Cybersecurity Navigator Login

ThürDSG - Thüringer Datenschutzgesetz

ThürDSG - Thüringer Datenschutzgesetz

Sektor Informationstechnik und Telekommunikation
Branche Informationstechnik
Ebene Landesrecht
Bundesland Thüringen
Rechtsakt Gesetzlich

  • Thüringer Datenschutzgesetz
    ThürDSG
    §§ 4; 16-19; 23; 25-30; 33-39; 48; 49; 52; 54; 57-60

    § 4 Rechtsstellung und Verschwiegenheitspflicht des Landesbeauftragten für den Datenschutz
    (Artikel 51 bis 54 der Verordnung (EU) 2016/679, Artikel 41 bis 44 der Richtlinie (EU) 2016/680)

    (1) Der Landesbeauftragte für den Datenschutz ist Aufsichtsbehörde nach Artikel 51 der Verordnung (EU) 2016/679 und zugleich Aufsichtsbehörde im Sinne des Artikels 41 der Richtlinie (EU) 2016/680.

    (2) Der Landesbeauftragte für den Datenschutz sieht von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Er darf insbesondere kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.

    (3) Der Landesbeauftragte für den Datenschutz sowie seine Mitarbeiter sind sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren.

    (4) Die Verschwiegenheitspflicht nach Absatz 3 gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

    (5) Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung sowie oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und seine Mitarbeiter sowie die Entscheidung über die Verweigerung der Aktenvorlage und der Auskunftserteilung in eigener Verantwortung. Der Nachfolger im Amt entscheidet über die in Satz 2 genannten Entscheidungen für seine Vorgänger.

    (6) Dem Landesbeauftragten für den Datenschutz sind die für die Erfüllung seiner Aufgaben und Befugnisse nötige personelle, technische, finanzielle Ausstattung sowie Räumlichkeiten und Infrastruktur zur Verfügung zu stellen; entsprechende Haushaltsmittel sind im Einzelplan des Landtags in einem eigenen Kapitel auszuweisen. Er untersteht der Finanzkontrolle durch den Rechnungshof nur, soweit seine Unabhängigkeit dadurch nicht beeinträchtigt wird.

    (7) Die Besetzung der Personalstellen kann nur auf Vorschlag des Landesbeauftragten für den Datenschutz erfolgen. Seine Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur mit seinem Einvernehmen versetzt, abgeordnet oder umgesetzt werden; er ist ihr Dienstvorgesetzter, sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen gebunden.


    § 16 Verarbeitung personenbezogener Daten
    (Artikel 6 und 9 der Verordnung (EU) 2016/679)

    (1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

    (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Verordnung (EU) 2016/679 ist unbeschadet anderer Rechtsvorschriften zulässig, soweit und solange

    1. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit erforderlich ist,

    2. dies aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist, insbesondere wenn tatsächliche Anhaltspunkte dafür vorliegen, dass die Funktionsfähigkeit der Verwaltung wesentlich gefährdet wird,

    3. sie zur Durchführung wissenschaftlicher oder historischer Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Verarbeitung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,

    4. sie erforderlich ist, um den Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts Rechnung zu tragen, oder

    5. sie zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal, welches dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, erfolgt.

    In den Fällen des Satzes 1 Nr. 1 bis 4 sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorzusehen.


    § 17 Zweckbindung und Zulässigkeit der Weiterverarbeitung
    (Artikel 6 und 23 der Verordnung (EU) 2016/679)

    (1) Als Zweck einer Verarbeitung personenbezogener Daten durch öffentliche Stellen gelten neben den ursprünglichen Zwecken immer auch die Verarbeitung

    1. zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen,

    2. zur Erstellung von Geschäftsstatistiken für den Verantwortlichen,

    3. zur Rechnungsprüfung,

    4. zur Durchführung von Organisationsuntersuchungen für den Verantwortlichen oder

    5. zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung.

    Das gilt auch für die Verarbeitung zu Ausbildungs- oder Prüfungszwecken durch den Verantwortlichen, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.

