Thüringer Datenschutzgesetz

  Inhaltsübersicht

  Erster Abschnitt

  Allgemeine Bestimmungen

            1          Zweck des Gesetzes            2          Anwendungsbereich

            3          Begriffsbestimmungen

            4          Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

            5          Rechte des Betroffenen

            6          Datengeheimnis

            7          Automatisiertes Abrufverfahren

            8          Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

            9          Technische und organisatorische Maßnahmen

            10        Anlagen- und Verfahrensverzeichnis

Zweiter Abschnitt

Schutzrechte

            11        Anrufung des Landesbeauftragten für den Datenschutz

            12        Einsicht in das Datenschutzregister

            13        Auskunft an den Betroffenen

            14        Berichtigungsanspruch

            15        Anspruch auf Sperrung

            16        Anspruch auf Löschung

            17        Benachrichtigung bei regelmäßigen Datenübermittlungen

            18        Anspruch auf Schadensersatz

Dritter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

            19        Datenerhebung

            20        Datenspeicherung, -veränderung und -nutzung

            21        Datenübermittlung innerhalb des öffentlichen Bereichs

            22        Datenübermittlung an Stellen außerhalb des öffent-lichen Bereichs

            23        Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes

            24        Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

            25        Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

Vierter Abschnitt

Besondere Bestimmungen

            26        Öffentliche Stellen, die am Wettbewerb teilnehmen

            27        Öffentlich-rechtliche Religionsgesellschaften

            28        Verarbeitung personenbezogener Daten durch den Rundfunk

            29        Beauftragter für den Datenschutz im Rundfunk

            30        Personenbezogene Daten aus ehemaligen Einrichtungen

            31        Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen

            32        Widerspruchsrecht

            33        Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

Fünfter Abschnitt

Überwachung des Datenschutzes bei

öffentlichen Stellen

            34        Sicherstellung des Datenschutzes

            35        Bestellung des Landesbeauftragten für den Datenschutz

            36        Rechtsstellung und Verschwiegenheitspflicht

            37        Kontrolle durch den Landesbeauftragten für den Datenschutz

            38        Pflicht zur Unterstützung

            39        Beanstandung durch den Landesbeauftragten für den Datenschutz

            40        Weitere Aufgaben des Landesbeauftragten für den Datenschutz

            41        Beirat beim Landesbeauftragten für den Datenschutz

Sechster Abschnitt

Aufsichtsbehörden für die Datenverarbeitung

nichtöffentlicher Stellen

            42        Aufsichtsbehörde

Siebter Abschnitt

Strafvorschrift, Schlußvorschriften

            43        Strafvorschrift

            44        Inkrafttreten, Übergangsbestimmungen

Der Thüringer Landtag hat das folgende Gesetz beschlossen:

Erster Abschnitt

Allgemeine Bestimmungen

1. Zweck des Gesetzes

Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen

personenbezogenen Daten durch öffentliche Stellen (§ 2 Abs. 1) in seinem Persönlich-keitsrecht

beeinträchtigt wird.

2. Anwendungsbereich

(1) Die Vorschriften dieses Gesetzes gelten für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen

des Landes, der Gemeinden und Gemeindeverbände und die sonstigen der Aufsicht des Landes

unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen

ungeachtet ihrer Rechtsform (öffentliche Stellen).

(2) Für personenbezogene Daten in automatisierten Dateien, die vorübergehend und ausschließlich

aus verarbeitungstechnischen Gründen erstellt und nach ihrer ordnungsgemäßen Nutzung

automatisch gelöscht oder zur Herstellung von Texten vorübergehend erstellt werden, gelten von

den Vorschriften dieses Gesetzes nur die 6, 9, 20 Abs. 4 sowie in Verbindung damit 34 Abs. 1 und

die 37 bis 40.

(3) Soweit besondere Rechtsvorschriften des Bundes oder des Landes auf personenbezogene Daten

anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung

gesetzlicher Geheimhaltungspflichten und von Berufs- oder besonderen Amtsgeheimnissen, die

nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei

der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

3. Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über per-sönliche oder sachliche Verhältnisse einer

bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Erheben ist das Beschaffen von Daten über den Betroffenen.

(3) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener

Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

1.         Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem

Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung;

2.         Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten;

3.         Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener

personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß

a)         die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder

b)         der Dritte von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten

einsieht oder abruft;

4.         Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere

Verarbeitung oder Nutzung einzuschränken;

5.         Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

(4) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung

handelt.

(5) Speichernde Stelle ist jede öffentliche Stelle, die Daten für sich selbst speichert oder durch

andere speichern läßt.

(6) Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der

Betroffene sowie diejenigen Personen oder Stellen, die im Geltungsbereich des Grundgesetzes

personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

(7) Eine Datei ist:

1.         eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten

Merkmalen ausgewertet werden kann (automatisierte Datei), oder

2.         jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach

bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-

automatisierte Datei).

Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte

Verfahren umgeordnet und ausgewertet werden können.

(8) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen

auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil

eines Vorgangs werden sollen.

(9) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über

persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen

Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person

zugeordnet werden können.

4. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten sind nur zulässig, wenn

dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der

Betroffene eingewilligt hat.

(2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und

einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung der

Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer

Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen

Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild

der Erklärung hervorzuheben.

(3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2

Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich

beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus

denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich

festzuhalten.

