Inhaltsübersicht
Erster Abschnitt
Allgemeine Bestimmungen
1 Zweck des Gesetzes 2 Anwendungsbereich
3 Begriffsbestimmungen
4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
5 Rechte des Betroffenen
6 Datengeheimnis
7 Automatisiertes Abrufverfahren
8 Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
9 Technische und organisatorische Maßnahmen
10 Anlagen- und Verfahrensverzeichnis
Zweiter Abschnitt
Schutzrechte
11 Anrufung des Landesbeauftragten für den Datenschutz
12 Einsicht in das Datenschutzregister
13 Auskunft an den Betroffenen
14 Berichtigungsanspruch
15 Anspruch auf Sperrung
16 Anspruch auf Löschung
17 Benachrichtigung bei regelmäßigen Datenübermittlungen
18 Anspruch auf Schadensersatz
Dritter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
19 Datenerhebung
20 Datenspeicherung, -veränderung und -nutzung
21 Datenübermittlung innerhalb des öffentlichen Bereichs
22 Datenübermittlung an Stellen außerhalb des öffent-lichen Bereichs
23 Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes
24 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
25 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
Vierter Abschnitt
Besondere Bestimmungen
26 Öffentliche Stellen, die am Wettbewerb teilnehmen
27 Öffentlich-rechtliche Religionsgesellschaften
28 Verarbeitung personenbezogener Daten durch den Rundfunk
29 Beauftragter für den Datenschutz im Rundfunk
30 Personenbezogene Daten aus ehemaligen Einrichtungen
31 Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen
32 Widerspruchsrecht
33 Sperrung personenbezogener Daten aus ehemaligen Einrichtungen
Fünfter Abschnitt
Überwachung des Datenschutzes bei
öffentlichen Stellen
34 Sicherstellung des Datenschutzes
35 Bestellung des Landesbeauftragten für den Datenschutz
36 Rechtsstellung und Verschwiegenheitspflicht
37 Kontrolle durch den Landesbeauftragten für den Datenschutz
38 Pflicht zur Unterstützung
39 Beanstandung durch den Landesbeauftragten für den Datenschutz
40 Weitere Aufgaben des Landesbeauftragten für den Datenschutz
41 Beirat beim Landesbeauftragten für den Datenschutz
Sechster Abschnitt
Aufsichtsbehörden für die Datenverarbeitung
nichtöffentlicher Stellen
42 Aufsichtsbehörde
Siebter Abschnitt
Strafvorschrift, Schlußvorschriften
43 Strafvorschrift
44 Inkrafttreten, Übergangsbestimmungen
Der Thüringer Landtag hat das folgende Gesetz beschlossen:
Erster Abschnitt
Allgemeine Bestimmungen
1. Zweck des Gesetzes
Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen
personenbezogenen Daten durch öffentliche Stellen (§ 2 Abs. 1) in seinem Persönlich-keitsrecht
beeinträchtigt wird.
2. Anwendungsbereich
(1) Die Vorschriften dieses Gesetzes gelten für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen
des Landes, der Gemeinden und Gemeindeverbände und die sonstigen der Aufsicht des Landes
unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen
ungeachtet ihrer Rechtsform (öffentliche Stellen).
(2) Für personenbezogene Daten in automatisierten Dateien, die vorübergehend und ausschließlich
aus verarbeitungstechnischen Gründen erstellt und nach ihrer ordnungsgemäßen Nutzung
automatisch gelöscht oder zur Herstellung von Texten vorübergehend erstellt werden, gelten von
den Vorschriften dieses Gesetzes nur die 6, 9, 20 Abs. 4 sowie in Verbindung damit 34 Abs. 1 und
die 37 bis 40.
(3) Soweit besondere Rechtsvorschriften des Bundes oder des Landes auf personenbezogene Daten
anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung
gesetzlicher Geheimhaltungspflichten und von Berufs- oder besonderen Amtsgeheimnissen, die
nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei
der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
3. Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über per-sönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Erheben ist das Beschaffen von Daten über den Betroffenen.
(3) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener
Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem
Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung;
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten;
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß
a) die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder
b) der Dritte von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten
einsieht oder abruft;
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere
Verarbeitung oder Nutzung einzuschränken;
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(4) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung
handelt.
(5) Speichernde Stelle ist jede öffentliche Stelle, die Daten für sich selbst speichert oder durch
andere speichern läßt.
(6) Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der
Betroffene sowie diejenigen Personen oder Stellen, die im Geltungsbereich des Grundgesetzes
personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(7) Eine Datei ist:
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten
Merkmalen ausgewertet werden kann (automatisierte Datei), oder
2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach
bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-
automatisierte Datei).
Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte
Verfahren umgeordnet und ausgewertet werden können.
(8) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen
auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil
eines Vorgangs werden sollen.
(9) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen
Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person
zugeordnet werden können.
4. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten sind nur zulässig, wenn
dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der
Betroffene eingewilligt hat.
(2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und
einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung der
Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer
Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen
Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild
der Erklärung hervorzuheben.
(3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2
Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich
beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus
denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich
festzuhalten.
