Gesetz zur Anpassung des Datenschutzrechts an die
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Vom 30. Juni 2017
Der Bundestag hat mit Zustimmung des Bundes- rates das folgende Gesetz beschlossen:
Artikel 1
Bundesdatenschutzgesetz (BDSG)
I n h a l t s ü b e r s i c h t
Teil 1
Gemeinsame Bestimmungen
K a p i t e l 1
A n w e n d u n g s b e r e i c h u n d B e g r i f f s b e s t i mm u n g e n
§ 1 Anwendungsbereich des Gesetzes § 2 Begriffsbestimmungen
K a p i t e l 2
R e c h t s g r u n d l a g e n d e r V e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
§ 4 Videoüberwachung öffentlich zugänglicher Räume
K a p i t e l 3
D a t e n s c h u t z b e a u f t r a g t e ö f f e n t l i c h e r S t e l l e n
§ 5 Benennung § 6 Stellung § 7 Aufgaben
K a p i t e l 4
D i e o d e r d e r B u n d e s b e a u f t r a g t e f ü r
d e n D a t e n s c h u t z u n d d i e I n f o r m a t i o n s f r e i h e i t
§ 8 Errichtung § 9 Zuständigkeit § 10 Unabhängigkeit § 11 Ernennung und Amtszeit § 12 Amtsverhältnis § 13 Rechte und Pflichten § 14 Aufgaben § 15 Tätigkeitsbericht § 16 Befugnisse
K a p i t e l 5
V e r t r e t u n g i m E u r o p ä i s c h e n D a t e n s c h u t z a u s s c h u s s ,
z e n t r a l e A n l a u f s t e l l e , Z u s amm e n a r b e i t d e r A u f s i c h t s b e h ö r d e n d e s B u n d e s u n d d e r L ä n d e r i n A n g e l e g e n h e i t e n d e r E u r o p ä i s c h e n U n i o n
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
§ 19 Zuständigkeiten
K a p i t e l 6
R e c h t s b e h e l f e
§ 20 Gerichtlicher Rechtsschutz § 21 Antrag der Aufsichtsbehörde auf gerichtliche Entschei-
dung bei angenommener Rechtswidrigkeit eines Be- schlusses der Europäischen Kommission
Teil 2
Durchführungsbestimmungen für Verarbeitungen zu Zwecken
gemäß Artikel 2 der Verordnung (EU) 2016/679
K a p i t e l 1
R e c h t s g r u n d l a g e n d e r V e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
Abschnitt 1
Verarbeitung besonderer Kategorien personenbezogener
Daten und Verarbeitung zu anderen Zwecken
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
§ 25 Datenübermittlungen durch öffentliche Stellen
Abschnitt 2
Besondere Verarbeitungssituationen
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsver- hältnisses
§ 27 Datenverarbeitung zu wissenschaftlichen oder histori- schen Forschungszwecken und zu statistischen Zwecken
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
§ 30 Verbraucherkredite § 31 Schutz des Wirtschaftsverkehrs bei Scoring und Boni-
tätsauskünften
K a p i t e l 2
R e c h t e d e r b e t r o f f e n e n P e r s o n
§ 32 Informationspflicht bei Erhebung von personenbezoge- nen Daten bei der betroffenen Person
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
§ 34 Auskunftsrecht der betroffenen Person
2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 35 Recht auf Löschung § 36 Widerspruchsrecht § 37 Automatisierte Entscheidungen im Einzelfall einschließ-
lich Profiling
K a p i t e l 3
P f l i c h t e n d e r Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen § 39 Akkreditierung
K a p i t e l 4
A u f s i c h t s b e h ö r d e f ü r d i e D a t e n v e r a r b e i t u n g
d u r c h n i c h t ö f f e n t l i c h e S t e l l e n
§ 40 Aufsichtsbehörden der Länder
K a p i t e l 5
S a n k t i o n e n
§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
§ 42 Strafvorschriften § 43 Bußgeldvorschriften
K a p i t e l 6
R e c h t s b e h e l f e
§ 44 Klagen gegen den Verantwortlichen oder Auftragsver- arbeiter
Teil 3
Bestimmungen für Verarbeitungen zu Zwecken
gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
K a p i t e l 1
A n w e n d u n g s b e r e i c h , B e g r i f f s b e s t i mm u n g e n
u n d a l l g e m e i n e G r u n d s ä t z e f ü r d i e Ve r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 45 Anwendungsbereich § 46 Begriffsbestimmungen § 47 Allgemeine Grundsätze für die Verarbeitung personen-
bezogener Daten
K a p i t e l 2
R e c h t s g r u n d l a g e n d e r Ve r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 49 Verarbeitung zu anderen Zwecken § 50 Verarbeitung zu archivarischen, wissenschaftlichen und
statistischen Zwecken § 51 Einwilligung § 52 Verarbeitung auf Weisung des Verantwortlichen § 53 Datengeheimnis § 54 Automatisierte Einzelentscheidung
K a p i t e l 3
R e c h t e d e r b e t r o f f e n e n P e r s o n
§ 55 Allgemeine Informationen zu Datenverarbeitungen § 56 Benachrichtigung betroffener Personen
§ 57 Auskunftsrecht § 58 Rechte auf Berichtigung und Löschung sowie Einschrän-
kung der Verarbeitung § 59 Verfahren für die Ausübung der Rechte der betroffenen
Person § 60 Anrufung der oder des Bundesbeauftragten § 61 Rechtsschutz gegen Entscheidungen der oder des
Bundesbeauftragten oder bei deren oder dessen Untätig- keit
K a p i t e l 4
P f l i c h t e n d e r Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r
§ 62 Auftragsverarbeitung § 63 Gemeinsam Verantwortliche § 64 Anforderungen an die Sicherheit der Datenverarbeitung § 65 Meldung von Verletzungen des Schutzes personenbezo-
gener Daten an die oder den Bundesbeauftragten § 66 Benachrichtigung betroffener Personen bei Verletzungen
des Schutzes personenbezogener Daten § 67 Durchführung einer Datenschutz-Folgenabschätzung § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten § 69 Anhörung der oder des Bundesbeauftragten § 70 Verzeichnis von Verarbeitungstätigkeiten § 71 Datenschutz durch Technikgestaltung und datenschutz-
freundliche Voreinstellungen § 72 Unterscheidung zwischen verschiedenen Kategorien be-
troffener Personen § 73 Unterscheidung zwischen Tatsachen und persönlichen
Einschätzungen § 74 Verfahren bei Übermittlungen § 75 Berichtigung und Löschung personenbezogener Daten
sowie Einschränkung der Verarbeitung § 76 Protokollierung § 77 Vertrauliche Meldung von Verstößen
K a p i t e l 5
D a t e n ü b e r m i t t l u n g e n a n D r i t t s t a a t e n u n d a n
i n t e r n a t i o n a l e O r g a n i s a t i o n e n
§ 78 Allgemeine Voraussetzungen § 79 Datenübermittlung bei geeigneten Garantien § 80 Datenübermittlung ohne geeignete Garantien § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
K a p i t e l 6
Z u s amm e n a r b e i t d e r A u f s i c h t s b e h ö r d e n
§ 82 Gegenseitige Amtshilfe
K a p i t e l 7
H a f t u n g u n d S a n k t i o n e n
§ 83 Schadensersatz und Entschädigung § 84 Strafvorschriften
Teil 4
Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die
Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
2098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Te i l 1
G em e i n s am e B e s t i mm u n g e n
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen
§ 1
Anwendungsbereich des Gesetzes
(1) Dieses Gesetz gilt für die Verarbeitung personen- bezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Daten- schutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung perso- nenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persön- licher oder familiärer Tätigkeiten.
(2) Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Ver- pflichtung zur Wahrung gesetzlicher Geheimhaltungs- pflichten oder von Berufs- oder besonderen Amtsge- heimnissen, die nicht auf gesetzlichen Vorschriften be- ruhen, bleibt unberührt.
(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwen- dung, sofern
1. der Verantwortliche oder Auftragsverarbeiter perso- nenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rah- men der Tätigkeiten einer inländischen Niederlas- sung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Ver- tragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungs- bereich der Verordnung (EU) 2016/679 des Euro- päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftrags- verarbeiter nur die §§ 8 bis 21, 39 bis 44.
(5) Die Vorschriften dieses Gesetzes finden keine An- wendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertrags- staaten des Abkommens über den Europäischen Wirt- schaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Euro- päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Be- hörden zum Zwecke der Verhütung, Ermittlung, Aufde- ckung oder Verfolgung von Straftaten oder der Straf- vollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mit- gliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(8) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, so- weit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
§ 2
Begriffsbestimmungen
(1) Öffentliche Stellen des Bundes sind die Behör- den, die Organe der Rechtspflege und andere öffent- lich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstal- ten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich- rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereini- gungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffent- lichen Stellen des Bundes und der Länder, die Aufga- ben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
2099Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Nichtöffentliche Stellen sind natürliche und juris- tische Personen, Gesellschaften und andere Personen- vereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffent- liche Stelle hoheitliche Aufgaben der öffentlichen Ver- waltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
(5) Öffentliche Stellen des Bundes gelten als nicht- öffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 3
Verarbeitung personenbezogener Daten durch öffentliche Stellen
Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfül- lung der in der Zuständigkeit des Verantwortlichen lie- genden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforder- lich ist.
§ 4
Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüber- wachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für kon- kret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Bei der Videoüberwachung von
1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnü- gungsstätten, Einkaufszentren oder Parkplätzen, oder
2. Fahrzeugen und öffentlich zugänglichen großflächi- gen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.
(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeit- punkt erkennbar zu machen.
(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Absatz 1 Satz 2
gilt entsprechend. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicher- heit sowie zur Verfolgung von Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Da- ten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Artikeln 13 und 14 der Ver- ordnung (EU) 2016/679. § 32 gilt entsprechend.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Kapitel 3
Datenschutzbeauftragte öffentlicher Stellen
§ 5
Benennung
(1) Öffentliche Stellen benennen eine Datenschutz- beauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach § 2 Absatz 5, die am Wettbewerb teilnehmen.
(2) Für mehrere öffentliche Stellen kann unter Be- rücksichtigung ihrer Organisationsstruktur und ihrer Größe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden.
(3) Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens be- nannt, das sie oder er auf dem Gebiet des Daten- schutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner Fähigkeit zur Erfül- lung der in § 7 genannten Aufgaben.
(4) Die oder der Datenschutzbeauftragte kann Be- schäftigte oder Beschäftigter der öffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(5) Die öffentliche Stelle veröffentlicht die Kontakt- daten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit.
§ 6
Stellung
(1) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß und früh- zeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
(2) Die öffentliche Stelle unterstützt die Daten- schutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 7, indem sie die für die Erfüllung dieser Aufgaben er- forderlichen Ressourcen und den Zugang zu personen- bezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erfor- derlichen Ressourcen zur Verfügung stellt.
(3) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Aus- übung dieser Aufgaben erhält. Die oder der Daten-
2100 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
schutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. Die oder der Da- tenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden.
(4) Die Abberufung der oder des Datenschutzbeauf- tragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Da- tenschutzbeauftragter ist die Kündigung des Arbeits- verhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungs- frist berechtigt ist.
(5) Betroffene Personen können die Datenschutzbe- auftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Ver- ordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusam- menhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
(6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Grün- den zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlag- nahmeverbot.
§ 7
Aufgaben
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchfüh- ren, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, ein- schließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuwei- sung von Zuständigkeiten, der Sensibilisierung und
der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3. Beratung im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durch- führung gemäß § 67 dieses Gesetzes;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufga- ben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.
(2) Die oder der Datenschutzbeauftragte kann an- dere Aufgaben und Pflichten wahrnehmen. Die öffent- liche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebüh- rend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung be- rücksichtigt.
Kapitel 4
Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
§ 8
Errichtung
(1) Die oder der Bundesbeauftragte für den Daten- schutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf an- dere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen perso- nenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der über- tragenen Aufgaben erforderlich ist.
§ 9
Zuständigkeit
(1) Die oder der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Die Vorschriften dieses Kapitels gelten auch für Auftragsverarbeiter, soweit sie nichtöffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.
2101Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Die oder der Bundesbeauftragte ist nicht zustän- dig für die Aufsicht über die von den Bundesgerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
§ 10
Unabhängigkeit
(1) Die oder der Bundesbeauftragte handelt bei der Erfüllung ihrer oder seiner Aufgaben und bei der Aus- übung ihrer oder seiner Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter Be- einflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen.
