1. Aufgabe des Gesetzes
2. Anwndungsbereich
3. Begriffsbestimmungen
4. Zulässigkeit der Datenverarbeitung
5. Rechte des Betroffenen
Datengeheimnis
7. Verarbeitung personenbezogener Daten im Auftrag
8. Automatisiertes Abrufverfahren
9. Technische und organisatorische Mabnahmen
10. Verzeichnis
Zweiter Abschnitt: Rechtsgrundlagen der Datenverarbeitung
11. Erhebung
12. Speicherung, Veränderung und Nutzung
13. Übermittlung an Stellen innerhalb des öffentlichen Bereichs
14. Übermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
15. Übermittlung an Stellen außerhalb des öffentlichen Bereichs
16. Übermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes
Dritter Abschnitt: Rechte des Betroffenen
17. Auskunft
18. Berichtigung
19. Löschung
20. Sperrung
21. Schadensersatz
Vierter Abschnitt: Landesbeauftragter für den Datenschutz
22. Bestellung und Rechtsstellung
23. Anrufung des Landesbeauftragten für den Datenschutz
24. Kontrolle durch den Landesbeauftragten für den Datenschutz
25. Pflicht zur Unterstützung
26. Beanstandungen
27. Weitere Aufgaben des Landesbeauftragten für den Datenschutz
28. Datenschutzregister
Fünfter Abschnitt: Besondere Bestimmungen
29. Zweckbindung bei der Verarbeitung personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
30. Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
31. Verarbeitung personenbezogener Daten durch den Süddeutschen Rundfunk und den Südwestfunk
32. Rundfunkbeauftragter für den Datenschutz
Sechster Abschnitt: Übergangs- und Schlußvorschriften
33. Ordnungswidrigkeiten
34. Straftaten
35. Übergangsvorschriften
36. Änderung des Landesverwaltungsverfahrensgesetzes
37. Änderung des Vermessungsgesetzes
38. Änderung des Landeskatastrophenschutzgesetzes
39. Änderung des Feuerwehrgesetzes
40. Änderung des Gesetzes zu dem Staatsvertrag über Bildschirmtext
41. Änderung des Meldegesetzes
42. Inkrafttreten
——————————————————————————————————————————————————————-
Gesetz zum Schutz personenbezogener Daten (Landesdatenschutzgesetz – LDSG)
In der Fassung vom 18. September 2000 (GBl. S. 648)(1), zuletzt geändert durch Gesetz vom 18. November 2008 (GBl. S. 387)
(1) Neubekanntmachung des LDSG vom 27. Mai 1991 (GBl. S. 277) in der ab 1. Sept. 2000 geltenden Fassung.
Erster Abschnitt
Allgemeine Bestimmungen
§ 1 Aufgabe des Gesetzes
§ 2 Anwendungsbereich
§ 3 Begriffsbestimmungen
§ 4 Zulässigkeit der Datenverarbeitung
§ 5 Rechte des Betroffenen
§ 6 Datengeheimnis
§ 7 Verarbeitung personenbezogener Daten im Auftrag
§ 8 Automatisiertes Abrufverfahren
§ 9 Technische und organisatorische Maßnahmen
§ 10 Behördlicher Datenschutzbeauftragter
§ 11 Verfahrensverzeichnis
§ 12 Vorabkontrolle
Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 13 Erhebung
§ 14 Unterrichtung bei der Erhebung
§ 15 Speicherung, Veränderung und Nutzung
§ 16 Übermittlung an Stellen innerhalb des öffentlichen Bereichs
§ 17 Übermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
§ 18 Übermittlung an Stellen außerhalb des öffentlichen Bereichs
§ 19 Übermittlung für Zwecke der wissenschaftlichen Forschung
§ 20 Übermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes
Dritter Abschnitt
Rechte des Betroffenen
§ 21 Auskunft
§ 22 Berichtigung
§ 23 Löschung
§ 24 Sperrung
§ 25 Schadensersatz
Vierter Abschnitt
Landesbeauftragter für den Datenschutz
§ 26 Bestellung und Rechtsstellung
§ 27 Anrufung des Landesbeauftragten für den Datenschutz
§ 28 Kontrolle durch den Landesbeauftragten für den Datenschutz
§ 29 Pflicht zur Unterstützung
§ 30 Mitteilung des Ergebnisses der Kontrolle, Beanstandungen
§ 31 Weitere Aufgaben des Landesbeauftragten für den Datenschutz
§ 32 Meldung an den Landesbeauftragten für den Datenschutz
Fünfter Abschnitt
Besondere Bestimmungen
§ 33 Verarbeitung besonderer Arten personenbezogener Daten
§ 33a Datenverarbeitung in der gemeinsamen Dienststelle
§ 34 Zweckbindung bei der Verarbeitung personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
§ 35 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
§ 36 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
§ 37 Verarbeitung personenbezogener Daten durch den Südwestrundfunk
§ 38 Rundfunkbeauftragter für den Datenschutz
Sechster Abschnitt
Bestimmungen über die Datenverarbeitung nicht-öffentlicher Stellen
§ 39 Tätigkeitsbericht
Siebter Abschnitt
Übergangs- und Schlussvorschriften
§ 40 Ordnungswidrigkeiten
§ 41 Straftaten
§ 42 Übergangsvorschriften (aufgehoben)
§ 43 Änderung des Landesverwaltungsverfahrensgesetzes
§ 44 Änderung des Vermessungsgesetzes
§ 45 Änderung des Landeskatastrophenschutzgesetzes
§ 46 Änderung des Feuerwehrgesetzes
§ 47 Änderung des Gesetzes zu dem Staatsvertrag über Bildschirmtext
§ 48 Änderung des Meldegesetzes
§ 49 Inkrafttreten
——————————————————————————————————————————————————
Gesetz zum Schutz personenbezogener Daten (Landesdatenschutzgesetz – LDSG)
In der Fassung vom 18. September 2000 (GBl. S. 648)(1), zuletzt geändert durch Gesetz vom 18. November 2008 (GBl. S. 387)
(1) Neubekanntmachung des LDSG vom 27. Mai 1991 (GBl. S. 277) in der ab 1. Sept. 2000 geltenden Fassung.
ERSTER ABSCHNITT
Allgemeine Bestimmungen
§ 1.- Aufgabe des Gesetzes
Aufgabe dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbei-tung seiner personenbezogenen Daten durch öf-fentliche Stellen in seinem Persönlichkeitsrecht beeinträchtigt wird.
§ 2.- Anwendungsbereich
(1) Die Vorschriften dieses Gesetzes – ausge-nommen des Sechsten Abschnitts – gelten für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes un-terstehenden juristischen Personen des öffentli-chen Rechts (öffentliche Stellen).
(2) Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des priva-ten Rechts, die Aufgaben der öffentlichen Ver-waltung wahrnehmen und an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind. Beteiligt sich eine juristi-sche Person oder sonstige Vereinigung des priva-ten Rechts, auf die dieses Gesetz nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des privaten Rechts, so findet Satz 1 entspre-chende Anwendung. Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.
(3) Dieses Gesetz gilt für den Landtag nur, soweit er in Verwaltungsangelegenheiten tätig wird; § 9 findet auch dann Anwendung, wenn der Landtag bei der Wahrnehmung parlamentarischer Aufga-ben personenbezogene Daten verarbeitet. Die §§ 10, 11, 27 bis 32 gelten für die Gerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden, für den Rechnungshof und die staatli-chen Rechnungsprüfungsämter nur außerhalb ihrer Prüfungstätigkeit.
(4) Soweit öffentliche Stellen als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen, sind die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutz-gesetzes entsprechend anzuwenden. Satz 1 gilt nicht für Zweckverbände.
(5) Soweit besondere Rechtsvorschriften des Bundes oder des Landes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschrif-ten dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten und von Berufs- oder besonderen Amts-geheimnissen, die nicht auf gesetzlichen Vor-schriften beruhen, bleibt unberührt.
§ 3.- Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse ei-ner bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Verarbeiten ist das Erheben, Speichern, Ver-ändern, Übermitteln, Nutzen, Sperren und Lö-schen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfah-ren:
1. Erheben das Beschaffen von personenbezo-genen Daten über den Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Auf-bewahren von personenbezogenen Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
3. Verändern das inhaltliche Umgestalten gespei-cherter personenbezogener Daten,
4. Übermitteln das Bekanntgeben personenbezo-gener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf be-reitgehaltene Daten einsieht oder abruft,
5. Nutzen jede sonstige Verwendung personen-bezogener Daten innerhalb der Daten verarbei-tenden Stelle,
6. Sperren die Einschränkung der weiteren Ver-arbeitung personenbezogener Daten,
7. Löschen das Unkenntlichmachen gespeicher-ter personenbezogener Daten.
(3) Verantwortliche Stelle ist jede Stelle, die per-sonenbezogene Daten für sich selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt.
