Cybersecurity Navigator Login

LDSG - Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten


LDSG - Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten

Sektor Staat und Verwaltung
Branche Regierung u. Verwaltung
Ebene Landesrecht
Bundesland Schleswig-Holstein
Rechtsakt Gesetzlich


  • Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten
    LDSG
    §§ 3-7; 12-16; 22-30; 34; 38; 40; 43; 47; 50; 51; 54-57

     

    § 3  Zulässigkeit der Verarbeitung personenbezogener Daten

    (1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

    (2) Zu dem Zweck der Verarbeitung personenbezogener Daten gehört auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Aus- und Fortbildungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

     


    § 4 Zulässigkeit der Verarbeitung personenbezogener Daten zu anderen Zwecken

    (1) Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist im Rahmen der Aufgabenerfüllung des Verantwortlichen zulässig, wenn

    1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit erforderlich ist,
    2. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
    3. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
    4. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre und offensichtlich ist, dass die Datenverarbeitung in ihrem Interesse liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
    5. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, oder
    6. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.

    (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach Abschnitt 2 Unterabschnitt 3 dieses Gesetzes oder nach einer anderen Rechtsvorschrift, die die Verarbeitung besonderer Kategorien von Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 gestattet, vorliegen.

    (3) Die Verarbeitung personenbezogener Daten, die einem Berufsgeheimnis unterliegen, zu einem anderen Zweck, als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 1 oder 2 vorliegen und die zur Verschwiegenheit verpflichtete Person oder Stelle zuvor zugestimmt hat.

    (4) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten zulässig, soweit nicht schutzwürdige Belange der betroffenen Person oder anderer Personen überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

    (5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden.

     


    § 5 Übermittlung personenbezogener Daten

    (1) Für die Zulässigkeit der Übermittlung personenbezogener Daten ist die übermittelnde Stelle verantwortlich. Die ersuchende Stelle hat die für diese Prüfung erforderlichen Angaben zu machen.

    (2) Erfolgt die Übermittlung personenbezogener Daten auf Ersuchen einer öffentlichen Stelle, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. Die übermittelnde Stelle hat dann lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu ein konkreter Anlass besteht.

    (3) Bei einer Übermittlung personenbezogener Daten an eine nicht-öffentliche Stelle ist diese durch die übermittelnde Stelle zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihr übermittelt werden.

    (4) Auch wenn die Voraussetzungen des § 4 dieses Gesetzes nicht erfüllt sind, ist die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen zulässig, wenn von diesen ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und schutzwürdige Belange der betroffenen Person nicht beeinträchtigt sind.

    (5) Erfolgt die Übermittlung durch automatisierten Abruf, trägt die Verantwortung für die Rechtmäßigkeit des Abrufs die abrufende Stelle.

     

     

    § 6 Verfahren bei der Löschung personenbezogener Daten

    Soweit öffentliche Stellen nach einer Rechtsvorschrift verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung personenbezogener Daten erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden sind und dieses die Übernahme der Unterlagen als nicht archivwürdig abgelehnt oder die Unterlagen nicht innerhalb einer durch Rechtsvorschrift bestimmten Frist übernommen hat.

     


    § 7 Automatisierte Verfahren

    (1) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung von dem Verantwortlichen oder einer von ihm beauftragten Person freizugeben. Das Testverfahren ist zu dokumentieren.

    (2) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung durch die öffentlichen Stellen. Die oder der Landesbeauftragte für Datenschutz ist anzuhören.

    (3) Ein automatisiertes Verfahren, das mehreren Verantwortlichen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist.

    (4) Für Verfahren nach Absatz 3 kann die zuständige oberste Landesbehörde durch Verordnung Regelungen im Sinne von Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 festlegen und eine zentrale Stelle bestimmen, der die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens übertragen wird.

    (5) Absatz 3 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

     


    § 12 Verarbeitung besonderer Kategorien personenbezogener Daten

    (1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 durch öffentliche Stellen zulässig, wenn sie
    1. aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist,
    2. zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
    3. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
    4. aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Landes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist
    und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen.