(2) Die oder der Bundesbeauftragte unterliegt der Rechnungsprüfung durch den Bundesrechnungshof, soweit hierdurch ihre oder seine Unabhängigkeit nicht beeinträchtigt wird.
§ 11
Ernennung und Amtszeit
(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauf- tragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundes- beauftragte muss bei ihrer oder seiner Wahl das 35. Le- bensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbe- sondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kennt- nisse des Datenschutzrechts verfügen und die Befähi- gung zum Richteramt oder höheren Verwaltungsdienst haben.
(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten fol- genden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
§ 12
Amtsverhältnis
(1) Die oder der Bundesbeauftragte steht nach Maß- gabe dieses Gesetzes zum Bund in einem öffentlich- rechtlichen Amtsverhältnis.
(2) Das Amtsverhältnis beginnt mit der Aushändi- gung der Ernennungsurkunde. Es endet mit dem Ab- lauf der Amtszeit oder mit dem Rücktritt. Die Bundes- präsidentin oder der Bundespräsident enthebt auf Vorschlag der Präsidentin oder des Präsidenten des Bundestages die Bundesbeauftragte ihres oder den Bundesbeauftragten seines Amtes, wenn die oder der Bundesbeauftragte eine schwere Verfehlung begangen
hat oder die Voraussetzungen für die Wahrnehmung ihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fall der Beendigung des Amtsverhältnisses oder der Amts- enthebung erhält die oder der Bundesbeauftragte eine von der Bundespräsidentin oder dem Bundespräsiden- ten vollzogene Urkunde. Eine Amtsenthebung wird mit der Aushändigung der Urkunde wirksam. Endet das Amtsverhältnis mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen der Präsidentin oder des Präsidenten des Bundestages die Geschäfte bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers für die Dauer von höchstens sechs Monaten weiterzuführen.
(3) Die Leitende Beamtin oder der Leitende Beamte nimmt die Rechte der oder des Bundesbeauftragten wahr, wenn die oder der Bundesbeauftragte an der Ausübung ihres oder seines Amtes verhindert ist oder wenn ihr oder sein Amtsverhältnis endet und sie oder er nicht zur Weiterführung der Geschäfte verpflichtet ist. § 10 Absatz 1 ist entsprechend anzuwenden.
(4) Die oder der Bundesbeauftragte erhält vom Be- ginn des Kalendermonats an, in dem das Amtsverhält- nis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 2 Satz 6 bis zum Ende des Monats, in dem die Ge- schäftsführung endet, Amtsbezüge in Höhe der Besol- dungsgruppe B 11 sowie den Familienzuschlag ent- sprechend Anlage V des Bundesbesoldungsgesetzes. Das Bundesreisekostengesetz und das Bundesum- zugskostengesetz sind entsprechend anzuwenden. Im Übrigen sind § 12 Absatz 6 sowie die §§ 13 bis 20 und 21a Absatz 5 des Bundesministergesetzes mit den Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Absatz 1 des Bundes- ministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Absatz 5 des Bundesministergesetzes berechnet sich das Ruhegehalt der oder des Bundes- beauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwen- dung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und die oder der Bundesbeauftragte sich unmittelbar vor ihrer oder seiner Wahl zur oder zum Bundesbeauftragten als Beamtin oder Beamter oder als Richterin oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 11 zu durchlaufenden Amt befunden hat.
§ 13
Rechte und Pflichten
(1) Die oder der Bundesbeauftragte sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und übt während ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf die oder der Bundesbeauftragte neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Auf- sichtsrat oder Verwaltungsrat eines auf Erwerb gerich- teten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.
2102 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Die oder der Bundesbeauftragte hat der Präsi- dentin oder dem Präsidenten des Bundestages Mittei- lung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. Die Präsidentin oder der Präsident des Bundestages entscheidet über die Ver- wendung der Geschenke. Sie oder er kann Verfahrens- vorschriften erlassen.
(3) Die oder der Bundesbeauftragte ist berechtigt, über Personen, die ihr oder ihm in ihrer oder seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauf- tragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiterinnen und Mitarbeiter der oder des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts die oder der Bundesbe- auftragte entscheidet. Soweit das Zeugnisverweige- rungsrecht der oder des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Dokumenten von ihr oder ihm nicht gefordert werden.
(4) Die oder der Bundesbeauftragte ist, auch nach Beendigung ihres oder seines Amtsverhältnisses, ver- pflichtet, über die ihr oder ihm amtlich bekanntgewor- denen Angelegenheiten Verschwiegenheit zu bewah- ren. Dies gilt nicht für Mitteilungen im dienstlichen Ver- kehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Bundesbeauftragte entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außer- gerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Bundesbeauftragten erforderlich. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei einer Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. Für die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Mitarbei- terinnen und Mitarbeiter gelten die §§ 93, 97 und 105 Absatz 1, § 111 Absatz 5 in Verbindung mit § 105 Absatz 1 sowie § 116 Absatz 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffent- liches Interesse besteht, oder soweit es sich um vor- sätzlich falsche Angaben der oder des Auskunftspflich- tigen oder der für sie oder ihn tätigen Personen handelt. Stellt die oder der Bundesbeauftragte einen Daten- schutzverstoß fest, ist sie oder er befugt, diesen an- zuzeigen und die betroffene Person hierüber zu infor- mieren.
(5) Die oder der Bundesbeauftragte darf als Zeugin oder Zeuge aussagen, es sei denn, die Aussage würde
1. dem Wohl des Bundes oder eines Landes Nachteile bereiten, insbesondere Nachteile für die Sicherheit der Bundesrepublik Deutschland oder ihre Bezie- hungen zu anderen Staaten, oder
2. Grundrechte verletzen.
Betrifft die Aussage laufende oder abgeschlossene Vor- gänge, die dem Kernbereich exekutiver Eigenverant- wortung der Bundesregierung zuzurechnen sind oder sein könnten, darf die oder der Bundesbeauftragte nur
im Benehmen mit der Bundesregierung aussagen. § 28 des Bundesverfassungsgerichtsgesetzes bleibt unbe- rührt.
(6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entspre- chend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind.
§ 14
Aufgaben
(1) Die oder der Bundesbeauftragte hat neben den in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben,
1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 er- lassenen Rechtsvorschriften, zu überwachen und durchzusetzen,
2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibi- lisieren und sie darüber aufzuklären, wobei spezifi- sche Maßnahmen für Kinder besondere Beachtung finden,
3. den Deutschen Bundestag und den Bundesrat, die Bundesregierung und andere Einrichtungen und Gremien über legislative und administrative Maß- nahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,
4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vor- schriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlas- senen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,
5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvor- schriften, zur Verfügung zu stellen und gegebenen- falls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten,
6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richt- linie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichts- behörde notwendig ist,
7. mit anderen Aufsichtsbehörden zusammenzuarbei- ten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwen- dung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, ein- schließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu ge- währleisten,
2103Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
8. Untersuchungen über die Anwendung dieses Ge- setzes und sonstiger Vorschriften über den Daten- schutz, einschließlich der zur Umsetzung der Richt- linie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Infor- mationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,
9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Infor- mations- und Kommunikationstechnologie und der Geschäftspraktiken,
10. Beratung in Bezug auf die in § 69 genannten Ver- arbeitungsvorgänge zu leisten und
11. Beiträge zur Tätigkeit des Europäischen Daten- schutzausschusses zu leisten.
Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Bundesbeauftragte zudem die Auf- gabe nach § 60 wahr.
(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Bundesbe- auftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Deutschen Bundestag oder einen seiner Ausschüsse, den Bundesrat, die Bundesregierung, sonstige Einrich- tungen und Stellen sowie an die Öffentlichkeit richten. Auf Ersuchen des Deutschen Bundestages, eines seiner Ausschüsse oder der Bundesregierung geht die oder der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach.
(3) Die oder der Bundesbeauftragte erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereit- stellung eines Beschwerdeformulars, das auch elektro- nisch ausgefüllt werden kann, ohne dass andere Kom- munikationsmittel ausgeschlossen werden.
(4) Die Erfüllung der Aufgaben der oder des Bundes- beauftragten ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die oder der Bundesbeauftragte eine angemes- sene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Bundes- beauftragte die Beweislast für den offenkundig unbe- gründeten oder exzessiven Charakter der Anfrage.
§ 15
Tätigkeitsbericht
Die oder der Bundesbeauftragte erstellt einen Jah- resbericht über ihre oder seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen, einschließlich der verhängten Sanktionen und der Maßnahmen nach Artikel 58 Ab- satz 2 der Verordnung (EU) 2016/679, enthalten kann. Die oder der Bundesbeauftragte übermittelt den Bericht dem Deutschen Bundestag, dem Bundesrat und der Bundesregierung und macht ihn der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich.
§ 16
Befugnisse
(1) Die oder der Bundesbeauftragte nimmt im An- wendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Kommt die oder der Bundesbeauf- tragte zu dem Ergebnis, dass Verstöße gegen die Vor- schriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorlie- gen, teilt sie oder er dies der zuständigen Rechts- oder Fachaufsichtsbehörde mit und gibt dieser vor der Aus- übung der Befugnisse des Artikels 58 Absatz 2 Buch- stabe b bis g, i und j der Verordnung (EU) 2016/679 gegenüber dem Verantwortlichen Gelegenheit zur Stel- lungnahme innerhalb einer angemessenen Frist. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entschei- dung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht. Die Stellung- nahme soll auch eine Darstellung der Maßnahmen ent- halten, die aufgrund der Mitteilung der oder des Bundesbeauftragten getroffen worden sind.
(2) Stellt die oder der Bundesbeauftragte bei Daten- verarbeitungen durch öffentliche Stellen des Bundes zu Zwecken außerhalb des Anwendungsbereichs der Ver- ordnung (EU) 2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verar- beitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber der zustän- digen obersten Bundesbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu be- stimmenden Frist auf. Die oder der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstan- dung der oder des Bundesbeauftragten getroffen wor- den sind. Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsich- tigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.
(3) Die Befugnisse der oder des Bundesbeauftragten erstrecken sich auch auf
1. von öffentlichen Stellen des Bundes erlangte perso- nenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs und
2. personenbezogene Daten, die einem besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
Das Grundrecht des Brief-, Post- und Fernmelde- geheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt.
(4) Die öffentlichen Stellen des Bundes sind ver- pflichtet, der oder dem Bundesbeauftragten und ihren oder seinen Beauftragten
1. jederzeit Zugang zu den Grundstücken und Dienst- räumen, einschließlich aller Datenverarbeitungsan-
2104 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
lagen und -geräte, sowie zu allen personenbezoge- nen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren und
2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.
(5) Die oder der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3 Satz 1 zweiter Halbsatz gilt entsprechend.
Kapitel 5
Vertretung im Europäischen Datenschutzausschuss,
zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union
§ 17
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
(1) Gemeinsamer Vertreter im Europäischen Daten- schutzausschuss und zentrale Anlaufstelle ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbehörde eines Landes (Stellvertre- ter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausschei- den aus dem Amt als Leiterin oder Leiter der Aufsichts- behörde eines Landes endet zugleich die Funktion als Stellvertreter. Wiederwahl ist zulässig.
(2) Der gemeinsame Vertreter überträgt in Ange- legenheiten, die die Wahrnehmung einer Aufgabe betreffen, für welche die Länder allein das Recht zur Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, dem Stellvertreter auf dessen Verlangen die Verhandlungs- führung und das Stimmrecht im Europäischen Daten- schutzausschuss.
§ 18
Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
(1) Die oder der Bundesbeauftragte und die Auf- sichtsbehörden der Länder (Aufsichtsbehörden des Bundes und der Länder) arbeiten in Angelegenheiten der Europäischen Union mit dem Ziel einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 zusammen. Vor der Übermitt- lung eines gemeinsamen Standpunktes an die Auf- sichtsbehörden der anderen Mitgliedstaaten, die Euro- päische Kommission oder den Europäischen Daten- schutzausschuss geben sich die Aufsichtsbehörden des Bundes und der Länder frühzeitig Gelegenheit zur Stellungnahme. Zu diesem Zweck tauschen sie unter- einander alle zweckdienlichen Informationen aus. Die Aufsichtsbehörden des Bundes und der Länder betei- ligen die nach den Artikeln 85 und 91 der Verordnung (EU) 2016/679 eingerichteten spezifischen Aufsichtsbe- hörden, sofern diese von der Angelegenheit betroffen sind.