(4) Empfänger ist jede Person oder Stelle, die Daten erhält, mit Ausnahme des Betroffenen.
(5) Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle, ausgenommen der Betroffene sowie diejenige Person und Stelle, die in einem Mitgliedstaat der Europäischen Union personenbezogene Daten im Auftrag verarbeitet.
(6) Anonymisieren ist das Verändern personen-bezogener Daten in der Weise, dass Einzelanga-ben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(7) Pseudonymisieren ist das Ersetzen des Na-mens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
(8) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines elektronischen Datenver-arbeitungssystems programmgesteuert durchge-führt wird.
(9) Eine Datei ist
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimm-ten Merkmalen ausgewertet werden kann (au-tomatisierte Datei) oder
2. eine sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte Datei).
(10) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage. Nicht hierunter fallen Entwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
§ 4.- Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig,
1. wenn dieses Gesetz oder eine andere Rechts-vorschrift sie erlaubt oder
2. soweit der Betroffene eingewilligt hat.
(2) Wird die Einwilligung beim Betroffenen einge-holt, ist er über die beabsichtigte Datenverarbei-tung und den Zweck der Verarbeitung aufzuklä-ren. Die Aufklärungspflicht umfasst bei einer be absichtigten Übermittlung auch den Empfänger der Daten. Über die Möglichkeit einer weiterge-henden Datenverarbeitung auf Grund gesetzlicher Bestimmungen ist er zu unterrichten. Der Betrof-fene ist unter Darlegung der Folgen darauf hinzu-weisen, dass er die Einwilligung verweigern kann und dass die Möglichkeit besteht, die Einwilligung zu widerrufen.
(3) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zu-sammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.
(4) Die Einwilligung kann auch elektronisch erklärt werden, wenn die empfangende Stelle sicher-stellt, dass
1. die Einwilligung nur durch eine eindeutige und bewusste Handlung des Einwilligenden erfol-gen kann,
2. sie nicht unerkennbar verändert werden kann,
3. ihr Urheber eindeutig erkannt werden kann und
4. die Einwilligung (Tag, Uhrzeit, Inhalt) protokol-liert wird.
§ 3a des Landesverwaltungsverfahrensgesetzes findet auf die Einwilligung keine Anwendung.
(5) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Ab-satz 3 Satz 1 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck er-heblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 2, die Gründe, aus de-nen sich die erhebliche Beeinträchtigung des be-stimmten Forschungszwecks ergibt, und die Ertei-lung der Einwilligung schriftlich festzuhalten.
(6) Der Betroffene hat das Recht, gegenüber der Verarbeitung seiner Daten, auch wenn diese rechtmäßig ist, ein schutzwürdiges, in seiner per-sönlichen Situation begründetes Interesse einzu-wenden (Einwendungsrecht). Die Verarbeitung ist in diesem Fall nur zulässig, wenn eine Abwägung ergeben hat, dass sein Interesse hinter dem öf-fentlichen Interesse an der Verarbeitung zurück-zustehen hat. Das Ergebnis der Abwägung ist ihm unter Angabe der Gründe mitzuteilen. Sätze 1 bis 3 finden keine Anwendung in den in § 33 Abs. 3 genannten Fällen.
(7) Entscheidungen, die für den Betroffenen eine nachteilige rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht auf eine Bewertung seiner Persönlichkeitsmerkmale gestützt werden, die ausschließlich im Wege einer automatisierten Verarbeitung seiner personenbe-zogenen Daten zu Stande gekommen ist.
§ 5.- Rechte des Betroffenen
(1) Der Betroffene hat nach Maßgabe dieses Ge-setzes ein Recht auf
1. Auskunft über die zu seiner Person gespei-cherten Daten (§ 21),
2. Berichtigung, Löschung und Sperrung der zu seiner Person gespeicherten Daten (§§ 22 bis 24),
3. Auskunft aus dem Verfahrensverzeichnis (§ 11 Abs. 4),
4. Einwendung eines schutzwürdigen, in seiner persönlichen Situation begründeten Interesses gegenüber der Verarbeitung seiner Daten (§ 4 Abs. 6),
5. Schadensersatz (§ 25),
6. Anrufung des Landesbeauftragten für den Da-tenschutz (§ 27).
Diese Rechte können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(2) Wird für den Erhalt einer Leistung, das Erken-nen einer Person oder für einen anderen Zweck ein Datenträger herausgegeben, den der Inhaber mit sich führen kann und auf dem seine perso-nenbezogenen Daten automatisiert verarbeitet werden, hat die verantwortliche Stelle sicherzu-stellen, dass er dies erkennen und seine ihm nach Absatz 1 Nr. 1 bis 6 zustehenden Rechte ohne unvertretbaren Aufwand geltend machen kann. Der Inhaber ist bei Ausgabe des Datenträgers über die ihm nach Absatz 1 zustehenden Rechte sowie über die von ihm bei Verlust des Datenträ-gers zu treffenden Maßnahmen und über die Fol-gen aufzuklären.
§ 6.- Datengeheimnis
Den bei öffentlichen Stellen beschäftigten Perso-nen ist untersagt, personenbezogene Daten un-befugt zu verarbeiten oder sonst zu verwenden (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 7.- Verarbeitung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag öffentlicher Stellen durch andere Personen oder Stellen verarbeitet, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz ver-antwortlich. Die in § 5 Abs. 1 Satz 1 Nr. 1 bis 5 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftraggeber hat den Auftragnehmer sorg-fältig auszuwählen. Dabei ist besonders zu be-rücksichtigen, ob der Auftragnehmer ausreichend Gewähr dafür bietet, dass er die für eine daten-schutzgerechte Datenverarbeitung erforderlichen technischen und organisatorischen Maßnahmen zu treffen in der Lage ist. Der Auftrag ist schriftlich zu erteilen. Dabei sind insbesondere Gegenstand und Umfang der Datenverarbeitung, die notwen-digen technischen und organisatorischen Maß-nahmen, etwaige Unterauftragsverhältnisse sowie die Befugnis des Auftraggebers festzulegen, dass er hinsichtlich der Verarbeitung personenbezoge-ner Daten dem Auftragnehmer Weisungen ertei-len darf. Der Auftrag kann auch durch die Fach-aufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegende Stellen des Landes erteilt werden; diese sind von der Auftragserteilung zu unterrich-ten. Der Auftraggeber hat sich von der Einhaltung der getroffenen technischen und organisatori-schen Maßnahmen durch den Auftragnehmer zu überzeugen.
(3) Ist der Auftragnehmer eine öffentliche Stelle, gelten für ihn nur die §§ 6, 9, 10, 27 bis 31, 40 und 41. Die Verarbeitung personenbezogener Daten ist nur im Rahmen des Auftrags und der Weisungen zulässig. Ist der Auftragnehmer der Ansicht, dass der Auftrag, einzelne Bestimmun-gen des Auftrags oder eine Weisung des Auftrag-gebers gegen dieses Gesetz oder andere Vor-schriften über den Datenschutz verstoßen, hat er den Auftraggeber unverzüglich darauf hinzuwei-sen.
(4) Soweit juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen dem Land oder der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, für eine öffentliche Stelle Daten im Auftrag verarbei-ten, gelten die §§ 27 bis 31 entsprechend. Dies gilt nicht, soweit diese Personen oder Personen-vereinigungen personenbezogene Daten im Auf-trag eines der in § 2 Abs. 4 Satz 1 genannten Un-ternehmen oder deren Vereinigungen verarbeiten.
(5) Werden Wartungsarbeiten und vergleichbare Hilfstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der verantwort-lichen Stelle erbracht, gilt dies als Datenverarbei-tung im Auftrag.
§ 8.- Automatisiertes Abrufverfahren
(1) Ein automatisiertes Verfahren, das die Über-mittlung personenbezogener Daten durch Abruf ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.
(2) Die beteiligten Stellen haben zu gewährleis-ten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schrift-lich festzulegen
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der abzurufenden Daten,
4. nach § 9 erforderliche technische und organi-satorische Maßnahmen.
Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegende Stellen des Landes getroffen werden.
(3) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung geltenden Vorschriften. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personen-bezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.
(4) Für die Einrichtung oder wesentliche Ände-rung eines automatisierten Verfahrens, das den Abruf personenbezogener Daten nur innerhalb einer öffentlichen Stelle ermöglicht, gelten die Absätze 1 und 2 entsprechend, wenn die Daten für einen anderen Zweck als den, für den sie ge-speichert worden sind, genutzt werden sollen; dabei ist eine angemessene Abrufkontrolle zu gewährleisten.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.
§ 9.- Technische und organisatorische Maßnahmen
(1) Die Gestaltung und Auswahl der technischen Einrichtungen und der Verfahren zur automatisier-ten Verarbeitung personenbezogener Daten hat sich an dem Grundsatz auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten.
(2) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vor-schriften dieses Gesetzes entsprechende Daten-verarbeitung zu gewährleisten. Erforderlich sind Maßnahmen, wenn ihr Aufwand, insbesondere unter Berücksichtigung der Art der zu schützen-den personenbezogenen Daten, in einem ange-messenen Verhältnis zu dem angestrebten Schutzzweck steht.
(3) Werden personenbezogene Daten automati-siert verarbeitet, sind je nach Art und Verwendung der zu schützenden personenbezogenen Daten und unter Berücksichtigung des Standes der Technik Maßnahmen zu treffen, die geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbei-tungsanlagen zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt wer-den können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu ver-hindern (Speicherkontrolle),
4. zu verhindern, dass Datenverarbeitungssys-teme mit Hilfe von Einrichtungen zur Daten-übertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtig-ten ausschließlich auf die ihrer Zugriffsbe-rechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, dass überprüft und festge-stellt werden kann, an welche Stellen Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungs-kontrolle),
7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbei-tungssysteme eingegeben worden sind (Ein-gabekontrolle),
8. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Daten-trägern die Daten nicht unbefugt gelesen, ko-piert, verändert oder gelöscht werden können (Transportkontrolle),
10. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Ver-lust geschützt sind (Verfügbarkeitskontrolle), und
11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschut-zes gerecht wird (Organisationskontrolle).
(4) Die Landesregierung wird ermächtigt, die in Absatz 3 genannten Anforderungen nach dem jeweiligen Stand der Technik und Organisation durch Rechtsverordnung fortzuschreiben.
(5) Werden personenbezogene Daten in nicht-automatisierten Dateien oder in Akten verarbeitet, sind insbesondere Maßnahmen zu treffen, um zu verhindern, dass Unbefugte bei der Bearbeitung, der Aufbewahrung, dem Transport und der Ver-nichtung auf die Daten zugreifen können.
§ 10.- Behördlicher Datenschutzbeauftragter
(1) Öffentliche Stellen können einen behördlichen Datenschutzbeauftragten bestellen. Die Bestel-lung bedarf der Schriftform.
(2) Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt ausgesetzt wird. Die öffentliche Stelle kann einen Bediensteten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Meh-rere Stellen können gemeinsam einen Daten-schutzbeauftragten bestellen.
(3) Der behördliche Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben der Behörden-leitung unmittelbar zu unterstellen. Er ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf deswegen nicht benachteiligt werden.
(4) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die öffentliche Stelle bei der Ausfüh-rung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen. Zu seinen Aufgaben gehört es insbesondere,
1. auf die Einhaltung der Datenschutzvorschriften bei der Planung, Einführung und Anwendung von Verfahren, mit denen personenbezogene Daten automatisiert verarbeitet werden, hinzu-wirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maß-nahmen mit den Bestimmungen dieses Geset-zes sowie den sonstigen Vorschriften über den Datenschutz und den besonderen Erfordernis-sen des Datenschutzes in ihrem Tätigkeitsbe-reich vertraut zu machen sowie
3. das Verfahrensverzeichnis (§ 11) zu führen.
Der behördliche Datenschutzbeauftragte ist vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens rechtzeitig zu unterrichten.
§ 11.- Verfahrensverzeichnis
(1) Jede öffentliche Stelle führt ein Verzeichnis der automatisierten Verfahren, mit denen perso-nenbezogene Daten verarbeitet werden (Verfah-rensverzeichnis). Das Verzeichnis kann auch von einer Stelle für andere Stellen geführt werden.
(2) In das Verfahrensverzeichnis sind einzutra-gen:
1. Name und Anschrift der verantwortlichen Stelle,
2. die Bezeichnung des Verfahrens,
3. die Zweckbestimmung und die Rechtsgrund-lage der Verarbeitung,
4. die Art der gespeicherten Daten,
5. der Kreis der Betroffenen,
6. die Empfänger der Daten oder Gruppen von Empfängern sowie die jeweiligen Datenarten, wenn vorgesehen ist,
a) die Daten zu übermitteln,
b) sie innerhalb der öffentlichen Stelle für ei-nen weiteren Zweck zu nutzen oder
c) sie im Auftrag verarbeiten zu lassen,
7. die Fristen für die Prüfung der Sperrung und Löschung der Daten oder für die Sperrung und Löschung,
8. die zugriffsberechtigten Personengruppen oder Personen, die allein zugriffsberechtigt sind,
9. eine allgemeine Beschreibung der eingesetz-ten Hardware, der Vernetzung und der Soft-ware und
10. die technischen und organisatorischen Maß-nahmen nach § 9.
(3) Absatz 1 gilt nicht für Verfahren, deren einzi-ger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist und allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, sowie für Verfahren, die allgemeinen Ver-waltungszwecken dienen, insbesondere Verfah-ren der Textverarbeitung.
(4) Die öffentliche Stelle macht die Angaben nach Absatz 2 Nr. 1 bis 7 des Verfahrensverzeichnis-ses auf Antrag jedermann in geeigneter Weise verfügbar. Satz 1 findet keine Anwendung auf Verfahren des Landesamtes für Verfassungs-schutz.
§ 12.- Vorabkontrolle
Wer für den Einsatz oder die wesentliche Ände-rung eines automatisierten Verfahrens zur Verar-beitung personenbezogener Daten zuständig ist, das mit besonderen Gefahren für das Persönlich-keitsrecht verbunden sein kann, insbesondere auf Grund der Art oder der Zweckbestimmung der Verarbeitung, darf das Verfahren erst einsetzen, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische oder organisato-rische Maßnahmen verhindert werden; dies gilt insbesondere für die Einrichtung eines automati-sierten Abrufverfahrens nach § 8, für automati-sierte Verfahren, mit denen Daten nach § 33 ver-arbeitet werden, und für die Herausgabe von Da-tenträgern nach § 5 Abs. 2. Das Ergebnis der Un-tersuchung und dessen Begründung sind aufzu-zeichnen und dem behördlichen Datenschutzbe-auftragten oder, wenn ein solcher nicht bestellt ist, dem Landesbeauftragten für den Datenschutz zur Prüfung zuzuleiten. Der behördliche Daten-schutzbeauftragte wendet sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz.
ZWEITER ABSCHNITT
Rechtsgrundlagen der Datenverarbeitung
§ 13.- Erhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.
(2) Personenbezogene Daten, die nicht aus all-gemein zugänglichen Quellen entnommen wer-den, sind beim Betroffenen mit seiner Kenntnis zu erheben. Werden Daten nicht über eine bestimm-te Person, sondern über einen bestimmten Per-sonenkreis, etwa durch Videoüberwachung, erho-ben, muss der Betroffene die seinen schutzwürdi-gen Belangen angemessene Möglichkeit zur Kenntnisnahme erhalten.
(3) Personenbezogene Daten dürfen beim Betrof-fenen ohne seine Kenntnis nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwin-gend voraussetzt oder
2. die zu erfüllende Aufgabe ihrer Art nach eine solche Erhebung erforderlich macht und keine Anhaltspunkte dafür vorliegen, dass ihr über-wiegende schutzwürdige Interessen des Be-troffenen entgegenstehen.
(4) Bei Dritten dürfen personenbezogene Daten nur erhoben werden, wenn
1. einer der in § 15 Abs. 2 Nr. 1 bis 6 genannten Fälle vorliegt oder
2. die zu erfüllende Aufgabe ihrer Art nach eine solche Erhebung erforderlich macht und keine Anhaltspunkte dafür vorliegen, dass ihr über-wiegende schutzwürdige Interessen des Be-troffenen entgegenstehen.
