Bundesdatenschutzgesetz (BDSG)
BDSG
vom 20.12.1990
"Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I
S. 66), das zuletzt durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I
S. 160) geaendert worden ist"
Stand: Neugefasst durch Bek. v. 14.1.2003 I 66;
zuletzt geaendert durch Art. 15 Abs. 53 G v. 5.2.2009 I 160
Fussnote
Textnachweis ab: 1.6.1991
Das G wurde als Art. 1 des G v. 20.12.1990 I 2954 vom Bundestag mit Zustimmung
des Bundesrates beschlossen; § 10 Abs. 4 Satz 3 und 4 ist am ersten Tage des
vierundzwanzigsten auf die Verkuendung folgenden Kalendermonats, im uebrigen am ersten
Tage des sechsten auf die Verkuendung folgenden Kalendermonats gem. Art. 6 Abs. 2 Satz 1
u. 2 G v. 20.12.1990 I 2954 in Kraft getreten. Das G wurde am 29.12.1990 verkuendet.
Inhaltsuebersicht
Erster Abschnitt
Allgemeine und gemeinsame Bestimmungen
§ 1 Zweck und Anwendungsbereich des Gesetzes
§ 2 Oeffentliche und nicht oeffentliche Stellen
§ 3 Weitere Begriffsbestimmungen
§ 3a Datenvermeidung und Datensparsamkeit
§ 4 Zulaessigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4a Einwilligung
§ 4b Uebermittlung personenbezogener Daten ins Ausland sowie an ueber- und
zwischenstaatliche Stellen
§ 4c Ausnahmen
§ 4d Meldepflicht
§ 4e Inhalt der Meldepflicht
§ 4f Beauftragter fuer den Datenschutz
§ 4g Aufgaben des Beauftragten fuer den Datenschutz
§ 5 Datengeheimnis
§ 6 Unabdingbare Rechte des Betroffenen
§ 6a Automatisierte Einzelentscheidung
§ 6b Beobachtung oeffentlich zugaenglicher Raeume mit optisch-elektronischen
Einrichtungen
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 7 Schadensersatz
§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch oeffentliche
Stellen
§ 9 Technische und organisatorische Massnahmen
§ 9a Datenschutzaudit
§ 10 Einrichtung automatisierter Abrufverfahren
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
Zweiter Abschnitt
Datenverarbeitung der oeffentlichen Stellen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 12 Anwendungsbereich
§ 13 Datenerhebung
§ 14 Datenspeicherung, -veraenderung und -nutzung
-1-
�
§ 15 Datenuebermittlung an oeffentliche Stellen
§ 16 Datenuebermittlung an nicht oeffentliche Stellen
§ 17 (weggefallen)
§ 18 Durchfuehrung des Datenschutzes in der Bundesverwaltung
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 19 Auskunft an den Betroffenen
§ 19a Benachrichtigung
§ 20 Berichtigung, Loeschung und Sperrung von Daten; Widerspruchsrecht
§ 21 Anrufung des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
Dritter Unterabschnitt
Bundesbeauftragter fuer den Datenschutz und die Informationsfreiheit
§ 22 Wahl des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
§ 23 Rechtsstellung des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
§ 24 Kontrolle durch den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
§ 25 Beanstandungen durch den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
§ 26 Weitere Aufgaben des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
Dritter Abschnitt
Datenverarbeitung nicht-oeffentlicher Stellen und oeffentlich-rechtlicher
Wettbewerbsunternehmen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
§ 28 Datenerhebung, -verarbeitung und -nutzung fuer eigene Zwecke
§ 29 Geschaeftsmaessige Datenerhebung und -speicherung zum Zweck der Uebermittlung
§ 30 Geschaeftsmaessige Datenerhebung und -speicherung zum Zweck der Uebermittlung
in anonymisierter Form
§ 31 Besondere Zweckbindung
§ 32 (weggefallen)
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 33 Benachrichtigung des Betroffenen
§ 34 Auskunft an den Betroffenen
§ 35 Berichtigung, Loeschung und Sperrung von Daten
Dritter Unterabschnitt
Aufsichtsbehoerde
§§ 36 und 37 (weggefallen)
§ 38 Aufsichtsbehoerde
§ 38a Verhaltensregeln zur Foerderung der Durchfuehrung datenschutzrechtlicher
Regelungen
Vierter Abschnitt
Sondervorschriften
§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder
besonderen Amtsgeheimnis unterliegen
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch
Forschungseinrichtungen
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die
Medien
§ 42 Datenschutzbeauftragter der Deutschen Welle
Fuenfter Abschnitt
Schlussvorschriften
§ 43 Bussgeldvorschriften
§ 44 Strafvorschriften
Sechster Abschnitt
Uebergangsvorschriften
§ 45 Laufende Verwendungen
-2-
�
§ 46 Weitergeltung von Begriffsbestimmungen
Anlage (zu § 9 Satz 1)
Erster Abschnitt
Allgemeine und gemeinsame Bestimmungen
§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schuetzen, dass er durch den
Umgang mit seinen personenbezogenen Daten in seinem Persoenlichkeitsrecht beeintraechtigt
wird.
(2) Dieses Gesetz gilt fuer die Erhebung, Verarbeitung und Nutzung personenbezogener
Daten durch
1. oeffentliche Stellen des Bundes,
2. oeffentliche Stellen der Laender, soweit der Datenschutz nicht durch Landesgesetz
geregelt ist und soweit sie
a) Bundesrecht ausfuehren oder
b) als Organe der Rechtspflege taetig werden und es sich nicht um
Verwaltungsangelegenheiten handelt,
3. nicht-oeffentliche Stellen, soweit sie die Daten unter Einsatz von
Datenverarbeitungsanlagen verarbeiten, nutzen oder dafuer erheben oder die Daten in
oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafuer erheben, es
sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschliesslich
fuer persoenliche oder familiaere Taetigkeiten.
(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten
einschliesslich deren Veroeffentlichung anzuwenden sind, gehen sie den Vorschriften
dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten
oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen
Vorschriften beruhen, bleibt unberuehrt.
(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor,
soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat
der Europaeischen Union oder in einem anderen Vertragsstaat des Abkommens ueber den
Europaeischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten
im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine
Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche
Stelle, die nicht in einem Mitgliedstaat der Europaeischen Union oder in einem
anderen Vertragsstaat des Abkommens ueber den Europaeischen Wirtschaftsraum belegen
ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die
verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben ueber
im Inland ansaessige Vertreter zu machen. Die Saetze 2 und 3 gelten nicht, sofern
Datentraeger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1
Satz 1 bleibt unberuehrt.