(2) Soweit die Aufsichtsbehörden des Bundes und der Länder kein Einvernehmen über den gemeinsamen Standpunkt erzielen, legen die federführende Behörde oder in Ermangelung einer solchen der gemeinsame Vertreter und sein Stellvertreter einen Vorschlag für einen gemeinsamen Standpunkt vor. Einigen sich der gemeinsame Vertreter und sein Stellvertreter nicht auf einen Vorschlag für einen gemeinsamen Standpunkt, legt in Angelegenheiten, die die Wahrnehmung von Auf- gaben betreffen, für welche die Länder allein das Recht der Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, der Stellvertreter den Vorschlag für einen gemeinsamen Standpunkt fest. In den übrigen Fällen fehlenden Ein- vernehmens nach Satz 2 legt der gemeinsame Vertreter den Standpunkt fest. Der nach den Sätzen 1 bis 3 vor- geschlagene Standpunkt ist den Verhandlungen zu Grunde zu legen, wenn nicht die Aufsichtsbehörden von Bund und Ländern einen anderen Standpunkt mit einfacher Mehrheit beschließen. Der Bund und jedes Land haben jeweils eine Stimme. Enthaltungen werden nicht gezählt.
(3) Der gemeinsame Vertreter und dessen Stellver- treter sind an den gemeinsamen Standpunkt nach den Absätzen 1 und 2 gebunden und legen unter Beach- tung dieses Standpunktes einvernehmlich die jeweilige Verhandlungsführung fest. Sollte ein Einvernehmen nicht erreicht werden, entscheidet in den in § 18 Ab- satz 2 Satz 2 genannten Angelegenheiten der Stell- vertreter über die weitere Verhandlungsführung. In den übrigen Fällen gibt die Stimme des gemeinsamen Ver- treters den Ausschlag.
§ 19
Zuständigkeiten
(1) Federführende Aufsichtsbehörde eines Landes im Verfahren der Zusammenarbeit und Kohärenz nach Kapitel VII der Verordnung (EU) 2016/679 ist die Auf- sichtsbehörde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung im Sinne des Artikels 4 Nummer 16 der Verordnung (EU) 2016/679 oder seine einzige Niederlassung in der Europäischen Union im Sinne des Artikels 56 Absatz 1 der Verordnung (EU) 2016/679 hat. Im Zuständigkeits- bereich der oder des Bundesbeauftragten gilt Artikel 56 Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechend. Besteht über die Federführung kein Einvernehmen, findet für die Festlegung der federführenden Aufsichtsbehörde das Verfahren des § 18 Absatz 2 entsprechende Anwen- dung.
(2) Die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, gibt die Be- schwerde an die federführende Aufsichtsbehörde nach Absatz 1, in Ermangelung einer solchen an die Auf- sichtsbehörde eines Landes ab, in dem der Verantwort- liche oder der Auftragsverarbeiter eine Niederlassung hat. Wird eine Beschwerde bei einer sachlich unzustän- digen Aufsichtsbehörde eingereicht, gibt diese, sofern eine Abgabe nach Satz 1 nicht in Betracht kommt, die Beschwerde an die Aufsichtsbehörde am Wohnsitz des Beschwerdeführers ab. Die empfangende Aufsichtsbe- hörde gilt als die Aufsichtsbehörde nach Maßgabe des Kapitels VII der Verordnung (EU) 2016/679, bei der die
2105Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Beschwerde eingereicht worden ist, und kommt den Verpflichtungen aus Artikel 60 Absatz 7 bis 9 und Artikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach.
Kapitel 6
Rechtsbehelfe
§ 20
Gerichtlicher Rechtsschutz
(1) Für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und einer Aufsichtsbehörde des Bundes oder eines Landes über Rechte gemäß Ar- tikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679 sowie § 61 ist der Verwaltungsrechtsweg gegeben. Satz 1 gilt nicht für Bußgeldverfahren.
(2) Die Verwaltungsgerichtsordnung ist nach Maß- gabe der Absätze 3 bis 7 anzuwenden.
(3) Für Verfahren nach Absatz 1 Satz 1 ist das Ver- waltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.
(4) In Verfahren nach Absatz 1 Satz 1 ist die Auf- sichtsbehörde beteiligungsfähig.
(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 sind
1. die natürliche oder juristische Person als Klägerin oder Antragstellerin und
2. die Aufsichtsbehörde als Beklagte oder Antrags- gegnerin.
§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unberührt.
(6) Ein Vorverfahren findet nicht statt.
(7) Die Aufsichtsbehörde darf gegenüber einer Be- hörde oder deren Rechtsträger nicht die sofortige Voll- ziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.
§ 21
Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei
angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
(1) Hält eine Aufsichtsbehörde einen Angemessen- heitsbeschluss der Europäischen Kommission, einen Beschluss über die Anerkennung von Standardschutz- klauseln oder über die Allgemeingültigkeit von geneh- migten Verhaltensregeln, auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbehörde ankommt, für rechtswidrig, so hat die Aufsichtsbehörde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Ent- scheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist der Verwaltungs- rechtsweg gegeben. Die Verwaltungsgerichtsordnung ist nach Maßgabe der Absätze 3 bis 6 anzuwenden.
(3) Über einen Antrag der Aufsichtsbehörde nach Absatz 1 entscheidet im ersten und letzten Rechtszug das Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die Aufsichtsbe- hörde beteiligungsfähig. An einem Verfahren nach Ab- satz 1 ist die Aufsichtsbehörde als Antragstellerin be- teiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichts- ordnung bleibt unberührt. Das Bundesverwaltungsge-
richt kann der Europäischen Kommission Gelegenheit zur Äußerung binnen einer zu bestimmenden Frist geben.
(5) Ist ein Verfahren zur Überprüfung der Gültigkeit eines Beschlusses der Europäischen Kommission nach Absatz 1 bei dem Gerichtshof der Europäischen Union anhängig, so kann das Bundesverwaltungsgericht an- ordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsordnung entsprechend anzuwenden. Kommt das Bundesverwal- tungsgericht zu der Überzeugung, dass der Beschluss der Europäischen Kommission nach Absatz 1 gültig ist, so stellt es dies in seiner Entscheidung fest. Andernfalls legt es die Frage nach der Gültigkeit des Beschlusses gemäß Artikel 267 des Vertrags über die Arbeitsweise der Europäischen Union dem Gerichtshof der Euro- päischen Union zur Entscheidung vor.
Te i l 2
D u r c h f ü h r u n g s b e s t i mm u n g e n f ü r Ve r a r b e i t u n g e n z u
Z w e c k e n g em ä ß A r t i k e l 2 d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9
Kapitel 1
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
A b s c h n i t t 1
Ve r a r b e i t u n g b e s o n d e r e r K a t e g o r i e n
p e r s o n e n b e z o g e n e r D a t e n u n d Ve r a r b e i t u n g z u a n d e r e n Zw e c k e n
§ 22
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu- lässig
1. durch öffentliche und nichtöffentliche Stellen, wenn sie
a) erforderlich ist, um die aus dem Recht der sozia- len Sicherheit und des Sozialschutzes erwach- senden Rechte auszuüben und den diesbezüg- lichen Pflichten nachzukommen,
b) zum Zweck der Gesundheitsvorsorge, für die Be- urteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbe- reich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterlie-
2106 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
gen, oder unter deren Verantwortung verarbeitet werden, oder
c) aus Gründen des öffentlichen Interesses im Be- reich der öffentlichen Gesundheit, wie des Schut- zes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung ho- her Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind ins- besondere die berufsrechtlichen und strafrecht- lichen Vorgaben zur Wahrung des Berufsgeheim- nisses einzuhalten,
2. durch öffentliche Stellen, wenn sie
a) aus Gründen eines erheblichen öffentlichen Inte- resses zwingend erforderlich ist,
b) zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
c) zur Abwehr erheblicher Nachteile für das Gemein- wohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
d) aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Ver- pflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Kon- fliktverhinderung oder für humanitäre Maßnah- men erforderlich ist
und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 2 die Interessen der betroffenen Person überwiegen.
(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interes- sen der betroffenen Person vorzusehen. Unter Berück- sichtigung des Stands der Technik, der Implementie- rungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
1. technisch organisatorische Maßnahmen, um sicher- zustellen, dass die Verarbeitung gemäß der Verord- nung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. Benennung einer oder eines Datenschutzbeauftrag- ten,
5. Beschränkung des Zugangs zu den personenbezo- genen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6. Pseudonymisierung personenbezogener Daten,
7. Verschlüsselung personenbezogener Daten,
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integri- tät, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbei-
tung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirk- samkeit der technischen und organisatorischen Maßnahmen oder
10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
§ 23
Verarbeitung zu anderen Zwecken durch öffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffe- nen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
3. sie zur Abwehr erheblicher Nachteile für das Ge- meinwohl oder einer Gefahr für die öffentliche Si- cherheit, die Verteidigung oder die nationale Sicher- heit, zur Wahrung erheblicher Belange des Gemein- wohls oder zur Sicherung des Steuer- und Zollauf- kommens erforderlich ist,
4. sie zur Verfolgung von Straftaten oder Ordnungswid- rigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erzie- hungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist,
5. sie zur Abwehr einer schwerwiegenden Beeinträch- tigung der Rechte einer anderen Person erforderlich ist oder
6. sie der Wahrnehmung von Aufsichts- und Kontrollbe- fugnissen, der Rechnungsprüfung oder der Durch- führung von Organisationsuntersuchungen des Ver- antwortlichen dient; dies gilt auch für die Verarbei- tung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interes- sen der betroffenen Person dem nicht entgegen- stehen.
(2) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
2107Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 24
Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straf- taten erforderlich ist oder
2. sie zur Geltendmachung, Ausübung oder Verteidi- gung zivilrechtlicher Ansprüche erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
(2) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
§ 25
Datenübermittlungen durch öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an öffentliche Stellen ist zu- lässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erfor- derlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden. Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwe- cke ist unter den Voraussetzungen des § 23 zulässig.
(2) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der über- mittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verar- beitung nach § 23 zulassen würden,
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu über- mittelnden Daten glaubhaft darlegt und die betrof- fene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
3. es zur Geltendmachung, Ausübung oder Verteidi- gung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwe- cke ist zulässig, wenn eine Übermittlung nach Satz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
(3) Die Übermittlung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zulässig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Aus-
nahmetatbestand nach Artikel 9 Absatz 2 der Verord- nung (EU) 2016/679 oder nach § 22 vorliegen.
A b s c h n i t t 2
B e s o n d e r e Ve r a r b e i t u n g s s i t u a t i o n e n
§ 26
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dür- fen für Zwecke des Beschäftigungsverhältnisses verar- beitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Aus- übung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinba- rung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten er- forderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsäch- liche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verar- beitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Erfolgt die Verarbeitung personenbezogener Da- ten von Beschäftigten auf der Grundlage einer Einwil- ligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungs- verhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilli- gung erteilt worden ist, zu berücksichtigen. Freiwillig- keit kann insbesondere vorliegen, wenn für die be- schäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Ein- willigung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Wider- rufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
(3) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erfor- derlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verar- beitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entspre- chend.
2108 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Die Verarbeitung personenbezogener Daten, ein- schließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäfti- gungsverhältnisses, ist auf der Grundlage von Kollek- tivvereinbarungen zulässig. Dabei haben die Verhand- lungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
(6) Die Beteiligungsrechte der Interessenvertretun- gen der Beschäftigten bleiben unberührt.
(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftig- ten verarbeitet werden, ohne dass sie in einem Datei- system gespeichert sind oder gespeichert werden sollen.
(8) Beschäftigte im Sinne dieses Gesetzes sind:
1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabi- litandinnen und Rehabilitanden),
4. in anerkannten Werkstätten für behinderte Men- schen Beschäftigte,
5. Freiwillige, die einen Dienst nach dem Jugendfrei- willigendienstegesetz oder dem Bundesfreiwilligen- dienstgesetz leisten,
6. Personen, die wegen ihrer wirtschaftlichen Unselb- ständigkeit als arbeitnehmerähnliche Personen an- zusehen sind; zu diesen gehören auch die in Heim- arbeit Beschäftigten und die ihnen Gleichgestellten,
7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
Bewerberinnen und Bewerber für ein Beschäftigungs- verhältnis sowie Personen, deren Beschäftigungsver- hältnis beendet ist, gelten als Beschäftigte.
