Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt

Suche

Erweiterte Suche Tipps und Tricks zur Suche

Alle Dokumente

Suchmaske und Trefferliste maximieren
 


Hinweis

Dokument

  in html speichern drucken Ansicht maximierenDokumentansicht maximieren
Inhalt
Aktuelle Gesamtausgabe
Änderungshistorie
Amtliche Abkürzung:LDSG
Ausfertigungsdatum:05.07.1994
Textnachweis ab:01.10.2001
Dokumenttyp: Gesetz
Quelle:Wappen Rheinland-Pfalz
Fundstelle:GVBl. 1994, 293
Gliederungs-Nr:204-1
Landesdatenschutzgesetz
(LDSG)
Vom 5. Juli 1994
Zum 25.09.2017 aktuellste verfügbare Fassung der Gesamtausgabe

Nichtamtliches Inhaltsverzeichnis

Titel

Gültig ab

Landesdatenschutzgesetz (LDSG) vom 5. Juli 199401.10.2001
Inhaltsverzeichnis31.12.2011
Erster Abschnitt - Allgemeine Bestimmungen01.10.2001
§ 1 - Zweck, Datenvermeidung und Datensparsamkeit18.05.2002
§ 2 - Geltungsbereich31.12.2011
§ 3 - Begriffsbestimmungen18.05.2002
§ 4 - Verarbeitung personenbezogener Daten im Auftrag31.12.2011
§ 5 - Zulässigkeit der Datenverarbeitung, Einwilligung18.05.2002
§ 6 - Rechte der Betroffenen31.12.2011
§ 7 - Automatisiertes Übermittlungsverfahren31.12.2011
§ 8 - Datengeheimnis18.05.2002
§ 9 - Technische und organisatorische Maßnahmen31.12.2011
§ 10 - Durchführung des Datenschutzes, Verzeichnisse18.05.2002
§ 11 - Behördlicher Datenschutzbeauftragter23.03.2011
Zweiter Abschnitt - Rechtsgrundlagen der Datenverarbeitung01.10.2001
§ 12 - Erhebung18.05.2002
§ 13 - Speicherung und Nutzung18.05.2002
§ 14 - Datenübermittlung an öffentliche Stellen18.05.2002
§ 15 - Datenübermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften 18.05.2002
§ 16 - Datenübermittlung an nicht öffentliche Stellen18.05.2002
§ 17 - Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen18.05.2002
Dritter Abschnitt - Rechte der Betroffenen01.10.2001
§ 18 - Benachrichtigung, Auskunft31.12.2011
§ 18 a - Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten31.12.2011
§ 19 - Berichtigung, Sperrung und Löschung; Widerspruchsrecht18.05.2002
§ 20 - Unterlassungs- und Beseitigungsanspruch01.10.2001
§ 21 - Schadensersatz18.05.2002
Vierter Abschnitt - Landesbeauftragter für den Datenschutz und die Informationsfreiheit 31.12.2011
§ 22 - Wahl und Amtszeit31.12.2011
§ 23 - Rechtsstellung31.12.2011
§ 24 - Aufgaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit 31.12.2011
§ 25 - Beanstandungen durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit31.12.2011
§ 26 - Datenschutzkommission31.12.2011
§ 27 - Anmeldepflicht, Datenschutzregister31.12.2011
§ 28 - Verpflichtungen der verantwortlichen Stellen31.12.2011
§ 29 - Anrufung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Berichtspflicht31.12.2011
Fünfter Abschnitt - Besonderer Datenschutz01.10.2001
§ 30 - Verarbeitung personenbezogener Daten durch Forschungseinrichtungen01.10.2001
§ 31 - Datenverarbeitung bei Dienst- und Arbeitsverhältnissen01.07.2012
§ 32 - Datenverarbeitung für Planungszwecke01.10.2001
§ 33 - Allgemeine Verwaltungstätigkeit01.10.2001
§ 34 - Videoüberwachung23.03.2011
§ 35 - Mobile personenbezogene Verarbeitungsmedien18.05.2002
Sechster Abschnitt - Informationsrechte01.10.2001
§ 36 - Informationsrechte des Landtags und der kommunalen Gebietskörperschaften 18.05.2002
Siebter Abschnitt - Strafbestimmungen01.10.2001
§ 37 - Strafbestimmungen18.05.2002
Achter Abschnitt - Übergangs- und Schlußbestimmungen01.10.2001
§ 38 - Verweisungen und Bezeichnungen in anderen Vorschriften01.10.2001
§ 39 - Inkrafttreten01.10.2001
Stand: letzte berücksichtigte Änderung: mehrfach geändert durch Artikel 2 des Gesetzes vom 20.12.2011 (GVBl. S. 427)
Inhaltsübersicht
Erster Abschnitt
Allgemeine Bestimmungen
§ 1 Zweck, Datenvermeidung und Datensparsamkeit
§ 2 Geltungsbereich
§ 3 Begriffsbestimmungen
§ 4 Verarbeitung personenbezogener Daten im Auftrag
§ 5 Zulässigkeit der Datenverarbeitung, Einwilligung
§ 6 Rechte der Betroffenen
§ 7 Automatisiertes Übermittlungsverfahren
§ 8 Datengeheimnis
§ 9 Technische und organisatorische Maßnahmen
§ 10 Durchführung des Datenschutzes, Verzeichnisse
§ 11 Behördlicher Datenschutzbeauftragter
Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 12 Erhebung
§ 13 Speicherung und Nutzung
§ 14 Datenübermittlung an öffentliche Stellen
§ 15 Datenübermittlung an Stellen der öffentlich-rechtlichen Religionsgesellschaften
§ 16 Datenübermittlung an nicht-öffentliche Stellen
§ 17 Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen
Dritter Abschnitt
Rechte der Betroffenen
§ 18 Benachrichtigung, Auskunft
§ 19 Berichtigung, Sperrung und Löschung; Widerspruchsrecht
§ 20 Unterlassungs- und Beseitigungsanspruch
§ 21 Schadensersatz
Vierter Abschnitt
Landesbeauftragter für den Datenschutz und die Informationsfreiheit
§ 22 Wahl und Amtszeit
§ 23 Rechtsstellung
§ 24 Aufgaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit
§ 25 Beanstandungen durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit
§ 26 Datenschutzkommission
§ 27 Anmeldepflicht, Datenschutzregister
§ 28 Verpflichtungen der datenverarbeitenden Stellen
§ 29 Anrufung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Berichtspflicht
Fünfter Abschnitt
Besonderer Datenschutz
§ 30 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
§ 31 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
§ 32 Datenverarbeitung für Planungszwecke
§ 33 Allgemeine Verwaltungstätigkeit
§ 34 Videoüberwachung
§ 35 Mobile personenbezogene Verarbeitungsmedien
Sechster Abschnitt
Informationsrechte
§ 36 Informationsrechte des Landtags und der kommunalen Gebietskörperschaften
Siebter Abschnitt
Strafbestimmungen
§ 37 Strafbestimmungen
Achter Abschnitt
Übergangs- und Schlußbestimmungen
§ 38 Verweisungen und Bezeichnungen in anderen Vorschriften
§ 39 Inkrafttreten

Erster Abschnitt

Allgemeine Bestimmungen

§ 1

Zweck, Datenvermeidung und Datensparsamkeit

(1) Zweck dieses Gesetzes ist es, das Recht einer jeden Person zu schützen, grundsätzlich selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen.

(2) Dieses Gesetz soll auch sicherstellen, daß die verfassungsmäßige Stellung des Landtags und der Landesregierung zueinander sowie die kommunale Selbstverwaltung und die Stellung ihrer Organe durch die automatisierte Datenverarbeitung nicht beeinträchtigt werden.