§ 2 Oeffentliche und nicht-oeffentliche Stellen
(1) Oeffentliche Stellen des Bundes sind die Behoerden, die Organe der Rechtspflege
und andere oeffentlich-rechtlich organisierte Einrichtungen des Bundes, der
bundesunmittelbaren Koerperschaften, Anstalten und Stiftungen des oeffentlichen Rechts
sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als oeffentliche Stellen
gelten die aus dem Sondervermoegen Deutsche Bundespost durch Gesetz hervorgegangenen
Unternehmen, solange ihnen ein ausschliessliches Recht nach dem Postgesetz zusteht.
(2) Oeffentliche Stellen der Laender sind die Behoerden, die Organe der Rechtspflege
und andere oeffentlich-rechtlich organisierte Einrichtungen eines Landes, einer
-3-
�
Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender
juristischer Personen des oeffentlichen Rechts sowie deren Vereinigungen ungeachtet
ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von oeffentlichen Stellen des Bundes und der
Laender, die Aufgaben der oeffentlichen Verwaltung wahrnehmen, gelten ungeachtet der
Beteiligung nicht-oeffentlicher Stellen als oeffentliche Stellen des Bundes, wenn
1. sie ueber den Bereich eines Landes hinaus taetig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehoert oder die absolute Mehrheit der
Stimmen zusteht.
Andernfalls gelten sie als oeffentliche Stellen der Laender.
(4) Nicht-oeffentliche Stellen sind natuerliche und juristische Personen, Gesellschaften
und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die
Absaetze 1 bis 3 fallen. Nimmt eine nicht-oeffentliche Stelle hoheitliche Aufgaben der
oeffentlichen Verwaltung wahr, ist sie insoweit oeffentliche Stelle im Sinne dieses
Gesetzes.
§ 3 Weitere Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben ueber persoenliche oder sachliche
Verhaeltnisse einer bestimmten oder bestimmbaren natuerlichen Person (Betroffener).
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht
automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten,
die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugaenglich ist und
ausgewertet werden kann.
(3) Erheben ist das Beschaffen von Daten ueber den Betroffenen.
(4) Verarbeiten ist das Speichern, Veraendern, Uebermitteln, Sperren und Loeschen
personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf
einem Datentraeger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Veraendern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Uebermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener
personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder
abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere
Verarbeitung oder Nutzung einzuschraenken,
5. Loeschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um
Verarbeitung handelt.
(6) Anonymisieren ist das Veraendern personenbezogener Daten derart, dass die
Einzelangaben ueber persoenliche oder sachliche Verhaeltnisse nicht mehr oder nur
mit einem unverhaeltnismaessig grossen Aufwand an Zeit, Kosten und Arbeitskraft einer
bestimmten oder bestimmbaren natuerlichen Person zugeordnet werden koennen.
(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale
durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschliessen oder
wesentlich zu erschweren.
-4-
�
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten fuer
sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen
laesst.
(8) Empfaenger ist jede Person oder Stelle, die Daten erhaelt. Dritter ist jede
Person oder Stelle ausserhalb der verantwortlichen Stelle. Dritte sind nicht der
Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat
der Europaeischen Union oder in einem anderen Vertragsstaat des Abkommens ueber den
Europaeischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten
oder nutzen.
(9) Besondere Arten personenbezogener Daten sind Angaben ueber die rassische und
ethnische Herkunft, politische Meinungen, religioese oder philosophische Ueberzeugungen,
Gewerkschaftszugehoerigkeit, Gesundheit oder Sexualleben.
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datentraeger,
1. die an den Betroffenen ausgegeben werden,
2. auf denen personenbezogene Daten ueber die Speicherung hinaus durch die ausgebende
oder eine andere Stelle automatisiert verarbeitet werden koennen und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums
beeinflussen kann.
§ 3a Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel
auszurichten, keine oder so wenig personenbezogene Daten wie moeglich zu erheben, zu
verarbeiten oder zu nutzen. Insbesondere ist von den Moeglichkeiten der Anonymisierung
und Pseudonymisierung Gebrauch zu machen, soweit dies moeglich ist und der Aufwand in
einem angemessenen Verhaeltnis zu dem angestrebten Schutzzweck steht.
§ 4 Zulaessigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulaessig,
soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder
der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung
duerfen sie nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. a) die zu erfuellende Verwaltungsaufgabe ihrer Art nach oder der Geschaeftszweck eine
Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhaeltnismaessigen Aufwand erfordern wuerde
und keine Anhaltspunkte dafuer bestehen, dass ueberwiegende schutzwuerdige Interessen
des Betroffenen beeintraechtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht
bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle ueber
1. die Identitaet der verantwortlichen Stelle,
2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfaengern nur, soweit der Betroffene nach den Umstaenden des
Einzelfalles nicht mit der Uebermittlung an diese rechnen muss,
zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer
Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der
Auskunft Voraussetzung fuer die Gewaehrung von Rechtsvorteilen, so ist der Betroffene
hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach
den Umstaenden des Einzelfalles erforderlich oder auf Verlangen, ist er ueber die
Rechtsvorschrift und ueber die Folgen der Verweigerung von Angaben aufzuklaeren.
-5-
�
§ 4a Einwilligung
(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des
Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung
oder Nutzung sowie, soweit nach den Umstaenden des Einzelfalles erforderlich oder
auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die
Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstaende eine andere
Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklaerungen schriftlich
erteilt werden, ist sie besonders hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im
Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte
Forschungszweck erheblich beeintraechtigt wuerde. In diesem Fall sind der Hinweis nach
Absatz 1 Satz 2 und die Gruende, aus denen sich die erhebliche Beeintraechtigung des
bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet
oder genutzt werden, muss sich die Einwilligung darueber hinaus ausdruecklich auf diese
Daten beziehen.
§ 4b Uebermittlung personenbezogener Daten ins Ausland sowie an ueber- oder
zwischenstaatliche Stellen
(1) Fuer die Uebermittlung personenbezogener Daten an Stellen
1. in anderen Mitgliedstaaten der Europaeischen Union,
2. in anderen Vertragsstaaten des Abkommens ueber den Europaeischen Wirtschaftsraum oder
3. der Organe und Einrichtungen der Europaeischen Gemeinschaften
gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30 nach Massgabe der fuer diese
Uebermittlung geltenden Gesetze und Vereinbarungen, soweit die Uebermittlung im Rahmen
von Taetigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts
der Europaeischen Gemeinschaften fallen.
(2) Fuer die Uebermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht
im Rahmen von Taetigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich
des Rechts der Europaeischen Gemeinschaften fallen, sowie an sonstige auslaendische oder
ueber- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Uebermittlung
unterbleibt, soweit der Betroffene ein schutzwuerdiges Interesse an dem Ausschluss
der Uebermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein
angemessenes Datenschutzniveau nicht gewaehrleistet ist. Satz 2 gilt nicht, wenn die
Uebermittlung zur Erfuellung eigener Aufgaben einer oeffentlichen Stelle des Bundes aus
zwingenden Gruenden der Verteidigung oder der Erfuellung ueber- oder zwischenstaatlicher
Verpflichtungen auf dem Gebiet der Krisenbewaeltigung oder Konfliktverhinderung oder fuer
humanitaere Massnahmen erforderlich ist.
