|
Hinweis: Dieses Dokument gibt lediglich den Diskussionsstand Anfang März 1999 wieder. Es handelt sich nicht
um eine offizielle Veröffentlichung des Bundesministeriums des Inneren. Da mit baldigen Änderungen zu rechnen ist,
wurde auf eine Überarbeitung des Dokumentes verzichtet, das auch als Word-Dokument zum Download bereitliegt.
Bundesministerium des Inneren
NOVELLIERUNG BDSG (STAND: 11 März 1999)
Erster Abschnitt
Allgemeine und gemeinsame Bestimmungen
|
§ 1 a.F.
Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
3. nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen.
|
§ 1 n.F.
Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
3. nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien ___ nicht ausschließlich für persönliche Tätigkeiten verarbeiten, nutzen oder dafür erheben; einbezogen ist auch das Beobachten und Speichern mit optisch-elektronischen Einrichtungen.
|
Begründung:
Zu Absatz 2 Nr. 3:
Während der bisherige Absatz 2 Nr. 3 positiv die Tätigkeiten benannte, bei deren Vorliegen das Bundesdatenschutzgesetz zur Anwendung gelangte, schließt die Richtlinie in Artikel 3 Abs. 2 zweiter Spiegelstrich generell (zum Anwendungsbereich der Richtlinie, insbesondere zum Dateibegriff, vgl. die Begründung zu § 3) nur solche Datenverarbeitungen von ihrem Anwendungsbereich aus, die von einer "natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden". Alle übrigen Datenverarbeitungen durch nicht-öffentliche Stellen werden daher - soweit der Dateibegriff erfüllt ist (vgl. hierzu die Begründung zu § 3) - vom Anwendungsbereich der Richtlinie erfaßt. Die Vorschrift des Absatzes 2 Nr. 3 war dementsprechend zu ändern. Auf die Übernahme des Merkmals "familiär" konnte verzichtet werden, da diesem kein eigenständiger Regelungsinhalt zukommt. |
§ 1 a.F. (Forts.)
(3) Bei der Anwendung dieses Gesetzes gelten folgende Einschränkungen:
1. Für automatisierte Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden, gelten nur die §§ 5
und 9.
2.1Für nicht-automatisierte Dateien, deren personenbezogene Daten nicht zur Übermittlung an Dritte bestimmt sind, gelten nur die §§ 5, 9, 39 und 40. 2Außerdem gelten für Dateien öffentlicher Stellen die Regelungen über die Verarbeitung und Nutzung personenbezogener Daten in Akten. 3Werden im Einzelfall personenbezogene Daten übermittelt, gelten für diesen Einzelfall die Vorschriften dieses Gesetzes uneingeschränkt.
(4) 1Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(5) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
|
§ 1 n.F. (Forts.)
___
(3) 1Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mit-gliedstaat der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es |
Begründung:
Da die Eingrenzung des Anwendungsbereichs im nicht-öffentlichen Bereich über den Dateibegriff erfolgt, war hier die ausdrückliche Einbeziehung der Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen in den Anwendungsbereich erforderlich.
Zu Absatz 3:
Absatz 3 war in Umsetzung von Artikel 3 Abs. 1 der Richtlinie aufzuheben, da die Richtlinie eine entsprechende Einschränkung des Anwendungsbereichs nicht vorsieht.
zu Absatz 5:
Artikel 4 der Richtlinie geht hinsichtlich des Anwendungsbereichs nationalen Datenschutzrechts im grenzüberschreitenden Datenverkehr - anders als das derzeit geltende Bundesdatenschutzgesetz - im Grundsatz nicht vom Territorialprinzip, sondern vom Sitzprinzip aus. Danach richtet sich das insoweit anzuwendende nationale Recht nicht nach dem Ort der Verarbeitung, sondern nach dem Sitz der verantwortlichen Stelle.
Als Ausnahme hiervon gilt aber wieder das Territorialprinzip, wenn die verantwortliche Stelle aus einem Mitgliedstaat der Europäischen Union eine Niederlassung in einem anderen Mitgliedstaat der Europäischen Union unterhält. Für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch diese Niederlassung gilt dann das nationale Datenschutz-recht des Landes, in dem sie belegen ist. |
|
§ 1 n.F. (Forts.)
sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine außerhalb der Europäischen Union belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach den Vorschriften dieses Gesetzes zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zwecke des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt. |
Begründung (Forts.):
Diese Regelung der Richtlinie stellt einen Kompromiß dar zwi-schen den Belangen der Wirtschaft einerseits: Diese soll ihr gewohn-tes nationales Datenschutzrecht "exportieren" dürfen und sich nicht durch unbekannte Datenschutzvor-schriften in ihrer unternehmerischen Tätigkeit eingeschränkt sehen müssen. Andererseits wird dem Gesichtspunkt der Rechtssicherheit insbesondere im Zusammenhang mit den Schutzrechten der von derartigen Datenverarbeitungen Be-troffenen Rechnung getragen. Dieser zweite Gesichtspunkt führte zur Ausnahmeregelung für Niederlas-sungen.
Absatz 5 Satz 1 setzt daher insoweit Artikel 4 Abs. 1 Buchstabe a der Richtlinie um.
Ausweislich des Erwägungsgrun-des 19 der Richtlinie "setzt eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Ein-richtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich." Zur Erläuterung des Begriffs Niederlassung kann __ auf die Definition der Niederlassung in § 42 Abs. 2 Gewerbeordnung verwiesen werden.
Zur Ersetzung des Begriffs "speichernde Stelle" durch den Begriff der "verantwortlichen Stelle" wird auf die Begründung zu § 3 Abs. 7 verwiesen.
Artikel 4 Abs. 1 Buchstabe c der Richtlinie will - vom Grundsatz des Sitzprinzips ausgehend – verhindern, daß ein möglicherweise geringerer Datenschutzstandard als der in den Mitgliedstaaten der Europäischen Union vorhandene in den Fällen zur Geltung kommt, in denen Datenerhebungen, -verarbeitungen oder -nutzungen innerhalb der Europäischen Union durch außerhalb der Europäischen Union belegene speichernde Stellen vorgenommen werden. Die Richtlinie erklärt daher für diese Fälle - als Ausnahme - das Territorialprinzip für anwendbar.
|
§ 1 a.F. |
§ 1 n.F. |
Begründung (Forts.):
Mit Blick auf das im Bundesdatenschutzgesetzes im übrigen geltende Territorialprinzip ist der Artikel 4 Abs. 1 Buchstabe c der Richtlinie umsetzende Absatz 5 Satz 2 daher lediglich deklaratorisch. Er ist gleichwohl notwendig als Anknüpfungspunkt zum einen für die Artikel 4 Abs. 2 der Richtlinie umsetzende Verpflichtung der speichernden Stelle zur Benennung eines Vertreters in diesen Fällen (Absatz 5 Satz 3). Zum anderen ist Absatz 5 Satz 2 erforderlich für die Umsetzung der aus deutscher Sicht ausnahmsweisen Geltung des Sitz-prinzips in den Fällen, in denen Datenträger nur zum Zweck der Durchfuhr durch das Inland einge-setzt werden (Absatz 5 Satz 4).
Die Verpflichtung zur Benennung eines Vertreters will Transparenz in den Fällen sicherstellen, in denen die speichernde Stelle in einem Drittland belegen ist. Sowohl Betroffene als auch Aufsichtsbehörden sollen einen geeigneten Ansprechpartner haben, dem insoweit Mittlerfunktion zukommt.
Absatz 5 Satz 4 findet Anwendung, wenn Übertragungswege benutzt werden, ohne daß von den personenbezogenen Daten Kenntnis genommen wird.
Von einer Artikel 4 Abs. 1 Buchstabe b der Richtlinie umsetzenden Regelung konnte mit Blick auf die einschlägigen Regelungen des Völkerrechts abgesehen werden.
Absatz 5 Satz 5 stellt klar, daß sich das Kontrollrecht der Aufsichtsbehörden auch auf die Fälle erstreckt, in denen aufgrund der Regelung des Absatzes 5 das Recht anderer Mitgliedstaaten der Europäischen Union zur Anwendung gelangt.
|
§ 2 a.F.
Öffentliche und nicht-öffentliche
Stellen
(1) 1Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(3) 1Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
2Andernfalls gelten sie als öffentliche Stellen der Länder.
(4) 1Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. 2Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. |
Hinweis:
Die Vorschrift bleibt unverändert. |
|
§ 3 a.F.
Weitere Begriffs-
bestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) 1Eine Datei ist
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder
2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte Datei).
2Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.
(3) 1Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger. 2Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
(4) Erheben ist das Beschaffen von Daten über den Betroffenen. |
§ 3 n.F.
Weitere Begriffs-
bestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Eine Datei ist
1. ___ jede automatisierte Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (automatisierte Datei), oder
2. jede ___ Sammlung personenbezogener Daten, die nach äußerlich vergleichbaren Merkmalen aufgebaut ___ und nach bestimmten Merkmalen ___ zugänglich ist und ausgewertet werden kann (nicht-automatisierte Datei).
___
___
(3) Erheben ist das Beschaffen von Daten über den Betroffenen. |
Begründung:
Zu Absatz 2 Nr. 1:
Während für das BDSG´77 noch der Dateibezug für die Anwendbarkeit des Gesetzes maßgebend war, hat das BDSG´90 grundsätzlich jedes Speichermedium einbezogen und lediglich im nicht-öffentlichen Bereich das Erfordernis des Dateibezugs beibehalten (§ 1 Abs. 2 Nr. 3 a.F.).
Die Richtlinie wiederum stellt – insofern vergleichbar dem BDSG`77 - im Rahmen der Bestimmung des Anwendungsbereichs teilweise auf das Speichermedium "Datei" ab. Kriterien für den sachlichen Anwendungsbereich des Bundesdatenschutzgesetzes sind nach Artikel 3 Abs. 1 der Richtlinie nunmehr die automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die nicht-automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
Das Kriterium der Datei ist für die Frage der Eröffnung des sachlichen Anwendungsbereichs des Bundesdatenschutzgesetzes nur noch von Bedeutung, soweit es um die nicht-automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten geht. Findet hingegen eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in einer automatisierten Datei statt, ist für die Anwendbarkeit des Bundesdatenschutzgesetzes nicht das Merkmal der automatisierten Datei von Relevanz, sondern nur und ausschließlich das der automatisierten Erhebung, Verarbeitung oder Nutzung.
Dementsprechend war die Definition der automatisierten Datei in Absatz 2 Nr. 1 zu ersetzen durch eine Definition der automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Mit Blick auf die Einheitlichkeit der Terminologie insbesondere in bereichsspezifischen Datenschutzregelungen wurde an der Bezeichnung des Definitionsinhaltes als "automatisierte Datei" festgehalten.
|
§ 3 a.F. (Forts.)
(5) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß
a) die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder
b) der Empfänger von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(6) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
|
§ 3 n.F. (Forts.)
(4) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten ___ in der Weise, daß
a) die Daten ___ an den Dritten weitergegeben werden oder
b) der Dritte ___ zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
|
Begründung (Forts.):
Zu Absatz 2 Nr. 2:
Durch die Ersetzung der Wörter "gleichartig aufgebaut" durch die Wörter "nach äußerlich vergleichbaren Merkmalen aufgebaut" wird dem Umstand Rechnung getragen, daß die Richtlinie in Arikel 2 Buchstabe c jede strukturierte Sammlung als Datei definiert und deshalb die bisherige Begrenzung auf einen gleichartigen Aufbau als ausschließliches Kriterium für eine strukturierte Sammlung Bedenken begegnet. Die neue Formulierung bewegt sich innerhalb des den Mitgliedstaaten der EU durch die Richtlinie eingeräumten Spielraums zur Bestimmung der Kriterien einer strukturierten Sammlung. Durch die Neufassung dürften sich zwar Änderungen ergeben, die aufgrund des erheblich erweiterten Begriffs der automatisierten Datei in der Praxis jedoch immer mehr an Bedeutung verlieren werden.
|
§ 3 a.F. (Forts.)
(7) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(8) Speichernde Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst speichert oder durch andere im Auftrag speichern läßt.
(9) 1Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle. 2Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Geltungsbereich dieses Gesetzes personenbezogene Daten im Auftrag verarbeiten oder nutzen.
|
§ 3 n.F. (Forts.)
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(6a) Pseudonymisieren ist das Ersetzen des Namens durch ein Dritten nicht bekanntes Identifizierungsmerkmal (Pseudonym) bei der Verarbeitung und Nutzung der sonstigen Daten, soweit nicht die Verwendung des Namens unerläßlich ist.
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen läßt.
(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Inland oder im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
|
Begründung (Forts.):
Auf die Regelung des Absatzes 2 Satz 2 a.F. konnte aus folgenden Gründen verzichtet werden: Hinsichtlich der Einbeziehung von Akten in den Anwendungsbereich des Bundesdatenschutzgesetzes neuer Fassung gilt grundsätzlich, daß diese immer dann der Richtlinie und somit auch dem Bundesdatenschutzgesetz unterfallen, wenn sie unter den Begriff der Datei subsumierbar sind. Relevanz erlangt dies im nicht-öffentlichen Bereich, da hier Akten bisher weitgehend vom Anwendungsbereich ausgenommen waren. Maßgeblich ist insoweit Erwägungsgrund 27 der Richtlinie, demzufolge die Richtlinie "bei manuellen Verarbeitungen lediglich Dateien erfaßt, nicht jedoch unstrukturierte Akten. (...) Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturierbar sind, fallen unter keinen Umständen unter den Anwendungsbereich dieser Richtlinie." Anläßlich der Annahme der Richtlinie ist von Rat und Kommission folgende Erklärung unter Nr. 7 zu Protokoll gegeben worden: "Der Rat und die Kommission bestätigen, daß
- sich die Richtlinie nach der derzeitigen Definition in Artikel 2 Buchstabe c nur auf Dateien erstreckt, nicht aber auf Akten;
- die Kriterien, nach denen sich die Bestandteile einer strukturierten Sammlung personenbezogener Daten bestimmen lassen, sowie die Kriterien, nach denen diese Sammlungen zugänglich sind, von jedem einzelnen Mitgliedstaat festgelegt werden können;
- Akten und Aktensammlungen und die Deckblätter dazu nicht unter die unter dem ersten Gedankenstrich genannte Definition fallen, wenn ihr Inhalt nicht in der Art einer Datei strukturiert ist."
Absatz 2 Satz 2 war dementsprechend aufzuheben, da es für die Frage der Einbeziehung von Akten nicht mehr auf das Merkmal der
|
|
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind solche, die nur mit Hilfe eines besonderen elektronischen Gerätes gelesen oder beschrieben werden und vom Betroffenen mit sich geführt werden können, insbesondere Chipkarten. Mobile personenbezogene Speicher- und Verarbeitungsmedien sind auch solche, die mit besonderen elektronischen Geräten direkt kommunizieren können. |
Begründung (Forts.):
automatisierten Auswertbarkeit ankommt. Ausschlaggebend ist anstelle dessen, ob eine Datei vorliegt; eine bloß manuelle Auswertbarkeit genügt insoweit.
Zu Absatz 3:
Der bislang in Absatz 4 geregelte Begriff des Erhebens findet sich nunmehr in Absatz 3. Da dem Begriff der Akte keine eigenständige Bedeutung mehr zukommt, war die Definition der Akte in Absatz 3 Satz 1 a.F. aufzuheben; hinsichtlich der Aufhebung von Absatz 3 Satz 1 zweiter Halbsatz a.F. gilt, daß nach Erwägungsgrund 14 der Richtlinie grundsätzlich personenbezogene Ton- und Bilddaten dem Anwendungsbereich der Richtlinie unterfallen. Erwägungsgrund 15 der Richtlinie führt hierzu aus, daß "die Verarbeitung solcher Daten von der Richtlinie nur erfaßt wird, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder für solche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff zu ermöglichen." Maßgeblich für die Einbeziehung von Bild- und Tondaten ist daher die Möglichkeit der Subsumtion entweder unter den Begriff der automatisierten Verarbeitung im Sinne des Absatzes 2 Nr. 1 oder den der nicht-automatisierten Datei im Sinne des Absatzes 2 Nr. 2.
Zu Absatz 4 Satz 2 Nr. 3:
Der Begriff der Übermittlung beinhaltet als notwendige Komponenten die Bekanntgabe, die speichernde Stelle als bekanntgebende Instanz sowie den Dritten im Sinne des Absatzes 8 als Adressaten. Der Begriff des Empfängers wurde in Absatz 5 Nr. 3 a.F. synonym neben dem des Dritten gebraucht. Eigenständige Bedeutung kam ihm nicht zu. Da in Umsetzung von Artikel 2 Buchstabe g der Richtlinie der wietergehende Begriff des Empfängers nunmehr in Absatz 8 Satz 1 definiert wird, war er in Absatz 4 Nr. 3 n.F. zur Vermeidung von Mißverständnissen zu streichen bzw. durch den des Dritten zu ersetzen.
|
|
|
Begründung (Forts.):
Zu Absatz 7:
In Artikel 2 Buchstabe d Satz 1 der Richtlinie wird der Begriff des "für die Verarbeitung Verantwortlichen" definiert als "die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet." In Anpassung an diese Terminologie der Richtlinie wurde in Absatz 7 die Definition der speichernden Stelle durch die der verantwortlichen Stelle ersetzt.
Zu Absatz 8:
Absatz 8 Satz 1 setzt Artikel 2 Buchstabe g der Richtlinie um. Der Begriff des Empfängers ist sehr weit gefaßt. Er umfaßt neben dem Dritten, dem Betroffenen und denjenigen Personen und Stellen, die im Geltungsbereich des Bundesdatenschutzgesetzes personenbezogene Daten im Auftrag verarbeiten oder nutzen, auch die verschiedenen Organisationseinheiten innerhalb einer speichernden Stelle. Die negative Definition des Begriffs des Dritten in § 3 Abs. 9 Satz 2 a.F. war in Umsetzung von Artikel 1 Abs. 2 der Richtlinie um die Personen und Stellen zu erweitern, die im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag verarbeiten oder nutzen. Die Wörter "Geltungsbereich dieses Gesetzes" wurden aus Gründen der Vereinheitlichung der Gesetzessprache nach Vollendung der Deutschen Einheit durch das Wort "Inland" ersetzt.
Zu Absatz 9:
Absatz 9 definiert die in Artikel 8 Abs. 1 der Richtlinie bezeichneten besonderen Kategorien personenbezogener Daten.
Zu Absatz 10:
Die Formulierung "Speicher- und Verarbeitungsmedien" ist weit, um auch zukünftige Entwicklungen in diesem Bereich mit einzubeziehen. Erfaßt werden insbesondere auch die Medien, die ohne unmittelbaren Kontakt mit elektronischen Lese- und Schreibgeräten mit diesen direkt kommunizieren, da gerade bei dieser Technik für den Betroffenen durch die mangelnde Transparenz des Vorgangs der Datenverwendung die Gefahr der Verletzung seines informationellen Selbstbestimmungsrechts besonders groß ist.
|
|
§ 3 a n.F.
Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Systemen der Datenverarbeitungsanlagen hat sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. |
Begründung:
Der Grundsatz der Datenvermeidung und –sparsamkeit wird erstmalig in das allgemeine Datenschutzrecht aufgenommen. Eine vergleichbare Regelung findet sich im bereichsspezifischen Teledienstedatenschutzgesetz in § 3 Abs. 4. Wie dort, soll durch die Einführung des Grundsatzes bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden, die Erhebung und Verwendung soweit wie möglich vermieden und dadurch Gefahren für das informationelle Selbstbestimmungsrecht des Betroffen von vornherein minimiert werden.
Satz 2 ...
|
§ 4 a.F.
Zulässigkeit der Datenverarbeitung und -nutzung
(1) Die Verarbeitung personenbezogener Daten und deren Nutzung sind nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat.
(2) 1Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 2Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 3Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.
(3) 1Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2 Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. 2In diesem Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszweckes ergibt, schriftlich festzuhalten.
|
§ 4 n.F.
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder ___ der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2.a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
|
Begründung:
In Absatz 1 wurde der Begriff "Erhebung" aufgenommen, um den Anforderungen der Richtlinie insoweit Rechnung zu tragen, als auch die Erhebung personenbezogener Daten im privaten Sektor dem Vorbehalt des Gesetzes zu unterstellen ist. Dies folgt daraus, daß in Artikel 2 Buchstabe b der Richtlinie die Erhebung als Unterfall der Verarbeitung betrachtet und die Verarbeitung nach Artikel 7 nur zulässig ist, wenn der Betroffene eingewilligt hat oder die dort aufgeführten, in das nationale Recht zu übertragenden Voraussetzungen vorliegen. Die übrigen Änderungen des Absatzes 1 stellen sprachliche Präzisierungen dar.
