Bundesdatenschutzgesetz (BDSG)
Vom 20. Dezember 1990 (BGBl.
I, S.2954), zuletzt geändert durch Art.2 Abs. 5 des Begleitgesetzes zum
Telekommunikationsgesetz (BegleitG) vom 17.Dezember 1997 (BGBl. I S. 3108).
§
1
[Zweck und Anwendungsbereich des Gesetzes]
(1) Zweck dieses Gesetzes
ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit
seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt
wird.
(2) Dieses Gesetz gilt für
die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
1. öffentliche Stellen des
Bundes,
2. öffentliche Stellen der
Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist
und soweit sie
a) Bundesrecht ausführen
oder
b) als Organe der
Rechtspflege tätig werden und es sich nicht um
Verwaltungsangelegenheiten handelt,
3. nicht-öffentliche
Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig
oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen.
(3) Bei der Anwendung
dieses Gesetzes gelten folgende Einschränkungen:
1. Für automatisierte
Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend
erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch
gelöscht werden, gelten nur die §§ 5 und 9.
2. Für
nicht-automatisierte Dateien, deren personenbezogene Daten nicht zur
Übermittlung an Dritte bestimmt sind, gelten nur die §§ 5, 8, 39
und 40. Außerdem gelten für Dateien öffentlicher Stellen die
Regelungen über die Verarbeitung und Nutzung personenbezogener Daten
in Akten. Werden im Einzelfall personenbezogene Daten übermittelt,
gelten für diesen Einzelfall die Vorschriften dieses Gesetzes
uneingeschränkt.
(4) Soweit andere
Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich
deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses
Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher
Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen,
die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(5) Die Vorschriften dieses
Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der
Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
§
2
[Öffentliche und nicht-öffentliche Stellen]
(1) Öffentliche Stellen
des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich
organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften,
Anstalten und Stiftungen des öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten
die aus dem Sondervermögen Deutsche Bundespost durch Gesetz
hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht
nach dem Postgesetz zusteht.
(2) Öffentliche Stellen
der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich
organisierte Einrichtungen eines Landes, einer Gemeinde, eines
Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender
juristischer Personen des öffentlichen Rechts sowie derer Vereinigungen
ungeachtet ihrer Rechtsform.
(3) Vereinigungen des
privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die
Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der
Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des
Bundes, wenn
1. sie über den Bereich
eines Landes hinaus tätig werden oder
2. dem Bund die absolute
Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen
zusteht.
Andernfalls gelten sie als öffentliche
Stellen der Länder.
(4) Nicht-öffentliche
Stellen sind natürliche und juristische Personen, Gesellschaften und
andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter
die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle
hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit
öffentliche Stelle im Sinne dieses Gesetzes.
§
3
[Weitere Begriffsbestimmungen]
(1) Personenbezogene Daten
sind Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Eine Datei ist
1. eine Sammlung
personenbezogener Daten, die durch automatisierte Verfahren nach
bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei),
oder
2. jede sonstige Sammlung
personenbezogener Daten, die gleichartig aufgebaut ist und nach
bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann
(nicht-automatisierte Datei).
Nicht hierzu gehören Akten
und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren
umgeordnet und ausgewertet werden können.
(3) Eine Akte ist jede
sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen
auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und
Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
(4) Erheben ist das
Beschaffen von Daten über den Betroffenen.
(5) Verarbeiten ist das
Speichern, Verändern, Übermitteln, Sperren und Löschen
personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei
angewendeten Verfahren:
1. Speichern das Erfassen,
Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger
zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das
inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das
Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten (Empfänger) in der Weise,
a) die Daten durch die
speichernde Stelle an den Empfänger weitergegeben werden oder
b) der Empfänger von
der speichernden Stelle zur Einsicht oder zum Abruf
bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen
gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung
oder Nutzung einzuschränken,
5. Löschen das
Unkenntlichmachen gespeicherter personenbezogener Daten.
(6) Nutzen ist jede
Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung
handelt.
(7) Anonymisieren ist das
Verändern personenbezogener Daten derart, dass die Einzelangaben über
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft
einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(8) Speichernde Stelle ist
jede Person oder Stelle, die personenbezogene Daten für sich selbst
speichert oder durch andere im Auftrag speichern lässt.
(9) Dritter ist jede Person
oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der
Betroffene sowie diejenigen Personen und Stellen, die im Geltungsbereich
dieses Gesetzes personenbezogene Daten im Auftrag verarbeiten oder nutzen.
§
4
[Zulässigkeit der Datenverarbeitung und -nutzung]
(1) Die Verarbeitung
personenbezogener Daten und deren Nutzung sind nur zulässig, wenn dieses
Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder
soweit der Betroffene eingewilligt hat.
(2) Wird die Einwilligung
bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und
einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der
Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der
Schriftform, soweit nicht wegen besonderer Umstände eine andere Form
angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen
schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren
Erscheinungsbild der Erklärung hervorzuheben.
(3) Im Bereich der
wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von
Absatz 2 Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte
Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der
Hinweis nach Absatz 2 Satz 1 und die Gründe, aus denen sich die
erhebliche Beeinträchtigung des bestimmten Forschungszweckes ergibt,
schriftlich festzuhalten.
§
5
[Datengeheimnis]
Den bei der
Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene
Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Diese
Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt
werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu
verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit
fort.
§
6
[Unabdingbare Rechte des Betroffenen]
(1) Die Rechte des
Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung
oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft
ausgeschlossen oder beschränkt werden.
(2) Sind die Daten des
Betroffenen in einer Datei gespeichert, bei der mehrere Stellen
speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, die
speichernde Stelle festzustellen, so kann er sich an jede dieser
Stellenwenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an
die speichernde Stelle weiterzuleiten. Der Betroffene ist über die
Weiterleitung und die speichernde Stelle zu unterrichten. Die in § 19
Abs.3 genannten Stellen, die Behörden der Staatsanwaltschaft und der
Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie
personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im
Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung
speichern, können statt des Betroffenen den Bundesbeauftragten für den
Datenschutz unterrichten. In diesem Fall richtet sich das weitere
Verfahren nach § 19 Abs.6.
§
7
[Schadensersatz durch öffentliche Stellen]
(1) Fügt eine öffentliche
Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes
oder nach anderen Vorschriften über den Datenschutz unzulässige oder
unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten
einen Schaden zu, ist sie dem Betroffenen unabhängig von einem
Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Bei einer schweren
Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der
nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den
Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von
zweihundertfünfzigtausend Deutsche Mark begrenzt. Ist aufgrund desselben
Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt
den Höchstbetrag von zweihundertfünfzigtausend Deutsche Mark übersteigt,
so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis,
in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei
mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in
der Lage, die speichernde Stelle festzustellen, so haftet jede dieser
Stellen.
(5) Mehrere
Ersatzpflichtige haften als Gesamtschuldner.
(6) Auf das Mitverschulden
des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen
Gesetzbuches entsprechend anzuwenden.
(7) Vorschriften, nach
denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift
haftet oder nach denen ein anderer für den Schaden verantwortlich ist,
bleiben unberührt.
(8) Der Rechtsweg vor den
ordentlichen Gerichten steht offen.
§
8
[Schadensersatz durch nicht-öffentliche Stellen]
Macht ein Betroffener gegenüber
einer nicht-öffentlichen Stelle einen Anspruch auf Schadensersatz wegen
einer nach diesem Gesetz oder anderen Vorschriften über den Datenschutz
unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend
und ist streitig, ob der Schaden die Folge eines von der speichernden
Stelle zu vertretenden Umstandes ist, so trifft die Beweislast die
speichernde Stelle.
