SDSG - Saarländisches Gesetz zum Schutz personenbezogener Daten
SDSG - Saarländisches Gesetz zum Schutz personenbezogener Daten |
| Sektor | Informationstechnik und Telekommunikation |
|---|---|
| Branche | Informationstechnik |
| Ebene | Landesrecht |
| Bundesland | Saarland |
| Rechtsakt | Gesetzlich |
Saarländisches Gesetz zum Schutz personenbezogener Daten
SDSG
§§ 4-9; 13-15; 22-25
§ 4 Rechtmäßigkeit der Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der oder des Verantwortlichen liegenden Aufgabe erforderlich ist.
(2) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgabe erforderlich ist.
(3) Die Übermittlung personenbezogener Daten an nicht öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist,
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
3. es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden.
(4) Der Verantwortliche ist verpflichtet, vertraglich sicherzustellen, dass ein Auftragsverarbeiter, auf den dieses Gesetz keine Anwendung findet, dessen Vorschriften beachtet.
§ 5 Erhebung personenbezogener Daten
Werden personenbezogene Daten bei einem Dritten erhoben, ist dieser auf Verlangen auf den Erhebungszweck hinzuweisen, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist der Dritte auf die Auskunftspflicht und sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.
§ 6 Verantwortung bei der Übermittlung personenbezogener Daten
(1) Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung. Die übermittelnde Stelle hat dann lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers hält. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat in dem Ersuchen der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.
(2) Erfolgt die Übermittlung durch automatisierten Abruf, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger.
(3) Sind mit personenbezogenen Daten, die auf Grund von Rechtsvorschriften im Sinne des Artikels 6 Absatz 1 Buchstabe c oder Buchstabe e der Verordnung (EU) 2016/679 verarbeitet werden, weitere personenbezogene Daten der betroffenen Person oder Dritter so in Akten verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht Rechte und Freiheiten der betroffenen Person oder anderer Personen an deren Geheimhaltung überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.
§ 7 Zweckbindung, Zweckänderung
(1) Zu dem Zweck einer Verarbeitung personenbezogener Daten durch öffentliche Stellen zählt auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung sowie zu statistischen Zwecken des Verantwortlichen. Dies gilt auch für die Verarbeitung zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person an der Geheimhaltung entgegenstehen.
(2) Eine Verarbeitung zu anderen als den ursprünglichen Zwecken ist zulässig, wenn
1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
2. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
3. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen oder
4. sich bei der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint.
(3) Abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 2 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde. Sieht der Verantwortliche von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.
(4) Ferner ist eine Zweckänderung zulässig, wenn
1. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Datenverarbeitung zu ihrem Schutz erfolgt und sie in Kenntnis des anderen Zweckes ihre Einwilligung erteilen würde oder
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, soweit nicht schutzwürdige Interessen der betroffenen Personen offensichtlich entgegenstehen.
(5) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 vorliegen.
(6) Unterliegen die personenbezogenen Daten einem Berufsgeheimnis oder einem besonderen Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, finden die Absätze 2 und 4 keine Anwendung, es sei denn, die zur Verschwiegenheit verpflichtete Person oder Stelle hat eingewilligt.
(7) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verarbeitet werden.
§ 8 Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist unbeschadet der in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 genannten Ausnahmen zulässig, soweit es erforderlich ist
1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,
5. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
6. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
7. für die in § 7 Absatz 1 genannten Zwecke.
(2) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
5. Pseudonymisierung personenbezogener Daten,
6. Verschlüsselung personenbezogener Daten,
7. dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
8. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
§ 9 Verarbeitung personenbezogener Daten zu Zwecken der parlamentarischen Kontrolle
(1) Die Landesregierung darf personenbezogene Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten an den Landtag in dem dafür erforderlichen Umfang verarbeiten. Eine Übermittlung der Daten zu einem der in Satz 1 genannten Zwecke ist nicht zulässig, wenn dies wegen des streng persönlichen Charakters der Daten für die betroffene Person unzumutbar ist oder wenn der Eingriff in ihr informationelles Selbstbestimmungsrecht unverhältnismäßig ist. Dies gilt nicht, wenn im Hinblick auf § 2 Absatz 2 oder durch sonstige geeignete Maßnahmen sichergestellt ist, dass schutzwürdige Interessen der betroffenen Personen nicht beeinträchtigt werden. Besondere gesetzliche Übermittlungsverbote bleiben unberührt.
(2) Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise öffentlich zugänglich gemacht werden. Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der betroffenen Personen beeinträchtigt werden.