5. Rechte des Betroffenen
Der Betroffene hat nach Maßgabe dieses Gesetzes ein Recht auf:
1. Anrufung des Landesbeauftragten für den Datenschutz (11),
2. Einsicht in das beim Landesbeauftragten für den Datenschutz geführte Datenschutzregister (12),
3. Auskunft über die zu seiner Person gespeicherten Daten (13),
4. Berichtigung, Sperrung und Löschung der zu seiner Person gespeicherten Daten (14 bis 16),
5. Benachrichtigung bei regelmäßigen Datenübermittlungen (17),
6. Schadensersatz (18).
Diese Rechte können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
6. Datengeheimnis
Den bei öffentlichen Stellen beschäftigten Personen ist untersagt, personenbezogene Daten
unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht
auch nach Beendigung ihrer Tätigkeit fort.
7. Automatisiertes Abrufverfahren
(1) Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten durch Abruf
ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der
schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen
ist. Soll ein solches Verfahren die Übermittlung personenbezogener Daten ermöglichen, die einem
besonderen Berufs- oder Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit
verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden
sind, so darf es nur eingerichtet werden, soweit dies eine Rechtsvorschrift zuläßt.
(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens
kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlaß und Zweck des Abrufverfahrens,
2. Datenempfänger,
3. Art der abzurufenden Daten,
4. nach 9 erforderliche technische und organisatorische Maßnahmen.
Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer
Aufsicht unterliegenden Stellen des Landes getroffen werden.
(3) Über die Einrichtung eines Abrufverfahrens ist vorher der Landesbeauftragte für den
Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung eines
Abrufverfahrens, an dem die in 13 Abs. 4 genannten Stellen beteiligt sind, bedarf der Zustimmung
des für die speichernde und die abrufende Stelle jeweils zuständigen Ministers oder seines
Vertreters.
(4) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung
geltenden Vorschriften. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der
Empfänger. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlaß besteht.
Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten
zumindestens durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird
ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so
bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des
Abrufes oder der Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder
nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffent-lichung zulässig wäre.
8. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag öffentlicher Stellen durch andere Personen oder
Stellen erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der
Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in
den 13 bis 18 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der
von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen
und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der
Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegenden
Stellen des Landes erteilt werden; diese sind von der Auftragserteilung zu unterrichten.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben,
verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses
Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber
unverzüglich darauf hinzuweisen.
(4) Ist der Auftragnehmer eine öffentliche Stelle, gelten für ihn nur die 6, 9, 10, 34, 37 bis 40 und
43.
(5) Soweit juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten
Rechts, bei denen dem Land oder einer der Aufsicht des Landes unterstehenden Körperschaft, An-
stalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der
Stimmen zusteht, für eine öffentliche Stelle Daten im Auftrag zu ver-arbeiten, gelten die 10, 34
und 37 bis 40 entsprechend.
(6) Sind auf den Auftragnehmer die Vorschriften dieses Gesetzes nicht anwendbar, ist der
Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen
dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz
entsprechend der 37 bis 40 unterwirft. Der Auftraggeber hat den Landesbeauftragten für den
Datenschutz über die Beauftragung zu unterrichten.
9. Technische und organisatorische Maßnahmen
(1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die
technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung
der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr
Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind zur Ausführung der
Vorschriften dieses Gesetzes Maß-nahmen zu treffen, die je nach der Art der zu schützenden per-
sonenbezogenen Daten geeignet sind:
1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten
verarbeitet werden, zu verwehren (Zugangskontrolle);
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden
können (Datenträgerkontrolle);
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder
Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können
(Zugriffskontrolle);
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen
personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden
können (Übermittlungskontrolle);
7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben
worden sind (Eingabekontrolle);
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von
Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden
können (Transportkontrolle);
10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den
besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
(3) Werden personenbezogene Daten in nichtautomatisierten Dateien oder in Akten verarbeitet,
sind insbesondere Maßnahmen zu treffen, die verhindern, daß Unbefugte bei der Bearbeitung, der
Aufbewahrung, dem Transport und der Vernichtung auf die Daten zugreifen können.
10. Anlagen- und Verfahrensverzeichnis
(1) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen und
automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden. Das Ver-
zeichnis kann auch bei einer datenver-arbeitenden Stelle für andere Stellen geführt werden.
(2) In dem Verzeichnis ist für jedes automatisierte Verfahren schriftlich festzulegen:
1. die Bezeichnung des Verfahrens;
2. die Aufgabe, zu deren Erfüllung personenbezogene Daten verarbeitet werden und die
Rechtsgrundlage der Verarbeitung;
3. die Art der gespeicherten Daten;
4. der Kreis der Betroffenen;
5. die Art der regelmäßig zu übermittelnden Daten und deren Empfänger;
6. die Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung;
7. die verarbeitungsberechtigten Personen oder Personengruppen. Die Gerichte und der Landtag
führen Verzeichnisse nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
(3) Absatz 1 gilt nicht für automatisierte Verfahren, die nur vorübergehend eingesetzt werden und
bei denen die gespeicherten Daten innerhalb von drei Monaten nach der Speicherung gelöscht
werden.
Zweiter Abschnitt
Schutzrechte
11. Anrufung des Landesbeauftragten für den Datenschutz
(1) Jedermann kann sich – unbeschadet des allgemeinen Petitionsrechts oder anderer Rechte – an
den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, daß bei der Erhebung,
Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen seine
schutzwürdigen Belange beeinträchtigt werden. Für die Erhebung, Verarbeitung oder Nutzung von
personenbezogenen Daten durch Gerichte und den Landtag gilt dies nur, soweit sie in
Verwaltungsangelegenheiten tätig werden.