(3) Die Angemessenheit des Schutzniveaus wird unter Beruecksichtigung aller Umstaende
beurteilt, die bei einer Datenuebermittlung oder einer Kategorie von Datenuebermittlungen
von Bedeutung sind; insbesondere koennen die Art der Daten, die Zweckbestimmung, die
Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die
fuer den betreffenden Empfaenger geltenden Rechtsnormen sowie die fuer ihn geltenden
Standesregeln und Sicherheitsmassnahmen herangezogen werden.
(4) In den Faellen des § 16 Abs. 1 Nr. 2 unterrichtet die uebermittelnde Stelle den
Betroffenen von der Uebermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen
ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung
die oeffentliche Sicherheit gefaehrden oder sonst dem Wohl des Bundes oder eines Landes
Nachteile bereiten wuerde.
(5) Die Verantwortung fuer die Zulaessigkeit der Uebermittlung traegt die uebermittelnde
Stelle.
(6) Die Stelle, an die die Daten uebermittelt werden, ist auf den Zweck hinzuweisen, zu
dessen Erfuellung die Daten uebermittelt werden.
-6-
�
§ 4c Ausnahmen
(1) Im Rahmen von Taetigkeiten, die ganz oder teilweise in den Anwendungsbereich des
Rechts der Europaeischen Gemeinschaften fallen, ist eine Uebermittlung personenbezogener
Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein
angemessenes Datenschutzniveau nicht gewaehrleistet ist, zulaessig, sofern
1. der Betroffene seine Einwilligung gegeben hat,
2. die Uebermittlung fuer die Erfuellung eines Vertrags zwischen dem Betroffenen und der
verantwortlichen Stelle oder zur Durchfuehrung von vorvertraglichen Massnahmen, die
auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Uebermittlung zum Abschluss oder zur Erfuellung eines Vertrags erforderlich ist,
der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten
geschlossen wurde oder geschlossen werden soll,
4. die Uebermittlung fuer die Wahrung eines wichtigen oeffentlichen Interesses oder
zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen vor Gericht
erforderlich ist,
5. die Uebermittlung fuer die Wahrung lebenswichtiger Interessen des Betroffenen
erforderlich ist oder
6. die Uebermittlung aus einem Register erfolgt, das zur Information der Oeffentlichkeit
bestimmt ist und entweder der gesamten Oeffentlichkeit oder allen Personen, die ein
berechtigtes Interesse nachweisen koennen, zur Einsichtnahme offen steht, soweit die
gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
Die Stelle, an die die Daten uebermittelt werden, ist darauf hinzuweisen, dass die
uebermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden duerfen, zu dessen
Erfuellung sie uebermittelt werden.
(2) Unbeschadet des Absatzes 1 Satz 1 kann die zustaendige Aufsichtsbehoerde einzelne
Uebermittlungen oder bestimmte Arten von Uebermittlungen personenbezogener Daten an
andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche
Stelle ausreichende Garantien hinsichtlich des Schutzes des Persoenlichkeitsrechts
und der Ausuebung der damit verbundenen Rechte vorweist; die Garantien koennen sich
insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben.
Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte fuer den
Datenschutz und die Informationsfreiheit zustaendig. Sofern die Uebermittlung durch
oeffentliche Stellen erfolgen soll, nehmen diese die Pruefung nach Satz 1 vor.
(3) Die Laender teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.
§ 4d Meldepflicht
(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von
nicht-oeffentlichen verantwortlichen Stellen der zustaendigen Aufsichtsbehoerde
und von oeffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und
Telekommunikationsunternehmen dem Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit nach Massgabe von § 4e zu melden.
(2) Die Meldepflicht entfaellt, wenn die verantwortliche Stelle einen Beauftragten fuer
den Datenschutz bestellt hat.
(3) Die Meldepflicht entfaellt ferner, wenn die verantwortliche Stelle personenbezogene
Daten fuer eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei hoechstens neun Personen
mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschaeftigt und
entweder eine Einwilligung der Betroffenen vorliegt oder die Erhebung, Verarbeitung
oder Nutzung der Zweckbestimmung eines Vertragsverhaeltnisses oder vertragsaehnlichen
Vertrauensverhaeltnisses mit den Betroffenen dient.
(4) Die Absaetze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen
handelt, in denen geschaeftsmaessig personenbezogene Daten von der jeweiligen Stelle
1. zum Zweck der Uebermittlung oder
2. zum Zweck der anonymisierten Uebermittlung
-7-
�
gespeichert werden.
(5) Soweit automatisierte Verarbeitungen besondere Risiken fuer die Rechte und
Freiheiten der Betroffenen aufweisen, unterliegen sie der Pruefung vor Beginn der
Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzufuehren, wenn
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persoenlichkeit des
Betroffenen zu bewerten einschliesslich seiner Faehigkeiten, seiner Leistung oder
seines Verhaltens,
es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen
vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines
Vertragsverhaeltnisses oder vertragsaehnlichen Vertrauensverhaeltnisses mit dem
Betroffenen dient.
(6) Zustaendig fuer die Vorabkontrolle ist der Beauftragte fuer den Datenschutz.
Dieser nimmt die Vorabkontrolle nach Empfang der Uebersicht nach § 4g Abs. 2 Satz 1
vor. Er hat sich in Zweifelsfaellen an die Aufsichtsbehoerde oder bei den Post- und
Telekommunikationsunternehmen an den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit zu wenden.
§ 4e Inhalt der Meldepflicht
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende
Angaben zu machen:
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstaende, Geschaeftsfuehrer oder sonstige gesetzliche oder nach
der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der
Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der betroffenen Personengruppen und der diesbezueglichen Daten
oder Datenkategorien,
6. Empfaenger oder Kategorien von Empfaengern, denen die Daten mitgeteilt werden koennen,
7. Regelfristen fuer die Loeschung der Daten,
8. eine geplante Datenuebermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermoeglicht, vorlaeufig zu beurteilen, ob die
Massnahmen nach § 9 zur Gewaehrleistung der Sicherheit der Verarbeitung angemessen
sind.
§ 4d Abs. 1 und 4 gilt fuer die Aenderung der nach Satz 1 mitgeteilten Angaben sowie
fuer den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Taetigkeit
entsprechend.
§ 4f Beauftragter fuer den Datenschutz
(1) Oeffentliche und nicht oeffentliche Stellen, die personenbezogene Daten automatisiert
verarbeiten, haben einen Beauftragten fuer den Datenschutz schriftlich zu bestellen.
