|
Bundesdatenschutzgesetz
(BDSG)
(Artikel 1 des Gesetzes
zur Fortentwicklung der Datenverarbeitung und des Datenschutzes vom 20. Dezember
1990,
BGBl. I S. 2954, 2955, zuletzt geändert durch das Gesetz zur Neuordnung
des Postwesens und der
Telekommunikation vom 14. September 1994, BGBl. I S. 2325>
Inhaltsübersicht
Erster Abschnitt: Allgemeine
Bestimmungen
§ 1 Zweck und Anwendungsbereich des Gesetzes
§ 2 Öffentliche und nicht-öffentliche Stellen
§ 3 Weitere Begriffsbestimmungen
§ 4 Zulässigkeit der Datenverarbeitung und -nutzung
§ 5 Datengeheimnis
§ 6 Unabdingbare Rechte des Betroffenen
§ 7 Schadensersatz durch öffentliche Stellen
§ 8 Schadensersatz durch nicht-öffentliche Stellen
§ 9 Technische und organisatorische Maßnahmen
§ 10 Einrichtung automatisierter Abrufverfahren
§ 11 Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
Zweiter Abschnitt: Datenverarbeitung
der öffentlichen Stellen
Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung
§ 12 Anwendungsbereich
§ 13 Datenerhebung
§ 14 Datenspeicherung, -veränderung und -nutzung
§ 15 Datenübermittlung an öffentliche Stellen
§ 16 Datenübermittlung an nicht-öffentliche Stellen
§ 17 Daten übermittlung an Stellen außerhalb des Geltungsbereichs
dieses Gesetzes
§ 18 Durchführung des Datenschutzes in der Bundesverwaltung
Zweiter Unterabschnitt: Rechte des Betroffenen
§ 19 Auskunft an den Betroffenen
§ 20 Berichtigung, Löschung und Sperrung von Daten
§ 21 Anrufung des Bundesbeauftragten für den Datenschutz
Dritter Unterabschnitt: Bundesbeauftragter für den Datenschutz
§ 22 Wahl
§ 23 Rechtsstellung
§ 24 Kontrolle durch den Bundesbeauftragten
§ 25 Beanstandungen durch den Bundesbeauftragten
§ 26 Weitere Aufgaben des Bundesbeauftragten, Dateienregister
Dritter Abschnitt: Datenverarbeitung
nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen
Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
§ 28 Datenspeicherung, -übermittlung und -nutzung für eigene
Zwecke
§ 29 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung
§ 30 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung
in anonymisierter Form
§ 31 Besondere Zweckbindung
§ 32 Meldepflichten
Zweiter Unterabschnitt: Rechte des Betroffenen
§ 33 Benachrichtigung des Betroffenen
§ 34 Auskunft an den Betroffenen
§ 35 Berichtigung, Löschung und Sperrung von Daten
Dritter Unterabschnitt: Beauftragter für den Datenschutz, Aufsichtsbehörde
§ 36 Bestellung eines Beauftragten
§ 37 Aufgaben des Beauftragten
§ 38 Aufsichtsbehörde
Vierter Abschnitt: Sondervorschriften
§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs-
oder besonderen Amtsgeheimnis
unterliegen
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
§ 41 Verarbeitung und Nutzung personenbezogener Daten durch die Medien
§ 42 Datenschutzbeauftragte der Rundfunkanstalten des Bundesrechts
Fünfter Abschnitt:
Schlußvorschriften
§ 43 Strafvorschriften
§ 44 Bußgeldvorschriften
Erster Abschnitt
Allgemeine Bestimmungen
§ 1 Zweck und Anwendungsbereich
des Gesetzes
(1) Zweck dieses Gesetzes
ist es, den einzelnen davor zu schützen, daß er durch den Umgang
mit
seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt
wird.
(2) Dieses Gesetz gilt
für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
1. öffentliche Stellen
des Bundes,
2. öffentliche Stellen
der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist
und
soweit sie
a) Bundesrecht ausführen
oder
b) als Organe der Rechtspflege
tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
3. nicht-öffentliche
Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig
oder für ber ufliche
oder gewerbliche Zwecke verarbeiten oder nutzen.
(3) Bei der Anwendung dieses
Gesetzes gelten folgende Einschränkungen:
1. Für automatisierte
Dateien, die ausschließlich aus verarbeitungstechnischen Gründen
vorübergehend
erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht
werden, gelten nur die §§
5 und 9.
2. Für nicht-automatisierte
Dateien, deren personenbezogene Daten nicht zur Übermittlung an Dritte
bestimmt sind, gelten nur die §§ 5, 9, 39 und 40. Außerdem gelten
für Dateien öffentlicher Stellen die
Regelungen über die Verarbeitung und Nutzung personenbezogener Daten in
Akten. Werden im Einzelfall
personenbezogene Daten übermittelt, gelten für diesen Einzelfall die
Vorschriften dieses Gesetzes
uneingeschränkt.
(4) Soweit andere Rechtsvorschriften
des Bundes auf personenbezogene Daten einschließlich deren
Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes
vor. Die Verpflichtung zur
Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen
Amtsgeheimnissen,
die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(5) Die Vorschriften dieses
Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei
der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
§ 2 Öffentliche
und nicht-öffentliche Stellen
(1) Öffentliche Stellen
des Bundes sind die Behörden, die Organe der Rechtspflege und andere
öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren
Körperschaften,
Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen
ungeachtet ihrer
Rechtsform. Als öffentliche Stellen gelten die aus dem Sondervermögen
Deutsche Bundespost durch
Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches
Recht nach dem
Postgesetz oder dem Gesetz über Fernmeldeanlagen zusteht.
(2) Öffentliche Stellen
der Länder sind die Behörden, die Organe der Rechtspflege und andere
öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde,
eines Gemeindeverbandes
und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des
öffentlichen Rechts
sowie derer Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten
Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben
der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung
nicht-öffentlicher Stellen als
öffentliche Stellen des Bundes, wenn
1. sie über den Bereich
eines Landes hinaus tätig werden oder
2. dem Bund die absolute
Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie
als öffentliche Stellen der Länder.
(4) Nicht-öffentliche
Stellen sind natürliche und juristische Personen, Gesellschaften und andere
Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze
1 bis 3 fallen. Nimmt eine
nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung
wahr, ist sie insoweit öffentliche
Stelle im Sinne dieses Gesetzes.
§ 3 Weitere Begriffsbestimmungen
(1) Personenbezogene Daten
sind Einzelangaben über persönliche oder sachliche Verhältnisse
einer
bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Eine Datei ist
1. eine Sammlung personenbezogener
Daten, die durch automatisierte Verfahren nach bestimmten
Merkmalen ausgewertet werden kann (automatisierte Datei), oder
2. jede sonstige Sammlung
personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten
Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte
Datei).
Nicht hierzu gehören
Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren
umgeordnet und ausgewertet werden können.
(3) Eine Akte ist jede
sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen
auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen,
die nicht Bestandteil eines
Vorgangs werden sollen.
(4) Erheben ist das Beschaffen
von Daten über den Betroffenen.
(5) Verarbeiten ist das
Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener
Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen,
Aufnehmen oder Aufbewahren personenbezogener Daten auf einem
Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche
Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das
Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß
a) die Daten durch die
speichernde Stelle an den Empfänger weitergegeben werden oder
b) der Empfänger von
der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht
oder abruft,
4. Sperren das Kennzeichnen
gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung
oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen
gespeicherter personenbezogener Daten.
(6) Nutzen ist jede Verwendung
personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
(7) Anonymisieren ist das
Verändern personenbezogener Daten derart, daß die Einzelangaben über
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großen
Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren
natürlichen Person
zugeordnet werden können.
(8) Speichernde Stelle
ist jede Person oder Stelle, die personenbezogene Daten für sich selbst
speichert
oder durch andere im Auftrag speichern läßt.
(9) Dritter ist jede Person
oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der Betroffene
sowie diejenigen Personen und Stellen, die im Geltungsbereich dieses Gesetzes
personenbezogene
Daten im Auftrag verarbeiten oder nutzen.
§ 4 Zulässigkeit
der Datenverarbeitung und -nutzung
(1) Die Verarbeitung personenbezogener
Daten und deren Nutzung sind nur zulässig, wenn dieses
Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit
der Betroffene
eingewilligt hat.
(2) Wird die Einwilligung
bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und einer
vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung
der Einwilligung
hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer
Umstände eine
andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen
schriftlich erteilt
werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild
der Erklärung hervorzuheben.