    (2) Die Verarbeitung personenbezogener Daten zu anderen Zwecken, als zu denen sie erhoben wurden, ist vorbehaltlich spezieller Vorschriften zulässig, wenn

    1. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,

    2. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches (StGB), von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,

    3. sie zum Schutz der Rechte und Freiheiten einer anderen Person erforderlich ist,

    4. Dritte, an welche die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegen und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat,

    5. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis der anderen Zwecke ihre Einwilligung verweigern würde,

    6. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,

    7. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte oder

    8. sie zur Sicherung des Kosten-, Steuer- und Zollaufkommens erforderlich ist,

    sofern nicht das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung überwiegt. Die Verarbeitung von personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke und statistische Zwecke ist stets zulässig. Im Übrigen hat der Verantwortliche bei der Feststellung, ob die Weiterverarbeitung mit dem Zweck der ursprünglichen Erhebung vereinbar ist, die Vorgaben des Artikels 6 Abs. 4 der Verordnung (EU) 2016/679 zu beachten. In den Fällen des Satzes 1 erfolgt eine Information der betroffenen Person nicht, soweit und solange dadurch die Zwecke der Verarbeitung gefährdet werden.

    (3) Für personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage verarbeitet werden, gilt Absatz 2 nicht.


    § 18 Übermittlung
    (Artikel 6 Abs. 2 der Verordnung (EU) 2016/679)

    (1) Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Soweit die Übermittlung aufgrund des Ersuchens eines öffentlichen Empfängers erfolgt, trägt dieser die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.

    (2) Sind mit personenbezogenen Daten, die übermittelt werden dürfen, weitere personenbezogene Daten der betroffenen Person oder eines Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen Person oder eines Dritten an deren Geheimhaltung überwiegen; eine Nutzung dieser Daten ist unzulässig.

    (3) Werden personenbezogene Daten mittels eines automatisierten Verfahrens übermittelt, trägt die Verantwortung für die Zulässigkeit des einzelnen Abrufs die abrufende Stelle.


    § 19 Auftragsverarbeitung
    (Artikel 28 der Verordnung (EU) 2016/679)

    (1) Sind auf den Auftragsverarbeiter die Bestimmungen dieses Gesetzes, der Verordnung (EU) 2016/679 oder des Bundesdatenschutzgesetzes nicht anwendbar, ist der Verantwortliche verpflichtet, vertraglich sicherzustellen, dass der Auftragsverarbeiter die Bestimmungen der Verordnung (EU) 2016/679 und dieses Gesetzes befolgt.

    (2) Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegenden Stellen des Landes erteilt werden; diese sind von der Auftragserteilung zu unterrichten.


    § 23 Löschung personenbezogener Daten
    (Artikel 17 der Verordnung (EU) 2016/679)

    Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden sind. Das Nähere wird durch Rechtsvorschriften über öffentliche Archive geregelt.


    § 25 Verarbeitung personenbezogener Daten zu Zwecken der freien Meinungsäußerung und der Informationsfreiheit

    (1) Soweit personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen, literarischen sowie wissenschaftlichen Zwecken verarbeitet werden, gelten von den Kapiteln II bis VII sowie IX der Verordnung (EU) 2016/679 nur Artikel 5 Abs. 1 Buchst. f sowie die Artikel 24, 32 und 33 sowie § 83 BDSG. Artikel 82 der Verordnung (EU) 2016/679 und § 83 BDSG gelten mit der Maßgabe, dass nur für Schäden gehaftet wird, die durch eine Verletzung des Datengeheimnisses oder durch unzureichende technische oder organisatorische Maßnahmen nach Artikel 5 Abs. 1 Buchst. f und Artikel 24 der Verordnung (EU) 2016/679 eintreten.

    (2) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 Satz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, so sind diese Gegendarstellungen, Verpflichtungserklärungen, Beschlüsse, Urteile und Widerrufe zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst sowie bei einer Übermittlung der Daten gemeinsam zu übermitteln.

    (3) Die Absätze 1 und 2 gelten auch für regelmäßig, also nicht nur gelegentlich ausgeübte Tätigkeiten. Eine haupt- oder nebenberufliche Ausübung der Tätigkeiten ist nicht erforderlich.


    § 26 Öffentliche Stellen, die am Wettbewerb teilnehmen

    Soweit öffentliche Stellen am Wettbewerb teilnehmen, sind auf sie, auf ihre Zusammenschlüsse und Verbände von den Bestimmungen dieses Gesetzes nur die Regeln zur Aufsicht anzuwenden (§§ 3 bis 12). Im Übrigen gelten für sie die Bestimmungen des Teils 2 des Bundesdatenschutzgesetzes.