Nicht-oeffentliche Stellen sind hierzu spaetestens innerhalb eines Monats nach
Aufnahme ihrer Taetigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten
auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel
mindestens 20 Personen beschaeftigt sind. Die Saetze 1 und 2 gelten nicht fuer die
nichtoeffentlichen Stellen, die in der Regel hoechstens neun Personen staendig mit der
automatisierten Verarbeitung personenbezogener Daten beschaeftigen. Soweit aufgrund
der Struktur einer oeffentlichen Stelle erforderlich, genuegt die Bestellung eines
Beauftragten fuer den Datenschutz fuer mehrere Bereiche. Soweit nicht-oeffentliche
Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen,
oder personenbezogene Daten geschaeftsmaessig zum Zweck der Uebermittlung oder der
anonymisierten Uebermittlung automatisiert verarbeiten, haben sie unabhaengig von
-8-
�
der Anzahl der mit der automatisierten Verarbeitung beschaeftigten Personen einen
Beauftragten fuer den Datenschutz zu bestellen.
(2) Zum Beauftragten fuer den Datenschutz darf nur bestellt werden, wer die zur
Erfuellung seiner Aufgaben erforderliche Fachkunde und Zuverlaessigkeit besitzt.
Das Mass der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang
der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der
personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum
Beauftragten fuer den Datenschutz kann auch eine Person ausserhalb der verantwortlichen
Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten,
die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis
nach § 30 der Abgabenordnung, unterliegen. Oeffentliche Stellen koennen mit Zustimmung
ihrer Aufsichtsbehoerde einen Bediensteten aus einer anderen oeffentlichen Stelle zum
Beauftragten fuer den Datenschutz bestellen.
(3) Der Beauftragte fuer den Datenschutz ist dem Leiter der oeffentlichen oder nicht-
oeffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausuebung seiner Fachkunde
auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfuellung seiner
Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten fuer den
Datenschutz kann in entsprechender Anwendung von § 626 des Buergerlichen Gesetzbuches,
bei nicht-oeffentlichen Stellen auch auf Verlangen der Aufsichtsbehoerde, widerrufen
werden.
(4) Der Beauftragte fuer den Datenschutz ist zur Verschwiegenheit ueber die Identitaet
des Betroffenen sowie ueber Umstaende, die Rueckschluesse auf den Betroffenen zulassen,
verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
(4a) Soweit der Beauftragte fuer den Datenschutz bei seiner Taetigkeit Kenntnis von Daten
erhaelt, fuer die dem Leiter oder einer bei der oeffentlichen oder nichtoeffentlichen
Stelle beschaeftigten Person aus beruflichen Gruenden ein Zeugnisverweigerungsrecht
zusteht, steht dieses Recht auch dem Beauftragten fuer den Datenschutz und dessen
Hilfspersonal zu. Ueber die Ausuebung dieses Rechts entscheidet die Person, der
das Zeugnisverweigerungsrecht aus beruflichen Gruenden zusteht, es sei denn, dass
diese Entscheidung in absehbarer Zeit nicht herbeigefuehrt werden kann. Soweit das
Zeugnisverweigerungsrecht des Beauftragten fuer den Datenschutz reicht, unterliegen
seine Akten und andere Schriftstuecke einem Beschlagnahmeverbot.
(5) Die oeffentlichen und nicht-oeffentlichen Stellen haben den Beauftragten fuer den
Datenschutz bei der Erfuellung seiner Aufgaben zu unterstuetzen und ihm insbesondere,
soweit dies zur Erfuellung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Raeume,
Einrichtungen, Geraete und Mittel zur Verfuegung zu stellen. Betroffene koennen sich
jederzeit an den Beauftragten fuer den Datenschutz wenden.
§ 4g Aufgaben des Beauftragten fuer den Datenschutz
(1) Der Beauftragte fuer den Datenschutz wirkt auf die Einhaltung dieses Gesetzes
und anderer Vorschriften ueber den Datenschutz hin. Zu diesem Zweck kann sich der
Beauftragte fuer den Datenschutz in Zweifelsfaellen an die fuer die Datenschutzkontrolle
bei der verantwortlichen Stelle zustaendige Behoerde wenden. Er kann die Beratung nach §
38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere
1. die ordnungsgemaesse Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe
personenbezogene Daten verarbeitet werden sollen, zu ueberwachen; zu diesem Zweck
ist er ueber Vorhaben der automatisierten Verarbeitung personenbezogener Daten
rechtzeitig zu unterrichten,
2. die bei der Verarbeitung personenbezogener Daten taetigen Personen durch geeignete
Massnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften ueber
den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes
vertraut zu machen.
(2) Dem Beauftragten fuer den Datenschutz ist von der verantwortlichen Stelle eine
Uebersicht ueber die in § 4e Satz 1 genannten Angaben sowie ueber zugriffsberechtigte
Personen zur Verfuegung zu stellen. Der Beauftragte fuer den Datenschutz macht die
-9-
�
Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise
verfuegbar.
(2a) Soweit bei einer nichtoeffentlichen Stelle keine Verpflichtung zur Bestellung eines
Beauftragten fuer den Datenschutz besteht, hat der Leiter der nichtoeffentlichen Stelle
die Erfuellung der Aufgaben nach den Absaetzen 1 und 2 in anderer Weise sicherzustellen.
(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behoerden findet Absatz 2 Satz 2 keine
Anwendung. Absatz 1 Satz 2 findet mit der Massgabe Anwendung, dass der behoerdliche
Beauftragte fuer den Datenschutz das Benehmen mit dem Behoerdenleiter herstellt; bei
Unstimmigkeiten zwischen dem behoerdlichen Beauftragten fuer den Datenschutz und dem
Behoerdenleiter entscheidet die oberste Bundesbehoerde.
§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschaeftigten Personen ist untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese
Personen sind, soweit sie bei nicht-oeffentlichen Stellen beschaeftigt werden, bei der
Aufnahme ihrer Taetigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis
besteht auch nach Beendigung ihrer Taetigkeit fort.
§ 6 Unabdingbare Rechte des Betroffenen
(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Loeschung
oder Sperrung (§§ 20, 35) koennen nicht durch Rechtsgeschaeft ausgeschlossen oder
beschraenkt werden.
(2) Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass
mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der
Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede
dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die
Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist ueber die
Weiterleitung und jene Stelle zu unterrichten. Die in § 19 Abs. 3 genannten Stellen,
die Behoerden der Staatsanwaltschaft und der Polizei sowie oeffentliche Stellen der
Finanzverwaltung, soweit sie personenbezogene Daten in Erfuellung ihrer gesetzlichen
Aufgaben im Anwendungsbereich der Abgabenordnung zur Ueberwachung und Pruefung speichern,
koennen statt des Betroffenen den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit unterrichten. In diesem Fall richtet sich das weitere Verfahren
nach § 19 Abs. 6.
§ 6a Automatisierte Einzelentscheidung
(1) Entscheidungen, die fuer den Betroffenen eine rechtliche Folge nach sich ziehen oder
ihn erheblich beeintraechtigen, duerfen nicht ausschliesslich auf eine automatisierte
Verarbeitung personenbezogener Daten gestuetzt werden, die der Bewertung einzelner
Persoenlichkeitsmerkmale dienen.