(3) Im Bereich der wissenschaftlichen
Forschung liegt ein besonderer Umstand im Sinne von Absatz 2
Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck
erheblich
beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz
2 Satz 1 und die Gründe, aus denen
sich die erhebliche Beeinträchtigung des bestimmten Forschungszweckes ergibt,
schriftlich festzuhalten.
§ 5 Datengeheimnis
Den bei der Datenverarbeitung
beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt
zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit
sie bei nicht-öffentlichen
Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das
Datengeheimnis zu verpflichten. Das
Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 6 Unabdingbare Rechte
des Betroffenen
(1) Die Rechte des Betroffenen
auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder
Sperrung
(§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen
oder beschränkt werden.
(2) Sind die Daten des
Betroffenen in einer Datei gespeichert, bei der mehrere Stellen
speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, die speichernde
Stelle festzustellen,
so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen
des Betroffenen an
die speichernde Stelle weiterzuleiten. Der Betroffene ist über die Weiterleitung
und die speichernde Stelle
zu unterrichten. Die in § 19 Abs. 3 genannten Stellen, die Behörden
der Staatsanwaltschaft und der
Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit
sie personenbezogene Daten in Erfüllung
ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung
und Prüfung
speichern, können statt des Betroffenen den Bundesbeauftragten für
den Datenschutz unterrichten. In
diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6.
§ 7 Schadensersatz
durch öffentliche Stellen
(1) Fügt eine öffentliche
Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder
nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige
automatisierte Verarbeitung
seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig
von einem
Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Bei einer schweren
Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der
nicht
Vermögensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprüche
nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe
von
zweihundertfünfzigtausend Deutsche Mark begrenzt. Ist aufgrund desselben
Ereignisses an mehrere
Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von
zweihundertfünfzigtausend
Deutsche Mark übersteigt, so verringern sich die einzelnen Schadensersatzleistungen
in dem Verhältnis,
in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(4) Sind bei einer Datei
mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in
der Lage,
die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(5) Mehrere Ersatzpflichtige
haften als Gesamtschuldner.
(6) Auf das Mitverschulden
des Betroffenen und die Verjährung sind die §§ 254 und 852 des
Bürgerlichen
Gesetzbuches entsprechend anzuwenden.
(7) Vorschriften, nach
denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet
oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben
unberührt.
(8) Der Rechtsweg vor den
ordentlichen Gerichten steht offen.
§ 8 Schadensersatz
durch nicht-öffentliche Stellen
Macht ein Betroffener gegenüber
einer nicht-öffentlichen Stelle einen Anspruch auf Schadensersatz
wegen einer nach diesem Gesetz oder anderen Vorschriften über den Datenschutz
unzulässigen oder
unrichtigen automatisierten Datenverarbeitung geltend und ist streitig, ob der
Schaden die Folge eines von
der speichernden Stelle zu vertretenden Umstandes ist, so trifft die Beweislast
die speichernde Stelle.
§ 9 Technische und
organisatorische Maßnahmen
Öffentliche und nicht-öffentliche
Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten,
haben die technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die
Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage
zu diesem Gesetz
genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen
nur, wenn ihr Aufwand in
einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
§ 10 Einrichtung automatisierter
Abrufverfahren
(1) Die Einrichtung eines
automatisierten Verfahrens, das die Übermittlung personenbezogener Daten
durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter
Berücksichtigung der schutzwürdigen
Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten
Stellen angemessen
ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben
unberührt.
(2) Die beteiligten Stellen
haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens
kontrolliert
werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlaß und Zweck
des Abrufverfahrens,
2. Datenempfänger,
3. Art der zu übermittelnden
Daten,
4. nach § 9 erforderliche
technische und organisatorische Maßnahmen.
Im öffentlichen Bereich
können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden
getroffen werden.
(3) Über die Einrichtung
von Abrufverfahren ist in Fällen, in denen die in § 12
Abs. 1 genannten Stellen
beteiligt sind, der Bundesbeauftragte für den Datenschutz unter Mitteilung
der Festlegungen nach Absatz
2 zu unterrichten. Die Einrichtung von Abrufverfahren, bei denen die in §
6 Abs. 2 und in § 19 Abs. 3
genannten Stellen beteiligt sind, ist nur zulässig, wenn der für die
speichernde und die abrufende Stelle
jeweils zuständige Bundes- oder Landesminister oder deren Vertreter zugestimmt
haben.
(4) Die Verantwortung für
die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die
speichernde
Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß
besteht. Die speichernde Stelle hat zu
gewährleisten, daß die Übermittlung personenbezogener Daten
zumindest durch geeignete
Stichprobenverfahren festgestellt und überprüft werden kann. Wird
ein Gesamtbestand
personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung),
so bezieht sich die
Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit
des Abrufes oder der
Übermittlung des Gesamtbestandes.
(5) Die Absätze 1
bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann,
sei es ohne oder
nach besonderer Zulassung, zur Benutzung offenstehen.
§ 11 Verarbeitung oder
Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene
Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der
Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den
Datenschutz verantwortlich. Die in den §§ 6 bis 8 genannten Rechte
sind ihm gegenüber geltend zu
machen.
(2) Der Auftragnehmer ist
unter besonderer Berücksichtigung der Eignung der von ihm getroffenen
technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.
Der Auftrag ist schriftlich zu
erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen
Maßnahmen
und etwaige Unterauftragsverhältnisse festzulegen sind. Er kann bei öffentlichen
Stellen auch durch die
Fachaufsichtsbehörde erteilt werden.
(3) Der Auftragnehmer darf
die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder
nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses
Gesetz oder andere
Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber
unverzüglich darauf hinzuweisen.
(4) Für den Auftragnehmer
gelten neben den §§ 5, 9, 43 Abs. 1, Abs. 3 und 4 sowie § 44
Abs. 1 Nr. 2, 5, 6
und 7 und Abs. 2 nur die Vorschriften über die Datenschutzkontrolle oder
die Aufsicht, und zwar für
1. a) öffentliche
Stellen,
b) nicht-öffentliche
Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört
oder die
Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle
ist, die §§ 18, 24 bis 26 oder
die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen
Stellen, soweit sie personenbezogene Daten im Auftrag als
Dienstleistungsunternehmen geschäftsmäßig verarbeiten oder nutzen,
die §§ 32, 36 bis 38.
Zweiter Abschnitt
Datenverarbeitung der öffentlichen Stellen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 12 Anwendungsbereich
(1) Die Vorschriften dieses
Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie
nicht als
öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz
nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 17, 19
und 20
auch für die öffentlichen Stellen der Länder, soweit sie
1. Bundesrecht ausführen
und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen
oder
2. als Organe der Rechtspflege
tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
(3) Für Landesbeauftragte
für den Datenschutz gilt § 23 Abs. 4 entsprechend.
(4) Werden personenbezogene
Daten für frühere, bestehende oder zukünftige dienst- oder
arbeitsrechtliche Rechtsverhältnisse verarbeitet oder genutzt, gelten anstelle
der §§ 14 bis 17, 19 und 20
der § 28 Abs. 1 und 2 Nr. 1 sowie die §§ 33 bis 35.
§ 13 Datenerhebung
(1) Das Erheben personenbezogener
Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben
der erhebenden Stellen erforderlich ist.
(2) personenbezogene Daten
sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur
erhoben werden, wenn
1. eine Rechtsvorschrift
dies vorsieht oder zwingend voraussetzt oder
2. a) die zu erfüllende
Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder
Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen
einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte
dafür bestehen, daß überwiegende schutzwürdige Interessen
des Betroffenen
beeinträchtigt werden.
(3) Werden personenbezogene
Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der
Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen aufgrund
einer
Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung
der Auskunft Voraussetzung
für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf,
sonst auf die Freiwilligkeit seiner
Angaben hinzuweisen. Auf Verlangen ist er über die Rechtsvorschrift und
über die Folgen der
Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene
Daten statt beim Betroffenen bei einer nicht- öffentlichen Stelle erhoben,
so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst
auf die Freiwilligkeit ihrer
Angaben hinzuweisen.
§ 14 Datenspeicherung,
-veränderung und -nutzung
(1) Das Speichern, Verändern
oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung
der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich
ist und es für die Zwecke
erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen,
dürfen die Daten nur
für die Zwecke geändert oder genutzt werden, für die sie gespeichert
worden sind.