§ 27
Datenverarbeitung zu wissenschaftlichen oder historischen
Forschungszwecken und zu statistischen Zwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder histori- sche Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken er- forderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheb- lich überwiegen. Der Verantwortliche sieht angemes- sene und spezifische Maßnahmen zur Wahrung der
Interessen der betroffenen Person gemäß § 22 Ab- satz 2 Satz 2 vor.
(2) Die in den Artikeln 15, 16, 18 und 21 der Verord- nung (EU) 2016/679 vorgesehenen Rechte der betroffe- nen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verord- nung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen For- schung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen sind zu wissenschaftlichen oder histori- schen Forschungszwecken oder zu statistischen Zwe- cken verarbeitete besondere Kategorien personen- bezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck mög- lich ist, es sei denn, berechtigte Interessen der betrof- fenen Person stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzel- angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeord- net werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.
(4) Der Verantwortliche darf personenbezogene Da- ten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von For- schungsergebnissen über Ereignisse der Zeitge- schichte unerlässlich ist.
§ 28
Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu- lässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wah- rung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
(2) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 be- steht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben ge- macht werden, die das Auffinden des betreffenden Archivguts mit vertretbarem Verwaltungsaufwand er- möglichen.
(3) Das Recht auf Berichtigung der betroffenen Per- son gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im öffentlichen Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unter- lagen hinzuzufügen.
2109Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, den Artikeln 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffent- lichen Interesse liegenden Archivzwecke unmöglich ma- chen oder ernsthaft beeinträchtigen und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.
§ 29
Rechte der betroffenen Person und aufsichtsbehördliche
Befugnisse im Fall von Geheimhaltungspflichten
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Ab- satz 5 der Verordnung (EU) 2016/679 genannten Aus- nahmen nicht, soweit durch ihre Erfüllung Informatio- nen offenbart würden, die ihrem Wesen nach, insbe- sondere wegen der überwiegenden berechtigten Inte- ressen eines Dritten, geheim gehalten werden müssen. Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart wür- den, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berech- tigten Interessen eines Dritten, geheim gehalten werden müssen. Die Pflicht zur Benachrichtigung gemäß Arti- kel 34 der Verordnung (EU) 2016/679 besteht ergän- zend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müs- sen. Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach Artikel 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berück- sichtigung drohender Schäden, gegenüber dem Ge- heimhaltungsinteresse überwiegen.
(2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Be- rufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffe- nen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der be- troffenen Person an der Informationserteilung überwiegt.
(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auf- tragsverarbeitern bestehen die Untersuchungsbefug- nisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde.
§ 30
Verbraucherkredite
(1) Eine Stelle, die geschäftsmäßig personenbezo- gene Daten, die zur Bewertung der Kreditwürdigkeit
von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union genauso zu behandeln wie Auskunftsverlangen inländischer Darle- hensgeber.
(2) Wer den Abschluss eines Verbraucherdarlehens- vertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 1 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrich- tung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 37 bleibt unberührt.
§ 31
Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natür- lichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Ver- tragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wis- senschaftlich anerkannten mathematisch-statisti- schen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wur- den und
4. im Fall der Nutzung von Anschriftendaten die betrof- fene Person vor Berechnung des Wahrscheinlich- keitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittel- ten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forde- rungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht er- bracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig voll- streckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivil- prozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestrit- ten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der For- derung mindestens zweimal schriftlich gemahnt worden ist,
2110 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
b) die erste Mahnung mindestens vier Wochen zu- rückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksich- tigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis auf- grund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Daten- schutzrecht bleibt unberührt.
Kapitel 2
Rechte der betroffenen Person
§ 32
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Die Pflicht zur Information der betroffenen Per- son gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Ab- satz 4 der Verordnung (EU) 2016/679 genannten Aus- nahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
1. eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprüng- lichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Ein- zelfalls, insbesondere mit Blick auf den Zusammen- hang, in dem die Daten erhoben wurden, als gering anzusehen ist,
2. im Fall einer öffentlichen Stelle die ordnungsge- mäße Erfüllung der in der Zuständigkeit des Verant- wortlichen liegenden Aufgaben im Sinne des Arti- kels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Infor- mation die Interessen der betroffenen Person über- wiegen,
3. die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Ver- antwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
4. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nicht- erteilung der Information die Interessen der betroffe- nen Person überwiegen oder
5. eine vertrauliche Übermittlung von Daten an öffent- liche Stellen gefährden würde.
(2) Unterbleibt eine Information der betroffenen Per- son nach Maßgabe des Absatzes 1, ergreift der Ver- antwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, ein- schließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Infor- mationen für die Öffentlichkeit in präziser, transparen- ter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 1 Nummer 4 und 5 keine An- wendung.
(3) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinde- rungsgrundes, kommt der Verantwortliche der Infor- mationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemes- senen Frist nach Fortfall des Hinderungsgrundes, spä- testens jedoch innerhalb von zwei Wochen, nach.
§ 33
Informationspflicht, wenn die personenbezogenen Daten nicht
bei der betroffenen Person erhoben wurden
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Ab- satz 5 der Verordnung (EU) 2016/679 und der in § 29 Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die Erteilung der Information
1. im Fall einer öffentlichen Stelle
a) die ordnungsgemäße Erfüllung der in der Zustän- digkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde oder
b) die öffentliche Sicherheit oder Ordnung gefähr- den oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss,
2. im Fall einer nichtöffentlichen Stelle
a) die Geltendmachung, Ausübung oder Verteidi- gung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrecht- lichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt, oder
b) die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Be- kanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde; im Fall der Datenverarbeitung für Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz.
2111Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Unterbleibt eine Information der betroffenen Per- son nach Maßgabe des Absatzes 1, ergreift der Ver- antwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, ein- schließlich der Bereitstellung der in Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Infor- mationen für die Öffentlichkeit in präziser, transparen- ter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat.
(3) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch öffent- liche Stellen an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirm- dienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
§ 34
Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 be- steht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, wenn
1. die betroffene Person nach § 33 Absatz 1 Num- mer 1, 2 Buchstabe b oder Absatz 3 nicht zu infor- mieren ist, oder
2. die Daten
a) nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewah- rungsvorschriften nicht gelöscht werden dürfen, oder
b) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismäßi- gen Aufwand erfordern würde sowie eine Verarbei- tung zu anderen Zwecken durch geeignete techni- sche und organisatorische Maßnahmen ausge- schlossen ist.
(2) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung ge- stützt wird, der mit der Auskunftsverweigerung ver- folgte Zweck gefährdet würde. Die zum Zweck der Aus- kunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbei- tung nach Maßgabe des Artikels 18 der Verordnung (EU) 2016/679 einzuschränken.
(3) Wird der betroffenen Person durch eine öffent- liche Stelle des Bundes keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch
die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person über das Ergebnis der daten- schutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zu- stimmt.
(4) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffent- liche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem ge- speichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft er- forderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informati- onsinteresse steht.
§ 35
Recht auf Löschung
(1) Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Spei- cherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezoge- ner Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezoge- nen Daten unrechtmäßig verarbeitet wurden.
(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwür- dige Interessen der betroffenen Person beeinträchtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, so- fern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entspre- chend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungs- fristen entgegenstehen.
§ 36
Widerspruchsrecht
Das Recht auf Widerspruch gemäß Artikel 21 Ab- satz 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle besteht nicht, soweit an der Verar- beitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
2112 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 37
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz 1 der Ver- ordnung (EU) 2016/679, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entschei- dung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verord- nung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leis- tungserbringung nach einem Versicherungsvertrag er- geht und
1. dem Begehren der betroffenen Person stattgegeben wurde oder
2. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemes- sene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu min- destens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Dar- legung des eigenen Standpunktes und auf Anfech- tung der Entscheidung zählt; der Verantwortliche in- formiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.
(2) Entscheidungen nach Absatz 1 dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 beruhen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
Kapitel 3
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 38
Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Ver- antwortliche und der Auftragsverarbeiter eine Daten- schutzbeauftragte oder einen Datenschutzbeauftrag- ten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen- bezogener Daten beschäftigen. Nehmen der Verant- wortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten ge- schäftsmäßig zum Zweck der Übermittlung, der anony- misierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Per- sonen eine Datenschutzbeauftragte oder einen Daten- schutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden An- wendung, § 6 Absatz 4 jedoch nur, wenn die Benen- nung einer oder eines Datenschutzbeauftragten ver- pflichtend ist.
§ 39
Akkreditierung
Die Erteilung der Befugnis, als Zertifizierungsstelle gemäß Artikel 43 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 tätig zu werden, erfolgt durch die für die datenschutzrechtliche Aufsicht über die Zertifizierungs- stelle zuständige Aufsichtsbehörde des Bundes oder der Länder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle. § 2 Absatz 3 Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Num- mer 3 des Akkreditierungsstellengesetzes finden mit der Maßgabe Anwendung, dass der Datenschutz als ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2 unterfallender Bereich gilt.
Kapitel 4
Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen
§ 40
Aufsichtsbehörden der Länder
(1) Die nach Landesrecht zuständigen Behörden überwachen im Anwendungsbereich der Verordnung (EU) 2016/679 bei den nichtöffentlichen Stellen die An- wendung der Vorschriften über den Datenschutz.
(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere inländische Niederlassungen, findet für die Be- stimmung der zuständigen Aufsichtsbehörde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entspre- chende Anwendung. Wenn sich mehrere Behörden für zuständig oder für unzuständig halten oder wenn die Zuständigkeit aus anderen Gründen zweifelhaft ist, treffen die Aufsichtsbehörden die Entscheidung ge- meinsam nach Maßgabe des § 18 Absatz 2. § 3 Ab- satz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.
(3) Die Aufsichtsbehörde darf die von ihr gespeicher- ten Daten nur für Zwecke der Aufsicht verarbeiten; hier- bei darf sie Daten an andere Aufsichtsbehörden über- mitteln. Eine Verarbeitung zu einem anderen Zweck ist über Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffe- nen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. sie zur Abwehr erheblicher Nachteile für das Ge- meinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist oder
3. sie zur Verfolgung von Straftaten oder Ordnungs- widrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Ab- satz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist.
Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz fest, so ist sie be- fugt, die betroffenen Personen hierüber zu unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwie-
2113Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
genden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entspre- chend.
(4) Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivil- prozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aus- setzen würde. Der Auskunftspflichtige ist darauf hinzu- weisen.
(5) Die von einer Aufsichtsbehörde mit der Überwa- chung der Einhaltung der Vorschriften über den Daten- schutz beauftragten Personen sind befugt, zur Erfül- lung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverar- beitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt entsprechend.
(6) Die Aufsichtsbehörden beraten und unterstützen die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse. Sie können die Abberufung der oder des Datenschutzbeauftragten verlangen, wenn sie oder er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.
(7) Die Anwendung der Gewerbeordnung bleibt un- berührt.
Kapitel 5
Sanktionen
§ 41
Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 68 des Gesetzes über Ordnungs- widrigkeiten findet mit der Maßgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro übersteigt.
(2) Für Verfahren wegen eines Verstoßes nach Arti- kel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrig- keiten und der allgemeinen Gesetze über das Strafver- fahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ord- nungswidrigkeiten finden keine Anwendung. § 69 Ab- satz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten findet mit der Maßgabe Anwendung, dass die Staats- anwaltschaft das Verfahren nur mit Zustimmung der
Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.
§ 42
Strafvorschriften
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allge- mein zugängliche personenbezogene Daten einer gro- ßen Zahl von Personen, ohne hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art und Weise zugänglich macht
und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein, verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen an- deren zu schädigen.
(3) Die Tat wird nur auf Antrag verfolgt. Antragsbe- rechtigt sind die betroffene Person, der Verantwort- liche, die oder der Bundesbeauftragte und die Auf- sichtsbehörde.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Arti- kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Be- nachrichtigenden verwendet werden.