§ 14.- Unterrichtung bei der Erhebung
(1) Werden personenbezogene Daten beim Be-troffenen mit seiner Kenntnis erhoben, sind ihm gegenüber anzugeben:
1. die beabsichtigte Datenverarbeitung und der Zweck der Verarbeitung sowie
2. bei einer beabsichtigten Übermittlung auch die Empfänger der Daten oder Gruppen von Emp-fängern, soweit der Betroffene nach den Um-ständen des Einzelfalls nicht mit der Übermitt-lung an diese rechnen muss.
Werden die Daten auf Grund einer Rechtsvor-schrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit sei-ner Angaben hinzuweisen. Über die der Aus-kunftspflicht zu Grunde liegende Rechtsvorschrift und die Folgen der Verweigerung von Angaben ist der Betroffene bei Verwendung eines Erhebungs-vordrucks stets, sonst nur auf Verlangen aufzuklä-ren. Bei Verwendung eines Erhebungsvordrucks ist der Betroffene auch auf das Bestehen von Auskunfts- und Berichtigungsrechten hinzuwei-sen.
(2) Werden Daten beim Betroffenen ohne seine Kenntnis oder bei Dritten erhoben, ist der Betrof-fene entsprechend Absatz 1 Satz 1 zu benach-richtigen, wenn die Daten in einer Datei gespei-chert werden. Bei schriftlicher Benachrichtigung ist der Betroffene auch auf das Bestehen von Auskunfts- und Berichtigungsrechten hinzuwei-sen. Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens bei der ersten Übermitt-lung. Sätze 1 bis 3 finden keine Anwendung auf Verfahren des Landesamtes für Verfassungs-schutz.
(3) Eine Pflicht zur Benachrichtigung besteht in den Fällen des Absatzes 2 nicht, wenn
1. die Verarbeitung der Daten durch Gesetz aus-drücklich vorgesehen ist,
2. der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt,
3. die Benachrichtigung des Betroffenen einen unverhältnismäßigen Aufwand erfordern wür-de,
4. die Benachrichtigung die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder von Aufgaben der Finanzverwaltung im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung oder die Verfolgung von Straftaten oder Ordnungswidrigkeiten ge-fährden würde,
5. die Benachrichtigung die Sicherheit des Bun-des oder eines Landes gefährden würde,
6. die Daten oder die Tatsache ihrer Speicherung zum Schutze des Betroffenen oder zum Schut-ze der Rechte Dritter geheim gehalten werden müssen und deshalb das Interesse des Betrof-fenen an der Benachrichtigung zurücktreten muss oder
7. die Daten ausschließlich für Zwecke der wis-senschaftlichen Forschung oder der Statistik verarbeitet werden.
(4) Werden personenbezogene Daten bei einem Dritten außerhalb des öffentlichen Bereichs erho-ben, so ist er auf Verlangen auf den Erhebungs-zweck hinzuweisen, soweit dadurch schutzwürdi-ge Interessen des Betroffenen nicht beeinträchtigt werden. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft ver-pflichtet, so ist er auf die Auskunftspflicht, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Über die der Auskunftspflicht zu Grunde liegende Rechtsvorschrift und die Folgen der Verweigerung von Angaben ist er bei Verwendung eines Erhe-bungsvordrucks stets, sonst nur auf Verlangen aufzuklären.
§ 15.- Speicherung, Veränderung und Nutzung
(1) Das Speichern, Verändern und Nutzen perso-nenbezogener Daten ist zulässig, wenn es
1. zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und
2. für Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegan-gen, dürfen die Daten nur für Zwecke genutzt werden, für die sie erstmals gespeichert wor-den sind.
(2) Das Speichern, Verändern und Nutzen perso-nenbezogener Daten für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwin-gend voraussetzt,
2. der Betroffene eingewilligt hat oder offensicht-lich ist, dass dies im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er seine Einwilligung hierzu verweigern würde,
3. der Betroffene einer durch Rechtsvorschrift festgelegten Auskunftspflicht nicht nachge-kommen und über die beabsichtigte Datenver-arbeitung unterrichtet worden ist,
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar dro-henden Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Be-einträchtigung der Rechte einer anderen Per-son erforderlich ist,
6. die Erhebung beim Betroffenen einen unver-hältnismäßigen Aufwand erfordern würde, es sei denn, dass überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen,
7. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verant-wortliche Stelle sie veröffentlichen dürfte, es sei denn, dass überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen, oder
8. es zur Verfolgung von Straftaten oder Ord-nungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sin-ne des § 11 Abs. 1 Nr. 8 des Strafgesetzbu-ches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsge-setzes oder zur Vollstreckung von Bußgeldent-scheidungen erforderlich ist.
(3) Eine Speicherung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrneh-mung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Orga-nisationsuntersuchungen, der Prüfung und War-tung von automatisierten Verfahren der Datenver-arbeitung sowie statistischen Zwecken oder Zwe-cken der Durchführung eigener wissenschaftlicher Forschung der speichernden Stelle dient. Dies gilt auch für die Speicherung und Nutzung zu Ausbil-dungs- und Prüfungszwecken, soweit nicht über-wiegende schutzwürdige Interessen des Betroffe-nen entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zum Zweck der Datenschutzkontrolle, der Daten-sicherung oder zur Sicherstellung eines ord-nungsgemäßen Betriebs einer Datenverarbei-tungsanlage gespeichert werden, dürfen nur für diesen Zweck und hiermit in Zusammenhang ste-hende Maßnahmen gegenüber Bediensteten ge-nutzt werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 bis 3 gespeichert werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so ist die Speicherung auch dieser Daten zulässig, soweit nicht schutzwürdige Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen. Unter denselben Voraussetzungen dürfen die für die Aufgabenerfüllung nicht erforderlichen Daten innerhalb der speichernden Stelle weitergegeben werden; eine darüber hinausgehende Nutzung dieser Daten ist unzulässig.
§ 16.- Übermittlung an Stellen innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an Stellen innerhalb des öffentlichen Bereichs ist zulässig, wenn sie
1. zur Erfüllung der Aufgaben der übermittelnden Stelle oder der Stelle, an die die Daten über-mittelt werden, erforderlich ist und
2. für Zwecke erfolgt, für die eine Nutzung nach § 15 Abs. 1 bis 4 zulässig wäre.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen einer öffentlichen Stelle im Geltungsbereich des Grundgesetzes, trägt diese die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermitt-lungsersuchen im Rahmen der Aufgaben der er-suchenden Stelle liegt, es sei denn, dass beson-derer Anlass zur Prüfung der Zulässigkeit der Ü-bermittlung besteht. § 8 Abs. 3 Satz 2 und 3 bleibt unberührt.
(3) Die Stelle, an die die Daten übermittelt wer-den, darf sie nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihr übermittelt worden sind. Eine Verarbeitung für andere Zwecke ist nur unter den Voraussetzungen des § 15 Abs. 2 zulässig.
(4) Auf die Übermittlung verbundener Daten findet § 15 Abs. 5 entsprechende Anwendung.
§ 17.- Übermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
Für die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsge-sellschaften gilt § 16 Abs. 1 bis 3 entsprechend, sofern für diese Stellen ausreichende Daten-schutzregelungen gelten. Die Feststellung hier-über trifft das Innenministerium.
§ 18.- Übermittlung an Stellen außerhalb des öffentli-chen Bereichs
(1) Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentli-chen Bereichs ist zulässig, wenn
1. sie zur Erfüllung der Aufgaben der übermitteln-den Stelle erforderlich ist und für Zwecke er-folgt, für die eine Nutzung nach § 15 Abs. 1 bis 4 zulässig wäre, oder
2. der Dritte, an den die Daten übermittelt werden sollen, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaub-haft darlegt und der Betroffene kein schutz-würdiges Interesse am Ausschluss der Über-mittlung hat.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten, insbesondere über den Dritten, an den die Daten übermittelt werden, und den Zweck der Übermitt-lung. Dies gilt nicht, wenn die Unterrichtung einen unverhältnismäßigen Aufwand erfordern würde, der Betroffene von der Übermittlung auf andere Weise Kenntnis erlangt, die Unterrichtung wegen der Art der personenbezogenen Daten unter Be-rücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint oder wenn die Unterrichtung die öffentliche Sicherheit ge-fährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(4) Die Stelle, an die die Daten übermittelt wer-den, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihr übermittelt worden sind. Die übermittelnde Stelle hat sie in den Fällen des Absatzes 1 Nr. 2 hierauf hinzuweisen. Eine Ver-arbeitung für andere Zwecke ist nur zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle eingewilligt hat.