§ 13 Datengeheimnis
Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmerinnen oder Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu verarbeiten; dies gilt auch nach Beendigung ihrer Tätigkeit. Diese Personen sind über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten.
§ 14 Datenschutz-Folgenabschätzung
(1) Eine Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 durch den Verantwortlichen kann unterbleiben, soweit
1. eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Ministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
2. der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Datenschutz-Folgenabschätzung erfolgt ist, es sei denn, dass dies in der Rechtsgrundlage ausdrücklich bestimmt ist.
Die Ministerien stellen den öffentlichen Stellen die Ergebnisse der von ihnen und der von ihnen ermächtigten öffentlichen Stellen durchgeführten Datenschutz-Folgenabschätzungen zur Verfügung.
(2) Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das auch zum Einsatz durch andere öffentliche Stellen bestimmt ist, so führt sie, sofern die Voraussetzungen des Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 bei diesem Verfahren vorliegen, die Datenschutz-Folgenabschätzung nach Artikel 35 und 36 der Verordnung (EU) 2017/679 durch. Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Datenschutz-Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.
§ 15 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten(1) Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen oder elektronischen Freigabe. 2In der Freigabeerklärung ist zu bestätigen, dass
1. die Verarbeitung im Einklang mit Artikel 5 und Artikel 6 der Verordnung (EU) 2016/679 erfolgt,
2. ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und
3. für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.
Die Freigabe erfolgt durch den Verantwortlichen. Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 vereinbart werden. Die Freigabeerklärung ist dem Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 beizufügen.
(2) Absatz 1 Satz 1 gilt nicht für
1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,
2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
3. Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
7. Zimmer-, Inventar- und Softwareverzeichnisse,
8. Bibliothekskataloge und Fundstellenverzeichnisse oder
9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.
(3) Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. 3Satz 1 gilt nicht für
1. Verfahren der Verfassungsschutzbehörde,
2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen und
3. Verfahren der Steuerfahndung
soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.
§ 22 Verarbeitung von Beschäftigtendaten
(1) Öffentliche Stellen dürfen personenbezogene Daten von Bewerbern oder Beschäftigten nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung dies vorsieht. § 7 gilt ergänzend.
(2) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
(3) Zur Aufdeckung von Straftaten oder einer erheblichen Dienstpflichtverletzung dürfen personenbezogene Daten von Beschäftigten nach Absatz 1 oder 2 nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Dienst- oder Arbeitsverhältnis eine Straftat oder eine erhebliche Dienstpflichtverletzung begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(4) Die nach Absatz 1 gespeicherten personenbezogenen Daten von Beschäftigten dürfen durch den Verantwortlichen zur Ermöglichung von Auswertungen zu den in Absatz 1 genannten Zwecken zusammengeführt und für die Dauer der Speicherung in den Quellsystemen vorgehalten werden.
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
(6) Eine Veröffentlichung der Daten von Beschäftigten ist unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 nur zulässig, wenn diese zum Zweck der Information der Allgemeinheit oder der anderen Beschäftigten erforderlich ist und ihr keine schutzwürdigen Interessen der betroffenen Person entgegenstehen.
(7) Daten, die vor Beginn eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt werden. Die betroffene Person ist hiervon zu verständigen.
(8) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
(9) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
§ 23 Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken
(1) Die Verarbeitung personenbezogener Daten einschließlich solcher nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zu bestimmten wissenschaftlichen oder historischen Forschungszwecken ist zulässig, soweit dies für die Durchführung der wissenschaftlichen oder historischen Forschung erforderlich ist, insbesondere der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann, und wenn das öffentliche, insbesondere das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person am Unterbleiben der Verarbeitung erheblich überwiegt. Bei der Verarbeitung personenbezogener Daten zu bestimmten wissenschaftlichen oder historischen Forschungszwecken sind diese zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Ist dies nicht möglich, sind sie zu pseudonymisieren. Die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, sind getrennt zu speichern. Die Merkmale sind zu löschen, sobald der Forschungszweck dies zulässt.
(2) Soweit die Vorschriften dieses Gesetzes auf den Empfänger der Daten keine Anwendung finden, dürfen diesem nur personenbezogene Daten übermittelt werden, wenn sich der Empfänger verpflichtet, die übermittelten Daten nur zu den bereits bestimmten Forschungszwecken zu verarbeiten und die Vorschriften der Absätze 1 und 3 einzuhalten. Die übermittelnde Stelle unterrichtet die Landesbeauftragte oder den Landesbeauftragten für Datenschutz.