    § 27 Datenschutz im Beschäftigungskontext
    (Artikel 88 der Verordnung (EU) 2016/679)

    (1) Für das Verarbeiten von personenbezogenen Daten über Arbeitnehmer und Auszubildende, die in einem privatrechtlich ausgestalteten Arbeits- oder Ausbildungsverhältnis zu einer öffentlichen Stelle im Sinne dieses Gesetzes stehen, gelten die §§ 79 bis 87 ThürBG entsprechend, soweit besondere Rechtsvorschriften des Arbeitsrechts, tarifvertragliche Regelungen oder Dienstvereinbarungen nichts Abweichendes regeln.

    (2) Erfolgt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung, so bedarf diese der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die Arbeitnehmer und Auszubildenden über den Zweck der Datenverarbeitung und über ihr Widerspruchsrecht nach Artikel 7 Abs. 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

    (3) Die Verarbeitung der bei medizinischen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Beschäftigungsverhältnisses im Sinne des Absatzes 1 erhobenen personenbezogenen Daten ist nur mit schriftlicher Einwilligung des Bewerbers zulässig. Der Arbeitgeber darf vom untersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen, es sei denn, besondere Rechtsvorschriften des Arbeitsrechts oder tarifvertragliche Regelungen gehen vor.

    (4) Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses bei einer öffentlichen Stelle erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Beschäftigungsverhältnis nicht zustande kommt und die Frist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen abgelaufen ist, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat.

    (5) Soweit personenbezogene Daten der Arbeitnehmer und Auszubildenden einer öffentlichen Stelle im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach Artikel 32 der Verordnung (EU) 2016/679 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- und Leistungskontrolle genutzt werden.


    § 28 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
    (Artikel 6, 9 und 89 der Verordnung (EU) 2016/679)

    (1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.

    (2) Die Übermittlung personenbezogener Daten an Empfänger, auf die dieses Gesetz oder die Verordnung (EU) 2016/679 keine Anwendung findet, ist nur zulässig, wenn diese sich vertraglich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Bestimmungen der Absätze 3 und 4 einzuhalten.

    (3) Die personenbezogenen Daten sind, sobald dies nach dem Forschungszweck möglich ist, dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (anonymisieren). Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

    (4) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

    (5) Das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch nach der Verordnung (EU) 2016/679 und diesem Gesetz besteht nicht, soweit und solange die Verwirklichung des wissenschaftlichen oder historischen Forschungsinteresses dadurch unmöglich gemacht oder erheblich beeinträchtigt wird.


    § 29 Zweckbindung von personenbezogenen Daten, die einem Berufsgeheimnis unterliegen
    (Artikel 6 und 9 der Verordnung (EU) 2016/679)

    (1) Erfolgt die Datenverarbeitung durch eine öffentliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgabe, die im öffentlichen Interesse liegt, oder in Ausübung öffentlicher Gewalt, die ihr übertragen ist, dürfen die Daten, die einem Berufsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufspflicht übermittelt worden sind, von ihr nur für den Zweck verarbeitet werden, für den sie die Daten erhalten hat.

    (2) Die Weiterverarbeitung für einen anderen Zweck ist zulässig, wenn die Änderung des Zwecks durch eine besondere Rechtsvorschrift nach Artikel 6 Abs. 4 in Verbindung mit Artikel 23 der Verordnung (EU) 2016/679 zugelassen ist. § 17 Abs. 2 findet keine Anwendung.


    § 30 Videoüberwachung

    (1) Die Videobeobachtung oder -aufzeichnung mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) ist zulässig, wenn dies zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt

    1. zum Schutz von Personen, die der überwachenden Stelle angehören oder sie aufsuchen, oder

    2. zum Schutz von Sachen, die der zu überwachenden Stelle oder den Personen nach Nummer 1 gehören,

    erforderlich ist. Es dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen.

    (2) Der Umstand der Videoüberwachung und die Informationen nach Artikel 13 Abs. 1 Buchst. a bis c der Verordnung (EU) 2016/679 sowie die Möglichkeit, beim Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Maßnahmen erkennbar zu machen.

    (3) Die Verarbeitung der nach Absatz 1 erhobenen Daten ist zulässig, wenn dies zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen.

    (4) Für einen anderen Zweck dürfen nach Absatz 1 erhobene Daten nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit, zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder zur Verfolgung von Straftaten erforderlich ist.

    (5) Videoaufzeichnungen und aus der Videoüberwachung erhobene Daten sind unverzüglich zu löschen. Sie sind nur dann abweichend von Artikel 17 Abs. 1 der Verordnung (EU) 2016/679 nicht unverzüglich zu löschen, soweit sie zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung, zur Verfolgung von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.