Absatz 2 greift den Rechtsgedanken von § 13 Abs. 2 a.F. auf, erweitert ihn aber in Nummer 2 a für den nicht-öffentlichen Bereich.
|
§ 4 a.F. (Forts.)
|
§ 4 n.F. (Forts.)
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muß,
zu unterrichten.
Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
|
Begründung (Forts.):
Absatz 3 modifiziert § 13 Abs. 3 a.F. nach den Voraussetzungen des Artikels 10 der Richtlinie.
Absatz 4 entspricht § 13 Abs. 4 a.F.. |
|
§ 4 a n.F.
Einwilligung des Betroffenen
(1) Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf dessen freier Entscheidung beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
|
Begründung:
Absatz 1 Satz 1 berücksichtigt die Voraussetzungen des Artikels 2 Buchstabe h der Richtlinie, wonach die Einwilligung ohne Zwang erfolgen muß. Die Anfügung des Wortes "vorgesehenen" vor dem Wort "Zweck" in Satz 2 dient der sprachlichen Verdeutlichung des Gewollten. Die Ersetzung der Wörter "Speicherung" und "Übermittlung" durch die Wörter "Erhebung, Verarbeitung und Nutzung" dient der Vereinheitlichung des Sprachgebrauchs des Bundesdatenschutzgesetzes in Übereinstimmung mit der Terminologie der Richtlinie (vgl. hierzu auch die Begründung zu § 4). Die Einfügung der Wörter "soweit nach den Umständen des Einzelfalles erforderlich" in Satz 2 dient der Umsetzung des Definitionsmerkmals "in Kenntnis der Sachlage" nach Artikel 2 Buchstabe h der Richtlinie. Die übrigen Anforderungen der Richtlinie sind bereits im Text des § 4 Abs. 2 a.F. verwirklicht, der im folgenden wiedergegeben wird.
Absatz 2 entspricht § 4 Abs. 3 a.F.. |
|
(3) Soweit besondere Arten personenbezogener Daten nach § 3 Abs. 9 erhoben, verarbeitet oder genutzt werden, muß sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.
|
Begründung (Forts.):
Absatz 3 sieht in Umsetzung des Artikels 8 Abs. 2 Buchstabe a der Richtlinie für die besonderen Arten personenbezogener Daten nach § 3 Abs. 9 besondere Voraussetzungen für die Wirksamkeit der Einwilligung für jene Daten vor.
|
|
§ 4 b
Übermittlung personenbezogener Daten ins Ausland sowie an über- und zwischenstaatliche Stellen
(1) Für die Übermittlung personenbezogener Daten an Stellen innerhalb der Mitgliedstaaten der Europäischen Union im Anwendungsbereich von Artikel 3 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gelten § 15 Abs. 1 und § 16 Abs. 1 sowie §§ 28 bis 30 entsprechend nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen.
(2) Für die Übermittlung personenbezogener Daten an Stellen der Mitgliedstaaten der Europäischen Union außerhalb des Anwendungsbereichs der in Absatz 1 genannten Richtlinie, an sonstige ausländische Stellen oder an über - und zwischenstaatliche Stellen gelten § 15 Abs. 1 und § 16 Abs. 1 sowie §§ 28 bis 30 entsprechend nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen. Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist.
|
Begründung:
Die Vorschrift regelt - anders als § 17 BDSG a.F. - die Übermittlung personenbezogener Daten ins Ausland sowohl für den öffentlichen als auch den nicht-öffentlichen Bereich.
Absatz 1 beinhaltet eine Privilegierung für Übermittlungen öffentlicher und nicht-öffentlicher Stellen der Mitgliedstaaten der EU innerhalb des Anwendungsbereichs der ersten Säule des EU-Vertrags.
Absatz 2 findet Anwendung bei Übermittlungen an EU-Mitgliedstaaten außerhalb der ersten Säule des EU-Vertrags sowie an Drittländer. Absatz 2 Satz 2 ergänzt § 17 Abs. 1 a.F. um das Erfordernis des angemessenen Datenschutzniveaus im Drittland sowie bei über- und zwischenstaatlichen Stellen und genügt damit den Anforderungen des Artikels 25 Abs. 1 der Richtlinie. Damit wird die bislang in § 17 Abs. 2 a.F. enthaltene ordre -public-Klausel, die die Zulässigkeit grenzüberschreitender Übermittlungen von der Beachtung eines datenschutzrechtlichen Mindeststandards abhängig machte, überflüssig. Um dem Gebot der Erforderlichkeit zu genügen, war für den öffentlichen Sektor die Bezugnahme auf § 15 Abs. 1 auszudehnen, § 16 Abs. 1 beizubehalten und die Regelungen der §§ 28 bis 30 für Datenübermittlungen nicht-öffentlicher Stellen zu ergänzen. |
|
(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.
(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(6) Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. |
Begründung (Forts.)
Ferner bestimmt die Vorschrift entsprechend Artikel 25 Abs. 1 der Richtlinie, daß im Falle einzelstaatlicher Bestimmungen zur Regelung der Übermittlung personenbezogener Daten in Drittländer, die mit der Richtlinie vereinbar sind, die Vorschriften der §§ 16 Abs. 1 und 28 bis 30 nach Maßgabe dieser Gesetze anzuwenden sind. Entsprechendes gilt für völkerrechtliche Verträge, die im Hinblick auf Voraussetzungen und/oder Umfang der Datenübermittlungen nicht erschöpfend sind und für Vereinbarungen mit zwischen- und überstaatlichen Stellen.
Absatz 3 beinhaltet dem Artikel 25 Abs. 2 der Richtlinie entnommene Kriterien zur Bestimmung des angemessenen Datenschutzniveaus.
Absatz 4 übernimmt die Regelung des § 17 Abs. 1, letzter Halbsatz a.F., wonach der Betroffene bei Übermittlungen nach Maßgabe des § 16 Abs. 1 Nr. 2 zu unterrichten ist. Es bestand kein Anlaß, diese Regelung auf andere Fallgruppen der Übermittlung personenbezogener Daten in Drittstaaten auszudehnen, da die Richtlinie keine entsprechende Vorschrift enthält. Insofern verbleibt es bei der Anwendung der Regelung des § 19 a, der Artikel 11 der Richtlinie umsetzt.
Absatz 5 entspricht § 17 Abs. 3 a.F. und Absatz 6 entspricht § 17 Abs. 4 a.F..
|
|
§ 4 c
Ausnahmen
(1) Innerhalb des Anwendungsbereichs der in § 4 b Abs. 1 genannten Richtlinie ist eine Übermittlung personenbezogener Daten in ein Drittland oder an eine über- und zwischenstaatliche Stelle, die kein angemessenes Datenschutzniveau gewährleisten, zulässig, sofern
1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
|
Begründung:
Diese Vorschrift beinhaltet Erleichterungen für die Übermittlung personenbezogener Daten an Drittstaaten sowie an über- und zwischenstaatliche Stellen innerhalb des Anwendungsbereichs der ersten Säule des EU-Vertrags. Keine Anwendung findet die Vorschrift auf Übermittlungen von Stellen außerhalb der ersten Säule des EU-Vertrags: Insoweit gelangt § 4 b Abs. 2 ff. zur Anwendung.
Die Regelung des Absatzes 1 ergänzt die strikte Regelung des § 4 b Abs. 2 durch einen weitreichenden Ausnahmekatalog. Diese in Anlehnung an Artikel 26 der Richtlinie formulierten Ausnahmen sollen dafür Sorge tragen, daß der Wirtschaftsverkehr mit Drittländern nicht unangemessen beeinträchtigt wird. Die Ausnahmen basieren auf dem Grundgedanken, daß das Schutzbedürfnis des Betroffenen geringer ist, wenn er über die Tatsache der Notwendigkeit der Übermittlung seiner Daten in ein Drittland informiert ist. Ferner soll der Schutz des Persönlichkeitsrechts zurücktreten, wenn ein wichtiges öffentliches Interesse, die Verteidigung von Rechtsansprüchen vor Gericht oder der für öffentliche Register geltende Publizitätsgrundsatz es erfordern. Hier, wie auch im Falle der Unfähigkeit des Betroffenen seinen Willen zu bekunden (vgl. Nummer 5), ist Maßstab für die Frage der Zulässigkeit und des Umfangs der Übermittlung der Grundsatz der Verhältnismäßigkeit, der eine |
|
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.
(2) Unbeschadet des Absatzes 1 kann die zuständige Aufsichtsbehörde eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland oder an eine über- und zwischenstaatliche Stelle genehmigen, das kein angemessenes Schutzniveau im Sinne des § 4 b Abs. 1 gewährleistet, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; diese Garantien können sich insbesondere aus Vertragsklauseln ergeben. Bei den in der Telekommunikation tätigen Stellen ist der Bundesbeauftragte für den Datenschutz zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. |
Begründung (Forts.):
Abwägung der widerstreitenden Interessen gebietet. Die Regelung des Absatzes 1 gilt entsprechend dem Grundsatz von § 1 Abs. 4 nicht, wenn einer Übermittlung personenbezogener Daten spezielle Verwendungsbeschränkungen entgegenstehen. In diesem Fall kann trotz Vorliegens der Voraussetzungen des Absatzes 1 von einer Übermittlung in das Drittland abgesehen werden. Dieser Gedanke findet seinen Niederschlag in Artikel 26 Abs. 1 der Richtlinie und in Nummer 60 der Erwägungsgründe. Satz 2 entspricht § 17 Abs. 4 a.F..
Nach Absatz 2 können die Aufsichtsbehörden der Länder Ausnahmen erteilen, die über den Katalog des Absatzes 1 hinausgehen. Kommt die verantwortliche Stelle zu dem Ergebnis, daß ein angemessenes Datenschutzniveau im Drittland nicht vorhanden ist, kann sie diesen Mangel durch das Aushandeln ausreichender Datenschutzgarantien beheben. Diese Vertragsklauseln sind der Aufsichtsbehörde zur Genehmigung vorzulegen. Im öffentlichen Bereich stellen die verantwortlichen Stellen selbst das Vorliegen ausreichender Garantien im Sinne des Satzes 1 sicher.
|
|
(3) Die Länder teilen dem Bund die Fälle, in denen ein Drittland oder eine über- und zwischenstaatliche Stelle kein angemessenes Datenschutzniveau aufweist, und die nach Absatz 2 Satz 1 erteilten Genehmigungen mit. |
Begründung (Forts.):
Absatz 3 setzt Artikel 25 Abs. 3 sowie Artikel 26 Abs. 3 der Richtlinie um. Die in der Richtlinie darüber hinaus vorgesehene Unterrichtungsverpflichtung der Mitgliedstaaten gegenüber der Kommission sowie untereinander bedurfte keiner Umsetzung in nationales Recht.
|
|
§ 4 d n.F.
Meldepflicht
(1) Automatisierte Dateien sind vor ihrer Inbetriebnahme von nicht-öffent-lichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes dem Bundesbeauftragten für den Datenschutz zu melden.
(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz nach § 4 f bestellt hat. Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle unbeschadet des Vorliegens der Voraussetzungen des § 4 f Abs. 1 Satz 4 einen Beauftragten für den Datenschutz bestellt.
(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt und nach der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der voraussichtlichen Empfänger oder Kategorien von Empfängern oder wegen besonderer Schutzvorschriften eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen nicht zu erwarten ist.
|
Begründung:
§ 4 d in Verbindung mit § 4 e regelt die Meldepflicht für Dateien öffentlicher und nicht-öffentlicher Stellen. Die Regelungen ersetzen § 26 Abs. 5 Satz 3 und § 32 a.F..
Absatz 1 beinhaltet den Grundsatz der Meldepflicht automatisierter Dateien.
Absätze 2 und 3 beinhalten Ausnahmen von der Meldepflicht.
Absatz 2 Satz 1 setzt Artikel 18 Abs. 2, 2. Spiegelstrich der Richtlinie um. Damit kann die Meldepflicht im öffentlichen Bereich vollständig entfallen, wenn ein behördlicher Datenschutzbeauftragter bestellt wird. Dies gilt trotz der in Absatz 4 geregelten Rückausnahme, da Absatz 4 nur im nicht-öffentlichen Bereich Anwendung findet (vgl. insoweit die Begründung zu Absatz 4). Absatz 2 Satz 2 stellt klar, daß die Meldepflicht auch dann entfällt, wenn unbeschadet einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten dieser freiwillig bestellt wird.
Absatz 3 setzt Artikel 18 Abs. 2, 1. Spiegelstrich der Richtlinie um. Hiernach kann die Meldepflicht entfallen, wenn für Verarbeitungskategorien, bei denen unter Berücksichtigung der zu verarbeitenden Daten eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Person unwahrscheinlich ist, die Zweckbestimmung der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die Kategorien der betroffenen Personen, die Empfänger oder Kategorien der Empfänger, denen die Daten weitergegeben werden und die Dauer der Aufbewahrung festgelegt werden. Da die Bestellung eines Datenschutzbeauftragten nach § 4 f Abs. 1 Satz 1 im öffentlichen Bereich obligatorisch ist, die Meldepflicht im öffentlichen Bereich somit bereits nach Absatz 2 entfällt, ist für die Anwendung von Absatz 3 im öffentlichen Bereich kein Raum.
Verarbeitungskategorie im Sinne dieser Vorschrift ist die Verarbeitung für eigene Zwecke. Der mit den Wörtern "und nach der Art der Daten," beginnende Satzteil stellt sicher, daß für die Beurteilung der Frage, ob es sich um eine weniger beeinträchtigende Verarbeitung handelt, dem Verwendungszusammenhang maßgebliche Bedeutung zukommt. Anwendungsbeispiele für den Ausnahmetatbestand des Absatzes 3 sind Datenverarbeitungen,wie sie typischerweise bei einer |
. |
§ 4 d n.F. (Forts.)
(4) Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Dateien handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle
1. zum Zwecke der Übermittlung oder
2. zum Zwecke der anonymisierten Übermittlung
gespeichert werden.
|
|
(5) Soweit die in Absätzen 1 und 4 ___ genannten automatisierten Dateien besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Besondere Risiken für die Rechte und Freiheiten der Betroffenen können sich insbesondere ergeben aus
- Art und Umfang der Daten, insbesondere wenn es sich um besondere Arten personenbezogener Daten nach § 3 Abs. 9 handelt,
- der Anzahl der Betroffenen,
- der Verfolgung mehrerer Zwecke,
- dem Umfang oder der Häufigkeit der Übermittlung oder
- erheblichen Nachteilen für die Betroffenen infolge der Verarbeitung oder
Nutzung der Daten. Der Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien unterliegt stets der Vorabkontrolle.
(6) Zuständig für die Vorabkontrolle ist der Datenschutzbeauftragte nach § 4 f. Dieser nimmt die Vorabkontrolle nach Empfang der Meldung vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den in der Telekommunikation tätigen Unternehmen an den Bundesbeauftragten für den Datenschutz zu wenden. Sofern kein Datenschutzbeauftragter bestellt worden ist, ist die Aufsichtsbehörde zuständig.
|
Begründung (Fort.):
Reihe von selbständig Berufstätigen, etwa Architekten, Handwerkern, Sanitätshäusern, Optikern, Fitnesstudios und kleinen Gewerbetreibenden und für die Verarbeitung des Merkmals "Religionszugehörigkeit" durch den Arbeitgeber zwecks Abführung der Kirchensteuer in Betracht kommen. Dies gilt auch, soweit Daten nach § 3 Abs. 9 verarbeitet werden. Hier ist eine Beeinträchtigung der Rechte des Betroffenen grundsätzlich nicht zu erwarten.
Darüber hinaus sind Beeinträchtigungen auch dann nicht zu erwarten, wenn Vorschriften bestehen, die geeignet sind, den Eintritt einer Beeinträchtigung durch die Androhung spürbarer Sanktionen zu verhindern, wie etwa § 203 StGB in Verbindung mit den jeweiligen berufsständischen Regelungen und der Kasuistik hierzu. Hierunter fallen beispiels weise Datenverarbeitungen durch Ärzte oder Rechtsanwälte. Von entscheidender Bedeutung ist insoweit die Gewährleistung eines wirksamen Schutzes der Rechte des Betroffenen.
Absatz 4 ist die Rückausnahme der Absätze 2 und 3. Absatz 4 findet ausweislich seines Wortlauts ("geschäftsmäßig") nur im nicht-öffentlichen Bereich Anwendung, die Nummern 1 und 2 entsprechen § 32 Abs. 1 Nrn. 1 und 2 a.F.
Absatz 5 bestimmt in Umsetzung von Artikel 20 Abs. 1 der Richtlinie die Dateien, die der Vorabkontrolle unterliegen. Erwägungsgrund 53 der Richtlinie führt hierzu aus: "Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen - oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen." Erwägungsgrund 54 der Richtlinie ergänzt: "Bei allen in der Gesellschaft durchgeführten Verarbeitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschränkt sein." Die den Absätzen 1 und 4 unterfallenden Dateien unterliegen der Vorabkontrolle aber nicht uneingeschränkt, sondern nur insoweit, als sie tatsächlich besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Bei der Verwendung besonderer Arten personenbezogener Daten nach § 3 Abs. 9 obliegt den beteiligten Stellen eine erhöhte Prüfungspflicht, inwiefern eine Vorabkontrolle geboten ist. Insbesondere bei der Datenverarbeitung |
|
|
Begründung (Forts.):
im Rahmen der in der Begründung zu Absatz 3 beschriebenen alltäglichen Vertragsverhältnissen ist eine Beeinträchtigung der Rechte des Betroffenen grundsätzlich nicht zu erwarten.
Im Gegensatz zur bloßen Meldepflicht stellt die Vorabkontrolle ein Verfahren zur Prüfung der materiellen Zulässigkeit der Datenverarbeitung dar.
Grundlage der insoweit vorzunehmenden Prüfung sind die Angaben nach § 4 e, insbesondere der Nummern 5, 6 und 9
....
Der Einsatz mobiler personenbezogener Speicher- und Verarbeitungsmedien birgt nicht unerhebliche Risiken für das Recht auf informationelle Selbstbestimmung. Die Auswirkungen ihres Einsatzes sind noch nicht in allen Einzelheiten übersehbar; dies insbesondere auch vor dem Hintergrund des sich rasch ändernden Stands der Technik. Es erscheint daher gerechtfertigt, mobile personenbezogene Speicher- und Verarbeitungsmedien uneingeschränkt der Vorabkontrolle zu unterwerfen.
Absatz 6 setzt Artikel 20 Abs. 2 der Richtlinie um. Absatz 6 Satz 1 bestimmt für den Regelfall den Datenschutzbeauftragten als zuständig für die Vorabkontrolle. In Satz 3 konnte auf die Nennung des Bundesbeauftragten für den Datenschutz neben der Aufsichtsbehörde verzichtet werden, da eine Vorabkontrolle nur in Betracht kommt, soweit eine Meldepflicht besteht. Diese entfällt aber wegen der nach § 4 f Abs. 1 obligatorischen Bestellung eines Datenschutzbeauftragten nach § 4 d Abs. 2 Satz 1 im öffentlichen Bereich. Die Regelung der Verfahrensweise des Datenschutzbeauftragten entspricht der in § 4 g Abs. 1 Satz 2. Im Gegensatz zu dieser Regelung verpflichtet Satz 3 - der auf Artikel 20 Abs. 2 zweiter Alternative der Richtlinie beruht - aber den Datenschutzbeauftragten zur Einbindung der Aufsichtsbehörde. In diesem Fall gibt die Aufsichtsbehörde im Rahmen ihrer Befugnisse nach § 38 als Ergebnis ihrer Überprüfung eine Stellungnahme ab. Satz 4 bestimmt als Ausnahme von Satz 1 die jeweilige Aufsichtsbehörde als zuständig für die Vorabkontrolle, wenn kein Datenschutzbeauftragter bestellt worden ist. In diesem Fall gibt die Aufsichtsbehörde nach entsprechender Überprüfung von sich aus eine Stellungnahme ab. ___
|
|
§ 4 e n.F.
Inhalt der Meldepflicht
Sofern automatisierte Dateien meldepflichtig sind, sind folgende Angaben zu machen:
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der Kategorien der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittländer,
9. allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
§ 4 d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben entsprechend.
|
Begründung:
Der Katalog des § 4 e entspricht in den Nummern 1 bis 3 dem § 32 Abs. 2 Nrn. 1 bis 3 a.F.. Gleichzeitig wird hierdurch Artikel 19 Abs. 1 Buchstabe a der Richtlinie umgesetzt.
Nummer 4 setzt Artikel 19 Abs. 1 Buchstabe b der Richtlinie um und entspricht § 18 Abs. 2 Nr. 2 a.F. sowie § 32 Abs. 2 Nr. 4 a.F..
