Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung

§§ 3; 14-22; 26

§ 3
Verarbeitung personenbezogener Daten

Außerhalb des Anwendungsbereichs der Richtlinie (EU) 2016/680 ist die nicht in besonderen Rechtsvorschriften geregelte Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist und

1. schutzwürdige Belange der betroffenen Personen wegen der Kategorien der personenbezogenen Daten, wegen der Zwecke der Verarbeitung, wegen der Dauer der Verarbeitung oder wegen ihrer Offenkundigkeit nicht entgegenstehen oder

2. Bundesrecht vollzogen wird und dieses die Verarbeitung personenbezogener Daten nicht abschließend regelt.

§ 14
Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Neben den in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 unmittelbar genannten Ausnahmen vom Verarbeitungsverbot können besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in Ausgestaltung von Artikel 9 Absatz 2 Buchstaben b, h und i verarbeitet werden, wenn dies erforderlich ist

1. damit der Verantwortliche oder die betroffene Person die ihm oder ihr aus dem Dienst- und Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen oder ihren diesbezüglichen Pflichten nachkommen kann,

2. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit der Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen oder Diensten im Gesundheits- oder Sozialbereich unter den Voraussetzungen des Artikels 9 Absatz 3 der Verordnung (EU) 2016/679 oder

3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 3 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist über Absatz 1 hinaus in Ausgestaltung von Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 zulässig, wenn sie erforderlich ist

1. zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit oder

2. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls,

und die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen.

(3) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:

1. die Maßnahmen gemäß § 26,

2. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

3. Beschränkung des Zugangs für dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen zu personenbezogenen Daten und

4. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke, die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

§ 15
Verarbeitung zu anderen Zwecken

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck, als demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist auf Grund von Artikel 6 Absatz 4 Satz 1 1. Halbsatz der Verordnung (EU) 2016/679 in Verbindung mit den in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Zielen zulässig, wenn

1. die zum Schutz lebenswichtiger Interessen einer natürlichen Person erforderlich und die betroffene Person aus rechtlichen oder tatsächlichen Gründen nicht in der Lage ist, die Einwilligung zu erteilen;

2. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist;

3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden erforderlich erscheint;

4. die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht schutzwürdige Interessen der betroffenen Person offensichtlich entgegenstehen;

5. sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der internen Revision, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient; der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse erforderlich ist;

6. die zu Aus- und Fortbildungszwecken erforderlich ist und schutzwürdige Belange der betroffenen Person dem nicht entgegenstehen; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verarbeitet werden.

Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden.

(2) Absatz 1 Satz 1 Nummer 2 und 3 findet keine Anwendung, wenn die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis unterliegen und sie der datenverarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind.

(3) In den Fällen des Absatzes 1 Satz 1 Nummer 2, 3 und 5 unterbleibt abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 eine Information der betroffenen Person über die Verarbeitung personenbezogener Daten, soweit und solange der Zweck der Verarbeitung gefährdet würde. Die Gründe für ein Absehen von der Information sind zu protokollieren. § 23 Absatz 3 gilt entsprechend.

(4) Sind personenbezogene Daten derart verbunden, dass ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist, so tritt an die Stelle der Trennung ein Verwertungsverbot nach Maßgabe des Absatzes 1 für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung dienen.

(5) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach § 14 Absatz 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 14 Absatz 1 vorliegen.

§ 16
Verantwortlichkeit bei der Übermittlung personenbezogener Daten

(1) Erfolgt die Übermittlung auf Grund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung für die Rechtmäßigkeit der Übermittlung. Die übermittelnde Stelle hat lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht. Die ersuchende Stelle hat in dem Ersuchen die für diese Prüfung erforderlichen Angaben zu machen.

(2) Erfolgt die Übermittlung durch ein automatisiertes Verfahren auf Abruf nach § 21, trägt die abrufende Stelle die Verantwortung für die Rechtmäßigkeit der Übermittlung. Die übermittelnde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die übermittelnde Stelle gewährleistet, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.