(2) Niemand darf benachteiligt oder gemaßregelt werden, weil er von seinem Recht nach Absatz 1
Gebrauch gemacht hat.
(3) Wendet sich ein Betroffener an den Landesbeauftragten für den Datenschutz, weil ihm nach 13
Abs. 5 oder besonderen gesetzlichen Vorschriften keine Auskunft erteilt worden ist, darf die
Mitteilung des Landesbeauftragten an den Betroffenen keine Rückschlüsse auf den Erkenntnisstand
der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. Das
gleiche gilt, wenn ein Betroffener unmittelbar den Landesbeauftragten anruft und die für die
Erteilung der Auskunft zuständige Stelle diesem unter Angabe von Gründen darlegt, daß sie bei
einem Auskunftsersuchen eine Auskunft nach den in Satz 1 genannten Vorschriften verweigern
würde.
12. Einsicht in das Datenschutzregister
(1) Jedermann kann in das vom Landesbeauftragten für den Datenschutz geführte
Datenschutzregister Einsicht nehmen. Für die Einsichtnahme werden Kosten nicht erhoben.
(2) Das Datenschutzregister enthält die Angabe der öffentlichen Stellen, die personenbezogene
Daten in automatisierten Verfahren verarbeiten, eine Darstellung des Dateiinhalts und die Angabe
der Stellen, denen Daten regelmäßig übermittelt werden.
(3) Wer ein berechtigtes Interesse glaubhaft macht, kann sich Auszüge aus dem Datenschutzregister
anfertigen lassen.
(4) Das Nähere zur Ausführung der Absätze 1 bis 3, insbesondere Inhalt und Aufbau des Registers, die
Art und Weise der Registerführung sowie die Form der Auskunftserteilung regelt die Landes-
regierung durch Rechtsverordnung. Dabei können aus Gründen des Gemeinwohls der Inhalt des
Datenschutzregisters und der Anspruch auf Einsicht beschränkt werden, insbesondere hinsichtlich
solcher Stellen, gegenüber denen nach 13 Abs. 5 kein Auskunftsanspruch besteht.
13. Auskunft an den Betroffenen
(1) Die speichernde Stelle hat dem Betroffenen auf Antrag Auskunft zu erteilen über:
1. die zu seiner Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Speicherung sowie
3. die Herkunft der Daten und deren Empfänger, soweit diese Angaben gespeichert sind.
Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder
der Datenschutzkontrolle gespeichert sind.
(2) Für die Auskunft werden Kosten nicht erhoben.
(3) In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll,
näher bezeichnet werden. Sind die personenbezogenen Daten nur in Akten gespeichert, wird die
Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten
ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis
zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die speichernde Stelle
bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßen
Ermessen; dabei dürfen berechtigte Interessen Dritter nicht beeinträchtigt werden.
(4) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden
der Staatsanwaltschaften, Polizeibehörden, an Verfassungsschutzbehörden, den
Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes
berührt wird, andere Behörden des Bundesministers der Verteidigung, so ist sie nur mit Zustim-
mung dieser Stellen zulässig.
(5) Die Auskunftserteilung unterbleibt, soweit:
1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der speichernden Stelle
liegenden Aufgaben gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des
Bundes oder eines Landes Nachteile bereiten würde,
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift
oder ihrem Wesen nach, namentlich wegen den überwiegenden berechtigten Interessen eines
Dritten, geheimgehalten werden müssen,
4. die personenbezogenen Daten zur Entscheidung in Gnadensachen oder zur Entscheidung über
die Verleihung von staatlichen Orden oder Ehrenzeichen gespeichert sind
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.
(6) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die
Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der
mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist der Betroffene
darauf hinzuweisen, daß er sich an den Landesbeauftragten für den Datenschutz wenden kann.
(7) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem
Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht das zuständige
Landesministerium im Einzelfall feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes
gefährdet würde.
14. Berichtigungsanspruch
Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezogenen
Daten in Akten festgestellt, daß sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen
bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.
15. Anspruch auf Sperrung
(1) Personenbezogene Daten in Dateien sind zu sperren, wenn:
1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die
Unrichtigkeit feststellen läßt oder
2. eine Löschung aus den in 16 Abs. 4 genannten Gründen unterblieben ist.
(2) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall
feststellt, daß ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden
und die Daten für die Aufgabenerfüllung der Behörden nicht mehr erforderlich sind.
(3) Ohne Einwilligung des Betroffenen dürfen gesperrte personenbezogene Daten nur übermittelt
oder genutzt werden, wenn:
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot, zu Aufsichts- und
Kontrollzwecken, zur Rechnungsprüfung oder aus sonstigen im überwiegenden Interesse der
speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
Personenbezogene Daten, die unzulässig in Akten gespeichert sind oder deren Löschung aus der
Datei nur gemäß 16 Abs. 4 unterblieben ist, dürfen ohne Einwilligung des Betroffenen nicht mehr
übermittelt oder genutzt werden.
16. Anspruch auf Löschung
(1) Personenbezogene Daten in Dateien sind zu löschen, wenn:
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.
(2) Personenbezogene Daten in Akten sind zu löschen, wenn die speichernde Stelle im Einzelfall
feststellt, daß die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist.
(3) Vor einer Löschung sind die Daten dem zuständigen Archiv zur Übernahme anzubieten. Das
Nähere wird durch Rechts-vorschriften über öffentliche Archive geregelt.
