(Gesetzentwurf des Abgeordneten Manfred Such und der Fraktion BÜNDNIS90/DIE GRÜNEN)
Entwurf eines
|
|||||||||||||
Entwurf eines
|
A. Problem |
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-DSRL) verlangt bis Oktober 1998 eine grundlegende Überarbeitung des nationalen Datenschutzrechts. Außerdem hat sich gezeigt, daß das seit 1990 geltende Datenschutzgesetz nicht in der Lage ist, angesichts neuer Entwicklungen der Informations- und Kommunikationstechnik einen ausreichenden rechtlichen Gestaltungsrahmen mit dem Ziel des angemessenen Schutzes des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung abzugeben. Die Erfahrungen mit dem BDSG lassen in zunehmendem Maße Vollzugsprobleme und Vollzugsdefizite erkennen. Die dafür ursächlichen Regelungsdefizite und damit die bestehende Rechtsunsicherheit sollen mit dem Gesetzentwurf behoben werden.
B. Lösung |
Das BDSG wird bezüglich Terminologie, Struktur und Inhalt an die EU-DSRL angepaßt. Entsprechend der Forderung der Datenschutzbeauftragten des Bundes und der Länder werden die Vorschriften für den öffentlichen und den privaten Bereich mit dem Ziel eines hohen Schutzes der Betroffenen vereinheitlicht. Die Rechte der Betroffenen und die Transparenz der Datenverarbeitung werden ausgebaut. Das Instrument der Technikfolgenabschätzung wird eingeführt. Die Datenschutzkontrolle wird verbessert. Darüber hinaus werden u.a. folgende Vorschläge der Datenschutzbeauftragten umgesetzt:
C. Alternativen |
Die Beschränkung der Novellierung des BDSG auf die Anpassung an die EU-DSRL würde kurzfristig eine erneute Novellierung nötig machen und die Rechtsunsicherheit erhöhen.
D. Kosten |
Mit direkten zusätzlichen Kosten ist nicht zu rechnen. Die Vereinfachung des Rechts wird in einigen Bereichen zu Einsparungen führen. Neue datenschutzrechtliche Instrumente (z.B. Technikfolgenabschätzung, Führung von Widerspruchslisten beim Bundesbeauftragten) können gewisse Mehrkosten verursachen. Diese Maßnahmen ermöglichen jedoch zugleich Einsparungen bei den verarbeitenden Stellen.
Erster Abschnitt: |
(1) Zweck dieses Gesetzes ist der Schutz der Grundrechte, insbesondere der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, bei der Verarbeitung personenbezogener Daten.
(2) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
(3) Soweit eine Stelle, die ihren Sitz in einem anderen Mitgliedstaat der Europäischen Union hat, im Inland personenbezogene Daten verarbeitet und eine Niederlassung unterhält, sind die Vorschriften dieses Gesetzes anzuwenden. Dieses Gesetz findet auch Anwendung, soweit eine Stelle außerhalb der Europäischen Union personenbezogene Daten im Inland verarbeitet; in diesem Fall hat die verarbeitende Stelle einen im Inland ansässigen Vertreter zu benennen, dem die Rechte und Pflichten der verarbeitenden Stelle obliegen. Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union gelegene Stelle personenbezogene Daten im Inland verarbeitet, ohne daß sie im Inland eine Niederlassung unterhält. Es findet auch keine Anwendung, wenn die Verarbeitung nur dem Zweck der Durchfuhr durch das Gebiet der Europäischen Union dient.
(4) Soweit besondere Rechtsvorschriften des Bundes und der Europäischen Gemeinschaften die Verarbeitung personenbezogener Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor. Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit personenbezogene Daten verarbeitet werden.
(1) Öffentliche Stellen sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstige der Aufsicht des Bundes oder eines Landes unterstehende Personen des öffentlichen Rechts sowie Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Öffentliche Stellen sind auch entsprechende Stellen in den Mitgliedstaaten der Europäischen Union sowie Stellen der Europäischen Union.