(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 personenbezogene Daten nur veröffentlichen, soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.
(4) Ein Anspruch auf Auskunft nach Artikel 15, auf Berichtigung nach Artikel 16, auf Einschränkung der Verarbeitung nach Artikel 18 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679 besteht nicht, soweit und solange die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt.
§ 24 Verarbeitung zu Archivzwecken
(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte der betroffenen Personen vorgesehen werden.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß § 8 Absatz 2 vor.
(3) Ein Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen. Die Auskunft unterbleibt ferner in den Fällen des § 11 Absatz 2. § 11 Absatz 3 gilt entsprechend. Nach dem Tod der betroffenen Personen kann der Auskunftsanspruch nach Satz 1 durch den Ehegatten, den Lebenspartner, die Kinder oder die Eltern geltend gemacht werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.
(4) Ein Recht der betroffenen Person auf Berichtigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht. Die betroffene Person kann verlangen, dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beizufügen, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.
(5) Die in Artikel 18, 19, 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen.
(6) Soweit öffentliche Stellen verpflichtet sind, gespeicherte personenbezogene Unterlagen aufgrund einer Rechtsvorschrift einem Archiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung personenbezogener Daten erst zulässig, nachdem die Unterlagen dem Archiv angeboten und von diesem nicht als archivwürdig übernommen worden sind. Dies gilt auch, wenn das Archiv nicht innerhalb einer durch Rechtsvorschrift bestimmten Frist über die Übernahme entschieden hat.
§ 25 Videoüberwachung
(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,
1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen
zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
(2) Der Umstand der Videoüberwachung, Name und Kontaktdaten der verantwortlichen Stelle sowie die Möglichkeit, beim Verantwortlichen die Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung entsprechend Artikel 13 und 14 der Verordnung (EU) 2016/679 . § 10 gilt entsprechend.
(5) Die nach Absatz 1 erhobenen Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des verfolgten Zwecks nicht mehr erforderlich sind. Dies gilt nicht, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von zivilrechtlichen Ansprüchen erforderlich sind.
(6) Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten unbeschadet des Artikel 35 Absatz 2 der Verordnung (EU) 2016/679 rechtzeitig vor dem Einsatz einer Videoüberwachung nach Absatz 1 den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Absatz 2 und die vorgesehenen Auswertungen mitzuteilen.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
- Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
- Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
- Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
- Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
- Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
- Gliss, DSB 2010, 12 (Testdatenbanken)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
- Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
- Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
- Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
- Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
- Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
- Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
- Kremer, CR 2017, 367 (Neues BDSG)
- Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
- Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
- Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
- Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, NJW 2011, 1473 (De-Mail)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
- Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
- Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
- Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
- Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
-
Ergebnis 1
ECMA TR 46:1988-07
Deutsch: Sicherheit in offenen Systemen; ein Sicherheitsrahmen
Englisch: Security in open systems; a security framework
Ergebnis 2
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 3
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 4
NIST FIPS 202:2015-08
Deutsch: —
Englisch: SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions
Ergebnis 5
ECMA 206:1993-12
Deutsch: Verwaltung der Assoziationssrandbedingungen einschließlich der Sicherungsrandbedingungen
Englisch: Association context management including security context management
Ergebnis 6
ECMA 219:1996-03
Deutsch: Echtheit und privilegierte Attribute mit zugehörigen verteilten Schlüsselfunktionen für Datenschutzanwendungen - Teil 1: Übersicht und Funktionsmodell - Teil 2: Objekte der Datenschutz-Sicherheitseintragung - Teil 3: Bedienungsdefinition
Englisch: Authentication and privilege attribute security application with related key distribution functions - Part 1: Overview and functional model - Part 2: Security information objects - Part 3: Service definitions
Ergebnis 7
EmpfBS 1115:2019-03
Deutsch: Empfehlungen zur Betriebssicherheit - Umgang mit Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR-Einrichtungen
Englisch: —
Ergebnis 8
ISO/IEC 2382:2015-05
Deutsch: Informationstechnologie - Vokabularien
Englisch: Information technology - Vocabulary
Ergebnis 9
DIN SPEC 3104:2019-04
Deutsch: Blockchain-basierte Datenvalidierung; Text Englisch
Englisch: Blockchain-based validation of data; Text in English
Ergebnis 10
VdS 3478:2015-07
Deutsch: VdS Cyber-Security - Brandschutz des 21. Jahrhunderts - Informationen zur VdS-Anerkennung als Berater für Cyber-Security
Englisch: —