5. Rechte des Betroffenen

Der Betroffene hat nach Maßgabe dieses Gesetzes ein Recht auf:

1.         Anrufung des Landesbeauftragten für den Datenschutz (11),

2.         Einsicht in das beim Landesbeauftragten für den Datenschutz geführte Datenschutzregister (12),

3.         Auskunft über die zu seiner Person gespeicherten Daten (13),

4.         Berichtigung, Sperrung und Löschung der zu seiner Person gespeicherten Daten (14 bis 16),

5.         Benachrichtigung bei regelmäßigen Datenübermittlungen (17),

6.         Schadensersatz (18).

Diese Rechte können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

6. Datengeheimnis

Den bei öffentlichen Stellen beschäftigten Personen ist untersagt, personenbezogene Daten

unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht

auch nach Beendigung ihrer Tätigkeit fort.

7. Automatisiertes Abrufverfahren

(1) Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten durch Abruf

ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der

schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen

ist. Soll ein solches Verfahren die Übermittlung personenbezogener Daten ermöglichen, die einem

besonderen Berufs- oder Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit

verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden

sind, so darf es nur eingerichtet werden, soweit dies eine Rechtsvorschrift zuläßt.

(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens

kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1.         Anlaß und Zweck des Abrufverfahrens,

2.         Datenempfänger,

3.         Art der abzurufenden Daten,

4.         nach 9 erforderliche technische und organisatorische Maßnahmen.

Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer

Aufsicht unterliegenden Stellen des Landes getroffen werden.

(3) Über die Einrichtung eines Abrufverfahrens ist vorher der Landesbeauftragte für den

Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung eines

Abrufverfahrens, an dem die in 13 Abs. 4 genannten Stellen beteiligt sind, bedarf der Zustimmung

des für die speichernde und die abrufende Stelle jeweils zuständigen Ministers oder seines

Vertreters.

(4) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung

geltenden Vorschriften. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der

Empfänger. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlaß besteht.

Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten

zumindestens durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird

ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so

bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des

Abrufes oder der Übermittlung des Gesamtbestandes.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder

nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffent-lichung zulässig wäre.

8. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag öffentlicher Stellen durch andere Personen oder

Stellen erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der

Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in

den 13 bis 18 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der

von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen

und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der

Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegenden

Stellen des Landes erteilt werden; diese sind von der Auftragserteilung zu unterrichten.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben,

verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses

Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber

unverzüglich darauf hinzuweisen.

(4) Ist der Auftragnehmer eine öffentliche Stelle, gelten für ihn nur die 6, 9, 10, 34, 37 bis 40 und

43.

(5) Soweit juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten

Rechts, bei denen dem Land oder einer der Aufsicht des Landes unterstehenden Körperschaft, An-

stalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der

Stimmen zusteht, für eine öffentliche Stelle Daten im Auftrag zu ver-arbeiten, gelten die 10, 34

und 37 bis 40 entsprechend.

(6) Sind auf den Auftragnehmer die Vorschriften dieses Gesetzes nicht anwendbar, ist der

Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen

dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz

entsprechend der 37 bis 40 unterwirft. Der Auftraggeber hat den Landesbeauftragten für den

Datenschutz über die Beauftragung zu unterrichten.

9. Technische und organisatorische Maßnahmen

(1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die

technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung

der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr

Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind zur Ausführung der

Vorschriften dieses Gesetzes Maß-nahmen zu treffen, die je nach der Art der zu schützenden per-

sonenbezogenen Daten geeignet sind:

1.         Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten

verarbeitet werden, zu verwehren (Zugangskontrolle);

2.         zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden

können (Datenträgerkontrolle);

3.         die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder

Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

4.         zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur

Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

5.         zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten

ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können

(Zugriffskontrolle);

6.         zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen

personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden

können (Übermittlungskontrolle);

7.         zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche

personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben

worden sind (Eingabekontrolle);

8.         zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur

entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);

9.         zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von

Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden

können (Transportkontrolle);

10.       die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den

besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten in nichtautomatisierten Dateien oder in Akten verarbeitet,

sind insbesondere Maßnahmen zu treffen, die verhindern, daß Unbefugte bei der Bearbeitung, der

Aufbewahrung, dem Transport und der Vernichtung auf die Daten zugreifen können.

10. Anlagen- und Verfahrensverzeichnis

(1) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen und

automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden. Das Ver-

zeichnis kann auch bei einer datenver-arbeitenden Stelle für andere Stellen geführt werden.

(2) In dem Verzeichnis ist für jedes automatisierte Verfahren schriftlich festzulegen:

1.         die Bezeichnung des Verfahrens;

2.         die Aufgabe, zu deren Erfüllung personenbezogene Daten verarbeitet werden und die

Rechtsgrundlage der Verarbeitung;

3.         die Art der gespeicherten Daten;

4.         der Kreis der Betroffenen;

5.         die Art der regelmäßig zu übermittelnden Daten und deren Empfänger;

6.         die Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung;

7.         die verarbeitungsberechtigten Personen oder Personengruppen. Die Gerichte und der Landtag

führen Verzeichnisse nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(3) Absatz 1 gilt nicht für automatisierte Verfahren, die nur vorübergehend eingesetzt werden und

bei denen die gespeicherten Daten innerhalb von drei Monaten nach der Speicherung gelöscht

werden.

Zweiter Abschnitt

Schutzrechte

11. Anrufung des Landesbeauftragten für den Datenschutz

(1) Jedermann kann sich – unbeschadet des allgemeinen Petitionsrechts oder anderer Rechte – an

den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, daß bei der Erhebung,

Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen seine

schutzwürdigen Belange beeinträchtigt werden. Für die Erhebung, Verarbeitung oder Nutzung von

personenbezogenen Daten durch Gerichte und den Landtag gilt dies nur, soweit sie in

Verwaltungsangelegenheiten tätig werden.