(2) Dies gilt nicht, wenn
1. die Entscheidung im Rahmen des Abschlusses oder der Erfuellung eines
Vertragsverhaeltnisses oder eines sonstigen Rechtsverhaeltnisses ergeht und dem
Begehren des Betroffenen stattgegeben wurde oder
2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Massnahmen
gewaehrleistet und dem Betroffenen von der verantwortlichen Stelle die Tatsache
des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird. Als
geeignete Massnahme gilt insbesondere die Moeglichkeit des Betroffenen, seinen
Standpunkt geltend zu machen. Die verantwortliche Stelle ist verpflichtet, ihre
Entscheidung erneut zu pruefen.
(3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch
auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten.
- 10 -
�
§ 6b Beobachtung oeffentlich zugaenglicher Raeume mit optisch-elektronischen
Einrichtungen
(1) Die Beobachtung oeffentlich zugaenglicher Raeume mit optisch-elektronischen
Einrichtungen (Videoueberwachung) ist nur zulaessig, soweit sie
1. zur Aufgabenerfuellung oeffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen fuer konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwuerdige Interessen der
Betroffenen ueberwiegen.
(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete
Massnahmen erkennbar zu machen.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulaessig,
wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte
bestehen, dass schutzwuerdige Interessen der Betroffenen ueberwiegen. Fuer einen anderen
Zweck duerfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von
Gefahren fuer die staatliche und oeffentliche Sicherheit sowie zur Verfolgung von
Straftaten erforderlich ist.
(4) Werden durch Videoueberwachung erhobene Daten einer bestimmten Person zugeordnet,
ist diese ueber eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu
benachrichtigen.
(5) Die Daten sind unverzueglich zu loeschen, wenn sie zur Erreichung des Zwecks nicht
mehr erforderlich sind oder schutzwuerdige Interessen der Betroffenen einer weiteren
Speicherung entgegenstehen.
§ 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium
ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten,
das ganz oder teilweise auf einem solchen Medium ablaeuft, auf das Medium aufbringt,
aendert oder hierzu bereithaelt, muss den Betroffenen
1. ueber ihre Identitaet und Anschrift,
2. in allgemein verstaendlicher Form ueber die Funktionsweise des Mediums einschliesslich
der Art der zu verarbeitenden personenbezogenen Daten,
3. darueber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausueben kann, und
4. ueber die bei Verlust oder Zerstoerung des Mediums zu treffenden Massnahmen
unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichtete Stelle hat dafuer Sorge zu tragen, dass die
zur Wahrnehmung des Auskunftsrechts erforderlichen Geraete oder Einrichtungen in
angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfuegung stehen.
(3) Kommunikationsvorgaenge, die auf dem Medium eine Datenverarbeitung ausloesen, muessen
fuer den Betroffenen eindeutig erkennbar sein.
§ 7 Schadensersatz
Fuegt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder
nach anderen Vorschriften ueber den Datenschutz unzulaessige oder unrichtige Erhebung,
Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder
ihr Traeger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfaellt,
soweit die verantwortliche Stelle die nach den Umstaenden des Falles gebotene Sorgfalt
beachtet hat.
§ 8 Schadensersatz bei automatisierter Datenverarbeitung durch oeffentliche
Stellen
- 11 -
�
(1) Fuegt eine verantwortliche oeffentliche Stelle dem Betroffenen durch eine nach diesem
Gesetz oder nach anderen Vorschriften ueber den Datenschutz unzulaessige oder unrichtige
automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten
einen Schaden zu, ist ihr Traeger dem Betroffenen unabhaengig von einem Verschulden zum
Schadensersatz verpflichtet.
(2) Bei einer schweren Verletzung des Persoenlichkeitsrechts ist dem Betroffenen der
Schaden, der nicht Vermoegensschaden ist, angemessen in Geld zu ersetzen.
(3) Die Ansprueche nach den Absaetzen 1 und 2 sind insgesamt auf einen Betrag von 130.000
Euro begrenzt. Ist auf Grund desselben Ereignisses an mehrere Personen Schadensersatz
zu leisten, der insgesamt den Hoechstbetrag von 130.000 Euro uebersteigt, so verringern
sich die einzelnen Schadensersatzleistungen in dem Verhaeltnis, in dem ihr Gesamtbetrag
zu dem Hoechstbetrag steht.
(4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt
und ist der Geschaedigte nicht in der Lage, die speichernde Stelle festzustellen, so
haftet jede dieser Stellen.
(5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt,
gilt § 254 des Buergerlichen Gesetzbuchs.
(6) Auf die Verjaehrung finden die fuer unerlaubte Handlungen geltenden
Verjaehrungsvorschriften des Buergerlichen Gesetzbuchs entsprechende Anwendung.
§ 9 Technische und organisatorische Massnahmen
Oeffentliche und nicht-oeffentliche Stellen, die selbst oder im Auftrag personenbezogene
Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen
Massnahmen zu treffen, die erforderlich sind, um die Ausfuehrung der Vorschriften dieses
Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu
gewaehrleisten. Erforderlich sind Massnahmen nur, wenn ihr Aufwand in einem angemessenen
Verhaeltnis zu dem angestrebten Schutzzweck steht.
§ 9a Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit koennen Anbieter von
Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr
Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhaengige und
zugelassene Gutachter pruefen und bewerten lassen sowie das Ergebnis der Pruefung
veroeffentlichen. Die naeheren Anforderungen an die Pruefung und Bewertung, das Verfahren
sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.
§ 10 Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Uebermittlung
personenbezogener Daten durch Abruf ermoeglicht, ist zulaessig, soweit dieses Verfahren
unter Beruecksichtigung der schutzwuerdigen Interessen der Betroffenen und der Aufgaben
oder Geschaeftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften ueber die
Zulaessigkeit des einzelnen Abrufs bleiben unberuehrt.
(2) Die beteiligten Stellen haben zu gewaehrleisten, dass die Zulaessigkeit des
Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die uebermittelt wird,
3. Art der zu uebermittelnden Daten,
4. nach § 9 erforderliche technische und organisatorische Massnahmen.
Im oeffentlichen Bereich koennen die erforderlichen Festlegungen auch durch die
Fachaufsichtsbehoerden getroffen werden.
(3) Ueber die Einrichtung von Abrufverfahren ist in Faellen, in denen die in § 12 Abs.
1 genannten Stellen beteiligt sind, der Bundesbeauftragte fuer den Datenschutz und die
- 12 -
�
Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten.
Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3
genannten Stellen beteiligt sind, ist nur zulaessig, wenn das fuer die speichernde und
die abrufende Stelle jeweils zustaendige Bundes- oder Landesministerium zugestimmt hat.