Nummer 5 setzt Artikel 19 Abs. 1 Buchstabe c der Richtlinie um und entspricht in seinem ersten Teil § 18 Abs. 2 Nr. 4 a.F..
Nummer 6 setzt Artikel 19 Abs. 1 Buchstabe d der Richtlinie um und entspricht dem zweiten Teil von § 18 Abs. 2 Nr. 5 a.F. sowie dem ersten Teil von § 32 Abs. 3 Nr 2 a.F..
Nummer 7 entspricht § 18 Abs. 2 Nr. 6 a.F..
Durch Nummer 8 wird Artikel 19 Abs. 1 Buchstabe e der Richtlinie umgesetzt.
Nummer 9 verwirklicht die Voraussetzungen von Artikel 19 Abs. 1 Buchstabe f der Richtlinie unter Einbeziehung des Regelungsinhalts von § 32 Abs. 3 Nr. 1 a.F..
Satz 2, der der bisherigen Regelung in § 32 Abs. 4 a.F. entspricht, setzt Artikel 19 Abs. 2 der Richtlinie um. |
|
§ 4 f n.F.
Datenschutzbeauftragter
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens zwanzig Personen beschäftigt sind. Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen.
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.
(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in seiner Eigenschaft als Datenschutzbeauftragter weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden.
(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Datenschutzbeauftragten wenden.
|
Begründung:
Die Regelungen des § 4 f gelten sowohl für die betrieblichen als auch für die behördlichen Datenschutzbeauftragten.
Absatz 1 Satz 1 führt den behördlichen Datenschutzbeauftragten als obligatorische Institution ein. Satz 2 entspricht der Regelung des § 36 Abs. 1 Satz 1 a.F.. Satz 3 entspricht der Regelung des § 36 Abs. 1 Satz 2 a.F.. Satz 4 begrenzt die Verpflichtung zur Einführung eines betrieblichen Datenschutzbeauftragten bei automatisierten Datenverarbeitungen in Anlehnung an § 36 Abs. 1 Satz 1 a.F. .
Absatz 2 Satz 1 entspricht § 36 Abs. 2 a.F.. Satz 2 sieht die Möglichkeit vor, sich anstelle eines internen Datenschutzbeauftragten der Dienste eines externen Datenschutzbeauftragten zu bedienen. Satz 3 sieht dies unter den dort genannten Voraussetzungen für öffentliche Stellen vor.
Absatz 3 entspricht § 36 Abs. 3 a.F., gilt nun aber auch für den behördlichen Datenschutzbeauftragten. Leiter im Sinne des Absatzes 3 Satz 1 umfaßt als Oberbegriff sowohl die in § 36 Abs. 3 Satz 1 a.F. aufgezählten Funktionen als auch Leiter von Behörden. Absatz 3 Satz 2 entspricht inhaltlich § 36 Abs. 3 Satz 2 a.F., ist sprachlich aber klarer als die bisherige Fassung. Absatz 3 Satz 3 entspricht § 36 Abs. 3 Satz 3 a.F. Die Regelung in Absatz 3 Satz 4 entspricht § 36 Abs. 3 Satz 4 a.F. und gilt partiell nunmehr auch für öffentliche Stellen.______
Absatz 4 entspricht § 36 Abs. 4 a.F. .
Absatz 5 erweitert den Anwendungsbereich der Vorschrift auf die öffentlichen Stellen, entspricht im übrigen aber in Satz 1 § 36 Abs. 5 a.F.. Satz 2 beinhaltet ein Anrufungsrecht des Betroffenen gegenüber dem Datenschutzbeauftragten, vergleichbar der Anrufung des Bundesbeauftragten für den Datenschutz nach § 21.
|
|
(6) Absätze 1 bis 5 gelten nicht für die Behörden des Bundesministeriums der Verteidigung.
|
Begründung (Forts.):
Absatz 6 schließt in Übereinstimmung mit Artikel 3 Abs. 2 erster Spiegelstrich der Richtlinie die Geltung der Absätze 1 bis 5 für die Behörden des Bundesministeriums der Verteidigung aus.
|
|
§ 4 g n.F.
Aufgaben des Datenschutzbeauftragten
(1) Der Beauftragte für den Datenschutz überwacht die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Zu diesem Zweck kann sich in Zweifelsfällen der Datenschutzbeauftragte einer öffentlichen Stelle an den Bundesbeauftragten für den Datenschutz, der Datenschutzbeauftragte einer nicht-öffentlichen Stelle an die Aufsichtsbehörde oder bei den in der Telekommunikation tätigen Unternehmen an die Regulierungsbehörde nach § 66 des Telekommunikationsgesetz, wenden. Er hat insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen,
3. bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.
(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4 e Nr. 1 bis 9 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Im Fall des § 4 d Abs. 2 macht der Beauftragte die Angaben nach Satz 1 mit Ausnahme der Angabe über zugriffsberechtigte Personen sowie der Angaben nach § 4 e Nr. 9 auf Antrag jedermann in geeigneter Weise verfügbar. Im Fall des § 4 d Abs. 3 gilt Satz 2 entsprechend für die verantwortliche Stelle. § 4 f Abs. 6 gilt entsprechend.
|
Begründung:
Absatz 1 entspricht im wesentlichen § 37 Abs. 1 a.F.. Satz 2 bezieht als Konsequenz des obligatorischen behördlichen Datenschutzbeauftragten den Bundesbeauftragten für den Datenschutz in die Regelung ein. Satz 3 Nr. 2 enthält eine sprachliche Straffung ohne inhaltliche Auswirkung.
Absatz 2 Satz 1 setzt unter Einbeziehung des § 18 Abs. 2 Nr. 7 a.F. Artikel 18 Abs. 2, 2. Spiegelstrich, 2. Unterstrich der Richtlinie um. Absatz 2 Satz 2 setzt Artikel 21 Abs. 3 der Richtlinie für die Fälle um, in denen ein Datenschutzbeauftragter vorhanden ist. Absatz 2 Satz 3 setzt Artikel 21 Abs. 3 der Richtlinie in den Fällen des § 4 f Abs. 1 Satz 4 in Verbindung mit § 4 d Abs. 3 um, findet also Anwendung, wenn eine nicht-öffentliche Stelle aufgrund von § 4 f Abs. 1 Satz 4 keinen Datenschutzbeauftragten bestellt hat und auch nicht meldepflichtig nach § 4 d Abs. 3 ist. Hinsichtlich der Begründung zu Satz 4 wird auf die Begründung zu § 4 f Abs. 6 verwiesen.
|
§ 5 a. F.
Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
|
§ 5 n.F.
Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. |
Begründung:
In Satz 1 wurde das Wort "erheben" aufgenommen, um den Anforderungen der Richtlinie insoweit Rechnung zu tragen, als auch die Erhebung personenbezogener Daten im privaten Sektor dem Vorbehalt des Gesetzes zu unterstellen ist (vgl. hierzu auch die Begründung zu § 4 Abs. 1). |
§ 6 a. F.
Unabdingbare Rechte des Betroffenen
(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlos-sen oder beschränkt werden.
(2) 1Sind die Daten des Betroffenen in einer Datei gespeichert, bei der mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, die speichernde Stelle festzustellen, so kann er sich an jede dieser Stellen wenden. 2Diese ist verpflichtet, das Vorbringen des Betroffenen an die speichernde Stelle weiterzuleiten. 3Der Betroffene ist über die Weiterleitung und die speichernde Stelle zu unterrichten. 4Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz unter-richten. 5In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6. |
§ 6 n.F.
Unabdingbare Rechte des Betroffenen
(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlos-sen oder beschränkt werden.
(2) Sind die Daten des Betroffenen in einer Datei gespeichert, bei der mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz unterrichten. In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6.
|
Begründung:
Die Änderungen in Absatz 2 sind Folgeänderungen im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7). |
|
§ 6 a n.F.
Automatisierte Einzelentscheidung
(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung oder Nutzung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. |
Begründung:
§ 6 a setzt Artikel 15 der Richtlinie um. Mit dieser Vorschrift soll verhindert werden, daß Entscheidungen aufgrund von Persönlichkeitsprofilen ergehen, ohne daß der Betroffene die Möglichkeit hat, die zugrundeliegenden Angaben und Bewertungsmaßstäbe zu erfahren. Der Anwendungsbereich der Vorschrift ist dadurch eingeengt, daß es sich um eine Entscheidung handeln muß, die rechtliche Folgen nach sich zieht oder zumindest eine erheblich beeinträchtigende Wirkung hat. Vor allem aber muß die Entscheidung ausschließlich aufgrund einer automatisierten Verarbeitung oder Nutzung erfolgen, d.h. eine erneute Überprüfung durch einen Menschen darf nicht vorgesehen sein. Nur in diesen Fällen greift das Verbot des Absatzes 1. Nach Artikel 15 Abs. 2 Buchstabe b der Richtlinie kann von dem Verbot durch einzelstaatliches Gesetz, das geeignete Garantien vorsieht, abgesehen werden.
Entscheidungen im Sinne des Absatzes 1 sind solche, die auf Daten gestützt werden, die zum Zweck der Bewertung einzelner Aspekte einer Person, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, erhoben wurden. Hierunter sind insbesondere sog. Scoring-Verfahren, wie sie im Kreditgewerbe üblich sind, zu verstehen. Diese Verfahren, auch Punktwertverfahren genannt, stellen eine Auswertungsmethode dar, eine Mehrzahl von Menschen oder Merkmalen in eine Reihenfolge nach einem oder mehreren Kriterien zu bringen, d.h. sie zu positionieren. Keine Entscheidungen im Sinne des Absatzes 1 sind Vorgänge wie etwa Abhebungen am Geldausgabeautomaten, automatisierte Genehmigungen von Kreditkartenverfügungen oder automatisiert gesteuerte Guthabensabgleiche zur Ausführung von Überweisungs-, Scheck- oder Lastschriftaufträgen__. Anläßlich der Geldtransaktion selbst wird lediglich ausgeführt, was in dem zugrundeliegenden Rechtsverhältnis zwischen Kreditinstitut und Kunde bereits vereinbart wurde. Auch bloße Vorentscheidungen, wie etwa die automatisierte Vorauswahl im Vorfeld einer Personalbesetzung (automatisierter Abgleich des Personalbestandes anhand bestimmter Suchkriterien, wie etwa Alter, Ausbildung, Zusatzqualifikation u. ä.), sind nicht erfaßt.
|
|
§ 6 a n.F. (Forts.)
(2) Dies gilt nicht, wenn
1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder
2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen garantiert und dem Betroffenen von der verantwortlichen Stelle die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird. Als geeignete Maßnahme gilt insbesondere die Möglichkeit des Betroffenen, seinen Standpunkt geltend zu machen. Die verantwortliche Stelle ist verpflichtet, ihre Entscheidung erneut zu prüfen.
(3) Das Recht des Betroffenen auf Auskunft nach § 19 und § 34 erstreckt sich auch auf den strukturierten Ablauf der automatisierten Verarbeitung oder Nutzung der ihn betreffenden Daten und die dabei herangezogenen Entscheidungskriterien. |
Begründung (Forts.) :
Absatz 2 setzt Artikel 15 Abs. 2 Buchstabe a der Richtlinie um und beinhaltet Ausnahmen von Absatz 1.
Der Begriff des sonstigen Rechtsverhältnisses meint eine der ersten Alternative vergleichbare Fallgestaltung im öffentlichen Bereich.
Als geeignete Maßnahme im Sinne des Absatzes 2 Nr. 2 gilt insbesondere die Möglichkeit des Betroffenen, seinen Standpunkt geltend zu machen. Daneben kommen auch andere Maßnahmen in Betracht. Maßstab ist insoweit die Effizienz der jeweiligen Maßnahme hinsichtlich der Wahrung des berechtigten Interesses der betroffenen Personen.
Um dem Zweck der Regelung des Absatzes 2 Nr. 2 gerecht zu werden, muß der Betroffene über die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 informiert werden. Die erneute Überprüfung darf nicht ausschließlich automatisiert erfolgen.
Absatz 3 Satz 1 setzt Artikel 12 Buchstabe a, 3. Spiegelstrich der Richtlinie um. Das Auskunftsrecht über den strukturierten Ablauf der automatisierten Verarbeitung oder Nutzung und der dabei herangezogenen Entscheidungskriterien soll Transparenz für den Betroffenen schaffen. Es zielt in erster Linie auf die Veranschaulichung dessen ab, was mit den Daten des Betroffenen geschieht. Das Auskunftsrecht im Sinne dieser Vorschrift umfaßt daher neben Hinweisen auf die innerbetriebliche Organisation und den Ablauf des Verfahrens auch die Angabe, nach welchen Kriterien die Entscheidung erfolgt und welche Gewichtung den einzelnen Bewertungskriterien gegeben wird. Nicht erfaßt sind dagegen unter dem Gesichtspunkt des Schutzes des Betriebs- oder Geschäftsgeheimnisses beispielsweise Auskünfte über die verwendete Software. Dies wird in Erwägungsgrund 41 der Richtlinie deutlich. Der Anwendungsbereich dieses gegenüber dem bisherigen Recht erweiterten Auskunftsrechts beschränkt sich auf die Fälle des § 6 a. Diese Einschränkung wird durch die zugrundeliegende Vorschrift der Richtlinie ermöglicht.
|
|
§ 6 b n.F.
Beobachtung öffentlich zugänglicher Räume mit optisch –elektronischen Einrichtungen
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch – elektronischen Einrichtungen (Videoüberwachung) ist zulässig, soweit dies zur Aufgabenerfüllung, zur Wahrnehmung des Hausrechts oder zur Erfüllung eigener Geschäftszwecke erforderlich ist und keine Anhaltspunkte bestehen, daß schutzwürdige Interessen der betroffenen Personen überwiegen.
(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Speicherung von nach Absatz 1 erhobenen Daten ist zulässig, wenn dies zum Erreichen des verfolgten Zweckes erforderlich ist.
(4) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. |
Begründung:
Die in weiten Bereichen durch öffentliche und nicht-öffentliche Stellen bereits durchgeführte Videoüberwachung öffentlich zugänglicher Räume erhält durch die Vorschrift eine gesetzliche Grundlage, die der Wahrung des informationellen Selbstbestimmungsrechts durch einen angemessenen Interessensausgleich Rechnung trägt. Da bereits die Beobachtung selbst erfaßt wird, kommt es nicht auf das Erfordernis einer anschließenden Speicherung des Bildmaterials an, um datenschutzrechtlich relevant zu sein.
Die Vorschrift erfaßt nur öffentlich zugängliche Räume. Für nicht öffentlich zugängliche Räume sind besondere Regelungen, beispielsweise im Rahmen eines Arbeitnehmerdatenschutzgesetzes, erforderlich.
Die in den bereichsspezifischen Normen etwa für die Polizei, den Bundesgrenzschutz und den Verfassungsschutz enthaltenen Rechtsgrundlagen zur Videoüberwachung und –aufzeichnung bleiben unberührt.
Absatz 2 dient der Transparenz des Vorgangs der Videoüberwachung. Geeignete Maßnahmen im Sinne dieser Vorschrift sind beispielsweise deutlich sichtbare Hinweisschilder. Zusätzlich zum Umstand der Beobachtung muß für den Betroffenen die verantwortliche Stelle erkennbar sein, damit dieser seine Rechte geltend machen kann.
Absatz 3 regelt die Speicherung der durch Beobachtung nach Absatz 1 erhobenen Daten. Die Speicherung ist nur zulässig, soweit sie für den verfolgten Zweck erforderlich ist.
Die Löschungsregelung des Absatzes 4 trägt auch einem vorrangigen Löschungsinteresse des Betroffenen Rechnung.
|
|
§ 6 c n.F.
Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Vor der Ausgabe mobiler personenbezogener Speicher- und Verarbeitungsmedien ist der Betroffene darüber zu unterrichten,
1. welche Stellen oder Kategorien von Stellen zu welchen Arten von Daten zu welchen Zwecken in welcher Weise zugreifen und diese verarbeiten können,
2. welche Verarbeitungsbeschränkungen bestehen oder vom Betroffenen bewirkt werden können,
3. wie und nach welchen Regeln Daten automatisch gelöscht werden oder auf Veranlassung des Betroffenen oder einer nutzenden Stelle gelöscht werden können,
4. welche Maßnahmen vom Betroffenen bei Verlust oder beim Verdacht nicht ordnungsgemäßer Verarbeitung zu ergreifen sind,
5. wo der Betroffene seine ihm nach diesem Gesetz zustehenden Rechte geltend machen kann (verantwortliche Stelle).
(2) Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, daß diese in angemessenem Umfang zur Verfügung stehen.
(3) Verantwortliche Stelle ist diejenige, die Kontrolle über das Verfahren oder über den jeweiligen Verfahrensteil hat.
(4) Die Tatsache der Kommunikation zwischen dem mobilen Speicher- und Verarbeitungsmedium und einem elektronischen Lese- oder Schreibgerät und die verantwortliche Stelle müssen für den Betroffenen erkennbar sein.
|
Begründung:
Die neuen mobilen Speicher- und Verarbeitungsmedien finden zunehmend im öffentlichen wie im nicht-öffentlichen Bereich Verwendung. Vielfach erfolgt sowohl ihre Ausgabe wie auch ihre Verwendung im Einzelfall auf Wunsch des Betroffenen oder im Rahmen rechtsgeschäftlicher Beziehungen des Betroffenen mit den beteiligten Stellen.
Im Vordergrund der Regelung steht daher die Sicherung der tatsächlichen, insbesondere informatorischen Voraussetzungen dafür, daß der einzelne sein informationelles Verhalten kompetent steuern kann. Hierzu muß er insbesondere erkennen können, welche Möglichkeiten ihm und den beteiligten Stellen eingeräumt werden, wenn er beispielsweise eine Chipkarte benutzt. Dem dienen die Unterrichtungspflichten in Absatz 1 Nrn. 1 bis 5.
Die materiellen Voraussetzungen des Einsatzes mobiler personenbezogener Speicher- und Verarbeitungsmedien ergeben sich aus anderen Vorschriften dieses Gesetzes, wie etwa § 28, oder bereichsspezifischen Regelungen.
Die Vorschrift des Absatzes 2 soll die Realisierung der Informationsrechte der Betroffenen ermöglichen. Um unnötige wirtschaftliche Belastungen der Stellen zu vermeiden, ist die Verpflichtung zur Bereitstellung besonderer Geräte oder Einrichtungen auf einen angemessenen Umfang beschränkt.
Absatz 3 bestimmt die Stelle, die für die Datenerhebung, -verarbeitung und –nutzung die Verantwortung trägt. Damit wird im Interesse eines effektiven Datenschutzes für die am Verfahren Beteiligten transparent, wen die datenschutzrechtliche Verantwortung trifft. Der Betroffene, dessen Daten verwendet werden, hat hierdurch die Möglichkeit, seine Rechte (z.B. Auskunft, Schadensersatz) gezielt geltend zu machen.
Im Hinblick auf kontaktlose Lesegeräte muß die Erkennbarkeit des Lesevorgangs besonders gesichert werden. Dem dient die Vorschrift des Absatzes 4. Für die weitergehende Information gelten die allgemeinen Vorschriften über Benachrichtigung und Auskunft.
|
§ 7 a.F.
Schadensersatz durch
öffentliche Stellen
(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) 1Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von zweihundertfünfzigtausend Deutsche Mark begrenzt. 2Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von zweihundertfünfzigtausend Deutsche Mark übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.
(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
|
§ 7 n.F.
Schadensersatz mit Beweislastumkehr
(1) Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten schuldhaft einen Schaden zu, ist ihr Träger dem Betroffenen zum Ersatz dieses Schadens verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
(2) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(3) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.
(4) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
|
Begründung :
Im Gegensatz zur Regelung der §§ 7 und 8 a.F. wird in Umsetzung von Artikel 23 der Richtlinie in Satz 1 erstmals eine eigenständige Anspruchsgrundlage im Bundesdatenschutzgesetz für eine Verschuldenshaftung geschaffen, die sowohl im öffentlichen als auch im nicht-öffentlichen Bereich gilt. Sie umfaßt sowohl Schadensersatzansprüche aus automatisierter als auch aus nicht-automatisierter Datenverarbeitung. Satz 2 setzt Artikel 23 Abs. 2 der Richtlinie um, der den für die Verarbeitung Verantwortlichen von der Haftung befreit, wenn er nachweist, daß ihm ein Verschulden nicht zur Last gelegt werden kann. Er erfaßt erstmals auch den öffentlichen Bereich und dort auch Ansprüche aus fehlerhafter nicht-automatisierter Datenverarbeitung und findet damit auch bei der Datenverarbeitung in Akten Anwendung.
Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung und Nutzung in den Verarbeitungsbegriff einbezieht, war die Vorschrift entsprechend zu ergänzen.
Absatz 2 entspricht Absatz 5 a.F., Absatz 3 entspricht Absatz 7 a.F. und Absatz 4 entspricht Absatz 8 a.F.. |
§ 8
Schadensersatz durch nicht-öffentliche Stellen
Macht ein Betroffener gegenüber einer nicht-öffentlichen Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem Gesetz oder anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend und ist streitig, ob der Schaden die Folge eines von der speichernden Stelle zu vertretenden Umstandes ist, so trifft die Beweislast die speichernde Stelle.
|
§ 8 n.F.
Schadensersatz bei automatisierter Datenverarbeitung
(1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von zweihundertfünfzigtausend Deutsche Mark begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von zweihundertfünfzigtausend Deutsche Mark übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(5) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(6) § 7 Abs. 2 bis 4 findet entsprechende Anwendung. |
Begründung:
§ 8 entspricht im wesentlichen § 7 a.F.. |
§ 9 a.F.
Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
|
§ 9 n.F.
Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
|
Begründung:
Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung und Nutzung in den Verarbeitungsbegriff einbezieht, war die Vorschrift entsprechend zu ergänzen.
|
|
§ 9 a n.F.
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und –programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. |
Begründung:
Das Datenschutz-Audit verfolgt das Ziel, datenschutzfreundliche Produkte auf dem Markt zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird. Eine entsprechende Regelung zum Datenschutz-Audit enthält § 17 Mediendienstestaatsvertrag.
Satz 2 bestimmt für das nähere Verfahren des Audits eine Regelung durch Gesetz. Dies ist notwendig, da die Bestimmung der Anforderungen an die Prüfung und Bewertung sowie die Auswahl und Zulassung der Gutachter berufsbeschränkenden Charakter haben und damit dem verfassungsrechtlichen Vorbehalt des Gesetzes unterliegen.
|
§ 10 a.F.
Einrichtung automatisierter
Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.
(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlaß und Zweck des Abrufverfahrens,
2. Datenempfänger,
3. Art der zu übermittelnden Daten,
4. nach § 9 erforderliche technische und organisatorische Maßnahmen.
Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden.
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn der für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder Landesminister oder deren Vertreter zugestimmt haben.
(4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. 2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht. 3Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
|
§ 10 n.F.
Einrichtung automatisierter
Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.
(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit das Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlaß und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der zu übermittelnden Daten,
4. nach § 9 erforderliche technische und organisatorische Maßnahmen.
Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden.
(3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder Landesministerium oder deren Vertreter zugestimmt haben.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird.2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht. 3Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
|
Begründung:
Beim Abruf handelt es sich um eine Form der Übermittlung. § 10 gilt daher nur für On-Line-Verfahren der verantwortlichen Stelle mit Dritten. Da der Begriff des Empfängers nun in § 3 Abs. 8 Satz 1 definiert ist, war Absatz 2 Nr. 2 durch den Begriff des Dritten zu präzisieren.
Entsprechendes gilt für die Neuformulierung von Absatz 4.
Die Änderung in Absatz 3 geht auf einen Beschluß des Bundeskabinetts vom 20. Januar 1993 (GMBl. S. 46) zurück, nach dem einheitlich für alle Bundesressorts die sächliche Bezeichnungsform einzuführen ist. Auch in den Ländern ist die sächliche Bezeichnungsform für die Landesressorts eingeführt worden. |
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen. |
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen.
|
|
§ 11 a.F.
Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 6 bis 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. 3Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden.
(3) 1Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder nutzen. 2Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und 4 sowie 44 Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für
1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig verarbeiten oder nutzen, die §§ 32, 36 bis 38.
|
§ 11 n.F.
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 6 bis 8 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat die Pflicht, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und 4 sowie 44 Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für
1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4 f , 4 g und 38.
(5) Die Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der verantwortlichen Stelle gilt als Datenverarbeitung im Auftrag im Sinne von Abs. 1 Satz 1 . |
Begründung:
Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung und Nutzung in den Verarbeitungsbegriff einbezieht, war die Vorschrift entsprechend zu ergänzen.
Absatz 2 Satz 4 setzt Artikel 17 Abs. 2 zweiter Halbsatz der Richtlinie um.
Die geänderten Verweise in Absatz 4 Nr. 2 sind Folgeänderungen im Zusammenhang mit den Aufhebungen der §§ 32, 36 und 37, dem Entfallen der Meldepflicht für die Auftragsdatenverarbeitung im nicht-öffentlichen Bereich (§ 4 d Abs. 4) sowie mit der Schaffung der neuen Vorschriften der §§ 4 f und 4 g.
Zu Absatz 5:
....
|
Zweiter Abschnitt
Datenverarbeitung der öffentlichen Stellen |
§ 12 a.F.
Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 17, 19 und 20 auch für die öffentlichen Stellen der Länder, soweit sie
1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder
2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
(3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend.
(4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse verarbeitet oder genutzt, gelten anstelle der §§ 14 bis 17, 19 und 20 der § 28 Abs. 1 und 2 Nr. 1 sowie die §§ 33 bis 35.
|
§ 12 n.F.
Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie
1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder
2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
(3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend.
(4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse erhoben, verarbeitet oder genutzt, gelten anstelle der §§ 13 bis 16, 19 bis 20 der § 28 Abs. 1 und 3 Nr. 1 sowie die §§ 33 bis 35, auch soweit personenbezogene Daten nicht in Dateien verarbeitet oder genutzt werden.
|
Begründung:
Die Änderungen der Verweise in Absatz 2 und 4 sind Folgeänderungen im Zusammenhang mit der Streichung von § 17 a.F., der Schaffung der neuen Vorschrift des § 19 a, der Einbeziehung der Erhebung in § 28 Abs. 1 sowie der Einfügung eines neuen Absatzes 2 in § 28.
Da die Vorschriften der §§ 28 und 33 bis 35 nur für die Verarbeitung in Dateien gelten, war durch die Ergänzung in Absatz 4 durch die Wörter "auch soweit personenbezogene Daten nicht in Dateien verarbeitet oder genutzt werden" sicherzustellen, daß Arbeitnehmerdaten unabhängig von dem verwendeten Speichermedium geschützt sind.
|
§ 13 a.F.
Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stellen erforderlich ist.
(2) 1Personenbezogene Daten sind beim Betroffenen zu erheben. 2Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden.
(3) 1Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck ihm gegenüber anzugeben. 2Werden sie beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. 3Auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
|
§ 13 n.F.
Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stellen erforderlich ist.
(2) Das Erheben besonderer Arten personenbezogener Daten nach § 3 Abs. 9 ist nur zulässig, soweit
1. der Betroffene nach Maßgabe des § 4 a Abs. 3 eingewilligt hat,
2. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
3. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist,
4. dies zur Verfolgung von Straftaten erforderlich ist,
5. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
___
|
Begründung :
Zu Absatz 1:
In Absatz 1 steht der Ersatz des Begriffs "erhebende Stellen" durch den der "verantwortlichen Stellen" steht im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7). Im übrigen wird auf die Begründung zu § 4 verwiesen.
Zu Absatz 2:
Absatz 2 setzt Artikel 8 der Richtlinie um, der ein generelles Verwendungsverbot mit enumerativen Ausnahmetatbeständen für die in § 3 Abs. 9 bezeichneten Daten vorsieht. Durch die Nummern 1 bis 5 werden die nach der Richtlinie möglichen Ausnahmen im Hinblick auf das Bestimmtheitsgebot konkretisiert. Aufgrund der Subsidiarität des Bundesdatenschutzgesetzes nach § 1 Abs. 3 gelten die Einschränkungen des Absatzes 2 nur für Bereiche, in denen spezialgesetzliche Regelungen für die Verwendung der in § 3 Abs. 9 genannten Arten von Daten fehlen. Dies gilt etwa für die Datenschutzregelungen im Bereich des Gesundheitswesens, die von Artikel 8 Abs. 3 der Richtlinie erfaßt werden. Ferner geht die Gesetzgebung auf dem Gebiet der sozialen Sicherheit den hier geschaffenen Regelungen vor, da es sich dabei um ein "wichtiges öffentliches Interesse" im Sinne von Artikel 8 Abs. 4 der Richtlinie handelt, bei dessen Vorliegen Ausnahmen von dem Verwendungsverbot des Absatzes 1 zulässig sind. Dies wird im Erwägungsgrund 34 der Richtlinie besonders hervorgehoben.
Absatz 2 Nr. 1 setzt Artikel 8 Abs. 2 Buchstabe a der Richtlinie um. Die Nummern 2 bis 5 beruhen auf einer Umsetzung des Artikel 8 Abs. 4 der Richtlinie. Die Anwendbarkeit der Nummer 3 setzt in Anbetracht der Anforderungen des Artikels 8 Abs. 4 der Richtlinie voraus, daß die Schwelle für die Annahme erheblicher Nachteile oder erheblicher Belange des Gemeinwohls hoch ist. Nicht jedes öffentliche Interesse ist ausreichend. Im Rahmen der Nummer 5 kommt bei der Abwägung und Gewichtung zwischen dem wissenschaftlichen Interesse an dem Forschungsvorhaben und dem Individualinteresse des Betroffenen am Ausschluß der Erhebung seiner Daten dem öffentlichen Interesse an dem Forschungsvorhaben eine erhebliche Bedeutung zu. Die grundgesetzlich geschützte zweckfreie wissenschaftliche Forschung liegt regelmäßig im öffentlichen Interesse, wie es Artikel 8 Abs. 4 der Richtlinie fordert.
|
§ 14 a.F.
Datenspeicherung, -veränderung und -nutzung
(1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. 2Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Zweckänderung offensichtlich überwiegt,
6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
|
§ 14 n.F.
Datenspeicherung, -veränderung und -nutzung
(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Zweckänderung offensichtlich überwiegt,
6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl, zur Wahrung erheblicher Belange des Gemeinwohls oder einer ____Gefahr für die öffentliche Sicherheit erforderlich ist,
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstrekkung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
|
Begründung:
Die Änderungen sind Folgeänderungen im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7).
In Absatz 2 Nr. 6 bedurfte es zur Vermeidung von Wertungswidersprüchen einer entsprechenden Ergänzung für Daten, die nicht § 3 Abs. 9 unterfallen, da § 13 Abs. 2 Nr. 4 die Erhebung von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 auch zur Wahrung erheblicher Belange des Gemeinwohls vorsieht. Die Wörter "sonst unmittelbar drohenden" wurden in Anpassung an die gebräuchliche Terminologie in bereichsspezifischen Gesetzen gestrichen. |
(3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die speichernde Stelle dient. 2Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die speichernde Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. |
(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
( 5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 für andere Zwecke ist nur zulässig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 zulassen würden oder
2. dies zum Schutz lebenswichtigter Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben.
|
Begründung (Forts.) :
In Absatz 5 bedurfte es auf Grund der Regelung der Erhebung besonderer Arten personenbezogener Daten nach § 3 Abs. 9 in Verbindung mit § 13 Abs. 2 einer Bestimmung zur weiteren zweckändernden Verwendung dieser Daten. Durch Verweis auf die Voraussetzungen des § 13 Abs. 2 wird sichergestellt, daß sich die zweckändernde Verwendung in Übereinstimmung mit Artikel 6 Abs. 1 Buchstabe b der Richtlinie und ebenfalls im Rahmen der Möglichkeiten des Artikels 8 der Richtlinie bewegt. Nummer 2 entspricht Artikel 8 Abs. 2 Buchstabe c der Richtlinie. |
§ 15 a.F.
Datenübermittlung an öffentliche Stellen
(1) Die Übermittlung personenbezoge-ner Daten an öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Empfängers liegenden Aufgaben erforderlich ist und
2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwor-tung. 3In diesem Falle prüft die über-mittelnde Stelle nur, ob das Übermit-tlungsersuchen im Rahmen der Auf-gaben des Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prü-fung der Zulässigkeit der Übermittlung besteht. 4§ 10 Abs. 4 bleibt unberührt.
(3) 1Der Empfänger darf die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Abs. 2 zulässig.
(4) Für die Übermittlung personenbe-zogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaf-ten gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, daß bei dem Empfänger ausreichende Daten-schutzmaßnahmen getroffen werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbe-zogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berech-tigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. |
§ 15 n.F.
Datenübermittlung an öffentliche Stellen
(1) Die Übermittlung personenbezoge-ner Daten an öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Da-ten übermittelt werden, liegenden Aufgaben erforderlich ist und
2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das Übermittlungsersu-chen im Rahmen der Aufgaben des Dritten, an den die Daten über-mittelt werden, liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht. § 10 Absatz 4 bleibt unberührt.
(3) Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Absatz 2 zulässig.
(4) Für die Übermittlung personenbe-zogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaf-ten gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, daß bei diesen ausreichende Datenschutzmaß-nahmen getroffen werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezo-gene Daten des Betroffenen oder eines Dritten ______ so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Drit-ten an deren Geheimhaltung offen-sichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. |
Begründung:
Die Vorschrift regelt den Fall der Übermittlung von Daten an öffentliche Stellen. Wesentliches Element der Übermittlung ist die Bekanntgabe von Daten an Dritte (§ 3 Abs. 4 Nr. 3). Zu den datenempfangenden öffentlichen Stellen im Sinne der Vorschrift zählen alle deutschen öffentlichen Stellen, soweit sie Dritte sind, sowie solche im EU-Ausland. Um Mißverständnisse mit dem weitergehenden Begriff des nun in § 3 Abs. 8 Satz 1 definierten Empfängers zu vermeiden, war der Begriff des Empfängers durch den des Dritten, an den die Daten übermittelt werden, zu ersetzen bzw. die Vorschrift entsprechend zu modifizieren.
Hinsichtlich des Verzichts auf den Begriff "Akten" in Absatz 5 wird auf die Begründung zu § 3 Abs. 2 Nr. 2 verwiesen.
|
§ 16 a.F.
Datenübermittlung an nicht-öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder
2. der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(4) 1Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Die übermittelnde Stelle hat den Empfänger darauf hinzuweisen. 3Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
|
§ 16 n.F.
Datenübermittlung an nicht-öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. Das Übermitteln von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 ist nur zulässig, wenn darüber hinaus die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(4) Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
|
Begründung:
Zur Ersetzung des Begriffs des Empfängers durch den Begriff des Dritten, an den die Daten übermittelt werden, wird auf die Begründung zu § 15 verwiesen.
Die Ergänzung in Absatz 1 Nr. 2 Satz 2 stellt sicher, daß bei der Übermittlung von Daten nach § 3 Abs. 9 die Anforderungen des § 14 Abs. 5 gewahrt werden. Auf die Begründung zu dieser Vorschrift wird verwiesen. Der letzte Halbsatz setzt Artikel 8 Abs. 2 Buchstabe e 2. Halbsatz der Richtlinie um und gewährleistet unter den genannten Voraussetzungen die Übermittlung von Daten nach § 3 Abs. 9 an nicht-öffentliche Stellen.
|
§ 17 a.F.
Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses Gesetzes
(1) Für die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs dieses Gesetzes sowie an über- und zwischenstaatliche Stellen gilt § 16 Abs. 1 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, sowie § 16 Abs. 3.
(2) Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen den Zweck eines deutschen Gesetzes verstoßen würde.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.
|
Hinweis:
Die Vorschrift wurde vollständig aufgehoben.
|
Begründung:
Auf die Begründung zu § 4 b wird verwiesen.
|
§ 18 a.F.
Durchführung des Datenschutzes in der Bundesverwaltung
(1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens, sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Das gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) 1Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. 2Für ihre Dateien haben sie schriftlich festzulegen:
1. Bezeichnung und Art der Dateien,
2. Zweckbestimmung,
3. Art der gespeicherten Daten,
4. betroffenen Personenkreis,
5. Art der regelmäßig zu übermittelnden Daten und deren Empfänger,
6. Regelfristen für die Löschung der Daten,
7. zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind.
3Sie haben ferner dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird.
(3) Absatz 2 Satz 2 gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden.
|
§ 18 n.F.
Durchführung des Datenschutzes in der Bundesverwaltung
(1) Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens, sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Das gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
(2) 1Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. Für ihre Dateien haben sie die Angaben nach § 4 e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen.
Bei allgemeinen Verwaltungszwecken dienenden Dateien, bei welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. Für Dateien, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefaßt werden. In den Fällen der Sätze 3 und 4 sollen die Empfehlungen des Bundesbeauftragten für den Datenschutz beachtet werden.
___
|
Begründung:
Um unnötige Wiederholungen zu vermeiden, wurde die Auflistung des Absatzes 2 Satz 2 durch den Verweis auf die neue Vorschrift des § 4 e ersetzt. Die Angabe der Rechtsgrundlage der Verarbeitung dient der Erleichterung der Überprüfung durch den Bundesbeauftragten für den Datenschutz.
Die umzusetzende Richtlinie sieht eine Privilegierungsmöglichkeit für nur vorübergehend vorgehaltene Dateien im Sinne des § 18 Abs. 3 a.F. nicht vor. Die Vorschrift des Absatzes 3 war daher ersatzlos aufzuheben.
Zu Absatz 2 Sätze 3 bis 5:
... |
§ 19 a.F.
Auskunft an den Betroffenen
(1) 1Dem Betroffenen ist auf Antrag Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft oder Empfänger dieser Daten beziehen, und
2. den Zweck der Speicherung.
2In dem Antrag soll die Art der personenbezo-genen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 3Sind die personenbezogenen Daten in Akten gespei-chert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Ertei-lung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffe-nen geltend gemachten Informationsinteresse steht. 4Die speichernde Stelle bestimmt das Verfahren, insbesondere die Form der Aus-kunftserteilung, nach pflichtgemäßem Ermessen.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen.
(3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundes-ministers der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemäße Erfül-lung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.
(5) 1Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und recht-lichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweige-rung verfolgte Zweck gefährdet würde. 2In diesem Falle ist der Betroffene darauf hinzu-weisen, daß er sich an den Bundesbeauftragten für den Datenschutz wenden kann.
|
§ 19 n.F.
Auskunft an den Betroffenen
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und
3. den Zweck der Speicherung.
2In dem Antrag soll die Art der personenbezo-genen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 3Sind die personenbezogenen Daten außerhalb von Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. 4Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundes-ministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.
(5) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverwei-gerung verfolgte Zweck gefährdet würde. In diesem Falle ist der Betroffene darauf hinzu-weisen, daß er sich an den Bundesbeauftragten für den Datenschutz wenden kann.
|
Begründung:
Durch die Neufassung des Absatzes 1 wird Artikel 12 Buchstabe a, 1. Spiegelstrich der Richtlinie umgesetzt.
Die Neufassung erweitert den Umfang des Auskunftsrechts um die Information über Empfänger oder Kategorien von Empfängern. Um inhaltliche Überschneidungen von Nummer 2 mit Nummer 1 a.F. zu vermeiden, war Nummer 1 a.F. entsprechend zu modifizieren. Im Hinblick auf den Begriff des Empfängers wird auf § 3 Abs. 8 Satz 1 sowie die Begründung hierzu verwiesen.
Die Änderungen in Absatz 1 Satz 4, Absatz 4 und 6 sind Folgeänderungen im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7). Hinsichtlich des Ersatzes des Wortes "Akten" durch die Wörter "außerhalb von Dateien" in Absatz 1 Satz 3 wird auf die Begründung zu § 3 Abs. 2 Nr. 2 verwiesen.
Die Ausnahme des Absatzes 2 Satz 1 wurde in Anwendung des Artikels 13 Abs. 1 Buchstabe g der Richtlinie modifiziert.
Die Änderung in Absatz 3 geht auf einen Beschluß des Bundeskabinetts vom 20. Januar 1993 (GMBl. S. 46) zurück, nach dem einheitlich für alle Bundesressorts die sächliche Bezeichnungsform einzuführen ist. Entsprechende Änderungen finden sich in §§ 22 Abs. 5 und 23 Abs. 3 und 5.
|
(6) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 2Die Mitteilung des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Er-kenntnisstand der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(7) Die Auskunft ist unentgeltlich. |
(6) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 2Die Mitteilung des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(7) Die Auskunft ist unentgeltlich
. |
|
|
§ 19 a n.F.
Benachrichtigung
(1) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. Für Kategorien von Empfängern gilt dies nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muß. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder
3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist.
Die verantwortliche Stelle unterrichtet den Bundesbeauftragten für den Datenschutz bei der erstmaligen Inanspruchnahme einer Ausnahmekategorie nach Nummer 2 oder 3 und kennzeichnet die Datensätze der Betroffenen, die unterrichtet wurden oder bei denen eine Benachrichtigung unterblieben ist.
