Datenschutz und Recht
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

(Gesetzentwurf des Abgeordneten Manfred Such und der Fraktion BÜNDNIS90/DIE GRÜNEN)

Entwurf eines
BUNDESDATENSCHUTZGESETZES (BDSG)

Vom 14.November 1997 (BT-Drucksache 13/9082)

Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:

Inhaltsübersicht:

  1. Problem
  2. Lösung
  3. Alternativen
  4. Kosten

  • Erster Abschnitt: Allgemeine Bestimmungen
    • Erster Unterabschnitt: Grundlagen
      • § 1 Zweck und Anwendungsbereich des Gesetzes
      • § 2 Öffentliche und nicht-öffentliche Stellen
      • § 3 Weitere Begriffsbestimmungen
      • § 4 Zulässigkeit der Datenverarbeitung
      • § 5 Einwilligung
      • § 6 Datenerhebung
      • § 7 Verantwortung bei der Datenübermittlung
      • § 8 Datenübermittlung in Drittländer
      • § 9 Allgemeine Grundsätze:
        Zweckbindung, Erforderlichkeit, Datenvermeidung, Datensicherheit, Transparenz
      • § 10 Besondere Regelungen zur Zweckbindung
      • § 11 Datengeheimnis
      • § 12 Verarbeitung besonderer Kategorien von Daten
      • § 13 Automatisierte Entscheidungen
    • Zweiter Unterabschnitt: Technische und Organisatorische Maßnahmen
      • § 14 Standardmaßnahmen
      • § 15 Besondere Maßnahmen
      • § 16 Grundsätze der Systemgestaltung
      • § 17 Datenschutz-Audit
      • § 18 Behördlicher bzw. betrieblicher Datenschutzbeauftragter
      • § 19 Meldepflicht
      • § 20 Vorabkontrolle durch Technikfolgenabschätzung
    • Dritter Unterabschnitt: Betroffenenrechte
      • § 21 Unabdingbarkeit
      • § 22 Sicherung der Betroffenenrechte
      • § 23 Auskunft an die betroffene Person
      • § 24 Benachrichtigung
      • § 25 Datenkorrektur (Berrichtigung, Löschung und Sperrung
      • § 26 Recht auf Datensicherung
      • § 27 Anrufung der Datenschutzkontrollinstanz
      • § 28 Widerspruchsrecht
      • § 29 Schadensersatz
    • Vierter Unterabschnitt: Besondere Formen der Datenverarbeitung
      • § 30 Einsatz automatisierter Abruf- und Verbundverfahren
      • § 31 Datenverarbeitung im Auftrag, externe Wartung
      • § 32 Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien
      • § 33 Videoüberwachung

  • Zweiter Abschnitt: Datenverarbeitung der öffentlichen Stellen
    • Erster Unterabschnitt: Voraussetzungen für die Zulässigkeit
      • § 35 Zulässigkeit der Verarbeitung
      • § 36 Übermittlung innerhalb des öffentlichen Bereichs
      • § 37 Übermittlung an Empfänger außerhalb des öffentlichen Bereichs
    • Zweiter Unterabschnitt: Bundesbeauftragter für den Datenschutz
      • § 38 Rechtsstellung
      • § 39 Kontrolle durch den Bundesbeauftragten
      • § 40 Beanstandungen durch den Bundesbeauftragten
      • § 41 Weitere Aufgaben und Befugnisse des Bundesbeauftragten

  • Dritter Abschnitt: Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
      • § 42 Anwendungsbereich
      • § 43 Datenverarbeitung für eigene Zwecke
      • § 44 Datenverarbeitung zum Zweck der Übermittlung
      • § 45 Automatisierte Veröffentlichung
      • § 46 Datenverarbeitung zum Zweck der Werbung und der Markt- und Meinungsforschung
      • § 47 Verarbeitung besonderer Kategorien von Daten
      • § 48 Aufsichtsbehörde

  • Vierter Abschnitt: Sondervorschriften
      • § 49 Verhaltensregeln
      • § 50 Datenverarbeitung bei Beschäftigungsverhältnissen
      • § 51 Datenverarbeitung zum Zwecke wissenschaftlicher Forschung
      • § 52 Datenverarbeitung durch die Medien

  • Fünfter Abschnitt: Schlußvorschriften
      • § 53 Unterrichtung der Staatsanwaltschaft
      • § 54 Strafvorschriften
      • § 55 Ordnungswidrigkeiten
      • § 56 Übergangsvorschrift
      • § 57 Inkrafttreten, Außerkrafttreten

  • Begründung

Seitenanfang

Entwurf eines
BUNDESDATENSCHUTZGESETZES (BDSG)

Zur Inhaltsübersicht

A. Problem

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU-DSRL) verlangt bis Oktober 1998 eine grundlegende Überarbeitung des nationalen Datenschutzrechts. Außerdem hat sich gezeigt, daß das seit 1990 geltende Datenschutzgesetz nicht in der Lage ist, angesichts neuer Entwicklungen der Informations- und Kommunikationstechnik einen ausreichenden rechtlichen Gestaltungsrahmen mit dem Ziel des angemessenen Schutzes des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung abzugeben. Die Erfahrungen mit dem BDSG lassen in zunehmendem Maße Vollzugsprobleme und Vollzugsdefizite erkennen. Die dafür ursächlichen Regelungsdefizite und damit die bestehende Rechtsunsicherheit sollen mit dem Gesetzentwurf behoben werden.