(4) Die Verantwortung fuer die Zulaessigkeit des einzelnen Abrufs traegt der Dritte,
an den uebermittelt wird. Die speichernde Stelle prueft die Zulaessigkeit der Abrufe
nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewaehrleisten, dass die
Uebermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren
festgestellt und ueberprueft werden kann. Wird ein Gesamtbestand personenbezogener Daten
abgerufen oder uebermittelt (Stapelverarbeitung), so bezieht sich die Gewaehrleistung der
Feststellung und Ueberpruefung nur auf die Zulaessigkeit des Abrufes oder der Uebermittlung
des Gesamtbestandes.
(5) Die Absaetze 1 bis 4 gelten nicht fuer den Abruf allgemein zugaenglicher Daten.
Allgemein zugaenglich sind Daten, die jedermann, sei es ohne oder nach vorheriger
Anmeldung Zulassung oder Entrichtung eines Entgelts, nutzen kann.
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im
Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet
oder genutzt, ist der Auftraggeber fuer die Einhaltung der Vorschriften dieses Gesetzes
und anderer Vorschriften ueber den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8
genannten Rechte sind ihm gegenueber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Beruecksichtigung der Eignung der von
ihm getroffenen technischen und organisatorischen Massnahmen sorgfaeltig auszuwaehlen.
Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung
oder -nutzung, die technischen und organisatorischen Massnahmen und etwaige
Unterauftragsverhaeltnisse festzulegen sind. Er kann bei oeffentlichen Stellen auch durch
die Fachaufsichtsbehoerde erteilt werden. Der Auftraggeber hat sich von der Einhaltung
der beim Auftragnehmer getroffenen technischen und organisatorischen Massnahmen zu
ueberzeugen.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers
erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des
Auftraggebers gegen dieses Gesetz oder andere Vorschriften ueber den Datenschutz
verstoesst, hat er den Auftraggeber unverzueglich darauf hinzuweisen.
(4) Fuer den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2
Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften ueber die Datenschutzkontrolle
oder die Aufsicht, und zwar fuer
1. a) oeffentliche Stellen,
b) nicht-oeffentliche Stellen, bei denen der oeffentlichen Hand die Mehrheit der
Anteile gehoert oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine
oeffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze
der Laender,
2. die uebrigen nicht-oeffentlichen Stellen, soweit sie personenbezogene Daten im
Auftrag als Dienstleistungsunternehmen geschaeftsmaessig erheben, verarbeiten oder
nutzen, die §§ 4f, 4g und 38.
(5) Die Absaetze 1 bis 4 gelten entsprechend, wenn die Pruefung oder Wartung
automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen
im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht
ausgeschlossen werden kann.
Zweiter Abschnitt
Datenverarbeitung der oeffentlichen Stellen
- 13 -
�
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 12 Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes gelten fuer oeffentliche Stellen des Bundes,
soweit sie nicht als oeffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.
(2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis
16, 19 bis 20 auch fuer die oeffentlichen Stellen der Laender, soweit sie
1. Bundesrecht ausfuehren und nicht als oeffentlich-rechtliche Unternehmen am Wettbewerb
teilnehmen oder
2. als Organe der Rechtspflege taetig werden und es sich nicht um
Verwaltungsangelegenheiten handelt.
(3) Fuer Landesbeauftragte fuer den Datenschutz gilt § 23 Abs. 4 entsprechend.
(4) Werden personenbezogene Daten fuer fruehere, bestehende oder zukuenftige dienst-
oder arbeitsrechtliche Rechtsverhaeltnisse erhoben, verarbeitet oder genutzt, gelten
anstelle der §§ 13 bis 16, 19 bis 20 der § 28 Abs. 1 und 3 Nr. 1 sowie die §§ 33 bis
35, auch soweit personenbezogene Daten weder automatisiert verarbeitet noch in nicht
automatisierten Dateien verarbeitet oder genutzt oder dafuer erhoben werden.
§ 13 Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulaessig, wenn ihre Kenntnis zur Erfuellung
der Aufgaben der verantwortlichen Stelle erforderlich ist.
(1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-oeffentlichen
Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft
verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
(2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulaessig,
soweit
1. eine Rechtsvorschrift dies vorsieht oder aus Gruenden eines wichtigen oeffentlichen
Interesses zwingend erfordert,
2. der Betroffene nach Massgabe des § 4a Abs. 3 eingewilligt hat,
3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten
erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gruenden
ausserstande ist, seine Einwilligung zu geben,
4. es sich um Daten handelt, die der Betroffene offenkundig oeffentlich gemacht hat,
5. dies zur Abwehr einer erheblichen Gefahr fuer die oeffentliche Sicherheit
erforderlich ist,
6. dies zur Abwehr erheblicher Nachteile fuer das Gemeinwohl oder zur Wahrung
erheblicher Belange des Gemeinwohls zwingend erforderlich ist,
7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik,
der Gesundheitsversorgung oder Behandlung oder fuer die Verwaltung von
Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch
aerztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht unterliegen,
8. dies zur Durchfuehrung wissenschaftlicher Forschung erforderlich ist, das
wissenschaftliche Interesse an der Durchfuehrung des Forschungsvorhabens das
Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich ueberwiegt und
der Zweck der Forschung auf andere Weise nicht oder nur mit unverhaeltnismaessigem
Aufwand erreicht werden kann oder
9. dies aus zwingenden Gruenden der Verteidigung oder der Erfuellung ueber- oder
zwischenstaatlicher Verpflichtungen einer oeffentlichen Stelle des Bundes auf
- 14 -
�
dem Gebiet der Krisenbewaeltigung oder Konfliktverhinderung oder fuer humanitaere
Massnahmen erforderlich ist.
§ 14 Datenspeicherung, -veraenderung und -nutzung
(1) Das Speichern, Veraendern oder Nutzen personenbezogener Daten ist zulaessig, wenn es
zur Erfuellung der in der Zustaendigkeit der verantwortlichen Stelle liegenden Aufgaben
erforderlich ist und es fuer die Zwecke erfolgt, fuer die die Daten erhoben worden sind.
Ist keine Erhebung vorausgegangen, duerfen die Daten nur fuer die Zwecke geaendert oder
genutzt werden, fuer die sie gespeichert worden sind.