(3) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Von den Möglichkeiten der Anonymisierung und Pseudonymisierung ist Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

§ 2

Geltungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch

1.

die Behörden,

2.

die Organe der Rechtspflege,

3.

die sonstigen öffentlich-rechtlich organisierten Einrichtungen des Landes,

4.

die kommunalen Gebietskörperschaften,

5.

die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und

6.

die Vereinigungen der in den Nummern 1 bis 5 genannten Stellen ungeachtet ihrer Rechtsform

(öffentliche Stellen). Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts der in Satz 1 genannten öffentlichen Stellen, soweit diesen die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht, ungeachtet der Beteiligung nicht öffentlicher Stellen. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

(2) Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erläßt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung und der Grundsätze dieses Gesetzes eine Datenschutzordnung.

(3) Auf öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen und deren Vereinigungen sind mit Ausnahme des § 27 der Vierte Abschnitt sowie § 31 anzuwenden. Im Übrigen gelten für diese Stellen die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) mit Ausnahme des Zweiten Abschnitts entsprechend.

(4) Für öffentlich-rechtliche Kreditinstitute gelten abweichend von Absatz 3 die Bestimmungen des Bundesdatenschutzgesetzes, die auf privatrechtliche Kreditinstitute anzuwenden sind. Die Aufgaben nach § 38 BDSG werden bei öffentlich-rechtlichen Kreditinstituten durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit wahrgenommen.

(5) Dieses Gesetz gilt nicht für personenbezogene Daten, die allgemein zugänglich sind, sowie für Daten der Betroffenen, die diese zur Veröffentlichung bestimmt haben. Satz 1 gilt nicht, wenn die allgemein zugänglichen Daten gesondert gespeichert und weiter verarbeitet werden.

(6) Werden personenbezogene Daten im Rahmen einer durch Rechtsvorschrift angeordneten statistischen Erhebung verarbeitet, sind nur § 9 und der Vierte Abschnitt mit Ausnahme des § 27 anzuwenden. Soweit eine Trennung der Hilfsmerkmale von den Erhebungsmerkmalen nach § 12 Abs. 1 Satz 2 des Bundesstatistikgesetzes noch nicht erfolgt ist oder personenbezogene Daten in Adreßdateien nach § 13 des Bundesstatistikgesetzes gespeichert sind, gilt außerdem § 18.

(7) Soweit besondere Rechtsvorschriften des Bundes oder des Landes die Verarbeitung personenbezogener Daten regeln, gehen sie den Bestimmungen dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(8) Die Bestimmungen dieses Gesetzes gehen denen des Landesverwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

§ 3

Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene).

(2) Datenverarbeitung ist das Erheben, Speichern, Nutzen, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren,

1.

Erheben das Beschaffen personenbezogener Daten,

2.

Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verwendung,

3.

Nutzen jede sonstige Verwendung personenbezogener Daten innerhalb der verantwortlichen Stelle,

4.

Übermitteln das Bekanntgeben oder sonstige Offenbaren personenbezogener Daten an Dritte, insbesondere in der Weise, daß

a)

die Daten an Dritte weitergegeben werden oder

b)

Dritte die zur Einsicht oder zum Abruf bereitgehaltenen Daten einsehen oder abrufen,

5.

Sperren das Kennzeichnen personenbezogener Daten, um ihre weitere Verarbeitung einzuschränken,

6.

Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

(3) Verantwortliche Stelle ist jede Person oder sonstige Stelle, die personenbezogene Daten für sich selbst verarbeitet oder dies durch andere im Auftrag vornehmen lässt.

(4) Empfangende Stelle ist jede Person oder sonstige Stelle, die Daten erhält. Dritte sind Personen oder Stellen außerhalb der verantwortlichen Stelle. Dritte sind nicht die Betroffenen sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag verarbeiten.

(5) Automatisierte Verarbeitung ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Soweit in Rechtsvorschriften des Landes der Begriff der Datei verwendet wird, ist dies eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren personenbezogen ausgewertet werden kann (automatisierte Datei) oder jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen personenbezogen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei).

(6) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden.

(7) Anonymisieren ist das Verändern personenbezogener Daten in der Weise, daß Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(8) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung der Betroffenen auszuschließen oder wesentlich zu erschweren.

(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

(10) Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann.

§ 4

Verarbeitung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag einer verantwortlichen Stelle durch andere Personen oder Stellen verarbeitet, bleibt die auftraggebende Stelle für die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in § 6 Abs. 1 Nr. 1 bis 6 genannten Rechte sind ihr gegenüber geltend zu machen. Sofern die Bestimmungen dieses Gesetzes auf die auftragnehmende Person oder Stelle keine Anwendung finden, ist die auftraggebende Stelle verpflichtet, sicherzustellen, daß die auftragnehmende Person oder Stelle die Bestimmungen dieses Gesetzes beachtet und sich der Kontrolle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit unterwirft.

(2) Die auftragnehmende Person oder Stelle ist unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1.

der Gegenstand und die Dauer des Auftrags,

2.

der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3.

die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4.

die Berichtigung, Löschung und Sperrung von Daten,

5.

die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6.

die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7.

die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8.

mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9.

der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10.

die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes erteilt werden; diese sind hiervon zu unterrichten. Die auftraggebende Stelle hat sich in geeigneter Weise vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der bei der auftragnehmenden Person oder Stelle getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Die auftragnehmende Person oder Stelle darf die personenbezogenen Daten nur im Rahmen der Weisungen der auftraggebenden Stelle verarbeiten. Ist sie der Ansicht, daß eine Weisung der auftraggebenden Stelle gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat sie diese unverzüglich darauf hinzuweisen.

(4) Ist die auftragnehmende Person oder Stelle eine öffentliche Stelle, gelten für sie neben Absatz 3 nur die §§ 8, 9 und 37 sowie die Bestimmungen über die Datenschutzkontrolle. An nicht öffentliche Stellen soll ein Auftrag nur vergeben werden, wenn überwiegende schutzwürdige Interessen, insbesondere Berufs- oder besondere Amtsgeheimnisse, nicht entgegenstehen.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder sonstige Hilfstätigkeiten durch andere Personen oder Stellen im Auftrag vorgenommen werden und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

§ 5

Zulässigkeit der Datenverarbeitung,
Einwilligung

(1) Die Verarbeitung personenbezogener Daten ist zulässig, soweit die Betroffenen eingewilligt haben oder dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet.

(2) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der Betroffenen beruht. Diese sind in geeigneter Weise über die Bedeutung der Einwilligung, den vorgesehenen Zweck der Verarbeitung, den möglichen Empfängerkreis sowie die verantwortliche Stelle aufzuklären. Dabei sind die Betroffenen unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung mit Wirkung für die Zukunft widerrufen können.

(3) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.

(4) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.

(5) Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient. Dies gilt nicht, wenn

1.

die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren der Betroffenen stattgegeben wurde oder

2.

die Wahrung der berechtigten Interessen der Betroffenen durch geeignete Maßnahmen gewährleistet ist und den Betroffenen von der verantwortlichen Stelle die Tatsache des Vorliegens einer Entscheidung im Sinne des Satzes 1 mitgeteilt wird; als geeignete Maßnahme gilt insbesondere die Möglichkeit der Betroffenen, ihren Standpunkt geltend zu machen; die verantwortliche Stelle ist verpflichtet, ihre Entscheidung erneut zu prüfen.


§ 6

Rechte der Betroffenen

(1) Die Betroffenen haben nach Maßgabe dieses Gesetzes ein Recht auf

1.

Benachrichtigung und Auskunft über die zu ihrer Person gespeicherten Daten (§ 18),

2.

Auskunft aus dem Verfahrensverzeichnis (§ 10 Abs. 4),

3.

Berichtigung, Sperrung und Löschung der zu ihrer Person gespeicherten Daten (§ 19 Abs. 1 bis 3),

4.

Widerspruch gegen eine rechtmäßige Datenverarbeitung aufgrund besonderer persönlicher Gründe (§ 19 Abs. 4),

5.