(5) Die übermittelnde Stelle soll die Übermittlung mit Auflagen versehen, die den Datenschutz bei dem Dritten, an den die Daten übermittelt werden, sicherstellen, oder mit dem Dritten Vereinbarun-gen zur Gewährleistung des Datenschutzes tref-fen.
§ 19.- Übermittlung für Zwecke der wissenschaftlichen Forschung
(1) Die Übermittlung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung an Stellen innerhalb des öffentlichen Bereichs ist zulässig, wenn dies zur Durchführung wissen-schaftlicher Forschung erforderlich ist, das wis-senschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betrof-fenen am Ausschluss der Übermittlung erheblich überwiegt und der Zweck der Forschung auf an-dere Weise nicht oder nur mit unverhältnismäßi-gem Aufwand erreicht werden kann. Kann der Zweck der Forschung auch mit anonymisierten Daten erreicht werden und steht der verantwortli-chen Stelle nicht ausreichend Personal für eine Anonymisierung der Daten zur Verfügung, können die mit der Durchführung des Forschungsvorha-bens befassten Personen diese Aufgabe für die verantwortliche Stelle unter deren Aufsicht wahr-nehmen. Die betreffenden Personen sind zuvor nach dem Verpflichtungsgesetz zu verpflichten.
(2) Für die Übermittlung personenbezogener Da-ten an Stellen außerhalb des öffentlichen Be-reichs gilt Absatz 1 mit der Maßgabe, dass die Übermittlung nur zulässig ist, wenn sich die Stelle verpflichtet, die übermittelten Daten nicht für an-dere Zwecke zu verarbeiten und die Bestimmun-gen des § 35 Abs. 2 und 3 einzuhalten.
§ 20.- Übermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes
(1) Für die Übermittlung personenbezogener Da-ten an Stellen
1. in anderen Mitgliedstaaten der Europäischen Union,
2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder
3. der Organe und Einrichtungen der Europäi-schen Gemeinschaften gelten §§ 16, 18 und 19 entsprechend,
(2) Die Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union oder an über- oder zwischenstaatliche Stellen ist unter den Voraussetzungen der §§ 18 und 19 zulässig, soweit in den folgenden Absätzen nichts anderes bestimmt ist.
(3) Die Übermittlung unterbleibt, soweit
1. Grund zu der Annahme besteht, dass durch sie gegen den Zweck eines deutschen Gesetzes verstoßen würde, oder
2. der Betroffene ein überwiegendes schutzwürdi-ges Interesse an dem Ausschluss der Über-mittlung hat, insbesondere wenn in dem Staat außerhalb der Europäischen Union oder bei der über- oder zwischenstaatlichen Stelle ein angemessenes Datenschutzniveau nicht ge-währleistet ist.
Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände beur-teilt, die bei Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Ver-arbeitung, das Herkunfts- und das Endbestim-mungsland, die für den Empfänger geltenden Rechtsnormen sowie die dort geltenden Standes-regeln und Sicherheitsmaßnahmen herangezogen werden.
(4) Ist in dem Staat, in den die Daten übermittelt werden sollen, kein angemessenes Datenschutz-niveau gewährleistet, ist die Übermittlung nur zu-lässig, wenn
1. der Betroffene eingewilligt hat,
2. die Übermittlung für die Wahrung eines über-wiegenden öffentlichen Interesses oder zur Geltendmachung rechtlicher Ansprüche vor Gericht einschließlich eines Vorverfahrens er-forderlich ist,
3. die Übermittlung für die Wahrung lebenswichti-ger Interessen des Betroffenen erforderlich ist oder
4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und allen Personen, die ein berechtigtes In-teresse nachweisen können, zur Einsichtnah-me offen steht, soweit die gesetzlichen Vor-aussetzungen im Einzelfall gegeben sind.
(5) Ist in dem Staat, in den die Daten übermittelt werden sollen, kein angemessenes Datenschutz-niveau gewährleistet, ist unbeschadet des Absat-zes 4 eine Übermittlung auch zulässig, wenn die Person oder Stelle, an die die Daten übermittelt werden sollen, ausreichende Garantien hinsicht-lich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; diese Garantien können sich auch aus Vertragsklauseln ergeben.
DRITTER ABSCHNITT
Rechte des Betroffenen
§ 21.- Auskunft
(1) Dem Betroffenen ist von der speichernden Stelle auf Antrag unentgeltlich Auskunft zu ertei-len über
1. die zu seiner Person gespeicherten Daten,
2. den Zweck der Verarbeitung,
3. die Herkunft der Daten, soweit diese gespei-chert oder sonst bekannt ist, und die Empfän-ger oder Gruppen von Empfängern, an die die Daten übermittelt werden sollen, sowie
4. den strukturierten Ablauf der automatisierten Verarbeitung der ihn betreffenden Daten in den Fällen des § 4 Abs. 7 und die dabei herange-zogenen Entscheidungskriterien.
Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.
(2) In dem Antrag soll die Art der personenbezo-genen Daten näher bezeichnet werden, über die Auskunft erteilt werden soll. Sind die personenbe-zogenen Daten in Akten gespeichert, wird Aus-kunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen und der für die Erteilung der Auskunft erforderli-che Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinte-resse steht.
(3) Die speichernde Stelle bestimmt das Verfah-ren, insbesondere die Form der Auskunftsertei-lung, nach pflichtgemäßem Ermessen. Sind die Daten in Akten gespeichert, ist dem Betroffenen auf Verlangen Akteneinsicht zu gewähren; Ab-satz 2 Satz 2 findet entsprechende Anwendung. Ein Recht auf Akteneinsicht besteht nicht, wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezo-genen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. In diesem Fall ist dem Betroffenen Auskunft zu erteilen. Rechtsvor-schriften über die Akteneinsicht im Verwaltungs-verfahren bleiben unberührt.
(4) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Be-hörden der Staatsanwaltschaften, an Polizei-dienststellen, Verfassungsschutzbehörden und Behörden der Finanzverwaltung, soweit sie per-sonenbezogene Daten in Erfüllung ihrer gesetzli-chen Aufgaben im Anwendungsbereich der Ab-gabenordnung zur Überwachung und Prüfung speichern, ist sie nur mit Zustimmung dieser oder der nach Absatz 7 zuständigen Stelle zulässig. Satz 1 findet auch Anwendung auf die Über-mittlung personenbezogener Daten an den Bun-desnachrichtendienst, den Militärischen Ab-schirmdienst und, soweit die Sicherheit des Bun-des berührt wird, andere Behörden des Bundes-ministers der Verteidigung. Für die Versagung der Zustimmung gelten die Absätze 5 und 6 entspre-chend.
(5) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der speichernden Stel-le liegenden Aufgaben gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
3. die personenbezogenen Daten oder die Tatsa-che ihrer Speicherung nach einer Rechtsvor-schrift oder ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten, geheim gehalten werden müssen
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss.
(6) Die Ablehnung der Auskunftserteilung bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe der mit der Auskunftsverweigerung verfolgte Zweck ge-fährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er den Landesbeauf-tragten für den Datenschutz anrufen kann.
(7) Die fachlich zuständige oberste Landesbehör-de kann durch Rechtsverordnung bestimmen, dass eine andere als die speichernde Stelle die Auskunft erteilt.
§ 22.- Berichtigung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezo-genen Daten in Akten festgestellt, dass sie unrich-tig sind, oder wird ihre Richtigkeit vom Betroffe-nen bestritten, so ist dies in der Akte zu vermer-ken oder auf sonstige Weise festzuhalten.
(2) Von der Berichtigung unrichtiger Daten sind die Empfänger der Daten zu verständigen, soweit dies zur Wahrung schutzwürdiger Interessen des Betroffenen oder zur Erfüllung der Aufgaben der verantwortlichen Stelle oder des Empfängers er-forderlich erscheint; dies gilt nicht, wenn dies ei-nen unverhältnismäßigen Aufwand erfordern wür-de.
§ 23.- Löschung
(1) Personenbezogene Daten in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforder-lich ist.
(2) Personenbezogene Daten in Akten sind zu löschen, wenn die speichernde Stelle im Einzelfall feststellt, dass die gesamte Akte zur Aufgabener-füllung nicht mehr erforderlich ist.