Zur Inhaltsübersicht

B. Lösung

Das BDSG wird bezüglich Terminologie, Struktur und Inhalt an die EU-DSRL angepaßt. Entsprechend der Forderung der Datenschutzbeauftragten des Bundes und der Länder werden die Vorschriften für den öffentlichen und den privaten Bereich mit dem Ziel eines hohen Schutzes der Betroffenen vereinheitlicht. Die Rechte der Betroffenen und die Transparenz der Datenverarbeitung werden ausgebaut. Das Instrument der Technikfolgenabschätzung wird eingeführt. Die Datenschutzkontrolle wird verbessert. Darüber hinaus werden u.a. folgende Vorschläge der Datenschutzbeauftragten umgesetzt:

  • Erweiterung des Schutzbereichs, Regelung der Videoüberwachung,
  • stärkere Einbeziehung von Presse und Medien,
  • Sonderregelung für besonders empfindliche Bereiche, wie den Umgang mit Arbeitnehmerdaten oder Gesundheitsdaten,
  • Ausrichtung des Rechts auf die Gegebenheiten moderner Multimediaanwendungen (anonyme Nutzung, Datensparsamkeit),
  • Regelung für Chipkartenanwendungen,
  • Schutz bei Persönlichkeitsbewertungen durch den Computer,
  • verbesserter Schutz gegenüber Adressenhandel und Direktmarketing,
  • Verbesserung des Datenschutzes bei grenzüberschreitender Datenverarbeitung.

Zur Inhaltsübersicht

C. Alternativen

Die Beschränkung der Novellierung des BDSG auf die Anpassung an die EU-DSRL würde kurzfristig eine erneute Novellierung nötig machen und die Rechtsunsicherheit erhöhen.

Zur Inhaltsübersicht

D. Kosten

Mit direkten zusätzlichen Kosten ist nicht zu rechnen. Die Vereinfachung des Rechts wird in einigen Bereichen zu Einsparungen führen. Neue datenschutzrechtliche Instrumente (z.B. Technikfolgenabschätzung, Führung von Widerspruchslisten beim Bundesbeauftragten) können gewisse Mehrkosten verursachen. Diese Maßnahmen ermöglichen jedoch zugleich Einsparungen bei den verarbeitenden Stellen.

Entwurf eines
BUNDESDATENSCHUTZGESETZES (BDSG)

Zur Inhaltsübersicht

Erster Abschnitt:
Allgemeine Bestimmungen

Erster Unterabschnitt:
Grundlagen

§ 1
[Zweck und Anwendungsbereich des Gesetzes]

(1) Zweck dieses Gesetzes ist der Schutz der Grundrechte, insbesondere der Privatsphäre und des Rechts auf informationelle Selbstbestimmung, bei der Verarbeitung personenbezogener Daten.

(2) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch

  1. öffentliche Stellen des Bundes und
  2. nicht öffentliche Stellen, soweit diese personenbezogene Daten nicht ausschließlich für persönliche und private Zwecke verarbeiten und die Daten automatisiert oder in einer strukturierten Sammlung, die nach bestimmten Kriterien zugänglich ist, gespeichert werden, gespeichert werden sollen oder aus einer solchen Datensammlung stammen.

(3) Soweit eine Stelle, die ihren Sitz in einem anderen Mitgliedstaat der Europäischen Union hat, im Inland personenbezogene Daten verarbeitet und eine Niederlassung unterhält, sind die Vorschriften dieses Gesetzes anzuwenden. Dieses Gesetz findet auch Anwendung, soweit eine Stelle außerhalb der Europäischen Union personenbezogene Daten im Inland verarbeitet; in diesem Fall hat die verarbeitende Stelle einen im Inland ansässigen Vertreter zu benennen, dem die Rechte und Pflichten der verarbeitenden Stelle obliegen. Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union gelegene Stelle personenbezogene Daten im Inland verarbeitet, ohne daß sie im Inland eine Niederlassung unterhält. Es findet auch keine Anwendung, wenn die Verarbeitung nur dem Zweck der Durchfuhr durch das Gebiet der Europäischen Union dient.

(4) Soweit besondere Rechtsvorschriften des Bundes und der Europäischen Gemeinschaften die Verarbeitung personenbezogener Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor. Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit personenbezogene Daten verarbeitet werden.

§ 2
[Öffentliche und nicht öffentliche Stellen]

(1) Öffentliche Stellen sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstige der Aufsicht des Bundes oder eines Landes unterstehende Personen des öffentlichen Rechts sowie Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Öffentliche Stellen sind auch entsprechende Stellen in den Mitgliedstaaten der Europäischen Union sowie Stellen der Europäischen Union.

(2) Öffentliche Stellen sind auch juristische Personen und sonstige Vereinigungen des privaten Rechts, soweit den in Absatz 1 genannten Stellen die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.

(3) Öffentliche Stellen des Bundes im Sinne dieses Gesetzes sind öffentliche Stellen nach den Absätzen 1 und 2, wenn

  1. sie Einrichtungen des Bundes sind oder der Aufsicht des Bundes unterstehen,
  2. sie regelmäßig über den Bereich eines Landes oder bestimmter Länder hinaus tätig werden oder
  3. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.

