichgelöschtoderberich-tigtwerden,
5. nichtlängeralsesfürdieZwecke,fürdiesieverarbeitetwerden,erforderlichist,ineinerFormgespeichertwerden,diedieIdenti-fizierungderbetroffenenPersonenermöglicht,und
6. ineinerWeiseverarbeitetwerden,dieeineangemesseneSicher-heit der personenbezogenen Daten gewährleistet; hierzu ge-hörtaucheindurchgeeignetetechnischeundorganisatorischeMaßnahmen zu gewährleistender Schutz vor unbefugter oderunrechtmäßigerVerarbeitung, unbeabsichtigtemVerlust, unbe-absichtigterZerstörungoderunbeabsichtigterSchädigung.
Kapitel 2 Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien personenbezogenerDaten ist nur zulässig,wenn sie zurAufgabenerfüllung unbedingterforderlichist.
68
(2)WerdenbesondereKategorienpersonenbezogenerDatenverar-beitet,sindgeeigneteGarantienfürdieRechtsgüterderbetroffenenPersonen vorzusehen. Geeignete Garantien können insbesonderesein
1. spezifischeAnforderungenandieDatensicherheitoderdieDa-tenschutzkontrolle,
2. dieFestlegungvonbesonderenAussonderungsprüffristen,
3. dieSensibilisierungderanVerarbeitungsvorgängenBeteiligten,
4. dieBeschränkungdesZugangszudenpersonenbezogenenDa-teninnerhalbderverantwortlichenStelle,
5. dievonanderenDatengetrennteVerarbeitung,
6. diePseudonymisierungpersonenbezogenerDaten,
7. dieVerschlüsselungpersonenbezogenerDatenoder
8. spezifischeVerfahrensregelungen,dieimFalleinerÜbermittlungoder Verarbeitung für andere Zwecke die Rechtmäßigkeit derVerarbeitungsicherstellen.
§ 49 Verarbeitung zu anderen Zwecken
Eine Verarbeitung personenbezogener Daten zu einem anderenZweckalszudemjenigen,zudemsieerhobenwurden,istzulässig,wennessichbeidemanderenZweckumeinenderin§45genann-tenZweckehandelt,derVerantwortlichebefugt ist,Datenzudie-semZweckzuverarbeiten,unddieVerarbeitungzudiesemZweckerforderlichundverhältnismäßigist.DieVerarbeitungpersonenbe-zogenerDatenzueinemanderen,in§45nichtgenanntenZweckistzulässig,wennsieineinerRechtsvorschriftvorgesehenist.
69Bundesdatenschutzgesetz Teil 3
§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und sta-tistischen Zwecken
PersonenbezogeneDatendürfenimRahmenderin§45genanntenZweckeinarchivarischer,wissenschaftlicheroderstatistischerFormverarbeitetwerden,wennhieraneinöffentlichesInteressebestehtundgeeigneteGarantienfürdieRechtsgüterderbetroffenenPerso-nenvorgesehenwerden.SolcheGarantienkönnenineinersozeitnahwiemöglich erfolgendenAnonymisierungder personenbezogenenDaten,inVorkehrungengegenihreunbefugteKenntnisnahmedurchDritteoderinihrerräumlichundorganisatorischvondensonstigenFachaufgabengetrenntenVerarbeitungbestehen.
§ 51 Einwilligung
(1) Soweit dieVerarbeitung personenbezogenerDaten nach einerRechtsvorschriftaufderGrundlageeinerEinwilligungerfolgenkann,muss derVerantwortlichedieEinwilligungder betroffenenPersonnachweisenkönnen.
(2)ErfolgtdieEinwilligungderbetroffenenPersondurcheineschrift-licheErklärung,dienochandereSachverhaltebetrifft,mussdasEr-suchen um Einwilligung in verständlicher und leicht zugänglicherFormineinerklarenundeinfachenSprachesoerfolgen,dassesvondenanderenSachverhaltenklarzuunterscheidenist.
(3)DiebetroffenePersonhatdasRecht,ihreEinwilligungjederzeitzuwiderrufen.DurchdenWiderrufderEinwilligungwirddieRecht-mäßigkeitderaufgrundderEinwilligungbiszumWiderruferfolgtenVerarbeitungnichtberührt.DiebetroffenePersonistvorAbgabederEinwilligunghiervoninKenntniszusetzen.
(4)Die Einwilligung ist nurwirksam,wenn sie auf der freien Ent-scheidungderbetroffenenPersonberuht.Bei derBeurteilung, obdieEinwilligung freiwillig erteiltwurde,müssendieUmständederErteilungberücksichtigtwerden.DiebetroffenePersonistaufdenvorgesehenen Zweck derVerarbeitung hinzuweisen. Ist dies nachdenUmständendesEinzelfalles erforderlichoderverlangtdiebe-troffenePersondies,istsieauchüberdieFolgenderVerweigerungderEinwilligungzubelehren.
70
(5) Soweit besondere Kategorien personenbezogener Daten ver-arbeitetwerden,musssichdieEinwilligungausdrücklichaufdieseDatenbeziehen.
§ 52 Verarbeitung auf Weisung des Verantwortlichen
JedeeinemVerantwortlichenodereinemAuftragsverarbeiterunter-stelltePerson, dieZugang zu personenbezogenenDatenhat, darfdieseDatenausschließlichaufWeisungdesVerantwortlichenver-arbeiten,esseidenn,dasssienacheinerRechtsvorschriftzurVerar-beitungverpflichtetist.
§ 53 Datengeheimnis
MitDatenverarbeitungbefasstePersonendürfenpersonenbezoge-neDatennichtunbefugtverarbeiten(Datengeheimnis).SiesindbeiderAufnahmeihrerTätigkeitaufdasDatengeheimniszuverpflich-ten.DasDatengeheimnisbestehtauchnachderBeendigung ihrerTätigkeitfort.
§ 54 Automatisierte Einzelentscheidung
(1)EineausschließlichaufeinerautomatischenVerarbeitungberu-hendeEntscheidung,diemiteinernachteiligenRechtsfolgefürdiebetroffenePersonverbunden istoder sieerheblichbeeinträchtigt,istnurzulässig,wennsieineinerRechtsvorschriftvorgesehenist.
(2)EntscheidungennachAbsatz1dürfennichtaufbesonderenKa-tegorienpersonenbezogenerDatenberuhen,sofernnichtgeeigneteMaßnahmenzumSchutzderRechtsgütersowiederberechtigtenIn-teressenderbetroffenenPersonengetroffenwurden.
(3) Profiling, das zur Folge hat, dass betroffene Personen auf derGrundlage von besonderen Kategorien personenbezogener Datendiskriminiertwerden,istverboten.
71Bundesdatenschutzgesetz Teil 3
Kapitel3 RechtederbetroffenenPerson
§ 55 Allgemeine Informationen zu Datenverarbeitungen
DerVerantwortlichehatinallgemeinerFormundfürjedermannzu-gänglichInformationenzurVerfügungzustellenüber
1. dieZweckedervonihmvorgenommenenVerarbeitungen,
2. die imHinblick auf dieVerarbeitung ihrer personenbezogenenDatenbestehendenRechtederbetroffenenPersonenaufAus-kunft,Berichtigung,LöschungundEinschränkungderVerarbei-tung,
3. denNamenunddieKontaktdatendesVerantwortlichenundderoderdesDatenschutzbeauftragten,
4. dasRecht,dieBundesbeauftragteoderdenBundesbeauftragtenanzurufen,und
5. dieErreichbarkeitderoderdesBundesbeauftragten.
§ 56 Benachrichtigung betroffener Personen
(1) Ist die Benachrichtigung betroffener Personen über dieVerar-beitung sie betreffender personenbezogener Daten in speziellenRechtsvorschriften,insbesonderebeiverdecktenMaßnahmen,vor-gesehenoderangeordnet,sohatdieseBenachrichtigungzumindestdiefolgendenAngabenzuenthalten:
1. diein§55genanntenAngaben,
2. dieRechtsgrundlagederVerarbeitung,
3. die fürdieDatengeltendeSpeicherdaueroder, falls diesnichtmöglichist,dieKriterienfürdieFestlegungdieserDauer,
4. gegebenenfallsdieKategorienvonEmpfängernderpersonenbe-zogenenDatensowie
72
5. erforderlichenfalls weitere Informationen, insbesondere, wenndie personenbezogenen Daten ohne Wissen der betroffenenPersonerhobenwurden.
(2) IndenFällendesAbsatzes1kannderVerantwortlichedieBe-nachrichtigung insoweit und solange aufschieben, einschränkenoderunterlassen,wieandernfalls
1. dieErfüllungderin§45genanntenAufgaben,
2. dieöffentlicheSicherheitoder
3. RechtsgüterDritter
gefährdetwürden,wenndasInteresseanderVermeidungdieserGe-fahrendasInformationsinteressederbetroffenenPersonüberwiegt.