§
9
[Technische und organisatorische Maßnahmen]
Öffentliche und nicht-öffentliche
Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten,
haben die technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes,
insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen,
zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in
einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§
10
[Einrichtung automatisierter Abrufverfahren]
(1) Die Einrichtung eines
automatisierten Verfahrens, das die Übermittlung personenbezogener Daten
durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung
der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke
der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit
des einzelnen Abrufs bleiben unberührt.
(2) Die beteiligten Stellen
haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens
kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlas und Zweck des
Abrufverfahrens,
2. Datenempfänger,
3. Art der zu übermittelnden
Daten,
4. nach § 9 erforderliche
technische und organisatorische Maßnahmen.
Im öffentlichen Bereich können
die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden
getroffen werden.
(3) Über die Einrichtung
von Abrufverfahren ist in Fällen, in denen die in § 12 Abs.1 genannten
Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz unter
Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung
von Abrufverfahren, bei denen die in § 6 Abs.2 und in § 19 Abs.3
genannten Stellen beteiligt sind, ist nur zulässig, wenn der für die
speichernde und die abrufende Stelle jeweils zuständige Bundes- oder
Landesminister oder deren Vertreter zugestimmt haben.
(4) Die Verantwortung für
die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die
speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlas
besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung
personenbezogener Daten zumindest durch geeignete Stichprobenverfahren
festgestellt und überprüft werden kann. Wird ein Gesamtbestand
personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung),
so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur
auf die Zulässigkeit des Abrufes oder der Übermittlung des
Gesamtbestandes.
(5) Die Absätze 1 bis 4
gelten nicht für den Abruf aus Datenbeständen, die jedermann, sei es
ohne oder nach besonderer Zulassung, zur Benutzung offen stehen.
§
11
[Verarbeitung oder Nutzung personenbezogener Daten im Auftrag]
(1) Werden personenbezogene
Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der
Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und
anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§
6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist
unter besonderer Berücksichtigung der Eignung der von ihm getroffenen
technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der
Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder
-nutzung, die technischen und organisatorischen Maßnahmen und etwaige
Unterauftragsverhältnisse festzulegen sind. Er kann bei öffentlichen
Stellen auch durch die Fachaufsichtsbehörde erteilt werden.
(3) Der Auftragnehmer darf
die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder
nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen
dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt,
hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer
gelten neben den §§ 5, 9, 43 Abs.1, Abs.3 und 4 sowie § 44 Abs.1 Nr.2,
5, 6 und 7 und Abs.2 nur die Vorschriften über die Datenschutzkontrolle
oder die Aufsicht, und zwar für
1.
a) öffentliche
Stellen,
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die
Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht
und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24, 25 und 26
oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen
Stellen, soweit sie personenbezogene Daten im Auftrag als
Dienstleistungsunternehmen geschäftsmäßig verarbeiten oder nutzen,
die §§ 32, 36, 37, und 38.
Zweiter
Abschnitt:
Datenverarbeitung der öffentlichen Stellen
§
12
[Anwendungsbereich]
(1) Die Vorschriften dieses
Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht
als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz
nicht durch Landesgesetz geregelt ist, gelten die §§ 12, 13, 14, 15, 16,
17, 19 und 20 auch für die öffentlichen Stellen der Länder, soweit sie
1. Bundesrecht ausführen
und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb
teilnehmen oder
2. als Organe der
Rechtspflege tätig werden und es sich nicht um
Verwaltungsangelegenheiten handelt.
(3) Für Landesbeauftragte
für den Datenschutz gilt § 23 Abs.4 entsprechend.
(4) Werden personenbezogene
Daten für frühere, bestehende oder zukünftige dienst- oder
arbeitsrechtliche Rechtsverhältnisse verarbeitet oder genutzt, gelten
anstelle der §§ 14, 15, 16 und 17, 19 und 20, der § 28 Abs.1 und
2 Nr.1 sowie die §§ 33, 34, und 35.
§
13
[Datenerhebung]
(1) Das Erheben
personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung
der Aufgaben der erhebenden Stellen erforderlich ist.
(2) Personenbezogene Daten
sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur
erhoben werden, wenn
1. eine Rechtsvorschrift
dies vorsieht oder zwingend voraussetzt oder
2.
a) die zu erfüllende
Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen
Personen oder Stellen erforderlich macht oder
b) die Erhebung beim
Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte
dafür bestehen, dass überwiegende schutzwürdige Interessen des
Betroffenen beeinträchtigt werden.
(3) Werden personenbezogene
Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der
Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen
aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet,
oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von
Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die
Freiwilligkeit seiner Angaben hinzuweisen. Auf Verlangen ist er über die
Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene
Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben,
so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet,
sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
§
14
[Datenspeicherung, -veränderung und -nutzung]
(1) Das Speichern, Verändern
oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung
der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben
erforderlich ist und es für die Zwecke erfolgt, für die die Daten
erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten
nur für die Zwecke geändert oder genutzt werden, für die sie
gespeichert worden sind.
(2) Das Speichern, Verändern
oder Nutzen für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift
dies vorsieht oder zwingend voraussetzt,
2. der Betroffene
eingewilligt hat,
3. offensichtlich ist, dass
es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme
besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung
verweigern würde,
4. Angaben des Betroffenen
überprüft werden müssen, weil tatsächliche Anhaltspunkte für
deren Unrichtigkeit bestehen,
5. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Zweckänderung
offensichtlich überwiegt,
6. es zur Abwehr
erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar
drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
7. es zur Verfolgung von
Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum
Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs.1 Nr.8 des
Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im
Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen
erforderlich ist,
8. es zur Abwehr einer
schwerwiegenden Beeinträchtigung der Rechte einer anderen Person
erforderlich ist oder
9. es zur Durchführung
wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche
Interesse an der Durchführung des Forschungsvorhabens das Interesse
des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt
und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder
Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von
Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung
von Organisationsuntersuchungen für die speichernde Stelle dient. Das
gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken
durch die speichernde Stelle, soweit nicht überwiegende schutzwürdige
Interessen des Betroffenen entgegenstehen.
(4) Personenbezogene Daten,
die ausschließlich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes
einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese
Zwecke verwendet werden.
§
15
[Datenübermittlung an öffentliche Stellen]
(1) Die Übermittlung
personenbezogener Daten an öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der
in der Zuständigkeit der übermittelnden Stelle oder des Empfängers
liegenden Aufgaben erforderlich ist und
2. die Voraussetzungen
vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die
Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob
das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt,
es sei denn, dass besonderer Anlas zur Prüfung der Zulässigkeit der Übermittlung
besteht. § 10
Abs.4 bleibt unberührt.
(3) Der Empfänger darf die
übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung
sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere
Zwecke ist nur unter den Voraussetzungen des § 14
Abs.2 zulässig.
(4) Für die Übermittlung
personenbezogener Daten an Stellen der öffentlich-rechtlichen
Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern
sichergestellt ist, dass bei dem Empfänger ausreichende Datenschutzmaßnahmen
getroffen werden.
(5) Sind mit
personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen,
weitere personenbezogene Daten des Betroffenen oder eines Dritten in Akten
so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand
möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit
nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren
Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(6) Absatz 5 gilt
entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen
Stelle weitergegeben werden.