(4) Nicht öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 und 2 fallen. Als nicht öffentliche Stellen gelten öffentlich-rechtliche Religionsgesellschaften und Stellen in Staaten außerhalb der Europäischen Union. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

§ 3
[Weitere Begriffsbestimmungen]

(1) Personenbezogene Daten sind Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person).

(2) Automatisiert ist eine Verarbeitung personenbezogener Daten, die unter Einsatz von elektronischen Datenverarbeitungssystemen durchgeführt wird.

(3) Verarbeiten (Verarbeitung) ist jeder Umgang mit personenbezogenen Daten und umfaßt das Erheben, Speichern, Nutzen, Übermitteln, Veröffentlichen, Verändern, Sperren und Löschen. Im einzelnen ist

  1. Erheben das Beschaffen von Daten über die betroffene Person,
  2. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung,
  3. Nutzen jede sonstige Verwendung personenbezogener Daten innerhalb der verarbeitenden Stelle einschließlich ihrer Weitergabe,
  4. Übermitteln das Bekanntgeben oder sonstige Offenbaren personenbezogener Daten an Dritte, insbesondere durch Weitergabe an Dritte oder durch Einsichtnahme oder Abruf von hierzu bereitgestellten Daten,
  5. Veröffentlichen das Übermitteln an eine unbestimmte Zahl von Dritten,
  6. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
  7. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um die weitere Verarbeitung einzuschränken,
  8. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

(4) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Angaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(5) Verarbeitende Stelle ist jede Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, unabhängig davon, ob sie die Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten läßt.

(6) Dritter ist jede Person oder Stelle außerhalb der verarbeitenden Stelle. Dritte sind nicht die betroffene Person sowie diejenigen, die im Inland oder im Hoheitsgebiet eines anderen Mitgliedstaates der Europäischen Union personenbezogene Daten im Auftrag verarbeitet. Empfänger ist jede Person, die personenbezogene Daten erhält (Dritte als Übermittlungsempfänger und Auftragsdatenverarbeiter).

(7) Datenschutzkontrollinstanzen sind der Bundesbeauftragte für den Datenschutz sowie die Aufsichtsbehörden nach § 48.

§ 4
[Zulässigkeit der Datenverarbeitung]

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.

§ 5
[Einwilligung]

(1) Einwilligung ist die widerrufliche, freiwillig und eindeutig bestimmbar abgegebene Willenserklärung einer betroffenen Person, einer bestimmten Datenverarbeitung zuzustimmen.

(2) Die Einwilligung bedarf der Schriftform, es sei denn, daß wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild hervorzuheben. Die betroffene Person ist auf den Zweck, Inhalt und Umfang der Verarbeitung hinzuweisen sowie, unter Darlegung der Folgen, daß sie die Einwilligung verweigern und widerrufen kann.

(3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, daß

  1. sie nur durch eindeutige und bewußte Handlung der betroffenen Person erfolgen kann,
  2. sie nicht unerkennbar verändert werden kann,
  3. die Urheberschaft erkannt werden kann,
  4. diese protokolliert wird und
  5. deren Inhalt von der betroffenen Person jederzeit ohne unverhältnismäßigen Aufwand zur Kenntnis genommen werden kann.

§ 6
[Datenerhebung]

(1) Personenbezogene Daten sind bei der betroffenen Person zu erheben. Sie ist über die speichernde Stelle, den Zweck der Erhebung und die beabsichtigte weitere Verarbeitung sowie über eine zugrundeliegende Rechtsvorschrift aufzuklären. Soweit eine Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angaben von Daten voraussetzt, ist die betroffene Person hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Die betroffene Person ist über die Empfänger oder Kategorien von Empfängern sowie über ihre Datenschutzrechte aufzuklären, soweit dies nicht auf Grund der Umstände unangemessen ist.

(2) Ohne Mitwirkung der betroffenen Person dürfen Daten nur erhoben werden, wenn

  1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
  2. die erfüllende Aufgabe oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
  3. die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. Erfolgt die Erhebung über die betroffene Person bei einem Dritten, der nicht öffentliche Stelle ist, so ist dieser entsprechend Absatz 1 Satz 2 und 3 aufzuklären.

§ 7
[Verantwortung bei der Datenübermittlung]

Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Grund eines Ersuchens einer öffentlichen Stelle, so hat die übermittelnde Stelle lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers hält. Die Rechtmäßigkeit prüft sie, wenn hierzu Anlaß besteht; der Empfänger hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.

§ 8
[Datenübermittlung in Drittländer]

(1) Für die Übermittlung an Stellen außerhalb der Europäischen Union sowie an über- und zwischenstaatliche Stellen sind die für die Übermittlung geltenden Vorschriften anzuwenden, wenn im Drittland ein angemessenes Datenschutzniveau gewährleistet ist.

(2) Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände festgestellt, die bei der Datenübermittlung von Bedeutung sind. Herangezogen werden können insbesondere

  • die Art der Daten,
  • die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung,
  • das Herkunfts- und das Bestimmungsland,
  • die im Drittland geltenden Rechtsnormen, Standesregeln und Sicherheitsmaßnahmen.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt werden.