(3)Bezieht sich dieBenachrichtigung auf dieÜbermittlungperso-nenbezogenerDatenanVerfassungsschutzbehörden,denBundes-nachrichtendienst, den Militärischen Abschirmdienst und, soweitdieSicherheitdesBundesberührtwird,andereBehördendesBun-desministeriumsderVerteidigung,istsienurmitZustimmungdieserStellenzulässig.
(4)ImFallderEinschränkungnachAbsatz2gilt§57Absatz7ent-sprechend.
§ 57 Auskunftsrecht
(1)DerVerantwortlichehatbetroffenenPersonenaufAntragAus-kunftdarüberzuerteilen,obersiebetreffendeDatenverarbeitet.BetroffenePersonenhabendarüberhinausdasRecht, Informatio-nenzuerhaltenüber
1. diepersonenbezogenenDaten,dieGegenstandderVerarbeitungsind,unddieKategorie,zudersiegehören,
2. dieverfügbarenInformationenüberdieHerkunftderDaten,
3. dieZweckederVerarbeitungundderenRechtsgrundlage,
73Bundesdatenschutzgesetz Teil 3
4. dieEmpfängeroderdieKategorienvonEmpfängern,gegenüberdenen die Daten offengelegt worden sind, insbesondere beiEmpfängern inDrittstaaten oder bei internationalenOrganisa-tionen,
5. die fürdieDatengeltendeSpeicherdaueroder, falls diesnichtmöglichist,dieKriterienfürdieFestlegungdieserDauer,
6. dasBesteheneinesRechtsaufBerichtigung,LöschungoderEin-schränkungderVerarbeitungderDatendurchdenVerantwortli-chen,
7. dasRechtnach§60,dieBundesbeauftragteoderdenBundesbe-auftragtenanzurufen,sowie
8. AngabenzurErreichbarkeitderoderdesBundesbeauftragten.
(2)Absatz1giltnichtfürpersonenbezogeneDaten,dienurdeshalbverarbeitetwerden,weilsieaufgrundgesetzlicherAufbewahrungs-vorschriften nicht gelöschtwerden dürfen oder die ausschließlichZweckenderDatensicherungoderderDatenschutzkontrolledienen,wenn dieAuskunftserteilung einen unverhältnismäßigenAufwanderfordernwürdeundeineVerarbeitungzuanderenZweckendurchgeeignete technische und organisatorische Maßnahmen ausge-schlossenist.
(3)VonderAuskunftserteilung istabzusehen,wenndiebetroffenePersonkeineAngabenmacht,diedasAuffindenderDatenermög-lichen,unddeshalbderfürdieErteilungderAuskunfterforderlicheAufwandaußerVerhältniszudemvonderbetroffenenPersongel-tendgemachtenInformationsinteressesteht.
(4)DerVerantwortlichekannunterdenVoraussetzungendes§56Absatz2vonderAuskunftnachAbsatz1Satz1absehenoderdieAuskunftserteilungnachAbsatz1Satz2teilweiseodervollständigeinschränken.
(5)BeziehtsichdieAuskunftserteilungaufdieÜbermittlungperso-nenbezogenerDatenanVerfassungsschutzbehörden,denBundes-nachrichtendienst, den Militärischen Abschirmdienst und, soweitdieSicherheitdesBundesberührtwird,andereBehördendesBun-
74
desministeriumsderVerteidigung,istsienurmitZustimmungdieserStellenzulässig.
(6)DerVerantwortlichehatdiebetroffenePersonüberdasAbsehenvonoderdieEinschränkungeinerAuskunftunverzüglichschriftlichzuunterrichten.Diesgiltnicht,wennbereitsdieErteilungdieserIn-formationeneineGefährdung imSinnedes§56Absatz2mitsichbringenwürde.DieUnterrichtungnachSatz1istzubegründen,esseidenn,dassdieMitteilungderGründedenmitdemAbsehenvonoderderEinschränkungderAuskunftverfolgtenZweckgefährdenwürde.
(7)Wird die betroffene Person nachAbsatz 6 über das AbsehenvonoderdieEinschränkungderAuskunftunterrichtet,kannsieihrAuskunftsrechtauchüberdieBundesbeauftragteoderdenBundes-beauftragtenausüben.DerVerantwortlichehatdiebetroffenePer-sonüberdieseMöglichkeitsowiedarüberzuunterrichten,dasssiegemäß §60dieBundesbeauftragteoder denBundesbeauftragtenanrufen oder gerichtlichen Rechtsschutz suchen kann. Macht diebetroffenePersonvon ihremRecht nach Satz 1Gebrauch, ist dieAuskunftaufihrVerlangenderoderdemBundesbeauftragtenzuer-teilen,soweitnichtdiezuständigeobersteBundesbehördeimEin-zelfallfeststellt,dassdadurchdieSicherheitdesBundesodereinesLandes gefährdetwürde.Die oder der Bundesbeauftragte hat diebetroffenePersonzumindestdarüberzuunterrichten,dassalleer-forderlichenPrüfungenerfolgtsindodereineÜberprüfungdurchsiestattgefundenhat.DieseMitteilungkanndieInformationenthalten,obdatenschutzrechtlicheVerstößefestgestelltwurden.DieMittei-lungderoderdesBundesbeauftragtenandiebetroffenePersondarfkeineRückschlüsse auf denErkenntnisstanddesVerantwortlichenzulassen, soferndieserkeinerweitergehendenAuskunftzustimmt.DerVerantwortlichedarfdieZustimmungnurinsoweitundsolangeverweigern,wieernachAbsatz4voneinerAuskunftabsehenodersieeinschränkenkönnte.DieoderderBundesbeauftragtehatzudemdiebetroffenePersonüberihrRechtaufgerichtlichenRechtsschutzzuunterrichten.
(8)DerVerantwortlichehatdiesachlichenoderrechtlichenGründefürdieEntscheidungzudokumentieren.
75Bundesdatenschutzgesetz Teil 3
§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
(1)DiebetroffenePersonhatdasRecht,vondemVerantwortlichenunverzüglichdieBerichtigungsiebetreffenderunrichtigerDatenzuverlangen. Insbesondere imFallvonAussagenoderBeurteilungenbetrifftdieFragederRichtigkeitnichtdenInhaltderAussageoderBeurteilung.WenndieRichtigkeitoderUnrichtigkeitderDatennichtfestgestelltwerdenkann,trittandieStellederBerichtigungeineEin-schränkungderVerarbeitung.IndiesemFallhatderVerantwortlichediebetroffenePersonzuunterrichten,bevorerdieEinschränkungwiederaufhebt.DiebetroffenePersonkannzudemdieVervollstän-digungunvollständigerpersonenbezogenerDatenverlangen,wenndiesunterBerücksichtigungderVerarbeitungszweckeangemessenist.
(2)DiebetroffenePersonhatdasRecht,vondemVerantwortlichenunverzüglich die Löschung sie betreffender Daten zu verlangen,wennderenVerarbeitungunzulässigist,derenKenntnisfürdieAuf-gabenerfüllungnichtmehrerforderlich istoderdiesezurErfüllungeinerrechtlichenVerpflichtunggelöschtwerdenmüssen.
(3)AnstattdiepersonenbezogenenDatenzulöschen,kannderVer-antwortlichederenVerarbeitungeinschränken,wenn
1. GrundzuderAnnahmebesteht,dasseineLöschungschutzwür-digeInteresseneinerbetroffenenPersonbeeinträchtigenwürde,
2. dieDatenzuBeweiszweckeninVerfahren,dieZweckendes§45dienen,weiteraufbewahrtwerdenmüssenoder
3. eineLöschungwegenderbesonderenArtderSpeicherungnichtodernurmitunverhältnismäßigemAufwandmöglichist.
InihrerVerarbeitungnachSatz1eingeschränkteDatendürfennurzudemZweckverarbeitetwerden,derihrerLöschungentgegenstand.
(4)BeiautomatisiertenDateisystemenisttechnischsicherzustellen,dass eine Einschränkung derVerarbeitung eindeutig erkennbar istundeineVerarbeitungfürandereZweckenichtohneweiterePrü-fungmöglichist.
76
(5)HatderVerantwortlicheeineBerichtigungvorgenommen,hatereinerStelle,dieihmdiepersonenbezogenenDatenzuvorübermit-telthat,dieBerichtigungmitzuteilen.InFällenderBerichtigung,Lö-schungoderEinschränkungderVerarbeitungnachdenAbsätzen1bis3hatderVerantwortlicheEmpfängern,denendieDatenüber-mitteltwurden,dieseMaßnahmenmitzuteilen.DerEmpfängerhatdieDatenzuberichtigen,zulöschenoderihreVerarbeitungeinzu-schränken.