§
16
[Datenübermittlung an nicht-öffentliche Stellen]
(1) Die Übermittlung
personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der
in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben
erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung
nach § 14 zulassen würden, oder
2. der Empfänger ein
berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten
glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an
dem Ausschluss der Übermittlung hat.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) In den Fällen der Übermittlung
nach Absatz 1 Nr.2 unterrichtet die übermittelnde Stelle den Betroffenen
von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen
ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die
Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle
des Bundes oder eines Landes Nachteile bereiten würde.
(4) Der Empfänger darf die
übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen
Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat den
Empfänger darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere
Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre
und die übermittelnde Stelle zugestimmt hat.
§
17
[Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses
Gesetzes]
(1) Für die Übermittlung
personenbezogener Daten an Stellen außerhalb des Geltungsbereichs dieses
Gesetzes sowie an über- und zwischenstaatliche Stellen gilt § 16 Abs.1
nach Maßgabe der für diese Übermittlung geltenden Gesetze und
Vereinbarungen, sowie § 16 Abs.3.
(2) Eine Übermittlung
unterbleibt, soweit Grund zu der Annahme besteht, dass durch sie gegen den
Zweck eines deutschen Gesetzes verstoßen würde.
(3) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(4) Der Empfänger ist
darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck
verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt
werden.
§
18
[Durchführung des Datenschutzes in der Bundesverwaltung]
(1) Die obersten Bundesbehörden,
der Präsident des Bundeseisenbahnvermögens, die Vorstände der
Unternehmen der Deutschen Bundespost oder das Direktorium der Deutschen
Bundespost im Rahmen seiner Aufgabenstellung nach den §§ 9 bis 11 des
Postverfassungsgesetzes sowie die bundesunmittelbaren Körperschaften,
Anstalten und Stiftungen des öffentlichen Rechts, über die von der
Bundesregierung oder einer obersten Bundesbehörde lediglich die
Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung
dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz
sicherzustellen. Das gleiche gilt für die Vorstände der aus dem
Sondervermögen Deutsche Bundespost hervorgegangenen Unternehmen, solange
diesen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) Die öffentlichen
Stellen führen ein Verzeichnis der eingesetzten
Datenverarbeitungsanlagen. Für ihre Dateien haben sie schriftlich
festzulegen:
1. Bezeichnung und Art der
Dateien,
2. Zweckbestimmung,
3. Art der gespeicherten
Daten,
4. betroffenen
Personenkreis,
5. Art der regelmäßig zu
übermittelnden Daten und deren Empfänger,
6. Regelfristen für die Löschung
der Daten,
7. zugriffsberechtigte
Personengruppen oder Personen, die allein zugriffsberechtigt sind.
Sie haben ferner dafür zu
sorgen, dass die ordnungsgemäße Anwendung der
Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten
verarbeitet werden sollen, überwacht wird.
(3) Absatz 2 Satz 2 gilt
nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb von
drei Monaten nach ihrer Erstellung gelöscht werden.
§
19
[Auskunft an den Betroffenen]
(1) Dem Betroffenen ist auf
Antrag Auskunft zu erteilen über
1. die zu seiner Person
gespeicherten Daten, auch soweit sie sich auf Herkunft oder Empfänger
dieser Daten beziehen, und
2. den Zweck der
Speicherung.
In dem Antrag soll die Art der
personenbezogenen Daten, über die Auskunft erteilt werden soll, näher
bezeichnet werden. Sind die personenbezogenen Daten in Akten gespeichert,
wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die
das Auffinden der Daten ermöglichen, und der für die Erteilung der
Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom
Betroffenen geltend gemachten Informationsinteresse steht. Die speichernde
Stelle bestimmt das Verfahren, insbesondere die Form der
Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Absatz 1 gilt nicht für
personenbezogene Daten, die nur deshalb gespeichert sind, weil sie
aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher
Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich
Zwecken der Datensicherung oder der Datenschutzkontrolle dienen.
(3) Bezieht sich die
Auskunftserteilung auf die Übermittlung personenbezogener Daten an
Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen
Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere
Behörden des Bundesministers der Verteidigung, ist sie nur mit Zustimmung
dieser Stellen zulässig.
(4) Die Auskunftserteilung
unterbleibt, soweit
1. die Auskunft die
ordnungsgemäße Erfüllung der in der Zuständigkeit der speichernden
Stelle liegenden Aufgaben gefährden würde,
2. die Auskunft die öffentliche
Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes
oder eines Landes Nachteile bereiten würde oder
3. die Daten oder die
Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem
Wesen nach, insbesondere wegen der überwiegenden berechtigten
Interessen eines Dritten, geheimgehalten werden müssen
und deswegen das Interesse des
Betroffenen an der Auskunftserteilung zurücktreten muss.
(5) Die Ablehnung der
Auskunftserteilung bedarf einer Begründung nicht, soweit durch die
Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die
Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte
Zweck gefährdet würde. In diesem Falle ist der Betroffene darauf
hinzuweisen, dass er sich an den Bundesbeauftragten für den Datenschutz
wenden kann.
(6) Wird dem Betroffenen
keine Auskunft erteilt, so ist sie auf sein Verlangen dem
Bundesbeauftragten für den Datenschutz zu erteilen, soweit nicht die
jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die
Mitteilung des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse
auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese
nicht einer weitergehenden Auskunft zustimmt.
(7) Die Auskunft ist
unentgeltlich.
§
20
[Berichtigung, Löschung und Sperrung von Daten]
(1) Personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, dass personenbezogene Daten in Akten unrichtig sind, oder wird ihre Richtigkeit
von dem Betroffenen bestritten, so ist dies in der Akte zu vermerken oder
auf sonstige Weise festzuhalten.
(2) Personenbezogene Daten
in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig
ist oder
2. ihre Kenntnis für die
speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit
liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung
tritt eine Sperrung, soweit
1. einer Löschung
gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen
entgegenstehen,
2. Grund zu der Annahme
besteht, dass durch eine Löschung schutzwürdige Interessen des
Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der
besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich ist.
(4) Personenbezogene Daten
in Dateien sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen
bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit
feststellen lässt.
(5) Personenbezogene Daten
in Akten sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass
ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt
würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr
erforderlich sind.
(6) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden,
wenn
1. es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen
im überwiegenden Interesse der speichernden Stelle oder eines Dritten
liegenden Gründen unerlässlich ist und
2. die Daten hierfür übermittelt
oder genutzt werden dürften, wenn sie nicht gesperrt wären.
(7) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung
oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu
verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung
diese Daten zur Speicherung weitergegeben werden, wenn dies zur Wahrung
schutzwürdiger Interessen des Betroffenen erforderlich ist.
(8) § 2 Abs.1 bis 6, 8 und
9 des Bundesarchivgesetzes ist anzuwenden.
§
21
[Anrufung des Bundesbeauftragten für den Datenschutz]
Jedermann kann sich an den
Bundesbeauftragten für den Datenschutz wenden, wenn er der Ansicht ist,
bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten
durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu
sein. Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen
Daten durch Gerichte des Bundes gilt dies nur, soweit diese in
Verwaltungsangelegenheiten tätig werden.
§
22
[Wahl des Bundesbeauftragten für den Datenschutz]
(1) Der Deutsche Bundestag
wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den
Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner
Mitglieder. Der Bundesbeauftragte muss bei seiner Wahl das 35. Lebensjahr
vollendet haben. Der Gewählte ist vom Bundespräsidenten zu ernennen.