(2) Öffentliche Stellen sind auch juristische Personen und sonstige Vereinigungen des privaten Rechts, soweit den in Absatz 1 genannten Stellen die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
(3) Öffentliche Stellen des Bundes im Sinne dieses Gesetzes sind öffentliche Stellen nach den Absätzen 1 und 2, wenn
(4) Nicht öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 und 2 fallen. Als nicht öffentliche Stellen gelten öffentlich-rechtliche Religionsgesellschaften und Stellen in Staaten außerhalb der Europäischen Union. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
(1) Personenbezogene Daten sind Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person).
(2) Automatisiert ist eine Verarbeitung personenbezogener Daten, die unter Einsatz von elektronischen Datenverarbeitungssystemen durchgeführt wird.
(3) Verarbeiten (Verarbeitung) ist jeder Umgang mit personenbezogenen Daten und umfaßt das Erheben, Speichern, Nutzen, Übermitteln, Veröffentlichen, Verändern, Sperren und Löschen. Im einzelnen ist
(4) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(5) Verarbeitende Stelle ist jede Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, unabhängig davon, ob sie die Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten läßt.
(6) Dritter ist jede Person oder Stelle außerhalb der verarbeitenden Stelle. Dritte sind nicht die betroffene Person sowie diejenigen, die im Inland oder im Hoheitsgebiet eines anderen Mitgliedstaates der Europäischen Union personenbezogene Daten im Auftrag verarbeitet. Empfänger ist jede Person, die personenbezogene Daten erhält (Dritte als Übermittlungsempfänger und Auftragsdatenverarbeiter).
(7) Datenschutzkontrollinstanzen sind der Bundesbeauftragte für den Datenschutz sowie die Aufsichtsbehörden nach § 48.
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
(1) Einwilligung ist die widerrufliche, freiwillig und eindeutig bestimmbar abgegebene Willenserklärung einer betroffenen Person, einer bestimmten Datenverarbeitung zuzustimmen.
(2) Die Einwilligung bedarf der Schriftform, es sei denn, daß wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild hervorzuheben. Die betroffene Person ist auf den Zweck, Inhalt und Umfang der Verarbeitung hinzuweisen sowie, unter Darlegung der Folgen, daß sie die Einwilligung verweigern und widerrufen kann.
(3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, daß
(1) Personenbezogene Daten sind bei der betroffenen Person zu erheben. Sie ist über die speichernde Stelle, den Zweck der Erhebung und die beabsichtigte weitere Verarbeitung sowie über eine zugrundeliegende Rechtsvorschrift aufzuklären. Soweit eine Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angaben von Daten voraussetzt, ist die betroffene Person hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Die betroffene Person ist über die Empfänger oder Kategorien von Empfängern sowie über ihre Datenschutzrechte aufzuklären, soweit dies nicht auf Grund der Umstände unangemessen ist.
(2) Ohne Mitwirkung der betroffenen Person dürfen Daten nur erhoben werden, wenn
Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Grund eines Ersuchens einer öffentlichen Stelle, so hat die übermittelnde Stelle lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers hält. Die Rechtmäßigkeit prüft sie, wenn hierzu Anlaß besteht; der Empfänger hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.
(1) Für die Übermittlung an Stellen außerhalb der Europäischen Union sowie an über- und zwischenstaatliche Stellen sind die für die Übermittlung geltenden Vorschriften anzuwenden, wenn im Drittland ein angemessenes Datenschutzniveau gewährleistet ist.
(2) Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände festgestellt, die bei der Datenübermittlung von Bedeutung sind. Herangezogen werden können insbesondere
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt werden.
(4) Ist im Drittland kein angemessenes Datenschutzniveau gewährleistet, so steht dieser Umstand der Übermittlung nicht entgegen, wenn
(5) Unbeschadet von Absatz 4 kann die zuständige Datenschutzkontrollinstanz eine Übermittlung oder eine Kategorie von Übermittlungen genehmigen, wenn die speichernde Stelle ausreichende Garantien hinsichtlich des Schutzes der in § 1 Abs.1 genannten Grundrechte bietet; diese Garantien können sich aus Vertragsklauseln ergeben.