(6)DerVerantwortlichehatdiebetroffenePersonübereinAbsehenvonderBerichtigungoderLöschungpersonenbezogenerDatenoderüberdie anderenStelle tretendeEinschränkungderVerarbeitungschriftlichzuunterrichten.Diesgiltnicht,wennbereitsdieErteilungdieser InformationeneineGefährdung imSinnedes§56Absatz2mitsichbringenwürde.DieUnterrichtungnachSatz1istzubegrün-den,esseidenn,dassdieMitteilungderGründedenmitdemAbse-henvonderUnterrichtungverfolgtenZweckgefährdenwürde.
(7)§57Absatz7und8findetentsprechendeAnwendung.
§ 59 Verfahren für die Ausübung der Rechte der betroffenen Per-son
(1)DerVerantwortlichehatmitbetroffenenPersonenunterVerwen-dungeinerklarenundeinfachenSpracheinpräziser,verständlicherund leichtzugänglicherFormzukommunizieren.Unbeschadetbe-sondererFormvorschriftensollerbeiderBeantwortungvonAnträ-gengrundsätzlichdiefürdenAntraggewählteFormverwenden.
(2)BeiAnträgenhatderVerantwortlichediebetroffenePersonun-beschadetdes§57Absatz6unddes§58Absatz6unverzüglichschriftlichdarüberinKenntniszusetzen,wieverfahrenwurde.
(3) Die Erteilung von Informationen nach § 55, die Benachrich-tigungennachden §§56und66unddieBearbeitungvonAnträ-gennachden§§57und58erfolgenunentgeltlich.BeioffenkundigunbegründetenoderexzessivenAnträgennachden§§57und58kannderVerantwortlicheentwedereineangemesseneGebühraufderGrundlagederVerwaltungskostenverlangenodersichweigern,aufgrunddesAntragstätigzuwerden.IndiesemFallmussderVer-
77Bundesdatenschutzgesetz Teil 3
antwortlichedenoffenkundigunbegründetenoderexzessivenCha-rakterdesAntragsbelegenkönnen.
(4)HatderVerantwortlichebegründeteZweifelanderIdentitätei-nerbetroffenenPerson,dieeinenAntragnachden§§57oder58gestellthat,kannervonihrzusätzlicheInformationenanfordern,diezurBestätigungihrerIdentitäterforderlichsind.
§ 60 Anrufung der oder des Bundesbeauftragten
(1) Jede betroffene Person kann sich unbeschadet anderweitigerRechtsbehelfemiteinerBeschwerdeandieBundesbeauftragteoderdenBundesbeauftragtenwenden,wennsiederAuffassung ist,beiderVerarbeitungihrerpersonenbezogenenDatendurchöffentlicheStellenzudenin§45genanntenZweckeninihrenRechtenverletztwordenzusein.DiesgiltnichtfürdieVerarbeitungvonpersonenbe-zogenenDatendurchGerichte,soweitdiesedieDatenimRahmenihrerjustiziellenTätigkeitverarbeitethaben.DieoderderBundesbe-auftragtehatdiebetroffenePersonüberdenStandunddasErgebnisderBeschwerdezuunterrichtenundsiehierbeiaufdieMöglichkeitgerichtlichenRechtsschutzesnach§61hinzuweisen.
(2)DieoderderBundesbeauftragtehateinebeiihroderihmeinge-legteBeschwerdeübereineVerarbeitung,die indieZuständigkeiteinerAufsichtsbehördeineinemanderenMitgliedstaatderEuropäi-schenUnionfällt,unverzüglichandiezuständigeAufsichtsbehördedesanderenStaatesweiterzuleiten.SieodererhatindiesemFalldiebetroffenePersonüberdieWeiterleitungzuunterrichtenundihraufderenErsuchenweitereUnterstützungzuleisten.
§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundes-beauftragten oder bei deren oder dessen Untätigkeit
(1)JedenatürlicheoderjuristischePersonkannunbeschadetande-rerRechtsbehelfegerichtlichgegeneineverbindlicheEntscheidungderoderdesBundesbeauftragtenvorgehen.
(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen,wenn sich die oder der Bundesbeauftragtemit einer Beschwerdenach§60nichtbefasstoderdiebetroffenePersonnichtinnerhalb
78
vondreiMonatennachEinlegungderBeschwerdeüberdenStandoderdasErgebnisderBeschwerdeinKenntnisgesetzthat.
Kapitel4 Pflichten der Verantwortlichen undAuftragsverarbeiter
§ 62 Auftragsverarbeitung
(1)WerdenpersonenbezogeneDatenimAuftrageinesVerantwort-lichendurchanderePersonenoderStellenverarbeitet,hatderVer-antwortlichefürdieEinhaltungderVorschriftendiesesGesetzesundandererVorschriftenüberdenDatenschutz zu sorgen.DieRechtederbetroffenenPersonenaufAuskunft,Berichtigung,Löschung,Ein-schränkungderVerarbeitungundSchadensersatzsindindiesemFallgegenüberdemVerantwortlichengeltendzumachen.
(2)EinVerantwortlicherdarfnursolcheAuftragsverarbeitermitderVerarbeitungpersonenbezogenerDatenbeauftragen,diemitgeeig-netentechnischenundorganisatorischenMaßnahmensicherstellen,dassdieVerarbeitungimEinklangmitdengesetzlichenAnforderun-generfolgtundderSchutzderRechtederbetroffenenPersonenge-währleistetwird.
(3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Geneh-migung des Verantwortlichen keine weiteren Auftragsverarbeiterhinzuziehen.HatderVerantwortlichedemAuftragsverarbeitereineallgemeineGenehmigungzurHinzuziehungweitererAuftragsverar-beitererteilt,hatderAuftragsverarbeiterdenVerantwortlichenüberjedebeabsichtigteHinzuziehungoderErsetzungzuinformieren.DerVerantwortliche kann in diesemFall dieHinzuziehung oder Erset-zunguntersagen.
(4)ZiehteinAuftragsverarbeitereinenweiterenAuftragsverarbeiterhinzu,sohaterdiesemdieselbenVerpflichtungenausseinemVer-tragmitdemVerantwortlichennachAbsatz5aufzuerlegen,dieauchfürihngelten,soweitdiesePflichtenfürdenweiterenAuftragsver-arbeiternichtschonaufgrundandererVorschriftenverbindlichsind.ErfüllteinweitererAuftragsverarbeiterdieseVerpflichtungennicht,
79Bundesdatenschutzgesetz Teil 3
sohaftetderihnbeauftragendeAuftragsverarbeitergegenüberdemVerantwortlichenfürdieEinhaltungderPflichtendesweiterenAuf-tragsverarbeiters.
(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf derGrundlageeinesVertragsodereinesanderenRechtsinstrumentszuerfolgen,deroderdasdenAuftragsverarbeiterandenVerantwort-lichenbindetundderoderdasdenGegenstand,dieDauer,dieArtunddenZweckderVerarbeitung, dieArt derpersonenbezogenenDaten, die Kategorien betroffener Personen und die Rechte undPflichtendesVerantwortlichenfestlegt.DerVertragoderdasandereRechtsinstrument haben insbesondere vorzusehen, dass der Auf-tragsverarbeiter
1. nur aufdokumentierteWeisungdesVerantwortlichenhandelt;ist derAuftragsverarbeiter derAuffassung, dass eineWeisungrechtswidrigist,haterdenVerantwortlichenunverzüglichzuin-formieren;
2. gewährleistet,dassdiezurVerarbeitungderpersonenbezogenenDaten befugten Personen zurVertraulichkeit verpflichtetwer-den, soweit sie keiner angemessenen gesetzlichenVerschwie-genheitspflichtunterliegen;
3. denVerantwortlichenmitgeeignetenMittelndabeiunterstützt,die Einhaltung derBestimmungen über dieRechte der betrof-fenenPersonzugewährleisten;
4. allepersonenbezogenenDatennachAbschlussderErbringungder Verarbeitungsleistungen nach Wahl des VerantwortlichenzurückgibtoderlöschtundbestehendeKopienvernichtet,wennnichtnacheinerRechtsvorschrifteineVerpflichtungzurSpeiche-rungderDatenbesteht;
5. demVerantwortlichenalleerforderlichenInformationen, insbe-sonderediegemäߧ76erstelltenProtokolle,zumNachweisderEinhaltungseinerPflichtenzurVerfügungstellt;
6. Überprüfungen,dievondemVerantwortlichenodereinemvondiesem beauftragten Prüfer durchgeführt werden, ermöglichtunddazubeiträgt;
80
7. dieindenAbsätzen3und4aufgeführtenBedingungenfürdieInanspruchnahmederDiensteeinesweiterenAuftragsverarbei-terseinhält;
8. allegemäߧ64erforderlichenMaßnahmenergreiftund
9. unter Berücksichtigung der Art der Verarbeitung und der ihmzurVerfügung stehenden Informationen denVerantwortlichenbeiderEinhaltungderinden§§64bis67und§69genanntenPflichtenunterstützt.