Kapitel 2
Besondere Verarbeitungssituationen

§ 17
Verarbeitung personenbezogener Daten zu wissenschaftlichen
oder historischen Forschungszwecken und zu statistischen Zwecken

(1) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, ist auch ohne Einwilligung für die Erfüllung einer Aufgabe zu im öffentlichen Interesse liegenden wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke zulässig, wenn das öffentliche Interesse an der Durchführung des Vorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der Zweck nicht auf andere Weise erreicht werden kann. Nach Satz 1 übermittelte Daten dürfen nicht für andere Zwecke verarbeitet werden.

(2) Die Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck oder dem statistischen Zweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis eine Anonymisierung erfolgt, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können; sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert. Die Daten sind zu löschen, sobald der Zweck erreicht ist. Für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 bleibt § 14 Absatz 3 unberührt.

(3) Öffentliche Stellen, die wissenschaftliche und historische Forschung betreiben, dürfen personenbezogene Daten nur veröffentlichen, wenn

1. die betroffene Person eingewilligt hat oder

2. die Veröffentlichung für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte erforderlich ist, es sei denn, dass schutzwürdige Interessen der betroffenen Person überwiegen.

(4) Die in Artikel 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.

§ 18
Verarbeitung personenbezogener Beschäftigtendaten

Verarbeiten öffentliche Stellen personenbezogene Beschäftigtendaten im Beschäftigungskontext, gelten in Ergänzung zur Verordnung (EU) 2016/679 §§ 26, 32 bis 37, 41, 43 und 44 des Bundesdatenschutzgesetzes in der jeweils geltenden Fassung entsprechend.

§ 19
Verarbeitung personenbezogener Daten zu Zwecken
der freien Meinungsäußerung und der Informationsfreiheit

(1) Soweit personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken, einschließlich der rechtmäßigen Verarbeitung auf Grund der §§ 22 und 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie in der im Bundesgesetzblatt Teil III, Gliederungsnummer 440-3, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 3 § 31 des Gesetzes vom 16. Februar 2001 (BGBl. I S. 266) geändert worden ist, verarbeitet werden, gelten von Kapitel II bis VII sowie IX der Verordnung (EU) 2016/679 nur Artikel 5 Absatz 1 Buchstabe f sowie Artikel 24 und 32. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass die Haftung nur Schäden umfasst, die durch eine Verletzung des Datengeheimnisses oder durch unzureichende technische oder organisatorische Maßnahmen im Sinne des Artikels 5 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 eintreten.

(2) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 Satz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, sind diese zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst, und bei einer Übermittlung der Daten gemeinsam zu übermitteln.

§ 20
Videoüberwachung

(1) Die Verarbeitung personenbezogener Daten in öffentlich zugänglichen Räumen mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) ist zulässig, soweit sie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.

(2) Videoüberwachte Bereiche sind so zu kennzeichnen, dass Personen vor dem Betreten über den Umstand der Videoüberwachung sowie über den Namen und die Kontaktdaten des Verantwortlichen informiert werden.

(3) Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist.

(4) Für die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs gilt abweichend von Absatz 3, dass

1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies für die Verhütung oder Verfolgung von Straftaten erforderlich ist, und

2. für diesen Zweck ihre Übermittlung ausschließlich an die Polizei Berlin und an die Strafverfolgungsbehörden zulässig ist.

Der Verantwortliche hat durch ein mit der Polizei Berlin abzustimmendes Sicherheitskonzept zu gewährleisten, dass Aufzeichnungen spätestens nach 48 Stunden gelöscht werden, sofern deren Speicherung nicht für einen der Zwecke des Satzes 1 Nummer 1 erforderlich ist.

(5) Unbeschadet der Verpflichtung des Verantwortlichen zur Löschung auf Grund anderer Vorschriften sind nach Absatz 1 erhobene personenbezogene Daten unverzüglich zu löschen, wenn schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.

§ 20a
Verarbeitung personenbezogener Daten zu Zwecken parlamentarischer Kontrolle

(1) Die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen ist zulässig, wenn diese vom Abgeordnetenhaus, dessen verfassungsmäßigen Organen, seinen Mitgliedern oder den Fraktionen des Abgeordnetenhauses im Rahmen ihrer Aufgaben verlangt werden. Personenbezogene Daten dürfen für diese Institutionen zur Erfüllung ihrer Aufgaben nur verarbeitet werden, wenn nicht überwiegende private Interessen an der Geheimhaltung zwingend entgegenstehen. Diese Befugnis gilt auch für besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679; dabei sind gegebenenfalls die gebotenen Vorkehrungen parlamentarischer Geheimhaltung zu treffen.