Unterlassung und Beseitigung (§ 20),

6.

Schadensersatz (§ 21),

7.

Auskunft aus dem Datenschutzregister (§ 27 Abs. 4) und

8.

Anrufung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (§ 29 Abs. 1).

(2) Die Rechte der Betroffenen nach Absatz 1 können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Vereinbarungen über die Höhe des eingetretenen Schadens und seine Abwicklung bleiben unberührt.

(3) Sind die personenbezogenen Daten der Betroffenen in einer Datei gespeichert, bei der mehrere Stellen verarbeitungsberechtigt sind, und sind die Betroffenen nicht in der Lage, die verantwortliche Stelle festzustellen, so können sie sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen der Betroffenen an die zuständige verantwortliche Stelle weiterzuleiten. Die Betroffenen sind über die Weiterleitung zu unterrichten.

§ 7

Automatisiertes Übermittlungsverfahren

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ohne vorherige Prüfung des Einzelfalls durch die übermittelnde Stelle ermöglicht (automatisiertes Übermittlungsverfahren), ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Belange der Betroffenen, des Schutzes besonderer Berufs- oder Amtsgeheimnisse und der Aufgaben der beteiligten öffentlichen Stellen angemessen ist. Die Bestimmungen über die Zulässigkeit der Übermittlung personenbezogener Daten durch Abruf im Einzelfall bleiben unberührt.

(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des automatisierten Übermittlungsverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1.

den Anlaß und den Zweck des Übermittlungsverfahrens,

2.

die Stellen, denen die Übermittlung personenbezogener Daten durch Abruf ermöglicht wird,

3.

die Art der zu übermittelnden Daten sowie

4.

die nach § 9 erforderlichen technischen und organisatorischen Maßnahmen.

Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes getroffen werden; diese sind hiervon zu unterrichten.

(3) Vor der Einrichtung eines automatisierten Übermittlungsverfahrens ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit zu hören. Die Einrichtung eines automatisierten Übermittlungsverfahrens, an dem öffentliche Stellen des Landes beteiligt sind, bedarf der Zustimmung der für die übermittelnde und die abrufende Stelle jeweils zuständigen obersten Landesbehörde.

(4) Die Verantwortung für die Zulässigkeit der Übermittlung im Einzelfall trägt die abrufende Stelle. Die übermittelnde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlaß besteht. Die übermittelnde Stelle hat zu gewährleisten, daß die Zulässigkeit der Übermittlung personenbezogener Daten zumindest stichprobenweise überprüft werden kann.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn innerhalb einer öffentlichen Stelle ein automatisiertes Verfahren eingerichtet wird, das den Abruf personenbezogener Daten für einen anderen Zweck ermöglicht als den, für den sie gespeichert worden sind. Die Einrichtung des Verfahrens bedarf der Zulassung durch die Leitung der öffentlichen Stelle.

(6) Die Absätze 1 bis 5 gelten nicht für den Abruf allgemein zugänglicher Daten.

§ 8

Datengeheimnis

(1) Den bei der verantwortlichen Stelle oder in deren Auftrag beschäftigten Personen, die dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, diese Daten zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder unbefugt zu offenbaren (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

(2) Die in Absatz 1 Satz 1 genannten Personen sind bei der Aufnahme ihrer Tätigkeit über ihre Pflichten nach Absatz 1 sowie die sonstigen bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten und auf deren Einhaltung zu verpflichten.

§ 9

Technische und organisatorische Maßnahmen

(1) Die öffentlichen Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Bestimmungen dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten und ihrer Verwendung in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien und unter Berücksichtigung des jeweiligen Standes der Technik geeignet sind,

1.

Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),

2.

zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3.

zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4.

zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5.

zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6.

zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der auftraggebenden Stelle verarbeitet werden (Auftragskontrolle),

7.

zu gewährleisten, dass personenbezogene Daten gegen zufällige und unrechtmäßige Zerstörung sowie gegen Verlust geschützt sind (Verfügbarkeitskontrolle),

8.

zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Zweckbindungskontrolle),

9.

die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise zu dokumentieren, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle), und

10.

zu gewährleisten, dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Verarbeitungskontrolle).

(3) Die Landesregierung wird ermächtigt, nach Anhörung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit die in Absatz 2 genannten Anforderungen nach dem jeweiligen Stand der Technik durch Rechtsverordnung fortzuschreiben.

(4) Werden personenbezogene Daten in nicht-automatisierten Dateien oder in Akten verarbeitet, sind insbesondere Maßnahmen zu treffen, die verhindern, daß Unbefugte bei der Aufbewahrung, der Verarbeitung, dem Transport oder der Vernichtung auf diese Daten zugreifen können.

(5) Soweit Verfahren automatisierter Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

1.

besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

2.

die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit der Betroffenen zu bewerten einschließlich ihrer Fähigkeiten, ihrer Leistung oder ihres Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung der Betroffenen vorliegt oder die Verarbeitung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Zuständig für die Vorabkontrolle ist der behördliche Datenschutzbeauftragte. Dieser wendet sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit.

(6) Die technischen und organisatorischen Maßnahmen nach den Absätzen 1, 2 und 4 sind durch Dienstanweisung im Einzelnen festzulegen. § 10 Abs. 2 Satz 2 Nr. 9 bleibt unberührt.

§ 10

Durchführung des Datenschutzes, Verzeichnisse

(1) Die öffentlichen Stellen haben in ihrem Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.

(2) Die verantwortlichen Stellen sind verpflichtet, ein Verzeichnis der Verfahren zu führen, in denen personenbezogene Daten automatisiert verarbeitet werden (Verfahrensverzeichnis). Für jedes Verfahren sind in das Verfahrensverzeichnis einzutragen:

1.

der Name und die Anschrift der verantwortlichen Stelle,

2.

die Bezeichnung des Verfahrens einschließlich des eingesetzten Betriebssystems und der genutzten Programme,

3.

die Rechtsgrundlage und die Zweckbestimmungen der Datenverarbeitung,

4.

eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

5.

die empfangenden Stellen oder Kategorien von empfangenden Stellen, denen die Daten mitgeteilt werden können,

6.

die Regelfristen für die Sperrung und Löschung der Daten,

7.

die Verarbeitung personenbezogener Daten im Auftrag,

8.

die zugriffsberechtigten Personengruppen oder Personen, die allein zugriffsberechtigt sind, sowie

9.

die ergänzenden technischen und organisatorischen Maßnahmen nach § 9.

(3) Absatz 1 gilt nicht für Verfahren, deren alleiniger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist und allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht. Eine Verpflichtung zur Aufnahme in das Verzeichnis nach Absatz 2 besteht auch nicht für Verfahren, die aus verarbeitungstechnischen Gründen für einen Zeitraum von nicht mehr als drei Monaten eingerichtet oder die zur Textverarbeitung oder für vergleichbare allgemeine Verwaltungszwecke eingesetzt werden. Für die Gerichte und den Rechnungshof besteht die Verpflichtung zur Führung eines Verzeichnisses nach Absatz 2 nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(4) Die Angaben des Verfahrensverzeichnisses nach Absatz 2 Satz 2 Nr. 1 bis 7 sind auf Antrag jedermann in geeigneter Weise verfügbar zu machen. Satz 1 gilt nicht für Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, für Verfahren des Verfassungsschutzes sowie für Verfahren der Finanzverwaltung und des Rechnungshofes, soweit zur Erfüllung der gesetzlichen Aufgaben nach der Abgabenordnung oder der Landeshaushaltsordnung für Zwecke der Überwachung und Prüfung personenbezogene Daten verarbeitet werden.