(6) Die Datenschutzkontrollinstanzen unterrichten die zuständigen Stellen der übrigen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission über Drittländer ohne angemessenes Datenschutzniveau nach Absatz 1 sowie über die erteilten Genehmigungen nach Absatz 5.
(7) Sonstige datenschutzrechtliche Regelungen zur Übermittlung bleiben unberührt.
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn es zur Erfüllung der Aufgaben oder der Geschäftszwecke der verarbeitenden Stelle erforderlich ist und für Zwecke erfolgt, für die die Daten erhoben oder gespeichert worden sind. Dies gilt nicht für nicht automatisierte Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden. Die Zweckbegrenzung erfolgt grundsätzlich auch durch das genutzte Datenverarbeitungssystem und den jeweiligen Verarbeitungszusammenhang.
(2) Die Verarbeitung für einen anderen Zweck ist immer unzulässig, wenn dieser mit dem bisherigen Verarbeitungszweck unvereinbar ist. Die Erstellung von Persönlichkeitsprofilen ist unzulässig.
(3) Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um
(1) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes eines automatisierten Verfahrens oder Datenverarbeitungssystems gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
(2) Eine Verarbeitung für andere Zwecke liegt nicht vor, soweit sie zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen oder der Rechnungsprüfung erforderlich ist. Dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken oder für die Durchführung von Organisationsuntersuchungen, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
(1) Die Verarbeitung von personenbezogenen Daten über ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit sowie über Gesundheit und Sexualleben sowie von Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet werden, für den sie sie erhalten hat, es sei denn, daß die Änderung des Zwecks durch eine Rechtsvorschrift zugelassen ist, die angemessene Garantien zum Schutz der in § 1 Abs.1 genannten Grundrechte vorsieht.
(2) Für einen anderen Zweck dürfen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle zur Verfügung gestellt worden sind, nur verarbeitet werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.
(3) Die Absätze 1 und 2 sind nicht anwendbar, wenn
Niemand darf einer Entscheidung mit rechtlichen Folgen oder erheblichen tatsächlichen Auswirkungen unterworfen werden, die ausschließlich auf die automatisierte Verarbeitung personenbezogener Daten gestützt wird, ohne daß der betroffenen Person die Geltendmachung der eigenen Interessen möglich gemacht worden ist.
Bei der Verarbeitung personenbezogener Daten sind die Maßnahmen zu treffen, die nach Art der Verarbeitung gemäß dem Stand der Technik geeignet und angemessen sind,
(1) Zur Verbesserung der Datensicherheit soll, soweit dies angemessen ist, eine Verschlüsselung von personenbezogenen Daten erfolgen. Sensible Daten sollen nur in verschlüsselter Form gespeichert und übermittelt werden.
(2) Die Verarbeitung personenbezogener Daten auf Systemen, zu denen der räumliche Zugang nicht besonderen Schutzvorkehrungen unterliegt, ist nur zulässig, wenn der unbefugte Zugriff hierauf durch geeignete Maßnahmen verhindert wird. Das gleiche gilt für Systeme, die elektronisch mit öffentlichen Netzen verbunden sind.
(1) Die Erbringung einer Leistung darf nicht von einer Einwilligung der betroffenen Person in eine Verarbeitung ihrer Daten für andere Zwecke abhängig gemacht werden. Die Stelle hat die Leistung auch anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich ist. Die das Angebot in Anspruch nehmende Person ist über diese Möglichkeit zu informieren.
(2) Bei der Gestaltung und Auswahl informationstechnischer Produkte hat die verarbeitende Stelle sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten. Sie hat zu prüfen, ob deren Einsatz mit den Regelungen des Datenschutzrechts vereinbar ist. Produkte, deren Vereinbarkeit mit den Regeln des Datenschutzes und der Datensicherheit in einem förmlichen Verfahren geprüft und positiv bewertet worden sind, sollen vorrangig berücksichtigt werden.
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.