(6)DerVertragimSinnedesAbsatzes5istschriftlichoderelektro-nischabzufassen.
(7)EinAuftragsverarbeiter,derdieZweckeundMittelderVerarbei-tungunterVerstoßgegendieseVorschriftbestimmt,giltinBezugaufdieseVerarbeitungalsVerantwortlicher.
§ 63 Gemeinsam Verantwortliche
LegenzweiodermehrVerantwortlichegemeinsamdieZweckeunddieMittelderVerarbeitung fest, gelten sie als gemeinsamVerant-wortliche. GemeinsamVerantwortliche haben ihre jeweiligenAuf-gabenunddatenschutzrechtlichenVerantwortlichkeitenintranspa-renter Form in einerVereinbarung festzulegen, soweit diese nichtbereits inRechtsvorschriftenfestgelegtsind.AusderVereinbarungmussinsbesonderehervorgehen,werwelchenInformationspflichtennachzukommenhatundwieundgegenüberwembetroffenePerso-nen ihreRechtewahrnehmenkönnen.EineentsprechendeVerein-barunghindertdiebetroffenePersonnicht, ihreRechtegegenüberjedemdergemeinsamVerantwortlichengeltendzumachen.
§ 64 Anforderungen an die Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der Auftragsverarbeiter haben unterBerücksichtigung des Stands der Technik, der Implementierungs-kosten, derArt, desUmfangs, derUmstände undderZwecke derVerarbeitungsowiederEintrittswahrscheinlichkeitundderSchweredermitderVerarbeitungverbundenenGefahrenfürdieRechtsgüterderbetroffenenPersonendieerforderlichentechnischenundorga-
81Bundesdatenschutzgesetz Teil 3
nisatorischenMaßnahmenzutreffen,umbeiderVerarbeitungper-sonenbezogenerDateneindemRisikoangemessenesSchutzniveauzu gewährleisten, insbesondere im Hinblick auf die VerarbeitungbesondererKategorienpersonenbezogenerDaten.DerVerantwort-lichehathierbeidieeinschlägigenTechnischenRichtlinienundEmp-fehlungendesBundesamtesfürSicherheitinderInformationstech-nikzuberücksichtigen.
(2)DieinAbsatz1genanntenMaßnahmenkönnenunteranderemdie Pseudonymisierung und Verschlüsselung personenbezogenerDatenumfassen, soweit solcheMittel inAnbetrachtderVerarbei-tungszweckemöglich sind.DieMaßnahmen nachAbsatz 1 sollendazuführen,dass
1. die Vertraulichkeit, Integrität, Verfügbarkeit und BelastbarkeitderSystemeundDienste imZusammenhangmitderVerarbei-tungaufDauersichergestelltwerdenund
2. dieVerfügbarkeitderpersonenbezogenenDatenundderZugangzu ihnen bei einem physischen oder technischen Zwischenfallraschwiederhergestelltwerdenkönnen.
(3)ImFalleinerautomatisiertenVerarbeitunghabenderVerantwort-licheundderAuftragsverarbeiternacheinerRisikobewertungMaß-nahmenzuergreifen,dieFolgendesbezwecken:
1. Verwehrung des Zugangs zuVerarbeitungsanlagen, mit denendieVerarbeitungdurchgeführtwird,fürUnbefugte(Zugangskon-trolle),
2. Verhinderung des unbefugten Lesens, Kopierens, VerändernsoderLöschensvonDatenträgern(Datenträgerkontrolle),
3. VerhinderungderunbefugtenEingabevonpersonenbezogenenDatensowiederunbefugtenKenntnisnahme,VeränderungundLöschungvon gespeicherten personenbezogenenDaten (Spei-cherkontrolle),
4. VerhinderungderNutzungautomatisierterVerarbeitungssyste-memitHilfevonEinrichtungenzurDatenübertragungdurchUn-befugte(Benutzerkontrolle),
82
5. Gewährleistung, dass die zurBenutzung eines automatisiertenVerarbeitungssystemsBerechtigtenausschließlichzudenvonih-rerZugangsberechtigungumfasstenpersonenbezogenenDatenZuganghaben(Zugriffskontrolle),
6. Gewährleistung,dassüberprüftundfestgestelltwerdenkann,anwelcheStellenpersonenbezogeneDatenmitHilfevonEinrich-tungen zur Datenübertragung übermittelt oder zur Verfügunggestelltwurdenoderwerdenkönnen(Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestelltwerdenkann,welchepersonenbezogenenDatenzuwelcherZeitundvonweminautomatisierteVerarbeitungssystemeeingege-benoderverändertwordensind(Eingabekontrolle),
8. Gewährleistung,dassbeiderÜbermittlungpersonenbezogenerDatensowiebeimTransportvonDatenträgerndieVertraulich-keitund IntegritätderDatengeschütztwerden (Transportkon-trolle),
9. Gewährleistung,dasseingesetzteSysteme imStörungsfallwie-derhergestelltwerdenkönnen(Wiederherstellbarkeit),
10.Gewährleistung,dassalleFunktionendesSystemszurVerfügungstehen und auftretende Fehlfunktionen gemeldetwerden (Zu-verlässigkeit),
11.Gewährleistung, dass gespeicherte personenbezogene DatennichtdurchFehlfunktionendesSystemsbeschädigtwerdenkön-nen(Datenintegrität),
12.Gewährleistung,dasspersonenbezogeneDaten,die imAuftragverarbeitetwerden,nurentsprechenddenWeisungendesAuf-traggebersverarbeitetwerdenkönnen(Auftragskontrolle),
13.Gewährleistung, dass personenbezogene Daten gegen Zerstö-rungoderVerlustgeschütztsind(Verfügbarkeitskontrolle),
14.Gewährleistung, dass zu unterschiedlichen Zwecken erhobenepersonenbezogeneDaten getrenntverarbeitetwerden können(Trennbarkeit).
83Bundesdatenschutzgesetz Teil 3
EinZwecknachSatz1Nummer2bis5kanninsbesonderedurchdieVerwendungvondemStandderTechnikentsprechendenVerschlüs-selungsverfahrenerreichtwerden.
§ 65 Meldung von Verletzungen des Schutzes personenbezoge-ner Daten an die oder den Bundesbeauftragten
(1) Der Verantwortliche hat eine Verletzung des Schutzes perso-nenbezogenerDatenunverzüglichundmöglichst innerhalbvon72Stunden,nachdemsieihmbekanntgewordenist,deroderdemBun-desbeauftragtenzumelden,esseidenn,dassdieVerletzungvoraus-sichtlichkeineGefahrfürdieRechtsgüternatürlicherPersonenmitsich gebracht hat. Erfolgt dieMeldung an die BundesbeauftragteoderdenBundesbeauftragtennichtinnerhalbvon72Stunden,soistdieVerzögerungzubegründen.
(2)EinAuftragsverarbeiterhateineVerletzungdesSchutzesperso-nenbezogenerDatenunverzüglichdemVerantwortlichenzumelden.
(3)DieMeldungnachAbsatz1hatzumindestfolgendeInformatio-nenzuenthalten:
1. eineBeschreibungderArtderVerletzungdesSchutzesperso-nenbezogenerDaten,die,soweitmöglich,AngabenzudenKa-tegorienundderungefährenAnzahlderbetroffenenPersonen,zu den betroffenenKategorien personenbezogenerDaten undzuderungefährenAnzahlderbetroffenenpersonenbezogenenDatensätzezuenthaltenhat,
2. denNamenunddieKontaktdatenderoderdesDatenschutzbe-auftragtenodereinersonstigenPersonoderStelle,dieweitereInformationenerteilenkann,
3. eineBeschreibungderwahrscheinlichenFolgenderVerletzungund
4. eine Beschreibung der von dem Verantwortlichen ergriffenenodervorgeschlagenenMaßnahmenzurBehandlungderVerlet-zung und der getroffenen Maßnahmen zur Abmilderung ihrermöglichennachteiligenAuswirkungen.
84
(4)WenndieInformationennachAbsatz3nichtzusammenmitderMeldungübermitteltwerdenkönnen,hatderVerantwortlichesieunverzüglichnachzureichen,sobaldsieihmvorliegen.
(5)DerVerantwortlichehatVerletzungendesSchutzespersonenbe-zogenerDatenzudokumentieren.DieDokumentationhatallemit denVorfällen zusammenhängendenTatsachen, derenAus-wirkungenunddieergriffenenAbhilfemaßnahmenzuumfassen.