(4) Die Löschung unterbleibt, wenn:
1. Grund zu der Annahme besteht, daß durch sie schutzwürdige Interessen des Betroffenen
beeinträchtigt würden,
2. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich ist, oder
3. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen
entgegenstehen.
17. Benachrichtigung bei regelmäßigen Datenübermittlungen
Von einer Berichtigung unrichtiger Daten (14), der Sperrung bestrittener Daten (15 Abs. 1 Nr. 1)
sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung (16 Abs. 1 Nr. 1; 15 Abs.
1 Nr. 2 in Verbindung mit 16 Abs. 4 und Abs. 1 Nr. 1) sind die Stellen zu verständigen, denen im
Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben
wurden, wenn dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist.
18. Anspruch auf Schadensersatz
(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes
oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte
Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen
unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der
nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von
250.000 DM begrenzt.
(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der
Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die 254 und 852 des
Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift
haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
Dritter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
19. Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der
Aufgaben der erhebenden Stellen erforderlich ist.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie
nur erhoben werden, wenn:
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder
Stellen erforderlich macht oder
3. die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde.
In den Fällen der Nummern 2 und 3 ist eine Erhebung bei Dritten nur zulässig, wenn keine
Anhaltspunkte dafür vorliegen, daß überwiegende schutzwürdige Interessen des Betroffenen
beeinträchtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der
Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen aufgrund einer Rechts-
vorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung
für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit
seiner Angaben hinzuweisen. Auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der
Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nichtöffentlichen Stelle
erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die
Freiwilligkeit ihrer Angaben hinzuweisen.
20. Datenspeicherung, -veränderung und -nutzung
(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur
Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgabe erforderlich ist und es
für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen,
dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden
sind.
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn:
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt;
2. der Betroffene eingewilligt hat;
3. offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme
besteht, daß er in Kenntnis der anderen Zwecke seine Einwilligung verweigern würde;
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren
Unrichtigkeit bestehen;
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde
Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an
dem Ausschluß der Zweckänderung überwiegt;
6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar
drohenden Gefahr für die öffentliche Sicherheit erforderlich ist;
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug
von Strafen oder Maßnahmen im Sinne des 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von
Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur
Vollstreckung von Bußgeldentscheidungen erforderlich ist;
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person
erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse
an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß
der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht
oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung
von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisati-
onsuntersuchungen, der Prüfung und Wartung von automatisierten Verfahren der
Datenverarbeitung oder der Erstellung von Geschäftsstatistiken für die speichernde Stelle dient.
Dies gilt auch für die Verarbeitung und Nutzung zu Ausbildungs- und Prüfungszwecken durch die
speichernde Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen
entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbei-
tungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
21. Datenübermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn:
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Empfängers
liegenden Aufgaben erforderlich ist und
2. die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt
die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Falle
prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des
Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung
besteht. 7 Abs. 4 bleibt unberührt.
(3) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu
dessen Erfüllung sie ihm übermittelt worden sind. Eine Verarbeitung oder Nutzung für andere
Zwecke ist nur unter den Voraussetzungen des 20 Abs. 2 zulässig.
(4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere
personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, daß eine
Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch
dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an
deren Geheimhaltung überwiegen; eine Nutzung dieser Daten ist unzulässig.
22. Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn:
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben
erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden,
oder
2. der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten
glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der
Übermittlung hat.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den
Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er
davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der
personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen
nicht geboten erscheint oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder
sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(4) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu
dessen Erfüllung sie ihm übermittelt worden sind. Die übermittelnde Stelle hat den Empfänger
darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine
Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
23. Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes
(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs des
Grundgesetzes sowie an über- und zwischenstaatliche Stellen ist zulässig, soweit sie in einer
Rechtsvorschrift oder einem Rechtsakt der Europäischen Gemeinschaften geregelt ist. Im übrigen
ist die Übermittlung unter den Voraussetzungen des 22 Abs. 1 zulässig, soweit keine Anhaltspunkte
dafür vorliegen, daß ihr überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen;
22 Abs. 3 gilt entsprechend.
(2) Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen den
Zweck eines deutschen Gesetzes verstoßen würde.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck
verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.
24. Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und
die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder
Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den
Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat.
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die
Änderung des Zwecks durch ein besonderes Gesetz zugelassen ist.
25. Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene
Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der
wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten
nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3
einzuhalten.
(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck
möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer
bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den
Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur
veröffentlichen, soweit:
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte
unerläßlich ist.
Vierter Abschnitt
Besondere Bestimmungen
26. Öffentliche Stellen, die am Wettbewerb teilnehmen
Soweit öffentliche Stellen am Wettbewerb teilnehmen, sind auf sie, auf ihre Zusammenschlüsse und
Verbände von den Vorschriften dieses Gesetzes nur der Fünfte Abschnitt – ausgenommen 34 Abs. 2
– anzuwenden. Im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes mit
Ausnahme des Zweiten Abschnitts und des 38.
27. Öffentlich-rechtliche Religionsgesellschaften
Personenbezogene Daten dürfen in entsprechender Anwendung des 21 von der speichernden
Stelle an Stellen der öffentlich-rechtlichen Religionsgesellschaften übermittelt werden, wenn
sichergestellt ist, daß beim Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.