(2) Niemand darf benachteiligt oder gemaßregelt werden, weil er von seinem Recht nach Absatz 1

Gebrauch gemacht hat.

(3) Wendet sich ein Betroffener an den Landesbeauftragten für den Datenschutz, weil ihm nach 13

Abs. 5 oder besonderen gesetzlichen Vorschriften keine Auskunft erteilt worden ist, darf die

Mitteilung des Landesbeauftragten an den Betroffenen keine Rückschlüsse auf den Erkenntnisstand

der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. Das

gleiche gilt, wenn ein Betroffener unmittelbar den Landesbeauftragten anruft und die für die

Erteilung der Auskunft zuständige Stelle diesem unter Angabe von Gründen darlegt, daß sie bei

einem Auskunftsersuchen eine Auskunft nach den in Satz 1 genannten Vorschriften verweigern

würde.

12. Einsicht in das Datenschutzregister

(1) Jedermann kann in das vom Landesbeauftragten für den Datenschutz geführte

Datenschutzregister Einsicht nehmen. Für die Einsichtnahme werden Kosten nicht erhoben.

(2) Das Datenschutzregister enthält die Angabe der öffentlichen Stellen, die personenbezogene

Daten in automatisierten Verfahren verarbeiten, eine Darstellung des Dateiinhalts und die Angabe

der Stellen, denen Daten regelmäßig übermittelt werden.

(3) Wer ein berechtigtes Interesse glaubhaft macht, kann sich Auszüge aus dem Datenschutzregister

anfertigen lassen.

(4) Das Nähere zur Ausführung der Absätze 1 bis 3, insbesondere Inhalt und Aufbau des Registers, die

Art und Weise der Registerführung sowie die Form der Auskunftserteilung regelt die Landes-

regierung durch Rechtsverordnung. Dabei können aus Gründen des Gemeinwohls der Inhalt des

Datenschutzregisters und der Anspruch auf Einsicht beschränkt werden, insbesondere hinsichtlich

solcher Stellen, gegenüber denen nach 13 Abs. 5 kein Auskunftsanspruch besteht.

13. Auskunft an den Betroffenen

(1) Die speichernde Stelle hat dem Betroffenen auf Antrag Auskunft zu erteilen über:

1.         die zu seiner Person gespeicherten Daten,

2.         den Zweck und die Rechtsgrundlage der Speicherung sowie

3.         die Herkunft der Daten und deren Empfänger, soweit diese Angaben gespeichert sind.

Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder

der Datenschutzkontrolle gespeichert sind.

(2) Für die Auskunft werden Kosten nicht erhoben.

(3) In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll,

näher bezeichnet werden. Sind die personenbezogenen Daten nur in Akten gespeichert, wird die

Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten

ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis

zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die speichernde Stelle

bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßen

Ermessen; dabei dürfen berechtigte Interessen Dritter nicht beeinträchtigt werden.

(4) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden

der Staatsanwaltschaften, Polizeibehörden, an Verfassungsschutzbehörden, den

Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes

berührt wird, andere Behörden des Bundesministers der Verteidigung, so ist sie nur mit Zustim-

mung dieser Stellen zulässig.

(5) Die Auskunftserteilung unterbleibt, soweit:

1.         die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der speichernden Stelle

liegenden Aufgaben gefährden würde,

2.         die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des

Bundes oder eines Landes Nachteile bereiten würde,

3.         die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift

oder ihrem Wesen nach, namentlich wegen den überwiegenden berechtigten Interessen eines

Dritten, geheimgehalten werden müssen,

4.         die personenbezogenen Daten zur Entscheidung in Gnadensachen oder zur Entscheidung über

die Verleihung von staatlichen Orden oder Ehrenzeichen gespeichert sind

und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.

(6) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die

Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der

mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist der Betroffene

darauf hinzuweisen, daß er sich an den Landesbeauftragten für den Datenschutz wenden kann.

(7) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem

Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht das zuständige

Landesministerium im Einzelfall feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes

gefährdet würde.

14. Berichtigungsanspruch

Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezogenen

Daten in Akten festgestellt, daß sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen

bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.

15. Anspruch auf Sperrung

(1) Personenbezogene Daten in Dateien sind zu sperren, wenn:

1.         ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die

Unrichtigkeit feststellen läßt oder

2.         eine Löschung aus den in 16 Abs. 4 genannten Gründen unterblieben ist.

(2) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall

feststellt, daß ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden

und die Daten für die Aufgabenerfüllung der Behörden nicht mehr erforderlich sind.

(3) Ohne Einwilligung des Betroffenen dürfen gesperrte personenbezogene Daten nur übermittelt

oder genutzt werden, wenn:

1.         es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot, zu Aufsichts- und

Kontrollzwecken, zur Rechnungsprüfung oder aus sonstigen im überwiegenden Interesse der

speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist und

2.         die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.

Personenbezogene Daten, die unzulässig in Akten gespeichert sind oder deren Löschung aus der

Datei nur gemäß 16 Abs. 4 unterblieben ist, dürfen ohne Einwilligung des Betroffenen nicht mehr

übermittelt oder genutzt werden.

16. Anspruch auf Löschung

(1) Personenbezogene Daten in Dateien sind zu löschen, wenn:

1.         ihre Speicherung unzulässig ist oder

2.         ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.