(3) § 19 Abs. 2 bis 4 gilt entsprechend.
|
Begründung:
Absatz 1 führt in Umsetzung von Artikel 11 der Richtlinie eine Benachrichtigungspflicht im öffentlichen Bereich für die Fälle ein, in denen Daten nicht beim Betroffenen unmittelbar selbst erhoben werden.
Die in Absatz 2 Nr. 1 bis 3 geregelten Ausnahmen von der Benachrichtigungspflicht setzen Artikel 11 Abs. 2 der Richtlinie um, die in Absatz 3 geregelten Ausnahmen beruhen auf Artikel 13 der Richtlinie.
Durch Absatz 2 Satz 2 wird das Erfordernis der "geeigneten Garantien" nach Artikel 11 Abs. 2 Satz 2 der Richtlinie umgesetzt. |
§ 20 a.F.
Berichtigung, Löschung und Sperrung von Daten
(1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Wird festgestellt, daß personenbezogene Daten in Akten unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.
(2) Personenbezogene Daten in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, daß durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten in Dateien sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.
|
§ 20 n.F.
Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, daß personenbezogene Daten außerhalb von Dateien unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in ___ geeigneter Weise festzuhalten.
(2) Personenbezogene Daten in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, daß durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten in Dateien sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.
|
Begründung:
Die Überschrift war aufgrund der Einfügung des Widerspruchsrechts in Absatz 5 zu ergänzen.
Zu Absatz 1:
Hinsichtlich des Ersatzes des Wortes "Akten" durch die Wörter "außerhalb von Dateien" wird auf die Begründung zu § 3 Abs. 2 Nr. 2 verwiesen. Die Änderungen im zweiten Teil von Satz 2 sind bloße Folgeänderungen ohne inhaltliche Auswirkung.
Zu Absatz 2:
Die Änderung in Absatz 2 Nr. 2 ist eine Folgeänderung im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7).
|
(5) Personenbezogene Daten in Akten sind zu sperren, wenn die Behörde im Einzelfall feststellt, daß ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.
(6) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
|
(5) Personenbezogene Daten in Dateien dürfen nicht erhoben, verarbeitet oder genutzt werden, soweit der Betroffene einer bestimmten Erhebung, Verarbeitung oder Nutzung bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, daß das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt.
(6) Personenbezogene Daten außerhalb von Dateien sind zu sperren, wenn die Behörde im Einzelfall feststellt, daß ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.
(7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerläßlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
|
Begründung (Forts.):
Zu Absatz 5:
Absatz 5 setzt Artikel 14 Buchstabe a der Richtlinie für den öffentlichen Bereich um. Ausweislich des Erwägungsgrundes 45 der Richtlinie gilt das Widerspruchsrecht des Betroffenen für Fälle rechtmäßiger Datenverarbeitung. Begründet ist der Widerspruch des Betroffenen allerdings nur, sofern besondere Umstände in der Person des Betroffenen vorliegen und das schutzwürdige Interesse des Betroffenen an der Unterlassung das der speichernden Stelle an der Verarbeitung überwiegt. Diese Voraussetzungen werden nur in Ausnahmefällen erfüllt sein. Vor dem Hintergrund, daß dem Widerspruch eine rechtmäßige Verarbeitung und Nutzung zugrunde liegt, ist bei der Prüfung des Vorliegens einer besonderen persönlichen Situation, die das öffentliche Interesse an der Verarbeitung und Nutzung zurücktreten läßt, ein besonders strenger Maßstab anzulegen. Beispiele für derartige Regelungen finden sich bereits im Melderecht (§ 7 Nr. 5 Melderechtsrahmengesetz), im Sozialgesetzbuch (§ 76 Abs. 2 Nr. 1 SGB X) und im Krebsregistergesetz (§ 3 Abs. 2 Satz 2).
Nach Artikel 14 Buchstabe a, zweiter Halbsatz der Richtlinie kann das einzelstaatliche Recht einen Ausschluß des Widerspruchsrechts vorsehen.
Zu Absatz 6:
Hinsichtlich des Ersatzes des Wortes "Akten" durch die Wörter "außerhalb von Dateien" wird auf die Begründung zu § 3 Abs. 2 Nr. 2 verwiesen.
Zu Absatz 7:
Die Änderung in Absatz 7 Nr. 1 ist eine Folgeänderung im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7).
|
§ 20 a.F. (Forts.)
(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist.
(8) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden.
|
§ 20 n.F. (Forts.)
(8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer ___ Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.
(9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden.
|
Begründung (Forts.):
Zu Absatz 8:
Durch den Wegfall der Regelmäßigkeit der Datenübermittlung als Voraussetzung der Nachberichtspflicht (vgl. § 20 Abs. 7 a.F.) wird in Umsetzung von Artikel 12 Buchstabe c der Richtlinie der Anwendungsbereich der Nachberichtspflicht erweitert. Gleichzeitig wird - ebenfalls in Umsetzung der Richtlinie - sichergestellt, daß die Nachberichtspflicht nur besteht, wenn sie keinen unverhältnismäßigen Aufwand erfordert. Durch die Formulierung "und schutzwürdige Interessen des Betroffenen nicht entgegenstehen" soll verhindert werden, daß eine Benachrichtigung zu Lasten des Betroffenen erfolgen kann.
|
§ 21
Anrufung des Bundesbeauftragten für den Datenschutz
1Jedermann kann sich an den Bundesbeauftragten für den Datenschutz wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. 2Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig werden.
|
Hinweis: Vorschrift ist unverändert |
|
§ 22
Wahl des Bundesbeauftragten für den Datenschutz
(1) 1Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. 2Der Bundesbeauftragte muß bei seiner Wahl das 35. Lebensjahr vollendet haben. 3Der Gewählte ist vom Bundespräsidenten zu ernennen.
(2) 1Der Beauftragte leistet vor dem Bundesminister des Innern folgenden Eid:
"Ich schwöre, daß ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe."
2Der Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) 1Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. 2Einmalige Wiederwahl ist zulässig.
(4) 1Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. 2er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. 3Er untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte wird beim Bundesminister des Innern eingerichtet. Er untersteht der Dienstaufsicht des Bundesministers des Innern. Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministers des Innern in einem eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden.
(6) Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört werden.
|
§ 22
Wahl des Bundesbeauftragten für den Datenschutz
(1) 1Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. 2Der Bundesbeauftragte muß bei seiner Wahl das 35. Lebensjahr vollendet haben. 3Der Gewählte ist vom Bundespräsidenten zu ernennen.
(2) 1Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid:
"Ich schwöre, daß ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe."
2Der Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) 1Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. 2Einmalige Wiederwahl ist zulässig.
(4) 1Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. 2er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. 3Er untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. Er untersteht der Dienstaufsicht des Bundesministeriums des Innern. Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministeriums des Innern in einem eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden.
(6) Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört werden.
|
Begründung ):
Zu den Änderungen in Absatz 5 wird auf die Begründung zu § 19 Abs. 3 verwiesen. Wegen der Bedeutung der Vereidigung und der Beauftragung eines Stellvertreters des Bundesbeauftragten bleiben Absatz 2 und 6 insoweit unverändert. |
|
§ 23 a.F.
Rechtsstellung des Bundesbeauftragten für den Datenschutz
(1) Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz beginnt mit der Aushändigung der Ernennungsurkunde. Es endet
1. mit Ablauf der Amtszeit,
2. mit der Entlassung.
Der Bundespräsident entläßt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. Auf Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung seines Nachfolgers wieterzuführen.
(2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außerge-richtliche Gutachten abgeben.
(3) Der Bundesbeauftragte hat dem Bundesminister des Innern Mitteilung über Geschenke zu machen, die er in bezug auf sein Amt erhält. Der Bundesminister des Innern entscheidet über die Verwendung der Geschenke.
(4) Der Bundesbeauftragte ist berech-tigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Miarbeiter des Bundesbeauftragten mit der Maßgabe, daß über die Ausübung dieses Rechts der Bundesbeauftragte entscheidet. Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden.
|
§ 23 n.F.
Rechtsstellung des Bundesbeauftragten für den Datenschutz
(1) Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz beginnt mit der Aushändigung der Ernennungsurkunde. Es endet
1. mit Ablauf der Amtszeit,
2. mit der Entlassung.
Der Bundespräsident entläßt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. Auf Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung seines Nachfolgers weiterzuführen.
(2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außerge-richtliche Gutachten abgeben.
(3) Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke zu machen, die er in bezug auf sein Amt erhält. Der Bundesminister des Innern entscheidet über die Verwendung der Geschenke.
(4) Der Bundesbeauftragte ist berech-tigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiter des Bundesbeauftragten mit der Maßgabe, daß über die Ausübung dieses Rechts der Bundesbeauftragte entscheidet. Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden.
|
Begründung:
Zu den Änderungen in Absatz 3 Satz 1 und Absatz 5 Satz 3 wird auf die Begründung zu § 19 Abs. 3 verwiesen. Wegen der Bedeutung des Amtes des Bundesbeauftragten bleibt Absatz 1 Satz 6 unverändert. |
§ 23 a.F. (Forts.)
(5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Bundesministers des Innern weder vor Gericht noch außer-gerichtlich aussagen oder Erklärungen abgeben. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten.
(6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder erheblich erschweren würde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile bereiten würde. § 28 des Gesetzes über das Bundesverfassungsgericht in der Fassung der Bekanntmachung vom 12. Dezember 1985 (BGBl. I S. 2229) bleibt unberührt.
|
§ 23 n.F. (Forts.)
(5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. Für den Bundesbeauftragten und seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, 111 Abs. 5 in Verbindung mit 105 Abs. 1 sowie 116 Abs. 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen handelt. Stellt der Bundesbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren.
(6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder erheblich erschweren würde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile bereiten würde. § 28 des Gesetzes über das Bundesverfassungsgericht in der Fassung der Bekanntmachung vom 12. Dezember 1985 (BGBl. I S. 2229) bleibt unberührt.
|
Begründung (Forts.):
Die Regelung des Absatzes 5 Satz 5, die an § 27 Abs. 2 BImSchG angelehnt ist, stellt sicher, daß die in den benannten Vorschriften der Abgabenordnung normierten Mitteilungspflichten nicht gelten. Die erfolgte Ergänzung stellt eine Konkretisierung des bereits nach geltendem Recht bestehenden Gebots der Verschwiegenheit für den Bundesbeauftragten für den Datenschutz dar, wonach die ihm bekannt gewordenen Daten grundsätzlich einem Übermittlungsverbot unterliegen, soweit nicht die Ausnahmen der Sätze 2 oder 4 einschlägig sind. Satz 6 sieht – ebenfalls in Anlehnung an § 27 Abs. 2 BImSchG - Ausnahmen von diesem Grundsatz vor. Satz 7 beinhaltet in Umsetzung von Artikel 28 Abs. 3, 3. Spiegelstrich der Richtlinie eine Anzeigebefugnis des Bundesbeauftragten für den Datenschutz sowie dessen Recht, Betroffene zu informieren. |
§ 23 a.F. (Forts.):
(7) Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluß des Kalendermonats, in dem das Amtsverhältnis endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 9 zustehenden Besoldung. Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im übrigen sind die §§ 13 bis 20 des Bundesministergesetzes in der Fassung der Bekanntmachung vom 27. Juli 1971 (BGBl. I S. 1166), zuletzt geändert durch das Gesetz zur Kürzung des Amtsgehalts der Mitglieder der Bundesregierung und der Parlamentarischen Staatssekretäre vom 22. Dezember 1982 (BGBl. I S. 2007), mit der Maßgabe anzuwenden, daß an die Stelle der zweijährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entspre-chender Anwendung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und der Bundesbeauftragte sich un-mittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat.
|
§ 23 n.F. (Forts.):
(7) Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluß des Kalendermonats, in dem das Amtsverhältnis endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 9 zustehenden Besoldung. Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im übrigen sind die §§ 13 bis 20 des Bundesministergesetzes in der Fassung der Bekanntmachung vom 27. Juli 1971 (BGBl. I S. 1166), zuletzt geändert durch das Gesetz zur Kürzung des Amtsgehalts der Mitglieder der Bundesregierung und der Parlamentarischen Staatssekretäre vom 22. Dezember 1982 (BGBl. I S. 2007), mit der Maßgabe anzuwenden, daß an die Stelle der zweijährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat.
(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind.
|
Begründung (Forts.):
Absatz 8 erweitert die Anwendung der Regelung des Absatzes 5 Satz 5 bis 7 auf die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. |
§ 24 a.F.
Kontrolle durch den Bundesbeauftragten für den Datenschutz
(1) 1der Bundesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. 2Werden personenbezogene Daten in Akten verarbeitet oder genutzt, kontrolliert der Bundesbeauftragte die Erhebung, Verarbeitung oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte dafür darlegt, daß er dabei in seinen Rechten verletzt worden ist, oder dem Bundesbeauftragten hinreichende Anhaltspunkte für eine derartige Verletzung vorliegen.
(2) 1Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 2Bei den Stellen des Bundes im Sinne des § 2 Abs. 1 Satz 2 wird das Postgeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt, soweit dies zur Ausübung der Kontrolle bei den speichernden Stellen erforderlich ist. 3Das Kontrollrecht erstreckt sich mit Ausnahme von Nummer 1 nicht auf den Inhalt des Post- und Fernmeldeverkehrs. 4Der Kontrolle durch den Bundesbeauftragten unterliegen nicht:
1. personenbezogene Daten, die der Kontrolle durch die Kommission nach § 9 des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten, und
|
§ 24 n.F.
Kontrolle durch den Bundesbeauftragten für den Datenschutz
(1) 1der Bundesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. 2Werden personenbezogene Daten nicht in Dateien verarbeitet oder genutzt, kontrolliert der Bundesbeauftragte die Erhebung, Verarbeitung oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte dafür darlegt, daß er dabei in seinen Rechten verletzt worden ist, oder dem Bundesbeauftragten hinreichende Anhaltspunkte für eine derartige Verletzung vorliegen.
(2) 1Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 2Bei den Stellen des Bundes im Sinne des § 2 Abs. 1 Satz 2 wird das Postgeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt, soweit dies zur Ausübung der Kontrolle bei den verantwortlichen Stellen erforderlich ist. 3Das Kontrollrecht erstreckt sich mit Ausnahme von Nummer 1 nicht auf den Inhalt des Post- und Fernmeldeverkehrs. 4Der Kontrolle durch den Bundesbeauftragten unterliegen nicht:
1. personenbezogene Daten, die der Kontrolle durch die Kommission nach § 9 des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten, und
|
Begründung:
Die Änderung in Absatz 1 Satz 2 ist eine Folgeänderung im Zusammenhang mit der Änderung des Dateibegriffs und der Tatsache, daß dem Begriff der Akte keine eigenständige Bedeutung mehr zukommt (vgl. hierzu die Begründung zu § 3 Abs. 2 und 3). Die generelle Einführung einer anlaßunabhängigen Kontrolle personenbezogener Daten in Akten ist nicht angezeigt, da in der gegenwärtigen Praxis der Kontrolltätigkeit dem Bundesbeauftragten für den Datenschutz auf Wunsch grundsätzlich auch Akteneinsicht durch die kontrollierten öffentlichen Stellen gewährt wird, selbst wenn keine Anhaltspunkte für eine Rechtsverletzung vorliegen.
Die Änderung in Absatz 2 Satz 2 ist eine Folgeänderung im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7 n.F.).
|
§ 24 a.F. (Forts.)
2. a) personenbezogene Daten, die dem Post- und Fernmeldegeheimnis nach Artikel 10 des Grundgesetzes unterliegen,
b) personenbezogene Daten, die dem Arztgeheimnis unterliegen und
c) personenbezogene Daten in Personalakten oder in den Akten über die Sicherheitsüberprüfung,
wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten für den Datenschutz widerspricht. 5Unbeschadet des Kontrollrechts des Bundesbeauftragten unterrichtet die öffentliche Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht.
(3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
(4) 1Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
3Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. 4Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, daß die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
(5) 1Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. 2Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 3§ 25 bleibt unberührt.
(6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind.
|
§ 24 n.F. (Forts.)
2. personenbezogene Daten in den Akten über die Sicherheitsüberprüfung,
___
wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten für den Datenschutz widerspricht. Unbeschadet des Kontrollrechts des Bundesbeauftragten unterrichtet die öffentliche Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht.
(3) Bei den Bundesgerichten ist die unmittelbar der Rechtsprechung dienende Tätigkeit der Richter von der Kontrolle ausgenommen.
(4) 1Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen ___, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
3Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. 4Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, daß die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
(5) 1Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. 2Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 3§ 25 bleibt unberührt.
(6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. |
Begründung (Forts.):
In Umsetzung von Artikel 28 der Richtlinie war in Absatz 2 Satz 4 das Widerspruchsrecht gegen die Kontrolle durch den Bundesbeauftragten für den Datenschutz, wie es in Absatz 2 Satz 4 Nr. 2 Buchstabe a und b sowie c 1. Teil (Personalakten) a.F. vorgesehen war, mit Blick auf die insoweit unbeschränkten Kontrollrechte nach Artikel 28 der Richtlinie zu streichen.
Die Neuregelung des Absatzes 3 präzisiert die Ausnahmen von der Kontrolle durch den Bundesbeauftragten für den Datenschutz im Bereich der Justiz.
Zur Streichung des Begriffs der Akte in Absatz 4 vergleiche die Begründung zu § 3 Abs. 2 und 3. |
§ 25 a.F.
Beanstandungen durch den Bundesbeauftragten für den Datenschutz
(1) 1Stellt der Bundesbeauftragte für den Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet er dies
1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde,
2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten,
3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unterneh-men, solange ihnen ein aus-schließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen,
4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. 2In den Fällen von Satz 1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichts-behörde.
(2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.
(3) 1Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Bundesbeauftragten getroffen worden sind. 2Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu.
|
Hinweis:
Die Vorschrift bleibt unverändert. |
: |
§ 26 a.F.
Weitere Aufgaben des Bundesbeauftragten für den Datenschutz; Dateienregister
(1) 1Der Bundesbeauftragte für den Datenschutz erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen Entwicklung des Datenschutzes im nicht-öffentlichen Bereich enthalten.
(2) 1Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. 2Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. 3Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden.
(3) 1Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. 2Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft.
(4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin.
(5) 1Der Bundesbeauftragte führt ein Register der automatisiert geführten Dateien, in denen personenbezogene Daten gespeichert werden. 2Das gilt nicht für die Dateien der in § 19 Abs. 3 genannten Behörden sowie für Dateien nach § 18 Abs. 3. 3Die öffentlichen Stellen, deren Dateien in das Register aufgenommen werden, sind verpflichtet, dem Bundesbeauftragten eine Übersicht gemäß § 18 Abs. 2 Satz 2 Nr. 1 bis 6 zuzuleiten. 4Das Register kann von jedermann eingesehen werden. 5Die Angaben nach § 18 Abs. 2 Satz 2 Nr. 3 und 5 über Dateien der in § 6 Abs. 2 genannten Behörden unterliegen nicht der Einsichtnahme. 6Der Bundesbeauftragte kann im Einzelfall für andere öffentliche Stellen mit deren Einverständnis festlegen, daß einzelne Angaben nicht der Einsichtnahme unterliegen. |
§ 26 n.F.
Weitere Aufgaben des Bundesbeauftragten für den Datenschutz
___
(1) 1Der Bundesbeauftragte für den Datenschutz erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen Entwicklung des Datenschutzes im nicht-öffentlichen Bereich enthalten.
(2) 1Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. 2Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. 3Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden.
(3) 1Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. 2Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft.
(4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin. § 38 Abs. 1 Satz 2 und 3 gilt entsprechend.
___ |
Begründung:
Absatz 4 Satz 2 erstreckt die Amtshilferegelung des § 38 Abs. 1 Satz 2 und 3 für die Aufsichtsbehörden auf den Bundesbeauftragten für den Datenschutz.
Nach § 4 d Abs. 1 und 2 in Verbindung mit § 4 f Abs. 1 Satz 1 entfällt aufgrund der obligatorischen Bestellung eines behördlichen Datenschutzbeauftragten die Meldepflicht im öffentlichen Bereich. Adressat der Verpflichtung nach § 4 g Abs. 2 ist im öffentlichen Bereich ausschließlich der Datenschutzbeauftragte. Die Notwendigkeit zur Führung eines Registers beim Bundesbeauftragten für den Datenschutz nach Absatz 5 a.F. entfällt daher.
|
Dritter Abschnitt
Datenverarbeitung nicht-öffentlicher Stellen
und öffentlich-rechtlicher Wettbewerbsunternehmen
|
§ 27 a.F.
Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeitet oder genutzt werden durch
1. nicht-öffentliche Stellen,
2.a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
b) öffentlichen Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.
In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten in Akten, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer Datei entnommen worden sind.
|
§ 27 n.F.
Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten in oder aus Dateien nicht ausschließlich für persönliche Tätigkeiten verarbeitet, genutzt oder dafür erhoben werden durch
1. nicht-öffentliche Stellen,
2.a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
b) öffentlichen Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.