    § 33 Grundsätze bei der Verarbeitung personenbezogener Daten
    (Artikel 8, Artikel 4 Abs. 2 und 3, Artikel 9 Abs. 2 und 3 der Richtlinie (EU) 2016/680)

    (1) Die Verarbeitung personenbezogener Daten ist zulässig, wenn diese Verarbeitung für die Aufgabenerfüllung zu den in § 31 genannten Zwecken erforderlich ist und keine spezielleren Regelungen in anderen Gesetzen vorgehen.

    (2) Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen in § 31 genannten Zweck handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in § 31 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

    (3) Die Verarbeitung kann zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder statistischen Zwecken erfolgen, wenn sie von den in § 31 genannten Zwecken umfasst ist und wenn geeignete Garantien für die Rechtsgüter der betroffenen Personen vorhanden sind. Solche Garantien können in einer frühestmöglichen Anonymisierung personenbezogener Daten, in Vorkehrungen gegen die unbefugte Kenntnisnahme durch Dritte oder in einer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung personenbezogener Daten bestehen.


    § 34 Unterscheidung verschiedener Kategorien betroffener Personen sowie zwischen Tatsachen und Bewertungen
    (Artikel 6, Artikel 7 Abs. 1 der Richtlinie (EU) 2016/680)

    (1) Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten soweit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:

    1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,

    2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,

    3. verurteilte Straftäter,

    4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, oder

    5. andere Personen, wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

    Satz 1 ist bei der Verfolgung und Ahndung von Ordnungswidrigkeiten und bei der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung entsprechend anzuwenden. Weitere Kategorisierungen bleiben dem jeweiligen Fachgesetz vorbehalten.

    (2) Der Verantwortliche hat bei der Verarbeitung soweit wie möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf Bewertungen oder auf persönlichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der Bewertung oder der sonstigen auf persönlicher Einschätzung beruhenden Beurteilung zugrunde liegen.


    § 35 Berichtigung und Löschung personenbezogener Daten sowie die Einschränkung der Verarbeitung

    (Artikel 4 Abs. 1, Artikel 7 Abs. 3, Artikel 5 der
    Richtlinie (EU) 2016/680)

    (1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind, und teilt der Stelle, die die personenbezogenen Daten zuvor an ihn übermittelt hat, die Berichtigung mit.

    (2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn deren Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder deren Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

    (3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn

    1. Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigt würden,

    2. die personenbezogenen Daten für Zwecke eines gerichtlichen Verfahrens weiter aufbewahrt werden müssen oder

    3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

    In deren Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der deren Löschung entgegenstand. Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.

    (4) In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche anderen Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken.

    (5) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen prüft der Verantwortliche regelmäßig nach festgesetzten Fristen, ob die Speicherung personenbezogener Daten für die Aufgabenerfüllung noch erforderlich ist oder die Daten zu löschen sind (Aussonderungsprüffrist). Es ist durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.


    § 36 Verfahren bei Übermittlungen
    (Artikel 7 Abs. 2, Artikel 9 Abs. 3 und 4 der Richtlinie (EU) 2016/680)

    (1) Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor deren Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der personenbezogenen Daten sowie deren Aktualität zu beurteilen.

    (2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu deren Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden.

    (3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.


    § 37 Verarbeitung besonderer Kategorien personenbezogener Daten
    (Artikel 10 der Richtlinie (EU) 2016/680)

    (1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.

    (2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein:

    1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,

    2. die Festlegung von besonderen Aussonderungsprüffristen,

    3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

    4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,

    5. die von anderen Daten getrennte Verarbeitung,

    6. die Pseudonymisierung personenbezogener Daten,

    7. die Verschlüsselung personenbezogener Daten oder

    8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.
     

    § 38 Automatisierte Einzelentscheidung
    (Artikel 11 der Richtlinie (EU) 2016/680)

    (1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung, die eine nachteilige Rechtsfolge für die betroffene Person hat oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist. Die Vorschrift muss sicherstellen, dass die berechtigten Interessen und Rechtsgüter der betroffenen Person gewahrt werden. Zumindest muss sichergestellt sein, dass eine inhaltliche Bewertung und darauf gestützte Entscheidung durch den Verantwortlichen herbeigeführt und verlangt werden kann.

    (2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.


    § 39 Einwilligung

    (1) Soweit die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.

    (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

    (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

    (4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung sowie, wenn nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

    (5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.