(2) Der Beauftragte leistet
vor dem Bundesminister des Innern folgenden Eid:
"Ich schwöre, dass ich
meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren,
Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes
wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und
Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe."
Der Eid kann auch ohne religiöse
Beteuerung geleistet werden.
(3) Die Amtszeit des
Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
(4) Der Bundesbeauftragte
steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen
Amtsverhältnis. Er ist in Ausübung seines Amtes unabhängig und nur dem
Gesetz unterworfen. Er untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte
wird beim Bundesminister des Innern eingerichtet. Er untersteht der
Dienstaufsicht des Bundesministers des Innern. Dem Bundesbeauftragten ist
die für die Erfüllung seiner Aufgaben notwendige Personal- und
Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des
Bundesministers des Innern in einem eigenen Kapitel auszuweisen. Die
Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die
Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht
einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder
umgesetzt werden.
(6) Ist der
Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert,
kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der
Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört werden.
§
23
[Rechtsstellung des Bundesbeauftragten für den Datenschutz]
(1) Das Amtsverhältnis des
Bundesbeauftragten für den Datenschutz beginnt mit der Aushändigung der
Ernennungsurkunde. Es endet
1. mit Ablauf der Amtszeit,
2. mit der Entlassung.
Der Bundespräsident entlässt
den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der
Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf
Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der
Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom
Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung
der Urkunde wirksam. Auf Ersuchen des Bundesministers des Innern ist der
Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung seines
Nachfolgers weiterzuführen.
(2) Der Bundesbeauftragte
darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen
Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder
Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer
Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines
Landes angehören. Er darf nicht gegen Entgelt außergerichtliche
Gutachten abgeben.
(3) Der Bundesbeauftragte
hat dem Bundesminister des Innern Mitteilung über Geschenke zu machen,
die er in bezug auf sein Amt erhält. Der Bundesminister des Innern
entscheidet über die Verwendung der Geschenke.
(4) Der Bundesbeauftragte
ist berechtigt, über Personen, die ihm in seiner Eigenschaft als
Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen
selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiter des
Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses
Rechts der Bundesbeauftragte entscheidet. Soweit das
Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die
Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm
nicht gefordert werden.
(5) Der Bundesbeauftragte
ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über
die ihm amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit zu
bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder
über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner
Geheimhaltung bedürfen. Der Bundesbeauftragte darf, auch wenn er nicht
mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des
Bundesministers des Innern weder vor Gericht noch außergerichtlich
aussagen oder Erklärungen abgeben. Unberührt bleibt die gesetzlich begründete
Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen
demokratischen Grundordnung für deren Erhaltung einzutreten.
(6) Die Genehmigung, als
Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des
Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung
öffentlicher Aufgab en ernstlich gefährden oder erheblich erschweren würde.
Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die
Erstattung den dienstlichen Interessen Nachteile bereiten würde. § 28
des Gesetzes über das Bundesverfassungsgericht in der Fassung der
Bekanntmachung vom 12.Dezember 1985 (BGBl. I S. 2229) bleibt unberührt.
(7) Der Bundesbeauftragte
erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis
beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis
endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die
Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der
Besoldungsgruppe B9 zustehenden Besoldung. Das Bundesreisekostengesetz und
das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im übrigen
sind die §§ 13 bis 20 des Bundesministergesetzes in der Fassung der
Bekanntmachung vom 27.Juli 1971 (BGBl. I S. 1166), zuletzt geändert durch
das Gesetz zur Kürzung des Amtsgehalts der Mitglieder der Bundesregierung
und der Parlamentarischen Staatssekretäre vom 22.Dezember 1982 (BGBl. I
S. 2007), mit der Maßgabe anzuwenden, dass an die Stelle der zweijährigen
Amtszeit in § 15 Abs.1 des Bundesministergesetzes eine Amtszeit von fünf
Jahren tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17
des Bundesministergesetzes berechnet sich das Ruhegehalt des
Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige
Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes,
wenn dies günstiger ist und der Bundesbeauftragte sich unmittelbar vor
seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in
dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B9 zu
durchlaufenden Amt befunden hat.
§
24
[Kontrolle durch den Bundesbeauftragten für den Datenschutz]
(1) Der Bundesbeauftragte für
den Datenschutz kontrolliert bei den öffentlichen Stellen des Bundes die
Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über
den Datenschutz. Werden personenbezogene Daten in Akten verarbeitet oder
genutzt, kontrolliert der Bundesbeauftragte die Erhebung, Verarbeitung
oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte dafür
darlegt, dass er dabei in seinen Rechten verletzt worden ist, oder dem
Bundesbeauftragten hinreichende Anhaltspunkte für eine derartige
Verletzung vorliegen.
(2) Die Kontrolle des
Bundesbeauftragten erstreckt sich auch auf personenbezogene Daten, die
einem Berufsgeheimnis, insbesondere dem Steuergeheimnis nach § 30
der Abgabenordnung, unterliegen. Bei den Stellen des Bundes im Sinne des
§ 2 Abs.1 Satz 2 wird das Postgeheimnis (Artikel 10 des
Grundgesetzes) eingeschränkt, soweit dies zur Ausübung der Kontrolle bei
den speichernden Stellen erforderlich ist. Das Kontrollrecht erstreckt
sich mit Ausnahme von Nummer 1 nicht auf den Inhalt des Post- und
Fernmeldeverkehrs. Der Kontrolle durch den Bundesbeauftragten unterliegen
nicht:
1. personenbezogene Daten,
die der Kontrolle durch die Kommission nach § 9 des Gesetzes zu
Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission
ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über
den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen
zu kontrollieren und ausschließlich ihr darüber zu berichten, und
2.
a) personenbezogene
Daten, die dem Post und Fernmeldegeheimnis nach Artikel 10
des Grundgesetzes unterliegen,
b) personenbezogene
Daten, die dem Arztgeheimnis unterliegen und
c) personenbezogene
Daten in Personalakten oder in den Akten über die Sicherheitsprüfung,
wenn der Betroffene der
Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem
Bundesbeauftragten für den Datenschutz widerspricht. Unbeschadet des
Kontrollrechts des Bundesbeauftragten unterrichtet die öffentliche Stelle
die Betroffenen in allgemeiner Form über das ihnen zustehende
Widerspruchsrecht.
(3) Die Bundesgerichte
unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in
Verwaltungsangelegenheiten tätig werden.
(4) Die öffentlichen
Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine
Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist
dabei insbesondere
1. Auskunft zu ihren Fragen
sowie Einsicht in alle Unterlagen und Akten, insbesondere in die
gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren,
die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen,
2. jederzeit Zutritt in
alle Diensträume zu gewähren.
Die in § 6 Abs.2 und § 19
Abs.3 genannten Behörden gewähren die Unterstützung nur dem
Bundesbeauftragten selbst und den von ihm schriftlich besonders
Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit die oberste
Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht
die Sicherheit des Bundes oder eines Landes gefährden würde.
(5) Der Bundesbeauftragte
teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit
kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur
Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung
personenbezogener Daten, verbinden. § 25 bleibt unberührt.
(6) Absatz 2 gilt
entsprechend für die öffentlichen Stellen, die für die Kontrolle der
Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig
sind.