§ 43
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder
2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht recht- zeitig unterrichtet.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Arti- kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswid- rigkeiten gegen den Meldepflichtigen oder Benachrich- tigenden oder seine in § 52 Absatz 1 der Strafprozess- ordnung bezeichneten Angehörigen nur mit Zustim- mung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
2114 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Kapitel 6
Rechtsbehelfe
§ 44
Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
(1) Klagen der betroffenen Person gegen einen Ver- antwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestim- mungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der be- troffenen Person können bei dem Gericht des Ortes er- hoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet. Klagen nach Satz 1 können auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.
(2) Absatz 1 gilt nicht für Klagen gegen Behörden, die in Ausübung ihrer hoheitlichen Befugnisse tätig ge- worden sind.
(3) Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt, gilt dieser auch als bevoll- mächtigt, Zustellungen in zivilgerichtlichen Verfahren nach Absatz 1 entgegenzunehmen. § 184 der Zivilpro- zessordnung bleibt unberührt.
Te i l 3
B e s t i mm u n g e n f ü r Ve r a r b e i t u n g e n z u Z w e c k e n g em ä ß A r t i k e l 1 A b s a t z 1
d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0
Kapitel 1
Anwendungsbereich, Begriffsbestimmungen und
allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 45
Anwendungsbereich
Die Vorschriften dieses Teils gelten für die Verarbei- tung personenbezogener Daten durch die für die Ver- hütung, Ermittlung, Aufdeckung, Verfolgung oder Ahn- dung von Straftaten oder Ordnungswidrigkeiten zu- ständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Verhütung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit. Die Sätze 1 und 2 finden zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetz- buchs, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. Soweit dieser Teil Vorschriften für Auf- tragsverarbeiter enthält, gilt er auch für diese.
§ 46
Begriffsbestimmungen
Es bezeichnen die Begriffe:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person ange- sehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren be- sonderen Merkmalen, die Ausdruck der physi- schen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automati- sierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit per- sonenbezogenen Daten wie das Erheben, das Er- fassen, die Organisation, das Ordnen, die Speiche- rung, die Anpassung, die Veränderung, das Aus- lesen, das Abfragen, die Verwendung, die Offen- legung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten ver- wendet werden, um bestimmte persönliche Aspek- te, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeits- leistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zu- verlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personen- bezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zuge- ordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;
6. „Dateisystem“ jede strukturierte Sammlung perso- nenbezogener Daten, die nach bestimmten Krite- rien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktiona- len oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personen- bezogenen Daten entscheidet;
8. „Auftragsverarbeiter“ eine natürliche oder juristi- sche Person, Behörde, Einrichtung oder andere
2115Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Per- son, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, un- abhängig davon, ob es sich bei ihr um einen Drit- ten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Verletzung des Schutzes personenbezogener Da- ten“ eine Verletzung der Sicherheit, die zur unbe- absichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verar- beitet wurden;
11. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigen- schaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Ge- sundheit dieser Person liefern, insbesondere sol- che, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;
12. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhal- tenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
13. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbrin- gung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesund- heitszustand hervorgehen;
14. „besondere Kategorien personenbezogener Daten“
a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Ge- werkschaftszugehörigkeit hervorgehen,
b) genetische Daten,
c) biometrische Daten zur eindeutigen Identifizie- rung einer natürlichen Person,
d) Gesundheitsdaten und
e) Daten zum Sexualleben oder zur sexuellen Orientierung;
15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 ein- gerichtete unabhängige staatliche Stelle;
16. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen so- wie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;
17. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklä- rung oder einer sonstigen eindeutigen bestätigen- den Handlung, mit der die betroffene Person zu ver- stehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einver- standen ist.
§ 47
Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten müssen
1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
3. dem Verarbeitungszweck entsprechen, für das Errei- chen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,
4. sachlich richtig und erforderlichenfalls auf dem neu- esten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbei- tung unrichtig sind, unverzüglich gelöscht oder be- richtigt werden,
5. nicht länger als es für die Zwecke, für die sie verar- beitet werden, erforderlich ist, in einer Form gespei- chert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
6. in einer Weise verarbeitet werden, die eine angemes- sene Sicherheit der personenbezogenen Daten ge- währleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu ge- währleistender Schutz vor unbefugter oder unrecht- mäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 48
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten ist nur zulässig, wenn sie zur Auf- gabenerfüllung unbedingt erforderlich ist.
(2) Werden besondere Kategorien personenbezoge- ner Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein
1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
2. die Festlegung von besonderen Aussonderungs- prüffristen,
3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
2116 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
4. die Beschränkung des Zugangs zu den personen- bezogenen Daten innerhalb der verantwortlichen Stelle,
5. die von anderen Daten getrennte Verarbeitung,
6. die Pseudonymisierung personenbezogener Daten,
7. die Verschlüsselung personenbezogener Daten oder
8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.
§ 49
Verarbeitung zu anderen Zwecken
Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 45 genannten Zwe- cke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in § 45 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
§ 50
Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
Personenbezogene Daten dürfen im Rahmen der in § 45 genannten Zwecke in archivarischer, wissen- schaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffe- nen Personen vorgesehen werden. Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vor- kehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.
§ 51
Einwilligung
(1) Soweit die Verarbeitung personenbezogener Da- ten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilli- gung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterschei- den ist.
(3) Die betroffene Person hat das Recht, ihre Einwil- ligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt
wurde, müssen die Umstände der Erteilung berücksich- tigt werden. Die betroffene Person ist auf den vorge- sehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu be- lehren.
(5) Soweit besondere Kategorien personenbezoge- ner Daten verarbeitet werden, muss sich die Einwilli- gung ausdrücklich auf diese Daten beziehen.
§ 52
Verarbeitung auf Weisung des Verantwortlichen
Jede einem Verantwortlichen oder einem Auftrags- verarbeiter unterstellte Person, die Zugang zu perso- nenbezogenen Daten hat, darf diese Daten ausschließ- lich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Ver- arbeitung verpflichtet ist.
§ 53
Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.
§ 54
Automatisierte Einzelentscheidung
(1) Eine ausschließlich auf einer automatischen Ver- arbeitung beruhende Entscheidung, die mit einer nach- teiligen Rechtsfolge für die betroffene Person verbun- den ist oder sie erheblich beeinträchtigt, ist nur zuläs- sig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten be- ruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.
(3) Profiling, das zur Folge hat, dass betroffene Per- sonen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist ver- boten.
Kapitel 3
Rechte der betroffenen Person
§ 55
Allgemeine Informationen zu Datenverarbeitungen
Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur Verfügung zu stellen über
1. die Zwecke der von ihm vorgenommenen Verarbei- tungen,
2. die im Hinblick auf die Verarbeitung ihrer personen- bezogenen Daten bestehenden Rechte der betroffe- nen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,
2117Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
3. den Namen und die Kontaktdaten des Verantwort- lichen und der oder des Datenschutzbeauftragten,
4. das Recht, die Bundesbeauftragte oder den Bun- desbeauftragten anzurufen, und
5. die Erreichbarkeit der oder des Bundesbeauftragten.
§ 56
Benachrichtigung betroffener Personen
(1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezo- gener Daten in speziellen Rechtsvorschriften, insbe- sondere bei verdeckten Maßnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten:
1. die in § 55 genannten Angaben,
2. die Rechtsgrundlage der Verarbeitung,
3. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Fest- legung dieser Dauer,
4. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten sowie
5. erforderlichenfalls weitere Informationen, insbeson- dere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.
(2) In den Fällen des Absatzes 1 kann der Verant- wortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie an- dernfalls
1. die Erfüllung der in § 45 genannten Aufgaben,
2. die öffentliche Sicherheit oder
3. Rechtsgüter Dritter
gefährdet würden, wenn das Interesse an der Vermei- dung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.
(3) Bezieht sich die Benachrichtigung auf die Über- mittlung personenbezogener Daten an Verfassungs- schutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57 Absatz 7 entsprechend.
§ 57
Auskunftsrecht
(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betref- fende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über
1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie ge- hören,
2. die verfügbaren Informationen über die Herkunft der Daten,
3. die Zwecke der Verarbeitung und deren Rechts- grundlage,
4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Fest- legung dieser Dauer,
6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,
7. das Recht nach § 60, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, sowie
8. Angaben zur Erreichbarkeit der oder des Bundes- beauftragten.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßi- gen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
(4) Der Verantwortliche kann unter den Vorausset- zungen des § 56 Absatz 2 von der Auskunft nach Ab- satz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschrän- ken.
(5) Bezieht sich die Auskunftserteilung auf die Über- mittlung personenbezogener Daten an Verfassungs- schutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicher- heit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(6) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informa- tionen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschrän- kung der Auskunft verfolgten Zweck gefährden würde.
(7) Wird die betroffene Person nach Absatz 6 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Bundesbeauftragte oder den Bundesbeauftragten aus- üben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 60 die Bundesbeauftragte oder den Bundesbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Per- son von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Bundesbeauf- tragten zu erteilen, soweit nicht die zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch
2118 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
die Sicherheit des Bundes oder eines Landes gefährdet würde. Die oder der Bundesbeauftragte hat die betrof- fene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie stattgefunden hat. Diese Mittei- lung kann die Information enthalten, ob datenschutz- rechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person darf keine Rückschlüsse auf den Erkenntnis- stand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verant- wortliche darf die Zustimmung nur insoweit und so- lange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschränken könnte. Die oder der Bundesbeauftragte hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.
(8) Der Verantwortliche hat die sachlichen oder recht- lichen Gründe für die Entscheidung zu dokumentieren.
§ 58
Rechte auf Berichtigung und Löschung
sowie Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie be- treffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.
(2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betref- fender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.
(3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschrän- ken, wenn
1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
2. die Daten zu Beweiszwecken in Verfahren, die Zwe- cken des § 45 dienen, weiter aufbewahrt werden müssen oder
3. eine Löschung wegen der besonderen Art der Spei- cherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbei- tung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.
(5) Hat der Verantwortliche eine Berichtigung vorge- nommen, hat er einer Stelle, die ihm die personenbezo- genen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzu- teilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
(6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schrift- lich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck ge- fährden würde.
(7) § 57 Absatz 7 und 8 findet entsprechende An- wendung.
§ 59
Verfahren für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet besonderer Formvor- schriften soll er bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form ver- wenden.
(2) Bei Anträgen hat der Verantwortliche die betrof- fene Person unbeschadet des § 57 Absatz 6 und des § 58 Absatz 6 unverzüglich schriftlich darüber in Kennt- nis zu setzen, wie verfahren wurde.
(3) Die Erteilung von Informationen nach § 55, die Benachrichtigungen nach den §§ 56 und 66 und die Bearbeitung von Anträgen nach den §§ 57 und 58 er- folgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 57 und 58 kann der Verantwortliche entweder eine angemessene Ge- bühr auf der Grundlage der Verwaltungskosten verlan- gen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können.
(4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den §§ 57 oder 58 gestellt hat, kann er von ihr zusätzliche Informationen anfordern, die zur Bestäti- gung ihrer Identität erforderlich sind.
§ 60
Anrufung der oder des Bundesbeauftragten
(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Bundesbeauftragte oder den Bundesbeauftragten wenden, wenn sie der Auffassung ist, bei der Verarbei- tung ihrer personenbezogenen Daten durch öffentliche Stellen zu den in § 45 genannten Zwecken in ihren
2119Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Rechten verletzt worden zu sein. Dies gilt nicht für die Verarbeitung von personenbezogenen Daten durch Ge- richte, soweit diese die Daten im Rahmen ihrer justiziel- len Tätigkeit verarbeitet haben. Die oder der Bundes- beauftragte hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechts- schutzes nach § 61 hinzuweisen.
(2) Die oder der Bundesbeauftragte hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbei- tung, die in die Zuständigkeit einer Aufsichtsbehörde in einem anderen Mitgliedstaat der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde des anderen Staates weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterlei- tung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.
§ 61
Rechtsschutz gegen Entscheidungen
der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
(1) Jede natürliche oder juristische Person kann un- beschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Bundes- beauftragten vorgehen.
(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Bundesbeauftragte mit einer Beschwerde nach § 60 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.