(2) Personenbezogene Daten in Akten sind zu löschen, wenn die speichernde Stelle im Einzelfall

feststellt, daß die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist.

(3) Vor einer Löschung sind die Daten dem zuständigen Archiv zur Übernahme anzubieten. Das

Nähere wird durch Rechts-vorschriften über öffentliche Archive geregelt.

(4) Die Löschung unterbleibt, wenn:

1.         Grund zu der Annahme besteht, daß durch sie schutzwürdige Interessen des Betroffenen

beeinträchtigt würden,

2.         eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig

hohem Aufwand möglich ist, oder

3.         einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen

entgegenstehen.

17. Benachrichtigung bei regelmäßigen Datenübermittlungen

Von einer Berichtigung unrichtiger Daten (14), der Sperrung bestrittener Daten (15 Abs. 1 Nr. 1)

sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung (16 Abs. 1 Nr. 1; 15 Abs.

1 Nr. 2 in Verbindung mit 16 Abs. 4 und Abs. 1 Nr. 1) sind die Stellen zu verständigen, denen im

Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben

wurden, wenn dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist.

18. Anspruch auf Schadensersatz

(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes

oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte

Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen

unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der

nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von

250.000 DM begrenzt.

(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der

Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.

(5) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die 254 und 852 des

Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift

haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.

(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Dritter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

19. Datenerhebung

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der

Aufgaben der erhebenden Stellen erforderlich ist.

(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie

nur erhoben werden, wenn:

1.         eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder

2.         die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder

Stellen erforderlich macht oder

3.         die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde.

In den Fällen der Nummern 2 und 3 ist eine Erhebung bei Dritten nur zulässig, wenn keine

Anhaltspunkte dafür vorliegen, daß überwiegende schutzwürdige Interessen des Betroffenen

beeinträchtigt werden.

(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der

Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen aufgrund einer Rechts-

vorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung

für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit

seiner Angaben hinzuweisen. Auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der

Verweigerung von Angaben aufzuklären.

(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nichtöffentlichen Stelle

erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die

Freiwilligkeit ihrer Angaben hinzuweisen.

20. Datenspeicherung, -veränderung und -nutzung

(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur

Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgabe erforderlich ist und es

für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen,

dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden

sind.

(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn:

1.         eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt;

2.         der Betroffene eingewilligt hat;

3.         offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme

besteht, daß er in Kenntnis der anderen Zwecke seine Einwilligung verweigern würde;

4.         Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren

Unrichtigkeit bestehen;

5.         die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde

Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an

dem Ausschluß der Zweckänderung überwiegt;

6.         es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar

drohenden Gefahr für die öffentliche Sicherheit erforderlich ist;

7.         es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug

von Strafen oder Maßnahmen im Sinne des 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von

Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur

Vollstreckung von Bußgeldentscheidungen erforderlich ist;

8.         es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person

erforderlich ist oder

9.         es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse

an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß

der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht

oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung

von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisati-

onsuntersuchungen, der Prüfung und Wartung von automatisierten Verfahren der

Datenverarbeitung oder der Erstellung von Geschäftsstatistiken für die speichernde Stelle dient.

Dies gilt auch für die Verarbeitung und Nutzung zu Ausbildungs- und Prüfungszwecken durch die

speichernde Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen

entgegenstehen.

(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der

Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbei-

tungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

21. Datenübermittlung innerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn:

1.         sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Empfängers

liegenden Aufgaben erforderlich ist und

2.         die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt

die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Falle

prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des

Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung

besteht. 7 Abs. 4 bleibt unberührt.

(3) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu

dessen Erfüllung sie ihm übermittelt worden sind. Eine Verarbeitung oder Nutzung für andere

Zwecke ist nur unter den Voraussetzungen des 20 Abs. 2 zulässig.

(4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere

personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, daß eine

Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch

dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an

deren Geheimhaltung überwiegen; eine Nutzung dieser Daten ist unzulässig.

22. Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn:

1.         sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben

erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden,

oder

2.         der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten

glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der

Übermittlung hat.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den

Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er

davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der

personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen

nicht geboten erscheint oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder

sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.

(4) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu

dessen Erfüllung sie ihm übermittelt worden sind. Die übermittelnde Stelle hat den Empfänger

darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine

Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.

23. Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes

(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs des

Grundgesetzes sowie an über- und zwischenstaatliche Stellen ist zulässig, soweit sie in einer

Rechtsvorschrift oder einem Rechtsakt der Europäischen Gemeinschaften geregelt ist. Im übrigen

ist die Übermittlung unter den Voraussetzungen des 22 Abs. 1 zulässig, soweit keine Anhaltspunkte

dafür vorliegen, daß ihr überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen;

22 Abs. 3 gilt entsprechend.

(2) Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen den

Zweck eines deutschen Gesetzes verstoßen würde.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck

verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.

24. Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und

die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder

Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den

Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat.

(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die

Änderung des Zwecks durch ein besonderes Gesetz zugelassen ist.

25. Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene

Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.

(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der

wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten

nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3

einzuhalten.

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck

möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer

bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den

Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur

veröffentlichen, soweit:

1.         der Betroffene eingewilligt hat oder

2.         dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte

unerläßlich ist.

Vierter Abschnitt

Besondere Bestimmungen

26. Öffentliche Stellen, die am Wettbewerb teilnehmen

Soweit öffentliche Stellen am Wettbewerb teilnehmen, sind auf sie, auf ihre Zusammenschlüsse und

Verbände von den Vorschriften dieses Gesetzes nur der Fünfte Abschnitt – ausgenommen 34 Abs. 2

– anzuwenden. Im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes mit

Ausnahme des Zweiten Abschnitts und des 38.