§
25
[Beanstandungen durch den Bundesbeauftragten für den Datenschutz]
(1) Stellt der
Bundesbeauftragte für den Datenschutz Verstöße gegen die Vorschriften
dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder
sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten
fest, so beanstandet er dies
1. bei der Bundesverwaltung
gegenüber der zuständigen obersten Bundesbehörde,
2. beim Bundeseisenbahnvermögen,
3. bei den aus dem
Sondervermögen Deutschen Bundespost durch Gesetz hervorgegangenen
Unternehmen, solange ihnen ein ausschließliches Recht nach dem
Postgesetz zusteht, gegenüber deren Vorständen,
4. bei den
bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und
Stiftungen gegenüber dem Vorstand oder dem sonst
vertretungsberechtigten Organ
und fordert zur Stellungnahme
innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz
1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige
Aufsichtsbehörde.
(2) Der Bundesbeauftragte
kann von einer Beanstandung absehen oder auf eine Stellungnahme der
betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche
oder inzwischen beseitigte Mängel handelt.
(3) Die Stellungnahme soll
auch eine Darstellung der Maßnahmen enthalten, die auf Grund der
Beanstandung des Bundesbeauftragten getroffen worden sind. Die in Absatz 1
Satz 1 Nr.4 genannten Stellen leiten der zuständigen Aufsichtsbehörde
gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten
zu.
§
26
[Weitere Aufgaben des Bundesbeauftragten für den Datenschutz,
Dateienregister]
(1) Der Bundesbeauftragte für
den Datenschutz erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht.
Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen
Entwicklung des Datenschutzes im nicht-öffentlichen Bereich enthalten.
(2) Auf Anforderung des
Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte
Gutachten zu erstellen und Berichte zu erstatten. Auf Ersuchen des
Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder
der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf
Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen
Stellen des Bundes nach. Der Bundesbeauftragte kann sich jederzeit an den
Deutschen Bundestag wenden.
(3) Der Bundesbeauftragte
kann der Bundesregierung und den in § 12 Abs.1 genannten Stellen des
Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in
Fragen des Datenschutzes beraten. Die in § 25 Abs.1 Nr.1 bis 4 genannten
Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die
Empfehlung oder Beratung sie nicht unmittelbar betrifft.
(4) Der Bundesbeauftragte
wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die
Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern
zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin.
(5) Der Bundesbeauftragte führt
ein Register der automatisiert geführten Dateien, in denen
personenbezogene Daten gespeichert werden. Das gilt nicht für die Dateien
der in § 19 Abs.3 genannten Behörden sowie für Dateien nach § 18
Abs.3. Die öffentlichen Stellen, deren Dateien in das Register
aufgenommen werden, sind verpflichtet, dem Bundesbeauftragten eine Übersicht
gemäß § 18 Abs.2 Satz 2 Nr.1 bis 6 zuzuleiten. Das Register kann von
jedermann eingesehen werden. Die Angaben nach § 18 Abs.2 Satz 2 Nr.3 und
5 über Dateien der in § 6 Abs.2 genannten Behörden unterliegen nicht
der Einsichtnahme. Der Bundesbeauftragte kann im Einzelfall für andere öffentliche
Stellen mit deren Einverständnis festlegen, dass einzelne Angaben nicht
der Einsichtnahme unterliegen.
Dritter
Abschnitt:
Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher
Wettbewerbsunternehmen
§
27
[Anwendungsbereich]
(1) Die Vorschriften dieses
Abschnittes finden Anwendung, soweit personenbezogene Daten in oder aus
Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke
verarbeitet oder genutzt werden durch
1. nicht-öffentliche
Stellen,
2.
a) öffentliche Stellen
des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am
Wettbewerb teilnehmen,
b) öffentliche Stellen
der Länder, soweit sie als öffentlich-rechtliche Unternehmen am
Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz
nicht durch Landesgesetz geregelt ist.
In den Fällen der Nummer 2
Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24, 25 und 26.
(2) Die Vorschriften dieses
Abschnittes gelten nicht für die Verarbeitung und Nutzung
personenbezogener Daten in Akten, soweit es sich nicht um personenbezogene
Daten handelt, die offensichtlich aus einer Datei entnommen worden sind.
§
28
[Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke]
(1) Das Speichern, Verändern
oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für
die Erfüllung eigener Geschäftszwecke ist zulässig
1. im Rahmen der
Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen
Vertrauensverhältnisses mit dem Betroffenen,
2. soweit es zur Wahrung
berechtigter Interessen der speichernden Stelle erforderlich ist und
kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse
des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt,
3. wenn die Daten aus
allgemein zugänglichen Quellen entnommen werden können oder die
speichernde Stelle sie veröffentlichen dürfte, es sei denn, dass das
schutzwürdige Interesse des Betroffenen an dem Ausschluss der
Verarbeitung oder Nutzung offensichtlich überwiegt,
4. wenn es im Interesse der
speichernden Stelle zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der Durchführung
des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss
der Zweckänderung erheblich überwiegt und der Zweck der Forschung
auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand
erreicht werden kann.
Die Daten müssen nach Treu
und Glauben und auf rechtmäßige Weise erhoben werden.
(2) Die Übermittlung oder
Nutzung ist auch zulässig
1.
a) soweit es zur
Wahrung berechtigter Interessen eines Dritten oder öffentlicher
Interessen erforderlich ist oder
b) wenn es sich um
listenmäßig oder sonst zusammengefasste Daten über Angehörige
einer Personengruppe handelt, die sich auf
- eine Angabe über
die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
- Berufs-,
Branchen- oder Geschäftsbezeichnung,
- Namen,
- Titel,
- akademische
Grade,
- Anschrift,
- Geburtsjahr
beschränken und
kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges
Interesse an dem Ausschluss der Übermittlung hat. In den Fällen
des Buchstabens b kann im allgemeinen davon ausgegangen werden, dass
dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines
Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses
gespeicherte Daten übermittelt werden sollen, die sich
- auf
gesundheitliche Verhältnisse,
- auf strafbare
Handlungen,
- auf
Ordnungswidrigkeiten,
- auf religiöse
oder politische Anschauungen sowie
- bei Übermittlung
durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse
beziehen,
oder
2. wenn es im Interesse
einer Forschungseinrichtung zur Durchführung wissenschaftlicher
Forschung erforderlich ist, das wissenschaftliche Interesse an der
Durchführung des Forschungsvorhabens das Interesse des Betroffenen an
dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck
der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann.
(3) Widerspricht der
Betroffene bei der speichernden Stelle der Nutzung oder Übermittlung
seiner Daten für Zwecke der Werbung oder der Markt- oder
Meinungsforschung, ist eine Nutzung oder Übermittlung für diese Zwecke
unzulässig. Widerspricht der Betroffene beim Empfänger der nach Absatz 2
übermittelten Daten der Verarbeitung oder Nutzung für Zwecke der Werbung
oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese
Zwecke zu sperren.
(4) Der Empfänger darf die
übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung
sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere
Zwecke ist nur unter den Voraussetzungen der Absätze 1 und 2 zulässig.
Die übermittelnde Stelle hat den Empfänger darauf hinzuweisen.
§
29
[Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung]
(1) Das geschäftsmäßige
Speichern oder Verändern personenbezogener Daten zum Zwecke der Übermittlung
ist zulässig, wenn
1. kein Grund zu der
Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an
dem Ausschluss der Speicherung oder Veränderung hat, oder
2. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Speicherung oder Veränderung
offensichtlich überwiegt.
§ 28 Abs.1 Satz 2 ist
anzuwenden.