28. Verarbeitung personenbezogener Daten durch den Rundfunk
(1) Soweit eine öffentlich-rechtliche Rundfunkanstalt des Landes personenbezogene Daten
ausschließlich zu eigenen journalistisch-redaktionellen Zwecken erhebt, verarbeitet oder nutzt,
gelten von den Vorschriften dieses Gesetzes nur die 6 und 9. Für die Verarbeitung
personenbezogener Daten zu anderen Zwecken gelten neben 29 die Vorschriften dieses Gesetzes
entsprechend mit Ausnahme des Fünften Abschnitts.
(2) Führt die journalistisch-redaktionelle Verarbeitung oder Nutzung personenbezogener Daten
durch die Rundfunkanstalt zur Verbreitung einer Gegendarstellung des Betroffenen, so ist diese zu
den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten
selbst.
(3) Wird jemand durch eine Berichterstattung der Rundfunkanstalt in seinem Persönlichkeitsrecht
beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner
Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten
auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und
Mitteilungen für den redaktionellen Teil geschlossen werden kann. Der Betroffene kann die
Berichtigung unrichtiger Daten verlangen.
29. Beauftragter für den Datenschutz im Rundfunk
(1) Der Intendant der Rundfunkanstalt beruft mit Zustimmung des Verwaltungsrates einen
Beauftragten für den Datenschutz im Rundfunk.
(2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes
sowie anderer Vorschriften über den Datenschutz. Er ist in Erfüllung seiner Aufgaben nach diesem
Gesetz an Weisungen nicht gebunden; im übrigen untersteht er der Dienstaufsicht des Intendanten.
(3) Jedermann kann sich entsprechend 11 Abs. 1 Satz 1 an den Beauftragten für den Datenschutz
wenden.
(4) Bei Beanstandungen verständigt der Beauftragte für den Datenschutz den Intendanten und den
Verwaltungsrat. Er erstattet den Organen des Rundfunks alle zwei Jahre einen Bericht über seine
Tätigkeit; diesen übermittelt er auch dem Landesbeauftragten für den Datenschutz.
(5) Der Beauftragte für den Datenschutz hat, auch nach seinem Ausscheiden, über die ihm bei seiner
Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für
Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
30. Personenbezogene Daten aus ehemaligen Einrichtungen
(1) Personenbezogene Daten aus ehemaligen Einrichtungen, die vor dem 3. Oktober 1990 nach ihrer
Zweckbestimmung überwiegend für Verwaltungsaufgaben gespeichert waren, die nach dem
Grundgesetz von Ländern, Gemeinden, Gemeindeverbänden oder sonstigen Trägern öffentlicher
Verwaltung wahrzunehmen sind, stehen demjenigen Träger öffentlicher Verwaltung zu, der nach
dem Grundgesetz für die Verwaltungsaufgabe zuständig ist. Dieser bestimmt die verantwortliche
speichernde Stelle. In Zweifelsfällen wird die speichernde Stelle durch die Landesregierung
bestimmt.
(2) Ehemalige Einrichtungen im Sinne des Absatzes 1 sind ehemalige staatliche oder
wirtschaftsleitende Organe, Kombinate, Betriebe oder Einrichtungen sowie gesellschaftliche Organi-
sationen der Deutschen Demokratischen Republik.
31. Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen
(1) Abweichend von 20 Abs. 1 ist das Speichern, Verändern oder Nutzen personenbezogener Daten
aus ehemaligen Einrichtungen durch die in 30 Abs. 1 Satz 3 genannten speichernden Stellen
zulässig, soweit:
1. die Kenntnis der Daten zur rechtmäßigen Erfüllung einer in der Zuständigkeit dieser Stellen
liegenden Aufgabe erforderlich ist,
2. die erneute Erhebung dieser Daten einen unverhältnismäßig hohen Aufwand darstellt,
3. der Betroffene der Verarbeitung oder Nutzung nicht nach 32 widersprochen hat und
4. die Zuständigkeit und Verantwortlichkeit der speichernden Stellen eindeutig bestimmt ist.
Satz 1 gilt nicht für eine Verwendung der Daten zum Nachteil des Betroffenen, wenn anzunehmen
ist, daß sie unter Verstoß gegen die Menschenwürde erhoben worden sind.
(2) Personenbezogene Daten, deren Verarbeitung und Nutzung nach Absatz 1 zulässig ist, gelten als
für den nach Absatz 1 Nr. 1 bestimmten Zweck erstmalig eingespeichert.
32. Widerspruchsrecht
(1) Der Betroffene kann der Verarbeitung und Nutzung seiner personenbezogenen Daten
widersprechen, wenn die Daten ohne seine Mitwirkung durch eine ehemalige Einrichtung erhoben
oder gespeichert wurden und die Daten nach geltendem Recht nicht ohne seine Mitwirkung
erhoben werden dürfen oder wenn anzunehmen ist, daß sie unter Verstoß gegen die
Menschenwürde erhoben worden sind.
(2) Der Betroffene ist in geeigneter Weise über:
1. die Herkunft solcher Daten,
2. die Art der ursprünglichen Verwendung,
3. die Art und den Umfang der beabsichtigten Verarbeitung oder Nutzung,
4. die nunmehr zuständige speichernde Stelle und
5. die bestehende Widerspruchsmöglichkeit
zu unterrichten. Die Unterrichtung kann auch in allgemeiner Form erfolgen, soweit eine
Einzelunterrichtung wegen des damit verbundenen unverhältnismäßigen Aufwands nicht geboten
erscheint und schutzwürdige Belange der Betroffenen nicht überwiegen.