(3) Vor einer Löschung sind die Daten dem zu-ständigen Archiv nach Maßgabe der §§ 3, 7 und 8 des Landesarchivgesetzes zur Übernahme anzu-bieten.
(4) Die Löschung unterbleibt, wenn
1. Grund zu der Annahme besteht, dass durch sie schutzwürdige Interessen des Betroffenen be-einträchtigt würden, oder
2. sie wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(5) Von einer Löschung unzulässig gespeicherter Daten sind die Empfänger der Daten nach Maß-gabe des § 22 Abs. 2 zu verständigen.
§ 24.- Sperrung
(1) Personenbezogene Daten in Dateien sind zu sperren, wenn
1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrich-tigkeit feststellen lässt oder
2. in den Fällen des § 23 Abs. 4 eine Löschung unterbleibt.
(2) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, dass die Daten unzulässig gespeichert sind. Sie sind ferner zu sperren, wenn die spei-chernde Stelle im Einzelfall feststellt, dass die Daten zur Aufgabenerfüllung nicht mehr erforder-lich sind, eine Löschung nach § 23 Abs. 2 nicht in Betracht kommt und ohne die Sperrung schutz-würdige Interessen des Betroffenen beeinträchtigt würden.
(3) Gesperrte personenbezogene Daten sind ge-sondert aufzubewahren; bei automatisierten Ver-fahren kann die Sperrung statt dessen auch durch zusätzliche technische Maßnahmen gewährleistet werden. Lassen sich auf Grund der Art der Verar-beitung Maßnahmen nach Satz 1 nicht oder nur mit unverhältnismäßig hohem Aufwand durchfüh-ren, sind die Daten mit einem Sperrvermerk zu versehen.
(4) Ohne Einwilligung des Betroffenen dürfen ge-sperrte personenbezogene Daten nur genutzt oder übermittelt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behe-bung einer bestehenden Beweisnot, zu Auf-sichts- und Kontrollzwecken, zur Rechnungs-prüfung oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerlässlich ist und
2. die Daten hierfür übermittelt oder genutzt wer-den dürften, wenn sie nicht gesperrt wären.
Personenbezogene Daten, die unzulässig in Ak-ten gespeichert sind, dürfen ohne Einwilligung des Betroffenen nicht mehr genutzt oder übermit-telt werden.
(5) Von einer Sperrung unzulässig gespeicherter Daten sind die Empfänger der Daten nach Maß-gabe des § 22 Abs. 2 zu verständigen.
§ 25.- Schadensersatz
(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Geset-zes oder nach anderen Vorschriften über den Da-tenschutz unzulässige oder unrichtige Verarbei-tung seiner personenbezogenen Daten in oder aus Dateien einen Schaden zu, ist sie dem Betrof-fenen zum Ersatz des daraus entstehenden Schadens verpflichtet. Dies gilt nicht, wenn die öffentliche Stelle nachweist, dass der Umstand, durch den der Schaden eingetreten ist, nicht von ihr zu vertreten ist.
(2) Bei einer schweren Verletzung des Persön-lichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von 130 000 Euro begrenzt. Ist auf Grund desselben Ereignisses an mehrere Personen Schadenser-satz zu leisten, der insgesamt den Höchstbetrag von 130 000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei mehrere Stellen speiche-rungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige haften als Gesamt-schuldner.
(6) Hat bei der Entstehung des Schadens ein Ver-schulden des Betroffenen mitgewirkt, so gilt § 254 des Bürgerlichen Gesetzbuches entsprechend. Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Scha-den verantwortlich ist, bleiben unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
VIERTER ABSCHNITT
Landesbeauftragter für den Datenschutz
§ 26.- Bestellung und Rechtsstellung
(1) Die Landesregierung bestellt mit Zustimmung des Landtags einen Landesbeauftragten für den Datenschutz. Dieser muss die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst haben oder für eine andere Laufbahn des höhe-ren Dienstes befähigt sein. Der Landesbeauftrag-te für den Datenschutz ist Beamter auf Zeit und wird für die Dauer von acht Jahren berufen; ein-malige Wiederberufung ist zulässig.
(2) Der Landesbeauftragte für den Datenschutz ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen.
(3) Die Dienststelle des Landesbeauftragten für den Datenschutz wird beim Innenministerium ein-gerichtet. Der Landesbeauftragte trifft die Ent-scheidungen nach §§ 79 und 80 des Landesbe-amtengesetzes für sich und seine Mitarbeiter in eigener Verantwortung. Er untersteht der Dienst-aufsicht des Innenministeriums, soweit seine Un-abhängigkeit dadurch nicht beeinträchtigt wird.
(4) Dem Landesbeauftragten für den Datenschutz ist die für die Erfüllung seiner Aufgaben notwen-dige Personal- und Sachausstattung zur Verfü-gung zu stellen; sie ist im Einzelplan des Innen-ministeriums in einem eigenen Kapitel auszuwei-sen. Die Besetzung der Personalstellen erfolgt im Einvernehmen mit dem Landesbeauftragten für den Datenschutz. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einver-standen sind, nur im Einvernehmen mit ihm ver-setzt, abgeordnet oder umgesetzt werden.
(5) Ist der Landesbeauftragte für den Datenschutz an der Ausübung seines Amtes verhindert, nimmt der leitende Beamte der Dienststelle des Landes-beauftragten für den Datenschutz dessen Ge-schäfte wahr. Geht die Dauer der Verhinderung über drei Monate hinaus, kann die Landesregie-rung einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen; der Landesbeauftragte für den Datenschutz soll dazu gehört werden.
§ 27.- Anrufung des Landesbeauftragten für den Datenschutz
(1) Jeder kann sich an den Landesbeauftragten für den Datenschutz wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezoge-nen Daten durch eine öffentliche Stelle in seinen Rechten verletzt worden zu sein. Niemand darf benachteiligt oder gemaßregelt werden, weil er von seinem Recht nach Satz 1 Gebrauch ge-macht hat.
(2) Wendet sich ein Betroffener an den Landes-beauftragten für den Datenschutz, weil ihm nach § 21 Abs. 5 oder besonderen gesetzlichen Vor-schriften keine Auskunft erteilt worden ist, darf die Mitteilung des Landesbeauftragten für den Daten-schutz an den Betroffenen keine Rückschlüsse auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese oder die nach § 21 Abs. 7 zuständige Stelle nicht einer weitergehenden Auskunft zustimmt. Das Gleiche gilt, wenn ein Betroffener unmittelbar den Landesbeauftragten für den Datenschutz anruft und die für die Ertei-lung der Auskunft zuständige Stelle diesem unter Angabe von Gründen darlegt, dass sie bei einem Auskunftsersuchen eine Auskunft nach den in Satz 1 genannten Vorschriften verweigern würde.
§ 28.- Kontrolle durch den Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen die Einhal-tung der Vorschriften dieses Gesetzes und ande-rer Vorschriften über den Datenschutz.
(2) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich auch auf personenbe-zogene Daten, die einem Berufs- oder besonde-ren Amtsgeheimnis unterliegen. Für personenbe-zogene Daten in Dateien oder Akten über die Si-cherheitsüberprüfung gilt dies jedoch nur, wenn der Betroffene der Kontrolle der auf ihn bezoge-nen Daten nicht widersprochen hat. Die spei-chernde Stelle hat die Betroffenen im Einzelfall oder in allgemeiner Form auf das Widerspruchs-recht hinzuweisen. Der Widerspruch ist schriftlich gegenüber der speichernden Stelle oder dem Landesbeauftragten für den Datenschutz zu erklä-ren.
(3) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich nicht auf personenbe-zogene Daten, die der Kontrolle durch die Kom-mission nach § 2 des Ausführungsgesetzes zum Artikel 10-Gesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten für den Datenschutz, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.
(4) Stellt der Landesbeauftragte für den Daten-schutz bei seiner Kontrolle einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist er befugt, diesen bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen.
§ 29.- Pflicht zur Unterstützung
(1) Die öffentlichen Stellen sind verpflichtet, den Landesbeauftragten für den Datenschutz und sei-ne Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist im Rahmen der Kon-trollbefugnis nach § 28 insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die ge-speicherten Daten und die Datenverarbei-tungsprogramme, zu gewähren, die im Zu-sammenhang mit der Verarbeitung personen-bezogener Daten stehen,
2. jederzeit Zutritt zu den Diensträumen zu ge-währen.
