|
Bundesdatenschutzgesetz (BDSG)
Vom 20. Dezember 1990 (BGBl. I, S.2954), zuletzt geändert durch Art.2, Abs.5 des Begleitgesetzes zum Telekommunikationsgesetz (BegleitG) vom 17.Dezember 1997 (BGBl. I S. 3108).
- Erster Abschnitt: Allgemeine Bestimmungen
- § 1 Zweck und Anwendungsbereich des Gesetzes
- § 2 Öffentliche und nicht-öffentliche Stellen
- § 3 Weitere Begriffsbestimmungen
- § 4 Zulässigkeit der Datenverarbeitung und -nutzung
- § 5 Datengeheimnis
- § 6 Unabdingbare Rechte des Betroffenen
- § 7 Schadensersatz durch öffentliche Stellen
- § 8 Schadensersatz durch nicht-öffentliche Stellen
- § 9 Technische und organisatorische Maßnahmen
- § 10 Einrichtung automatisierter Abrufverfahren
- § 11 Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
- Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen
- Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung
- § 12 Anwendungsbereich
- § 13 Datenerhebung
- § 14 Datenspeicherung, -veränderung und -nutzung
- § 15 Datenübermittlung an öffentliche Stellen
- § 16 Datenübermittlung an nicht-öffentliche Stellen
- § 17 Datenübermittlung an Stellen außerhalb des Geltungsbereichs dieses Gesetzes
- § 18 Durchführung des Datenschutzes in der Bundesverwaltung
- Zweiter Unterabschnitt: Rechte des Betroffenen
- § 19 Auskunft an den Betroffenen
- § 20 Berichtigung, Löschung und Sperrung von Daten
- § 21 Anrufung des Bundesbeauftragten für den Datenschutz
- Dritter Unterabschnitt: Bundesbeauftragter für den Datenschutz
- § 22 Wahl
- § 23 Rechtsstellung
- § 24 Kontrolle durch den Bundesbeauftragten
- § 25 Beanstandungen durch den Bundesbeauftragten
- § 26 Weitere Aufgaben des Bundesbeauftragten, Dateienregister
- Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
- Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung
- § 27 Anwendungsbereich
- § 28 Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke
- § 29 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung
- § 30 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung in anonymisierter Form
- § 31 Besondere Zweckbindung
- § 32 Meldepflichten
- Zweiter Unterabschnitt: Rechte des Betroffenen
- § 33 Benachrichtigung des Betroffenen
- § 34 Auskunft an den Betroffenen
- § 35 Berichtigung, Löschung und Sperrung von Daten
- Dritter Unterabschnitt: Beauftragter für den Datenschutz, Aufsichtsbehörde
- § 36 Bestellung eines Beauftragten
- § 37 Aufgaben des Beauftragten
- § 38 Aufsichtsbehörde
- Vierter Abschnitt: Sondervorschriften
- § 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
- § 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
- § 41 Verarbeitung und Nutzung personenbezogener Daten durch die Medien
- § 42 Datenschutzbeauftragter der Deutschen Welle
- Fünfter Abschnitt: Schlußvorschriften
- § 43 Strafvorschriften
- § 44 Bußgeldvorschriften
- Anlage (zu §9 )
|
|
§ 1
[Zweck und Anwendungsbereich des Gesetzes]
(1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß
er durch den Umgang mit seinen personenbezogenen Daten in seinem
Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung
personenbezogener Daten durch
- öffentliche Stellen des Bundes,
- öffentliche Stellen der Länder, soweit der Datenschutz nicht
durch Landesgesetz geregelt ist und soweit sie
- Bundesrecht ausführen oder
- als Organe der Rechtspflege tätig werden und es sich nicht um
Verwaltungsangelegenheiten handelt,
- nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien
geschäftsmäßig oder für berufliche oder gewerbliche
Zwecke verarbeiten oder nutzen.
(3) Bei der Anwendung dieses Gesetzes gelten folgende Einschränkungen:
- Für automatisierte Dateien, die ausschließlich aus
verarbeitungstechnischen Gründen vorübergehend erstellt und nach
ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden,
gelten nur die §§ 5 und
9.
- Für nicht-automatisierte Dateien, deren personenbezogene Daten nicht
zur Übermittlung an Dritte bestimmt sind, gelten nur die §§
5, 9, 39
und 40. Außerdem gelten für Dateien
öffentlicher Stellen die Regelungen über die Verarbeitung und Nutzung
personenbezogener Daten in Akten. Werden im Einzelfall personenbezogene Daten
übermittelt, gelten für diesen Einzelfall die Vorschriften dieses
Gesetzes uneingeschränkt.