(2) Die Übermittlung ist
zulässig, wenn
1.
a) der Empfänger ein
berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat
oder
b) es sich um listenmäßig
oder sonst zusammengefasste Daten nach § 28 Abs.2 Nr.1 Buchstabe
b handelt, die für Zwecke der Werbung oder der Markt- oder
Meinungsforschung übermittelt werden sollen, und
2. kein Grund zu der
Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an
dem Ausschluss der Übermittlung hat.
§ 28 Abs.2 Nr.1 Satz 2 gilt
entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe a sind die Gründe
für das Vorliegen eines berechtigten Interesses und die Art und Weise
ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen.
Bei der Übermittlung im automatisierten Abrufverfahren obliegt die
Aufzeichnungspflicht dem Empfänger.
(3) Für die Verarbeitung
oder Nutzung der übermittelten Daten gilt § 28 Abs.3 und 4.
§
30
[Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung in
anonymisierter Form]
(1) Werden personenbezogene
Daten geschäftsmäßig gespeichert, um sie in anonymisierter Form zu übermitteln,
sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale
dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für
die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen
Zwecken erforderlich ist.
(2) Die Veränderung
personenbezogener Daten ist zulässig, wenn
1. kein Grund zu der
Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an
dem Ausschluss der Veränderung hat, oder
2. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige
Interesse des Betroffenen an dem Ausschluss der Veränderung
offensichtlich überwiegt.
(3) Die personenbezogenen
Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) Die §§ 29, 33, 34 und
35 gelten nicht.
§
31
[Besondere Zweckbindung]
Personenbezogene Daten, die
ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung
oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer
Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke
verwendet werden.
§
32
[Meldepflichten]
(1) Die Stellen, die
personenbezogene Daten geschäftsmäßig
1. zum Zwecke der Übermittlung
speichern,
2. zum Zwecke der
anonymisierten Übermittlung speichern oder
3. im Auftrag als
Dienstleistungsunternehmen verarbeiten oder nutzen,
sowie ihre
Zweigniederlassungen und unselbständigen Zweigstellen haben die Aufnahme
und Beendigung ihrer Tätigkeit der zuständigen Aufsichtsbehörde
innerhalb eines Monats mitzuteilen.
(2) Bei der Anmeldung sind
folgende Angaben für das bei der Aufsichtsbehörde geführt Register
mitzuteilen:
1. Name oder Firma der
Stelle,
2. Inhaber, Vorstände,
Geschäftsführer oder sonstige gesetzlich oder nach der Verfassung
des Unternehmens berufene Leiter und die mit der Leitung der
Datenverarbeitung beauftragten Personen,
3. Anschrift,
4. Geschäftszwecke der
Stelle und der Datenverarbeitung,
5. Name des Beauftragten für
den Datenschutz,
6. allgemeine Beschreibung
der Art der gespeicherten personenbezogenen Daten. Im Falle des
Absatzes 1 Nr.3 ist diese Angabe nicht erforderlich.
(3) Bei der Anmeldung sind
außerdem folgende Angaben mitzuteilen, die nicht in das Register
aufgenommen werden:
1. Art der eingesetzten
Datenverarbeitungsanlagen,
2. bei regelmäßiger Übermittlung
personenbezogener Daten Empfänger und Art der übermittelten Daten.
(4) Absatz 1 gilt für die
Änderung der nach Absätzen 2 und 3 mitgeteilten Angaben entsprechend.
(5) Die Aufsichtsbehörde
kann im Einzelfall festlegen, welche Angaben nach Absatz 2 Nr.4 und 6,
Absatz 3 und Absatz 4 mitgeteilt werden müssen. Der mit den Mitteilungen
verbundene Aufwand muss in einem angemessenen Verhältnis zu ihrer
Bedeutung für die Überwachung durch die Aufsichtsbehörde stehen.
§
33
[Benachrichtigung des Betroffenen]
(1) Werden erstmals
personenbezogene Daten für eigene Zwecke gespeichert, ist der Betroffene
von der Speicherung und der Art der Daten zu benachrichtigen. Werden
personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung
gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der
Art der übermittelten Daten zu benachrichtigen.
(2) Eine Pflicht zur
Benachrichtigung besteht nicht, wenn
1. der Betroffene auf
andere Weise Kenntnis von der Speicherung oder der Übermittlung
erlangt hat,
2. die Daten nur deshalb
gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger
oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen
oder ausschließlich der Datensicherung oder der Datenschutzkontrolle
dienen,
3. die Daten nach einer
Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden
rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,
4. die zuständige öffentliche
Stelle gegenüber der speichernden Stelle festgestellt hat, dass das
Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden
oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
5. die Daten in einer Datei
gespeichert werden, die nur vorübergehend vorgehalten und innerhalb
von drei Monaten nach ihrer Erstellung gelöscht wird,
1. die Daten für eigene
Zwecke gespeichert sind und
a) aus allgemein zugänglichen
Quellen entnommen sind oder
b) die Benachrichtigung
die Geschäftszwecke der speichernden Stelle erheblich gefährden
würde, es sei denn, dass das Interesse an der Benachrichtigung
die Gefährdung überwiegt, oder
2. die Daten geschäftsmäßig
zum Zwecke der Übermittlung gespeichert sind und
a) aus allgemein zugänglichen
Quellen entnommen sind, soweit sie sich auf diejenigen Personen
beziehen, die diese Daten veröffentlicht haben, oder
b) es sich um listenmäßig
oder sonst zusammengefasste Daten handelt (§ 29 Abs.2 Nr.1
Buchstabe b).
§
34
[Auskunft an den Betroffenen]
(1) Der Betroffene kann
Auskunft verlangen über
1. die zu seiner Person
gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger
beziehen,
2. den Zweck der
Speicherung und
3. Personen und Stellen, an
die seine Daten regelmäßig übermittelt werden, wenn seine Daten
automatisiert verarbeitet werden.
Er soll die Art der
personenbezogenen Daten, über die Auskunft erteilt werden soll, näher
bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum
Zwecke der Übermittlung gespeichert, kann der Betroffene über Herkunft
und Empfänger nur Auskunft verlangen, wenn er begründete Zweifel an der
Richtigkeit der Daten geltend macht. In diesem Falle ist Auskunft über
Herkunft und Empfänger auch dann zu erteilen, wenn diese Angaben nicht
gespeichert sind.
(2) Der Betroffene kann von
Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der
Auskunftserteilung speichern, Auskunft über seine personenbezogenen Daten
verlangen, auch wenn sie nicht in einer Datei gespeichert sind. Auskunft
über Herkunft und Empfänger kann der Betroffene nur verlangen, wenn er
begründete Zweifel an der Richtigkeit der Daten geltend macht. § 38
Abs.1 ist mit der Maßgabe anzuwenden, dass die Aufsichtsbehörde im
Einzelfall die Einhaltung von Satz 1 überprüft, wenn der Betroffene begründet
darlegt, dass die Auskunft nicht oder nicht richtig erteilt worden ist.
(3) Die Auskunft wird
schriftlich erteilt, soweit nicht wegen der besonderen Umstände eine
andere Form der Auskunftserteilung angemessen ist.
(4) Eine Pflicht zur
Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33
Abs.2 Nr.2 bis 6 nicht zu benachrichtigen ist.
(5) Die Auskunft ist
unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum
Zwecke der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt
werden, wenn der Betroffene die Auskunft gegenüber Dritten zu
wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die
Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht
hinausgehen. Ein Entgelt kann in den Fällen nicht verlangt werden, in
denen besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig
oder unzulässig gespeichert werden, oder in denen die Auskunft ergibt, dass
die Daten zu berichtigen oder unter der Voraussetzung des § 35
Abs.2 Satz 2 Nr.1 zu löschen sind.