(4) Ist im Drittland kein angemessenes Datenschutzniveau gewährleistet, so steht dieser Umstand der Übermittlung nicht entgegen, wenn

  1. die betroffene Person ihre Einwilligung erteilt hat,
  2. die Übermittlung im Rahmen eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit der betroffenen Person erforderlich ist,
  3. die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person von der verarbeitenden Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
  4. die Übermittlung für die Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung eines rechtlichen Interesses erforderlich ist,
  5. die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist,
  6. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt.

(5) Unbeschadet von Absatz 4 kann die zuständige Datenschutzkontrollinstanz eine Übermittlung oder eine Kategorie von Übermittlungen genehmigen, wenn die speichernde Stelle ausreichende Garantien hinsichtlich des Schutzes der in § 1 Abs.1 genannten Grundrechte bietet; diese Garantien können sich aus Vertragsklauseln ergeben.

(6) Die Datenschutzkontrollinstanzen unterrichten die zuständigen Stellen der übrigen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission über Drittländer ohne angemessenes Datenschutzniveau nach Absatz 1 sowie über die erteilten Genehmigungen nach Absatz 5.

(7) Sonstige datenschutzrechtliche Regelungen zur Übermittlung bleiben unberührt.

§ 9
[Allgemeine Grundsätze:
Zweckbindung, Erforderlichkeit, Datenvermeidung, Datensicherheit, Transparenz]

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn es zur Erfüllung der Aufgaben oder der Geschäftszwecke der verarbeitenden Stelle erforderlich ist und für Zwecke erfolgt, für die die Daten erhoben oder gespeichert worden sind. Dies gilt nicht für nicht automatisierte Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden. Die Zweckbegrenzung erfolgt grundsätzlich auch durch das genutzte Datenverarbeitungssystem und den jeweiligen Verarbeitungszusammenhang.

(2) Die Verarbeitung für einen anderen Zweck ist immer unzulässig, wenn dieser mit dem bisherigen Verarbeitungszweck unvereinbar ist. Die Erstellung von Persönlichkeitsprofilen ist unzulässig.

(3) Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um

  1. so wenige personenbezogene Daten wie möglich zu verarbeiten,
  2. die Ausführung datenschutzrechtlicher Vorschriften, insbesondere die Maßnahmen der Datensicherheit, sicherzustellen und
  3. für die betroffenen Personen und für die Datenschutzkontrolle Öffentlichkeit und Nachvollziehbarkeit (Transparenz) zu gewährleisten.

§ 10
[Besondere Regelungen zur Zweckbindung]

(1) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes eines automatisierten Verfahrens oder Datenverarbeitungssystems gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

(2) Eine Verarbeitung für andere Zwecke liegt nicht vor, soweit sie zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen oder der Rechnungsprüfung erforderlich ist. Dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken oder für die Durchführung von Organisationsuntersuchungen, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.

§ 11
[Datengeheimnis]

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

§ 12
[Verarbeitung besonderer Kategorien von Daten]

(1) Die Verarbeitung von personenbezogenen Daten über ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit sowie über Gesundheit und Sexualleben sowie von Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet werden, für den sie sie erhalten hat, es sei denn, daß die Änderung des Zwecks durch eine Rechtsvorschrift zugelassen ist, die angemessene Garantien zum Schutz der in § 1 Abs.1 genannten Grundrechte vorsieht.

(2) Für einen anderen Zweck dürfen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle zur Verfügung gestellt worden sind, nur verarbeitet werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.

(3) Die Absätze 1 und 2 sind nicht anwendbar, wenn

  1. die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist,
  2. die betroffene Person aus tatsächlichen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen,
  3. die Verarbeitung sich auf Daten bezieht, die die betroffene Person selbst öffentlich gemacht hat.

§ 13
[Automatisierte Entscheidungen]

Niemand darf einer Entscheidung mit rechtlichen Folgen oder erheblichen tatsächlichen Auswirkungen unterworfen werden, die ausschließlich auf die automatisierte Verarbeitung personenbezogener Daten gestützt wird, ohne daß der betroffenen Person die Geltendmachung der eigenen Interessen möglich gemacht worden ist.

Zweiter Unterabschnitt:
Technische und organisatorische Maßnahmen

§ 14
[Standardmaßnahmen]

Bei der Verarbeitung personenbezogener Daten sind die Maßnahmen zu treffen, die nach Art der Verarbeitung gemäß dem Stand der Technik geeignet und angemessen sind,

  1. Unbefugten den Zugang zu personenbezogenen Daten zu verwehren
    (Zugangskontrolle),
  2. zu verhindern, daß gespeicherte Daten unbefugt genutzt, verändert oder gelöscht werden können
    (Datenträger-, Speicher- und Benutzerkontrolle),
  3. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt werden können und übermittelt wurden
    (Übermittlungskontrolle),
  4. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten wann von wem eingegeben, verändert, genutzt oder gelöscht worden sind
    (Eingabekontrolle),
  5. zu gewährleisten, daß in einem vernetzten System überprüft und festgestellt werden kann, von welchen Systemteilen aus Daten genutzt, verändert oder weitergegeben worden sind
    (Netzkontrolle),
  6. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können und verarbeitet werden
    (Auftragskontrolle),
  7. zu verhindern, daß bei der Übertragung sowie beim Transport personenbezogene Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können
    (Übertragungs- und Transportkontrolle),
  8. zu gewährleisten, daß personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
    (Verfügbarkeitskontrolle),
  9. durch Dokumentation aller relevanten Verarbeitungsschritte die Revisionsfähigkeit eines Datenverarbeitungssystems sicherzustellen
    (Revisionskontrolle),
  10. die Organisation der Stelle so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird
    (Organisationskontrolle).