(1) Stellen, die personenbezogene Daten automatisiert verarbeiten und hierbei in der Regel mindestens fünf Bedienstete ständig beschäftigen, haben unter Beteiligung der Vertretung der Beschäftigten in entsprechender Anwendung von § 99 des Betriebsverfassungsgesetzes einen Datenschutzbeauftragten zu bestellen. Dieser muß die erforderliche persönliche und fachliche Qualifikation und Eignung besitzen. Werden in der Regel mindestens 500 Bedienstete bei der automatisierten Datenverarbeitung eingesetzt, so ist ein Bediensteter für die Wahrnehmung der Aufgaben des Datenschutzbeauftragten vollständig freizustellen.
(2) Der Datenschutzbeauftragte unterstützt die Stelle bei der Sicherstellung des Datenschutzes. Er hat insbesondere
(3) Der Datenschutzbeauftragte ist dem Leiter oder dem Leitungsorgan der verarbeitenden Stelle unmittelbar zu unterstellen. Er ist bei der Anwendung der Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Seine Bestellung darf nur widerrufen werden auf Verlangen der zuständigen Datenschutzkontrollinstanz oder, nach Beteiligung der Vertretung der Beschäftigten in entsprechender Anwendung von § 99 des Betriebsverfassungsgesetzes, wenn dies wegen mangelhafter Ausübung der Aufgaben oder aus organisatorischen Gründe der verarbeitenden Stelle zwingend erforderlich ist. Er kann sich jederzeit an die zuständige Datenschutzkontrollinstanz wenden.
(4) Die verarbeitende Stelle hat den Datenschutzbeauftragten bei der Ausführung seiner Aufgaben zu unterstützen. Er ist über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Er ist zur Wahrnehmung seiner Aufgaben freizustellen und angemessen mit personellen und sächlichen Mitteln auszustatten. Bedienstete sowie die Vertretung der Beschäftigten können sich jederzeit an den Datenschutzbeauftragten wenden.
(5) Dem Datenschutzbeauftragten ist von der verarbeitenden Stelle eine Übersicht zur Verfügung zu stellen über die in § 19 Abs.2 genannten Angaben. Er hat diese Angaben jeder beantragenden Person in geeigneter Weise verfügbar zu machen.
(6) Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er von der betroffenen Person davon nicht befreit wurde.
(1) Stellen,
(2) Bei der Anmeldung sind folgende Angaben zu machen:
(3) Die Datenschutzkontrollinstanzen führen ein Register mit den in Absatz 2 aufgeführten Angaben. Das Register kann von jeder Person eingesehen werden.
(4) Das Nähere, insbesondere unter welchen Umständen keine Meldepflicht besteht, wird durch Rechtsverordnung festgelegt.
(1) Vor der Entscheidung über den Einsatz oder die wesentliche Änderung von automatisierten Verfahren, von denen spezifische Risiken für die in § 1 Abs.1 genannten Grundrechte oder für die Wirkungsmöglichkeiten demokratischer Organe ausgehen können, ist eine Technikfolgenabschätzung durchzuführen. Die zuständige Datenschutzkontrollinstanz ist bei der Abschätzung zu beteiligen. Dies gilt auch für gemeinnützige Verbände, deren Zielsetzung in der Verwirklichung der in § 1 Abs.1 genannten Grundrechte liegt und die auf Antrag vom zuständigen Bundesministerium hierzu zugelassen werden. Das Ergebnis der Technikfolgenabschätzung und seine Begründung werden von der verarbeitenden Stelle veröffentlicht. Die Verfahren dürfen nur eingesetzt oder wesentlich geändert werden, soweit durch technische oder organisatorische Maßnahmen sichergestellt wird, daß die spezifischen Risiken wirksam beherrscht werden können.
(2) Das Nähere wird durch Rechtsverordnung bestimmt.
Die Rechte der betroffenen Person zu Auskunft, Anrufung der zuständigen Datenschutzkontrollinstanz und Datenkorrektur können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(1) Sind die Daten der betroffenen Person so gespeichert, daß mehrere Stellen verarbeitungsberechtigt sind, so kann sie sich an jede dieser Stellen zur Wahrnehmung ihrer Rechte wenden. Diese ist verpflichtet, das Vorbringen der betroffenen Person an die verarbeitende Stelle weiterzuleiten. Die betroffene Person ist über die Weiterleitung und die speichernde Stelle zu unterrichten.