§ 11

Behördlicher Datenschutzbeauftragter

(1) Öffentliche Stellen, bei denen mindestens zehn Beschäftigte regelmäßig personenbezogene Daten verarbeiten, haben schriftlich einen behördlichen Datenschutzbeauftragten zu bestellen. Dieser ist insoweit unmittelbar der Behördenleitung zu unterstellen. Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Zum behördlichen Datenschutzbeauftragten kann auch eine Person außerhalb der öffentlichen Stelle bestellt werden; mit Zustimmung der zuständigen Aufsichtsbehörde können auch Bedienstete anderer öffentlicher Stellen zu behördlichen Datenschutzbeauftragten bestellt werden. Der behördliche Datenschutzbeauftragte ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

(2) Der behördliche Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der Betroffenen sowie über Umstände, die Rückschlüsse auf Betroffene zulassen, verpflichtet, soweit er durch diese nicht hiervon befreit ist.

(3) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die öffentlichen Stellen bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen. Zu seinen Aufgaben gehört es insbesondere

1.

auf die Einhaltung der Datenschutzvorschriften bei der Einführung und Anwendung von Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, hinzuwirken; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

2.

die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,

3.

Vorabkontrollen nach § 9 Abs. 5 durchzuführen,

4.

das Verfahrensverzeichnis nach § 10 Abs. 2 zu führen und gemäß § 10 Abs. 4 auf Antrag jedermann in geeigneter Weise verfügbar zu machen, sowie

5.

Hinweise und Empfehlungen zur Umsetzung und Beachtung der sonstigen Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz zu geben.

(4) Soweit die Voraussetzungen für die Bestellung eines behördlichen Datenschutzbeauftragten nach Absatz 1 Satz 1 nicht vorliegen, haben die öffentlichen Stellen die Anforderungen des Absatzes 3 in anderer Weise sicherzustellen.

(5) Die öffentliche Stelle hat den behördlichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle ihm die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Betroffene können sich jederzeit an den behördlichen Datenschutzbeauftragten wenden.

(6) Für die Gerichte und den Rechnungshof gelten die Absätze 1 bis 5 nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

Zweiter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

§ 12

Erhebung

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist.

(2) Personenbezogene Daten sind grundsätzlich bei den Betroffenen durch Befragen zu erheben. Dabei sind die Betroffenen, sofern sie nicht bereits auf andere Weise Kenntnis erlangt haben, von der verantwortlichen Stelle über

1.

die Identität der verantwortlichen Stelle,

2.

die Zweckbestimmungen der Datenverarbeitung,

3.

die Kategorien von empfangenden Stellen, soweit die Betroffenen nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen müssen, und

4.

das Bestehen von Auskunfts- und Berichtigungsrechten zu unterrichten.

Werden die personenbezogenen Daten aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Sind die Angaben für die Gewährung einer Leistung erforderlich, sind die Betroffenen über die möglichen Folgen einer Nichtbeantwortung aufzuklären.

(3) Personenbezogene Daten dürfen bei den Betroffenen ohne deren Mitwirkung erhoben werden, wenn

1.

eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder

2.

die zu erfüllende Aufgabe ihrer Art nach eine solche Erhebung erforderlich macht und keine Anhaltspunkte vorliegen, daß ihr überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen.

(4) Eine Erhebung personenbezogener Daten bei Dritten ist nur zulässig, wenn

1.

eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,

2.

die Betroffenen eingewilligt haben,

3.

Angaben der Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,

4.

dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,

5.

dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,

6.

offensichtlich ist, daß dies im Interesse der Betroffenen liegt, und kein Grund zu der Annahme besteht, daß sie in Kenntnis des Zwecks ihre Einwilligung verweigern würden,

7.

die Betroffenen einer durch Rechtsvorschrift festgelegten Auskunftspflicht nicht nachgekommen und über die beabsichtigte Erhebung bei Dritten unterrichtet worden sind,

8.

die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand erfordern würde oder

9.

die Daten allgemein zugänglich sind.

In den Fällen des Satzes 1 Nr. 7 bis 9 ist eine Erhebung bei Dritten nur zulässig, wenn keine Anhaltspunkte vorliegen, daß ihr überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen.

(5) Eine Erhebung besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, wenn

1.

die Voraussetzungen vorliegen, die eine Erhebung nach Absatz 4 Satz 1 Nr. 1, 2 oder 4 zulassen würden,

2.

dies zum Schutz lebenswichtiger Interessen der Betroffenen oder Dritter erforderlich ist, sofern die Betroffenen aus physischen oder rechtlichen Gründen außerstande sind, ihre Einwilligung zu geben,

3.

es sich um Daten handelt, die die Betroffenen offenkundig öffentlich gemacht haben,

4.

dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder

5.

dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann; im Rahmen des öffentlichen Interesses ist das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.

(6) Sollen personenbezogene Daten nach Absatz 4 oder Absatz 5 erhoben werden, dürfen die für die Erfüllung des Übermittlungsersuchens erforderlichen Angaben mitgeteilt werden.

(7) Die Absätze 1, 4, 5 und 6 gelten entsprechend, wenn personenbezogene Daten innerhalb einer verantwortlichen Stelle erhoben werden.

(8) Werden personenbezogene Daten nach Absatz 4 oder Absatz 5 bei einer nicht-öffentlichen Stelle erhoben, so ist diese auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

(9) § 13 Abs. 4 bis 7 gilt entsprechend.

§ 13

Speicherung und Nutzung

(1) Das Speichern oder Nutzen personenbezogener Daten ist zulässig, wenn dies

1.

zur rechtmäßigen Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und

2.

für Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegangen, dürfen die personenbezogenen Daten nur für die Zwecke genutzt werden, für die sie erstmals gespeichert worden sind.

(2) Das Speichern oder Nutzen personenbezogener Daten für andere Zwecke ist nur zulässig, wenn

1.

die Voraussetzungen vorliegen, die nach § 12 Abs. 4 eine Erhebung bei Dritten zulassen würden,

2.

es zur Bekämpfung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist, oder

3.

dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann; im Rahmen des öffentlichen Interesses ist das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.

(3) Das Speichern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn die Voraussetzungen vorliegen, die eine Erhebung nach § 12 Abs. 5 oder eine Speicherung oder Nutzung nach Absatz 2 Nr. 2 zulassen würden. Das Speichern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den in § 12 Abs. 5 Nr. 4 genannten Zwecken richtet sich nach den für die in § 12 Abs. 5 Nr. 4 genannten Personen geltenden Geheimhaltungspflichten.

(4) Eine Speicherung oder Nutzung personenbezogener Daten für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen oder statistischen Zwecken der verantwortlichen Stelle dient. Dies gilt auch für die Speicherung oder Nutzung personenbezogener Daten zu Ausbildungs- und Prüfungszwecken, soweit nicht überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen.

(5) Sind mit personenbezogenen Daten, die nach den Absätzen 1 und 2 gespeichert oder genutzt werden dürfen, weitere personenbezogene Daten der Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Speicherung auch dieser Daten zulässig, soweit nicht überwiegende schutzwürdige Interessen der Betroffenen oder Dritter entgegenstehen; die Nutzung dieser Daten ist unzulässig.

(6) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert oder genutzt werden, dürfen für andere Zwecke nur insoweit genutzt werden, als dies zur Abwehr erheblicher Gefährdungen der öffentlichen Sicherheit, insbesondere für Leben, Gesundheit oder Freiheit, erforderlich ist.

(7) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen nur für den Zweck gespeichert oder genutzt werden, für den die verantwortliche Stelle sie erhalten hat. Eine darüber hinausgehende Speicherung oder Nutzung der Daten ist nur zulässig, wenn ein Gesetz dies vorsieht oder zwingend voraussetzt.

§ 14

Datenübermittlung an öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn

1.

sie zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder der Stelle, der die Daten übermittelt werden, erforderlich ist und

2.

die Voraussetzungen vorliegen, die eine Verarbeitung nach § 12 Abs. 4 oder § 13 Abs. 2 Nr. 2 oder 3 zulassen würden.