In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer Datei entnommen worden sind.
|
Begründung:
Hinsichtlich der Einfügung des Wortes "erhoben" in Absatz 1 wird auf die Begründung zu § 4 Abs. 1, hinsichtlich der übrigen Änderungen in Absatz 1 auf die Begründung zu § 1 Abs. 2 Nr. 3 verwiesen.
Die Änderung in Absatz 2 ist eine Folgeänderung im Zusammenhang mit der Änderung des Dateibegriffs und der Tatsache, daß dem Begriff der Akte keine eigenständige Bedeutung mehr zukommt (vgl. hierzu die Begründung zu § 3 Abs. 2 und 3). |
§ 28 a.F.
Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke
(1) 1Das Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig
1. im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen,
2. soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Verarbeitung oder Nutzung überwiegt,
3. wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Verarbeitung oder Nutzung offensichtlich überwiegt,
4. wenn es im Interesse der speichernden Stelle zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
2Die Daten müssen nach Treu und Glauben und auf rechtmäßige Weise erhoben werden.
|
§ 28 n.F.
Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke
(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig
1. wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Verarbeitung oder Nutzung überwiegt,
3. wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
___
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. |
Begründung:
Zu Absatz 1 Satz 1:
Absatz 1 Satz 1 bedurfte der Ergänzung durch den Begriff der Erhebung, da Artikel 2 Buchstabe b der Richtlinie die Erhebung als Verarbeitungsform begreift, und die in Artikel 7 aufgeführten Voraussetzungen für die Zulässigkeit der Verarbeitung damit auch bei der Erhebung personenbezogener Daten zu beachten sind. Absatz 1 Satz 2 a.F. konnte daher entfallen.
Die Neuformulierung von Absatz 1 Nr. 1 verdeutlicht den Gedanken der Zweckbestimmung. Die Änderungen in Absatz 1 Nr. 2 und 3 sowie in Absatz 4 ("verantwortliche Stelle") sind Folgeänderungen im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7). Die übrigen Änderungen in Absatz 1 Nr. 3 verdeutlichen, daß eine Abwägung der schutzwürdigen Interessen des Betroffenen mit dem berechtigten Interesse der verantwortlichen Stelle stattfinden muß.
Absatz 1 Nr. 4 a.F. beinhaltete - insofern atypisch im Vergleich zu Absatz 1 Nr. 1 bis 3 - eine Zweckänderungsregelung, die fast wörtlich der Zweckänderungsregelung in § 14 Abs. 2 Nr. 9 entsprach. In Übereinstimmung mit der Systematik des Absatzes 1 Nr. 1 bis 3 und um Überschneidungen mit Absatz 3 Nr. 2 zu vermeiden, war Absatz 1 Nr. 4 aufzuheben. Die Zulässigkeit des Erhebens im Bereich der wissenschaftlichen Forschung bleibt hiervon unberührt und richtet sich wie bisher nach Absatz 1 Nr. 1 und 2.
Zu Absatz 1 Satz 2:
Artikel 6 Abs. 1 Buchstabe b der Richtlinie sieht vor, daß personenbezogene Daten "für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden." Gemäß Artikel 10 der Richtlinie ist der Betroffene bereits bei der Erhebung über die Zweckbestimmungen der Erhebung, Verarbeitung und Nutzung
|
§ 28 a.F. (Forts.)
(2) 1Die Übermittlung oder Nutzung ist auch zulässig
1.a) soweit es zur Wahrung berechtigter Interessen eines Dritten oder öffentlicher Interessen erforderlich ist oder
b) wenn es sich um listenmäßig oder sonst zusammengefaßte Daten über Angehörige einer Personengruppe handelt, die sich auf
- eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
- Berufs-, Branchen- oder Geschäftsbezeichnung,
- Namen,
- Titel,
- akademische Grade,
- Anschrift,
- Geburtsjahr
beschränken und
kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.
2In den Fällen des Buchstabens b kann im allgemeinen davon ausgegangen werden, daß dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich auf
- auf gesundheitliche Verhältnisse,
- auf strafbare Handlungen,
- auf Ordnungswidrigkeiten,
- auf religiöse oder politische Anschauungen sowie
- bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse
beziehen, oder
|
§ 28 n.F. (Forts.)
(2) Für einen anderen Zweck dürfen sie nur unter den Voraussetzungen des Absatzes 1 Nr. 2 und 3 übermittelt oder genutzt werden.
(3) 1Die Übermittlung oder Nutzung für einen anderen Zweck ist auch zulässig
1.a) soweit es zur Wahrung berechtigter Interessen eines Dritten ___ oder
b) zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist oder
c) für Zwecke der Werbung, der Markt- oder Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefaßte Daten über Angehörige einer Personengruppe handelt, die sich auf
- eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
- Berufs-, Branchen- oder Geschäftsbezeichnung,
- Namen,
- Titel,
- akademische Grade,
- Anschrift,
- Geburtsjahr
beschränken und
kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. 2In den Fällen des Buchstabens a und c ist davon auszugehen, daß dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich
_______________
- auf strafbare Handlungen,
- auf Ordnungswidrigkeiten sowie
_______________
- bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse beziehen,
oder
|
Begründung (Forts.):
zu informieren. Dies setzt voraus, daß bereits bei der Erhebung der Zweck festliegen muß.
Zu Absatz. 2:
Da die Richtlinie nicht zwischen dem öffentlichen und dem nicht-öffentlichen Bereich differenziert, Artikel 6 Absatz 1 Buchstabe b der Richtlinie somit auch im nicht-öffentlichen Bereich vollinhaltlich Anwendung findet, war der Grundsatz der Zweckbindung daher hier weitergehend als bisher zu verankern. Absatz 2 beinhaltet daher eine entsprechende über Absatz 4 a.F. hinausgehende Zweckänderungsregelung. Da Fälle einer Zweckänderung unter den Voraussetzungen des Absatzes 1 Nr. 1 nicht vorstellbar sind, konnte der Verweis auf Absatz 1 Nr. 2 und 3 beschränkt werden.
Zu Absatz 3:
Absatz 3 Nr. 1 b entspricht Absatz 2 Nr. 1 a, zweite Alternative a.F. In Übereinstimmung mit Artikel 6 und 13 der Richtlinie war der Begriff des öffentlichen Interesses auf den der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie der Verfolgung von Straftaten zu begrenzen. Durch die Änderung in Absatz 3 Satz 1 Nr. 1 c wird die Zweckbindung in Umsetzung von Artikel 6 Abs. 1 Buchstabe b der Richtlinie verankert und gleichzeitig der betroffene Adressatenkreis der Regelung verdeutlicht. Die Streichung des Merkmals "gesundheitliche Verhältnisse" in Absatz 3 Satz 2 beruht auf der Einfügung des Absatzes 6, der für die besonderen Arten personenbezogener Daten nach § 3 Abs. 9, und der damit auch für Gesundheitsdaten, eine enge Verwendungsbeschränkung vorsieht. Der Anschluß des Satzes 2 an Satz 1 und die Einrückung des Wortes "oder" in Absatz 3 Satz 2 vor der Angabe "2." in eine neue Zeile verdeutlichen, daß Absatz 3 Nr. 2 die Alternative zu Nummer 1 darstellt und nicht etwa Bestandteil der Nummer 1 Satz 2 ist.
|
§ 28 a.F. (Forts.)
2. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) 1Widerspricht der Betroffene bei der speichernden Stelle der Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Nutzung oder Übermittlung für diese Zwecke unzulässig. 2Widerspricht der Betroffene beim Empfänger der nach Absatz 2 übermittelten Daten der Verarbeitung oder Nutzung zum Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren.
4) 1Der Empfänger darf die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen der Absätze 1 und 2 zulässig. 3Die übermittelnde Stelle hat den Empfänger darauf hinzuweisen.
|
§ 28 n.F. (Forts.)
2. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Nutzung oder Übermittlung für diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zwecke der Werbung oder der Markt- oder Meinungsforschung über die verantwortliche Stelle, die Herkunft der Daten sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten. Widerspricht der Betroffene bei dem Dritten, dem die Daten nach Absatz 3 übermittelt werden, der Verarbeitung oder Nutzung zum Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren.
(5) 1Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist für nicht-öffentliche Stellen nur unter den Voraussetzungen der Absätze 2 und 3 sowie für öffentliche Stellen nur unter den Voraussetzungen des § 14 Abs. 2 zulässig. 3Die übermittelnde Stelle hat ihn darauf hinzuweisen.
|
Begründung (Forts.):
Zu Absatz 4:
Satz 2 setzt Artikel 14 Satz 2 der Richtlinie um, wonach die Mitgliedstaaten die erforderlichen Maßnahmen zu ergreifen haben, um sicherzustellen, daß die betroffenen Personen vom Bestehen des Widerspruchsrechts Kenntnis haben. Damit der Adressat des Widerspruchsrechts insbesondere im Rahmen von schriftlichen Werbeaktionen ermittelt werden kann, ist eine Information über die verantwortliche Stelle und die Herkunft der Daten vorgesehen.
Da es sich bei der Regelung des Absatzes 4 Satz 3 um ein Widerspruchsrecht des Betroffenen gegenüber demjenigen handelt, an den Daten des Betroffenen übermittelt wurden, also gegenüber einem Dritten, war der weitergehende Begriff des Empfängers durch den des Dritten zu ersetzen.
Zu Absatz 5:
Im Hinblick auf Absatz 5 Satz 1 wird auf die Begründung zu Absatz 4 Satz 3 verwiesen. Die Änderungen in Absatz 5 Satz 2 beseitigen eine redaktionelle Unschärfe der bisherigen Regelung.
|
|
(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten nach § 3 Abs. 9 für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn
1. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Erhebung, Verarbeitung oder Nutzung überwiegt,
2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder
3. der Betroffene die Daten öffentlich gemacht hat.
(7) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten nach § 3 Abs. 9 nur unter den Voraussetzungen der Nummern 1 bis 3 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies erforderlich ist
1. zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung oder
2. zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten und der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben.
(8) Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten nach § 3 Abs. 9 erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4 a Abs. 3 zulässig. Absatz 3 Nr. 1 b gilt entsprechend. |
Zu Absatz 6 bis 8:
Absätze 6 bis 8 setzen Artikel 8 der Richtlinie um. Da Sonderregelungen für die Verwendung der in § 3 Abs. 9 genannten Arten personenbezogener Daten, auf dem Gebiet des Arbeitsrechts – im Regelfall auf der Basis höchstrichterlicher Rechtsprechung – bestehen, war Artikel 8 Abs. 2 Buchstabe b der Richtlinie nicht umzusetzen.
Nummern 1 und 3 des Absatzes 6 setzen Artikel 8 Abs. 2 Buchstabe e der Richtlinie um. Die nach Nummer 1 vorzunehmende Abwägung trägt dem Umstand Rechnung, daß die Berücksichtigung der Belange des Betroffenen nach Absatz 1 Nr. 2 bereits für Daten gilt, die nicht § 3 Abs. 9 unterfallen. Zu Absatz 6 Nummer 2 wird auf die Ausführungen zu § 13 Abs. 2 verwiesen.
Absatz 7 Satz 1 entspricht der Regelung des Absatzes 2 und verankert auch hier den Grundsatz der Zweckbindung nach Artikel 6 Abs. 1 Buchstabe b der Richtlinie. Satz 2 Nr. 1 regelt einen zusätzlichen Fall zulässiger Zweckänderung, der mit Artikel 8 Abs. 4 der Richtlinie in Einklang steht. Satz 2 Nr. 2 setzt Artikel 8 Buchstabe c der Richtlinie um. Auf die Begründung zu Absatz 5 wird verwiesen.
Absatz 8 setzt Artikel 8 Abs. 2 Buchstabe d der Richtlinie um. |
§ 29 a.F.
Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung
(1) Das geschäftsmäßige Speichern oder Verändern personenbezogener Daten zum Zwecke der Übermittlung ist zulässig, wenn
1. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Speicherung oder Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Speicherung oder Veränderung offensichtlich überwiegt.
§ 28 Abs. 1 Satz 2 ist anzuwenden.
(2) 1Die Übermittlung ist zulässig, wenn
1. a) der Empfänger ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
b) es sich um listenmäßig oder sonst zusammengefaßte Daten nach § 28 Abs. 2 Nr. 1 Buchstabe behandelt, die für Zwecke der Werbung oder Markt- oder Meinungsforschung übermittelt werden sollen, und
2. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.
2 § 28 Abs. 2 Nr. 1 Satz 2 gilt entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe a sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. 3Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Empfänger.
|
§ 29 n.F.
Geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung
(1) Das geschäftsmäßige Erheben, Speichern oder Verändern personenbezogener Daten zum Zwecke der Übermittlung, das der Werbung, Auskunfteien, dem Adreßhandel oder der Markt- und Meinungsforschung dient, ist zulässig, wenn
1. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Speicherung oder Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Speicherung oder Veränderung offensichtlich überwiegt.
§ 28 Abs. 1 Satz 2 ist anzuwenden.
(2) 1Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn
1. a) der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
b) es sich um listenmäßig oder sonst zusammengefaßte Daten nach § 28 Abs. 3 Nr. 1 Buchstabe c handelt, die für Zwecke der Werbung oder Markt- oder Meinungsforschung übermittelt werden sollen, und
2. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.
2 § 28 Abs. 3 Nr. 1 Satz 2 gilt entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe a sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. 3Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. |
Begründung:
Zu Absatz 1:
Hinsichtlich der Einfügung des Begriffs der Erhebung in die Überschrift sowie in Absatz 1 Satz 1 wird auf die Begründung zu § 28 Abs. 1 verwiesen.
Der nunmehr verwandte Begriff der verantwortlichen Stelle ist in der Begründung zu § 3 Abs. 7 erläutert.
Die Ergänzungen von Absatz 1 vor Nummer 1 verstärken den Grundsatz der Zweckbindung im Rahmen der Vorschrift. Auf die Begründung zu § 28 Abs. 2 wird insoweit verwiesen.
Zu Absatz 2:
Der Einschub in Absatz 2 vor Nummer 1 a stellt sicher, daß Übermittlungen gemäß Absatz 2 nur bei Vorliegen der Zwecke des Absatzes 1 vorgenommen werden dürfen.
Die Vorschrift erfaßt nicht-öffentliche Stellen, die geschäftsmäßig Daten speichern, um sie zu übermitteln, also an Dritte bekanntzugeben (§ 3 Abs. 4 Satz 2 Nr. 3). Um Mißverständnisse mit dem weitergehenden Begriff des nun in § 3 Abs. 8 Satz 1 definierten Empfängers zu vermeiden, war der Begriff des Empfängers durch den des Dritten, dem die Daten übermittelt werden, zu ersetzen.
Die Änderungen der Verweise in Absatz 2 Satz 1 Nr. 1 b sowie Satz 2 sind Folgeänderungen im Zusammenhang mit der Einfügung eines neuen Absatzes 2 in § 28 und der Neugestaltung des Absatzes 3.
|
§ 29 a.F. (Forts.)
(3) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 3 und 4.
|
§ 29 n.F. (Forts.)
(3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adreß-, Telefon-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrundeliegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzustellen, daß Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in gedruckte Verzeichnisse oder Register übernommen werden.
(4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5.
(5) § 28 Abs. 6 bis 8 gelten entsprechend.
|
Begründung (Forts.):
Zu Absatz 3 :
§ 10 Telekommunikationsdiensteunternehmen-Datenschutzverordnung (TDSV) erlaubt, daß sog. Diensteanbieter, d.h. alle, die ganz oder teilweise geschäftsmäßig Telekommunikationsleistungen erbringen, Verzeichnisse ihrer Kunden als Druckwerke oder elektronisch herstellen und diese selbst oder durch Dritte herausgeben. Hierin werden die Kunden auf freiwilliger Basis mit ihrem Namen und ihrer Anschrift eingetragen. Der Kunde hat die Möglichkeit, seiner Eintragung in elektronischen und gedruckten Verzeichnissen jeweils gesondert zu widersprechen. Der Widerspruch muß in den Kundenverzeichnissen kenntlich gemacht werden. Da die Vorschrift des § 10 TDSV als Normadressaten nur Diensteanbieter erfaßt, besteht eine Regelungslücke für denjenigen Personenkreis, der - ohne Diensteanbieter zu sein - vergleichbare Verzeichnisse erstellt. Auch Adreßbücher werden zunehmend in elektronischer Form erstellt. Bislang galten insoweit nur die allgemeinen Vorschriften des Bundesdatenschutzgesetzes , die sich als unzureichend erwiesen haben.
Der neue Absatz 3 schafft nun Rechtsklarheit insofern, als er sicherstellt, daß der Wille von Betroffenen, nicht eingetragen zu werden, von jedem potentiellen Herausgeber entsprechender Verzeichnisse dahingehend zu respektieren ist, daß die Aufnahme in Adreß- u.ä. Verzeichnisse zu unterbleiben hat oder bei der Übernahme in gedruckte Verzeichnisse oder Register entsprechende Markierungen übernommen werden müssen. Voraussetzung hierfür ist die Kenntlichmachung des einer Eintragung entgegenstehenden Willens in dem Verzeichnis oder Register, das von dem potentiellen Herausgeber als Grundlage für sein eigenes Verzeichnis herangezogen wird. Dies ist bereichsspezifisch zu regeln.
Zu Absatz 4:
Die geänderten Verweise in Absatz 4 sind Folgeänderungen im Zusammenhang mit der Schaffung eines neuen Absatzes 2 in § 28.
|
§ 30 a.F.
Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung in anonymisierter Form
(1) 1Werden personenbezogene Daten geschäftsmäßig gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.
(2) Die Veränderung personenbezogener Daten ist zulässig, wenn
1. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Veränderung offensichtlich überwiegt.
(3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) Die §§ 29, 33 bis 35 gelten nicht.
|
§ 30 n.F.
Geschäftsmäßige Datenerhebung und –speicherung zum Zwecke der Übermittlung in anonymisierter Form
(1) 1Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.
(2) Die Veränderung personenbezogener Daten ist zulässig, wenn
1. kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Veränderung hat, oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Veränderung offensichtlich überwiegt.
(3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) § 29 ___ gilt nicht.
(5) § 28 Abs. 6 bis 8 gelten entsprechend.
|
Begründung:
Hinsichtlich der Einfügung des Begriffs der Erhebung in die Überschrift sowie in Absatz 1 wird auf die Begründung zu § 28 Abs. 1 verwiesen.
Bezüglich des Begriffs der verantwortlichen Stelle in Absatz 2 Nr. 2 wird auf die Begründung zu § 3 Abs. 7 verwiesen.Die Formulierung "soweit nicht" in Absatz 2 Nr. 2 verdeutlicht das Erfordernis einer Abwägung mit den schutzwürdigen Interessen des Betroffenen.
Da die Vereinbarkeit des Ausschlusses der Betroffenenrechte in Absatz 4 mit Artikel 13 der Richtlinie zweifelhaft ist, war die Verweisung in Absatz 4 insoweit zu streichen.
Zu Absatz 5:
... |
§ 31
Besondere Zweckbindung
Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
|
Hinweis: Vorschrift ist unverändert. |
|
§ 32 a.F.
Meldepflichten
(1) Die Stellen, die personenbezogene Daten geschäftsmäßig
1. zum Zwecke der Übermittlung speichern,
2. zum Zwecke der anonymisierten Übermittlung speichern oder
3. im Auftrag als Dienstleistungsunternehmen verarbeiten oder nutzen,
sowie ihre Zweigniederlassungen und unselbständigen Zweigstellen haben die Aufnahme und Beendigung ihrer Tätigkeit der zuständigen Aufsichtsbehörde innerhalb eines Monats mitzuteilen.
(2) 1Bei der Anmeldung sind folgende Angaben für das bei der Aufsichtsbehörde geführte Register mitzuteilen:
1. Name oder Firma der Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzlich oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift,
4. Geschäftszwecke der Stelle und der Datenverarbeitung,
5. Name des Beauftragten für den Datenschutz,
6. allgemeine Beschreibung der Art der gespeicherten personenbezogenen Daten. 2Im Falle des Absatzes 1 Nr. 3 ist diese Angabe nicht erforderlich.
(3) Bei der Anmeldung sind außerdem folgende Angaben mitzuteilen, die nicht in das Register aufgenommen werden:
1. Art der eingesetzten Datenverarbeitungsanlagen,
2. bei regelmäßiger Übermittlung personenbezogener Daten Empfänger und Art der übermittelten Daten.
(4) Absatz 1 gilt für die Änderung der nach Absätzen 2 und 3 mitgeteilten Angaben entsprechend.