(2) Das Speichern, Verändern
oder Nutzen für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift
dies vorsieht oder zwingend voraussetzt,
2. der Betroffene eingewilligt
hat,
3. offensichtlich ist,
daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme
besteht,
daß er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
4. Angaben des Betroffenen
überprüft werden müssen, weil tatsächliche Anhaltspunkte
für deren
Unrichtigkeit bestehen,
5. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle
sie veröffentlichen dürfte, es sei denn, daß das schutz würdige
Interesse des Betroffenen an dem
Ausschluß der Zweckänderung offensichtlich überwiegt,
6. es zur Abwehr erheblicher
Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden
Gefahr für die öffentliche Sicherheit erforderlich ist,
7. es zur Verfolgung von
Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von
Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches
oder von
Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes
oder zur Vollstreckung
von Bußgeldentscheidungen erforderlich ist,
8. es zur Abwehr einer
schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich
ist oder
9. es zur Durchführung
wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse
an
der Durchführung des Forschungsvorhabens das Interesse des Betroffenen
an dem Ausschluß der
Zweckänderung erheblich überwiegt und der Zweck der Forschung auf
andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder
Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von
Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung
von
Organisationsuntersuchungen für die speichernde Stelle dient. Das gilt
auch für die Verarbeitung oder
Nutzung zu Ausbildungs- und Prüfungszwecken durch die speichernde Stelle,
soweit nicht überwiegende
schutzwürdige Interessen des Betroffenen entgegenstehen.
(4) personenbezogene Daten,
die ausschließlich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes
einer
Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese
Zwecke verwendet werden.
§ 15 Datenübermittlung
an öffentliche Stellen
(1) Die Übermittlung
personenbezogener Daten an öffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung
der in der Zuständigkeit der übermittelnden Stelle oder des Empfängers
liegenden
Aufgaben erforderlich ist und
2.. die Voraussetzungen
vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle. Erfolgt die
Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung.
In diesem Falle prüft die
übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der
Aufgaben des Empfängers liegt,
es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit
der Übermittlung besteht. § 10 Abs. 4
bleibt unberührt.
(3) Der Empfänger
darf die übermittelten Daten für den Zweck verarbeiten oder nutzen,
zu dessen
Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung
für andere Zwecke ist nur unter den
Voraussetzungen des § 14 Abs. 2 zulässig.
(4) Für die Übermittlung
personenbezogener Daten an Stellen der öffentlich-rechtlichen
Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern
sichergestellt ist, daß bei dem
Empfänger ausreichende Datenschutzmaßnahmen getroffen werden.
(5) Sind mit personenbezogenen
Daten, die nach Absatz 1 übermittelt werden dürfen, weitere
personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden,
daß eine Trennung
nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung
auch dieser Daten
zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines
Dritten an deren Geheimhaltung
offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.
(6) Absatz 5 gilt entsprechend,
wenn personenbezogene Daten innerhalb einer öffentlichen Stelle
weitergegeben werden.
§ 16 Datenübermittlung
an nicht-öffentliche Stellen
(1) Die Übermittlung
personenbezogener Daten an nicht-öffentliche Stellen ist zulässig,
wenn
1. sie zur Erfüllung
der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben
erforderlich ist
und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen
würden, oder
2. der Empfänger ein
berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft
darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß
der Übermittlung hat.
(2) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle.
(3) In den Fällen
der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde
Stelle den
Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit
zu rechnen ist, daß er davon
auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche
Sicherheit gefährden oder
sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(4) Der Empfänger
darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen,
zu dessen
Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle
hat den Empfänger darauf hinzuweisen.
Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn
eine Übermittlung nach Absatz 1
zulässig wäre und die übermittelnde Stelle zugestimmt hat.
§ 17 Datenübermittlung
an Stellen außerhalb des Geltungsbereiches dieses Gesetzes
(1) Für die Übermittlung
personenbezogener Daten an Stellen außerhalb des Geltungsbereichs dieses
Gesetzes sowie an über- und zwischenstaatliche Stellen gilt § 16 Abs.
1 nach Maßgabe der für diese
Übermittlung geltenden Gesetze und Vereinbarungen, sowie § 16 Abs.
3.
(2) Eine Übermittlung
unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen
den Zweck
eines deutschen Gesetzes verstoßen würde.
(3) Die Verantwortung für
die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle.
(4) Der Empfänger
ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck
verarbeitet
oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt
werden.
§ 18 Durchführung
des Datenschutzes in der Bundesverwaltung
(1) Die obersten Bundesbehörden,
der Präsident des Bundeseisenbahnvermögens sowie die
bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen
Rechts, über die von der
Bundesregierung oder einer obersten Bundesbehörde lediglich die Rechtsaufsicht
ausgeübt wird, haben
für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie
anderer Rechtsvorschriften über den
Datenschutz sicherzustellen. Das gleiche gilt für die Vorstände der
aus dem Sondervermögen Deutsche
Bundespost durch Gesetz hervorgegangenen Unternehmen, solange diesen ein ausschließliches
Recht
nach dem Postgesetz oder dem Gesetz über Fernmeldeanlagen zusteht.
(2) Die öffentlichen
Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen.
Für ihre
Dateien haben sie schriftlich festzulegen:
1. Bezeichnung und Art
der Dateien,
2. Zweckbestimmung,
3. Art der gespeicherten
Daten,
4. betroffenen Personenkreis,
5. Art der regelmäßig
zu übermittelnden Daten und deren Empfänger,
6. Regelfristen für
die Löschung der Daten,
7. zugriffsberechtigte
Personengruppen oder Personen, die allein zugriffsberechtigt sind.
Sie haben ferner dafür
zu sorgen, daß die ordnungsgemäße Anwendung der
Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet
werden sollen,
überwacht wird.
(3) Absatz 2 Satz 2 gilt
nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb
von drei
Monaten nach ihrer Erstellung gelöscht werden.
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 19 Auskunft an den
Betroffenen
(1) Dem Betroffenen ist
auf Antrag Auskunft zu erteilen über
1. die zu seiner Person
gespeicherten Daten, auch soweit sie sich auf Herkunft oder Empfänger dieser
Daten beziehen, und
2. den Zweck der Speicherung.
In dem Antrag soll die
Art der personenbezogenen Daten, über die Auskunft erteilt werden soll,
näher
bezeichnet werden. Sind die personenbezogenen Daten in Akten gespeichert, wird
die Auskunft nur erteilt,
soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen,
und der für die Erteilung
der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem
vom Betroffenen geltend gemachten
Informationsinteresse steht. Die speichernde Stelle bestimmt das Verfahren,
insbesondere die Form der
Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Absatz 1 gilt nicht
für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie
aufgrund
gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften
nicht gelöscht werden
dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle
dienen.
(3) Bezieht sich die Auskunftserteilung
auf die Übermittlung personenbezogener Daten an
Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen
Abschirmdienst und,
soweit die Sicherheit des Bundes berührt wird, andere Behörden des
Bundesministers der Verteidigung,
ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Die Auskunftserteilung
unterbleibt, soweit
1. die Auskunft die ordnungsgemäße
Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden
Aufgaben gefährden würde,
2. die Auskunft die öffentliche
Sicherheit oder Ordnung gefährden oder sonst dem
Wohle des Bundes
oder eines Landes Nachteile bereiten würde oder
3. die Daten oder die Tatsache
ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach,
insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten,
geheimgehalten werden
müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung
zurücktreten muß.
(5) Die Ablehnung der Auskunftserteilung
bedarf einer Begründung nicht, soweit durch die Mitteilung der
tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt
wird, der mit der
Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Falle
ist der Betroffene darauf
hinzuweisen, daß er sich an den Bundesbeauftragten für den Datenschutz
wenden kann.
(6) Wird dem Betroffenen
keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten
für
den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste
Bundesbehörde im Einzelfall
feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes gefährdet
würde. Die Mitteilung des
Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf
den Erkenntnisstand der
speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft
zustimmt.
(7) Die Auskunft ist unentgeltlich.
§ 20 Berichtigung,
Löschung und Sperrung von Daten
(1) personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, daß
personenbezogene Daten in Akten unrichtig sind, oder wird ihre Richtigkeit von
dem Betroffenen
bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.
(2) personenbezogene Daten
in Dateien sind zu löschen, wenn
1. ihre Speicherung unzulässig
ist oder
2. ihre Kenntnis für
die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden
Aufgaben nicht
mehr erforderlich ist.