§ 15
[Besondere Maßnahmen]

(1) Zur Verbesserung der Datensicherheit soll, soweit dies angemessen ist, eine Verschlüsselung von personenbezogenen Daten erfolgen. Sensible Daten sollen nur in verschlüsselter Form gespeichert und übermittelt werden.

(2) Die Verarbeitung personenbezogener Daten auf Systemen, zu denen der räumliche Zugang nicht besonderen Schutzvorkehrungen unterliegt, ist nur zulässig, wenn der unbefugte Zugriff hierauf durch geeignete Maßnahmen verhindert wird. Das gleiche gilt für Systeme, die elektronisch mit öffentlichen Netzen verbunden sind.

§ 16
[Grundsätze der Systemgestaltung]

(1) Die Erbringung einer Leistung darf nicht von einer Einwilligung der betroffenen Person in eine Verarbeitung ihrer Daten für andere Zwecke abhängig gemacht werden. Die Stelle hat die Leistung auch anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich ist. Die das Angebot in Anspruch nehmende Person ist über diese Möglichkeit zu informieren.

(2) Bei der Gestaltung und Auswahl informationstechnischer Produkte hat die verarbeitende Stelle sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu verarbeiten. Sie hat zu prüfen, ob deren Einsatz mit den Regelungen des Datenschutzrechts vereinbar ist. Produkte, deren Vereinbarkeit mit den Regeln des Datenschutzes und der Datensicherheit in einem förmlichen Verfahren geprüft und positiv bewertet worden sind, sollen vorrangig berücksichtigt werden.

§ 17
[Datenschutz-Audit]

Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

§ 18
[Behördlicher bzw. betrieblicher Datenschutzbeauftragter]

(1) Stellen, die personenbezogene Daten automatisiert verarbeiten und hierbei in der Regel mindestens fünf Bedienstete ständig beschäftigen, haben unter Beteiligung der Vertretung der Beschäftigten in entsprechender Anwendung von § 99 des Betriebsverfassungsgesetzes einen Datenschutzbeauftragten zu bestellen. Dieser muß die erforderliche persönliche und fachliche Qualifikation und Eignung besitzen. Werden in der Regel mindestens 500 Bedienstete bei der automatisierten Datenverarbeitung eingesetzt, so ist ein Bediensteter für die Wahrnehmung der Aufgaben des Datenschutzbeauftragten vollständig freizustellen.

(2) Der Datenschutzbeauftragte unterstützt die Stelle bei der Sicherstellung des Datenschutzes. Er hat insbesondere

  1. die Einhaltung sowie die Umsetzung der datenschutzrechtlichen Vorschriften zu überprüfen,
  2. die bei der Verarbeitung personenbezogener Daten tätigen Personen über die jeweils spezifischen Erfordernisse für den Datenschutz zu unterrichten,
  3. bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen und bei der Auswahl der Verarbeitungssysteme und -programme beratend mitzuwirken,
  4. bei der Einführung oder der wesentlichen Änderung von automatisierten Verfahren, bei denen keine Technikfolgenabschätzung nach § 20 erfolgt, eine entsprechende Vorabkontrolle durchzuführen.

(3) Der Datenschutzbeauftragte ist dem Leiter oder dem Leitungsorgan der verarbeitenden Stelle unmittelbar zu unterstellen. Er ist bei der Anwendung der Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Seine Bestellung darf nur widerrufen werden auf Verlangen der zuständigen Datenschutzkontrollinstanz oder, nach Beteiligung der Vertretung der Beschäftigten in entsprechender Anwendung von § 99 des Betriebsverfassungsgesetzes, wenn dies wegen mangelhafter Ausübung der Aufgaben oder aus organisatorischen Gründe der verarbeitenden Stelle zwingend erforderlich ist. Er kann sich jederzeit an die zuständige Datenschutzkontrollinstanz wenden.

(4) Die verarbeitende Stelle hat den Datenschutzbeauftragten bei der Ausführung seiner Aufgaben zu unterstützen. Er ist über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten. Er ist zur Wahrnehmung seiner Aufgaben freizustellen und angemessen mit personellen und sächlichen Mitteln auszustatten. Bedienstete sowie die Vertretung der Beschäftigten können sich jederzeit an den Datenschutzbeauftragten wenden.

(5) Dem Datenschutzbeauftragten ist von der verarbeitenden Stelle eine Übersicht zur Verfügung zu stellen über die in § 19 Abs.2 genannten Angaben. Er hat diese Angaben jeder beantragenden Person in geeigneter Weise verfügbar zu machen.

(6) Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er von der betroffenen Person davon nicht befreit wurde.