Kapitel 4
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 62
Auftragsverarbeitung
(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Ein- haltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berich- tigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
(2) Ein Verantwortlicher darf nur solche Auftragsver- arbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und orga- nisatorischen Maßnahmen sicherstellen, dass die Ver- arbeitung im Einklang mit den gesetzlichen Anforderun- gen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
(3) Auftragsverarbeiter dürfen ohne vorherige schrift- liche Genehmigung des Verantwortlichen keine weite- ren Auftragsverarbeiter hinzuziehen. Hat der Verant- wortliche dem Auftragsverarbeiter eine allgemeine Ge- nehmigung zur Hinzuziehung weiterer Auftragsverarbei-
ter erteilt, hat der Auftragsverarbeiter den Verantwort- lichen über jede beabsichtigte Hinzuziehung oder Er- setzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung unter- sagen.
(4) Zieht ein Auftragsverarbeiter einen weiteren Auf- tragsverarbeiter hinzu, so hat er diesem dieselben Ver- pflichtungen aus seinem Vertrag mit dem Verantwort- lichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auf- tragsverarbeiter nicht schon aufgrund anderer Vor- schriften verbindlich sind. Erfüllt ein weiterer Auftrags- verarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines ande- ren Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personen- bezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen fest- legt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsver- arbeiter
1. nur auf dokumentierte Weisung des Verantwort- lichen handelt; ist der Auftragsverarbeiter der Auf- fassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
2. gewährleistet, dass die zur Verarbeitung der perso- nenbezogenen Daten befugten Personen zur Ver- traulichkeit verpflichtet werden, soweit sie keiner an- gemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und be- stehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
5. dem Verantwortlichen alle erforderlichen Informatio- nen, insbesondere die gemäß § 76 erstellten Proto- kolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
7. die in den Absätzen 3 und 4 aufgeführten Bedingun- gen für die Inanspruchnahme der Dienste eines wei- teren Auftragsverarbeiters einhält;
8. alle gemäß § 64 erforderlichen Maßnahmen ergreift und
9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 64 bis 67 und § 69 genannten Pflichten unterstützt.
2120 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(6) Der Vertrag im Sinne des Absatzes 5 ist schrift- lich oder elektronisch abzufassen.
(7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vor- schrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
§ 63
Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verant- wortliche haben ihre jeweiligen Aufgaben und daten- schutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Ver- einbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwort- lichen geltend zu machen.
§ 64
Anforderungen an die Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechts- güter der betroffenen Personen die erforderlichen tech- nischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewähr- leisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Techni- schen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksich- tigen.
(2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüs- selung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass
1. die Vertraulichkeit, Integrität, Verfügbarkeit und Be- lastbarkeit der Systeme und Dienste im Zusammen- hang mit der Verarbeitung auf Dauer sichergestellt werden und
2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Da- tenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von perso- nenbezogenen Daten sowie der unbefugten Kennt- nisnahme, Veränderung und Löschung von gespei- cherten personenbezogenen Daten (Speicherkon- trolle),
4. Verhinderung der Nutzung automatisierter Verar- beitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkon- trolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtig- ten ausschließlich zu den von ihrer Zugangsberech- tigung umfassten personenbezogenen Daten Zu- gang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenüber- tragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskon- trolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezoge- nen Daten zu welcher Zeit und von wem in auto- matisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung perso- nenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Stö- rungsfall wiederhergestellt werden können (Wieder- herstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunk- tionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezo- gene Daten nicht durch Fehlfunktionen des Sys- tems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entspre- chend den Weisungen des Auftraggebers verarbei- tet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Ver- fügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwe- cken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbeson- dere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
2121Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 65
Meldung von Verletzungen des Schutzes personenbezogener
Daten an die oder den Bundesbeauftragten
(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftrag- ten zu melden, es sei denn, dass die Verletzung voraus- sichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftrag- ten nicht innerhalb von 72 Stunden, so ist die Verzöge- rung zu begründen.
(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 hat zumindest fol- gende Informationen zu enthalten:
1. eine Beschreibung der Art der Verletzung des Schut- zes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren An- zahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezo- genen Datensätze zu enthalten hat,
2. den Namen und die Kontaktdaten der oder des Da- tenschutzbeauftragten oder einer sonstigen Per- son oder Stelle, die weitere Informationen erteilen kann,
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nach- teiligen Auswirkungen.
(4) Wenn die Informationen nach Absatz 3 nicht zu- sammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
(5) Der Verantwortliche hat Verletzungen des Schut- zes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammen- hängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.
(6) Soweit von einer Verletzung des Schutzes perso- nenbezogener Daten personenbezogene Daten betrof- fen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unver- züglich zu übermitteln.
(7) § 42 Absatz 4 findet entsprechende Anwendung.
(8) Weitere Pflichten des Verantwortlichen zu Be- nachrichtigungen über Verletzungen des Schutzes per- sonenbezogener Daten bleiben unberührt.
§ 66
Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes personenbezo- gener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 65 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu ent- halten.
(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
1. der Verantwortliche geeignete technische und orga- nisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffe- nen Daten angewandt wurden; dies gilt insbeson- dere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;
2. der Verantwortliche durch im Anschluss an die Ver- letzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erheb- liche Gefahr im Sinne des Absatzes 1 mehr be- steht, oder
3. dies mit einem unverhältnismäßigen Aufwand ver- bunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffenen Perso- nen über eine Verletzung des Schutzes personenbezo- gener Daten nicht benachrichtigt hat, kann die oder der Bundesbeauftragte förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Ab- satzes 1 zur Folge hat.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 56 Absatz 2 genann- ten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Ab- satzes 1 überwiegen.
(6) § 42 Absatz 4 findet entsprechende Anwendung.
§ 67
Durchführung einer Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Ver-
2122 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
arbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffe- nen Personen durchzuführen.
(2) Für die Untersuchung mehrerer ähnlicher Verar- beitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschät- zung vorgenommen werden.
(3) Der Verantwortliche hat die Datenschutzbeauf- tragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.
(4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
1. eine systematische Beschreibung der geplanten Ver- arbeitungsvorgänge und der Zwecke der Verarbei- tung,
2. eine Bewertung der Notwendigkeit und Verhältnis- mäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garan- tien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
(5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
§ 68
Zusammenarbeit mit der oder dem Bundesbeauftragten
Der Verantwortliche hat mit der oder dem Bundes- beauftragten bei der Erfüllung ihrer oder seiner Aufga- ben zusammenzuarbeiten.
§ 69
Anhörung der oder des Bundesbeauftragten
(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Bundes- beauftragte oder den Bundesbeauftragten anzuhören, wenn
1. aus einer Datenschutz-Folgenabschätzung nach § 67 hervorgeht, dass die Verarbeitung eine erheb- liche Gefahr für die Rechtsgüter der betroffenen Per- sonen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde, oder
2. die Form der Verarbeitung, insbesondere bei der Ver- wendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechts- güter der betroffenen Personen zur Folge hat.
Die oder der Bundesbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur An- hörung nach Satz 1 unterliegen.
(2) Der oder dem Bundesbeauftragten sind im Fall des Absatzes 1 vorzulegen:
1. die nach § 67 durchgeführte Datenschutz-Folgenab- schätzung,
2. gegebenenfalls Angaben zu den jeweiligen Zustän- digkeiten des Verantwortlichen, der gemeinsam Ver- antwortlichen und der an der Verarbeitung beteilig- ten Auftragsverarbeiter,
3. Angaben zu den Zwecken und Mitteln der beabsich- tigten Verarbeitung,
4. Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien und
5. Name und Kontaktdaten der oder des Datenschutz- beauftragten.
Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbe- sondere die in Bezug auf den Schutz der personenbe- zogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(3) Falls die oder der Bundesbeauftragte der Auffas- sung ist, dass die geplante Verarbeitung gegen gesetz- liche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gege- benenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der An- hörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Bundesbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Ver- antwortlichen und gegebenenfalls den Auftragsverar- beiter über die Fristverlängerung zu informieren.
(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwort- lichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist be- ginnen. In diesem Fall sind die Empfehlungen der oder des Bundesbeauftragten im Nachhinein zu berück- sichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
§ 70
Verzeichnis von Verarbeitungstätigkeiten
(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
1. den Namen und die Kontaktdaten des Verantwort- lichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontakt- daten der oder des Datenschutzbeauftragten,
2. die Zwecke der Verarbeitung,
3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
2123Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
4. eine Beschreibung der Kategorien betroffener Per- sonen und der Kategorien personenbezogener Daten,
5. gegebenenfalls die Verwendung von Profiling,
6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Dritt- staat oder an eine internationale Organisation,
7. Angaben über die Rechtsgrundlage der Verarbei- tung,
8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auf- trag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
1. den Namen und die Kontaktdaten des Auftragsver- arbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenen- falls der oder des Datenschutzbeauftragten,
2. gegebenenfalls Übermittlungen von personenbezo- genen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und
3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
(3) Die in den Absätzen 1 und 2 genannten Verzeich- nisse sind schriftlich oder elektronisch zu führen.
(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Bundesbeauftragten zur Verfügung zu stellen.
§ 71
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
(1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Daten- schutzgrundsätze wie etwa die Datensparsamkeit wirk- sam umzusetzen, und die sicherstellen, dass die ge- setzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungs- kosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechts- güter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezoge- ner Daten und die Auswahl und Gestaltung von Daten- verarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verar- beiten. Personenbezogene Daten sind zum frühest- möglichen Zeitpunkt zu anonymisieren oder zu pseudo- nymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
(2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicher-
stellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen be- stimmten Verarbeitungszweck erforderlich ist. Dies be- trifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automati- siert einer unbestimmten Anzahl von Personen zugäng- lich gemacht werden können.
§ 72
Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
Der Verantwortliche hat bei der Verarbeitung perso- nenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:
1. Personen, gegen die ein begründeter Verdacht be- steht, dass sie eine Straftat begangen haben,
2. Personen, gegen die ein begründeter Verdacht be- steht, dass sie in naher Zukunft eine Straftat bege- hen werden,
3. verurteilte Straftäter,
4. Opfer einer Straftat oder Personen, bei denen be- stimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und
5. andere Personen wie insbesondere Zeugen, Hin- weisgeber oder Personen, die mit den in den Num- mern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.
§ 73
Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
Der Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbe- zogene Daten auf Tatsachen oder auf persönlichen Ein- schätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persön- lichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persön- lichen Einschätzung beruhenden Beurteilung zugrunde liegen.
§ 74
Verfahren bei Übermittlungen
(1) Der Verantwortliche hat angemessene Maßnah- men zu ergreifen, um zu gewährleisten, dass personen- bezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit ange- messenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprü- fen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu be- urteilen.
2124 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Gelten für die Verarbeitung von personenbezoge- nen Daten besondere Bedingungen, so hat bei Daten- übermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beach- tung hinzuweisen. Die Hinweispflicht kann dadurch er- füllt werden, dass die Daten entsprechend markiert werden.
(3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Ver- trags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Daten- übermittlungen gelten.
§ 75
Berichtigung und Löschung personenbezogener
Daten sowie Einschränkung der Verarbeitung
(1) Der Verantwortliche hat personenbezogene Da- ten zu berichtigen, wenn sie unrichtig sind.
(2) Der Verantwortliche hat personenbezogene Da- ten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Ver- pflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.
(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwen- den. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen.
(4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen hat der Verantwort- liche für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzu- stellen, dass diese Fristen eingehalten werden.
§ 76
Protokollierung
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich Übermittlung,
5. Kombination und
6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie mög- lich die Identität der Person, die die personenbezoge- nen Daten abgefragt oder offengelegt hat, und die Iden- tität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Über- prüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Daten- schutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie
für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.
§ 77
Vertrauliche Meldung von Verstößen
Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwor- tungsbereich erfolgende Verstöße gegen Datenschutz- vorschriften zugeleitet werden können.
Kapitel 5
Datenübermittlungen an Drittstaaten und an internationale Organisationen
§ 78
Allgemeine Voraussetzungen
(1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisa- tionen ist bei Vorliegen der übrigen für Datenübermitt- lungen geltenden Voraussetzungen zulässig, wenn
1. die Stelle oder internationale Organisation für die in § 45 genannten Zwecke zuständig ist und
2. die Europäische Kommission gemäß Artikel 36 Ab- satz 3 der Richtlinie (EU) 2016/680 einen Angemes- senheitsbeschluss gefasst hat.
(2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlus- ses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Da- tenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementa- ren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurtei- lung hat der Verantwortliche maßgeblich zu berücksich- tigen, ob der Empfänger im Einzelfall einen angemes- senen Schutz der übermittelten Daten garantiert.