(2) Die Übermittlung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, wenn die Voraussetzungen vorliegen, die eine Erhebung nach § 12 Abs. 5 oder eine Speicherung oder Nutzung nach § 13 Abs. 2 Nr. 2 zulassen würden.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen der Stelle, der die Daten übermittelt werden, trägt diese die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der Stelle, der die Daten übermittelt werden, liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht. In diesem Fall hat die erhebende Stelle der um Übermittlung ersuchten Stelle die für ihre Prüfung erforderlichen Angaben mitzuteilen. § 7 Abs. 4 bleibt unberührt.

(4) Die Stelle, der die Daten übermittelt werden, darf die übermittelten Daten nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihr übermittelt worden sind. Eine Verarbeitung für andere Zwecke ist nur unter den Voraussetzungen des § 12 Abs. 4 oder des § 13 Abs. 2 Nr. 2 oder 3 zulässig.

(5) Sollen personenbezogene Daten zur Erfüllung von Aufgaben der Stelle, der die Daten übermittelt werden, ohne Vorliegen eines Übermittlungsersuchens übermittelt werden, hat die übermittelnde Stelle zu prüfen, ob Anhaltspunkte vorliegen, die einer Erhebung der personenbezogenen Daten durch die Stelle, der die Daten übermittelt werden, entgegenstehen würden.

(6) Die Absätze 1 bis 5 gelten entsprechend, wenn personenbezogene Daten innerhalb einer verantwortlichen Stelle weitergegeben werden.

(7) § 13 Abs. 4 bis 7 gilt entsprechend.

§ 15

Datenübermittlung an Stellen
der öffentlich-rechtlichen Religionsgesellschaften

Für die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften gilt § 14 Abs. 1 bis 5 entsprechend, sofern sichergestellt ist, daß bei diesen der Datenschutz gewährleistet ist.

§ 16

Datenübermittlung an nicht öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten an nicht öffentliche Stellen ist zulässig, wenn

1.

sie zur rechtmäßigen Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 12 Abs. 4 oder § 13 Abs. 2 Nr. 3 zulassen würden,

2.

die Voraussetzungen vorliegen, die eine Verarbeitung nach § 12 Abs. 4 Satz 1 Nr. 1, 2, 4, 5 oder 9 und Satz 2 zulassen würden,

3.

die Stelle, der die Daten übermittelt werden, ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und kein Grund zu der Annahme besteht, daß überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen, oder

4.

dies im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und die Betroffenen nach Unterrichtung über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck der Datenübermittlung nicht widersprochen haben.

(2) Die Übermittlung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, wenn die Voraussetzungen vorliegen, die eine Erhebung nach § 12 Abs. 5 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und überwiegende schutzwürdige Interessen nicht entgegenstehen.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(4) Die Stelle, der die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihr übermittelt worden sind. Die übermittelnde Stelle hat die Stelle, der die Daten übermittelt werden, darauf hinzuweisen.

(5) Die übermittelnde Stelle kann die Datenübermittlung mit Auflagen versehen, die den Datenschutz bei der Stelle, der die Daten übermittelt werden, sicherstellen.

§ 17

Übermittlung personenbezogener Daten
ins Ausland sowie an über- oder
zwischenstaatliche Stellen

(1) Für die Übermittlung personenbezogener Daten an Stellen

1.

in anderen Mitgliedstaaten der Europäischen Union,

2.

in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder

3.

der Organe und Einrichtungen der Europäischen Gemeinschaften

gelten § 14 Abs. 1 und § 16 Abs. 1 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen.

(2) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung unterbleibt, soweit die Betroffenen ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Die Angemessenheit wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung von Bedeutung sind; insbesondere sind die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für die betreffende in Satz 1 genannte Stelle geltenden Rechtsvorschriften sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen zu berücksichtigen.

(3) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in Absatz 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern

1.

die Betroffenen ihre Einwilligung gegeben haben,

2.

die Übermittlung für die Erfüllung eines Vertrages zwischen den Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung der Betroffenen getroffen worden sind, erforderlich ist,

3.

die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, der im Interesse Betroffener von der übermittelnden Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,

4.

die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

5.

die Übermittlung für die Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist,

6.

die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind, oder

7.

die Stelle, der die Daten übermittelt werden, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte gewährleistet; diese Garantien können sich auch aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben.

(4) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Diese hat die Stelle, der die Daten übermittelt werden, darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet werden dürfen, zu dessen Erfüllung sie übermittelt worden sind.

Dritter Abschnitt

Rechte der Betroffenen

§ 18

Benachrichtigung, Auskunft

(1) Werden Daten ohne Kenntnis der Betroffenen erhoben, sind diese über die Speicherung, die Identität der verantwortlichen Stelle, das Bestehen von Auskunfts- und Berichtigungsrechten sowie über die Zweckbestimmung der Datenverarbeitung zu unterrichten. Die Betroffenen sind auch über die empfangenden Stellen oder über die Kategorien von empfangenden Stellen zu unterrichten, soweit sie nicht mit der Übermittlung an diese rechnen müssen. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.

(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn

1.

die Betroffenen auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt haben,

2.

die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist, oder

3.

die Unterrichtung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde.

Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Unterrichtung nach Satz 1 Nr. 2 oder 3 abgesehen werden kann.

(3) Den Betroffenen ist auf Antrag unentgeltlich Auskunft zu erteilen über

1.

die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,

2.

die empfangenden Stellen oder Kategorien von empfangenden Stellen, an die die Daten weitergegeben werden, und

3.

den Zweck der Speicherung.

In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten in Akten gespeichert, haben die Betroffenen einen Anspruch auf Auskunft nur, soweit sie Angaben machen, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem Informationsinteresse der Betroffenen steht. Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen; sind die Daten in Akten gespeichert, kann den Betroffenen auf Verlangen Einsicht gewährt werden.

(4) Für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, gilt Absatz 3 nur, wenn die Betroffenen ein berechtigtes Interesse an der Auskunft darlegen.

(5) Die Auskunftserteilung unterbleibt, soweit

1.

die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährdet würde,

2.

die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder

3.

die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen überwiegender schutzwürdiger Interessen Dritter, geheimgehalten werden müssen.

(6) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall sind die Betroffenen darauf hinzuweisen, daß sie sich an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit wenden können.

(7) Wird den Betroffenen eine Auskunft nicht erteilt, so ist sie auf deren Verlangen dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit zu erteilen. Die Mitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit an die Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.

(8) Die Absätze 1 bis 7 gelten nicht für die Gerichte und den Rechnungshof, soweit sie nicht in Verwaltungsangelegenheiten tätig werden, und die Behörden der Staatsanwaltschaft, soweit sie strafverfolgend oder strafvollstreckend tätig werden, sowie für Vorgänge im Zusammenhang mit der Ausübung des Gnadenrechts.

§ 18 a

Informationspflicht bei unrechtmäßiger
Kenntniserlangung von Daten

(1) Wird einer verantwortlichen Stelle bekannt, dass bei ihr gespeicherte personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für diese Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich den Betroffenen und dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit mitzuteilen.

(2) Die Benachrichtigung der Betroffenen muss erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Betroffenen sind über die Art der unrechtmäßigen Kenntniserlangung und über Maßnahmen zur Minderung möglicher nachteiliger Folgen zu unterrichten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, tritt an ihre Stelle eine angemessene Information der Öffentlichkeit. § 18 Abs. 5 gilt entsprechend.

§ 19

Berichtigung, Sperrung und Löschung; Widerspruchsrecht

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Sind personenbezogene Daten in nicht automatisierten Dateien oder in Akten zu berichtigen, ist es ausreichend, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt oder aus welchem Grund diese Daten unrichtig waren oder unrichtig geworden sind. Die personenbezogenen Daten sind zu ergänzen, wenn der Zweck der Speicherung oder berechtigte Interessen der Betroffenen dies erfordern.