27. Öffentlich-rechtliche Religionsgesellschaften

Personenbezogene Daten dürfen in entsprechender Anwendung des 21 von der speichernden

Stelle an Stellen der öffentlich-rechtlichen Religionsgesellschaften übermittelt werden, wenn

sichergestellt ist, daß beim Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.

28. Verarbeitung personenbezogener Daten durch den Rundfunk

(1) Soweit eine öffentlich-rechtliche Rundfunkanstalt des Landes personenbezogene Daten

ausschließlich zu eigenen journalistisch-redaktionellen Zwecken erhebt, verarbeitet oder nutzt,

gelten von den Vorschriften dieses Gesetzes nur die 6 und 9. Für die Verarbeitung

personenbezogener Daten zu anderen Zwecken gelten neben 29 die Vorschriften dieses Gesetzes

entsprechend mit Ausnahme des Fünften Abschnitts.

(2) Führt die journalistisch-redaktionelle Verarbeitung oder Nutzung personenbezogener Daten

durch die Rundfunkanstalt zur Verbreitung einer Gegendarstellung des Betroffenen, so ist diese zu

den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten

selbst.

(3) Wird jemand durch eine Berichterstattung der Rundfunkanstalt in seinem Persönlichkeitsrecht

beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner

Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten

auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und

Mitteilungen für den redaktionellen Teil geschlossen werden kann. Der Betroffene kann die

Berichtigung unrichtiger Daten verlangen.

29. Beauftragter für den Datenschutz im Rundfunk

(1) Der Intendant der Rundfunkanstalt beruft mit Zustimmung des Verwaltungsrates einen

Beauftragten für den Datenschutz im Rundfunk.

(2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes

sowie anderer Vorschriften über den Datenschutz. Er ist in Erfüllung seiner Aufgaben nach diesem

Gesetz an Weisungen nicht gebunden; im übrigen untersteht er der Dienstaufsicht des Intendanten.

(3) Jedermann kann sich entsprechend 11 Abs. 1 Satz 1 an den Beauftragten für den Datenschutz

wenden.

(4) Bei Beanstandungen verständigt der Beauftragte für den Datenschutz den Intendanten und den

Verwaltungsrat. Er erstattet den Organen des Rundfunks alle zwei Jahre einen Bericht über seine

Tätigkeit; diesen übermittelt er auch dem Landesbeauftragten für den Datenschutz.

(5) Der Beauftragte für den Datenschutz hat, auch nach seinem Ausscheiden, über die ihm bei seiner

Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für

Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

30. Personenbezogene Daten aus ehemaligen Einrichtungen

(1) Personenbezogene Daten aus ehemaligen Einrichtungen, die vor dem 3. Oktober 1990 nach ihrer

Zweckbestimmung überwiegend für Verwaltungsaufgaben gespeichert waren, die nach dem

Grundgesetz von Ländern, Gemeinden, Gemeindeverbänden oder sonstigen Trägern öffentlicher

Verwaltung wahrzunehmen sind, stehen demjenigen Träger öffentlicher Verwaltung zu, der nach

dem Grundgesetz für die Verwaltungsaufgabe zuständig ist. Dieser bestimmt die verantwortliche

speichernde Stelle. In Zweifelsfällen wird die speichernde Stelle durch die Landesregierung

bestimmt.

(2) Ehemalige Einrichtungen im Sinne des Absatzes 1 sind ehemalige staatliche oder

wirtschaftsleitende Organe, Kombinate, Betriebe oder Einrichtungen sowie gesellschaftliche Organi-

sationen der Deutschen Demokratischen Republik.

31. Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen

(1) Abweichend von 20 Abs. 1 ist das Speichern, Verändern oder Nutzen personenbezogener Daten

aus ehemaligen Einrichtungen durch die in 30 Abs. 1 Satz 3 genannten speichernden Stellen

zulässig, soweit:

1.         die Kenntnis der Daten zur rechtmäßigen Erfüllung einer in der Zuständigkeit dieser Stellen

liegenden Aufgabe erforderlich ist,

2.         die erneute Erhebung dieser Daten einen unverhältnismäßig hohen Aufwand darstellt,

3.         der Betroffene der Verarbeitung oder Nutzung nicht nach 32 widersprochen hat und

4.         die Zuständigkeit und Verantwortlichkeit der speichernden Stellen eindeutig bestimmt ist.

Satz 1 gilt nicht für eine Verwendung der Daten zum Nachteil des Betroffenen, wenn anzunehmen

ist, daß sie unter Verstoß gegen die Menschenwürde erhoben worden sind.

(2) Personenbezogene Daten, deren Verarbeitung und Nutzung nach Absatz 1 zulässig ist, gelten als

für den nach Absatz 1 Nr. 1 bestimmten Zweck erstmalig eingespeichert.

32. Widerspruchsrecht

(1) Der Betroffene kann der Verarbeitung und Nutzung seiner personenbezogenen Daten

widersprechen, wenn die Daten ohne seine Mitwirkung durch eine ehemalige Einrichtung erhoben

oder gespeichert wurden und die Daten nach geltendem Recht nicht ohne seine Mitwirkung

erhoben werden dürfen oder wenn anzunehmen ist, daß sie unter Verstoß gegen die

Menschenwürde erhoben worden sind.