(2) Erstrebt die betroffene Person eine Überprüfung der Datenverarbeitung auf Grund einer eigenen Initiative (Anrufung einer Datenschutzkontrollinstanz, Ersuchen auf Auskunft, Berichtigung, Sperrung, Schadensersatz), so ist eine Datenlöschung unzulässig.
(1) Der betroffenen Person ist auf Antrag Auskunft zu erteilen über
(2) Begehrt der Antrag Auskunft über nicht automatisiert gespeicherte Daten, so soll dieser Angaben enthalten, die das Auffinden der Daten ermöglichen. Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonderen Umstände eine andere Form angemessen ist.
(3) Die Auskunftserteilung unterbleibt, soweit
(4) Die vollständige oder teilweise Ablehnung der Auskunftserteilung ist zu begründen. Die betroffene Person ist darauf hinzuweisen, daß sie sich an die zuständige Datenschutzkontrollinstanz wenden kann.
(5) Die Auskunft ist unentgeltlich.
(6) Das Verlangen, eine schriftliche Auskunft vor Abschluß eines Vertrages, der für die betroffene Person von besonderer Bedeutung ist, vorzulegen, ist unzulässig.
(1) Werden Daten nicht bei der betroffenen Person erhoben, so ist sie über die gepeicherten Daten, die speichernde Stelle, die Zweckbestimmung der Verarbeitung, die Empfänger oder Kategorien von Empfänger sowie das Bestehen von Auskunfts- und Datenkorrekturrechten zu unterrichten. Ist eine Übermittlung vorgesehen, so hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
(3) Hat die verarbeitende Stelle Grund zur Annahme oder Kenntnis davon, daß unrichtige oder unzulässig verarbeitete Daten bereits derart genutzt wurden, daß der betroffenen Person daraus ein Nachteil entstanden ist oder zu entstehen droht, so hat sie diese unverzüglich zu benachrichtigen.
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) Personenbezogene Daten sind zu löschen, wenn
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
(4) Sind zu korrigierende personenbezogene Daten nicht automatisiert gespeichert und ist eine Datenkorrektur aus tatsächlichen oder rechtlichen Gründen nicht möglich, so ist dies in den Unterlagen, z.B. durch Hinzufügen einer Gegendarstellung, zu vermerken. Erfolgt eine weitere Verarbeitung, so sind diese Vermerke zu berücksichtigen.
(5) Von der Berichtigung, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen unzulässiger Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben werden, es sei denn, dies ist zur Wahrung der schutzwürdigen Interessen der betroffenen Person nicht erforderlich.
(6) Gesperrte Daten dürfen ohne Einwilligung der betroffenen Person nur verarbeitet werden, wenn
Die betroffene Person hat das Recht, die Maßnahmen zur Sicherung von Vertraulichkeit und Unverletzlichkeit zu ergreifen, die sie für erforderlich hält.
(1) Jede Person kann sich direkt an eine Datenschutzkontrollinstanz wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Dies gilt auch für Beschäftigte der verarbeitenden Stelle. Keine Person darf deswegen benachteiligt werden.
(2) Ist die angerufene Stelle nicht zuständig, so gibt sie die Eingabe an die zuständige Stelle ab. Die Person wird informiert, wie mit ihrer Eingabe verfahren wurde.
Die betroffene Person hat das Recht, aus besonderen persönlichen Gründen gegenüber der verarbeitenden Stelle der Verarbeitung ihrer Daten allgemein oder bestimmter Formen der Verarbeitung zu widersprechen. Sie ist über das Ergebnis der Prüfung ihres Widerspruchs zu unterrichten. Ergibt die Prüfung, daß einer Datenverarbeitung schutzwürdige Interessen der betroffenen Person entgegenstehen, so ist die Verarbeitung unzulässig.