§ 19
[Meldepflicht]

(1) Stellen,

  1. deren Verarbeitung personenbezogener Daten wegen der Art der Daten, der Verarbeitung und der voraussichtlichen Empfänger eine besondere Gefahr für den Schutz der in § 1 Abs.1 genannten Grundrechte besteht und die keinen Datenschutzbeauftragten bestellt haben,
  2. die personenbezogene Daten zum Zweck der Übermittlung oder im Auftrag als Dienstleistungsunternehmen verarbeiten, es sei denn, dies stellt wegen der Geringfügigkeit der Verarbeitung keine wesentliche Gefahr für den Schutz der in § 1 Abs.1 genannten Grundrechte dar,
haben vor Aufnahme, Veränderung und Beendigung ihrer Tätigkeit dies der zuständigen Datenschutzkontrollinstanz mitzuteilen.

(2) Bei der Anmeldung sind folgende Angaben zu machen:

  1. Name oder Firma und Anschrift der speichernden Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige rechtlich berufene Leiter und die mit der Leitung beauftragten Personen,
  3. die Zwecke der Datenverarbeitung,
  4. eine Beschreibung der Kategorien der betroffenen Personen und der verarbeiteten Daten,
  5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  6. soweit vorhanden, Name des Datenschutzbeauftragten,
  7. Regelfristen für die Datenlöschung,
  8. geplante Datenübermittlungen in Drittländer,
  9. eine allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen und der Datensicherungsmaßnahmen nach § 14.

(3) Die Datenschutzkontrollinstanzen führen ein Register mit den in Absatz 2 aufgeführten Angaben. Das Register kann von jeder Person eingesehen werden.

(4) Das Nähere, insbesondere unter welchen Umständen keine Meldepflicht besteht, wird durch Rechtsverordnung festgelegt.

§ 20
[Vorabkontrolle durch Technikfolgenabschätzung]

(1) Vor der Entscheidung über den Einsatz oder die wesentliche Änderung von automatisierten Verfahren, von denen spezifische Risiken für die in § 1 Abs.1 genannten Grundrechte oder für die Wirkungsmöglichkeiten demokratischer Organe ausgehen können, ist eine Technikfolgenabschätzung durchzuführen. Die zuständige Datenschutzkontrollinstanz ist bei der Abschätzung zu beteiligen. Dies gilt auch für gemeinnützige Verbände, deren Zielsetzung in der Verwirklichung der in § 1 Abs.1 genannten Grundrechte liegt und die auf Antrag vom zuständigen Bundesministerium hierzu zugelassen werden. Das Ergebnis der Technikfolgenabschätzung und seine Begründung werden von der verarbeitenden Stelle veröffentlicht. Die Verfahren dürfen nur eingesetzt oder wesentlich geändert werden, soweit durch technische oder organisatorische Maßnahmen sichergestellt wird, daß die spezifischen Risiken wirksam beherrscht werden können.

(2) Das Nähere wird durch Rechtsverordnung bestimmt.

Dritter Unterabschnitt:
Betroffenenrechte

§ 21
[Unabdingbarkeit]

Die Rechte der betroffenen Person zu Auskunft, Anrufung der zuständigen Datenschutzkontrollinstanz und Datenkorrektur können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

§ 22
[Sicherung der Betroffenenrechte]

(1) Sind die Daten der betroffenen Person so gespeichert, daß mehrere Stellen verarbeitungsberechtigt sind, so kann sie sich an jede dieser Stellen zur Wahrnehmung ihrer Rechte wenden. Diese ist verpflichtet, das Vorbringen der betroffenen Person an die verarbeitende Stelle weiterzuleiten. Die betroffene Person ist über die Weiterleitung und die speichernde Stelle zu unterrichten.

(2) Erstrebt die betroffene Person eine Überprüfung der Datenverarbeitung auf Grund einer eigenen Initiative (Anrufung einer Datenschutzkontrollinstanz, Ersuchen auf Auskunft, Berichtigung, Sperrung, Schadensersatz), so ist eine Datenlöschung unzulässig.

§ 23
[Auskunft an die betroffene Person]

(1) Der betroffenen Person ist auf Antrag Auskunft zu erteilen über

  1. die zu ihrer Person verarbeiteten Daten, auch soweit sie sich auf Herkunft oder Empfänger dieser Daten beziehen,
  2. den Zweck der Verarbeitung,
  3. die organisatorische Struktur und den logischen Aufbau der automatisierten Verarbeitung in bezug auf ihre Daten.

(2) Begehrt der Antrag Auskunft über nicht automatisiert gespeicherte Daten, so soll dieser Angaben enthalten, die das Auffinden der Daten ermöglichen. Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonderen Umstände eine andere Form angemessen ist.

(3) Die Auskunftserteilung unterbleibt, soweit

  1. die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  2. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen bestimmter überwiegender Interessen von Dritten geheimgehalten werden müssen.

(4) Die vollständige oder teilweise Ablehnung der Auskunftserteilung ist zu begründen. Die betroffene Person ist darauf hinzuweisen, daß sie sich an die zuständige Datenschutzkontrollinstanz wenden kann.

(5) Die Auskunft ist unentgeltlich.

(6) Das Verlangen, eine schriftliche Auskunft vor Abschluß eines Vertrages, der für die betroffene Person von besonderer Bedeutung ist, vorzulegen, ist unzulässig.