(6) Soweit von einerVerletzung des Schutzes personenbezogenerDatenpersonenbezogeneDatenbetroffensind,dievoneinemoderaneinenVerantwortlichenineinemanderenMitgliedstaatderEuropäischenUnionübermitteltwurden,sinddieinAbsatz3genanntenInformationendemdortigenVerantwortlichenunver-züglichzuübermitteln.
(7)§42Absatz4findetentsprechendeAnwendung.
(8)WeiterePflichtendesVerantwortlichen zuBenachrichtigungenüberVerletzungendesSchutzespersonenbezogenerDatenbleibenunberührt.
§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes personenbezogener DatenvoraussichtlicheineerheblicheGefahr fürRechtsgüterbetroffenerPersonenzurFolge,sohatderVerantwortlichediebetroffenenPer-sonenunverzüglichüberdenVorfallzubenachrichtigen.
(2)DieBenachrichtigungnachAbsatz1hatinklarerundeinfacherSprache die Art der Verletzung des Schutzes personenbezogenerDatenzubeschreibenundzumindestdiein§65Absatz3Nummer2bis4genanntenInformationenundMaßnahmenzuenthalten.
(3)VonderBenachrichtigungnachAbsatz1kannabgesehenwer-den,wenn
1. derVerantwortlichegeeignetetechnischeundorganisatorischeSicherheitsvorkehrungengetroffenhatunddieseVorkehrungenaufdievonderVerletzungdesSchutzespersonenbezogenerDa-
85Bundesdatenschutzgesetz Teil 3
tenbetroffenenDatenangewandtwurden;diesgiltinsbesonde-refürVorkehrungenwieVerschlüsselungen,durchdiedieDatenfürunbefugtePersonenunzugänglichgemachtwurden;
2. derVerantwortlichedurchimAnschlussandieVerletzunggetrof-feneMaßnahmen sichergestellt hat, dass allerWahrscheinlich-keitnachkeineerheblicheGefahrimSinnedesAbsatzes1mehrbesteht,oder
3. diesmiteinemunverhältnismäßigenAufwandverbundenwäre;indiesemFallhatstattdesseneineöffentlicheBekanntmachungodereineähnlicheMaßnahmezuerfolgen,durchdiediebetrof-fenenPersonenvergleichbarwirksaminformiertwerden.
(4)WennderVerantwortlichediebetroffenenPersonenübereineVerletzung des Schutzes personenbezogenerDaten nicht benach-richtigthat,kanndieoderderBundesbeauftragteförmlichfeststel-len,dassihreroderseinerAuffassungnachdieinAbsatz3genanntenVoraussetzungennichterfülltsind.HierbeihatsieodererdieWahr-scheinlichkeitzuberücksichtigen,dassdieVerletzungeineerhebli-cheGefahrimSinnedesAbsatzes1zurFolgehat.
(5)DieBenachrichtigungderbetroffenenPersonennachAbsatz1kannunterdenin§56Absatz2genanntenVoraussetzungenaufge-schoben,eingeschränktoderunterlassenwerden, soweitnichtdieInteressenderbetroffenenPersonaufgrunddervonderVerletzungausgehendenerheblichenGefahrimSinnedesAbsatzes1überwie-gen.
(6)§42Absatz4findetentsprechendeAnwendung.
§ 67 Durchführung einer Datenschutz-Folgenabschätzung
(1)HateineFormderVerarbeitung, insbesonderebeiVerwendungneuerTechnologien,aufgrundderArt,desUmfangs,derUmständeund der Zwecke der Verarbeitung voraussichtlich eine erheblicheGefahr fürdieRechtsgüterbetroffenerPersonenzurFolge, sohatderVerantwortlichevorabeineAbschätzungderFolgendervorgese-henenVerarbeitungsvorgängefürdiebetroffenenPersonendurch-zuführen.
86
(2)FürdieUntersuchungmehrererähnlicherVerarbeitungsvorgängemitähnlichhohemGefahrenpotentialkanneinegemeinsameDaten-schutz-Folgenabschätzungvorgenommenwerden.
(3) DerVerantwortliche hat dieDatenschutzbeauftragte oder denDatenschutzbeauftragtenanderDurchführungderFolgenabschät-zungzubeteiligen.
(4)DieFolgenabschätzunghatdenRechtendervonderVerarbei-tungbetroffenenPersonenRechnungzutragenundzumindestFol-gendeszuenthalten:
1. einesystematischeBeschreibungdergeplantenVerarbeitungs-vorgängeundderZweckederVerarbeitung,
2. eineBewertungderNotwendigkeitundVerhältnismäßigkeitderVerarbeitungsvorgängeinBezugaufderenZweck,
3. eine Bewertung der Gefahren für die Rechtsgüter der betrof-fenenPersonenund
4. dieMaßnahmen,mitdenenbestehendenGefahrenabgeholfenwerdensoll,einschließlichderGarantien,derSicherheitsvorkeh-rungenundderVerfahren,durchdiederSchutzpersonenbezo-generDatensichergestelltunddieEinhaltungdergesetzlichenVorgabennachgewiesenwerdensollen.
(5) Soweit erforderlich, hat derVerantwortliche eineÜberprüfungdurchzuführen, ob dieVerarbeitung denMaßgaben folgt, die sichausderFolgenabschätzungergebenhaben.
§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
DerVerantwortlichehatmitderoderdemBundesbeauftragtenbeiderErfüllungihreroderseinerAufgabenzusammenzuarbeiten.
87Bundesdatenschutzgesetz Teil 3
§ 69 Anhörung der oder des Bundesbeauftragten
(1)DerVerantwortlichehatvorderInbetriebnahmevonneuanzule-gendenDateisystemendieBundesbeauftragteoderdenBundesbe-auftragtenanzuhören,wenn
1. auseinerDatenschutz-Folgenabschätzungnach§67hervorgeht,dassdieVerarbeitungeineerheblicheGefahrfürdieRechtsgüterderbetroffenenPersonenzurFolgehätte,wennderVerantwort-lichekeineAbhilfemaßnahmentreffenwürde,oder
2. die Form derVerarbeitung, insbesondere bei derVerwendungneuerTechnologien,MechanismenoderVerfahren,eineerheb-licheGefahr für dieRechtsgüterderbetroffenenPersonen zurFolgehat.
DieoderderBundesbeauftragtekanneineListederVerarbeitungs-vorgängeerstellen,diederPflichtzurAnhörungnachSatz1unter-liegen.
(2)DeroderdemBundesbeauftragtensind imFalldesAbsatzes1vorzulegen:
1. dienach§67durchgeführteDatenschutz-Folgenabschätzung,
2. gegebenenfallsAngabenzudenjeweiligenZuständigkeitendesVerantwortlichen,dergemeinsamVerantwortlichenundderanderVerarbeitungbeteiligtenAuftragsverarbeiter,
3. AngabenzudenZweckenundMittelnderbeabsichtigtenVerar-beitung,
4. Angaben zu den zum Schutz der Rechtsgüter der betroffenenPersonenvorgesehenenMaßnahmenundGarantienund
5. NameundKontaktdatenderoderdesDatenschutzbeauftragten.
AufAnforderungsindihroderihmzudemallesonstigenInformatio-nenzuübermitteln,diesieodererbenötigt,umdieRechtmäßigkeitderVerarbeitungsowieinsbesonderedieinBezugaufdenSchutzderpersonenbezogenenDatenderbetroffenenPersonenbestehendenGefahrenunddiediesbezüglichenGarantienbewertenzukönnen.
88
(3)FallsdieoderderBundesbeauftragtederAuffassungist,dassdiegeplanteVerarbeitunggegengesetzlicheVorgabenverstoßenwürde,insbesondereweilderVerantwortlichedasRisikonichtausreichendermittelt oder keine ausreichenden Abhilfemaßnahmen getroffenhat,kannsieodererdemVerantwortlichenundgegebenenfallsdemAuftragsverarbeiter innerhalb eines Zeitraums von sechsWochennachEinleitungderAnhörungschriftlicheEmpfehlungenunterbrei-ten,welcheMaßnahmen noch ergriffenwerden sollten. Die oderderBundesbeauftragtekanndieseFristumeinenMonatverlängern,wenndiegeplanteVerarbeitungbesonderskomplexist.SieodererhatindiesemFallinnerhalbeinesMonatsnachEinleitungderAnhö-rungdenVerantwortlichenundgegebenenfallsdenAuftragsverar-beiterüberdieFristverlängerungzuinformieren.
(4)HatdiebeabsichtigteVerarbeitungerheblicheBedeutungfürdieAufgabenerfüllungdesVerantwortlichenundistsiedaherbesondersdringlich,kannermitderVerarbeitungnachBeginnderAnhörung,abervorAblaufderinAbsatz3Satz1genanntenFristbeginnen.IndiesemFallsinddieEmpfehlungenderoderdesBundesbeauftragtenimNachhineinzuberücksichtigenundsinddieArtundWeisederVerarbeitungdaraufhingegebenenfallsanzupassen.