    (2) Werden auf der Grundlage dieses Unterabschnitts oder einer sonstigen gesetzlichen Regelung im Landesrecht besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet, hat der Verantwortliche durch geeignete technische wie organisatorische Maßnahmen sicherzustellen, dass hierbei die Vorgaben der Verordnung (EU) 2016/679 eingehalten werden und Grundrechte sowie Interessen der betroffenen Person gewahrt werden.

    (3) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können zu den zu ergreifenden Maßnahmen insbesondere gehören:
    1. die Sensibilisierung und Schulung der an Verarbeitungsvorgängen Beteiligten,
    2. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
    3. Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
    4. die Pseudonymisierung sowie die Verschlüsselung personenbezogener Daten,
    5. die Festlegung von besonderen Aussonderungsprüffristen,
    6. die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
    7. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen,
    8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

     


    § 13 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

    (1) Öffentliche Stellen dürfen personenbezogene Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeiten, wenn
    1. schutzwürdige Belange der betroffenen Person wegen der Offenkundigkeit der Daten oder wegen der Art ihrer Verwendung schon nicht beeinträchtigt werden oder
    2. das öffentliche Interesse an der Verarbeitung die schutzwürdigen Belange der betroffenen Person überwiegt und der Forschungs- oder Statistikzweck nicht oder nur mit unverhältnismäßigem Aufwand auf andere Weise erreicht werden kann.
    Die übermittelten Daten dürfen nicht für andere Zwecke als für Forschungs- oder Statistikzwecke verarbeitet werden.

    (2) Ergänzend zu den in § 12 genannten Maßnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete personenbezogene Daten so zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (Anonymisierung), sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis dahin sind die Merkmale zu pseudonymisieren. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.

    (3) Auch Empfängern, die den Vorschriften dieses Gesetzes nicht unterliegen, können personenbezogene Daten im Sinne von Absatz 1 Satz 1 übermittelt werden, wenn diese sich verpflichten, die Daten nur für das von ihnen zu bezeichnende Forschungs- oder Statistikvorhaben und nach Maßgabe der Absätze 1, 2 und 4 zu verarbeiten.

    (4) Die verantwortliche öffentliche Stelle darf personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Personen oder Ereignisse der Zeitgeschichte unerlässlich ist.

    (5) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als ihre Wahrnehmung die spezifischen Forschungs- oder Statistikzwecke voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen würde.

     


    § 14 Videoüberwachung öffentlich zugänglicher Räume

    (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit dies

    1. zur Aufgabenerfüllung öffentlicher Stellen oder

    2. zur Wahrnehmung des Hausrechts

    erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Hierbei dürfen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet werden. Die automatisierte Verarbeitung biometrischer Daten zur Identifizierung natürlicher Personen ist nicht zulässig.

    (2) Der Umstand der Beobachtung, die Angaben nach Artikel 13 Absatz 1 Buchstabe a bis c der Verordnung (EU) 2016/679 sowie die Möglichkeit, bei der oder dem Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete, zum frühestmöglichen Zeitpunkt wahrnehmbare Maßnahmen erkennbar zu machen.

    (3) Die weitere Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen. Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die nationale und öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Vollstreckung von Strafen erforderlich ist. Absatz 1 Satz 3 bleibt unberührt.

    (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet oder zu anderen als den in Absatz 1 genannten Zwecken verarbeitet, besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung entsprechend Artikel 13 und 14 der Verordnung (EU) 2016/679 , soweit und solange der Zweck der Verarbeitung hierdurch nicht gefährdet wird.

    (5) Wenn und soweit die Daten nicht mehr zur Erreichung der Zwecke nach den Absätzen 1 und 3 erforderlich sind oder schutzwürdige Interessen des Betroffenen einer weiteren Speicherung entgegenstehen, sind die Daten zu löschen. Die Löschung erfolgt unverzüglich.