(2) Personenbezogene Daten sind zu löschen, wenn

1.

ihre Speicherung unzulässig ist oder

2.

ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist; die Erforderlichkeit richtet sich nach den für die verantwortlichen Stellen getroffenen allgemeinen Regelungen über die Dauer der Aufbewahrung von personenbezogenen Daten einschließlich der Erfordernisse einer ordnungsgemäßen Dokumentation.

(3) An die Stelle einer Löschung tritt eine Sperrung der personenbezogenen Daten, wenn

1.

die Richtigkeit personenbezogener Daten von den Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt,

2.

einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,

3.

Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Interessen der Betroffenen oder Dritter beeinträchtigt werden können,

4.

eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist oder

5.

die Daten nur zu Zwecken der Datensicherung oder Datenschutzkontrolle gespeichert sind.

Gesperrte personenbezogene Daten sind gesondert aufzubewahren. Ist dies mit einem vertretbaren Aufwand nicht möglich, sind die gesperrten Daten besonders zu kennzeichnen.

(4) Personenbezogene Daten dürfen nicht automatisiert verarbeitet werden, soweit die Betroffenen hiergegen bei der verantwortlichen Stelle widersprechen und eine Prüfung ergibt, dass das schutzwürdige Interesse der Betroffenen wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an der Verarbeitung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Verarbeitung der personenbezogenen Daten verpflichtet.

(5) Gesperrte personenbezogene Daten dürfen ohne Einwilligung der Betroffenen nur genutzt oder übermittelt werden, wenn dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder Dritter liegenden Gründen unerläßlich ist und die Daten hierfür verarbeitet werden dürften, wenn sie nicht gesperrt wären. Die Gründe für die Nutzung oder Übermittlung gesperrter personenbezogener Daten sind zu dokumentieren.

(6) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu unterrichten, denen diese Daten übermittelt oder innerhalb der verantwortlichen Stelle weitergegeben worden sind. Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und kein Grund zu der Annahme besteht, daß dadurch schutzwürdige Interessen der Betroffenen beeinträchtigt werden.

§ 20

Unterlassungs- und Beseitigungsanspruch

(1) Die Betroffenen können verlangen, daß eine Beeinträchtigung ihrer schutzwürdigen Interessen unterlassen oder beseitigt wird, wenn diese nach der Berichtigung, Sperrung oder Löschung ihrer personenbezogenen Daten andauert.

(2) Unterlassungs- und Beseitigungsansprüche aufgrund anderer Rechtsvorschriften bleiben unberührt.

§ 21

Schadensersatz

(1) Fügt eine verantwortliche öffentliche Stelle den Betroffenen durch eine nach den Bestimmungen dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung ihrer personenbezogenen Daten einen Schaden zu, ist sie diesen gegenüber unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Bei einer schweren Beeinträchtigung des Persönlichkeitsrechts ist den Betroffenen auch der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von 128 000,- EUR begrenzt. Ist auf Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 128 000,- EUR übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.

(4) Sind bei einer automatisierten Datei mehrere Stellen verarbeitungsberechtigt und sind die Geschädigten nicht in der Lage, die verantwortliche Stelle festzustellen, so haftet jede dieser Stellen.

(5) Mehrere Ersatzpflichtige haften gesamtschuldnerisch.

(6) Auf das Mitverschulden der Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(7) Die Geltendmachung weitergehender Schadensersatzansprüche auf Grund anderer Rechtsvorschriften bleibt unberührt.

(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Vierter Abschnitt

Landesbeauftragter für den Datenschutz und die Informationsfreiheit

§ 22

Wahl und Amtszeit

(1) Der Landtag wählt den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in geheimer Wahl mit der Mehrheit seiner Mitglieder auf Vorschlag einer Fraktion; eine Aussprache findet nicht statt.

(2) Die Amtszeit des Landesbeauftragten für den Datenschutz und die Informationsfreiheit beträgt acht Jahre. Wiederwahl ist zulässig. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit bleibt solange im Amt, bis ein Nachfolger gewählt ist. Der Landtag kann den Landesbeauftragten für den Datenschutz und die Informationsfreiheit mit einer Mehrheit von zwei Dritteln seiner Mitglieder abwählen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann jederzeit vom Amt zurücktreten.

§ 23

Rechtsstellung

(1) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit steht in einem öffentlich-rechtlichen Amtsverhältnis und ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der Dienstaufsicht des Präsidenten des Landtags, soweit nicht seine Unabhängigkeit beeinträchtigt wird.

(2) Die Vergütung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit ist durch Vertrag zu regeln. Das Amt kann auch einem beurlaubten Beamten oder Beamten im Ruhestand übertragen werden.

(3) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit wird beim Präsidenten des Landtags eingerichtet und hat die Stellung einer obersten Landesbehörde.

(4) Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit ist das zur Aufgabenerfüllung notwendige Personal zur Verfügung zu stellen. Es untersteht seiner Dienstaufsicht. Die Beamten werden auf Vorschlag des Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom Präsidenten des Landtags ernannt und entlassen. Sie können nur im Einvernehmen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit versetzt oder abgeordnet werden; dies gilt auch für Beamte, die zum Landesbeauftragten für den Datenschutz und die Informationsfreiheit versetzt oder abgeordnet werden. Für die sonstigen Bediensteten gelten die Sätze 3 und 4 entsprechend.

(5) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit darf neben seinem Amt kein anderes besoldetes Amt und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören.

(6) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist, auch nach Beendigung des Amtsverhältnisses, verpflichtet, über amtlich bekannt gewordene Angelegenheiten Verschwiegenheit zu wahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(7) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit bestellt einen Stellvertreter für die Führung der Geschäfte im Falle seiner Verhinderung.

(8) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann an den Sitzungen des Landtags und seiner Ausschüsse nach Maßgabe der Geschäftsordnung des Landtags teilnehmen. Der Landtag und seine Ausschüsse können seine Anwesenheit verlangen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann sich in Ausschußsitzungen zu Fragen äußern, die für den Datenschutz von Bedeutung sind.

§ 24

Aufgaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit

(1) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert die Einhaltung der Bestimmungen dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist auch Aufsichtsbehörde nach dem Bundesdatenschutzgesetz für die Datenverarbeitung nicht öffentlicher Stellen.

(2) Die Gerichte und der Rechnungshof unterliegen der Kontrolle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(3) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrolle der verantwortlichen Stelle mit. Damit können Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung personenbezogener Daten, verbunden werden. § 25 bleibt unberührt.

(4) Zu den Aufgaben des Landesbeauftragten für den Datenschutz und die Informationsfreiheit gehört auch, den Landtag, die Landesregierung und ihre Mitglieder sowie die übrigen öffentlichen Stellen zu beraten.

(5) Der Landtag und seine Ausschüsse sowie die Landesregierung können den Landesbeauftragten für den Datenschutz und die Informationsfreiheit mit der Erstattung von Gutachten und Berichten zu Fragen des Datenschutzes betrauen. Auf Ersuchen der in Satz 1 genannten Stellen geht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Hinweisen auf Angelegenheiten und Vorgänge, die den Datenschutz betreffen, nach.

(6) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit beobachtet die Auswirkungen der Datenverarbeitung auf die Arbeitsweise und die Entscheidungsbefugnisse der öffentlichen Stellen. Er kann insoweit Maßnahmen anregen, die geeignet erscheinen, eine Beeinträchtigung der Wirkungsmöglichkeiten der Verfassungsorgane des Landes und der Organe der kommunalen Selbstverwaltung zu verhindern.