§ 70 Verzeichnis von Verarbeitungstätigkeiten
(1)DerVerantwortlichehateinVerzeichnisallerKategorienvonVer-arbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen.DiesesVerzeichnishatdiefolgendenAngabenzuenthalten:
1. den Namen und die Kontaktdaten des Verantwortlichen undgegebenenfallsdesgemeinsammitihmVerantwortlichensowiedenNamenunddieKontaktdatenderoderdesDatenschutzbe-auftragten,
2. dieZweckederVerarbeitung,
3. dieKategorienvonEmpfängern,gegenüberdenendiepersonen-bezogenenDatenoffengelegtwordensindodernochoffenge-legtwerdensollen,
4. eineBeschreibungderKategorienbetroffenerPersonenundderKategorienpersonenbezogenerDaten,
89Bundesdatenschutzgesetz Teil 3
5. gegebenenfallsdieVerwendungvonProfiling,
6. gegebenenfallsdieKategorienvonÜbermittlungenpersonenbe-zogenerDatenanStellenineinemDrittstaatoderaneineinter-nationaleOrganisation,
7. AngabenüberdieRechtsgrundlagederVerarbeitung,
8. dievorgesehenenFristenfürdieLöschungoderdieÜberprüfungderErforderlichkeitderSpeicherungderverschiedenenKatego-rienpersonenbezogenerDatenund
9. eineallgemeineBeschreibungdertechnischenundorganisatori-schenMaßnahmengemäߧ64.
(2)DerAuftragsverarbeiterhateinVerzeichnisallerKategorienvonVerarbeitungenzuführen,dieerimAuftrageinesVerantwortlichendurchführt,dasFolgendeszuenthaltenhat:
1. denNamenunddieKontaktdatendesAuftragsverarbeiters, je-desVerantwortlichen,indessenAuftragderAuftragsverarbeitertätigist,sowiegegebenenfallsderoderdesDatenschutzbeauf-tragten,
2. gegebenenfallsÜbermittlungenvonpersonenbezogenenDatenanStellenineinemDrittstaatoderaneineinternationaleOrgani-sationunterAngabedesStaatesoderderOrganisationund
3. eineallgemeineBeschreibungdertechnischenundorganisatori-schenMaßnahmengemäߧ64.
(3)DieindenAbsätzen1und2genanntenVerzeichnissesindschrift-lichoderelektronischzuführen.
(4)VerantwortlicheundAuftragsverarbeiterhabenaufAnforderungihreVerzeichnissederoderdemBundesbeauftragtenzurVerfügungzustellen.
90
§ 71 Datenschutz durch Technikgestaltung und datenschutz-freundliche Voreinstellungen
(1)DerVerantwortlichehat sowohl zumZeitpunktderFestlegungderMittelfürdieVerarbeitungalsauchzumZeitpunktderVerarbei-tungselbstangemesseneVorkehrungenzutreffen,diegeeignetsind,dieDatenschutzgrundsätzewieetwadieDatensparsamkeitwirksamumzusetzen,unddiesicherstellen,dassdiegesetzlichenAnforderun-geneingehaltenunddieRechtederbetroffenenPersonengeschütztwerden.ErhathierbeidenStandderTechnik,dieImplementierungs-kostenunddieArt,denUmfang,dieUmständeunddieZweckederVerarbeitungsowiedieunterschiedlicheEintrittswahrscheinlichkeitundSchweredermit derVerarbeitungverbundenenGefahren fürdieRechtsgüterderbetroffenenPersonenzuberücksichtigen. Ins-besonderesinddieVerarbeitungpersonenbezogenerDatenunddieAuswahlundGestaltungvonDatenverarbeitungssystemenandemZiel auszurichten, sowenigpersonenbezogeneDatenwiemöglichzu verarbeiten. Personenbezogene Daten sind zum frühestmögli-chenZeitpunktzuanonymisierenoderzupseudonymisieren,soweitdiesnachdemVerarbeitungszweckmöglichist.
(2) Der Verantwortliche hat geeignete technische und organisa-torischeMaßnahmenzu treffen,die sicherstellen,dassdurchVor-einstellungen grundsätzlich nur solche personenbezogenen Datenverarbeitetwerdenkönnen,derenVerarbeitung fürden jeweiligenbestimmten Verarbeitungszweck erforderlich ist. Dies betrifft dieMengedererhobenenDaten,denUmfang ihrerVerarbeitung, ihreSpeicherfristundihreZugänglichkeit.DieMaßnahmenmüssenins-besondere gewährleisten, dass die Daten durch Voreinstellungennicht automatisiert einer unbestimmtenAnzahl von Personen zu-gänglichgemachtwerdenkönnen.
§ 72 Unterscheidung zwischen verschiedenen Kategorien betrof-fener Personen
DerVerantwortliche hat bei derVerarbeitung personenbezogenerDatensoweitwiemöglichzwischendenverschiedenenKategorienbetroffenerPersonenzuunterscheiden.Diesbetrifft insbesonderefolgendeKategorien:
91Bundesdatenschutzgesetz Teil 3
1. Personen,gegendieeinbegründeterVerdachtbesteht,dasssieeineStraftatbegangenhaben,
2. Personen,gegendieeinbegründeterVerdachtbesteht,dasssieinnaherZukunfteineStraftatbegehenwerden,
3. verurteilteStraftäter,
4. OpfereinerStraftatoderPersonen,beidenenbestimmteTatsa-chendaraufhindeuten,dasssieOpfereinerStraftatseinkönn-ten,und
5. anderePersonenwieinsbesondereZeugen,HinweisgeberoderPersonen,diemitdenindenNummern1bis4genanntenPerso-neninKontaktoderVerbindungstehen.
§ 73 Unterscheidung zwischen Tatsachen und persönlichen Ein-schätzungen
DerVerantwortlichehatbeiderVerarbeitungsoweitwiemöglichdanach zu unterscheiden, ob personenbezogeneDaten aufTatsa-chen oder auf persönlichen Einschätzungen beruhen. Zu diesemZweck soll er, soweitdies imRahmender jeweiligenVerarbeitungmöglich und angemessen ist, Beurteilungen, die auf persönlichenEinschätzungenberuhen,alssolchekenntlichmachen.Esmussau-ßerdemfeststellbarsein,welcheStelledieUnterlagenführt,diederauf einer persönlichen Einschätzung beruhenden Beurteilung zu-grundeliegen.
§ 74 Verfahren bei Übermittlungen
(1)DerVerantwortlichehatangemesseneMaßnahmenzuergreifen,umzugewährleisten,dasspersonenbezogeneDaten,dieunrichtigodernichtmehraktuellsind,nichtübermitteltodersonstzurVerfü-gunggestelltwerden.ZudiesemZweckhater,soweitdiesmitan-gemessenemAufwandmöglichist,dieQualitätderDatenvorihrerÜbermittlungoderBereitstellungzuüberprüfen.BeijederÜbermitt-lungpersonenbezogenerDatenhaterzudem,soweitdiesmöglichundangemessenist,Informationenbeizufügen,dieesdemEmpfän-
92
gergestatten,dieRichtigkeit,dieVollständigkeitunddieZuverlässig-keitderDatensowiederenAktualitätzubeurteilen.
(2)GeltenfürdieVerarbeitungvonpersonenbezogenenDatenbe-sondereBedingungen,sohatbeiDatenübermittlungendieübermit-telndeStelledenEmpfängeraufdieseBedingungenunddiePflichtzu ihrerBeachtunghinzuweisen.DieHinweispflicht kanndadurcherfülltwerden,dassdieDatenentsprechendmarkiertwerden.
(3) Die übermittelnde Stelle darf auf Empfänger in anderen Mit-gliedstaaten der Europäischen Union und auf Einrichtungen undsonstigeStellen,dienachdenKapiteln4und5desTitelsVdesDrit-tenTeilsdesVertragsüberdieArbeitsweisederEuropäischenUnionerrichtetwurden,keineBedingungenanwenden,dienichtauchfürentsprechendeinnerstaatlicheDatenübermittlungengelten.
§ 75 Berichtigung und Löschung personenbezogener Daten so-wie Einschränkung der Verarbeitung
(1)DerVerantwortliche hat personenbezogeneDaten zu berichti-gen,wennsieunrichtigsind.
(2)DerVerantwortlichehatpersonenbezogeneDatenunverzüglichzulöschen,wennihreVerarbeitungunzulässigist,siezurErfüllungeiner rechtlichenVerpflichtung gelöschtwerdenmüssenoder ihreKenntnisfürseineAufgabenerfüllungnichtmehrerforderlichist.