     


    § 15 Datenverarbeitung im Beschäftigungszusammenhang

    (1) Öffentliche Stellen dürfen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 von Bewerberinnen und Bewerbern sowie von Beschäftigten vorbehaltlich besonderer gesetzlicher oder tarifvertraglicher Regelungen nur nach Maßgabe des Landesbeamtengesetzes verarbeiten.

    (2) Daten von Beschäftigten, die im Rahmen der Durchführung technischer und organisatorischer Maßnahmen zur Datensicherheit verarbeitet werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden.

     


    § 16 Öffentliche Auszeichnungen

    (1) Zur Vorbereitung und Durchführung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Kenntnis der betroffenen Person verarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der oder des Betroffenen zulässig.

    (2) Auf Anforderung der in Absatz 1 Satz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung oder Ehrung erforderlichen Daten übermitteln.

    (3) Die Absätze 1 und 2 finden keine Anwendung, wenn der verantwortlichen Stelle bekannt ist, dass die betroffene Person keine öffentlichen Auszeichnungen oder Ehrungen wünscht oder der dazu notwendigen Datenverarbeitung widersprochen hat.

    (4) Die Vorschriften der Verordnung (EU) 2016/679 über die Informationspflicht (Artikel 13 und 14), das Auskunftsrecht (Artikel 15) und die Mitteilungspflicht (Artikel 19) sind nicht entsprechend anzuwenden.

     


    § 22 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

    Personenbezogene Daten müssen
    1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
    2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
    3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,
    4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
    5. nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

     


    § 23 Zulässigkeit der Verarbeitung personenbezogener Daten

    (1) Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.

    (2) Zu dem Zweck der Verarbeitung personenbezogener Daten gehört auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Aus- und Fortbildungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen. Die Verarbeitung der Daten zu Test- und Prüfungszwecken ist davon nicht erfasst.

     


    § 24 Verarbeitung besonderer Kategorien personenbezogener Daten

    (1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie
    1. zur Aufgabenerfüllung zwingend erforderlich ist,
    2. der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder
    3. wenn sie sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.

    (2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein
    1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
    2. die Festlegung von besonderen Aussonderungsprüffristen,
    3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
    4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,
    5. die von anderen Daten getrennte Verarbeitung,
    6. die Pseudonymisierung personenbezogener Daten,
    7. die Verschlüsselung personenbezogener Daten oder
    8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

    (3) Eine Verarbeitung genetischer und biometrischer Daten ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

     


    § 25 Verarbeitung zu anderen Zwecken

    Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

     


    § 26 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

    Personenbezogene Daten dürfen im Rahmen der in § 20 genannten Zwecke zu archivarischen, wissenschaftlichen oder statistischen Zwecken verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffenen Personen vorgesehen werden. Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.

     


    § 27 Einwilligung
    (1) Soweit die Verarbeitung personenbezogener Daten auf Grundlage einer Rechtsvorschrift, welche die Einwilligung der betroffenen Person vorsieht, erfolgt, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.

    (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die weitere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

    (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.

    (4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.

    (5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

     


    § 28 Verarbeitung auf Weisung des Verantwortlichen

    Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

     


    § 29 Datengeheimnis


    Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.

     


    § 30 Automatisierte Einzelentscheidung

    (1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

    (2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.

    (3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

     


    § 34 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

    (1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.

    (2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.

    (3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
    1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
    2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 20 dienen, weiter aufbewahrt werden müssen oder
    3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
    In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.

    (4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.

    (5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er der Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.

    (6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 32 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde.

    (7) § 33 Absatz 6 und 7 findet entsprechende Anwendung.

     


    § 38 Auftragsverarbeitung

    (1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.

    (2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

    (3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.

    (4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

    (5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter
    1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
    2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
    3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
    4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
    5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 52 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
    6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
    7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
    8. alle gemäß § 40 erforderlichen Maßnahmen ergreift und
    9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 40 bis 43 und § 45 genannten Pflichten unterstützt.

    (6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.

    (7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

     


    § 40 Anforderungen an die Sicherheit der Datenverarbeitung

    (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

    (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass
    1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
    2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

    (3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
    1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
    2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
    3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
    4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
    5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
    6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
    7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
    8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
    9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
    10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
    11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
    12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
    13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
    14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
    Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

    (4) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung von dem Verantwortlichen oder einer von ihm beauftragten Person freizugeben. Das Testverfahren ist zu dokumentieren.