(6) Ist die
Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit
zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über
die ihn betreffenden Daten und Angaben zu verschaffen. Er ist hierauf in
geeigneter Weise hinzuweisen.
§
35
[Berichtigung, Löschung und Sperrung von Daten]
(1) Personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind.
(2) Personenbezogene Daten
können außer in den Fällen des Absatzes 3 Nr.1 und 2 jederzeit gelöscht
werden. Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig
ist,
2. es sich um Daten über
gesundheitliche Verhältnisse, strafbare Handlungen,
Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen
handelt und ihre Richtigkeit von der speichernden Stelle nicht
bewiesen werden kann,
3. sie für eigene Zwecke
verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des
Zweckes der Speicherung nicht mehr erforderlich ist, oder
4. sie geschäftsmäßig
zum Zwecke der Übermittlung verarbeitet werden und eine Prüfung am
Ende des fünften Kalenderjahres nach ihrer erstmaligen Speicherung
ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.
(3) An die Stelle einer Löschung
tritt eine Sperrung, soweit
1. im Falle des Absatzes 2
Nr.3 oder 4 einer Löschung gesetzliche, satzungsmäßige oder
vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme
besteht, dass durch eine Löschung schutzwürdige Interessen des
Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der
besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich ist.
(4) Personenbezogene Daten
sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten
wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
(5) Personenbezogene Daten,
die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der
geschäftsmäßigen Datenspeicherung zum Zwecke der Übermittlung außer
in den Fällen des Absatzes 2 Nr.2 nicht berichtigt, gesperrt oder gelöscht
werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu
Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist
diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen.
Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden.
(6) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung
oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu
verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung
diese Daten zur Speicherung weitergegeben werden, wenn dies zur Wahrung
der schutzwürdigen Interessen des Betroffenen erforderlich ist.
(7) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden,
wenn
1. es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen
im überwiegenden Interesse der speichernden Stelle oder eines Dritten
liegenden Gründen unerlässlich ist und
2. die Daten hierfür übermittelt
oder genutzt werden dürften, wenn sie nicht gesperrt wären.
Dritter
Unterabschnitt:
Beauftragter für den Datenschutz, Aufsichtsbehörde
§
36
[Bestellung eines Beauftragten für den Datenschutz]
(1) Die nicht-öffentlichen
Stellen, die personenbezogene Daten automatisiert verarbeiten und damit in
der Regel mindestens fünf Arbeitnehmer ständig beschäftigen, haben spätestens
innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für
den Datenschutz schriftlich zu bestellen. Das gleiche gilt, wenn
personenbezogene Daten auf andere Weise verarbeitet werden und damit in
der Regel mindestens zwanzig Arbeitnehmer ständig beschäftigt sind.
(2) Zum Beauftragten für
den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner
Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
(3) Der Beauftragte für
den Datenschutz ist dem Inhaber, dem Vorstand, dem Geschäftsführer oder
dem sonstigen gesetzlich oder nach der Verfassung des Unternehmens
berufenen Leiter unmittelbar zu unterstellen. Er ist bei Anwendung seiner
Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der
Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum
Beauftragten für den Datenschutz kann nur auf Verlangen der Aufsichtsbehörde
oder in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs
widerrufen werden.
(4) Der Beauftragte für
den Datenschutz ist zur Verschwiegenheit über die Identität des
Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen
zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen
befreit wird.
(5) Die nicht-öffentliche
Stelle hat den Beauftragten für den Datenschutz bei der Erfüllung seiner
Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung
seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume,
Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
§
37
[Aufgaben des Beauftragten für den Datenschutz]
(1) Der Beauftragte für
den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer
Vorschriften über den Datenschutz sicherzustellen. Zu diesem Zweck kann
er sich in Zweifelsfällen an die Aufsichtsbehörde wenden. Er hat
insbesondere
1. die ordnungsgemäße
Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu
diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung
personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung
personenbezogener Daten tätigen Personen durch geeignete Maßnahmen
mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über
den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem
Geschäftsbereich und die sich daraus ergebenden besonderen
Erfordernisse für den Datenschutz, vertraut zu machen,
3. bei der Auswahl der bei
der Verarbeitung personenbezogener Daten tätigen Personen beratend
mitzuwirken.
(2) Dem Beauftragten ist
von der nicht-öffentlichen Stelle eine Übersicht zur Verfügung zu
stellen über
1. eingesetzte
Datenverarbeitungsanlagen,
2. Bezeichnung und Art der
Dateien,
3. Art der gespeicherten
Daten,
4. Geschäftszwecke, zu
deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
5. deren regelmäßige Empfänger,
6. zugriffsberechtigte
Personengruppen oder Personen, die allein zugriffsberechtigt sind.
(3) Absatz 2 Nr.2 bis 6
gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb
von drei Monaten nach ihrer Erstellung gelöscht werden.
§
38
[Aufsichtsbehörde]
(1) Die Aufsichtsbehörde
überprüft im Einzelfall die Ausführung dieses Gesetzes sowie anderer
Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder
Nutzung personenbezogener Daten in oder aus Dateien regeln, wenn ihr
hinreichende Anhaltspunkte dafür vorliegen, dass eine dieser Vorschriften
durch nicht-öffentliche Stellen verletzt ist, insbesondere wenn es der
Betroffene selbst begründet darlegt.
(2) Werden personenbezogene
Daten geschäftsmäßig
1. zum Zwecke der Übermittlung
gespeichert,
2. zum Zwecke der
anonymisierten Übermittlung gespeichert oder
3. im Auftrag durch
Dienstleistungsunternehmen verarbeitet,
überwacht die Aufsichtsbehörde
die Ausführung dieses Gesetzes oder anderer Vorschriften über den
Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener
Daten in oder aus Dateien regeln. Die Aufsichtsbehörde führt das
Register nach § 32 Abs.2. Das Register kann von jedem
eingesehen werden.
(3) Die der Prüfung
unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen
haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer
Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der
Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren
Beantwortung ihn selbst oder einen der in § 383 Abs.1 Nr.1 bis 3 der Zivilprozessordnung
bezeichneten Angehörigen der Gefahr
strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über
Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf
hinzuweisen.
(4) Die von der
Aufsichtsbehörde mit der Überprüfung oder Überwachung beauftragten
Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde
übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten
Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen
und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen,
insbesondere die Übersicht nach § 37 Abs.2 sowie die
gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme,
einsehen. § 24 Abs.6 gilt entsprechend. Der
Auskunftspflichtige hat diese Maßnahmen zu dulden.
(5) Zur Gewährleistung des
Datenschutzes nach diesem Gesetz und anderen Vorschriften über den
Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener
Daten in oder aus Dateien regeln, kann die Aufsichtsbehörde anordnen, dass
im Rahmen der Anforderungen nach § 9
Maßnahmen zur Beseitigung festgestellter technischer oder
organisatorischer Mängel getroffen werden. Bei schwerwiegenden Mängeln
dieser Art, insbesondere, wenn sie mit besonderer Gefährdung des Persönlichkeitsrechts
verbunden sind, kann sie den Einsatz einzelner Verfahren untersagen, wenn
die Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung
eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann
die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er
die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit
nicht besitzt.
