BremDSGVOAG - Bremisches Ausführungsgesetz zur EU-Datenschutzgrundverordnung
BremDSGVOAG - Bremisches Ausführungsgesetz zur EU-Datenschutzgrundverordnung |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Justizeinrichtungen |
| Ebene | Landesrecht |
| Bundesland | Bremen |
| Rechtsakt | Gesetzlich |
Bremisches Ausführungsgesetz zur EU-Datenschutzgrundverordnung
§§ 3-7; 11-15
§ 3 Zulässigkeit der Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, soweit sie
1. zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder
2. zur Erfüllung der dem Verantwortlichen durch Rechtsvorschrift übertragenen Aufgaben oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen durch Rechtsvorschrift übertragen wurde,
erforderlich ist.
(2) Die Verarbeitung personenbezogener Daten ist zulässig zu Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen sowie der Prüfung und Wartung von automatisierten Verfahren. Die Verarbeitung personenbezogener Daten zu Aus-, Fortbildungs- und Prüfungszwecken ist zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.
§ 4 Verarbeitung personenbezogener Daten zu anderen Zwecken
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, ist im Rahmen der Aufgabenerfüllung des Verantwortlichen zulässig, wenn
1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist,
2. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen oder der betroffenen Person erforderlich ist,
3. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen gemäß § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist,
4. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Verarbeitung der personenbezogenen Daten in ihrem Interesse liegt und sie in Kenntnis des anderen Zwecks ihre Einwilligung erteilen würde oder
6. es zur Bearbeitung eines von der betroffenen Person gestellten Antrags erforderlich ist.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist im Rahmen der Aufgabenerfüllung des Verantwortlichen zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung oder nach § 11 Absatz 1 vorliegen.
(3) Unterliegen personenbezogene Daten, die von einer zur Verschwiegenheit verpflichteten Person oder Stelle übermittelt worden sind, einem Berufsgeheimnis, ist ihre Verarbeitung zu einem anderen Zweck im Sinne der Absätze 1 und 2 nicht zulässig, außer die zur Verschwiegenheit verpflichtete Person oder Stelle hat eingewilligt.
(4) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch der nicht zu der Aufgabenerfüllung erforderlichen personenbezogenen Daten an öffentliche Stellen zulässig, soweit nicht berechtigte Interessen der betroffenen Person oder Dritter an deren Geheimhaltung offensichtlich überwiegen. Eine weitere Verarbeitung dieser Daten ist unzulässig.
(5) Eine Information der betroffenen Person über die Verarbeitung personenbezogener Daten nach Absatz 1 Nummer 1 und 3 erfolgt abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde. Der Verantwortliche dokumentiert, aus welchen Gründen er von einer Information abgesehen hat.
§ 5 Erhebung personenbezogener Daten bei einer nicht-öffentlichen Stelle
Werden personenbezogene Daten bei einer nicht-öffentlichen Stelle erhoben, ist diese auf Verlangen über den Erhebungszweck zu unterrichten, soweit dadurch berechtigte Interessen der betroffenen Person nicht beeinträchtigt werden. Werden die personenbezogenen Daten aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist auf die Auskunftspflicht, sonst auf die Freiwilligkeit der Angaben hinzuweisen.
§ 6 Verantwortlicher bei der Übermittlung personenbezogener Daten
(1) Die übermittelnde Stelle ist der Verantwortliche bei der Übermittlung personenbezogener Daten, außer die Übermittlung erfolgt aufgrund des Ersuchens einer öffentlichen Stelle. Die übermittelnde Stelle prüft in diesem Fall nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt, außer es besteht besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung. Die ersuchende Stelle hat die für diese Prüfung erforderlichen Angaben zu machen.
(2) Die ersuchende Stelle ist der Verantwortliche, wenn die Übermittlung aufgrund ihres Ersuchens erfolgt.
(3) Die abrufende Stelle ist der Verantwortliche, wenn die Übermittlung durch automatisierten Abruf erfolgt.
§ 7 Abrufverfahren und gemeinsame Verfahren
(1) Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) oder mehreren Verantwortlichen gemeinsam die Verarbeitung personenbezogener Daten aus einem Datenbestand (gemeinsames Verfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person und der Aufgaben der beteiligten Stellen angemessen ist. Die beteiligten Stellen treffen als gemeinsam Verantwortliche eine Vereinbarung gemäß Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung.