(3)§58Absatz3bis5istentsprechendanzuwenden.SindunrichtigepersonenbezogeneDatenoderpersonenbezogeneDatenunrecht-mäßigübermitteltworden,istauchdiesdemEmpfängermitzuteilen.
(4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspei-cher-oderLöschfristenhatderVerantwortlichefürdieLöschungvonpersonenbezogenenDatenodereineregelmäßigeÜberprüfungderNotwendigkeit ihrerSpeicherungangemesseneFristenvorzusehenunddurchverfahrensrechtlicheVorkehrungensicherzustellen,dassdieseFristeneingehaltenwerden.
93Bundesdatenschutzgesetz Teil 3
§ 76 Protokollierung
(1) In automatisierten Verarbeitungssystemen haben Verantwort-liche undAuftragsverarbeiter mindestens die folgendenVerarbei-tungsvorgängezuprotokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. OffenlegungeinschließlichÜbermittlung,
5. Kombinationund
6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen esermöglichen, die Begründung, das Datum und die Uhrzeit dieserVorgängeundsoweitwiemöglichdieIdentitätderPerson,diediepersonenbezogenenDatenabgefragtoderoffengelegthat,unddieIdentitätdesEmpfängersderDatenfestzustellen.
(3) Die Protokolle dürfen ausschließlich für die Überprüfung derRechtmäßigkeit der Datenverarbeitung durch die Datenschutzbe-auftragteoderdenDatenschutzbeauftragten,dieBundesbeauftrag-teoderdenBundesbeauftragtenunddiebetroffenePersonsowiefürdieEigenüberwachung,fürdieGewährleistungderIntegritätundSicherheit der personenbezogenen Daten und für Strafverfahrenverwendetwerden.
(4)DieProtokolldatensindamEndedesaufderenGenerierungfol-gendenJahreszulöschen.
(5)DerVerantwortlicheundderAuftragsverarbeiterhabendiePro-tokollederoderdemBundesbeauftragtenaufAnforderungzurVer-fügungzustellen.
94
§ 77 Vertrauliche Meldung von Verstößen
DerVerantwortlichehatzuermöglichen,dassihmvertraulicheMel-dungenüberinseinemVerantwortungsbereicherfolgendeVerstößegegenDatenschutzvorschriftenzugeleitetwerdenkönnen.
Kapitel5 Datenübermittlungen an DrittstaatenundaninternationaleOrganisationen
§ 78 Allgemeine Voraussetzungen
(1)DieÜbermittlungpersonenbezogenerDatenanStelleninDritt-staatenoderaninternationaleOrganisationenistbeiVorliegenderübrigenfürDatenübermittlungengeltendenVoraussetzungenzuläs-sig,wenn
1. die Stelle oder internationaleOrganisation für die in § 45 ge-nanntenZweckezuständigistund
2. die Europäische Kommission gemäß Artikel 36 Absatz 3 derRichtlinie (EU)2016/680einenAngemessenheitsbeschluss ge-fassthat.
(2)DieÜbermittlungpersonenbezogenerDatenhat trotzdesVor-liegenseinesAngemessenheitsbeschlussesimSinnedesAbsatzes1Nummer2unddeszuberücksichtigendenöffentlichenInteressesanderDatenübermittlungzuunterbleiben,wenn imEinzelfalleinda-tenschutzrechtlichangemessenerunddieelementarenMenschen-rechte wahrender Umgang mit den Daten beim Empfänger nichthinreichend gesichert ist oder sonst überwiegende schutzwürdigeInteresseneinerbetroffenenPersonentgegenstehen.BeiseinerBe-urteilunghatderVerantwortlichemaßgeblichzuberücksichtigen,obderEmpfänger imEinzelfalleinenangemessenenSchutzderüber-mitteltenDatengarantiert.
(3)Wenn personenbezogene Daten, die aus einem anderen Mit-gliedstaatderEuropäischenUnionübermitteltoder zurVerfügunggestellt wurden, nach Absatz 1 übermittelt werden sollen, muss
95Bundesdatenschutzgesetz Teil 3
dieseÜbermittlung zuvor von der zuständigen Stelle des anderenMitgliedstaats genehmigtwerden. Übermittlungen ohnevorherigeGenehmigung sind nur dann zulässig, wenn die Übermittlung er-forderlich ist, um eine unmittelbare und ernsthafteGefahr für dieöffentlicheSicherheiteinesStaatesoderfürdiewesentlichenInter-esseneinesMitgliedstaats abzuwehren,unddievorherigeGeneh-migungnichtrechtzeitigeingeholtwerdenkann.ImFalldesSatzes2istdieStelledesanderenMitgliedstaats,diefürdieErteilungderGenehmigungzuständiggewesenwäre,unverzüglichüberdieÜber-mittlungzuunterrichten.
(4)DerVerantwortliche,derDatennachAbsatz1übermittelt, hatdurch geeigneteMaßnahmen sicherzustellen, dass der EmpfängerdieübermitteltenDatennurdannanandereDrittstaatenoderan-dere internationale Organisationen weiterübermittelt, wenn derVerantwortliche diese Übermittlung zuvor genehmigt hat. Bei derEntscheidungüberdieErteilungderGenehmigunghatderVerant-wortliche alle maßgeblichen Faktoren zu berücksichtigen, insbe-sondere die Schwere der Straftat, den Zweck der ursprünglichenÜbermittlungunddasindemDrittstaatoderderinternationalenOr-ganisation,andasoderandiedieDatenweiterübermitteltwerdensollen,bestehendeSchutzniveaufürpersonenbezogeneDaten.EineGenehmigungdarfnurdannerfolgen,wennaucheinedirekteÜber-mittlung andenanderenDrittstaatoderdie andere internationaleOrganisationzulässigwäre.DieZuständigkeit fürdieErteilungderGenehmigungkannauchabweichendgeregeltwerden.
§ 79 Datenübermittlung bei geeigneten Garantien
(1)Liegtentgegen§78Absatz1Nummer2keinBeschlussnachAr-tikel36Absatz3derRichtlinie(EU)2016/680vor,isteineÜbermitt-lungbeiVorliegenderübrigenVoraussetzungendes§78auchdannzulässig,wenn
1. ineinemrechtsverbindlichenInstrumentgeeigneteGarantienfürdenSchutzpersonenbezogenerDatenvorgesehensindoder
2. der Verantwortliche nach Beurteilung aller Umstände, die beiderÜbermittlungeineRolle spielen, zuderAuffassunggelangtist,dassgeeigneteGarantienfürdenSchutzpersonenbezogenerDatenbestehen.
96
(2) DerVerantwortliche hat Übermittlungen nachAbsatz 1 Num-mer2zudokumentieren.DieDokumentationhatdenZeitpunktderÜbermittlung, die Identität des Empfängers, denGrund derÜber-mittlungunddieübermitteltenpersonenbezogenenDatenzuent-halten. Sie ist der oderdemBundesbeauftragten aufAnforderungzurVerfügungzustellen.
(3)DerVerantwortlichehatdieBundesbeauftragteoderdenBun-desbeauftragtenzumindest jährlichüberÜbermittlungenzuunter-richten, die aufgrund einer Beurteilung nachAbsatz 1Nummer 2erfolgt sind. In der Unterrichtung kann er die Empfänger und dieÜbermittlungszweckeangemessenkategorisieren.
§ 80 Datenübermittlung ohne geeignete Garantien
(1)Liegtentgegen§78Absatz1Nummer2keinBeschlussnachAr-tikel36Absatz3derRichtlinie(EU)2016/680vorundliegenauchkeinegeeignetenGarantienimSinnedes§79Absatz1vor,isteineÜbermittlungbeiVorliegenderübrigenVoraussetzungendes§78auchdannzulässig,wenndieÜbermittlungerforderlichist
1. zumSchutzlebenswichtigerInteresseneinernatürlichenPerson,
2. zurWahrungberechtigterInteressenderbetroffenenPerson,
3. zurAbwehreinergegenwärtigenunderheblichenGefahrfürdieöffentlicheSicherheiteinesStaates,
4. imEinzelfallfürdiein§45genanntenZweckeoder
5. imEinzelfallzurGeltendmachung,AusübungoderVerteidigungvonRechtsansprüchen imZusammenhangmitden in §45ge-nanntenZwecken.
(2)DerVerantwortlichehatvoneinerÜbermittlungnachAbsatz1abzusehen,wenndieGrundrechtederbetroffenenPersondasöf-fentlicheInteresseanderÜbermittlungüberwiegen.
(3) FürÜbermittlungen nachAbsatz 1 gilt § 79Absatz 2 entspre-chend.