    (5) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung durch die öffentlichen Stellen. Die oder der Landesbeauftragte für Datenschutz ist anzuhören.

    (6) Ein automatisiertes Verfahren, bei dem mehrere Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung festlegen (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist.

    (7) Für Verfahren nach Absatz 6 kann die zuständige oberste Landesbehörde Regelungen nach dieser Vorschrift auch durch Verordnung festlegen und eine zentrale Stelle bestimmen, der die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens übertragen wird.

    (8) Absatz 6 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

     


    § 43 Durchführung einer Datenschutz-Folgenabschätzung

    (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.

    (2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.

    (3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.

    (4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
    3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
    4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.

    (5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.

     


    § 47 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

    (1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.

    (2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

     


    § 50 Verfahren bei Übermittlungen

    (1) Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen.

    (2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden.

    (3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.

     


    § 51 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung

    (1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.

    (2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

    (3) § 34 Absatz 3 bis 5 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen.

    (4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen hat der Verantwortliche für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

     


    § 54 Allgemeine Voraussetzungen

    (1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn
    1. die Stelle oder internationale Organisation für die in § 20 genannten Zwecke zuständig ist und
    2. die Europäische Kommission gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.

    (2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.

    (3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaates genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaates, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten.

    (4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu berücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.

     


    § 55 Datenübermittlung bei geeigneten Garantien

    (1) Liegt entgegen § 54 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 54 auch dann zulässig, wenn
    1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
    2. der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen.

    (2) Der Verantwortliche hat Übermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Landesbeauftragten auf Anforderung zur Verfügung zu stellen.

    (3) Der Verantwortliche hat die Landesbeauftragte oder den Landesbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.

     


    § 56 Datenübermittlung ohne geeignete Garantien

    (1) Liegt entgegen § 54 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des § 55 Absatz 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 54 auch dann zulässig, wenn die Übermittlung erforderlich ist

    1. zum Schutz lebenswichtiger Interessen einer natürlichen Person,
    2. zur Wahrung berechtigter Interessen der betroffenen Person,
    3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,
    4. im Einzelfall für die in § 20 genannten Zwecke oder
    5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 20 genannten Zwecken.

    (2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.

    (3) Für Übermittlungen nach Absatz 1 gilt § 55 Absatz 2 und 3 entsprechend.

     


    § 57 Sonstige Datenübermittlung an Empfänger in Drittstaaten

    (1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 54 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und
    1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,
    2. die Übermittlung an die in § 54 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und
    3. der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.

    (2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 54 Absatz 1 Nummer 1 genannten Stellen unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.

    (3) Für Übermittlungen nach Absatz 1 gilt § 55 Absatz 2 und 3 entsprechend.

    (4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten ohne seine Zustimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.

    (5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.


     

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • Albrecht/Schmid, K&R 2013, 529 (E-Government)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
  • Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
  • Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
  • Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
  • Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
  • Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
  • Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
  • Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
  • König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
  • Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
  • Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
  • Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
  • Prell, NVwZ 2013, 1514 (E-Government)
  • Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
  • Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
  • Schulte/ Schröder, Handbuch des Technikrechts, 2011
  • Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
  • Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
  • Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
  • Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
  • Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 1

    NIST FIPS 199:2004-02



    Ergebnis 2

    NIST FIPS 200:2006-03



    Ergebnis 3

    BSI TR 03105 Teil 1.1



    Ergebnis 4

    BSI TR 03105 Teil 1.2



    Ergebnis 5

    BSI TR 03105 Teil 2



    Ergebnis 6

    BSI TR 03105 Teil 3.1



    Ergebnis 7

    BSI TR 03105 Teil 3.2



    Ergebnis 8

    BSI TR 03105 Teil 3.3



    Ergebnis 9

    BSI TR 03105 Teil 3.4



    Ergebnis 10

    BSI TR 03105 Teil 4