(7) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hält mit den für die Überwachung des Datenschutzes im öffentlichen und nicht öffentlichen Bereich zuständigen Behörden und Stellen des Landes, der übrigen Länder und des Bundes Verbindung und wirkt darauf hin, daß die Aufgabe des Datenschutzes nach einheitlichen Grundsätzen verwirklicht wird. Dies gilt auch hinsichtlich der behördlichen und betrieblichen Datenschutzbeauftragten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit leistet den anderen Kontrollstellen in den Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe.

(8) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit berät und informiert die Bürgerinnen und Bürger in Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte (vgl. § 6 Abs. 1) und über geeignete Maßnahmen des Selbstdatenschutzes.

§ 25

Beanstandungen durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit

(1) Stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Bestimmungen dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies

1.

bei Stellen der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,

2.

bei den kommunalen Gebietskörperschaften gegenüber den verantwortlichen Organen der Gemeinde oder des Gemeindeverbandes,

3.

bei den wissenschaftlichen Hochschulen und Fachhochschulen gegenüber dem Präsidenten oder dem Rektor sowie

4.

bei den sonstigen öffentlichen Stellen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer angemessenen Frist auf. In den Fällen des Satzes 1 Nr. 2 bis 4 unterrichtet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit gleichzeitig die zuständige Aufsichtsbehörde.

(2) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.

(3) Die nach Absatz 1 Satz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 2 bis 4 genannten Stellen leiten eine Abschrift ihrer Stellungnahme gegenüber dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit gleichzeitig der zuständigen Aufsichtsbehörde zu.

(4) Bleiben die Vorschläge des Landesbeauftragten für den Datenschutz und die Informationsfreiheit unbeachtet, kann er die Landesregierung und den Landtag verständigen.

§ 26

Datenschutzkommission

(1) Bei dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit wird eine Kommission gebildet, die aus acht Mitgliedern besteht. In die Kommission entsenden der Landtag sieben Mitglieder und die Landesregierung ein Mitglied. Die vom Landtag zu entsendenden Mitglieder verteilen sich auf die Fraktionen nach dem d'Hondtschen Höchstzahlverfahren, jedoch stellt jede Fraktion mindestens ein Mitglied.

(2) Die Mitglieder der Kommission werden vom Landtag aus seiner Mitte für die Dauer der Wahlperiode des Landtags, von der Landesregierung für die Dauer von fünf Jahren entsandt.

(3) Die Kommission unterstützt den Landesbeauftragten für den Datenschutz und die Informationsfreiheit bei der Wahrnehmung seiner Aufgaben nach diesem Gesetz. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit nimmt an den Sitzungen der Kommission teil. Über Maßnahmen nach § 24 Abs. 6 Satz 2 und § 25 Abs. 4 ist die Kommission zu unterrichten. Der Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit ist in der Kommission vorzuberaten.

(4) Die Kommission tritt auf Antrag eines ihrer Mitglieder oder des Landesbeauftragten für den Datenschutz und die Informationsfreiheit zusammen.

(5) Die Kommission wählt aus dem Kreis der vom Landtag entsandten Mitglieder einen Vorsitzenden und einen Stellvertreter. Sie gibt sich eine Geschäftsordnung.

(6) Die Mitglieder der Kommission sind verpflichtet, auch nach ihrem Ausscheiden über die ihnen bei ihrer amtlichen Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu wahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(7) Der Vorsitzende der Kommission erhält eine monatliche Aufwandsentschädigung in gleicher Höhe wie der Vorsitzende eines Ausschusses des Landtags.

(8) Die Mitglieder der Kommission erhalten Reisekostenvergütung nach den Bestimmungen des Landesreisekostengesetzes.

§ 27

Anmeldepflicht, Datenschutzregister

(1) Die öffentlichen Stellen sind verpflichtet, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, anzumelden. Mit der Anmeldung ist die Beschreibung des Verfahrens nach § 10 Abs. 2 vorzulegen. Wesentliche Änderungen des Verfahrens sind fortlaufend mitzuteilen. Für die Gerichte und den Rechnungshof besteht eine Anmeldepflicht nur, soweit sie in Verwaltungsangelegenheiten tätig werden. § 10 Abs. 3 Satz 1 und 2 gilt entsprechend. Die Anmeldung ist so rechtzeitig vorzunehmen, daß der Landesbeauftragte für den Datenschutz und die Informationsfreiheit vor der erstmaligen Speicherung personenbezogener Daten seiner Überwachungspflicht nach § 24 nachkommen kann.

(2) Wird ein Verfahren bei mehreren öffentlichen Stellen eingesetzt, können nach der erstmaligen Anmeldung des Verfahrens durch die Fachaufsichtsbehörde oder eine der beteiligten öffentlichen Stellen die übrigen öffentlichen Stellen mit Zustimmung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit eine verkürzte Anmeldung vornehmen.

(3) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit führt ein Register der nach Absatz 1 angemeldeten automatisierten Verfahren, in denen personenbezogene Daten verarbeitet werden (Datenschutzregister). Verfahren der Verfassungsschutzbehörde werden nicht in das Datenschutzregister aufgenommen.

(4) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit macht die im Datenschutzregister eingetragenen Angaben nach § 10 Abs. 2 Satz 2 Nr. 1 bis 7 auf Antrag jedermann in geeigneter Weise verfügbar. Satz 1 gilt nicht in den Fällen des § 10 Abs. 4 Satz 2 und soweit im Einzelfall besondere Rechtsvorschriften entgegenstehen oder die Geheimhaltung der Verfahren im überwiegenden öffentlichen Interesse geboten ist.

§ 28

Verpflichtungen der verantwortlichen Stellen

(1) Die verantwortlichen Stellen haben den Landesbeauftragten für den Datenschutz und die Informationsfreiheit und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Sie sind insbesondere verpflichtet,

1.

Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme sowie in die Verfahrensverzeichnisse nach § 10 Abs. 2 zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, sowie

2.

jederzeit Zutritt zu allen Diensträumen zu gewähren.

(2) Für die Gerichte und den Rechnungshof gelten die Verpflichtungen nach Absatz 1 nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

§ 29

Anrufung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Berichtspflicht

(1) Die Betroffenen können sich jederzeit unmittelbar an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn sie der Ansicht sind, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein.

(2) Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Landtag alle zwei Jahre jeweils zum 31. Dezember einen Tätigkeitsbericht.

Fünfter Abschnitt

Besonderer Datenschutz

§ 30

Verarbeitung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet werden.

(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Bestimmungen der Absätze 3 und 4 einzuhalten.

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn

1.

die Betroffenen eingewilligt haben oder

2.

dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist und überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.


§ 31

Datenverarbeitung bei Dienst- und Arbeitsverhältnissen

(1) Die öffentlichen Stellen dürfen personenbezogene Daten von Beschäftigten nur verarbeiten, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen erforderlich ist oder eine Rechtsvorschrift dies erlaubt. Soweit tarifvertraglich nicht etwas anderes geregelt ist, sind die für das Personalaktenrecht geltenden Vorschriften des Beamtenstatusgesetzes und des Landesbeamtengesetzes auf Beschäftigte im öffentlichen Dienst entsprechend anzuwenden.

(2) Die Übermittlung personenbezogener Daten von Beschäftigten an andere als öffentliche Stellen ist nur zulässig, soweit

1.

eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,

2.

die Betroffenen eingewilligt haben,

3.

dies aus dienstlichen Gründen geboten ist,

4.

dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder Rechte Dritter erforderlich ist oder

5.

die Stelle, der die Daten übermittelt werden, ein rechtliches Interesse darlegt und überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.

(3) Im Zusammenhang mit der Begründung von Dienst- oder Arbeitsverhältnissen ist die Erhebung personenbezogener Daten von Beschäftigten bei der bisherigen Beschäftigungsstelle nur zulässig, wenn die Betroffenen eingewilligt haben. Satz 1 gilt entsprechend für die Übermittlung personenbezogener Daten an zukünftige Beschäftigungsstellen.