(5) 1Die Aufsichtsbehörde kann im Einzelfall festlegen, welche Angaben nach Absatz 2 Nr. 4 und 6, Absatz 3 und Absatz 4 mitgeteilt werden müssen. 2Der mit den Mitteilungen verbundene Aufwand muß in einem angemessenen Verhältnis zu ihrer Bedeutung für die Überwachung durch die Aufsichtsbehörde stehen.
|
Hinweis:
Die Vorschrift wurde vollständig aufgehoben.
|
Begründung:
Die Aufhebung von § 32 a.F. ist eine Folgeänderung im Zusammenhang mit den neu geschaffenen Vorschriften der §§ 4 d und 4 e.
|
§ 33 a.F.
Benachrichtigung des Betroffenen
(1) 1Werden erstmals personenbezogene Daten für eigene Zwecke gespeichert, ist der Betroffene von der Speicherung und der Art der Daten zu benachrichtigen. 2Werden personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen.
|
§ 33 n.F.
Benachrichtigung des Betroffenen
(1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Über Kategorien von Empfängern ist der Betroffene in den Fällen der Sätze 1 und 2 nur zu benachrichtigen, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muß. ___
|
Begründung:
Zu Absatz 1:
Durch die Erweiterung der Benachrichtigungspflicht gegenüber dem Betroffenen in Absatz 1 Satz 1 und 3 wird Artikel 11 Abs. 1 der Richtlinie für den nicht-öffentlichen Bereich umgesetzt.
|
§ 33 a.F.
Benachrichtigung des Betroffenen
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen,
3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,
4. die zuständige öffentliche Stelle gegenüber der speichernden Stelle festgestellt hat, daß das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
5. die Daten in einer Datei gespeichert werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht wird,
6. die Daten für eigene Zwecke gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind oder
b) die Benachrichtigung die Geschäftszwecke der speichernden Stelle erheblich gefährden würde, es sei denn, daß das Interesse an der Benachrichtigung die Gefährdung überwiegt, oder
7. die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder
b) es sich um listenmäßig oder sonst zusammengefaßte Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe b).
|
§ 33 n.F.
Benachrichtigung des Betroffenen
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,
4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist,
5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, daß das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
7. die Daten für eigene Zwecke gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder
b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, daß das Interesse an der Benachrichtigung die Gefährdung überwiegt, oder
8. die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und
a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder
b) es sich um listenmäßig oder sonst zusammengefaßte Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe b)
und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist.
Die verantwortliche Stelle unterrichtet die Aufsichtsbehörde bei der erstmaligen Inanspruchnahme einer Ausnahmekategorie nach den Nummern 2 bis 7 und kennzeichnet die Datensätze der Betroffenen, die unterrichtet wurden oder bei denen eine Benachrichtigung unterblieben ist.
|
Begründung (Forts.):
Zu Absatz 2 Nr. 2:
Die bisher geltende Ausnahme von der Benachrichtigung in Absatz 2 Nr. 2 war aufgrund des in Artikel 11 Abs.2 der Richtlinie vorgesehenen Gedankens des Absehens von der Benachrichtigung aus Gründen der Unverhältnismäßigkeit entsprechend einzuschränken.
Zu Absatz 2 Satz 1 Nr. 4:
Durch die neu eingefügte Nummer 4 wird der Ausnahmekatalog des Absatz 2 um einen in Artikel 11 Abs. 2 der Richtlinie vorgesehenen Ausnahmetatbestand ergänzt.
Anwendungsbeispiel ist etwa das Geldwäschegesetz vom 25. Oktober 1993, (BGBl. I S. 1770, zuletzt geändert durch Gesetz vom 17. Dezember 1997, BGBl. I S. 3108). Hier entfällt eine Benachrichtigungspflicht aufgrund der im Geldwäschegesetz ausdrücklich vorgesehenen Speicherungs- und Übermittlungsvorschriften der hiervon betroffenen Institute.
Zu Absatz 2 Satz 1 Nr. 5:
Hinsichtlich der Aufhebung von Absatz 2 Nr. 5 a.F. wird auf die Begründung zur Aufhebung von § 18 Abs. 3 verwiesen.
Die neu eingefügte Nummer 5 setzt Artikel 11 Abs. 2 der Richtlinie um, soweit dort eine Ausnahme von der Benachrichtigungspflicht im Rahmen der Datenverarbeitung für Zwecke der wissenschaftlichen Forschung vorgesehen ist.
Zu Absatz 2 Satz 1 Nr. 7 a und 8:
Auf die Begründung zu Absatz 2 Nr. 2 wird verwiesen.
Zu Absatz 2 Satz 2:
Durch Absatz 2 Satz 2 wird das Erfordernis der "geeigneten Garantien" gemäß Artikel 11 Abs. 2 Satz 2 der Richtlinie umgesetzt.
|
§ 34 a.F.
Auskunft an den Betroffenen
(1) 1Der Betroffene kann Auskunft verlangen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen,
2. den Zweck der Speicherung und
3. Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, wenn seine Daten automatisiert verarbeitet werden.
2Er soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann der Betroffene über Herkunft und Empfänger nur Auskunft verlangen, wenn er begründete Zweifel an der Richtigkeit der Daten geltend macht. 4In diesem Falle ist Auskunft über Herkunft und Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind.
(2) 1Der Betroffene kann von Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Auskunftserteilung speichern, Auskunft über seine personenbezogenen Daten verlangen, auch wenn sie nicht in einer Datei gespeichert sind. 2Auskunft über Herkunft und Empfänger kann der Betroffene nur verlangen, wenn er begründete Zweifel an der Richtigkeit der Daten geltend macht. 3§ 38 Abs. 1 ist mit der Maßgabe anzuwenden, daß die Aufsichtsbehörde im Einzelfall die Einhaltung von Satz 1 überprüft, wenn der Betroffene begründet darlegt, daß die Auskunft nicht oder nicht richtig erteilt worden ist.
(3) Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist.
(4) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Nr. 2 bis 6 nicht zu benachrichtigen ist.
(5) 1Die Auskunft ist unentgeltlich. 2Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. 3Das Entgelt darf über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen. 4Ein Entgelt kann in den Fällen nicht verlangt werden, in denen besondere Umstände die Annahme rechtfertigen, daß Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergibt, daß die Daten zu berichtigen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
(6) 1Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten und Angaben zu verschaffen. 2Er ist hierauf in geeigneter Weise hinzuweisen.
|
§ 34 n.F.
Auskunft an den Betroffenen
(1) Der Betroffene kann Auskunft verlangen über
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
2. Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.
2Er soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann der Betroffene über Herkunft und Empfänger nur Auskunft verlangen, sofern nicht das Betriebs- oder Geschäftsgeheimnis entgegensteht. 4In diesem Falle ist Auskunft über Herkunft und Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind.
(2) 1Der Betroffene kann von Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Auskunftserteilung speichern, Auskunft über seine personenbezogenen Daten verlangen, auch wenn sie nicht in einer Datei gespeichert sind. 2Auskunft über Herkunft und Empfänger kann der Betroffene nur verlangen, sofern nicht das Betriebs- oder Geschäftsgeheimnis entgegensteht.. ___
(3) Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist.
(4) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Nr. 3 und 6 nicht zu benachrichtigen ist.
(5) 1Die Auskunft ist unentgeltlich. 2Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. 3Das Entgelt darf über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen. 4Ein Entgelt kann in den Fällen nicht verlangt werden, in denen besondere Umstände die Annahme rechtfertigen, daß Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergibt, daß die Daten zu berichtigen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
(6) 1Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten und Angaben zu verschaffen. 2Er ist hierauf in geeigneter Weise hinzuweisen.
|
Begründung:
Zu Absatz 1:
Durch die Neufassung wird Artikel 12 Buchstabe a, 1. Spiegelstrich der Richtlinie umgesetzt.
Die Neufassung erweitert den Umfang des Auskunftsrechts um die Information über Empfänger oder Kategorien von Empfängern. Um inhaltliche Überschneidungen von Nummer 2 mit Nummer 1 a.F. zu vermeiden, war Nummer 1 entsprechend zu modifizieren. Im Hinblick auf den Begriff des Empfängers wird auf § 3 Abs. 8 Satz 1 sowie die Begründung hierzu verwiesen. Das Kriterium der Regelmäßigkeit (vgl. Nummer 3 a.F.) war zu streichen, da die Richtlinie keine entsprechende Einschränkung vorsieht. Die Änderung des Satzes 3 beruht auf einer Anpassung an die Ausnahme vom Auskunftsrecht nach Artikel 13 Buchstabe g der Richtlinie. Der Schutz der "Rechte und Freiheiten anderer Personen" umfaßt auch das Betriebs- und Geschäftsgeheimnis.
Zu Absatz 2:
Absatz 2 Satz 3 a.F. war in Übereinstimmung mit Artikel 28 der Richtlinie aufzuheben. Zu Satz 2 wird auf die Begründung zu Absatz 1 verwiesen.
Zu Absatz 4: .... |
§ 35 a.F.
Berichtigung, Löschung und Sperrung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) 1Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist,
2. es sich um Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen handelt und ihre Richtigkeit von der speichernden Stelle nicht bewiesen werden kann,
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist, oder
4. sie geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden und eine Prüfung am Ende des fünften Kalenderjahres nach ihrer erstmaligen Speicherung ergibt, daß eine längerwährende Speicherung nicht erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. im Falle des Absatzes 2 Nr. 3 oder 4 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, daß durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.
|
§ 35 n.F.
Berichtigung, Löschung und Sperrung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) 1Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist,
2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
3. sich im Einzelfall erweist oder die Prüfung am Ende von jeweils [2]* Kalenderjahren nach der erstmaligen Speicherung der Daten ergibt, daß die Kenntnis der Daten für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist . *( Zeitraum muß im Laufe des Gesetzgebungsverfahrens noch abgestimmt werden)
4. ____________________
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit
1. im Falle des Absatzes 2 Nr. 3 ___ einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, daß durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.
(5) Personenbezogene Daten in Dateien dürfen nicht erhoben, verarbeitet oder genutzt werden, soweit der Betroffene einer bestimmten Erhebung, Verarbeitung oder Nutzung bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, daß das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt.
|
Begründung:
Absatz 2 Satz 2 Nr. 2 ist um die Merkmale von Artikel 8 der Richtlinie ergänzt.Im Hinblick auf den Ersatz der Wörter "speichernde Stelle" durch die Wörter "verantwortliche Stelle" wird auf die Begründung zu § 3 Abs. 7 verwiesen.
Durch Absatz 2 Nr. 3 wird die Löschungspflicht für nicht mehr benötigte Daten, die für eigene Zwecke verarbeitet werden (bisher Nummer 3), und für geschäftsmäßig zum Zwecke der Übermittlung verarbeitete Daten (bisher Nummer 4), zusammengefaßt und im Hinblick auf die Anforderungen des Artikel 6 Abs. 1 Buchstabe e der Richtlinie modifiziert.
In Absatz 3 Nr. 1 waren infolge der Zusammenfassung der Nummern 3 und 4 in Absatz 2 die Wörter "oder 4" zu streichen.
Hinsichtlich der Änderungen in Absatz 5 wird auf die Begründung zu § 20 Abs. 5 verwiesen. |
§ 35 a.F. (Forts.)
(5) 1Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zwecke der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. 2Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. 3Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden.
(6) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies zur Wahrung der schutzwürdigen Interessen des Betroffenen erforderlich ist.
(7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
|
§ 35 n.F. (Forts.)
(6) 1Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zwecke der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. 2Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. 3Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden.
(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer ___ Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.
(8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerläßlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
|
Begründung (Forts.):
Durch den Wegfall der Regelmäßigkeit der Datenübermittlung in Absatz 7 als Voraussetzung der Nachberichtspflicht (vgl. Absatz 6 a.F.) wird in Umsetzung von Artikel 12 Buchstabe c der Richtlinie der Anwendungsbereich der Nachberichtspflicht erweitert. Gleichzeitig wird - ebenfalls in Umsetzung der Richtlinie - sichergestellt, daß die Nachberichtspflicht nur besteht, wenn sie keinen unverhältnismäßigen Aufwand erfordert.
Durch die Formulierung "und schutzwürdige Interessen des Betroffenen nicht entgegenstehen" soll verhindert werden, daß eine Benachrichtigung zu Lasten des Betroffenen erfolgen kann.
Die Änderung in Absatz 8 Nr. 1 ist eine Folgeänderung im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7).
|
Dritter Unterabschnitt
Beauftragter für den Datenschutz, Aufsichtsbehörde |
Dritter Unterabschnitt
__ Aufsichtsbehörde |
Begründung:
Die Regelungen über den betrieblichen Datenschutzbeauftragten wurden im Dritten Abschnitt aufgehoben und finden sich nunmehr in den §§ 4 f und 4 g. Die Überschrift des Dritten Unterabschnitts war daher anzupassen. |
§ 36 a.F.
Bestellung eines Beauftragten für den Datenschutz
(1) 1Die nicht-öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten und damit in der Regel mindestens fünf Arbeitnehmer ständig beschäftigen, haben spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen. 2Das gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens zwanzig Arbeitnehmer ständig beschäftigt sind.
(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
(3) 1Der Beauftragte für den Datenschutz ist dem Inhaber, dem Vorstand, dem Geschäftsführer oder dem sonstigen gesetzlich oder nach der Verfassung des Unternehmens berufenen Leiter unmittelbar zu unterstellen. 2Er ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. 3Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. 4Die Bestellung zum Beauftragten für den Datenschutz kann nur auf Verlangen der Aufsichtsbehörde oder in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden.
(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(5) Die nicht-öffentliche Stelle hat den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
|
Hinweis:
Die Vorschrift wurde vollständig aufgehoben.
|
Begründung:
Die Aufhebung von § 36 ist eine Folgeänderung im Zusammenhang mit der neu geschaffenen Vorschrift des § 4 f.
|
§ 37 a.F.
Aufgaben des Beauftragten für den Datenschutz
(1) 1Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. 2Zu diesem Zweck kann er sich in Zweifelsfällen an die Aufsichtsbehörde wenden. 3Er hat insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen,
3. bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.
(2) Dem Beauftragten ist von der nicht-öffentlichen Stelle eine Übersicht zur Verfügung zu stellen über
1. eingesetzte Datenverarbeitungsanlagen,
2. Bezeichnung und Art der Dateien,
3. Art der gespeicherten Daten,
4. Geschäftszwecke, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
5. deren regelmäßige Empfänger,
6. zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind.
(3) Absatz 2 Nr. 2 bis 6 gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden.
|
Hinweis:
Die Vorschrift wurde vollständig aufgehoben.
|
Begründung:
Die Aufhebung von § 37 ist eine Folgeänderung im Zusammenhang mit der neu geschaffenen Vorschrift des § 4 g.
|
§ 38 a.F.
Aufsichtsbehörde
(1) Die Aufsichtsbehörde überprüft im Einzelfall die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln, wenn ihr hinreichende Anhaltspunkte dafür vorliegen, daß eine dieser Vorschriften durch nicht-öffentliche Stellen verletzt ist, insbesondere wenn es der Betroffene selbst begründet darlegt.
(2) 1Werden personenbezogene Daten geschäftsmäßig
1. zum Zwecke der Übermittlung gespeichert,
2. zum Zwecke der anonymisierten Übermittlung gespeichert oder
3. im Auftrag durch Dienstleistungsunternehmen verarbeitet,
überwacht die Aufsichtsbehörde die Ausführung dieses Gesetzes oder anderer Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln. 2Die Aufsichtsbehörde führt das Register nach § 32 Abs. 2. 3Das Register kann von jedem eingesehen werden.
(3) 1Die der Prüfung unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. 2Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozeßordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. 3Der Auskunftspflichtige ist darauf hinzuweisen. |
§ 38 n.F.
Aufsichtsbehörde
(1) Die Aufsichtsbehörde überwacht die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Sie ist in Ausübung ihrer Rechte unabhängig und nur dem Gesetz unterworfen. Sie untersteht der Rechtsaufsicht der Landesregierung oder der zuständigen obersten Landesbehörde. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Zum Zweck der Aufsicht darf sie Daten an andere Aufsichtsbehörden übermitteln. Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 5, 6 und 7 gilt entsprechend.
(2) Die Aufsichtsbehörde führt ein Register der nach § 4 d meldepflichtigen automatisierten Dateien. Das Register kann von jedem eingesehen werden.
___
(3) 1Die der Prüfung unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen.
2Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozeßordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. 3Der Auskunftspflichtige ist darauf hinzuweisen. |
Begründung:
Zu Absatz 1:
Artikel 28 der Richtlinie sieht keine Beschränkung der Datenschutzkontrolle auf eine Anlaßkontrolle vor, wie sie in Absatz 1 a.F. geregelt war. Die entsprechenden Einschränkungen in Absatz 1 a.F. waren daher zu streichen, das Wort "überprüft" durch das Wort "überwacht" zu ersetzen. Zu den Vorschriften, deren Ausführung die Aufsichtsbehörde überwacht, zählen auch die Verhaltensregeln nach § 38 a.
Die Ergänzung "einschließlich ... § 1 Abs. 5" in Absatz 1 Satz 1 stellt in Übereinstimmung mit Artikel 28 Abs. 6 Satz 1 der Richtlinie sicher, daß die Aufsichtsbehörde auch in den Fällen, in denen nach § 1 Abs. 5 Recht anderer Mitgliedstaaten zur Anwendung gelangt, zuständig ist. ........
Durch Absatz 1 Satz 4 wird in Umsetzung von Artikel 28 Abs. 6 Satz 1 und 2 der Richtlinie die Amtshilfe unter den Aufsichtsbehörden der Mitgliedstaaten der Europäischen Union geregelt.
Absatz 1 Satz 5 beinhaltet eine Übermittlungsbefugnis der Aufsichtsbehörde.
Durch Absatz 1 Satz 6 wird Artikel 28 Abs. 5 der Richtlinie umgesetzt. Die gewählte Frist entspricht der Verpflichtung des Bundesbeauftragten für den Datenschutz nach § 26 Abs. 1 Satz 1, alle zwei Jahre einen Tätigkeitsbericht vorzulegen.
Absatz 1 Satz 7 gewährleistet entsprechend Artikel 28 Abs. 4 Satz 1 der Richtlinie Betroffenen ein Anrufungsrecht gegenüber der Aufsichtsbehörde und stellt sicher, daß die in § 23 Abs. 5 benannten Vorschriften der Abgabenordnung nicht gelten. Ferner beinhaltet Satz 7 eine Anzeigebefugnis der Aufsichtsbehörde sowie deren Recht, Betroffene hierüber zu informieren. Auf die Begründung zu § 23 Abs. 5 wird verwiesen. Artikel 28 Abs. 2 der Richtlinie war nicht umzusetzen, da die Länder bei der Ausarbeitung von Vorschriften im Sinne des Artikels 28 Abs. 2 der Richtlinie ohnehin angehört werden und diese wiederum gemäß Absatz 6 die Aufsichtsbehörden bestimmen. |
§ 38 a.F. (Forts.)
(4) Die von der Aufsichtsbehörde mit der Überprüfung oder Überwachung beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 37 Abs. 2 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der Auskunftspflichtige hat diese Maßnahmen zu dulden.
(5) Zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln, kann die Aufsichtsbehörde anordnen, daß im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden. Bei schwerwiegenden Mängeln dieser Art, insbesondere, wenn sie mit besonderer Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie den Einsatz einzelner Verfahren untersagen, wenn die Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.
(6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Überwachung der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.
(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnitts unterliegenden Gewerbebetriebe bleibt unberührt. |
§ 38 n.F. (Forts.)
(4) Die von der Aufsichtsbehörde mit der Überprüfung oder Überwachung beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4 g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der Auskunftspflichtige hat diese Maßnahmen zu dulden.
(5) Zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz, soweit diese die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln, kann die Aufsichtsbehörde anordnen, daß im Rahmen der Anforderungen nach § 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden. Bei schwerwiegenden Mängeln dieser Art, insbesondere, wenn sie mit besonderer Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie den Einsatz einzelner Verfahren untersagen, wenn die Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.
(6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Überwachung der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.
(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnitts unterliegenden Gewerbebetriebe bleibt unberührt.
|
Begründung (Forts):
Der Bundesbeauftragte für den Datenschutz ist gemäß § 26 Abs. 3 bereits gegenwärtig an der Erarbeitung von Rechtsvorschriften zu beteiligen. Da für die Mitarbeiter der Aufsichtsbehörden und des Bundesbeauftragten für den Datenschutz ähnliche Vorschriften über die Verschwiegenheitspflicht gelten (vgl. insoweit für Beamte § 39 BRRG, §§ 61, 62 BBG, für Angestellte § 9 BAT und Arbeiter § 11 MTArb), war Artikel 28 Abs. 7 der Richtlinie für die Mitarbeiter dieser Behörden nicht umzusetzen.