(2) Das Speichern, Veraendern oder Nutzen fuer andere Zwecke ist nur zulaessig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund
zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung
verweigern wuerde,
4. Angaben des Betroffenen ueberprueft werden muessen, weil tatsaechliche Anhaltspunkte
fuer deren Unrichtigkeit bestehen,
5. die Daten allgemein zugaenglich sind oder die verantwortliche Stelle sie
veroeffentlichen duerfte, es sei denn, dass das schutzwuerdige Interesse des
Betroffenen an dem Ausschluss der Zweckaenderung offensichtlich ueberwiegt,
6. es zur Abwehr erheblicher Nachteile fuer das Gemeinwohl oder einer Gefahr fuer
die oeffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls
erforderlich ist,
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung
oder zum Vollzug von Strafen oder Massnahmen im Sinne des § 11 Abs. 1 Nr. 8
des Strafgesetzbuchs oder von Erziehungsmassregeln oder Zuchtmitteln im Sinne
des Jugendgerichtsgesetzes oder zur Vollstreckung von Bussgeldentscheidungen
erforderlich ist,
8. es zur Abwehr einer schwerwiegenden Beeintraechtigung der Rechte einer anderen
Person erforderlich ist oder
9. es zur Durchfuehrung wissenschaftlicher Forschung erforderlich ist, das
wissenschaftliche Interesse an der Durchfuehrung des Forschungsvorhabens das
Interesse des Betroffenen an dem Ausschluss der Zweckaenderung erheblich ueberwiegt
und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhaeltnismaessigem
Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder Nutzung fuer andere Zwecke liegt nicht vor, wenn sie der
Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungspruefung oder der
Durchfuehrung von Organisationsuntersuchungen fuer die verantwortliche Stelle dient. Das
gilt auch fuer die Verarbeitung oder Nutzung zu Ausbildungs- und Pruefungszwecken durch
die verantwortliche Stelle, soweit nicht ueberwiegende schutzwuerdige Interessen des
Betroffenen entgegenstehen.
(4) Personenbezogene Daten, die ausschliesslich zu Zwecken der Datenschutzkontrolle,
der Datensicherung oder zur Sicherstellung eines ordnungsgemaessen Betriebes einer
Datenverarbeitungsanlage gespeichert werden, duerfen nur fuer diese Zwecke verwendet
werden.
(5) Das Speichern, Veraendern oder Nutzen von besonderen Arten personenbezogener Daten
(§ 3 Abs. 9) fuer andere Zwecke ist nur zulaessig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder
9 zulassen wuerden oder
2. dies zur Durchfuehrung wissenschaftlicher Forschung erforderlich ist, das
oeffentliche Interesse an der Durchfuehrung des Forschungsvorhabens das Interesse
des Betroffenen an dem Ausschluss der Zweckaenderung erheblich ueberwiegt und der
- 15 -
�
Zweck der Forschung auf andere Weise nicht oder nur mit unverhaeltnismaessigem Aufwand
erreicht werden kann.
Bei der Abwaegung nach Satz 1 Nr. 2 ist im Rahmen des oeffentlichen Interesses das
wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu beruecksichtigen.
(6) Die Speicherung, Veraenderung oder Nutzung von besonderen Arten personenbezogener
Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den
fuer die in § 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten.
§ 15 Datenuebermittlung an oeffentliche Stellen
(1) Die Uebermittlung personenbezogener Daten an oeffentliche Stellen ist zulaessig, wenn
1. sie zur Erfuellung der in der Zustaendigkeit der uebermittelnden Stelle oder des
Dritten, an den die Daten uebermittelt werden, liegenden Aufgaben erforderlich ist
und
2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen wuerden.
(2) Die Verantwortung fuer die Zulaessigkeit der Uebermittlung traegt die uebermittelnde
Stelle. Erfolgt die Uebermittlung auf Ersuchen des Dritten, an den die Daten uebermittelt
werden, traegt dieser die Verantwortung. In diesem Fall prueft die uebermittelnde Stelle
nur, ob das Uebermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die
Daten uebermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Pruefung der
Zulaessigkeit der Uebermittlung besteht. § 10 Abs. 4 bleibt unberuehrt.
(3) Der Dritte, an den die Daten uebermittelt werden, darf diese fuer den Zweck
verarbeiten oder nutzen, zu dessen Erfuellung sie ihm uebermittelt werden. Eine
Verarbeitung oder Nutzung fuer andere Zwecke ist nur unter den Voraussetzungen des § 14
Abs. 2 zulaessig.
(4) Fuer die Uebermittlung personenbezogener Daten an Stellen der oeffentlich-rechtlichen
Religionsgesellschaften gelten die Absaetze 1 bis 3 entsprechend, sofern sichergestellt
ist, dass bei diesen ausreichende Datenschutzmassnahmen getroffen werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 uebermittelt werden duerfen,
weitere personenbezogene Daten des Betroffenen oder eines Dritten so verbunden,
dass eine Trennung nicht oder nur mit unvertretbarem Aufwand moeglich ist, so ist
die Uebermittlung auch dieser Daten zulaessig, soweit nicht berechtigte Interessen des
Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich ueberwiegen; eine
Nutzung dieser Daten ist unzulaessig.
(6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer
oeffentlichen Stelle weitergegeben werden.
§ 16 Datenuebermittlung an nicht-oeffentliche Stellen
(1) Die Uebermittlung personenbezogener Daten an nicht-oeffentliche Stellen ist zulaessig,
wenn
1. sie zur Erfuellung der in der Zustaendigkeit der uebermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach
§ 14 zulassen wuerden, oder
2. der Dritte, an den die Daten uebermittelt werden, ein berechtigtes Interesse an
der Kenntnis der zu uebermittelnden Daten glaubhaft darlegt und der Betroffene kein
schutzwuerdiges Interesse an dem Ausschluss der Uebermittlung hat. Das Uebermitteln
von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist abweichend von Satz
1 Nr. 2 nur zulaessig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach §
14 Abs. 5 und 6 zulassen wuerden oder soweit dies zur Geltendmachung, Ausuebung oder
Verteidigung rechtlicher Ansprueche erforderlich ist.
(2) Die Verantwortung fuer die Zulaessigkeit der Uebermittlung traegt die uebermittelnde
Stelle.
- 16 -
�
(3) In den Faellen der Uebermittlung nach Absatz 1 Nr. 2 unterrichtet die uebermittelnde
Stelle den Betroffenen von der Uebermittlung seiner Daten. Dies gilt nicht, wenn
damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die
Unterrichtung die oeffentliche Sicherheit gefaehrden oder sonst dem Wohle des Bundes oder
eines Landes Nachteile bereiten wuerde.
(4) Der Dritte, an den die Daten uebermittelt werden, darf diese nur fuer den Zweck
verarbeiten oder nutzen, zu dessen Erfuellung sie ihm uebermittelt werden. Die
uebermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder Nutzung fuer
andere Zwecke ist zulaessig, wenn eine Uebermittlung nach Absatz 1 zulaessig waere und die
uebermittelnde Stelle zugestimmt hat.
§ 17
(weggefallen)
§ 18 Durchfuehrung des Datenschutzes in der Bundesverwaltung
(1) Die obersten Bundesbehoerden, der Praesident des Bundeseisenbahnvermoegens sowie die
bundesunmittelbaren Koerperschaften, Anstalten und Stiftungen des oeffentlichen Rechts,
ueber die von der Bundesregierung oder einer obersten Bundesbehoerde lediglich die
Rechtsaufsicht ausgeuebt wird, haben fuer ihren Geschaeftsbereich die Ausfuehrung dieses
Gesetzes sowie anderer Rechtsvorschriften ueber den Datenschutz sicherzustellen. Das
Gleiche gilt fuer die Vorstaende der aus dem Sondervermoegen Deutsche Bundespost durch
Gesetz hervorgegangenen Unternehmen, solange diesen ein ausschliessliches Recht nach dem
Postgesetz zusteht.