(2) Für die in § 21 Abs. 4 Satz 1 genannten öffent-lichen Stellen besteht die Pflicht zur Unterstüt-zung nur gegenüber dem Landesbeauftragten für den Datenschutz selbst und den von ihm oder dem leitenden Beamten seiner Dienststelle schriftlich besonders Beauftragten. Absatz 1 Satz 2 findet für diese Stellen keine Anwendung, so-weit die jeweils zuständige oberste Landesbehör-de im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
§ 30.- Mitteilung des Ergebnisses der Kontrolle, Beanstandungen
(1) Der Landesbeauftragte für den Datenschutz teilt der verantwortlichen Stelle das Ergebnis sei-ner Kontrolle mit. Damit können Vorschläge zur Verbesserung des Datenschutzes verbunden werden, insbesondere zur Beseitigung von fest-gestellten Mängeln bei der Verarbeitung perso-nenbezogener Daten.
(2) Stellt der Landesbeauftragte für den Daten-schutz Verstöße gegen Vorschriften dieses Ge-setzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verar-beitung personenbezogener Daten fest, so bean-standet er dies
1. bei den öffentlichen Stellen des Landes ge-genüber der zuständigen obersten Landesbe-hörde,
2. bei den Gemeinden, Gemeindeverbänden und den sonstigen der Aufsicht des Landes unter-stehenden juristischen Personen des öffentli-chen Rechts sowie bei den in § 2 Abs. 2 ge-nannten Stellen gegenüber dem vertretungsbe-rechtigten Organ
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden angemessenen Frist auf. In den Fällen des Satzes 1 Nr. 2 unterrichtet der Landesbeauftragte für den Datenschutz gleichzei-tig die zuständige Aufsichtsbehörde.
(3) Der Landesbeauftragte für den Datenschutz kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle ver-zichten, insbesondere wenn es sich um unerheb-liche oder inzwischen beseitigte Mängel handelt.
(4) Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Be-anstandung des Landesbeauftragten für den Da-tenschutz getroffen worden oder beabsichtigt sind. Die in Absatz 2 Satz 1 Nr. 2 genannten Stel-len leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den Landesbe-auftragten für den Datenschutz zu.
§ 31.- Weitere Aufgaben des Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz erstattet dem Landtag zum 1. Dezember jedes zweiten Jahres einen Tätigkeitsbericht.
(2) Der Landesbeauftragte für den Datenschutz hat auf Anforderung des Landtags oder der Lan-desregierung Gutachten zu erstellen und beson-dere Berichte zu erstatten. Auf Ersuchen des Landtags, seiner Ausschüsse oder der Landesre-gierung geht der Landesbeauftragte für den Da-tenschutz Hinweisen auf Angelegenheiten nach, die den Datenschutz in dem seiner Kontrolle un-terliegenden Bereich betreffen. Er kann sich je-derzeit an den Landtag wenden.
(3) Der Landesbeauftragte für den Datenschutz kann der Landesregierung und einzelnen Ministe-rien sowie anderen öffentlichen Stellen Empfeh-lungen zur Verbesserung des Datenschutzes ge-ben und sie in Fragen des Datenschutzes bera-ten. Er ist bei der Ausarbeitung von Rechts- und Verwaltungsvorschriften zu beteiligen, wenn sie die Verarbeitung personenbezogener Daten be-treffen.
(4) Der Landesbeauftragte für den Datenschutz leistet den anderen Kontrollstellen in den Mit-gliedstaaten der Europäischen Union auf Ersu-chen ergänzende Hilfe (Amtshilfe).
§ 32.- Meldung an den Landesbeauftragten für den Datenschutz
(1) Die öffentlichen Stellen, die keinen Daten-schutzbeauftragten nach § 10 bestellt haben, melden dem Landesbeauftragten für den Daten-schutz den Einsatz und die wesentliche Verände-rung eines automatisierten Verfahrens. Ausge-nommen sind die in § 11 Abs. 3 und 4 Satz 2 ge-nannten Verfahren.
(2) Die meldepflichtigen Stellen haben spätestens gleichzeitig mit der ersten Einspeicherung die Angaben nach § 11 Abs. 2 mitzuteilen.
FÜNFTER ABSCHNITT
Besondere Bestimmungen
§ 33.- Verarbeitung besonderer Arten personenbezogener Daten
(1) Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerk-schaftszugehörigkeit, die Gesundheit oder das Sexualleben hervorgehen, dürfen nur verarbeitet werden, wenn
1. eine besondere Rechtsvorschrift dies vorsieht,
2. der Betroffene ausdrücklich eingewilligt hat,
3. die Verarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus rechtli-chen oder tatsächlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben, oder
4. dies zur Geltendmachung rechtlicher Ansprü-che vor Gericht einschließlich eines Vorverfah-rens erforderlich ist.
(2) Absatz 1 findet keine Anwendung auf die Ver-arbeitung von Daten über religiöse oder weltan-schauliche Überzeugungen nach § 17, von Daten für Zwecke der wissenschaftlichen Forschung nach §§ 19 und 35 und von Daten im Zusammen-hang mit Dienst- und Arbeitsverhältnissen nach § 36.
(3) Absatz 1 findet ferner keine Anwendung auf die Verarbeitung personenbezogener Daten
1. zur Gefahrenabwehr,
2. zur Verfolgung von Straftaten oder Ordnungs-widrigkeiten, zur Vollstreckung oder zum Voll-zug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes o-der zur Vollstreckung von Bußgeldentschei-dungen,
3. durch das Landesamt für Verfassungsschutz,
4. durch die Finanzverwaltung, soweit sie die Da-ten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung verarbeitet, und
5. bei einer Sicherheitsüberprüfung nach dem Landessicherheitsüberprüfungsgesetz.
§ 33a.- Datenverarbeitung in der gemeinsamen Dienststelle
Die örtlich zuständige Stelle darf personenbezo-gene Daten nur den in einer gemeinsamen Dienststelle nach § 13 a des Landesverwaltungs-gesetzes beschäftigten eigenen Bediensteten zur Verarbeitung für eigene Aufgaben überlassen. Durch technische und organisatorische Maßnah-men ist sicherzustellen, dass ein Zugriff auf die Daten nach Satz 1 durch Bedienstete anderer Behörden nicht möglich ist. Soweit dies zur Si-cherstellung einer sachgerechten Erledigung der eigenen Aufgaben erforderlich ist, darf die örtlich zuständige Stelle auch Bediensteten anderer Be-hörden, die in der gemeinsamen Dienststelle be-schäftigt sind, personenbezogene Daten zur Ver-arbeitung überlassen. Im Rahmen einer solchen Datenverarbeitung unterliegen die Bediensteten anderer Behörden den Weisungen der örtlich zu-ständigen Stelle. Hinsichtlich der Daten, die sie im Rahmen ihrer Tätigkeit für die fremde Behörde zur Kenntnis nehmen, haben sie das Datengeheimnis (§ 6) gegenüber ihrer eigenen Dienststelle zu wahren. Das Nähere ist durch gemeinsame inter-ne Dienstanweisungen zu regeln. Verantwortliche Stelle im Sinne des § 3 Abs. 3 bleibt die örtlich zuständige Stelle.
§ 34.- Zweckbindung bei der Verarbeitung personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet werden, für den sie sie erhalten hat. § 33 bleibt unberührt. In die Übermittlung an einen Dritten außerhalb des öffentlichen Bereichs muss die zur Verschwiegenheit verpflichtete Stel-le einwilligen.
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet werden, wenn
1. die Änderung des Zwecks durch besonderes Gesetz zugelassen ist oder
2. die Voraussetzungen vorliegen, die eine Nut-zung nach § 15 Abs. 1 bis 4 zulassen würden und die zur Verschwiegenheit verpflichtete Stelle eingewilligt hat.
§ 35.- Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
(1) Öffentliche Stellen mit der Aufgabe unabhän-giger wissenschaftlicher Forschung dürfen die zur Durchführung wissenschaftlicher Forschung er-forderlichen personenbezogenen Daten erheben. Ohne Kenntnis des Betroffenen dürfen die Daten nur erhoben werden, wenn der Zweck des For-schungsvorhabens auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte perso-nenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet werden.
(2) Die personenbezogenen Daten sind zu ano-nymisieren, sobald dies nach dem Forschungs-zweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zu-geordnet werden können. Sie dürfen mit den Ein-zelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur ver-öffentlichen, soweit
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergeb-nissen über Ereignisse der Zeitgeschichte un-erlässlich ist und überwiegende schutzwürdige Interessen des Betroffenen nicht entgegenste-hen.