33. Sperrung personenbezogener Daten aus ehemaligen Einrichtungen
Ist die Verarbeitung oder Nutzung personenbezogener Daten aus ehemaligen Einrichtungen nach
31 Abs. 1 nicht zulässig, sind diese Daten abweichend von 16 bis zum Inkrafttreten eines Gesetzes
über öffentliche Archive zu sperren.
Fünfter Abschnitt
Überwachung des Datenschutzes bei öffentlichen Stellen
34. Sicherstellung des Datenschutzes
(1) Die Landesministerien, die Gemeinden und Gemeinde-verbände sowie die sonstigen der Aufsicht
des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen
haben für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den
Datenschutz sicherzustellen.
(2) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten
verarbeitet werden, bedarf hinsichtlich der Datenarten und der regelmäßigen Daten-übermittlung
der vorherigen schriftlichen Freigabe durch die Stelle, die nach Absatz 1 den Datenschutz
sicherzustellen hat. Entsprechendes gilt für wesentliche Änderungen der Verfahren.
(3) Sollen in einem Verfahren personenbezogene Daten aus verschiedenen Verwaltungszweigen
verarbeitet werden, dann bedarf es der Zustimmung der beteiligten Stellen, die den Datenschutz
sicherzustellen haben.
35. Bestellung des Landesbeauftragten für den Datenschutz
(1) Der Landtag wählt auf Vorschlag der Landesregierung den Landesbeauftragten für den
Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Gewählte ist von
der Landesregierung zu ernennen.
(2) Die Amtszeit des Landesbeauftragten für den Datenschutz beträgt sechs Jahre. Einmalige
Wiederwahl ist zulässig.
(3) Der Präsident des Landtags verpflichtet den Landesbeauf-tragten für den Datenschutz vor dem
Landtag, sein Amt gerecht und unparteiisch zu führen, das Grundgesetz und die Verfassung des
Landes sowie die Gesetze zu wahren und zu verteidigen.
(4) Auf Vorschlag des Landesbeauftragten für den Datenschutz ernennt die Landesregierung einen
Vertreter im Amt. Dieser soll die Befähigung zum Richteramt haben.
(5) Dienstsitz des Landesbeauftragten für den Datenschutz ist Erfurt.
(6) Die Landesregierung entläßt den Landesbeauftragten für den Datenschutz, wenn dieser es
verlangt oder auf Vorschlag des Präsidenten des Landtags, wenn Gründe vorliegen, die bei einem
Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des
Amtsverhältnisses erhält der Landesbeauftragte eine vom Ministerpräsidenten vollzogene Urkunde.
Eine Entlassung wird mit der Aushändigung der Urkunde wirksam.
(7) Der Landesbeauftragte für den Datenschutz erhält Amtsbezüge nach der Besoldungsgruppe B 6.
36. Rechtsstellung und Verschwiegenheitspflicht
(1) Der Landesbeauftragte für den Datenschutz ist in der Ausübung seines Amtes unabhängig und
nur dem Gesetz unterworfen. Er steht zum Land nach Maßgabe dieses Gesetzes in einem öffentlich-
rechtlichen Amtsverhältnis. Der Präsident des Landtags führt die Dienstaufsicht.
(2) Der Landesbeauftragte für den Datenschutz darf neben seinem Amt kein anderes besoldetes
Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder
Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer
gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt
außergerichtliche Gutachten abgeben.
(3) Der Landesbeauftragte für den Datenschutz ist, auch nach Beendigung seines Amtsverhältnisses,
verpflichtet, über die ihm bei seiner amtlichen Tätigkeit bekannt gewordenen Angelegenheiten
Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über
Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(4) Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne von 96
Strafprozeßordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und seine
Mitarbeiter in eigener Verantwortung. Der Nachfolger im Amt entscheidet über die
Aussagegenehmigung seiner Vorgänger.
(5) Dem Landesbeauftragten für den Datenschutz ist die für die Erfüllung seiner Aufgaben
notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Landta-
gs in einem eigenen Kapitel auszuweisen. Für bestimmte Einzelfragen kann der Landesbeauftragte
für den Datenschutz auch Dritte zur Mitarbeit heranziehen.
(6) Die Besetzung der Personalstellen erfolgt auf Vorschlag des Landesbeauftragten für den
Datenschutz. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden
sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden; er ist ihr
Dienstvorgesetzter, sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen
gebunden.
37. Kontrolle durch den Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei allen öffentlichen Stellen die
Einhaltung der Vorschriften dieses Gesetzes und anderer Rechtsvorschriften über den Datenschutz.
(2) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich auch auf
personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. Für
personenbezogene Daten, die dem Arztgeheimnis unterliegen und personenbezogene Daten in
Personalakten oder Akten über die Sicherheitsüberprüfung gilt dies jedoch nur, wenn der
Betroffene der Kontrolle der auf ihn bezogenen Daten nicht widersprochen hat. Unbeschadet des
Kontrollrechts des Landesbeauftragten unterrichtet die speichernde Stelle die Betroffenen in
allgemeiner Form über das ihnen zustehende Widerspruchsrecht. Der Widerspruch ist schriftlich
gegenüber der speichernden Stelle zu erklären.