(2) Soweit es im Rahmen der Mitwirkung an der Erfüllung der Aufgaben eines Untersuchungsausschusses des Abgeordnetenhauses, des Parlamentes eines anderen Landes oder des Deutschen Bundestages erforderlich ist, kann die oder der für die Verarbeitung der Daten Verantwortliche anordnen, dass personenbezogene Daten, auch abweichend von Vorschriften über deren Löschung oder Vernichtung, für einen befristeten Zeitraum nicht gelöscht oder vernichtet werden. Dies gilt auch für den Fall, dass ein Untersuchungsausschuss noch nicht eingesetzt ist, ein solcher aber bereits im Parlament beantragt worden ist. Die Anordnung kann auch Akten und sonstige amtliche Unterlagen einschließen, die keine personenbezogenen Daten enthalten. Die Anordnung soll einen Zeitraum von zwei Jahren nicht überschreiten; Verlängerungen für einen Zeitraum von jeweils nicht mehr als einem Jahr sind zulässig. Die Anordnung trifft die Hausleitung des Verantwortlichen, sie ergeht schriftlich und ist zu begründen. Die Anordnung und ihre Begründung sind der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zur Kenntnis zu geben. Dies gilt auch für jeden Fall der Verlängerung. Der Verantwortliche hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Verarbeitung der personenbezogenen Daten, deren Löschung oder Vernichtung auf Grund einer Anordnung nach den Sätzen 1 oder 2 unterblieben ist, auf die Mitwirkung an der Erfüllung der Aufgaben des Untersuchungsausschusses begrenzt ist.

§ 21
Gemeinsames Verfahren und automatisiertes Verfahren auf Abruf

(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in oder aus einem gemeinsamen Datenbestand (gemeinsames Verfahren) oder die Übermittlung an Dritte auf Abruf (automatisiertes Verfahren auf Abruf) ermöglicht, ist nur zulässig, soweit dieses Verfahren unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vor der Einrichtung zu unterrichten. Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn die Einrichtung durch Gesetz oder auf Grund eines Gesetzes zugelassen ist.

(2) Unbeschadet des Artikels 26 der Verordnung (EU) 2016/679 ist für gemeinsame Verfahren insbesondere festzulegen, welche Verfahrensweise angewendet wird und welche Stelle jeweils für die Festlegung, Änderung, Fortentwicklung und Einhaltung von fachlichen und technischen Vorgaben für das gemeinsame Verfahren verantwortlich ist.

(3) Nicht-öffentliche Stellen können sich an gemeinsamen Verfahren und automatisierten Abrufverfahren beteiligen, wenn eine Rechtsvorschrift dies zulässt und sie sich insoweit den Vorschriften dieses Gesetzes unterwerfen.

(4) Für die Einrichtung gemeinsamer Verfahren und automatisierter Abrufverfahren für verschiedene Zwecke innerhalb einer öffentlichen Stelle gelten die Absätze 1 und 2 entsprechend.

(5) Die Absätze 1 bis 4 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung offen stehen oder deren Veröffentlichung zulässig wäre.

(6) Die Absätze 1, 3 und 5 gelten für die Zulassung regelmäßiger automatisierter Datenübermittlungen entsprechend.

§ 22
Fernmess- und Fernwirkdienste

(1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) in Wohnungen oder Geschäftsräumen nur vornehmen oder mittels einer Übertragungseinrichtung in Wohnungen oder Geschäftsräumen andere Wirkungen nur auslösen (Fernwirkdienste), wenn die betroffene Person zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes der Dienste unterrichtet worden ist und nach der Unterrichtung schriftlich oder elektronisch eingewilligt hat. Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) Die Einrichtung von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die betroffene Person in zumutbarer Weise erkennen kann, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist, und wenn der Teilnehmer den Dienst jederzeit abschalten kann, soweit dies mit dem Vertragszweck vereinbar ist.

(3) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, dass die betroffene Person nach Absatz 1 Satz 1 einwilligt. Wird die Einwilligung verweigert oder wider rufen, dürfen der betroffenen Person keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.

(4) Soweit im Rahmen von Fernmess- und Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Artikel 7 und 8 der Verordnung (EU) 2016/679 bleiben unberührt.