(4) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten
einschließlich deren Veröffentlichung anzuwenden sind, gehen sie
den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher
Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen,
die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(5) Die Vorschriften dieses Gesetzes gehen denen des
Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts
personenbezogene Daten verarbeitet werden.
§ 2
[Öffentliche und nicht-öffentliche Stellen]
(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe
der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen
des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen
des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer
Rechtsform. Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost
durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) Öffentliche Stellen der Länder sind die Behörden, die
Organe der Rechtspflege und andere öffentlich-rechtlich organisierte
Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger
der Aufsicht des Landes unterstehender juristischer Personen des
öffentlichen Rechts sowie derer Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes
und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen,
gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als
öffentliche Stellen des Bundes, wenn
- sie über den Bereich eines Landes hinaus tätig werden oder
- dem Bund die absolute Mehrheit der Anteile gehört oder die absolute
Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen,
Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit
sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine
nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen
Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses
Gesetzes.
§ 3
[Weitere Begriffsbestimmungen]
(1) Personenbezogene Daten sind Einzelangaben über persönliche
oder sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener).
(2) Eine Datei ist
- eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren
nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder
- jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut
ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden
kann (nicht-automatisierte Datei).
Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß
sie durch automatisierte Verfahren umgeordnet und ausgewertet werden
können.
(3) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende
Unterlage; dazu zählen auch Bild- und Tonträger. Nicht hierunter
fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs
werden sollen.
(4) Erheben ist das Beschaffen von Daten über den Betroffenen.
(5) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren
und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der
dabei angewendeten Verfahren:
- Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten
auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
- Verändern das inhaltliche Umgestalten gespeicherter personenbezogener
Daten,
- Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung
gewonnener personenbezogener Daten an einen Dritten (Empfänger) in der
Weise, daß
- die Daten durch die speichernde Stelle an den Empfänger weitergegeben
werden oder
- der Empfänger von der speichernden Stelle zur Einsicht oder zum Abruf
bereitgehaltene Daten einsieht oder abruft,
- Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre
weitere Verarbeitung oder Nutzung einzuschränken,
- Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(6) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht
um Verarbeitung handelt.
(7) Anonymisieren ist das Verändern personenbezogener Daten derart,
daß die Einzelangaben über persönliche oder sachliche
Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten und
Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person
zugeordnet werden können.
(8) Speichernde Stelle ist jede Person oder Stelle, die personenbezogene
Daten für sich selbst speichert oder durch andere im Auftrag speichern
läßt.
(9) Dritter ist jede Person oder Stelle außerhalb der speichernden
Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen,
die im Geltungsbereich dieses Gesetzes personenbezogene Daten im Auftrag
verarbeiten oder nutzen.
§ 4
[Zulässigkeit der Datenverarbeitung und -nutzung]
(1) Die Verarbeitung personenbezogener Daten und deren Nutzung sind nur
zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt
oder anordnet oder soweit der Betroffene eingewilligt hat.
(2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck
der Speicherung und einer vorgesehenen Übermittlung sowie auf Verlangen
auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung
bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine
andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen
Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung
im äußeren Erscheinungsbild der Erklärung hervorzuheben.
(3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand
im Sinne von Absatz 2 Satz 2 auch dann vor, wenn durch die Schriftform der
bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem
Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus denen
sich die erhebliche Beeinträchtigung des bestimmten Forschungszweckes
ergibt, schriftlich festzuhalten.
§ 5
[Datengeheimnis]
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt,
personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis).
Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen
beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das
Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung
ihrer Tätigkeit fort.
§ 6
[Unabdingbare Rechte des Betroffenen]
(1) Die Rechte des Betroffenen auf Auskunft (§§
19, 34) und auf Berichtigung, Löschung oder
Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft
ausgeschlossen oder beschränkt werden.
(2) Sind die Daten des Betroffenen in einer Datei gespeichert, bei der mehrere
Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der
Lage, die speichernde Stelle festzustellen, so kann er sich an jede dieser
Stellenwenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an
die speichernde Stelle weiterzuleiten. Der Betroffene ist über die
Weiterleitung und die speichernde Stelle zu unterrichten. Die in §
19 Abs.3 genannten Stellen, die
Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche
Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in
Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der
Abgabenordnung zur Überwachung und Prüfung speichern, können
statt des Betroffenen den Bundesbeauftragten für den Datenschutz
unterrichten. In diesem Fall richtet sich das weitere Verfahren nach §
19 Abs.6.
§ 7
[Schadensersatz durch öffentliche Stellen]
(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach
den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über
den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung
seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen
unabhängig von einem Verschulden zum Ersatz des daraus entstehenden
Schadens verpflichtet.