(3) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich nicht auf
personenbezogene Daten, die der Kontrolle durch die Kommission nach 3 des Gesetzes zur
Ausführung des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht
den Landesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten
Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu
berichten.
(4) Die Gerichte und der Landtag unterliegen der Kontrolle des Landesbeauftragten für den
Datenschutz nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
38. Pflicht zur Unterstützung
(1) Der Landesbeauftragte für den Datenschutz und seine Beauftragten sind von allen öffentlichen
Stellen in der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist im Rahmen der Kontrollbefugnis
nach 37 insbesondere:
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die
gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im
Zusammenhang mit der Kontrolle nach 37 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
(2) Für die in 13 Abs. 4 genannten öffentlichen Stellen gilt Absatz 1 nur gegenüber dem
Landesbeauftragten selbst und den von ihm schriftlich besonders damit Beauftragten. Absatz 1 Satz
2 findet für diese Stellen keine Anwendung, soweit das zuständige Landesministerium im Einzelfall
feststellt, daß die Auskunft oder Einsicht in Unterlagen und Akten die Sicherheit des Bundes oder
eines Landes gefährden würde.
39.Beanstandung durch den Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz beanstandet festgestellte Verletzungen von
Vorschriften über den Daten-schutz oder sonstige Mängel bei der Verarbeitung oder Nutzung
personenbezogener Daten und fordert ihre Behebung in angemessener Frist. Die für die
Sicherstellung des Datenschutzes nach 34 verantwortliche Stelle und die Aufsichtsbehörde sind
davon zu verständigen.
(2) Wird die Beanstandung nicht behoben, so fordert der Landesbeauftragte von der für die
Sicherstellung des Datenschutzes nach 34 verantwortlichen Stelle und der Aufsichtsbehörde
binnen angemessener Frist geeignete Maßnahmen. Hat das nach Ablauf dieser Frist keinen Erfolg,
verständigt der Landesbeauftragte den Landtag und die Landesregierung.
(3) Der Landesbeauftragte kann von einer Beanstandung absehen, insbesondere wenn es sich um
unerhebliche oder inzwischen beseitigte Mängel handelt.
40.Weitere Aufgaben des Landesbeauftragten für den Datenschutz
(1) Der Landesbeauftragte für den Datenschutz erstattet dem Landtag und der Landesregierung
mindestens alle zwei Jahre einen Bericht über seine Tätigkeit. Er gibt dabei auch einen Überblick
über die technischen und organisatorischen Maßnahmen nach 9 und regt Verbesserungen des
Datenschutzes an.
(2) Der Ministerpräsident führt eine Stellungnahme der Landesregierung zu dem Bericht des
Landesbeauftragten für den Datenschutz herbei und legt diese innerhalb von drei Monaten dem
Landtag vor.
(3) Der Landesbeauftragte für den Datenschutz unterstützt im Rahmen seiner Beratungsaufgabe den
Landtag bei seinen Entscheidungen. Auf Anforderung des Landtags oder der Landesregierung hat
der Landesbeauftragte für den Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Der
Landtag oder die Landesregierung können den Landesbeauftragten ersuchen, bestimmte Vorgänge
aus seinem Aufgabenbereich zu überprüfen.
(4) Der Bericht nach Absatz 1 ist im Beirat beim Landesbeauftragten für den Datenschutz
vorzuberaten.
(5) Der Landesbeauftragte für den Datenschutz beobachtet die Entwicklung und Nutzung der
Informations- und Kommunikationstechnik, insbesondere der automatisierten Datenverarbeitung
und ihre Auswirkungen auf die Arbeitsweise und die Entscheidungsbefugnisse der öffentlichen
Stellen. Er hat insbesondere darauf zu achten, ob sie zu einer Verschiebung der Gewaltenteilung
zwischen den Verfassungsorganen des Landes, zwischen den Organen der kommunalen Selbst-
verwaltung und zwischen der staatlichen und der kommunalen Selbstverwaltung führen. Er soll
Maßnahmen anregen, die ihm geeignet erscheinen, derartige Auswirkungen zu verhindern.
(6) Der Landesbeauftragte für den Datenschutz kann sich jederzeit an den Landtag wenden.
(7) Der Landesbeauftragte für den Datenschutz führt das Datenschutzregister nach 12.
41. Beirat beim Landesbeauftragten für den Datenschutz
(1) Beim Landesbeauftragten für den Datenschutz wird ein Beirat gebildet. Er besteht aus neun
Mitgliedern. Es bestellen sechs Mitglieder der Landtag, ein Mitglied die Landesregierung, ein
Mitglied die kommunalen Spitzenverbände, ein Mitglied das Ministerium für Soziales und Gesundheit
aus dem Bereich der gesetzlichen Sozialversicherungsträger. Für jedes Beiratsmitglied wird zugleich
ein Stellvertreter bestellt.
(2) Die Mitglieder des Beirats werden für vier Jahre, die Mitglieder des Landtags für die Wahldauer
des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.
(3) Der Beirat unterstützt den Landesbeauftragten für den Datenschutz in seiner Arbeit. Die
Unabhängigkeit des Landesbeauftragten für den Datenschutz nach 36 Abs. 1 und die Berichts-
pflicht gegenüber dem Landtag werden dadurch nicht berührt.