(6) Die Landesregierungen
oder die von ihnen ermächtigten Stellen bestimmen die für die Überwachung
der Durchführung des Datenschutzes im Anwendungsbereich dieses
Abschnittes zuständigen Aufsichtsbehörden.
(7) Die Anwendung der
Gewerbeordnung auf die den Vorschriften dieses Abschnitts unterliegenden
Gewerbebetriebe bleibt unberührt.
§
39
[Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder
besonderen Amtsgeheimnis unterliegen]
(1) Personenbezogene Daten,
die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von
der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs-
oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der
speichernden Stelle nur für den Zweck verarbeitet oder genutzt werden, für
den sie sie erhalten hat. In die Übermittlung an eine nicht-öffentliche
Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen
Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung
des Zwecks durch besonderes Gesetz zugelassen ist.
§
40
[Verarbeitung und Nutzung personenbezogener Daten durch
Forschungseinrichtungen]
(1) Für Zwecke der
wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene
Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet
oder genutzt werden.
(2) Die Übermittlung
personenbezogener Daten an andere als öffentliche Stellen für Zwecke der
wissenschaftlichen Forschung ist nur zulässig, wenn diese sich
verpflichten, die übermittelten Daten nicht für andere Zwecke zu
verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3 einzuhalten.
(3) Die personenbezogenen
Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich
ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen
Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen
mit den Einzelangaben nur zusammengeführt werden, soweit der
Forschungszweck dies erfordert.
(4) Die wissenschaftliche
Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen,
wenn
1. der Betroffene
eingewilligt hat oder
2. dies für die
Darstellung von Forschungsergebnissen über Ereignisse der
Zeitgeschichte unerlässlich ist.
§
41
[Verarbeitung und Nutzung personenbezogener Daten durch die Medien]
(1) Soweit personenbezogene
Daten von Unternehmen oder Hilfsunternehmen der Presse oder des Films oder
von Hilfsunternehmen des Rundfunks ausschließlich zu eigenen
journalistisch-redaktionellen Zwecken verarbeitet oder genutzt werden,
gelten von den Vorschriften dieses Gesetzes nur die §§ 5 und 9. Soweit
Verlage personenbezogene Daten zur Herausgabe von Adressen-, Telefon-,
Branchen- oder vergleichbaren Verzeichnissen verarbeiten oder nutzen, gilt
Satz 1 nur, wenn mit der Herausgabe zugleich eine
journalistisch-redaktionelle Tätigkeit verbunden ist.
(2) Führt die
journalistisch-redaktionelle Verarbeitung oder Nutzung personenbezogener
Daten durch die Deutsche Welle zur Veröffentlichung von
Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu
den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer
aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine
Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht
beeinträchtigt, so kann er Auskunft über die der Berichterstattung
zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. Die
Auskunft kann verweigert werden, soweit aus den Daten auf die Person des
Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und
Mitteilungen für den redaktionellen Teil geschlossen werden kann. Der
Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) Im übrigen gelten für
die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5 und 9.
Anstelle der §§ 24, 25 und 26 gilt § 42, auch soweit es sich um
Verwaltungsangelegenheiten handelt.
§
42
[Datenschutzbeauftragter der Deutschen Welle]
(1) Die Deutsche Welle
bestellt einen Beauftragten für den Datenschutz, der an die Stelle des
Bundesbeauftragten für den Datenschutz tritt. Die Bestellung erfolgt auf
Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier
Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines
Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb
der Rundfunkanstalt wahrgenommen werden.
(2) Der Beauftragte für
den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses
Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung
dieses Amtes unabhängig und nur dem Gesetz unterworfen. Im übrigen
untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates.
(3) Jedermann kann sich
entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden.
(4) Der Beauftragte für
den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre,
erstmals zum 1.Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber
hinaus besondere Berichte auf Beschluß eines Organes der Deutschen Welle.
Die Tätigkeitsberichte übermittelt der Beauftragte auch an den
Bundesbeauftragten für den Datenschutz.
(5) Weitere Regelungen
entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren
Bereich. § 18 bleibt unberührt.
§
43
[Strafvorschriften]
(1) Wer unbefugt von diesem
Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,
1. speichert, verändert
oder übermittelt,
2. zum Abruf mittels
automatisierten Verfahrens bereithält oder
3. abruft oder sich oder
einem anderen aus Dateien verschafft,
wird mit Freiheitsstrafe bis
zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft,
wer
1. die Übermittlung von
durch dieses Gesetz geschützten personenbezogenen Daten, die nicht
offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen § 16 Abs.4
Satz 1, § 28 Abs.4 Satz 1, auch in Verbindung mit § 29 Abs.3, § 39
Abs.1 Satz 1 oder § 40 Abs.1 die übermittelten Daten für andere
Zwecke nutzt, indem er sie an Dritte weitergibt, oder
3. entgegen § 30 Abs.1
Satz 2 die in § 30 Abs.1 Satz 1 bezeichneten Merkmale oder entgegen
§ 40 Abs.3 Satz 3 die in § 40 Abs.3 Satz 2 bezeichneten Merkmale mit
den Einzelangaben zusammenführt.
(3) Handelt der Täter
gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern
oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu
zwei Jahren oder Geldstrafe.
(4) Die Tat wird nur auf
Antrag verfolgt.
§
44
[Bußgeldvorschriften]
(1) Ordnungswidrig handelt,
wer vorsätzlich oder fahrlässig
1. entgegen § 29 Abs.2
Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise
ihrer glaubhaften Darlegung nicht aufzeichnet,
2. entgegen § 32 Abs.1,
auch in Verbindung mit Absatz 4, eine Meldung nicht oder nicht
rechtzeitig erstattet oder entgegen § 32 Abs.2,
auch in Verbindung mit Absatz 4, bei einer solchen Meldung die
erforderlichen Angaben nicht, nicht richtig oder nicht vollständig
mitteilt,
3. entgegen § 33 Abs.1 den
Betroffenen nicht, nicht richtig oder nicht vollständig
benachrichtigt,
4. entgegen § 35 Abs.5
Satz 3 Daten ohne Gegendarstellung übermittelt,
5. entgegen § 36 Abs.1
einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig
bestellt,
6. entgegen § 38 Abs.3
Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder
nicht rechtzeitig erteilt oder entgegen § 38
Abs.4 Satz 4 den Zutritt zu den Grundstücken oder Geschäftsräumen
oder die Vornahme von Prüfungen oder Besichtigungen oder die Einsicht
in geschäftliche Unterlagen nicht duldet, oder
7. einer vollziehbaren
Anordnung nach § 38 Abs.5 Satz 1 zuwiderhandelt.
(2) Die Ordnungswidrigkeit
kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet
werden.
Werden personenbezogene
Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach
der Art der zu schützenden personenbezogenen Daten geeignet sind,
1. Unbefugten den Zugang zu
Datenverarbeitungsanlagen, mit denen personenbezogene Daten
verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt
werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in
den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung
gespeicherter personenbezogener Daten zu verhindern
(Speicherkontrolle),
4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung
von Unbefugten genutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen
personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt
werden können (Übermittlungskontrolle),
7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit von wem in
Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können
(Auftragskontrolle),
9. zu verhindern, dass bei
der Übertragung personenbezogener Daten sowie beim Transport von
Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht
werden können (Transportkontrolle),
10. die innerbehördliche
oder innerbetriebliche Organisation so zu gestalten, dass sie den
besonderen Anforderungen des Datenschutzes gerecht wird
(Organisationskontrolle).