(2) Der Betroffene ist in geeigneter Weise über:

1.         die Herkunft solcher Daten,

2.         die Art der ursprünglichen Verwendung,

3.         die Art und den Umfang der beabsichtigten Verarbeitung oder Nutzung,

4.         die nunmehr zuständige speichernde Stelle und

5.         die bestehende Widerspruchsmöglichkeit

zu unterrichten. Die Unterrichtung kann auch in allgemeiner Form erfolgen, soweit eine

Einzelunterrichtung wegen des damit verbundenen unverhältnismäßigen Aufwands nicht geboten

erscheint und schutzwürdige Belange der Betroffenen nicht überwiegen.

33. Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

Ist die Verarbeitung oder Nutzung personenbezogener Daten aus ehemaligen Einrichtungen nach

31 Abs. 1 nicht zulässig, sind diese Daten abweichend von 16 bis zum Inkrafttreten eines Gesetzes

über öffentliche Archive zu sperren.

Fünfter Abschnitt

Überwachung des Datenschutzes bei öffentlichen Stellen

34. Sicherstellung des Datenschutzes

(1) Die Landesministerien, die Gemeinden und Gemeinde-verbände sowie die sonstigen der Aufsicht

des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen

haben für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den

Datenschutz sicherzustellen.

(2) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten

verarbeitet werden, bedarf hinsichtlich der Datenarten und der regelmäßigen Daten-übermittlung

der vorherigen schriftlichen Freigabe durch die Stelle, die nach Absatz 1 den Datenschutz

sicherzustellen hat. Entsprechendes gilt für wesentliche Änderungen der Verfahren.

(3) Sollen in einem Verfahren personenbezogene Daten aus verschiedenen Verwaltungszweigen

verarbeitet werden, dann bedarf es der Zustimmung der beteiligten Stellen, die den Datenschutz

sicherzustellen haben.

35. Bestellung des Landesbeauftragten für den Datenschutz

(1) Der Landtag wählt auf Vorschlag der Landesregierung den Landesbeauftragten für den

Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Gewählte ist von

der Landesregierung zu ernennen.

(2) Die Amtszeit des Landesbeauftragten für den Datenschutz beträgt sechs Jahre. Einmalige

Wiederwahl ist zulässig.

(3) Der Präsident des Landtags verpflichtet den Landesbeauf-tragten für den Datenschutz vor dem

Landtag, sein Amt gerecht und unparteiisch zu führen, das Grundgesetz und die Verfassung des

Landes sowie die Gesetze zu wahren und zu verteidigen.

(4) Auf Vorschlag des Landesbeauftragten für den Datenschutz ernennt die Landesregierung einen

Vertreter im Amt. Dieser soll die Befähigung zum Richteramt haben.

(5) Dienstsitz des Landesbeauftragten für den Datenschutz ist Erfurt.

(6) Die Landesregierung entläßt den Landesbeauftragten für den Datenschutz, wenn dieser es

verlangt oder auf Vorschlag des Präsidenten des Landtags, wenn Gründe vorliegen, die bei einem

Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des

Amtsverhältnisses erhält der Landesbeauftragte eine vom Ministerpräsidenten vollzogene Urkunde.

Eine Entlassung wird mit der Aushändigung der Urkunde wirksam.

(7) Der Landesbeauftragte für den Datenschutz erhält Amtsbezüge nach der Besoldungsgruppe B 6.

36. Rechtsstellung und Verschwiegenheitspflicht

(1) Der Landesbeauftragte für den Datenschutz ist in der Ausübung seines Amtes unabhängig und

nur dem Gesetz unterworfen. Er steht zum Land nach Maßgabe dieses Gesetzes in einem öffentlich-

rechtlichen Amtsverhältnis. Der Präsident des Landtags führt die Dienstaufsicht.

(2) Der Landesbeauftragte für den Datenschutz darf neben seinem Amt kein anderes besoldetes

Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder

Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer

gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt

außergerichtliche Gutachten abgeben.

(3) Der Landesbeauftragte für den Datenschutz ist, auch nach Beendigung seines Amtsverhältnisses,

verpflichtet, über die ihm bei seiner amtlichen Tätigkeit bekannt gewordenen Angelegenheiten

Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über

Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(4) Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne von 96

Strafprozeßordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und seine

Mitarbeiter in eigener Verantwortung. Der Nachfolger im Amt entscheidet über die

Aussagegenehmigung seiner Vorgänger.

(5) Dem Landesbeauftragten für den Datenschutz ist die für die Erfüllung seiner Aufgaben

notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Landta-

gs in einem eigenen Kapitel auszuweisen. Für bestimmte Einzelfragen kann der Landesbeauftragte

für den Datenschutz auch Dritte zur Mitarbeit heranziehen.

(6) Die Besetzung der Personalstellen erfolgt auf Vorschlag des Landesbeauftragten für den

Datenschutz. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden

sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden; er ist ihr

Dienstvorgesetzter, sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen

gebunden.

37. Kontrolle durch den Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei allen öffentlichen Stellen die

Einhaltung der Vorschriften dieses Gesetzes und anderer Rechtsvorschriften über den Datenschutz.

(2) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich auch auf

personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. Für

personenbezogene Daten, die dem Arztgeheimnis unterliegen und personenbezogene Daten in

Personalakten oder Akten über die Sicherheitsüberprüfung gilt dies jedoch nur, wenn der

Betroffene der Kontrolle der auf ihn bezogenen Daten nicht widersprochen hat. Unbeschadet des

Kontrollrechts des Landesbeauftragten unterrichtet die speichernde Stelle die Betroffenen in

allgemeiner Form über das ihnen zustehende Widerspruchsrecht. Der Widerspruch ist schriftlich

gegenüber der speichernden Stelle zu erklären.