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem
Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen
in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis
zu einem Betrag in Höhe von zweihundertfünfzigtausend Deutsche
Mark begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen
Schadensersatz zu leisten, der insgesamt den Höchstbetrag von
zweihundertfünfzigtausend Deutsche Mark übersteigt, so verringern
sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem
ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der
Geschädigte nicht in der Lage, die speichernde Stelle festzustellen,
so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die
§§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend
anzuwenden.
(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als
nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden
verantwortlich ist, bleiben unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
§ 8
[Schadensersatz durch nicht-öffentliche Stellen]
Macht ein Betroffener gegenüber einer nicht-öffentlichen Stelle
einen Anspruch auf Schadensersatz wegen einer nach diesem Gesetz oder anderen
Vorschriften über den Datenschutz unzulässigen oder unrichtigen
automatisierten Datenverarbeitung geltend und ist streitig, ob der Schaden
die Folge eines von der speichernden Stelle zu vertretenden Umstandes ist,
so trifft die Beweislast die speichernde Stelle.
§ 9
[Technische und organisatorische Maßnahmen]
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag
personenbezogene Daten verarbeiten, haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die Ausführung
der Vorschriften dieses Gesetzes, insbesondere die in der
Anlage zu diesem Gesetz genannten Anforderungen,
zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand
in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 10
[Einrichtung automatisierter Abrufverfahren]
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung
personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit
dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen
der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten
Stellen angemessen ist. Die Vorschriften über die Zulässigkeit
des einzelnen Abrufs bleiben unberührt.
(2) Die beteiligten Stellen haben zu gewährleisten, daß die
Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben
sie schriftlich festzulegen:
- Anlaß und Zweck des Abrufverfahrens,
- Datenempfänger,
- Art der zu übermittelnden Daten,
- nach § 9 erforderliche
technische und organisatorische Maßnahmen.
Im öffentlichen Bereich können die erforderlichen Festlegungen
auch durch die Fachaufsichtsbehörden getroffen werden.
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen
die in § 12 Abs.1 genannten
Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz unter
Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung
von Abrufverfahren, bei denen die in §
6 Abs.2 und in §
19 Abs.3 genannten Stellen beteiligt
sind, ist nur zulässig, wenn der für die speichernde und die abrufende
Stelle jeweils zuständige Bundes- oder Landesminister oder deren Vertreter
zugestimmt haben.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs
trägt der Empfänger. Die speichernde Stelle prüft die
Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht. Die speichernde
Stelle hat zu gewährleisten, daß die Übermittlung
personenbezogener Daten zumindest durch geeignete Stichprobenverfahren
festgestellt und überprüft werden kann. Wird ein Gesamtbestand
personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung),
so bezieht sich die Gewährleistung der Feststellung und
Überprüfung nur auf die Zulässigkeit des Abrufes oder der
Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus
Datenbeständen, die jedermann, sei es ohne oder nach besonderer Zulassung,
zur Benutzung offenstehen.
§ 11
[Verarbeitung oder Nutzung personenbezogener Daten im Auftrag]
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet
oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften
dieses Gesetzes und anderer Vorschriften über den Datenschutz
verantwortlich. Die in den §§
6,
7 und
8 genannten Rechte sind ihm
gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung
der von ihm getroffenen technischen und organisatorischen Maßnahmen
sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen,
wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen
Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.
Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde
erteilt werden.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des
Auftraggebers verarbeiten oder nutzen. Ist er der Ansicht, daß eine
Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den Auftraggeber unverzüglich
darauf hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§
5,
9, 43
Abs.1, Abs.3 und 4 sowie § 44 Abs.1
Nr.2, 5, 6 und 7 und Abs.2 nur die Vorschriften über die
Datenschutzkontrolle oder die Aufsicht, und zwar für
-
- öffentliche Stellen,
- nicht-öffentliche Stellen, bei denen der öffentlichen Hand die
Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und
der Auftraggeber eine öffentliche Stelle ist,
die §§ 18,
24,
25 und
26 oder die entsprechenden Vorschriften
der Datenschutzgesetze der Länder,
- die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene
Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig
verarbeiten oder nutzen, die §§ 32,
36, 37 und
38.
|