    § 48 Auftragsverarbeitung
    (Artikel 22 der Richtlinie (EU) 2016/680)

    (1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.

    (2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

    (3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.

    (4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 6 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

    (5) Die Einhaltung genehmigter Verhaltensregeln nach Artikel 40 der Verordnung (EU) 2016/679 oder eines genehmigten Zertifizierungsverfahrens nach Artikel 42 der Verordnung (EU) 2016/679 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 2 und 4 nachzuweisen.

    (6) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter

    1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren,

    2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

    3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

    4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,

    5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die nach § 51 generierten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt,

    6. Überprüfungen, die von dem Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt,

    7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,

    8. alle nach § 54 erforderlichen Maßnahmen ergreift und

    9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 52 bis 56 genannten Pflichten unterstützt.

    (7) Der Vertrag oder ein anderes Rechtsinstrument im Sinne des Absatzes 6 sind schriftlich oder elektronisch abzufassen.

    (8) Ein Auftragsverarbeiter, der unter Verstoß gegen diese Bestimmung die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.


    § 49 Verarbeitung auf Weisung, Datengeheimnis
    (Artikel 23 der Richtlinie (EU) 2016/680)

    (1) Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese nicht unbefugt verarbeiten (Datengeheimnis), sondern ausschließlich auf Weisung des Verantwortlichen, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

    (2) Die mit der Datenverarbeitung befassten Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.


    § 52 Durchführung einer Datenschutz-Folgenabschätzung
    (Artikel 27 der Richtlinie (EU) 2016/680)

    (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine hohe Gefährdung für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.

    (2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefährdungspotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.

    (3) Der Verantwortliche beteiligt den Datenschutzbeauftragten an der Durchführung der Datenschutz-Folgenabschätzung.

    (4) Die Datenschutz-Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:

    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,

    3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und

    4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden soll.

    (5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Datenschutz-Folgenabschätzung ergeben haben.


    § 54 Anforderungen an die Sicherheit der Datenverarbeitung
    (Artikel 29 der Richtlinie (EU) 2016/680)

    (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

    (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass

    1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und

    2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall umgehend wiederhergestellt werden können.

    (3) Bei der automatisierten Verarbeitung ergreift der Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:

    1. Verwehrung des Zugangs durch Unbefugte zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird (Zugangskontrolle),

    2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

    3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

    4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

    5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle),

    6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

    7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

    8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird (Transportkontrolle),

    9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

    10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

    11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

    12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

    13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) und

    14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

    Ein Zweck nach Satz 1 Nr. 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.


    § 57 Allgemeine Voraussetzungen für Datenübermittlungen an Stellen in Drittstaaten und internationale Organisationen
    (Artikel 35 und 36 der Richtlinie (EU) 2016/680)

    (1) Die Übermittlung personenbezogener Daten an Stellen in einem Drittstaat oder internationale Organisationen, die für die in § 31 genannten Zwecke zuständig sind, ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn die Europäische Kommission nach Artikel 36 Abs. 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.

    (2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.

    (3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaats genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten.

    (4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu berücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an den oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.


    § 58 Datenübermittlung bei geeigneten Garantien
    (Artikel 37 der Richtlinie (EU) 2016/680)

    (1) Liegt kein Beschluss nach Artikel 36 Abs. 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 57 auch dann zulässig, wenn

    1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder

    2. der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.

    (2) Der Verantwortliche hat Übermittlungen nach Absatz 1 Nr. 2 zu dokumentieren. Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist dem Landesbeauftragten für den Datenschutz auf Anforderung zur Verfügung zu stellen.

    (3) Der Verantwortliche hat den Landesbeauftragten für den Datenschutz zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nr. 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.
     

    § 59 Datenübermittlung ohne Angemessenheitsbeschluss und ohne geeignete Garantien
    (Artikel 38 der Richtlinie (EU) 2016/680)

    (1) Liegen weder ein Beschluss nach Artikel 36 Abs. 3 der Richtlinie (EU) 2016/680 noch geeignete Garantien nach § 58 Abs. 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 57 auch dann zulässig, wenn die Übermittlung erforderlich ist

    1. zum Schutz lebenswichtiger Interessen einer natürlichen Person,

    2. zur Wahrung berechtigter Interessen der betroffenen Person,

    3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,

    4. im Einzelfall für die in § 31 genannten Zwecke oder

    5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 31 genannten Zwecken.