(3) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich nicht auf

personenbezogene Daten, die der Kontrolle durch die Kommission nach 3 des Gesetzes zur

Ausführung des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht

den Landesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten

Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu

berichten.

(4) Die Gerichte und der Landtag unterliegen der Kontrolle des Landesbeauftragten für den

Datenschutz nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

38. Pflicht zur Unterstützung

(1) Der Landesbeauftragte für den Datenschutz und seine Beauftragten sind von allen öffentlichen

Stellen in der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist im Rahmen der Kontrollbefugnis

nach 37 insbesondere:

1.         Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die

gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im

Zusammenhang mit der Kontrolle nach 37 stehen,

2.         jederzeit Zutritt in alle Diensträume zu gewähren.

(2) Für die in 13 Abs. 4 genannten öffentlichen Stellen gilt Absatz 1 nur gegenüber dem

Landesbeauftragten selbst und den von ihm schriftlich besonders damit Beauftragten. Absatz 1 Satz

2 findet für diese Stellen keine Anwendung, soweit das zuständige Landesministerium im Einzelfall

feststellt, daß die Auskunft oder Einsicht in Unterlagen und Akten die Sicherheit des Bundes oder

eines Landes gefährden würde.

39.Beanstandung durch den Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz beanstandet festgestellte Verletzungen von

Vorschriften über den Daten-schutz oder sonstige Mängel bei der Verarbeitung oder Nutzung

personenbezogener Daten und fordert ihre Behebung in angemessener Frist. Die für die

Sicherstellung des Datenschutzes nach 34 verantwortliche Stelle und die Aufsichtsbehörde sind

davon zu verständigen.

(2) Wird die Beanstandung nicht behoben, so fordert der Landesbeauftragte von der für die

Sicherstellung des Datenschutzes nach 34 verantwortlichen Stelle und der Aufsichtsbehörde

binnen angemessener Frist geeignete Maßnahmen. Hat das nach Ablauf dieser Frist keinen Erfolg,

verständigt der Landesbeauftragte den Landtag und die Landesregierung.

(3) Der Landesbeauftragte kann von einer Beanstandung absehen, insbesondere wenn es sich um

unerhebliche oder inzwischen beseitigte Mängel handelt.

40.Weitere Aufgaben des Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz erstattet dem Landtag und der Landesregierung

mindestens alle zwei Jahre einen Bericht über seine Tätigkeit. Er gibt dabei auch einen Überblick

über die technischen und organisatorischen Maßnahmen nach  9 und regt Verbesserungen des

Datenschutzes an.

(2) Der Ministerpräsident führt eine Stellungnahme der Landesregierung zu dem Bericht des

Landesbeauftragten für den Datenschutz herbei und legt diese innerhalb von drei Monaten dem

Landtag vor.

(3) Der Landesbeauftragte für den Datenschutz unterstützt im Rahmen seiner Beratungsaufgabe den

Landtag bei seinen Entscheidungen. Auf Anforderung des Landtags oder der Landesregierung hat

der Landesbeauftragte für den Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Der

Landtag oder die Landesregierung können den Landesbeauftragten ersuchen, bestimmte Vorgänge

aus seinem Aufgabenbereich zu überprüfen.

(4) Der Bericht nach Absatz 1 ist im Beirat beim Landesbeauftragten für den Datenschutz

vorzuberaten.

(5) Der Landesbeauftragte für den Datenschutz beobachtet die Entwicklung und Nutzung der

Informations- und Kommunikationstechnik, insbesondere der automatisierten Datenverarbeitung

und ihre Auswirkungen auf die Arbeitsweise und die Entscheidungsbefugnisse der öffentlichen

Stellen. Er hat insbesondere darauf zu achten, ob sie zu einer Verschiebung der Gewaltenteilung

zwischen den Verfassungsorganen des Landes, zwischen den Organen der kommunalen Selbst-

verwaltung und zwischen der staatlichen und der kommunalen Selbstverwaltung führen. Er soll

Maßnahmen anregen, die ihm geeignet erscheinen, derartige Auswirkungen zu verhindern.

(6) Der Landesbeauftragte für den Datenschutz kann sich jederzeit an den Landtag wenden.

(7) Der Landesbeauftragte für den Datenschutz führt das Datenschutzregister nach 12.

41. Beirat beim Landesbeauftragten für den Datenschutz

(1) Beim Landesbeauftragten für den Datenschutz wird ein Beirat gebildet. Er besteht aus neun

Mitgliedern. Es bestellen sechs Mitglieder der Landtag, ein Mitglied die Landesregierung, ein

Mitglied die kommunalen Spitzenverbände, ein Mitglied das Ministerium für Soziales und Gesundheit

aus dem Bereich der gesetzlichen Sozialversicherungsträger. Für jedes Beiratsmitglied wird zugleich

ein Stellvertreter bestellt.

(2) Die Mitglieder des Beirats werden für vier Jahre, die Mitglieder des Landtags für die Wahldauer

des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.

(3) Der Beirat unterstützt den Landesbeauftragten für den Datenschutz in seiner Arbeit. Die

Unabhängigkeit des Landesbeauftragten für den Datenschutz nach 36 Abs. 1 und die Berichts-

pflicht gegenüber dem Landtag werden dadurch nicht berührt.