§ 24
[Benachrichtigung]

(1) Werden Daten nicht bei der betroffenen Person erhoben, so ist sie über die gepeicherten Daten, die speichernde Stelle, die Zweckbestimmung der Verarbeitung, die Empfänger oder Kategorien von Empfänger sowie das Bestehen von Auskunfts- und Datenkorrekturrechten zu unterrichten. Ist eine Übermittlung vorgesehen, so hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn

  1. die betroffene Person auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
  2. die Daten nur wegen gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften oder zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes (§ 10 Abs.1) gespeichert werden,
  3. die Speicherung oder Übermittlung durch Gesetz zwingend vorgesehen ist,
  4. die Speicherung oder Übermittlung Zwecken der Strafverfolgung, der Verfolgung von Ordnungswidrigkeiten oder der Gefahrenabwehr dient,
  5. die Daten wegen eines überwiegenden rechtlichen Interesses eines Dritten oder wegen eines öffentlichen Interesses geheimgehalten werden müssen,
  6. die Daten von der verarbeitenden Stelle nach § 45 automatisiert veröffentlicht werden dürfen oder
  7. die Speicherung nach § 46 Abs.4 der Markt- und Meinungsforschung dient.

(3) Hat die verarbeitende Stelle Grund zur Annahme oder Kenntnis davon, daß unrichtige oder unzulässig verarbeitete Daten bereits derart genutzt wurden, daß der betroffenen Person daraus ein Nachteil entstanden ist oder zu entstehen droht, so hat sie diese unverzüglich zu benachrichtigen.

§ 25
[Datenkorrektur (Berichtigung, Löschung und Sperrung)]

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

(2) Personenbezogene Daten sind zu löschen, wenn

  1. ihre Speicherung unzulässig ist,
  2. ihre Kenntnis für die speichernde Stelle zur Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist oder
  3. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung am Ende des dritten Kalenderjahres nach der erstmaligen Speicherung ergibt, daß eine längerwährende Speicherung nicht erforderlich ist.

(3) An die Stelle einer Löschung tritt eine Sperrung, soweit

  1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
  2. Grund zu der Annahme besteht, daß durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden oder
  3. bei einer nicht öffentlichen Stelle die Richtigkeit der personenbezogenen Daten bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.

(4) Sind zu korrigierende personenbezogene Daten nicht automatisiert gespeichert und ist eine Datenkorrektur aus tatsächlichen oder rechtlichen Gründen nicht möglich, so ist dies in den Unterlagen, z.B. durch Hinzufügen einer Gegendarstellung, zu vermerken. Erfolgt eine weitere Verarbeitung, so sind diese Vermerke zu berücksichtigen.

(5) Von der Berichtigung, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen unzulässiger Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben werden, es sei denn, dies ist zur Wahrung der schutzwürdigen Interessen der betroffenen Person nicht erforderlich.

(6) Gesperrte Daten dürfen ohne Einwilligung der betroffenen Person nur verarbeitet werden, wenn

  1. dies zur Behebung einer Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist,
  2. für wissenschaftliche Zwecke, wenn diese gegenüber den Interessen der betroffenen Person erheblich überwiegen und die Daten hierfür verarbeitet werden dürften, wenn sie nicht gesperrt wären.

§ 26
[Recht auf Datensicherung]

Die betroffene Person hat das Recht, die Maßnahmen zur Sicherung von Vertraulichkeit und Unverletzlichkeit zu ergreifen, die sie für erforderlich hält.

§ 27
[Anrufung der Datenschutzkontrollinstanz]

(1) Jede Person kann sich direkt an eine Datenschutzkontrollinstanz wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Dies gilt auch für Beschäftigte der verarbeitenden Stelle. Keine Person darf deswegen benachteiligt werden.

(2) Ist die angerufene Stelle nicht zuständig, so gibt sie die Eingabe an die zuständige Stelle ab. Die Person wird informiert, wie mit ihrer Eingabe verfahren wurde.

§ 28
[Widerspruchsrecht]

Die betroffene Person hat das Recht, aus besonderen persönlichen Gründen gegenüber der verarbeitenden Stelle der Verarbeitung ihrer Daten allgemein oder bestimmter Formen der Verarbeitung zu widersprechen. Sie ist über das Ergebnis der Prüfung ihres Widerspruchs zu unterrichten. Ergibt die Prüfung, daß einer Datenverarbeitung schutzwürdige Interessen der betroffenen Person entgegenstehen, so ist die Verarbeitung unzulässig.

§ 29
[Schadensersatz]

(1) Entsteht der betroffenen Person durch eine datenschutzrechtlich unzulässige oder unrichtige Verarbeitung ihrer personenbezogenen Daten ein Schaden, so ist die verarbeitende Stelle oder deren Träger unabhängig von einem Verschulden zum Ersatz des daraus entstandenen Schadens verpflichtet. Bei Verletzung des Persönlichkeitsrechts ist ein Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(2) Ist streitig, ob ein Schaden ursächliche Folge einer unzulässigen oder unrichtigen Verarbeitung ist, so trifft die Beweislast die speichernde Stelle. Sind mehrere Stellen verarbeitende Stellen und ist die geschädigte Person nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. Mehrere Ersatzpflichtige haften als Gesamtschuldner. Auf das Mitverschulden der betroffenen Person und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. Solange eine Überprüfung durch die zuständige Datenschutzkontrollinstanz erfolgt, ist die Verjährungsfrist gehemmt. Weitergehende Schadensersatzansprüche bleiben unberührt.