(3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermit- telt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zu- vor von der zuständigen Stelle des anderen Mitglied- staats genehmigt werden. Übermittlungen ohne vorhe- rige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Geneh- migung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die für die Erteilung der Genehmigung zuständig ge- wesen wäre, unverzüglich über die Übermittlung zu unterrichten.
2125Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzu- stellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwort- liche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu be- rücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezo- gene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.
§ 79
Datenübermittlung bei geeigneten Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 78 auch dann zulässig, wenn
1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
2. der Verantwortliche nach Beurteilung aller Umstän- de, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garan- tien für den Schutz personenbezogener Daten be- stehen.
(2) Der Verantwortliche hat Übermittlungen nach Ab- satz 1 Nummer 2 zu dokumentieren. Die Dokumenta- tion hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Bundesbeauftragten auf Anforde- rung zur Verfügung zu stellen.
(3) Der Verantwortliche hat die Bundesbeauftragte oder den Bundesbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Be- urteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermitt- lungszwecke angemessen kategorisieren.
§ 80
Datenübermittlung ohne geeignete Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Be- schluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garan- tien im Sinne des § 79 Absatz 1 vor, ist eine Übermitt- lung bei Vorliegen der übrigen Voraussetzungen des § 78 auch dann zulässig, wenn die Übermittlung erfor- derlich ist
1. zum Schutz lebenswichtiger Interessen einer natür- lichen Person,
2. zur Wahrung berechtigter Interessen der betroffenen Person,
3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,
4. im Einzelfall für die in § 45 genannten Zwecke oder
5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammen- hang mit den in § 45 genannten Zwecken.
(2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab- satz 2 entsprechend.
§ 81
Sonstige Datenübermittlung an Empfänger in Drittstaaten
(1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbe- zogene Daten unmittelbar an nicht in § 78 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und
1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermitt- lung überwiegen,
2. die Übermittlung an die in § 78 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durch- geführt werden kann, und
3. der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbei- tet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.
(2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 78 Absatz 1 Nummer 1 genannten Stellen un- verzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab- satz 2 und 3 entsprechend.
(4) Bei Übermittlungen nach Absatz 1 hat der Ver- antwortliche den Empfänger zu verpflichten, die über- mittelten personenbezogenen Daten ohne seine Zu- stimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.
(5) Abkommen im Bereich der justiziellen Zusam- menarbeit in Strafsachen und der polizeilichen Zusam- menarbeit bleiben unberührt.
Kapitel 6
Zusammenarbeit der Aufsichtsbehörden
§ 82
Gegenseitige Amtshilfe
(1) Die oder der Bundesbeauftragte hat den Daten- schutzaufsichtsbehörden in anderen Mitgliedstaaten der Europäischen Union Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitli- che Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. Die Amtshilfe betrifft insbe- sondere Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um Konsultation
2126 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
oder um Vornahme von Nachprüfungen und Untersu- chungen.
(2) Die oder der Bundesbeauftragte hat alle geeigne- ten Maßnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen.
(3) Die oder der Bundesbeauftragte darf Amtshilfe- ersuchen nur ablehnen, wenn
1. sie oder er für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie oder er durchführen soll, nicht zuständig ist oder
2. ein Eingehen auf das Ersuchen gegen Rechtsvor- schriften verstoßen würde.
(4) Die oder der Bundesbeauftragte hat die ersu- chende Aufsichtsbehörde des anderen Staates über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie oder er hat im Fall des Absatzes 3 die Gründe für die Ableh- nung des Ersuchens zu erläutern.
(5) Die oder der Bundesbeauftragte hat die Informa- tionen, um die sie oder er von der Aufsichtsbehörde des anderen Staates ersucht wurde, in der Regel elek- tronisch und in einem standardisierten Format zu über- mitteln.
(6) Die oder der Bundesbeauftragte hat Amtshilfe- ersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbehörde des ande- ren Staates die Erstattung entstandener Ausgaben ver- einbart hat.
(7) Ein Amtshilfeersuchen der oder des Bundesbe- auftragten hat alle erforderlichen Informationen zu ent- halten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.
Kapitel 7
Haftung und Sanktionen
§ 83
Schadensersatz und Entschädigung
(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verar- beitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflich- tet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
(2) Wegen eines Schadens, der nicht Vermögens- schaden ist, kann die betroffene Person eine angemes- sene Entschädigung in Geld verlangen.
(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche bezie- hungsweise sein Rechtsträger.
(4) Hat bei der Entstehung des Schadens ein Ver- schulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzu- wenden.
(5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
§ 84
Strafvorschriften
Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach § 45 Satz 1, 3 oder 4 findet § 42 entsprechende An- wendung.
Te i l 4
B e s o n d e r e B e s t i mm u n g e n f ü r
Ve r a r b e i t u n g e n i m R a hm e n v o n n i c h t i n d i e A n w e n d u n g s b e r e i c h e
d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9 u n d d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0
f a l l e n d e n T ä t i g k e i t e n
§ 85
Verarbeitung personenbezogener Daten
im Rahmen von nicht in die Anwendungs- bereiche der Verordnung (EU) 2016/679 und
der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
(1) Die Übermittlung personenbezogener Daten an einen Drittstaat oder an über- oder zwischenstaatliche Stellen oder internationale Organisationen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen- den Tätigkeiten ist über die bereits gemäß der Verord- nung (EU) 2016/679 zulässigen Fälle hinaus auch dann zulässig, wenn sie zur Erfüllung eigener Aufgaben aus zwingenden Gründen der Verteidigung oder zur Erfül- lung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. Der Emp- fänger ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden.
(2) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch Dienststellen im Geschäftsbereich des Bundes- ministeriums der Verteidigung gilt § 16 Absatz 4 nicht, soweit das Bundesministerium der Verteidigung im Ein- zelfall feststellt, dass die Erfüllung der dort genannten Pflichten die Sicherheit des Bundes gefährden würde.
(3) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch öffentliche Stellen des Bundes besteht keine Informationspflicht gemäß Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679, wenn
1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3 handelt oder
2127Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2. durch ihre Erfüllung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden be- rechtigten Interessen eines Dritten, geheim gehalten werden müssen, und deswegen das Interesse der betroffenen Person an der Erteilung der Information zurücktreten muss.
Ist die betroffene Person in den Fällen des Satzes 1 nicht zu informieren, besteht auch kein Recht auf Aus- kunft. § 32 Absatz 2 und § 33 Absatz 2 finden keine Anwendung.
Artikel 2
Änderung des Bundesverfassungsschutzgesetzes
Das Bundesverfassungsschutzgesetz vom 20. De- zember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. § 6 wird wie folgt geändert:
a) In Absatz 2 Satz 4 wird das Wort „sperren“ durch die Wörter „die Verarbeitung einschränken“ er- setzt.
b) In Absatz 3 Satz 1 wird die Angabe „nach § 9“ durch die Angabe „entsprechend § 64“ ersetzt.
2. § 8 Absatz 1 Satz 1 wird wie folgt gefasst:
„Das Bundesamt für Verfassungsschutz darf die zur Erfüllung seiner Aufgaben erforderlichen Informa- tionen einschließlich personenbezogener Daten verarbeiten, soweit nicht die anzuwendenden Be- stimmungen des Bundesdatenschutzgesetzes oder besondere Regelungen in diesem Gesetz entge- genstehen; die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat.“
3. In § 8b Absatz 2 Satz 4 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4. § 12 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) Absatz 2 Satz 3 wird wie folgt gefasst:
„In diesem Falle ist die Verarbeitung einzu- schränken.“
5. § 13 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
„(2) Das Bundesamt für Verfassungsschutz hat die Verarbeitung personenbezogener Daten einzuschränken, wenn es im Einzelfall feststellt, dass ohne die Einschränkung schutzwürdige In- teressen des Betroffenen beeinträchtigt würden und die Daten für seine künftige Aufgabenerfül- lung nicht mehr erforderlich sind. Verarbeitungs- eingeschränkte Daten sind mit einem entspre- chenden Vermerk zu versehen; sie dürfen nicht mehr genutzt oder übermittelt werden. Eine Auf- hebung der Einschränkung ist möglich, wenn ihre Voraussetzungen nachträglich entfallen.“
b) Absatz 3 Satz 5 und 6 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der in der Akte gespeicherten personenbezogenen Daten einzuschränken und mit einem entsprechenden Vermerk zu versehen. Sie dürfen nur für die Inte- ressen nach Satz 4 verarbeitet werden oder wenn es zur Abwehr einer erheblichen Gefahr unerlässlich ist.“
6. Dem § 14 Absatz 1 wird folgender Satz angefügt:
„Das Bundesamt für Verfassungsschutz führt ein Verzeichnis der geltenden Dateianordnungen.“
7. § 22a wird wie folgt geändert:
a) In Absatz 5 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „nach § 8“ durch die Angabe „entsprechend § 83“ ersetzt.
8. § 22b Absatz 7 Satz 1 und 2 wird wie folgt gefasst:
„Das Bundesamt für Verfassungsschutz trifft für die Dateien die technischen und organisatorischen Maßnahmen entsprechend § 64 des Bundesdaten- schutzgesetzes. § 6 Absatz 3 Satz 2 bis 5 und § 26a gelten nur für die vom Bundesamt für Verfas- sungsschutz eingegebenen Daten sowie dessen Abrufe.“
9. § 25 Satz 3 wird wie folgt gefasst:
„Die Vernichtung kann unterbleiben, wenn die Tren- nung von anderen Informationen, die zur Erfüllung der Aufgaben erforderlich sind, nicht oder nur mit unvertretbarem Aufwand möglich ist; in diesem Fall ist die Verarbeitung der Daten einzuschränken.“
10. § 27 wird durch die folgenden §§ 26a und 27 er- setzt:
㤠26a
Unabhängige Datenschutzkontrolle
(1) Jedermann kann sich an die Bundesbeauf- tragte oder den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner per- sonenbezogenen Daten durch das Bundesamt für Verfassungsschutz in seinen Rechten verletzt worden zu sein.
(2) Die oder der Bundesbeauftragte für den Da- tenschutz und die Informationsfreiheit kontrolliert beim Bundesamt für Verfassungsschutz die Einhal- tung der Vorschriften über den Datenschutz. Soweit die Einhaltung von Vorschriften der Kontrolle durch die G 10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, es sei denn, die G 10-Kom- mission ersucht die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.
(3) Das Bundesamt für Verfassungsschutz ist verpflichtet, die Bundesbeauftragte oder den Bun- desbeauftragten für den Datenschutz und die Infor- mationsfreiheit und ihre oder seine schriftlich be-
2128 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
sonders Beauftragten bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Den in Satz 1 ge- nannten Personen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 2 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
Dies gilt nicht, soweit das Bundesministerium des Innern im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
(4) Die Absätze 1 bis 3 gelten ohne Beschrän- kung auf die Erfüllung der Aufgaben nach § 3. Sie gelten entsprechend für die Verarbeitung personen- bezogener Daten durch andere Stellen, wenn diese der Erfüllung der Aufgaben von Verfassungsschutz- behörden nach § 3 dient. § 16 Absatz 1 und 4 des Bundesdatenschutzgesetzes findet keine An- wendung.