(4) Der Beirat gibt sich eine Geschäftsordnung. Er tritt auf Antrag jedes seiner Mitglieder oder des

Landesbeauftragten für den Datenschutz zusammen. Den Vorsitz führt ein Mitglied des Landtags.

(5) Der Landesbeauftragte für den Datenschutz nimmt an allen Sitzungen teil. Er verständigt den

Beirat von Maßnahmen nach 39 Abs. 1. Vor Maßnahmen nach 39 Abs. 2 kann dem Beirat Gele-

genheit zur Stellungnahme gegeben werden.

(6) Die Mitglieder des Beirats haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit

bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen,

die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

Sechster Abschnitt

Aufsichtsbehörden für die Datenverarbeitung nichtöffentlicher Stellen

42. Aufsichtsbehörde

(1) Die Aufsichtsbehörde nach 38 Abs. 6 des Bundesdatenschutzgesetzes und der

Landesbeauftragte für den Datenschutz tauschen regelmäßig die in Erfüllung ihrer Aufgaben

gewonnenen Erfahrungen aus. Die Aufsichtsbehörde kann im Einzelfall mit Zustimmung des

Landesbeauftragten für den Datenschutz Bedienstete der Geschäftsstelle des Landesbeauftragten

für Datenschutz mit der Vornahme von Handlungen nach 38 Abs. 3 und 4 des

Bundesdatenschutzgesetzes beauftragen, sofern die Aufgaben des Landesbeauftragten für den

Datenschutz dadurch nicht beeinträchtigt werden.

(2) Das Innenministerium wird ermächtigt, durch Rechtsverordnung sachverständige Personen oder

Stellen zu bestimmen, derer sich die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben nach  38 des

Bundesdatenschutzgesetzes bedienen kann. Diese Stelle nimmt insoweit hoheitlich Aufgaben der

öffentlichen Verwaltung wahr. Die Bediensteten dieser Stelle haben die in 38 Abs. 4 des

Bundesdatenschutzgesetzes genannten Rechte; auch ihnen gegenüber besteht die in 38 Abs. 3 des

Bundesdatenschutzgesetzes genannte Auskunftspflicht.

(3) Das Innenministerium wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem

Finanzministerium die Gebühren und Auslagen für die Tätigkeit der Aufsichtsbehörde nach 38 Abs.

6 des Bundesdatenschutzgesetzes festzusetzen. Die Höhe der Gebühren und Auslagen ist nach dem

Aufwand und der Bedeutung der Leistung für den Schuldner zu bemessen.

(4) Schuldner ist in den Fällen des 38 Abs. 1 des Bundesdatenschutzgesetzes der Überprüfte, wenn

Mängel festgestellt werden, sonst derjenige, der die Tätigkeit veranlaßt. Für Unterstützungen des

Beauftragten für den Datenschutz (37 Abs.1 Satz 2 des Bundesdatenschutzgesetzes) ist Schuldner

die natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des privaten

Rechts, die den Beauftragten für den Datenschutz bestellt hat. Schuldner in den Fällen des 38

Abs. 2 des Bundesdatenschutzgesetzes ist der Überwachte.

Siebter Abschnitt

Strafvorschrift, Schlußvorschriften

43. Strafvorschrift

(1) Wer unbefugt von diesem Gesetz geschützte personen-bezogene Daten, die nicht offenkundig

sind,

1.         speichert, verändert oder übermittelt,

2.         zum Abruf mittels automatisierten Verfahrens bereithält oder

3.         abruft oder sich oder einem anderen aus Dateien verschafft, wird mit Freiheitsstrafe bis zu einem

Jahr oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer:

1.         die Übermittlung von personenbezogenen Daten, die durch dieses Gesetz geschützt werden und

nicht offenkundig sind, durch unrichtige Angaben erschleicht,

2.         entgegen 22 Abs. 4 Satz 1, 24 Abs. 1 oder 25 Abs. 1 die übermittelten Daten für einen

anderen Zweck nutzt, indem er sie an Dritte weitergibt, oder

3.         entgegen 25 Abs. 3 Satz 3 die in 25 Abs. 3 Satz 2 bezeichneten Merkmale mit den

Einzelangaben zusammenführt.

(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder

einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.

(4) Die Tat wird nur auf Antrag verfolgt.

44. Inkrafttreten, Übergangsbestimmungen

(1) Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

(2) Das Datenschutzregister (12) ist innerhalb eines Jahres nach Inkrafttreten dieses Gesetzes

einzurichten.

(3) Vordrucke, die den Anforderungen dieses Gesetzes nicht entsprechen, dürfen bis zum Ablauf

eines Jahres nach Inkrafttreten dieses Gesetzes aufgebraucht werden.Unzulässige Fragestellungen

sind vorher zu streichen.

(4) Werden im Zeitpunkt des Inkrafttretens dieses Gesetzes personenbezogene Daten im Auftrag

öffentlicher Stellen durch andere Stellen verarbeitet, ist das Auftragsverhältnis innerhalb eines

Jahres den Vorschriften des 8 anzupassen.

(5) Soweit bei öffentlichen Stellen im Zeitpunkt des Inkrafttre-tens dieses Gesetzes automatisierte

Abrufverfahren eingerichtet sind, sind die nach 7 erforderlichen Festlegungen innerhalb eines

Jahres zu treffen.

(6) Die im Zeitpunkt des Inkrafttretens dieses Gesetzes einge-setzten Datenverarbeitungsanlagen und automatisierten Verfahren sind innerhalb von sechs Monaten in das nach 10 zu führende Verzeichnis aufzunehmen.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.