(3) An die Stelle einer
Löschung tritt eine Sperrung, soweit
1. einer Löschung
gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen
entgegenstehen,
2. Grund zu der Annahme
besteht, daß durch eine Löschung schutzwürdige Interessen des
Betroffenen
beeinträchtigt würden, oder
3. eine Löschung wegen
der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich ist.
(4) personenbezogene Daten
in Dateien sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen
bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen
läßt.
(5) personenbezogene Daten
in Akten sind zu sperren, wenn die Behörde im Einzelfall feststellt, daß
ohne
die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt
würden und die Daten für die
Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.
(6) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden,
wenn
1. es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen
im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden
Gründen unerläßlich ist
und
2. die Daten hierfür
übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
(7) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder
Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen,
denen im Rahmen
einer regelmäßigen Datenübermittlung diese Daten zur Speicherung
weitergegeben werden, wenn dies
zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist.
(8) § 2 Abs. 1 bis
6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden.
§ 21 Anrufung des Bundesbeauftragten
für den Datenschutz
Jedermann kann sich an
den Bundesbeauftragten für den Datenschutz wenden, wenn er der Ansicht
ist,
bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch
öffentliche Stellen
des Bundes in seinen Rechten verletzt worden zu sein. Für die Erhebung,
Verarbeitung oder Nutzung von
personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese
in
Verwaltungsangelegenheiten tätig werden.
Dritter Unterabschnitt
Bundesbeauftragter für den Datenschutz
§ 22 Wahl des Bundesbeauftragten
für den Datenschutz
(1) Der Deutsche Bundestag
wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für
den
Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder.
Der Bundesbeauftragte muß
bei seiner Wahl das 35. Lebensjahr vollendet haben. Der Gewählte ist vom
Bundespräsidenten zu
ernennen.
(2) Der Beauftragte leistet
vor dem Bundesminister des Innern folgenden Eid:
"Ich schwöre,
daß ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen
mehren,
Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und
verteidigen, meine
Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben
werde. So wahr mir Gott helfe."
Der Eid kann auch ohne
religiöse Beteuerung geleistet werden.
(3) Die Amtszeit des Bundesbeauftragten
beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
(4) Der Bundesbeauftragte
steht nach Maßgabe dieses Gesetzes zum Bund in einem
öffentlich-rechtlichen Amtsverhältnis. Er ist in Ausübung seines
Amtes unabhängig und nur dem Gesetz
unterworfen. Er untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte
wird beim Bundesminister des Innern eingerichtet. Er untersteht der
Dienstaufsicht des Bundesministers des Innern. Dem Bundesbeauftragten ist die
für die Erfüllung seiner
Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen;
sie ist im Einzelplan des
Bundesministers des Innern in einem eigenen Kapitel auszuweisen. Die Stellen
sind im Einvernehmen
mit dem Bundesbeauftragten zu besetzen. Die Mitarbeiter können, falls sie
mit der beabsichtigten
Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt,
abgeordnet oder umgesetzt
werden.
(6) Ist der Bundesbeauftragte
vorübergehend an der Ausübung seines Amtes verhindert, kann der
Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschäfte
beauftragen. Der
Bundesbeauftragte soll dazu gehört werden.
§ 23 Rechtsstellung
des Bundesbeauftragten für den Datenschutz
(1) Das Amtsverhältnis
des Bundesbeauftragten für den Datenschutz beginnt mit der Aushändigung
der
Ernennungsurkunde. Es endet
1. mit Ablauf der Amtszeit,
2. mit der Entlassung.
Der Bundespräsident
entläßt den Bundesbeauftragten, wenn dieser es verlangt oder auf
Vorschlag der
Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit
die Entlassung aus dem
Dienst rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält
der Bundesbeauftragte eine
vom Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der
Aushändigung der Urkunde
wirksam. Auf Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte
verpflichtet, die
Geschäfte bis zur Ernennung seines Nachfolgers weiterzuführen.
(2) Der Bundesbeauftragte
darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und
keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat
eines auf Erwerb
gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft
des Bundes
oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche
Gutachten abgeben.
(3) Der Bundesbeauftragte
hat dem Bundesminister des Innern Mitteilung über Geschenke zu machen,
die er in bezug auf sein Amt erhält. Der Bundesminister des Innern entscheidet
über die Verwendung der
Geschenke.
(4) Der Bundesbeauftragte
ist berechtigt, über Personen, die ihm in seiner Eigenschaft als
Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen
selbst das Zeugnis zu
verweigern. Dies gilt auch für die Mitarbeiter des Bundesbeauftragten mit
der Maßgabe, daß über die
Ausübung dieses Rechts der Bundesbeauftragte entscheidet. Soweit das Zeugnisverweigerungsrecht
des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten
oder anderen
Schriftstücken von ihm nicht gefordert werden.
(5) Der Bundesbeauftragte
ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über
die
ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren.
Dies gilt nicht für
Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig
sind oder ihrer Bedeutung nach
keiner Geheimhaltung bedürfen. Der Bundesbeauftragte darf, auch wenn er
nicht mehr im Amt ist, über
solche Angelegenheiten ohne Genehmigung des Bundesministers des Innern weder
vor Gericht noch
außergerichtlich aussagen oder Erklärungen abgeben. Unberührt
bleibt die gesetzlich begründete Pflicht,
Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen
Grundordnung für deren
Erhaltung einzutreten.
(6) Die Genehmigung, als
Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle
des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung
öffentlicher Aufgaben
ernstlich gefährden oder erheblich erschweren würde. Die Genehmigung,
ein Gutachten zu erstatten,
kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile
bereiten würde. § 28 des
Gesetzes über das Bundesverfassungsgericht in der Fassung der Bekanntmachung
vom 12. Dezember
1985 (BGBl. I S. 2229) bleibt unberührt.
(7) Der Bundesbeauftragte
erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis
beginnt, bis zum Schluß des Kalendermonats, in dem das Amtsverhältnis
endet, im Falle des Absatzes 1
Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet,
Amtsbezüge in Höhe der einem
Bundesbeamten der Besoldungsgruppe B 9 zustehenden Besoldung. Das Bundesreisekostengesetz
und
das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im übrigen sind
die §§ 13 bis 20 des
Bundesministergesetzes in der Fassung der Bekanntmachung vom 27. Juli 1971 (BGBl.
I S. 1166),
zuletzt geändert durch das Gesetz zur Kürzung des Amtsgehalts der
Mitglieder der Bundesregierung und
der Parlamentarischen Staatssekretäre vom 22. Dezember 1982 (BGBl. I S.
2007), mit der Maßgabe
anzuwenden, daß an die Stelle der zweijährigen Amtszeit in §
15 Abs. 1 des Bundesministergesetzes
eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung
mit den §§ 15 bis 17 des
Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten
unter Hinzurechnung
der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung
des
Beamtenversorgungsgesetzes, wenn dies günstiger ist und der Bundesbeauftragte
sich unmittelbar vor
seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem
letzten gewöhnlich
vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat.
§ 24 Kontrolle durch
den Bundesbeauftragten für den Datenschutz
(1) Der Bundesbeauftragte
für den Datenschutz kontrolliert bei den öffentlichen Stellen des
Bundes die
Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über
den Datenschutz. Werden
personenbezogene Daten in Akten verarbeitet oder genutzt, kontrolliert der Bundesbeauftragte
die
Erhebung, Verarbeitung oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte
dafür darlegt,
daß er dabei in seinen Rechten verletzt worden ist, oder dem Bundesbeauftragten
hinreichende
Anhaltspunkte für eine derartige Verletzung vorliegen.
(2) Die Kontrolle des Bundesbeauftragten
erstreckt sich auch auf personenbezogene Daten, die einem
Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach
§ 30 der
Abgabenordnung, unterliegen. Bei den Stellen des Bundes im Sinne des §
2 Abs. 1 Satz 2 wird das Post-
und Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt, soweit
dies zur Ausübung der
Kontrolle bei den speichernden Stellen erforderlich ist. Das Kontrollrecht erstreckt
sich mit Ausnahme von
Nummer 1 nicht auf den Inhalt des Post- und Fernmeldeverkehrs. Der Kontrolle
durch den
Bundesbeauftragten unterliegen nicht:
1. personenbezogene Daten,
die der Kontrolle durch die Kommission nach § 9 des Gesetzes zu Artikel
10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Bundesbeauftragten,
die
Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen
oder in bestimmten
Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten,
und
2. a) personenbezogene
Daten, die dem Post- und Fernmeldegeheimnis nach Artikel 10 des
Grundgesetzes unterliegen,
b) personenbezogene Daten,
die dem Arztgeheimnis unterliegen und
c) personenbezogene Daten
in Personalakten oder in den Akten über die Sicherheitsüberprüfung,
wenn
der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber
dem
Bundesbeauftragten für den Datenschutz widerspricht. Unbeschadet des Kontrollrechts
des
Bundesbeauftragten unterrichtet die öffentliche Stelle die Betroffenen
in allgemeiner Form über das ihnen
zustehende Widerspruchsrecht.