§ 27
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben nach § 3 durch das Bundesamt für Verfassungsschutz findet das Bundesdatenschutzgesetz wie folgt Anwendung:
1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54, 62, 64, 83, 84 sind entsprechend anzuwenden.“
Artikel 3
Änderung des MAD-Gesetzes
Das MAD-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2977), das zuletzt durch Artikel 6 des Gesetzes vom 27. März 2017 (BGBl. I S. 562) geändert worden ist, wird wie folgt geändert:
1. § 4 Absatz 1 wird wie folgt gefasst:
„(1) Der Militärische Abschirmdienst darf die zur Erfüllung seiner Aufgaben erforderlichen Informatio- nen einschließlich personenbezogener Daten verar- beiten nach § 8 Absatz 2, 4 und 5 des Bundesver- fassungsschutzgesetzes, soweit nicht die anzuwen- denden Bestimmungen des Bundesdatenschutz- gesetzes oder besondere Regelungen in diesem Gesetz entgegenstehen; die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat. Der Militärische Abschirmdienst ist nicht befugt, perso- nenbezogene Daten zur Erfüllung seiner Aufgaben nach § 1 Absatz 2 zu erheben. § 8 Absatz 2 des Bundesverfassungsschutzgesetzes findet mit der Maßgabe Anwendung, dass die Zustimmung zur Dienstanweisung durch das Bundesministerium der Verteidigung erteilt wird.“
2. In § 6 Absatz 2 werden die Wörter „zu sperren“ durch die Wörter „ihre Verarbeitung einzuschränken“ ersetzt.
3. In § 10 Absatz 2 Satz 2 werden nach den Wörtern „frühere Namen,“ die Wörter „das Geburtsdatum,“ eingefügt.
4. Nach § 12 wird folgender § 12a eingefügt:
㤠12a
Unabhängige Datenschutzkontrolle
§ 26a des Bundesverfassungsschutzgesetzes ist mit der Maßgabe entsprechend anzuwenden, dass an die Stelle des Bundesministeriums des Innern das Bundesministerium der Verteidigung tritt.“
5. § 13 wird wie folgt gefasst:
㤠13
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben nach § 1 Absatz 1 bis 3, den §§ 2 und 14 durch den Militärischen Ab- schirmdienst findet das Bundesdatenschutzgesetz wie folgt Anwendung:
1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54, 62, 64, 83, 84 sind entsprechend anzuwenden.“
Artikel 4
Änderung des BND-Gesetzes
Das BND-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) geändert worden ist, wird wie folgt geändert:
1. In § 1 Absatz 2 Satz 2 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. § 2 Absatz 1 wird wie folgt geändert:
a) Im Satzteil vor Nummer 1 werden die Wörter „er- heben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) Folgender Satz wird angefügt:
„Die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat.“
3. § 6 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung und“ gestrichen.
b) In Absatz 1 Satz 1 werden die Wörter „erheben und“ gestrichen.
4. In § 7 werden die Wörter „Verarbeitung und Nut- zung“ in der Überschrift durch die Wörter „Weitere Verarbeitung“ und in Absatz 1 durch die Wörter „weitere Verarbeitung“ ersetzt.
5. In § 10 Absatz 4 Satz 6 wird das Wort „gesperrt“ durch die Wörter „in ihrer Verarbeitung einge- schränkt“ ersetzt.
6. In der Überschrift zu Abschnitt 3 wird das Wort „Datenverarbeitung“ durch das Wort „Datenweiter- verarbeitung“ ersetzt.
7. § 20 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
2129Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
b) In den Absätzen 1 und 2 Satz 1 werden jeweils die Wörter „zu sperren“ durch die Wörter „deren Verarbeitung einzuschränken“ ersetzt.
8. § 25 wird wie folgt geändert:
a) In Absatz 5 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „§ 8“ durch die Angabe „§ 83“ ersetzt.
9. In § 27 Absatz 2 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
10. In § 28 Satz 2 Nummer 11 wird die Angabe „§ 8“ durch die Angabe „§ 83“ ersetzt.
11. § 32 wird wie folgt gefasst:
㤠32
Unabhängige Datenschutzkontrolle
§ 26a des Bundesverfassungsschutzgesetzes ist mit der Maßgabe entsprechend anzuwenden, dass an die Stelle des Bundesministeriums des Innern das Bundeskanzleramt tritt.“
12. Nach § 32 wird folgender § 32a eingefügt:
㤠32a
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben des Bundesnach- richtendienstes nach § 1 Absatz 2 ist das Bundes- datenschutzgesetz wie folgt anzuwenden:
1. von den Teilen 1 und 4 des Bundesdatenschutz- gesetzes
a) finden § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4, die §§ 17 bis 21 sowie § 85 keine An- wendung,
b) findet § 14 Absatz 2 mit der Maßgabe Anwen- dung, dass sich die oder der Bundesbeauf- tragte für den Datenschutz und die Informa- tionsfreiheit nur an die Bundesregierung so- wie an die für die Kontrolle des Bundesnach- richtendienstes zuständigen Gremien (Parla- mentarisches Kontrollgremium, Vertrauens- gremium, G 10-Kommission, Unabhängiges Gremium) wenden darf; eine Befassung der für die Kontrolle des Bundesnachrichten- dienstes zuständigen Gremien setzt voraus, dass sie oder er der Bundesregierung ent- sprechend § 16 Absatz 2 Satz 1 des Bundes- datenschutzgesetzes zuvor Gelegenheit ge- geben hat, innerhalb einer von ihr oder ihm gesetzten Frist Stellung zu nehmen;
2. von Teil 3 des Bundesdatenschutzgesetzes sind die §§ 46, 51 Absatz 1 bis 4 sowie die §§ 52 bis 54, 62, 64, 83, 84 entsprechend anzuwen- den.“
Artikel 5
Änderung des Sicherheitsüberprüfungsgesetzes
Das Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867), das zuletzt durch Artikel 1 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 31 wird wie folgt gefasst:
„§ 31 Datenverarbeitung in automatisierten Da- teien“.
b) Nach der Angabe zu § 36 wird folgende Angabe eingefügt:
„§ 36a Unabhängige Datenschutzkontrolle“.
2. In § 19 Absatz 2 Satz 5 werden die Wörter „verarbei- tet und genutzt“ durch die Wörter „gespeichert, ge- nutzt, verändert, übermittelt und gelöscht“ ersetzt.
3. In § 21 Absatz 5 Satz 1 werden die Wörter „verarbei- ten und nutzen“ durch die Wörter „speichern, nut- zen, verändern und übermitteln“ ersetzt.
4. In § 22 Absatz 3 Satz 3 werden die Wörter „verarbei- tet und genutzt“ durch die Wörter „genutzt, verän- dert, übermittelt und gelöscht“ ersetzt.
5. Die Überschrift von § 31 wird wie folgt gefasst:
㤠31
Datenverarbeitung in automatisierten Dateien“.
6. § 36 wird durch die folgenden §§ 36 und 36a ersetzt:
㤠36
Anwendung des Bundesdatenschutzgesetzes,
Bundesverfassungsschutzgesetzes, MAD-Gesetzes und BND-Gesetzes
(1) Die Vorschriften des Bundesdatenschutzge- setzes finden wie folgt Anwendung:
1. § 1 Absatz 8, § 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 42, 46, 51 Absatz 1 und 3, die §§ 52, 53, 54 Absatz 1 und 2 sowie die §§ 62, 64, 83 sind ent- sprechend anzuwenden.
(2) Die Vorschriften des Ersten Abschnitts und die §§ 14 und 23 Nummer 3 des Bundesverfassungs- schutzgesetzes auch in Verbindung mit § 12 des MAD-Gesetzes und § 31 des BND-Gesetzes sowie die §§ 1, 8 und § 10 Absatz 2 Satz 2 bis 6 des MAD- Gesetzes und § 21 des BND-Gesetzes finden An- wendung.
§ 36a
Unabhängige Datenschutzkontrolle
(1) Jede Person kann sich an die Bundesbeauf- tragte oder den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer perso- nenbezogenen Daten nach diesem Gesetz durch öffentliche oder nichtöffentliche Stellen in ihren Rechten verletzt worden zu sein.
(2) Die oder der Bundesbeauftragte für den Da- tenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen und den nichtöffentlichen Stel- len die Einhaltung der anzuwendenden Vorschriften über den Datenschutz bei der Erfüllung der Aufga- ben dieses Gesetzes. Soweit die Einhaltung von Vor- schriften der Kontrolle durch die G 10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, es sei denn, die G 10-Kommission ersucht die Bundes-
2130 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
beauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, sie bei be- stimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu be- richten. Der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterliegen auch nicht personenbezogene Daten in Akten über die Sicher- heitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber der oder dem Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit widerspricht.
(3) Die öffentlichen und nichtöffentlichen Stellen sind verpflichtet, die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit und ihre oder seine schriftlich be- sonders Beauftragten bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Den in Satz 1 ge- nannten Personen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kon- trolle nach Absatz 2 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
Dies gilt nicht, soweit die zuständige oberste Bun- desbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.“
Artikel 6
Änderung des Artikel 10-Gesetzes
Das Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. I S. 1254, 2298; 2017 I S. 154), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. § 4 wird wie folgt geändert:
a) Absatz 1 Satz 7 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der Daten ein- zuschränken; sie dürfen nur zu diesen Zwecken verwendet werden.“
b) Absatz 4 wird wie folgt geändert:
aa) Nach dem Wort „dürfen“ werden die Wörter „an andere als die nach § 1 Absatz 1 Num- mer 1 berechtigten Stellen“ eingefügt.
bb) Folgender Satz wird angefügt:
„Bei der Übermittlung an ausländische öffent- liche Stellen sowie an über- und zwischen- staatliche Stellen ist daneben § 19 Absatz 3 Satz 2 und 4 des Bundesverfassungsschutz- gesetzes anzuwenden.“
2. § 6 Absatz 1 Satz 7 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der Daten einzu- schränken; sie dürfen nur zu diesen Zwecken ver- wendet werden.“
3. In § 15 Absatz 5 Satz 2 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4. In § 16 Satz 2 werden die Wörter „und Nutzung“ gestrichen.
Artikel 7
Änderung des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 28. April 2017 (BGBl. I S. 968) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 42a folgende Angabe eingefügt:
„§ 42b Antrag der Aufsichtsbehörde auf gericht- liche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission“.
2. Nach § 22 Absatz 5 wird folgender Absatz 5a einge- fügt:
„(5a) Die oder der Bundesbeauftragte kann Auf- gaben der Personalverwaltung und Personalwirt- schaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.“
3. Nach § 42a wird folgender § 42b eingefügt:
㤠42b
Antrag der Aufsichtsbehörde
auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit
eines Beschlusses der Europäischen Kommission
(1) Hält eine Aufsichtsbehörde einen Angemes- senheitsbeschluss der Europäischen Kommission, einen Beschluss über die Anerkennung von Stan- dardschutzklauseln oder über die Allgemeingültig- keit von genehmigten Verhaltensregeln, auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbe- hörde ankommt, für rechtswidrig, so hat die Auf- sichtsbehörde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist der Verwal- tungsrechtsweg gegeben. Die Verwaltungsgerichts- ordnung ist nach Maßgabe der Absätze 3 bis 6 an- zuwenden.
(3) Über einen Antrag der Aufsichtsbehörde nach Absatz 1 entscheidet im ersten und letzten Rechts- zug das Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die Aufsichts- behörde beteiligungsfähig. An einem Verfahren nach Absatz 1 ist die Aufsichtsbehörde als Antragstellerin beteiligt; § 63 Nummer 3 und 4 der Verwaltungsge- richtsordnung bleibt unberührt. Das Bundesverwal- tungsgericht kann der Europäischen Kommission Gelegenheit zur Äußerung binnen einer zu bestim- menden Frist geben.
(5) Ist ein Verfahren zur Überprüfung der Gültig- keit eines Beschlusses der Europäischen Kommis-
2131Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
sion nach Absatz 1 bei dem Gerichtshof der Euro- päischen Union anhängig, so kann das Bundesver- waltungsgericht anordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsord- nung entsprechend anzuwenden. Kommt das Bun- desverwaltungsgericht zu der Überzeugung, dass der Beschluss der Europäischen Kommission nach Absatz 1 gültig ist, so stellt es dies in seiner Ent- scheidung fest. Andernfalls legt es die Frage nach der Gültigkeit des Beschlusses gemäß Artikel 267 des Vertrags über die Arbeitsweise der Euro-
päischen Union dem Gerichtshof der Europäischen Union zur Entscheidung vor.“
Artikel 8
Inkrafttreten, Außerkrafttreten
(1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Bundes- datenschutzgesetz in der Fassung der Bekanntma- chung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 dieses Gesetzes geändert worden ist, außer Kraft.
(2) Artikel 7 tritt am Tag nach der Verkündung in Kraft.
Das vorstehende Gesetz wird hiermit ausgefertigt. Es ist im Bundesgesetzblatt zu verkünden.
Berlin, den 30. Juni 2017
D e r B u n d e s p r ä s i d e n t S t e i n m e i e r
D i e B u n d e s k a n z l e r i n Dr. A n g e l a M e r k e l
D e r B u n d e sm i n i s t e r d e s I n n e r n T h om a s d e M a i z i è r e
D e r B u n d e sm i n i s t e r d e r J u s t i z u n d f ü r Ve r b r a u c h e r s c h u t z
H e i k o M a a s
D e r B u n d e sm i n i s t e r f ü r G e s u n d h e i t H e r m a n n G r ö h e
2132 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de