(2) Für Abrufverfahren im Sinne des Absatzes 1 Satz 1 gilt § 6 Absatz 3.
(3) Absatz 1 und 2 gelten nicht für Datenbestände, die jeder Person ohne oder nach Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.
§ 11 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zulässig, soweit sie
1. erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm beziehungsweise ihr aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen beziehungsweise ihren diesbezüglichen Pflichten nachkommen kann,
2. aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen,
3. für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich oder für die Verwaltung von Diensten im Gesundheitsbereich erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.
(2) In den Fällen des Absatzes 1 und in den weiteren Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß dieses Abschnitts sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte, Freiheiten und Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
1. geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an den Verarbeitungsvorgängen Beteiligten,
4. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
5. Pseudonymisierung personenbezogener Daten,
6. Verschlüsselung personenbezogener Daten,
7. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall wiederherzustellen,
8. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen,
9. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung sicherstellen.
Der Verantwortliche und der Auftragsverarbeiter sollen insbesondere die Maßnahmen gemäß Nummer 1, 4, 7, 8 und 9 treffen.
§ 12 Datenverarbeitung im Beschäftigungskontext
Öffentliche Stellen dürfen personenbezogene Daten über Bewerberinnen, Bewerber, Bedienstete und ehemalige Bedienstete nur nach Maßgabe der §§ 85 bis 92 des Bremischen Beamtengesetzesverarbeiten.
§ 13 Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung durch Hochschulen und andere mit wissenschaftlicher Forschung beauftragte öffentliche Stellen für Forschungsvorhaben auch ohne Einwilligung zulässig, soweit die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person am Unterbleiben der Verarbeitung erheblich überwiegen.
(2) Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person gemäß § 11 Absatz 2 vor. Sofern und sobald es die wissenschaftlichen oder historischen Forschungszwecke oder die statistischen Zwecke ermöglichen, sind die zu diesen Zwecken verarbeiteten besonderen Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zu anonymisieren. Sofern dies nicht sofort der Fall ist, sind die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, gesondert zu speichern, soweit es der Forschungs- oder Statistikzweck erlaubt. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert. Die Merkmale sind zu löschen, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist.
(3) Das Recht auf Auskunft nach Artikel 15 der Verordnung (EU) 2016/679, auf Berichtigung nach Artikel 16 der Verordnung (EU) 2016/679, auf Einschränkung der Verarbeitung nach Artikel 18 der Verordnung (EU) 2016/679 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679, sämtlich in der jeweils geltenden Fassung, besteht nicht, soweit die Wahrnehmung dieser Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung der Rechte für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft nach Artikel 15 der Verordnung (EU) 2016 in der jeweils geltenden Fassung besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(4) Der Verantwortliche darf personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder die Veröffentlichung für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
§ 14 Sonderbestimmung für Radio Bremen
Der Rundfunkrat von Radio Bremen bestellt eine Beauftragte oder einen Beauftragten der Anstalt für den Datenschutz. Diese oder dieser ist in der Ausübung ihres oder seines Amtes unabhängig und nur dem Gesetz unterworfen; im Übrigen untersteht sie oder er der Dienstaufsicht des Verwaltungsrates. Die oder der Beauftragte für den Datenschutz überwacht die Einhaltung der Vorschriften über den Datenschutz, soweit Radio Bremen personenbezogene Daten zu journalistischen Zwecken verarbeitet. An sie oder ihn kann sich jede Person wenden, wenn sie annimmt, bei der Verarbeitung personenbezogener Daten zu journalistischen Zwecken in ihren Rechten verletzt worden zu sein. Die oder der Beauftragte für den Datenschutz kann mit Zustimmung des Rundfunkrates andere Aufgaben und Pflichten, auch die des Datenschutzbeauftragten, innerhalb der Anstalt übernehmen; Satz 2 findet insoweit keine Anwendung. Der Rundfunkrat darf seine Zustimmung nur erteilen, wenn die der oder dem Beauftragten für den Datenschutz übertragenen Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Beanstandungen richtet die oder der Beauftragte für den Datenschutz an die Intendantin oder den Intendanten und unterrichtet gleichzeitig den Rundfunkrat. Die oder der Beauftragte für den Datenschutz erstattet dem Rundfunkrat jährlich einen Bericht über seine Tätigkeit.