97Bundesdatenschutzgesetz Teil 3
§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
(1)VerantwortlichekönnenbeiVorliegenderübrigenfürdieDaten-übermittlunginDrittstaatengeltendenVoraussetzungenimbeson-deren Einzelfall personenbezogene Daten unmittelbar an nicht in§78Absatz1Nummer1genannteStelleninDrittstaatenübermit-teln,wenndieÜbermittlungfürdieErfüllungihrerAufgabenunbe-dingterforderlichistund
1. imkonkretenFallkeineGrundrechtederbetroffenenPersondasöffentlicheInteresseaneinerÜbermittlungüberwiegen,
2. dieÜbermittlungandiein§78Absatz1Nummer1genanntenStellenwirkungslosoderungeeignetwäre,insbesondereweilsienichtrechtzeitigdurchgeführtwerdenkann,und
3. derVerantwortliche demEmpfänger die Zwecke derVerarbei-tungmitteiltundihndaraufhinweist,dassdieübermitteltenDa-tennurindemUmfangverarbeitetwerdendürfen, indemihreVerarbeitungfürdieseZweckeerforderlichist.
(2)ImFalldesAbsatzes1hatderVerantwortlichediein§78Absatz1Nummer1genanntenStellenunverzüglichüberdieÜbermittlungzuunterrichten,soferndiesnichtwirkungslosoderungeeignetist.
(3)FürÜbermittlungennachAbsatz1gilt§79Absatz2und3ent-sprechend.
(4)BeiÜbermittlungennachAbsatz1hatderVerantwortlichedenEmpfänger zu verpflichten, die übermittelten personenbezogenenDatenohneseineZustimmungnurfürdenZweckzuverarbeiten,fürdensieübermitteltwordensind.
(5)AbkommenimBereichderjustiziellenZusammenarbeitinStraf-sachenundderpolizeilichenZusammenarbeitbleibenunberührt.
98
Kapitel6 Zusammenarbeit der Aufsichtsbehör-den
§ 82 Gegenseitige Amtshilfe
(1)DieoderderBundesbeauftragtehatdenDatenschutzaufsichts-behördeninanderenMitgliedstaatenderEuropäischenUnionInfor-mationen zuübermittelnundAmtshilfe zu leisten, soweit dies füreine einheitliche Umsetzung und Anwendung der Richtlinie (EU)2016/680erforderlichist.DieAmtshilfebetrifftinsbesondereAus-kunftsersuchenundaufsichtsbezogeneMaßnahmen,beispielsweiseErsuchenumKonsultationoderumVornahmevonNachprüfungenundUntersuchungen.
(2)DieoderderBundesbeauftragtehatallegeeignetenMaßnahmenzuergreifen,umAmtshilfeersuchenunverzüglichundspätestensin-nerhalbeinesMonatsnachderenEingangnachzukommen.
(3)DieoderderBundesbeauftragtedarfAmtshilfeersuchennurab-lehnen,wenn
1. sieodererfürdenGegenstanddesErsuchensoderfürdieMaß-nahmen,diesieodererdurchführensoll,nichtzuständigistoder
2. einEingehenaufdasErsuchengegenRechtsvorschriftenversto-ßenwürde.
(4)DieoderderBundesbeauftragtehatdieersuchendeAufsichtsbe-hördedesanderenStaatesüberdieErgebnisseodergegebenenfallsüber den Fortgang derMaßnahmen zu informieren, die getroffenwurden,umdemAmtshilfeersuchennachzukommen.SieodererhatimFalldesAbsatzes3dieGründefürdieAblehnungdesErsuchenszuerläutern.
(5)DieoderderBundesbeauftragtehatdieInformationen,umdiesieoderervonderAufsichtsbehördedesanderenStaatesersuchtwur-de,inderRegelelektronischundineinemstandardisiertenFormatzuübermitteln.
99Bundesdatenschutzgesetz Teil 3
(6) Die oder der Bundesbeauftragte hat Amtshilfeersuchen kos-tenfrei zu erledigen, soweit sie oder er nicht im Einzelfallmit derAufsichtsbehördedesanderenStaatesdieErstattungentstandenerAusgabenvereinbarthat.
(7)EinAmtshilfeersuchenderoderdesBundesbeauftragtenhatalleerforderlichen Informationen zu enthalten; hierzu gehören insbe-sonderederZweckunddieBegründungdesErsuchens.DieaufdasErsuchenübermitteltenInformationendürfenausschließlichzudemZweckverwendetwerden,zudemsieangefordertwurden.
Kapitel7 HaftungundSanktionen
§ 83 Schadensersatz und Entschädigung
(1) Hat einVerantwortlicher einer betroffenen Person durch eineVerarbeitung personenbezogener Daten, die nach diesem GesetzodernachanderenaufihreVerarbeitunganwendbarenVorschriftenrechtswidrigwar,einenSchadenzugefügt, isteroderseinRechts-trägerderbetroffenenPersonzumSchadensersatzverpflichtet.DieErsatzpflichtentfällt, soweitbei einernicht automatisiertenVerar-beitungderSchadennichtaufeinVerschuldendesVerantwortlichenzurückzuführenist.
(2)WegeneinesSchadens,dernichtVermögensschadenist,kanndiebetroffenePersoneineangemesseneEntschädigunginGeldverlan-gen.
(3)LässtsichbeieinerautomatisiertenVerarbeitungpersonenbezo-generDatennichtermitteln,welchevonmehrerenbeteiligtenVer-antwortlichendenSchadenverursachthat,sohaftet jederVerant-wortlichebeziehungsweiseseinRechtsträger.
(4)HatbeiderEntstehungdesSchadenseinVerschuldenderbetrof-fenenPersonmitgewirkt, ist § 254desBürgerlichenGesetzbuchsentsprechendanzuwenden.
100
(5)AufdieVerjährungfindendiefürunerlaubteHandlungengelten-denVerjährungsvorschriftendesBürgerlichenGesetzbuchsentspre-chendeAnwendung.
§ 84 Strafvorschriften
Für Verarbeitungen personenbezogener Daten durch öffentlicheStellenimRahmenvonTätigkeitennach§45Satz1,3oder4findet§42entsprechendeAnwendung.
Teil4 Besondere Bestimmungen für Verar-beitungen im Rahmen von nicht in dieAnwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU)2016/680fallendenTätigkeiten
§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätig-keiten
(1)DieÜbermittlungpersonenbezogenerDatenaneinenDrittstaatoder an über- oder zwischenstaatliche Stellen oder internationaleOrganisationen im Rahmenvon nicht in dieAnwendungsbereichederVerordnung (EU) 2016/679und derRichtlinie (EU) 2016/680fallendenTätigkeitenistüberdiebereitsgemäßderVerordnung(EU)2016/679zulässigenFällehinausauchdannzulässig,wennsiezurErfüllungeigenerAufgabenauszwingendenGründenderVerteidi-gung oder zur Erfüllung über- oder zwischenstaatlicherVerpflich-tungen einer öffentlichen Stelle des Bundes auf dem Gebiet derKrisenbewältigungoderKonfliktverhinderungoder für humanitäreMaßnahmenerforderlichist.DerEmpfängeristdaraufhinzuweisen,dassdieübermitteltenDatennurzudemZweckverwendetwerdendürfen,zudemsieübermitteltwurden.
101Bundesdatenschutzgesetz Teil 4
(2) FürVerarbeitungen im Rahmenvon nicht in dieAnwendungs-bereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU)2016/680 fallendenTätigkeitendurchDienststellen imGeschäfts-bereichdesBundesministeriumsderVerteidigunggilt§16Absatz4nicht,soweitdasBundesministeriumderVerteidigungimEinzelfallfeststellt,dassdieErfüllungderdortgenanntenPflichtendieSicher-heitdesBundesgefährdenwürde.
(3) FürVerarbeitungen im Rahmenvon nicht in dieAnwendungs-bereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU)2016/680fallendenTätigkeitendurchöffentlicheStellendesBun-desbestehtkeineInformationspflichtgemäßArtikel13Absatz1und2derVerordnung(EU)2016/679,wenn
1. essichumFälledes§32Absatz1Nummer1bis3handeltoder
2. durch ihreErfüllung Informationenoffenbartwürden,dienacheiner Rechtsvorschrift oder ihrem Wesen nach, insbesonderewegen der überwiegenden berechtigten Interessen einesDrit-ten,geheimgehaltenwerdenmüssen,unddeswegendasInter-esse der betroffenen Person an der Erteilung der Informationzurücktretenmuss.
IstdiebetroffenePersonindenFällendesSatzes1nichtzuinformie-ren,bestehtauchkeinRechtaufAuskunft.§32Absatz2und§33Absatz2findenkeineAnwendung.
Kontakt
Die Landesbeauftragte für den Datenschutz und für das Recht auf AkteneinsichtStahnsdorferDamm7714532Kleinmachnow
Telefon 033203356-0Fax 033203356-49E-Mail [email protected]
WWW.LDA.BRANDENBURG.DE