(3) Die Bundesgerichte
unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in
Verwaltungsangelegenheiten tätig werden.
(4) Die öffentlichen
Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten
bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei
insbesondere
1. Auskunft zu ihren Fragen
sowie Einsicht in alle Unterlagen und Akten, insbesondere in die
gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren,
die im Zusammenhang mit
der Kontrolle nach Absatz 1 stehen,
2. jederzeit Zutritt in
alle Diensträume zu gewähren.
Die in § 6 Abs. 2
und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung
nur dem
Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten.
Satz 2 gilt für diese
Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt,
daß die Auskunft oder Einsicht
die Sicherheit des Bundes oder eines Landes gefährden würde.
(5) Der Bundesbeauftragte
teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit
kann er
Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung
von festgestellten
Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden.
§ 25 bleibt unberührt.
(6) Absatz 2 gilt entsprechend
für die öffentlichen Stellen, die für die Kontrolle
der Einhaltung der
Vorschriften über den Datenschutz in den Ländern zuständig sind.
§ 25 Beanstandungen
durch den Bundesbeauftragten für den Datenschutz
(1) Stellt der Bundesbeauftragte
für den Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes
oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel
bei der Verarbeitung oder
Nutzung personenbezogener Daten fest, so beanstandet er dies
1. bei der Bundesverwaltung
gegenüber der zuständigen obersten Bundesbehörde,
2. beim Bundeseisenbahnvermögen
gegenüber dem Präsidenten,
3. bei den aus dem Sondervermögen
Deutschen Bundespost durch Gesetz hervorgegangenen
Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz
oder dem Gesetz über
Fernmeldeanlagen zusteht, gegenüber deren Vorständen,
4. bei den bundesunmittelbaren
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie
bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber
dem Vorstand oder dem
sonst vertretungsberechtigten Organ
und fordert zur Stellungnahme
innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz
1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige
Aufsichtsbehörde.
(2) Der Bundesbeauftragte
kann von einer Beanstandung absehen oder auf eine Stellungnahme der
betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder
inzwischen beseitigte
Mängel handelt.
(3) Die Stellungnahme soll
auch eine Darstellung der Maßnahmen enthalten, die auf Grund der
Beanstandung des Bundesbeauftragten getroffen worden sind. Die in Absatz 1 Satz
1 Nr. 4 genannten
Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine
Abschrift ihrer Stellungnahme an den
Bundesbeauftragten zu.
§ 26 Weitere Aufgaben
des Bundesbeauftragten für den Datenschutz, Dateienregister
(1) Der Bundesbeauftragte
für den Datenschutz erstattet dem Deutschen Bundestag alle zwei Jahre
einen Tätigkeitsbericht. Der Tätigkeitsbericht soll auch eine Darstellung
der wesentlichen Entwicklung des
Datenschutzes im nicht-öffentlichen Bereich enthalten.
(2) Auf Anforderung des
Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte
Gutachten zu erstellen und Berichte zu erstatten. Auf Ersuchen des Deutschen
Bundestages, des
Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht der
Bundesbeauftragte
ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei
den öffentlichen Stellen des
Bundes nach. Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag
wenden.
(3) Der Bundesbeauftragte
kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des
Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen
des
Datenschutzes beraten. Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen
sind durch den
Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht
unmittelbar betrifft.
(4) Der Bundesbeauftragte
wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für
die Kontrolle
der Einhaltung der Vorschriften über den Datenschutz in den Ländern
zuständig sind, sowie mit den
Aufsichtsbehörden nach § 38 hin.
(5) Der Bundesbeauftragte
führt ein Register der automatisiert geführten Dateien, in denen
personenbezogene Daten gespeichert werden. Das gilt nicht für die Dateien
der in § 19 Abs. 3 genannten
Behörden sowie für Dateien nach § 18 Abs. 3. Die öffentlichen
Stellen, deren Dateien in das Register
aufgenommen werden, sind verpflichtet, dem Bundesbeauftragten eine Übersicht
gemäß § 18 Abs. 2
Satz 2 Nr. 1 bis 6 zuzuleiten. Das Register kann von jedermann eingesehen werden.
Die Angaben nach §
18 Abs. 2 Satz 2 Nr. 3 und 5 über Dateien der in § 6 Abs. 2 genannten
Behörden unterliegen nicht der
Einsichtnahme. Der Bundesbeauftragte kann im Einzelfall für andere öffentliche
Stellen mit deren
Einverständnis festlegen, daß einzelne Angaben nicht der Einsichtnahme
unterliegen.
Dritter Abschnitt
Datenverarbeitung nicht-öffentlicher Stellen und
öffentlich-rechtlicher Wettbewerbsunternehmen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
(1) Die Vorschriften dieses
Abschnittes finden Anwendung, soweit personenbezogene Daten in oder aus
Dateien geschäftsmäßig oder für berufliche oder gewerbliche
Zwecke verarbeitet oder genutzt werden
durch
1. nicht-öffentliche
Stellen,
2. a) öffentliche
Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am
Wettbewerb
teilnehmen,
b) öffentliche Stellen
der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb
teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz
geregelt ist.
In den Fällen der
Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und
24 bis 26.
(2) Die Vorschriften dieses
Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener
Daten in Akten, soweit es sich nicht um personenbezogene Daten handelt, die
offensichtlich aus einer
Datei entnommen worden sind.
§ 28 Datenspeicherung,
-übermittlung und -nutzung für eigene Zwecke
(1) Das Speichern, Verändern
oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für
die Erfüllung eigener Geschäftszwecke ist zulässig
1. im Rahmen
der Zweckbestimmung eines Ver tragsverhältnisses oder vertragsähnlichen
Vertrauensverhältnisses mit dem Betroffenen,
2. soweit es zur Wahrung
berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund
zu der Annahme besteht, daß das schutzwürdige Interesse des Betroffenen
an dem Ausschluß der
Verarbeitung oder Nutzung überwiegt,
3. wenn die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige
Interesse des Betroffenen an dem
Ausschluß der Verarbeitung oder Nutzung offensichtlich überwiegt,
4. wenn es im Interesse
der speichernden Stelle zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das
Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich
überwiegt und der Zweck der
Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann.
Die Daten müssen nach
Treu und Glauben und auf rechtmäßige Weise erhoben werden.
(2) Die Übermittlung
oder Nutzung ist auch zulässig
1. a) soweit es zur Wahrung
berechtigter Interessen eines Dritten oder öffentlicher Interessen erforderlich
ist oder
b) wenn es sich um listenmäßig
oder sonst zusammengefaßte Daten über Angehörige einer
Personengruppe handelt, die sich auf
- eine Angabe über
die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
- Berufs-, Branchen- oder
Geschäftsbezeichnung, - Namen,
- Titel,
- akademische Grade,
- Anschrift,
- Geburtsjahr
beschränken und kein
Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges
Interesse
an dem Ausschluß der Übermittlung hat. In den Fällen des Buchstabens
b kann im allgemeinen davon
ausgegangen werden, daß dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung
eines
Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses
gespeicherte Daten übermittelt
werden sollen, die sich
- auf gesundheitliche Verhältnisse,
- auf strafbare Handlungen,
- auf Ordnungswidrigkeiten,
- auf religiöse oder
politische Anschauungen sowie
- bei Übermittlung
durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse beziehen,
oder
2. wenn es im Interesse
einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das
Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich
überwiegt und der Zweck der
Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann.
(3) Widerspricht der Betroffene
bei der speichernden Stelle der Nutzung oder Übermittlung seiner Daten
für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine
Nutzung oder Übermittlung für
diese Zwecke unzulässig. Widerspricht der Betroffene beim Empfänger
der nach Absatz 2 übermittelten
Daten der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt-
oder Meinungsforschung,
hat dieser die Daten für diese Zwecke zu sperren.