Zu Absatz 2:
Absatz 2 Satz 1a.F. konnte aufgehoben werden, da aufgrund des Wegfalls der Beschränkung auf die Anlaßkontrolle in Absatz 1 der Grund für die unterschiedlichen Regelungen in Absatz 1 und 2 weggefallen ist. Die Änderung von Satz 2 ist eine Folgeänderung im Zusammenhang mit der Aufhebung des § 32 Abs. 2 und der neu geschaffenen Vorschrift des § 4 d Satz 2 entspricht Absatz 2 Satz 3 a.F..
Zu Absatz 4:
Die Änderung des Verweises in Absatz 4 Satz 2 ist eine Folgeänderung im Zusammenhang mit der Aufhebung der Vorschrift des § 37 Abs. 2 a.F..
Zu Absatz 5:
Im Hinblick auf die Einfügung des Wortes Erhebung wird auf die Begründung zu § 28 Abs. 1 verwiesen.
|
|
§ 38 a n.F.
Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten.
(2) Die Aufsichtsbehörde ist verpflichtet, die Vereinbarkeit der ihr vorgelegten Entwürfe mit dem geltenden Recht zu überprüfen.
|
Begründung:
Diese Vorschrift setzt Artikel 27 der Richtlinie um. Die Verhaltensregeln des Absatzes 1 sollen als interne Regelungen zur ordnungsgemäßen Durchführung datenschutzrechtlicher Regelungen beitragen. Berufsverbände und die anderen in Absatz 1 genannten Vereinigungen erhalten die Möglichkeit, von ihnen erarbeitete Verhaltensregeln der Aufsichtsbehörde zur Überprüfung vorzulegen.
Die Verpflichtung der Aufsichtsbehörde zur Überprüfung ihr vorgelegter Entwürfe anhand geltenden Rechts gemäß Absatz 2 soll verhindern, daß Berufsverbände und die anderen in Absatz 1 genannten Vereinigungen sich interne Verhaltensregeln geben, die im Widerspruch zu den gesetzlichen Regelungen stehen.
|
Vierter Abschnitt
Sondervorschriften |
§ 39
Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
(1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muß die zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.
|
§ 39
Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
(1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muß die zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. |
Begründung:
Die Änderung in Absatz 1 Satz 1 ist eine Folgeänderung im Zusammenhang mit dem Ersatz des Begriffs der speichernden Stelle durch den der verantwortlichen Stelle (vgl. hierzu die Begründung zu § 3 Abs. 7).
|
§ 40 a.F.
Verarbeitung und Nutzung personenbezogener Daten durch Forschungsein-richtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3 einzuhalten.
(3) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.
|
§ 40 n.F.
Verarbeitung und Nutzung personenbezogener Daten durch Forschungsein-richtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
___
(2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn
1. der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.
|
Begründung:
Im Gegensatz zu Absatz 1, der sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt, enthielt Absatz 2 a.F. eine Sonderregelung für die Übermittlung an "andere als öffentliche Stellen". Inhaltlich beschränkte sich Absatz 2 a. F. auf die Verpflichtung zur Abgabe einer Erklärung zur Einhaltung des Gebotes der Zweckbindung und der Beachtung des Absatzes 3 durch die Stelle, an die übermittelt wird. Da die Stelle, an die die Daten nach Absatz 2 a.F. übermittelt werden, aber ohnehin unter die Regelung des § 40 fällt, die Verpflichtungen gemäß Absatz 1 und 3 a.F. somit ohnehin gelten, konnte Absatz 2 aufgehoben werden. |
§ 41 a.F.
Verarbeitung und Nutzung personenbezogener Daten durch die Medien
(1) 1Soweit personenbezogene Daten von Unternehmen oder Hilfsunternehmen der Presse oder des Films oder von Hilfsunternehmen des Rundfunks ausschließlich zu eigenen journalistisch -redaktionellen Zwecken verarbeitet oder genutzt werden, gelten von den Vorschriften dieses Gesetzes nur die §§ 5 und 9. 2Soweit Verlage personenbezogene Daten zur Herausgabe von Adressen-, Telefon-, Branchen- oder vergleichbaren Verzeichnissen verarbeiten oder nutzen, gilt Satz 1 nur, wenn mit der Herausgabe zugleich eine journalistisch-redaktionelle Tätigkeit verbunden ist.
(2) Führt die journalistisch-redaktionelle Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
|
§ 41 n.F.
Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien
(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, daß für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen oder Hilfsunternehmen der Presse oder von Hilfsunternehmen des Rundfunks oder des Films ausschließlich zu eigenen journalistisch-redaktionellen ___oder literarischen Zwecken den Vorschriften der §§ 4f, 4 g, 5, 6a, 7, 9, 31, 38a, 41 Abs. 2 und 3 und § 44 Abs. 1 Nr. 5 und Abs. 2 entsprechende Regelungen zur Anwendung kommen.
(2) Führt die journalistisch–redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
|
Begründung:
Anstelle der bisher in Absatz 1 enthaltenen Vollregelung beinhaltet Absatz 1 nur noch eine Rahmenvorschrift. Die Unternehmen des Films waren als Folge der Streichung der Rahmengesetzgebungskompetenz für den Film durch das Gesetz zur Änderung des Grundgesetzes vom 27. Oktober 1997 (BGBl. I S. 3146) von der Neuregelung auszunehmen. Soweit die Regelung Hilfsunternehmen des Rundfunks oder des Films erfaßt, stützt sie sich auf Artikel 74 Abs. 1 Nr. 11 GG, im übrigen auf Artikel 75 Abs. 1 Nr. 2 GG in Verbindung mit der ersten Alternative der Ausnahmeregelung des Artikel 75 Abs. 2 GG. Die Inanspruchnahme dieser Ausnahmeregelung ist erforderlich, da Absatz 1 den Mindeststandard der in der Rechtsprechung seit dem Volkszählungsurteil des Bundesverfassungsgerichts (BVerfGE 65, 1) geforderten datenschutzrechtlichen Regelungen im Bereich der Medien unter Berücksichtigung des aufgrund von Artikel 9 der Richtlinie bestehenden Änderungsbedarfs beinhaltet. Eine Regelung durch den Bundesgesetzgeber ist notwendig, um ein Auseinanderlaufen datenschutzrechtlicher Regelungen mit der Folge eines unterschiedlichen Datenschutzstandards im Medienbereich zwischen Bund und Ländern zu verhindern.
In Umsetzung von Artikel 9 der Richtlinie erweitert Absatz 1 den Anwendungsbereich der Datenschutzbestimmungen im Rahmen der Verarbeitung personenbezogener Daten durch Medien. Artikel 9 der Richtlinie sieht keine Ausnahme von den Vorschriften des Dritten Kapitels der Richtlinie - Rechtsbehelfe, Haftung und Sanktionen - vor. Die Regelung zur Haftung sowie die Strafvorschriften waren daher in die Regelung des § 41 einzubeziehen. Entsprechendes gilt für das Fünfte Kapitel der Richtlinie - Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen -.
|
§ 41 a.F. (Forts.)
(3) 1Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. 2Die Auskunft kann verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. 3Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) 1Im übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5 und 9. 2Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt.
|
§ 41 n.F. (Forts.)
(3) 1Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. 2Die Auskunft kann verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. 3Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) 1Im übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 6a, 7, 9, 31 und 38 a. 2Anstelle der §§ 24 bis 26 gilt § 42, ___ soweit es sich nicht um Verwaltungsangelegenheiten handelt.
|
Begründung (Forts.):
Daher war die neu geschaffene Vorschrift des § 38 a einzubeziehen. Bei den Bestimmungen der §§ 4 f und 4 g, § 41 Abs. 2 und 3 sowie § 31 handelt es sich um Vorschriften, die aufgrund der in Artikel 9 der Richtlinie geforderten Abwägung zwischen dem Recht auf Privatsphäre und der Freiheit der Meinungsäußerung zugunsten des Rechts auf informationelle Selbstbestimmung eingefügt wurden. Gleichzeitig wird in Umsetzung von Artikel 9 der Richtlinie auch der Anwendungsbereich des sog. Medienprivilegs erweitert, da nunmehr auch die Verarbeitung personenbezogener Daten zu literarischen Zwecken hiervon erfaßt wird. Auf den Wort "künstlerisch" in Artikel 9 wurde verzichtet, da dem Wort neben dem Wort "literarisch" vorliegend kein eigenständiger Regelungsinhalt zukommt. Im Hinblick auf die Einfügung des Begriffs der Erhebung wird auf die Begründung zu § 4 Abs. 1 verwiesen.
Zu Absatz 4:
Der Kreis der auf die Deutsche Welle anwendbaren Vorschriften des Bundesdatenschutzgesetzes war nach Maßgabe des Artikels 9 der Richtlinie zu erweitern.
Der erst durch die Novellierung 1991 eingeführte vollständige Wegfall der Kontrollkompetenz des Bundesbeauftragten für den Datenschutz ist mit Artikel 28 der Richtlinie nicht vereinbar. Durch die Änderung des Verweises in Satz 2 wird dem Bundesbeauftragten für den Datenschutz daher nun ein auf Verwaltungsangelegenheiten beschränktes Kontrollrecht gegenüber der Deutschen Welle eingeräumt.
|
§ 42 a.F.
Datenschutzbeauftragter der Deutschen Welle
(1) 1Die Deutsche Welle bestellet einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Deutschen Welle wahrgenommen werden.
(2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. 3Im übrigen untersteht er der
Dienst- und Rechtsaufsicht des Verwaltungsrates.
(3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden.
(4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994, einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluß eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz.
(5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. 2§ 18 bleibt unberührt.
|
§ 42 n.F.
Datenschutzbeauftragter der Deutschen Welle
(1) 1Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Deutschen Welle wahrgenommen werden.
(2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. 3Im übrigen untersteht er der
Dienst- und Rechtsaufsicht des Verwaltungsrates.
(3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden.
(4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994, einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluß eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz.
(5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. §§ 4 f und 4 g bleiben unberührt.
|
Begründung:
Die Änderungen in Absatz 5 Satz 2 sind Folgeänderungen im Zusammenhang mit der Schaffung einheitlicher Vorschriften für den internen Datenschutzbeauftragten (§§ 4 f und 4 g).
|
Fünfter Abschnitt
Schlußvorschriften |
§ 43 a.F.
Strafvorschriften
(1) Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,
1. speichert, verändert oder übermittelt,
2. zum Abruf mittels automatisierten Verfahrens bereithält oder
3. abruft oder sich oder einem anderen aus Dateien verschafft,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer
1. die Übermittlung von durch dieses Gesetz geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 4 Satz 1, auch in Verbindung mit § 29 Abs. 3, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder
3. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 3 Satz 3 die in § 40 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzel-angaben zusammenführt.
(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.
(4) Die Tat wird nur auf Antrag verfolgt.
|
§ 43 n.F.
Strafvorschriften
(1) Wer unbefugt ___ personenbezogene Daten, die nicht offenkundig sind,
1. erhebt oder verarbeitet,
2. zum Abruf mittels automatisierten Verfahrens bereithält oder
3. abruft oder sich oder einem anderen aus Dateien verschafft,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer
1. die Übermittlung von ___ personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt , oder
3. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.
(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.
(4) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, der Bundesbeauftragte für den Datenschutz oder die Aufsichtsbehörde.
|
Begründung:
Der Formulierung "von diesem Gesetz geschützte" in Absatz 1 vor Nummer 1 sowie in Absatz 2 Nr. 1 kam kein eigenständiger Regelungsinhalt zu. Er war daher zu streichen. Die Änderungen in Absatz 1 Nr. 1 passen die Terminologie der Strafvorschriften an die des übrigen Bundesdatenschutzgesetzes an.
Die Änderung der Verweise in Absatz 2 Nr. 2 ist eine Folgeänderung im Zusammenhang mit der Einfügung eines neuen Absatzes 3 in § 29. __
Die Änderung der Verweise in Absatz 2 Nr. 3 ist eine Folgeänderung im Zusammenhang mit der Aufhebung von § 40 Abs. 2 a.F..
Der Zusatz in Absatz 4 ist durch die Ergänzung des § 23 Abs. 5 durch einen Satz 7 erforderlich geworden. Danach steht dem Bundesbeauftragten für den Datenschutz eine Anzeigebefugnis in Umsetzung des Artikels 28 Abs. 3, 3. Spiegelstrich der Richtlinie zu. Entsprechendes gilt nach § 38 Abs. 1 Satz 5 für die Aufsichtsbehörden der Länder für den nicht-öffentlichen Bereich. |
§ 44 a.F.
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
2. entgegen § 32 Abs. 1, auch in Verbindung mit Absatz 4, eine Meldung nicht oder nicht rechtzeitig erstattet oder entgegen § 32 Abs. 2, auch in Verbindung mit Absatz 4, bei einer solchen Meldung die erforderlichen Angaben nicht, nicht richtig oder nicht vollständig mitteilt,
3. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
4. entgegen § 35 Abs. 5 Satz 3 Daten ohne Gegendarstellung übermittelt,
5. entgegen § 36 Abs. 1 einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt,
6. entgegen § 38 Abs. 3 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 38 Abs. 4 Satz 4 den Zutritt zu den Grundstücken oder Geschäftsräumen oder die Vornahme von Prüfungen oder Besichtigungen oder die Einsicht in geschäftliche Unterlagen nicht duldet, oder
7. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.
|
§ 44 n.F.
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
2. entgegen § 4 d Abs. 1 und 4, auch in Verbindung mit § 4 e Satz 2, eine Meldung nicht erstattet oder entgegen § 4 e Satz 1, auch in Verbindung mit § 4 e Satz 2, bei einer solchen Meldung die erforderlichen Angaben nicht, nicht richtig oder nicht vollständig mitteilt,
3. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
4. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,
5. entgegen § 4 f Abs. 1 einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt,
6. entgegen § 38 Abs. 3 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 38 Abs. 4 Satz 4 den Zutritt zu den Grundstücken oder Geschäftsräumen oder die Vornahme von Prüfungen oder Besichtigungen oder die Einsicht in geschäftliche Unterlagen nicht duldet, oder
7. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.
|
Begründung:
Zu Absatz 1 Nr. 2:
Die Änderung der Verweise in Absatz 1 Nr. 2 ist eine Folgeänderung im Zusammenhang mit der Aufhebung von § 32 sowie mit der Schaffung der neuen Vorschriften der §§ 4 d und 4 e.
Zu Absatz 1 Nr. 3:
Die Änderung ist eine Folgeänderung im Zusammenhang mit der Einfügung eines neuen Absatzes 5 in § 35.
Zu Absatz 1 Nr. 5:
Die Änderung des Verweises in Absatz 1 Nr. 5 ist eine Folgeänderung im Zusammenhang mit der Aufhebung von § 36 sowie mit der Schaffung der neuen Vorschrift des § 4 f.
|
Anlage zu § 9 a.F.
Werden personenbezogene Daten automatisiert verarbeitet, sind Maß-nahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
|
Anlage zu § 9 n.F.
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, daß Datenverarbeitungssysteme ___ von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und daß personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, daß personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und daß überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
|
Begründung:
Die Anlage zu § 9 wurde gestrafft (Einfügung von Nummer 10 a.F. in Satz 1 vor Nummer 1, Zusammenführung von Nummern 2, 3 und 5 a.F. als Teil von Nummer 3), um die Anforderungen der Richtlinie ergänzt (insbesondere Nummer 7 n.F.), sprachlich überarbeitet (Nummern 1 bis 5) sowie den heutigen Gegebenheiten der Informations- und Kommunikationstechnik angepaßt (Nummern 4 und 5). Im einzelnen:
1. Die Erweiterung um den Begriff der Nutzung in Satz 1, vor Nummer 1, sowie in Num-mer 1 beruht auf Artikel 3 Abs. 1 in Verbindung mit Artikel 2 Buchstabe b der Richtlinie.
2. Die Einfügung "Datenkatego-rien" in Satz 1, vor Nummer 1, ist eine Anpassung an die Terminologie der Richtlinie. Auf Artikel 19 Abs. 1 Buchstabe c der Richtlinie sowie die Begründung zu § 4 e Satz 1 Nr. 5 wird verwiesen.
3. Bei den Nummern 1, 2 und 3 (Nummern 1, 2, 3, 4 und 5 a.F.) wurde der gesetzliche Wortlaut der gebräuchlichen informationstechnischen Terminologie angepaßt: Zutritt im Sinne der Nummer 1 ist ausschließlich räumlich zu verstehen, erfaßt daher den räumlichen Zutritt durch unbefugte (externe) Personen. Nummer 1 a.F. war demgegenüber sprachlich unklar und gab Anlaß zu unterschiedlichen Interpretationen.
Zugang im Sinne der Nummer 2 (Nummer 4 a.F.) erfaßt das Eindringen in das EDV-System selbst seitens unbefugter (externer) Personen.
|
Anlage zu § 9 a.F. (Forts.)
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrich-tungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
7. zu gewährleisten, daß nach-träglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transport-kontrolle),
10.die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
|
Anlage zu § 9 n.F. (Forts.)
___
5. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, daß personenbezogene Daten, die im Auftrag ver-arbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, daß personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskon-trolle).
8. zu gewährleisten, daß zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
___
|
Begründung (Forts.):
Durch den Verzicht auf die Formulierung "mit Hilfe von Einrichtungen zur Datenübertragung" in Nummer 2 wurde gegenüber der bisherigen Nummer 4 a.F. der Anwendungsbereich neben dem bereits erfaßten Schutz des Zugangs über Datenübertragungseinrichtungen auf den Schutz des lokalen Zugangs zum System erweitert. Zugriff im Sinne der Nummer 3 schließlich erfaßt die Tätigkeit innerhalb des EDV-Systems durch einen grundsätzlich Berechtigten außerhalb seiner Berechtigung. Nummer 3 entspricht in ihrem ersten Teil vollständig Nummer 5 a.F. und beinhaltet in ihrem zweiten Teil eine teilweise Zusammenfassung von Nummern 2 und 3 a.F.; die Überschneidungen dieser Nummern der alten Fassung werden beseitigt. Auf den Begriff "Löschung" in Nummern 3 und 9 a.F. konnte verzichtet werden, da er im informationstechnischen Sinn vom Begriff "Veränderung" mit umfaßt wird.
4. Nummer 4 faßt sämtliche Aspekte der Weitergabe personenbezogener Daten, also elektronische Übertragung, Datenträgertransport und Übermittlungskontrolle, unter dem Begriff "Weitergabekontrolle" zusammen. Zu ergänzen war Nummer 4 um den Begriff der "elektronischen Übertragung". Der zweite Teil von Nummer 4 entspricht im wesentlichen Nummer 6 a.F..
Die in der neuen Fassung von Nummer 4, zweiter Teil durch die vorgenommene Änderung ("vorgesehen" anstelle von "werden können") gegenüber Nummer 6 a.F. erfolgte Eingrenzung ist angesichts der technischen Entwicklung - weitgehend unbegrenzte Möglichkeit zur Datenübertragung als Normalfall – notwendig. |
|
|
Begründung (Forts.):
5. Nummer 5 stellt im Gegensatz zur bisherigen Fassung (Num-mer 7 a.F.) nicht mehr in erster Linie auf die eingegebenen Daten ab ("welche"), sondern maßgeblich auf den Zugang ("ob"). Dies war erforderlich, da die Praxis erwiesen hat, daß die bisherige Fassung überzogene, nicht praktikable Anforderungen stellte. Gleichzeitig wurde der Anwendungsbereich der Nummer 5 um die nachträgliche Überprüfung und Feststellung der Veränderung oder Entfernung ergänzt.
6. Nummer 6 entspricht unverändert Nummer 8 a.F.
7. Die in Nummer 7 neu aufgenommene Verfügbarkeitskontrolle beruht auf Artikel 17 Abs. 1 der Richtlinie. Schutz vor zufälliger Zerstörung oder Verlust meint beispielsweise Schutz vor Wasserschäden, Blitzschlag oder Stromausfall. Beispiel für eine insoweit zu treffende Sicherungsmaßnahme ist etwa das Erstellen zusätzlicher Sicherungskopien, die an besonders geschützten Orten gelagert werden.
|
|
§ 45 n.F.
Übergangsvorschrift
Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die zum Zeitpunkt des Inkrafttretens dieses Gesetzes bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.
|
Begründung:
Die Vorschrift setzt Artikel 32 Abs. 2 der Richtlinie um. Er gestattet einen Anpassungszeitraum von maximal drei Jahren ab Inkrafttreten des Gesetzes für solche Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die zum Zeitpunkt des Inkrafttretens der Änderungen des Bundesdatenschutzgesetzes bereits begonnen haben.
|
|