(1) Entsteht der betroffenen Person durch eine datenschutzrechtlich unzulässige oder unrichtige Verarbeitung ihrer personenbezogenen Daten ein Schaden, so ist die verarbeitende Stelle oder deren Träger unabhängig von einem Verschulden zum Ersatz des daraus entstandenen Schadens verpflichtet. Bei Verletzung des Persönlichkeitsrechts ist ein Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(2) Ist streitig, ob ein Schaden ursächliche Folge einer unzulässigen oder unrichtigen Verarbeitung ist, so trifft die Beweislast die speichernde Stelle. Sind mehrere Stellen verarbeitende Stellen und ist die geschädigte Person nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. Mehrere Ersatzpflichtige haften als Gesamtschuldner. Auf das Mitverschulden der betroffenen Person und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. Solange eine Überprüfung durch die zuständige Datenschutzkontrollinstanz erfolgt, ist die Verjährungsfrist gehemmt. Weitergehende Schadensersatzansprüche bleiben unberührt.
(3) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
(1) Der Einsatz eines
(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Verfahrens nach Absatz 1 kontrolliert werden kann. Sie haben schriftlich festzulegen:
(3) Über den Einsatz von Verfahren nach Absatz 1 sind die für die beteiligten Stellen zuständigen Datenschutzkontrollinstanzen unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die speichernde Stelle protokolliert die einzelnen Abrufe. Sie prüft die Zulässigkeit der Abrufe, wenn dazu Anlaß besteht. Die speichernde Stelle hat zu gewährleisten, daß die Zulässigkeit der Übermittlung zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann und überprüft wird.
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet, ist der Auftraggeber für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich. Betroffenenrechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ergeben sich für ihn Hinweise, daß bei der Verarbeitung gegen datenschutzrechtliche Vorschriften verstoßen wird, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer gelten nur die §§ 11, 14, 15, 18, 19, 54 und 55 sowie die Vorschriften über die Datenschutzkontrolle.
(5) Personen und Stellen, die mit der Wartung und Systembetreuung automatisierter Verfahren oder Datenverarbeitungssysteme beauftragt sind, unterliegen den Absätzen 1 bis 4. Sie müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen. Die Dokumentation der Maßnahmen ist zum Zweck der Datenschutzkontrolle drei Jahre aufzubewahren. Soweit erforderlich, ist eine Kenntnisnahme von Berufs- und besonderen Amtsgeheimnissen sowie von sensiblen Daten zulässig.
(1) Der Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien, die von den betroffenen Personen mit sich geführt werden und die mit elektronischen Lese- und Schreibgeräten direkt kommunizieren, ist nur zulässig, soweit ein Gesetz dies vorsieht oder die betroffene Person eingewilligt hat. Verarbeitende Stelle ist diejenige, die Kontrolle über das Verfahren oder über den jeweiligen Verfahrensteil hat.
(2) Jede Kommunikation zwischen mobilen Speicher- und Verarbeitungsmedien und elektronischen Lese- und Schreibgeräten muß für die betroffene Person erkennbar sein. Erfolgt bei dieser Kommunikation eine Datenspeicherung, so ist sicherzustellen, daß die betroffene Person hierüber einen schriftlichen Nachweis erhalten kann.
(3) Der Anspruch auf Auskunft über alle auf einem Speicher- und Verarbeitungsmedium zu ihrer Person gespeicherten Daten ist durch angemessene Bereitstellung von Endgeräten durch die speichernden Stellen sicherzustellen. Soweit nicht ein Gesetz anderes vorsieht, darf niemand gezwungen werden, mobile Speicher- und Verarbeitungsmedien oder Ausdrucke ihres Inhalts vorzulegen.
(4) Werden mobile Speicher- und Verarbeitungsmedien mit Einwilligung der betroffenen Person eingesetzt, so ist diese vor der Erteilung der Einwilligung zu unterrichten über
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, daß schutzwürdige Interessen der betroffenen Personen überwiegen. Der Umstand der Beobachtung ist durch geeignete Maßnahmen erkennbar zu machen.
(2) Die Speicherung von nach Absatz 1 Satz 1 erhobenen Daten ist zulässig, wenn dies zum Erreichen des verfolgten Zweckes dringend erforderlich ist. Die Daten sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind.
(3) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese zu benachrichtigen, es sei denn, dem stehen überwiegende öffentliche Interessen der Strafverfolgung oder der Gefahrenabwehr entgegen.
Zum Zweiten Abschnitt |