(4) Der Empfänger
darf die übermittelten Daten für den Zweck verarbeiten oder nutzen,
zu dessen
Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung
für andere Zwecke ist nur unter den
Voraussetzungen der Absätze 1 und 2 zulässig. Die übermittelnde
Stelle hat den Empfänger darauf
hinzuweisen.
§ 29 Geschäftsmäßige
Datenspeicherung zum Zwecke der Übermittlung
(1) Das geschäftsmäßige
Speichern oder Verändern personenbezogener Daten zum Zwecke der
Übermittlung ist zulässig, wenn
1. kein Grund zu der Annahme
besteht, daß der Betroffene ein schutzwürdiges Interesse an dem
Ausschluß der Speiche rung oder Veränderung hat, oder
2. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle
sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige
Interesse des Betroffenen an dem
Ausschluß der Speicherung oder Veränderung offensichtlich überwiegt.
§ 28 Abs. 1 Satz 2
ist anzuwenden.
(2) Die Übermittlung
ist zulässig, wenn
1. a) der Empfänger
ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder
b) es sich um listenmäßig
oder sonst zusammengefaßte Daten nach § 28 Abs. 2 Nr. 1 Buchstabe
b
handelt, die für Zwecke der Werbung oder der Markt- oder Meinungsforschung
übermittelt werden sollen,
und
2. kein Grund zu der Annahme
besteht, daß der Betroffene ein schutzwürdiges Interesse an dem
Ausschluß der Übermittlung hat.
§ 28 Abs. 2 Nr. 1
Satz 2 gilt entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe
a sind die
Gründe für das Vorliegen eines berechtigten Interesses und die Art
und Weise ihrer glaubhaften
Darlegung von der übermittelnden Stelle aufzuzeichnen. Bei der Übermittlung
im automatisierten
Abrufverfahren obliegt die Aufzeichnungspflicht dem Empfänger.
(3) Für die Verarbeitung
oder Nutzung der übermittelten Daten gilt § 28 Abs. 3 und 4.
§ 30 Geschäftsmäßige
Datenspeicherung zum Zwecke der Übermittlung in anonymisierter
Form
(1) Werden personenbezogene
Daten geschäftsmäßig gespeichert, um sie in anonymisierter Form
zu
übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben
über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen
Person zugeordnet werden
können. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt
werden, soweit dies für die
Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken
erforderlich ist.
(2) Die Veränderung
personenbezogener Daten ist zulässig, wenn
1. kein Grund zu der Annahme
besteht, daß der Betroffene ein schutzwürdiges Interesse an dem
Ausschluß der Veränderung hat, oder
2. die Daten aus allgemein
zugänglichen Quellen entnommen werden können oder die speichernde
Stelle
sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige
Interesse des Betroffenen an dem
Ausschluß der Veränderung offensichtlich überwiegt.
(3) Die personenbezogenen
Daten sind zu löschen, wenn ihre Speicherung unzulässig ist.
(4) Die §§ 29,
33 bis 35 gelten nicht.
§ 31 Besondere Zweckbindung
personenbezogene Daten,
die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung
oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage
gespeichert
werden, dürfen nur für diese Zwecke verwendet werden.
§ 32 Meldepflichten
(1) Die Stellen, die personenbezogene
Daten geschäftsmäßig
1. zum Zwecke der Übermittlung
speichern,
2. zum Zwecke der anonymisierten
Übermittlung speichern oder
3. im Auftrag als Dienstleistungsunternehmen
verarbeiten oder nutzen,
sowie ihre Zweigniederlassungen
und unselbständigen Zweigstellen haben die Aufnahme und Beendigung
ihrer Tätigkeit der zuständigen Aufsichtsbehörde innerhalb eines
Monats mitzuteilen.
(2) Bei der Anmeldung sind
folgende Angaben für das bei der Aufsichtsbehörde geführt Register
mitzuteilen:
1. Name oder Firma der
Stelle,
2. Inhaber, Vorstände,
Geschäftsführer oder sonstige gesetzlich oder nach der Verfassung
des
Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten
Personen,
3. Anschrift,
4. Geschäftszwecke
der Stelle und der Datenverarbeitung,
5. Name des Beauftragten
für den Datenschutz,
6. allgemeine Beschreibung
der Art der gespeicherten personenbezogenen Daten.
Im Falle des Absatzes 1
Nr. 3 ist diese Angabe nicht erforderlich.
(3) Bei der Anmeldung sind
außerdem folgende Angaben mitzuteilen, die nicht in das Register
aufgenommen werden:
1. Art der eingesetzten
Datenverarbeitungsanlagen,
2. bei regelmäßiger
Übermittlung personenbezogener Daten Empfänger und Art der übermittelten
Daten.
(4) Absatz 1 gilt für
die Änderung der nach Absätzen 2 und 3 mitgeteilten Angaben entsprechend.
(5) Die Aufsichtsbehörde
kann im Einzelfall festlegen, welche Angaben nach Absatz 2 Nr. 4 und 6, Absatz
3 und Absatz 4 mitgeteilt werden müssen. Der mit den Mitteilungen verbundene
Aufwand muß in einem
angemessenen Verhältnis zu ihrer Bedeutung für die Überwachung
durch die Aufsichtsbehörde stehen.
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 33 Benachrichtigung
des Betroffenen
(1) Werden erstmals personenbezogene
Daten für eigene Zwecke gespeichert, ist der Betroffene von der
Speicherung und der Art der Daten zu benachrichtigen. Werden personenbezogene
Daten
geschäftsmäßig zum Zwecke der Übermittlung gespeichert,
ist der Betroffene von der erstmaligen
Übermittlung und der Art der übermittelten Daten zu benachrichtigen.
(2) Eine Pflicht zur Benachrichtigung
besteht nicht, wenn
1. der Betroffene auf andere
Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,
2. die Daten nur deshalb
gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger
oder
vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen
oder ausschließlich der
Datensicherung oder der Datenschutzkontrolle dienen,
3. die Daten nach einer
Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden
rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,
4. die zuständige
öffentliche Stelle gegenüber der speichernden Stelle festgestellt
hat, daß das
Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden
oder sonst dem Wohle des
Bundes oder eines Landes Nachteile bereiten würde,
5. die Daten in einer Datei
gespeichert werden, die nur vorübergehend vorgehalten und innerhalb von
drei
Monaten nach ihrer Erstellung gelöscht wird,
6. die Daten für eigene
Zwecke gespeichert sind und
a) aus allgemein zugänglichen
Quellen entnommen sind oder
b) die Benachrichtigung
die Geschäftszwecke der speichernden Stelle erheblich gefährden würde,
es sei
denn, daß das Interesse an der Benachrichtigung die Gefährdung überwiegt,
oder
7. die Daten geschäftsmäßig
zum Zwecke der Übermittlung gespeichert sind und
a) aus allgemein zugänglichen
Quellen entnommen sind, soweit sie sich auf diejenigen Personen
beziehen, die diese Daten veröffentlicht haben, oder
b) es sich um listenmäßig
oder sonst zusammengefaßte Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe
b).
§ 34 Auskunft an den
Betroffenen
(1) Der Betroffene kann
Auskunft verlangen über
1. die zu seiner Person
gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen,
2. den Zweck der Speicherung
und
3. Personen und Stellen,
an die seine Daten regelmäßig übermittelt werden, wenn seine
Daten
automatisiert verarbeitet werden.
Er soll die Art der personenbezogenen
Daten, über die Auskunft erteilt werden soll, näher bezeichnen.
Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke
der Übermittlung gespeichert, kann
der Betroffene über Herkunft und Empfänger nur Auskunft verl angen,
wenn er begründete Zweifel an der
Richtigkeit der Daten geltend macht. In diesem Falle ist Auskunft über
Herkunft und Empfänger auch dann
zu erteilen, wenn diese Angaben nicht gespeichert sind.
(2) Der Betroffene kann
von Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke
der
Auskunftserteilung speichern, Auskunft über seine personenbezogenen Daten
verlangen, auch wenn sie
nicht in einer Datei gespeichert sind. Auskunft über Herkunft und Empfänger
kann der Betroffene nur
verlangen, wenn er begründete Zweifel an der Richtigkeit der Daten geltend
macht. § 38 Abs. 1 ist mit der
Maßgabe anzuwenden, daß die Aufsichtsbehörde im Einzelfall
die Einhaltung von Satz 1 überprüft, wenn
der Betroffene begründet darlegt, daß die Auskunft nicht oder nicht
richtig erteilt worden ist.