(3) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Vierter Unterabschnitt:
Besondere Formen der Datenverarbeitung

§ 30
[Einsatz automatisierter Abruf- und Verbundverfahren]

(1) Der Einsatz eines

  1. automatisierten Verfahrens, das die Übermittlung personenbezogener Daten, die in dieser Form nicht aus allgemein zugänglichen Quellen entnommen werden können, durch Abruf ermöglicht,
  2. Verbundverfahrens, bei dem verschiedene Stellen personenbezogene Daten in einem gemeinsamen Datenbestand verarbeiten, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Beteiligung von öffentlichen und nicht öffentlichen Stellen an einem Verfahren ist unzulässig.

(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Verfahrens nach Absatz 1 kontrolliert werden kann. Sie haben schriftlich festzulegen:

  1. Anlaß und Zweck des Verfahrens,
  2. eine Stelle, gegenüber der Betroffenenrechte insgesamt geltend gemacht werden können,
  3. verarbeitende Stellen und Empfänger,
  4. Art der zu übermittelnden Daten und
  5. nach § 14 erforderliche technische und organisatorische Maßnahmen.

(3) Über den Einsatz von Verfahren nach Absatz 1 sind die für die beteiligten Stellen zuständigen Datenschutzkontrollinstanzen unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.

(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die speichernde Stelle protokolliert die einzelnen Abrufe. Sie prüft die Zulässigkeit der Abrufe, wenn dazu Anlaß besteht. Die speichernde Stelle hat zu gewährleisten, daß die Zulässigkeit der Übermittlung zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann und überprüft wird.

§ 31
[Datenverarbeitung im Auftrag, externe Wartung]

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet, ist der Auftraggeber für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich. Betroffenenrechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ergeben sich für ihn Hinweise, daß bei der Verarbeitung gegen datenschutzrechtliche Vorschriften verstoßen wird, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) Für den Auftragnehmer gelten nur die §§ 11, 14, 15, 18, 19, 54 und 55 sowie die Vorschriften über die Datenschutzkontrolle.

(5) Personen und Stellen, die mit der Wartung und Systembetreuung automatisierter Verfahren oder Datenverarbeitungssysteme beauftragt sind, unterliegen den Absätzen 1 bis 4. Sie müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen. Die Dokumentation der Maßnahmen ist zum Zweck der Datenschutzkontrolle drei Jahre aufzubewahren. Soweit erforderlich, ist eine Kenntnisnahme von Berufs- und besonderen Amtsgeheimnissen sowie von sensiblen Daten zulässig.

§ 32
[Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien]

(1) Der Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien, die von den betroffenen Personen mit sich geführt werden und die mit elektronischen Lese- und Schreibgeräten direkt kommunizieren, ist nur zulässig, soweit ein Gesetz dies vorsieht oder die betroffene Person eingewilligt hat. Verarbeitende Stelle ist diejenige, die Kontrolle über das Verfahren oder über den jeweiligen Verfahrensteil hat.

(2) Jede Kommunikation zwischen mobilen Speicher- und Verarbeitungsmedien und elektronischen Lese- und Schreibgeräten muß für die betroffene Person erkennbar sein. Erfolgt bei dieser Kommunikation eine Datenspeicherung, so ist sicherzustellen, daß die betroffene Person hierüber einen schriftlichen Nachweis erhalten kann.

(3) Der Anspruch auf Auskunft über alle auf einem Speicher- und Verarbeitungsmedium zu ihrer Person gespeicherten Daten ist durch angemessene Bereitstellung von Endgeräten durch die speichernden Stellen sicherzustellen. Soweit nicht ein Gesetz anderes vorsieht, darf niemand gezwungen werden, mobile Speicher- und Verarbeitungsmedien oder Ausdrucke ihres Inhalts vorzulegen.

(4) Werden mobile Speicher- und Verarbeitungsmedien mit Einwilligung der betroffenen Person eingesetzt, so ist diese vor der Erteilung der Einwilligung zu unterrichten über

  1. die zur Speicherung und zum Abruf berechtigten Stellen,
  2. die Organisation der Zugriffs- und Speicherungsbeschränkung sowie
  3. die Möglichkeit des vollständigen oder teilweisen Widerrufs der Einwilligung.
Die Ausgabe und Verwendung von mobilen Speicher- und Verarbeitungsmedien darf für die betroffene Person nicht mit Vergünstigungen verbunden sein, die über das durch die Technik bedingte Maß hinausgehen.

§ 33
[Videoüberwachung]

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, daß schutzwürdige Interessen der betroffenen Personen überwiegen. Der Umstand der Beobachtung ist durch geeignete Maßnahmen erkennbar zu machen.

(2) Die Speicherung von nach Absatz 1 Satz 1 erhobenen Daten ist zulässig, wenn dies zum Erreichen des verfolgten Zweckes dringend erforderlich ist. Die Daten sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind.

(3) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese zu benachrichtigen, es sei denn, dem stehen überwiegende öffentliche Interessen der Strafverfolgung oder der Gefahrenabwehr entgegen.

Zum Zweiten Abschnitt

 Zum Zweiten Abschnitt
   Berlin,
   am 24.02.98
mail to webmaster