(4) Entscheidungen im Rahmen von Dienst- und Arbeitsverhältnissen dürfen nicht ausschließlich auf Informationen und Erkenntnisse gestützt werden, die durch die automatisierte Verarbeitung personenbezogener Daten gewonnen wurden.

(5) Personenbezogene Daten der Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach § 9 gespeichert wurden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden. Die Befugnis, eine Überprüfung insbesondere bei Vorliegen von Anhaltspunkten für einen Datenschutzverstoß vorzunehmen, bleibt unberührt.

(6) Personenbezogene Daten von Personen, die sich um eine Einstellung bewerben, dürfen nur verarbeitet werden, soweit dies im Rahmen des Einstellungs- und Auswahlverfahrens erforderlich ist. Steht fest, daß ein Dienst- oder Arbeitsverhältnis nicht zustande kommt, sind die von den Betroffenen vorgelegten Unterlagen diesen unverzüglich zurückzusenden. Haben die Betroffenen in die weitere Verarbeitung der von ihnen vorgelegten Unterlagen eingewilligt oder ist dies wegen eines bereits anhängigen oder wahrscheinlich zu erwartenden Rechtsstreits erforderlich, ist eine weitere Verarbeitung auch insoweit zulässig.

(7) Die Weiterverarbeitung der zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses bei ärztlichen oder psychologischen Untersuchungen und Tests erhobenen Daten ist nur mit schriftlicher Einwilligung der Betroffenen zulässig.

(8) Beschäftigte haben neben dem Anspruch auf Einsicht in ihre vollständigen Personalakten auch ein Recht auf Einsicht in andere Akten, in denen personenbezogene Daten über sie im Hinblick auf das Dienst- oder Arbeitsverhältnis gespeichert werden; dies gilt nicht für Sicherheitsakten. Die Einsichtnahme ist unzulässig, wenn die personenbezogenen Daten der Beschäftigten mit personenbezogenen Daten Dritter oder mit geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. In diesem Fall ist den Beschäftigten Auskunft zu erteilen.

(9) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen bleiben unberührt.

§ 32

Datenverarbeitung für Planungszwecke

(1) Für Zwecke der öffentlichen Planung dürfen personenbezogene Daten verarbeitet werden, wenn ein besonderes öffentliches Interesse an der Planung besteht, der Planungszweck auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.

(2) Die für Planungszwecke gespeicherten personenbezogenen Daten dürfen für andere Zwecke nicht genutzt oder übermittelt werden. Sobald dies nach dem Planungszweck möglich ist, sind die personenbezogenen Daten zu anonymisieren.

(3) Für Zwecke der öffentlichen Planung verarbeitete personenbezogene Daten dürfen nur veröffentlicht oder in sonstiger Weise offenbart werden, wenn

1.

die Betroffenen eingewilligt haben oder

2.

dies für die Darstellung der Planungsergebnisse unerläßlich ist und überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen.


§ 33

Allgemeine Verwaltungstätigkeit

(1) Öffentliche Stellen dürfen personenbezogene Daten bei der Wahrnehmung ihrer Aufgaben verarbeiten, soweit dies für die allgemeine Verwaltungstätigkeit erforderlich ist und überwiegende schutzwürdige Interessen der Betroffenen wegen der Art der Daten, ihrer Verwendung oder ihrer Offenkundigkeit nicht entgegenstehen.

(2) Die allgemeine Verwaltungstätigkeit nach Absatz 1 umfaßt die Vorgangsverwaltung, die Dokumentation der Verwaltungsvorgänge einschließlich der Verfahrensbeteiligten, die Bürokommunikation sowie die sonstigen zur ordnungsgemäßen Erledigung der behördlichen Aufgaben erforderlichen organisatorischen Tätigkeiten. Als allgemeine Verwaltungstätigkeit gilt auch die Bearbeitung von Anträgen und Vorgängen, die einem gesetzlich geregelten Sachgebiet nicht zugeordnet werden können, sowie die Durchführung von Rechtsstreitigkeiten.

§ 34

Videoüberwachung

(1) Die Überwachung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist in Form der Videobeobachtung (Monitoring) zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Videoüberwachung in Form der Speicherung mittels optisch-elektronischer Einrichtungen erhobener Daten (Videoaufzeichnung) ist nur zulässig, soweit dies zur Abwehr einer konkreten Gefahr für die öffentliche Sicherheit oder zum Schutz der Funktionsfähigkeit gefährdeter öffentlicher Anlagen und Einrichtungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für die Videoaufzeichnung ist eine Vorabkontrolle nach § 9 Abs. 5 durchzuführen.

(2) Der Umstand der Beobachtung und die Form der Videoüberwachung sowie die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung von nach Absatz 1 erhobenen oder gespeicherten Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung entsprechend § 18 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Verarbeitung entgegenstehen.

(6) Der Einsatz von Attrappen ist unter den Voraussetzungen des Absatzes 1 Satz 1 und des Absatzes 2 zulässig.

§ 35

Mobile personenbezogene Verarbeitungsmedien

(1) Mobile personenbezogene Verarbeitungsmedien, insbesondere Chipkarten, sind Datenträger,

1.

die an Betroffene ausgegeben werden,

2.

auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können,

3.

bei denen die Betroffenen diese Verarbeitung nur durch den Gebrauch dieses Mediums beeinflussen können und

4.

deren Einsatz Voraussetzung für die Erbringung von Leistungen oder ein sonstiges Tätigwerden durch die ausgebende oder eine andere Stelle ist.

(2) Die Person oder sonstige Stelle, die ein mobiles personenbezogenes Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss die Betroffenen spätestens zum Zeitpunkt der Ausgabe des Mediums

1.

über ihre Identität und Anschrift,

2.

in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,

3.

darüber, wie sie ihre Rechte nach den §§ 18 und 19 ausüben können, und

4.

über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit die Betroffenen nicht bereits Kenntnis erlangt haben.

(3) Die nach Absatz 2 verpflichtete Stelle hat dafür Sorge zu tragen, dass die Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, für die Betroffenen eindeutig erkennbar sind und die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte und Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.

Sechster Abschnitt

Informationsrechte

§ 36

Informationsrechte des Landtags
und der kommunalen Gebietskörperschaften

(1) Die öffentlichen Stellen sind verpflichtet, dem Landtag, dem Präsidenten des Landtags und den Fraktionen des Landtags sowie den Gemeinden und Gemeindeverbänden die von diesen im Rahmen ihrer Zuständigkeiten verlangten Auskünfte aus Datenbanken und anderen automatisierten Informationssystemen zu erteilen, soweit Programme zur Auswertung vorhanden sind.

(2) Den Auskünften nach Absatz 1 darf ein gesetzliches Verbot, ein wichtiges öffentliches Interesse oder ein überwiegendes schutzwürdiges Interesse der Betroffenen oder Dritter nicht entgegenstehen; dem Auskunftsrecht des Landtags steht ein solches Interesse in der Regel nicht entgegen.

Siebter Abschnitt

Strafbestimmungen

§ 37

Strafbestimmungen

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, entgegen den Bestimmungen dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind,

1.

erhebt, speichert, nutzt, sperrt, löscht, zum Abruf bereithält oder übermittelt, oder

2.

abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder einen anderen veranlaßt, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Achter Abschnitt

Übergangs- und Schlußbestimmungen

§ 38

Verweisungen und Bezeichnungen in anderen Vorschriften

Soweit in anderen Vorschriften auf Bestimmungen verwiesen wird, die durch dieses Gesetz außer Kraft gesetzt werden, oder Bezeichnungen verwendet werden, die durch dieses Gesetz aufgehoben oder geändert werden, treten an deren Stelle die entsprechenden Bestimmungen und Bezeichnungen dieses Gesetzes.

§ 39*

Inkrafttreten

(1) Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

(2) (Aufhebungsbestimmung)

Fußnoten

*

Abs. 1: Verkündet am 18. 7. 1994