(3) Die Auskunft wird schriftlich
erteilt, soweit nicht wegen der besonderen Umstände eine andere Form
der Auskunftserteilung angemessen ist.
(4) Eine Pflicht zur Auskunftserteilung
besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Nr. 2 bis 6
nicht zu benachrichtigen ist.
(5) Die Auskunft ist unentgeltlich.
Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke
der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt werden,
wenn der Betroffene die Auskunft
gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Das Entgelt
darf über die durch die
Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen.
Ein Entgelt kann in den
Fällen nicht verl angt werden, in denen besondere Umstände die Annahme
rechtfertigen, daß Daten
unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft
ergibt, daß die Daten zu
berichtigen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2 Nr. 1 zu
löschen sind.
(6) Ist die Auskunftserteilung
nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich
im
Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn
betreffenden Daten und Angaben
zu verschaffen. Er ist hierauf in geeigneter Weise hinzuweisen.
§ 35 Berichtigung,
Löschung und Sperrung von Daten
(1) personenbezogene Daten
sind zu berichtigen, wenn sie unrichtig sind.
(2) personenbezogene Daten
können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit
gelöscht
werden. personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig
ist,
2. es sich um Daten über
gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten
sowie religiöse oder politische Anschauungen handelt und ihre Richtigkeit
von der speichernden Stelle
nicht bewiesen werden kann,
3. sie für eigene
Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung
des Zweckes der
Speicherung nicht mehr erforderlich ist, oder
4. sie geschäftsmäßig
zum Zwecke der Übermittlung verarbeitet werden und eine Prüfung am
Ende des
fünften Kalenderjahres nach ihrer erstmaligen Speicherung ergibt, daß
eine längerwährende Speicherung
nicht erforderlich ist.
(3) An die Stelle einer
Löschung tritt eine Sperrung, soweit
1. im Falle des Absatzes
2 Nr. 3 oder 4 einer Löschung gesetzliche, satzungsmäßige oder
vertragliche
Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme
besteht, daß durch eine Löschung schutzwürdige Interessen des
Betroffenen
beeinträchtigt würden, oder
3. eine Löschung wegen
der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich ist.
(4) personenbezogene Daten
sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten
wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt.
(5) personenbezogene Daten,
die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der
geschäftsmäßigen Datenspeicherung zum Zwecke der Übermittlung
außer in den Fällen des Absatzes 2
Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein
zugänglichen Quellen
entnommen und zu Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen
ist diesen
Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen.
Die Daten dürfen nicht ohne
diese Gegendarstellung übermittelt werden.
(6) Von der Berichtigung
unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder
Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen,
denen im Rahmen
einer regelmäßigen Datenübermittlung diese Daten zur Speicherung
weitergegeben werden, wenn dies
zur Wahrung der schutzwürdigen Interessen des Betroffenen erforderlich
ist.
(7) Gesperrte Daten dürfen
ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden,
wenn
1. es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen
im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden
Gründen unerläßlich ist
und
2. die Daten hierfür
übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
Dritter Unterabschnitt
Beauftragter für den Datenschutz, Aufsichtsbehörde
§ 36 Bestellung eines
Beauftragten für den Datenschutz
(1) Die nicht-öffentlichen
Stellen, die personenbezogene Daten automatisiert verarbeiten und damit in der
Regel mindestens fünf Arbeitnehmer ständig beschäftigen, haben
spätestens innerhalb eines Monats
nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz
schriftlich zu bestellen. Das
gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet werden
und damit in der Regel
mindestens zwanzig Arbeitnehmer ständig beschäftigt sind.
(2) Zum Beauftragten für
den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner
Aufgaben
erforderliche Fachkunde und Zuverlässigkeit besitzt.
(3) Der Beauftragte für
den Datenschutz ist dem Inhaber, dem Vorstand, dem Geschäftsführer
oder dem
sonstigen gesetzlich oder nach der Verfassung des Unternehmens berufenen Leiter
unmittelbar zu
unterstellen. Er ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes
weisungsfrei. Er
darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die
Bestellung zum Beauftragten für
den Datenschutz kann nur auf Verlangen der Aufsichtsbehörde oder in entsprechender
Anwendung von §
626 des Bürgerlichen Gesetzbuchs widerrufen werden.
(4) Der Beauftragte für
den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen
sowie
über Umstände, die Rückschlüsse auf den Betroffenen zulassen,
verpflichtet, soweit er nicht davon durch
den Betroffenen befreit wird.
(5) Die nicht-öffentliche
Stelle hat den Beauftragten für den Datenschutz bei der Erfüllung
seiner Aufgaben
zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner
Aufgaben erforderlich ist,
Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung
zu stellen.
§ 37 Aufgaben des Beauftragten
für den Datenschutz
(1) Der Beauftragte für
den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften
über den Datenschutz sicherzustellen. Zu diesem Zweck kann er sich in Zweifelsfällen
an die
Aufsichtsbehörde wenden. Er hat insbesondere
1. die ordnungsgemäße
Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem
Zweck ist er über
Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig
zu unterrichten,
2. die bei der Verarbeitung
personenbezogener Daten tätigen Personen durch geeignete Maßnahmen
mit
den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz,
bezogen auf die
besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus
ergebenden besonderen
Erfordernisse für den Datenschutz, vertraut zu machen,
3. bei der Auswahl der
bei der Verarbeitung personenbezogener Daten tätigen Personen beratend
mitzuwirken.
(2) Dem Beauftragten ist
von der nicht-öffentlichen Stelle eine Übersicht zur Verfügung
zu stellen über
1. eingesetzte Datenverarbeitungsanlagen,
2. Bezeichnung und Art
der Dateien,
3. Art der gespeicherten
Daten,
4. Geschäftszwecke,
zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
5. deren regelmäßige
Empfänger,
6. zugriffsberechtigte
Personengruppen oder Personen, die allein zugriffsberechtigt sind.
(3) Absatz 2 Nr. 2 bis
6 gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb
von drei
Monaten nach ihrer Erstellung gelöscht werden.
§ 38 Aufsichtsbehörde
(1) Die Aufsichtsbehörde
überprüft im Einzelfall die Ausführung dieses Gesetzes sowie
anderer
Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung
personenbezogener
Daten in oder aus Dateien regeln, wenn ihr hinreichende Anhaltspunkte dafür
vorliegen, daß eine dieser
Vorschriften durch nicht-öffentliche Stellen verletzt ist, insbesondere
wenn es der Betroffene selbst
begründet darlegt.
(2) Werden personenbezogene
Daten geschäftsmäßig
1. zum Zwecke der Übermittlung
gespeichert,
2. zum Zwecke der anonymisierten
Übermittlung gespeichert oder
3. im Auftrag durch Dienstleistungsunternehmen
verarbeitet,
überwacht die Aufsichtsbehörde
die Ausführung dieses Gesetzes oder anderer Vorschriften über den
Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten
in oder aus Dateien
regeln. Die
Aufsichtsbehörde führt das Register nach § 32 Abs.
2. Das Register kann von jedem
eingesehen werden.
(3) Die der Prüfung
unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben
der
Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben
erforderlichen Auskünfte unverzüglich
zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern,
deren Beantwortung
ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozeßordnung
bezeichneten Angehörigen der
Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über
Ordnungswidrigkeiten
aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen.
(4) Die von der Aufsichtsbehörde
mit der Überprüfung oder Überwachung beauftragten Personen sind
befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen
Aufgaben erforderlich ist, während
der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume
der Stelle zu betreten und dort
Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche
Unterlagen, insbesondere die
Übersicht nach § 37 Abs. 2 sowie die gespeicherten personenbezogenen
Daten und die
Datenverarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt entsprechend. Der
Auskunftspflichtige hat
diese Maßnahmen zu dulden.
(5) Zur Gewährleistung
des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den
Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten
in oder aus Dateien
regeln, kann die Aufsichtsbehörde anordnen, daß im Rahmen
der Anforderungen nach § 9 Maßnahmen
zur Beseitigung festgestellter technischer oder organisatorischer Mängel
getroffen werden. Bei
schwerwiegenden Mängeln dieser Art, insbesondere, wenn sie mit besonderer
Gefährdung des
Persönlichkeitsrechts verbunden sind, kann sie den Einsatz einzelner Verfahren
untersagen, wenn die
Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung
eines Zwangsgeldes nicht in
angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten
für den Datenschutz
verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde
und Zuverlässigkeit nicht
besitzt.