§ 15 Videoüberwachung
(1) Die Beobachtung öffentlich zugänglicher Bereiche mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, zum Schutz von Personen, Eigentum oder Besitz oder zur Kontrolle von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen betroffener Personen überwiegen.
(2) Der Umstand der Videoüberwachung, die Angaben nach Artikel 13 Absatz 1 Buchstabe a bis c der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung sowie die Möglichkeit, beim Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zu erhalten, sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Verarbeitung von nach Absatz 1 erhobenen personenbezogenen Daten ist zulässig, wenn sie zum Erreichen des mit der Videoüberwachung verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit sowie zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist die betroffene Person gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung zu informieren. Die Pflicht zur Information der betroffenen Person besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung und ergänzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung genannten Ausnahmen nicht, soweit und solange die Information die öffentliche Sicherheit oder die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde. § 8 Absatz 2 gilt entsprechend.
(5) Die nach Absatz 1 erhobenen Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen. Dies gilt nicht, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich sind.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Berlit, Betrifft Justiz 2015, 15 (eJustice, eAkte und Richterschaft)
- Bernhardt, NJW 2015, 2775 (eJustice im europäischen Kontext)
- Brosch, K&R 2014, 9 (Gesetz zur Förderung des elektr. Rechtsverkehrs mit den Gerichten, sichere Übermittlungswege)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Gundlach, DRiZ 2015, 96 (eAkte in der Praxis)
- Jandt, NJW 2015, 1205, (Beweissicherheit elektronischer Rechtsverkehr)
- Kulow, K&R 2015, 537 (Elektronische Signatur und ektronisches Anwaltspostfach)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Müller, JuS 2015, 609 (wachsende Digitalisierung der Justiz, eJustice)
- Müller, NZS 2015, 896 (elektr. Rechtsverkehr)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Scholz, DRiZ 2016, 22 (Elektr. Kommunikation in der Justiz aus Sicht der Richterschaft)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Viefhues, DRiZ 2015, 312 (Chancen der eAkte)
- Voßhoff/Büttgen, DRiZ 2015, 88 (Verschlüssung und Signatur der Kommunikation im Rahmen des elektr. Rechtsverkehrs)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
DIN EN 319421:2016-08
Deutsch: Elektronische Signaturen und Infrastrukturen (ESI) - Policy- und Sicherheitsanforderungen an Vertrauensdiensteanbieter, die Zeitstempel ausgeben (Anerkennung der Englischen Fassung EN 319 421 V1.1. (2016-03) als Deutsche Norm)
Englisch: Electronic Signatures and Infrastructures (ESI) - Policy and Security Requirements for Trust Service Providers issuing Time-Stamps (Endorsement of the English version EN 319 421 V1.1. (2016-03) as German standard)
Ergebnis 4
BSI TR 03138
Deutsch: Ersetzendes Scannen; Version 1.2
Englisch: Replacement Scanning; Version 1.2
Ergebnis 5
BSI TR 03138 Anlage A
Deutsch: Ersetzendes Scannen - Anlage A: Ergebnis der Risikoanalyse; Version 1.2
Englisch: —
Ergebnis 6
BSI TR 03138 Anlage P
Deutsch: Ersetzendes Scannen - Anlage P: Prüfspezifikation; Version 1.3
Englisch: —
Ergebnis 7
BSI TR 03138 Anlage R
Deutsch: Ersetzendes Scannen - Anlage R: Unverbindliche rechtliche Hinweise; Version 1.2
Englisch: —
Ergebnis 8
BSI TR 03138 Anlage V
Deutsch: Ersetzendes Scannen - Anlage V: Exemplarische Gliederung einer Verfahrensanweisung; Version 1.2
Englisch: —
Ergebnis 9
NIST FIPS 201-2:2013-09
Deutsch: —
Englisch: Personal Identity Verification (PIV) of Federal Employees and Contractors
Ergebnis 10
DIN SPEC 27099:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - Hochsichere Netzwerk-Architektur zur Verwahrung hoch schutzbedürftiger Daten
Englisch: Information technology - Safety procedures - High-security network architecture for storage of highly vulnerable data