    (2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.

    (3) § 58 Abs. 2 und 3 gilt entsprechend.

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bartels/Backer, DuD 2016, 22 (Telemedien, IT-Sicherheit, TOV)
  • Becker/Nikolaeva, CR 2012, 170 (IT-Sicherheit und Datenschutz bei Cloud-Anbietern, US Patriot Act, transnationaler Datenverkehr)
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung
  • Brandenburg/Leuthner, ZD 2015, 111 (Mobile Payment)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Deusch/Eggendorfer, K&R 2015, 11 (Verschlüsselte Kommunikation in Unternehmen)
  • Deutsch/Eggendorfer, K&R 2017, 93 (Fernmeldegeheimnis und Kommunikationstechnologien)
  • Djeffal, MMR 2015, 716 (Telemediendiensteanbieter, Sicherungspflichten, IT-SiG)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eckhardt, DuD 2015, 176 (IT-Sicherheitsund Datenschutzanforderungen an Cloud-Computing-Dienste)
  • Foitzick/Plankemann, CCZ 2015, 180 (Cloud Computing)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Gerlach, CR 2015, 581 (Sicherheitsanforderrungen für Telemediendienste)
  • Gliss, DSB 2010, 12 (Testdatenbanken)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Greveler/Reinermann, CCZ 2015, 274 (Informationssicherheit in KMU)
  • Heidrich/Wegener, MMR 2015, 487 (Protokollierung von IT-Daten, Logging)
  • Hellmich/Hufen, K&R 2015, 688 (Datenschutz bei Mobile Payment)
  • Hornung: NJW 2015, 3334 (Neue Pflichten nach dem IT-SiG)
  • Imping/Pohle, K&R 2012, 470 (Rechtliche Herausforderungen an BYOD)
  • Inés, K&R 2017, 361 (Rechtsgrundlagen offenes WLAN)
  • Iraschko-Luscher/Kiekenbeck, DuD 2012, 902 (IT-Sicherheit und Datenschutz bei Online-Zahlungsdiensten)
  • Kremer, CR 2017, 367 (Neues BDSG)
  • Krohm/Müller-Peltzer: ZD 2015, 409 (Identifizierung anonymer Internetnutzer, Kommunikationsfreiheit, Persönlichkeitsrechte)
  • Leisterer, CR 2015, 665 (Pflichten zur Netzund Informationssicherheit, Datenverarbeitung zur Gefahrenabwehr)
  • Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Matthiessen/Strigl, IT-Sicherheit 3/2012, 24 (Sicherer Datenaustausch in Clouds)
  • Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
  • Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
  • Müglich, CR 2009, 479 (Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim eShop-Hosting)
  • Papendorf/Lepperhoff, DuD 2016, 107 (IT-Sicherheitsanforderungen gem. TMG)
  • Rath/Kuss/Bach, K&R 2015, 437 (IT-SiG)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, NJW 2011, 1473 (De-Mail)
  • Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
  • Sachs/Meder, ZD 2013, 303 (Datenschutzrechtliche Anforderungen an App-Anbieter);
  • Schallbruch, CR 2017, 648 (IT-Sicherheit)
  • Schmidt, IT-Sicherheit 2/2012, 36 (Compliance in hybriden Clouds)
  • Schneider, IT-Sicherheit 3/2012, 56 (Cloudsicherheit)
  • Schneider, IT-Sicherheit, 2/2013, 23 (Auftragsdatenverarbeitung in der Cloud)
  • Schürmann, DSB 2016, 32 (Anforderungen des IT-SiG im Bereich Web & App)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • Wicker, MMR 2014, 715 (Haftungsfragen der Cloud-Anbieter bei IT-Ausfällen und Datenschutzverletzungen)
  • Wrede/Kirsch, ZD 2013, 433, (Identifizierungsmöglichkeiten bei De-Mail)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 1

    ECMA TR 46:1988-07



    Ergebnis 2

    NIST FIPS 199:2004-02



    Ergebnis 3

    NIST FIPS 200:2006-03



    Ergebnis 4

    NIST FIPS 202:2015-08



    Ergebnis 5

    ECMA 206:1993-12



    Ergebnis 6

    ECMA 219:1996-03



    Ergebnis 7

    EmpfBS 1115:2019-03



    Ergebnis 8

    ISO/IEC 2382:2015-05



    Ergebnis 9

    DIN SPEC 3104:2019-04



    Ergebnis 10

    VdS 3478:2015-07