(6) Die Landesregierungen
oder die von ihnen ermächtigten Stellen bestimmen die für die Überwachung
der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes
zuständigen
Aufsichtsbehörden.
(7) Die Anwendung der Gewerbeordnung
auf die den Vorschriften dieses Abschnitts unterliegenden
Gewerbebetriebe bleibt unberührt.
Vierter Abschnitt
Sondervorschriften
§ 39 Zweckbindung bei
personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
(1) personenbezogene Daten,
die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die
von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs-
oder Amtspflicht zur
Verfügung gestellt worden sind, dürfen von der speichernden Stelle
nur für den Zweck verarbeitet oder
genutzt werden, für den sie sie erhalten hat. In die Übermittlung
an eine nicht-öffentliche Stelle muß die
zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen
Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung
des Zwecks durch besonderes Gesetz zugelassen ist.
§ 40 Verarbeitung und
Nutzung personenbezogener Daten durch Forschungseinrichtungen
(1) Für Zwecke der
wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten
dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet
oder genutzt werden.
(2) Die Übermittlung
personenbezogener Daten an andere als öffentliche Stellen für Zwecke
der
wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten,
die übermittelten Daten nicht
für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des
Absatzes 3 einzuhalten.
(3) Die personenbezogenen
Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck
möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen
Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren
Person zugeordnet
werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt
werden, soweit der
Forschungszweck dies erfordert.
(4) Die wissenschaftliche
Forschung betreibenden Stellen dürfen personenbezogene Daten nur
veröffentlichen, wenn
1. der Betroffene eingewilligt
hat oder
2. dies für die Darstellung
von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich
ist.
§ 41 Verarbeitung und
Nutzung personenbezogener Daten durch die Medien
(1) Soweit personenbezogene
Daten von Unternehmen oder Hilfsunternehmen der Presse oder des
Films oder von Hilfsunternehmen des Rundfunks ausschließlich zu eigenen
journalistisch-redaktionellen
Zwecken verarbeitet oder genutzt werden, gelten von den Vorschriften dieses
Gesetzes nur die §§ 5 und
9. Soweit Verlage personenbezogene Daten zur Herausgabe von Adressen-, Telefon-,
Branchen- oder
vergleichbaren Verzeichnissen verarbeiten oder nutzen, gilt Satz 1 nur, wenn
mit der Herausgabe
zugleich eine journalistisch-redaktionelle Tätigkeit verbunden ist.
(2) Führt die journalistisch-redaktionelle
Verarbeitung oder Nutzung personenbezogener Daten durch die
Rundfunkanstalten des Bundesrechts zur Veröffentlichung von Gegendarstellungen
des Betroffenen, so
sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für
dieselbe Zeitdauer
aufzubewahren wie die Daten selbst.
(3) Wird jemand durch eine
Berichterstattung der Rundfunkanstalten des Bundesrechts in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über
die der Berichterstattung
zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft
kann verweigert
werden, soweit aus
den Daten auf die Person des Verfassers, Einsenders oder
Gewährsmannes von
Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil
geschlossen werden kann. Der
Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) Im übrigen gelten
für die Rundfunkanstalten des Bundesrechts von den Vorschriften dieses
Gesetzes
die §§ 5 und 9. Anstelle der §§ 24 bis 26 gilt § 42,
auch soweit es sich um Verwaltungsangelegenheiten
handelt.
§ 42 Datenschutzbeauftragte
der Rundfunkanstalten des Bundesrechts
(1) Die Rundfunkanstalten
des Bundesrechts bestellen jeweils einen Beauftragten für den Datenschutz,
der an die Stelle des Bundesbeauftragten für den Datenschutz tritt. Die
Bestellung erfolgt auf Vorschlag
des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren,
wobei Wiederbestellungen
zulässig sind. Das Amt eines Beauftragten für den Datenschutz kann
neben anderen Aufgaben innerhalb
der Rundfunkanstalt wahrgenommen werden.
(2) Der Beauftragte für
den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes
sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung
dieses Amtes unabhängig und nur
dem Gesetz unterworfen. Im übrigen untersteht er der Dienst- und Rechtsaufsicht
des Verwaltungsrates.
(3) Jedermann kann sich
entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden.
(4) Der Beauftragte für
den Da
tenschutz erstattet den Organen der jeweiligen Rundfunkanstalt des
Bundesrechts alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht.
Er erstattet darüber
hinaus besondere Berichte auf Beschluß eines Organes der jeweiligen Rundfunkanstalt.
Die
Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten
für den Datenschutz.
(5) Weitere Regelungen
entsprechend den §§ 23 bis 26 treffen die Rundfunkanstalten des Bundesrechts
jeweils für ihren Bereich. § 18 bleibt unberührt.
Fünfter Abschnitt
Schlußvorschriften
§ 43 Strafvorschriften
(1) Wer unbefugt von diesem
Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,
1. speichert, verändert
oder übermittelt,
2. zum Abruf mittels automatisierten
Verfahrens bereithält oder
3. abruft oder sich oder
einem anderen aus Dateien verschafft,
wird mit Freiheitsstrafe
bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft,
wer
1. die Übermittlung
von durch dieses Gesetz geschützten personenbezogenen Daten, die nicht
offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen § 16 Abs.
4 Satz 1, § 28 Abs. 4 Satz 1, auch in Verbindung mit § 29 Abs. 3,
§ 39 Abs. 1 Satz
1 oder § 40 Abs. 1 die übermittelten Daten für andere Zwecke
nutzt, indem er sie an Dritte weitergibt, oder
3. entgegen § 30 Abs.
1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen
§ 40 Abs.
3 Satz 3 die in § 40 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben
zusammenführt.
(3) Handelt der Täter
gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder
einen
anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren
oder Geldstrafe.
(4) Die Tat wird nur auf
Antrag verfolgt.
§ 44 Bußgeldvorschriften
(1) Ordnungswidrig handelt,
wer vorsätzlich oder fahrlässig
1. entgegen § 29 Abs.
2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer
glaubhaften Darlegung nicht aufzeichnet,
2. entgegen § 32 Abs.
1, auch in Verbindung mit Absatz 4, eine Meldung nicht oder nicht rechtzeitig
erstattet oder entgegen § 32 Abs. 2, auch in Verbindung mit Absatz 4, bei
einer solchen Meldung die
erforderlichen Angaben nicht, nicht richtig oder nicht vollständig mitteilt,
3. entgegen § 33 Abs.
1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
4. entgegen § 35 Abs.
5 Satz 3 Daten ohne Gegendarstellung übermittelt,
5. entgegen § 36 Abs.
1 einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt,
6. entgegen § 38 Abs.
3 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig
erteilt oder entgegen § 38 Abs. 4 Satz 4 den Zutritt zu den Grundstücken
oder Geschäftsräumen oder die
Vornahme von Prüfungen oder Besichtigungen oder die Einsicht in geschäftliche
Unterlagen nicht duldet,
oder
7. einer vollziehbaren
Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.
(2) Die Ordnungswidrigkeit
kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet
werden.
Anlage (zu § 9 Satz
1)
Werden personenbezogene
Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach
der
Art der zu schützenden personenbezogenen Daten geeignet sind,
1. Unbefugten den Zugang
zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten
verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, daß
Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden
können
(Datenträgerkontrolle),
3. die unbefugte Eingabe
in den Speicher sowie die unbefugte Kenntnisnahme, Veärnderung
oder
Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. zu verhindern, daß
Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung
von
Unbefugten genutzt werden können (Benutzerkontrolle),
5. zu gewährleisten,
daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können
(Zugriffskontrolle),
6. zu gewährleisten,
daß überprüft und festgestellt werden kann, an welche Stellen
personenbezogene
Daten durch Einrichtungen zur Datenübertragung übermittelt werden
können (Übermittlungskontrolle),
7. zu gewährleisten,
daß nachträglich überprüft und festgestellt werden kann,
welche personenbezogenen
Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden
sind
(Eingabekontrolle),
8. zu gewährleisten,
daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend
den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu verhindern, daß
bei der Übertragung personenbezogener Datenträgern die Daten unbefugt
gelesen,
kopiert, verändert oder gelöscht werden können (Transportkontrolle),
10. die innerbehördliche
oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen
Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle)
|