(4) Bei der Meldung nach § 32 darf die Beschrei-bung der Zweckbestimmung der Verarbeitung, zu deren Erfüllung personenbezogene Daten verar-beitet werden, auf die Angabe “Forschungsvorha-ben” beschränkt werden.
§ 36.- Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
(1) Personenbezogene Daten von Beschäftigten dürfen nur verarbeitet werden, soweit dies zur Eingehung, Durchführung, Beendigung oder Ab-wicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher planeri-scher, organisatorischer, personeller, sozialer oder haushalts- und kostenrechnerischer Maß-nahmen, insbesondere zu Zwecken der Perso-nalplanung und des Personaleinsatzes, erforder-lich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung es vorsieht.
(2) Auf die Verarbeitung von Personalaktendaten von Angestellten und Arbeitern sowie Auszubil-denden in einem privatrechtlichen Ausbildungs-verhältnis finden die für Beamte geltenden Vor-schriften der §§ 113 bis 113 g des Landesbeam-tengesetzes entsprechende Anwendung, es sei denn, besondere Rechtsvorschriften oder tarifli-che Vereinbarungen gehen vor.
(3) Im Zusammenhang mit der Begründung eines Dienst- oder Arbeitsverhältnisses ist die Erhebung personenbezogener Daten eines Bewerbers bei dem bisherigen Dienstherrn oder Arbeitgeber nur zulässig, wenn der Betroffene eingewilligt hat. Satz 1 gilt entsprechend für die Übermittlung per-sonenbezogener Daten an künftige Dienstherrn oder Arbeitgeber. Steht fest, dass ein Dienst- oder Arbeitsverhältnis nicht zu Stande kommt, sind dem Betroffenen die von ihm vorgelegten Unter-lagen unverzüglich zurückzusenden und die zu ihm gespeicherten Daten spätestens nach Ablauf eines Jahres zu löschen, es sei denn, er hat in die weitere Verarbeitung eingewilligt oder diese ist wegen eines anhängigen Rechtsstreits erforder-lich.
§ 37.- Verarbeitung personenbezogener Daten durch den Südwestrundfunk
(1) Soweit der Südwestrundfunk personenbezo-gene Daten ausschließlich zu eigenen journalis-tisch-redaktionellen Zwecken verarbeitet, gelten von den Vorschriften dieses Gesetzes neben den Absätzen 2 und 3 und § 38 nur die §§ 6 und 9 sowie § 25 mit der Maßgabe, dass nur für Schä-den gehaftet wird, die durch eine Verletzung von § 6 oder § 9 eintreten, entsprechend. Für die Ver-arbeitung personenbezogener Daten zu anderen Zwecken gelten neben § 38 die Vorschriften die-ses Gesetzes entsprechend mit Ausnahme des Vierten Abschnitts. Für Hilfsunternehmen des Südwestrundfunks, die öffentliche Stellen im Sin-ne des § 2 sind, gelten für die Verarbeitung per-sonenbezogener Daten zu ausschließlich eigenen journalistisch-redaktionellen Zwecken Satz 1 so-wie zu anderen Zwecken die Vorschriften dieses Gesetzes entsprechend.
(2) Führt die journalistisch-redaktionelle Verarbei-tung personenbezogener Daten durch den Süd-westrundfunk zur Verbreitung einer Gegendarstel-lung des Betroffenen, so ist diese zu den gespei-cherten Daten zu nehmen und für dieselbe Zeit-dauer aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine Berichterstattung des Südwestrundfunks in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Aus-kunft kann verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil ge-schlossen werden kann. Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
§ 38.- Rundfunkbeauftragter für den Datenschutz
(1) Der Südwestrundfunk bestellt auf die Dauer von acht Jahren einen Rundfunkbeauftragten für den Datenschutz. Die Bestellung erfolgt durch den Intendanten mit Zustimmung des Verwal-tungsrats.
(2) Der Rundfunkbeauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen; im Übrigen untersteht er der Dienstaufsicht des In-tendanten.
(3) Jeder kann sich an den Rundfunkbeauftragten für den Datenschutz wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezoge-nen Daten durch den Südwestrundfunk in seinen Rechten verletzt worden zu sein.
(4) Für Beanstandungen gilt § 30 entsprechend mit der Maßgabe, dass Beanstandungen an den Intendanten unter gleichzeitiger Unterrichtung des Verwaltungsrats zu richten sind. Dem Verwal-tungsrat ist auch die zu der Beanstandung abge-gebene Stellungnahme des Intendanten zuzulei-ten.
(5) Der Rundfunkbeauftragte für den Datenschutz erstattet dem Verwaltungsrat und dem Intendan-ten alle zwei Jahre einen schriftlichen Bericht über seine Tätigkeit. Der Bericht wird veröffentlicht. Auf Beschluss des Verwaltungsrats oder auf Anord-nung des Intendanten erstattet er darüber hinaus besondere Berichte.
(6) Der Rundfunkbeauftragte für den Datenschutz ist auch nach Beendigung seiner Tätigkeit ver-pflichtet, über die ihm bei seiner dienstlichen Tä-tigkeit bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeu-tung nach keiner Geheimhaltung bedürfen. Er darf ohne Genehmigung des Intendanten über Ange-legenheiten im Sinne von Satz 1 weder vor Ge-richt noch außergerichtlich aussagen oder Erklä-rungen abgeben.
SECHSTER ABSCHNITT
Bestimmungen über die Datenverarbeitung nicht-öffentlicher Stellen
§ 39.- Tätigkeitsbericht
Das Innenministerium erstattet dem Landtag zum 1. Juli jeden zweiten Jahres einen Bericht über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich zuständigen Aufsichtsbehör-de. Der Bericht wird veröffentlicht.
SIEBTER ABSCHNITT
Übergangs- und Schlussvorschriften
§ 40.- Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer
1. unbefugt von diesem Gesetz geschützte per-sonenbezogene Daten, die nicht offenkundig sind,
a) speichert, nutzt, verändert, übermittelt oder löscht,
b) zum Abruf mittels automatisierten Verfah-rens bereithält oder
c) abruft oder sich oder einem anderen aus Dateien verschafft,
2. die Übermittlung von personenbezogenen Da-ten, die durch dieses Gesetz geschützt werden und nicht offenkundig sind, durch unrichtige Angaben erschleicht,
3. personenbezogene Daten ohne die nach § 18 Abs. 4 Satz 3 oder nach § 34 Abs. 2 Nr. 2 er-forderliche Einwilligung oder entgegen § 35 Abs. 1 für einen anderen Zweck nutzt,
4. entgegen § 35 Abs. 2 Satz 3 die in § 35 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzel-angaben zusammenführt oder
5. entgegen § 18 Abs. 5 eine vollziehbare Auflage nicht, nicht rechtzeitig oder nicht vollständig er-füllt.
(2) Die Ordnungswidrigkeit kann mit einer Geld-buße bis zu 25 000 Euro geahndet werden.
(3) Verwaltungsbehörden im Sinne von § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrig-keiten sind die Regierungspräsidien.
§ 41.- Straftaten
Wer eine der in § 40 Abs. 1 Nr. 1 bis 4 bezeichne-ten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Frei-heitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.
§ 42(2).- Übergangsvorschriften
(aufgehoben)
§ 43(3).- Änderung des Landesverwaltungsverfahrensge-setzes
(nicht abgedruckt)
§ 44(4).- Änderung des Vermessungsgesetzes
(nicht abgedruckt)
§ 45(5).- Änderung des Landeskatastrophenschutz- gesetzes
(nicht abgedruckt)
§ 46(6).– Änderung des Feuerwehrgesetzes
(nicht abgedruckt)
§ 47(7).- Änderung des Gesetzes zu dem Staatsvertrag über Bildschirmtext
(nicht abgedruckt)
§ 48(8).- Änderung des Meldegesetzes
(nicht abgedruckt)
§ 49(9).- Inkrafttreten
(nicht abgedruckt)
(1) Neubekanntmachung des LDSG vom 27. Mai 1991 (GBl. S. 277) in der ab 1. Sept. 2000 geltenden Fassung.
(2) bis
(9) Diese Vorschriften betreffen §§ 35 bis 42 in der ursprünglichen Fassung vom 27. Mai 1991.