(4) Der Beirat gibt sich eine Geschäftsordnung. Er tritt auf Antrag jedes seiner Mitglieder oder des
Landesbeauftragten für den Datenschutz zusammen. Den Vorsitz führt ein Mitglied des Landtags.
(5) Der Landesbeauftragte für den Datenschutz nimmt an allen Sitzungen teil. Er verständigt den
Beirat von Maßnahmen nach 39 Abs. 1. Vor Maßnahmen nach 39 Abs. 2 kann dem Beirat Gele-
genheit zur Stellungnahme gegeben werden.
(6) Die Mitglieder des Beirats haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit
bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen,
die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
Sechster Abschnitt
Aufsichtsbehörden für die Datenverarbeitung nichtöffentlicher Stellen
42. Aufsichtsbehörde
(1) Die Aufsichtsbehörde nach 38 Abs. 6 des Bundesdatenschutzgesetzes und der
Landesbeauftragte für den Datenschutz tauschen regelmäßig die in Erfüllung ihrer Aufgaben
gewonnenen Erfahrungen aus. Die Aufsichtsbehörde kann im Einzelfall mit Zustimmung des
Landesbeauftragten für den Datenschutz Bedienstete der Geschäftsstelle des Landesbeauftragten
für Datenschutz mit der Vornahme von Handlungen nach 38 Abs. 3 und 4 des
Bundesdatenschutzgesetzes beauftragen, sofern die Aufgaben des Landesbeauftragten für den
Datenschutz dadurch nicht beeinträchtigt werden.
(2) Das Innenministerium wird ermächtigt, durch Rechtsverordnung sachverständige Personen oder
Stellen zu bestimmen, derer sich die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben nach 38 des
Bundesdatenschutzgesetzes bedienen kann. Diese Stelle nimmt insoweit hoheitlich Aufgaben der
öffentlichen Verwaltung wahr. Die Bediensteten dieser Stelle haben die in 38 Abs. 4 des
Bundesdatenschutzgesetzes genannten Rechte; auch ihnen gegenüber besteht die in 38 Abs. 3 des
Bundesdatenschutzgesetzes genannte Auskunftspflicht.
(3) Das Innenministerium wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem
Finanzministerium die Gebühren und Auslagen für die Tätigkeit der Aufsichtsbehörde nach 38 Abs.
6 des Bundesdatenschutzgesetzes festzusetzen. Die Höhe der Gebühren und Auslagen ist nach dem
Aufwand und der Bedeutung der Leistung für den Schuldner zu bemessen.
(4) Schuldner ist in den Fällen des 38 Abs. 1 des Bundesdatenschutzgesetzes der Überprüfte, wenn
Mängel festgestellt werden, sonst derjenige, der die Tätigkeit veranlaßt. Für Unterstützungen des
Beauftragten für den Datenschutz (37 Abs.1 Satz 2 des Bundesdatenschutzgesetzes) ist Schuldner
die natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des privaten
Rechts, die den Beauftragten für den Datenschutz bestellt hat. Schuldner in den Fällen des 38
Abs. 2 des Bundesdatenschutzgesetzes ist der Überwachte.
Siebter Abschnitt
Strafvorschrift, Schlußvorschriften
43. Strafvorschrift
(1) Wer unbefugt von diesem Gesetz geschützte personen-bezogene Daten, die nicht offenkundig
sind,
1. speichert, verändert oder übermittelt,
2. zum Abruf mittels automatisierten Verfahrens bereithält oder
3. abruft oder sich oder einem anderen aus Dateien verschafft, wird mit Freiheitsstrafe bis zu einem
Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer:
1. die Übermittlung von personenbezogenen Daten, die durch dieses Gesetz geschützt werden und
nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen 22 Abs. 4 Satz 1, 24 Abs. 1 oder 25 Abs. 1 die übermittelten Daten für einen
anderen Zweck nutzt, indem er sie an Dritte weitergibt, oder
3. entgegen 25 Abs. 3 Satz 3 die in 25 Abs. 3 Satz 2 bezeichneten Merkmale mit den
Einzelangaben zusammenführt.
(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder
einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.
(4) Die Tat wird nur auf Antrag verfolgt.
44. Inkrafttreten, Übergangsbestimmungen
(1) Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.
(2) Das Datenschutzregister (12) ist innerhalb eines Jahres nach Inkrafttreten dieses Gesetzes
einzurichten.
(3) Vordrucke, die den Anforderungen dieses Gesetzes nicht entsprechen, dürfen bis zum Ablauf
eines Jahres nach Inkrafttreten dieses Gesetzes aufgebraucht werden.Unzulässige Fragestellungen
sind vorher zu streichen.
(4) Werden im Zeitpunkt des Inkrafttretens dieses Gesetzes personenbezogene Daten im Auftrag
öffentlicher Stellen durch andere Stellen verarbeitet, ist das Auftragsverhältnis innerhalb eines
Jahres den Vorschriften des 8 anzupassen.
(5) Soweit bei öffentlichen Stellen im Zeitpunkt des Inkrafttre-tens dieses Gesetzes automatisierte
Abrufverfahren eingerichtet sind, sind die nach 7 erforderlichen Festlegungen innerhalb eines
Jahres zu treffen.
(6) Die im Zeitpunkt des Inkrafttretens dieses Gesetzes einge-setzten Datenverarbeitungsanlagen und automatisierten Verfahren sind innerhalb von sechs Monaten in das nach 10 zu führende Verzeichnis aufzunehmen.