(2) Die oeffentlichen Stellen fuehren ein Verzeichnis der eingesetzten
Datenverarbeitungsanlagen. Fuer ihre automatisierten Verarbeitungen haben sie die
Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen.
Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei
welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschraenkt
wird, kann hiervon abgesehen werden. Fuer automatisierte Verarbeitungen, die in gleicher
oder aehnlicher Weise mehrfach gefuehrt werden, koennen die Festlegungen zusammengefasst
werden.
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 19 Auskunft an den Betroffenen
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen ueber
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft
dieser Daten beziehen,
2. die Empfaenger oder Kategorien von Empfaengern, an die die Daten weitergegeben
werden, und
3. den Zweck der Speicherung.
In dem Antrag soll die Art der personenbezogenen Daten, ueber die Auskunft erteilt
werden soll, naeher bezeichnet werden. Sind die personenbezogenen Daten weder
automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur
erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermoeglichen,
und der fuer die Erteilung der Auskunft erforderliche Aufwand nicht ausser Verhaeltnis zu
dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die verantwortliche
Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach
pflichtgemaessem Ermessen.
(2) Absatz 1 gilt nicht fuer personenbezogene Daten, die nur deshalb gespeichert
sind, weil sie aufgrund gesetzlicher, satzungsmaessiger oder vertraglicher
Aufbewahrungsvorschriften nicht geloescht werden duerfen, oder ausschliesslich Zwecken der
- 17 -
�
Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen
unverhaeltnismaessigen Aufwand erfordern wuerde.
(3) Bezieht sich die Auskunftserteilung auf die Uebermittlung personenbezogener
Daten an Verfassungsschutzbehoerden, den Bundesnachrichtendienst, den Militaerischen
Abschirmdienst und, soweit die Sicherheit des Bundes beruehrt wird, andere Behoerden
des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen
zulaessig.
(4) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemaesse Erfuellung der in der Zustaendigkeit der
verantwortlichen Stelle liegenden Aufgaben gefaehrden wuerde,
2. die Auskunft die oeffentliche Sicherheit oder Ordnung gefaehrden oder sonst dem Wohle
des Bundes oder eines Landes Nachteile bereiten wuerde oder
3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder
ihrem Wesen nach, insbesondere wegen der ueberwiegenden berechtigten Interessen
eines Dritten, geheim gehalten werden muessen
und deswegen das Interesse des Betroffenen an der Auskunftserteilung zuruecktreten muss.
(5) Die Ablehnung der Auskunftserteilung bedarf einer Begruendung nicht, soweit durch
die Mitteilung der tatsaechlichen und rechtlichen Gruende, auf die die Entscheidung
gestuetzt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefaehrdet
wuerde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den
Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit wenden kann.
(6) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem
Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit zu erteilen, soweit
nicht die jeweils zustaendige oberste Bundesbehoerde im Einzelfall feststellt, dass
dadurch die Sicherheit des Bundes oder eines Landes gefaehrdet wuerde. Die Mitteilung des
Bundesbeauftragten an den Betroffenen darf keine Rueckschluesse auf den Erkenntnisstand
der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft
zustimmt.
(7) Die Auskunft ist unentgeltlich.
§ 19a Benachrichtigung
(1) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung,
der Identitaet der verantwortlichen Stelle sowie ueber die Zweckbestimmungen der
Erhebung, Verarbeitung oder Nutzung zu unterrichten. Der Betroffene ist auch ueber die
Empfaenger oder Kategorien von Empfaengern von Daten zu unterrichten, soweit er nicht mit
der Uebermittlung an diese rechnen muss. Sofern eine Uebermittlung vorgesehen ist, hat
die Unterrichtung spaetestens bei der ersten Uebermittlung zu erfolgen.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Uebermittlung
erlangt hat,
2. die Unterrichtung des Betroffenen einen unverhaeltnismaessigen Aufwand erfordert oder
3. die Speicherung oder Uebermittlung der personenbezogenen Daten durch Gesetz
ausdruecklich vorgesehen ist.
Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von
einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird.
(3) § 19 Abs. 2 bis 4 gilt entsprechend.
§ 20 Berichtigung, Loeschung und Sperrung von Daten; Widerspruchsrecht
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird
festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet
noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder wird
- 18 -
�
ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise
festzuhalten.
(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten
Dateien gespeichert sind, sind zu loeschen, wenn
1. ihre Speicherung unzulaessig ist oder
2. ihre Kenntnis fuer die verantwortliche Stelle zur Erfuellung der in ihrer
Zustaendigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Loeschung tritt eine Sperrung, soweit
1. einer Loeschung gesetzliche, satzungsmaessige oder vertragliche Aufbewahrungsfristen
entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Loeschung schutzwuerdige Interessen des
Betroffenen beeintraechtigt wuerden, oder
3. eine Loeschung wegen der besonderen Art der Speicherung nicht oder nur mit
unverhaeltnismaessig hohem Aufwand moeglich ist.
(4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten
Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom
Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit
feststellen laesst.
(5) Personenbezogene Daten duerfen nicht fuer eine automatisierte Verarbeitung oder
Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt
werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht
und eine Pruefung ergibt, dass das schutzwuerdige Interesse des Betroffenen wegen
seiner besonderen persoenlichen Situation das Interesse der verantwortlichen Stelle
an dieser Erhebung, Verarbeitung oder Nutzung ueberwiegt. Satz 1 gilt nicht, wenn eine
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer
nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die Behoerde im
Einzelfall feststellt, dass ohne die Sperrung schutzwuerdige Interessen des Betroffenen
beeintraechtigt wuerden und die Daten fuer die Aufgabenerfuellung der Behoerde nicht mehr
erforderlich sind.
(7) Gesperrte Daten duerfen ohne Einwilligung des Betroffenen nur uebermittelt oder
genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus
sonstigen im ueberwiegenden Interesse der verantwortlichen Stelle oder eines Dritten
liegenden Gruenden unerlaesslich ist und
2. die Daten hierfuer uebermittelt oder genutzt werden duerften, wenn sie nicht gesperrt
waeren.
(8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie
der Loeschung oder Sperrung wegen Unzulaessigkeit der Speicherung sind die Stellen zu
verstaendigen, denen im Rahmen einer Datenuebermittlung diese Daten zur Speicherung
weitergegeben wurden, wenn dies keinen unverhaeltnismaessigen Aufwand erfordert und
schutzwuerdige Interessen des Betroffenen nicht entgegenstehen.
(9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden.
§ 21 Anrufung des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
Jedermann kann sich an den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung
oder Nutzung seiner personenbezogenen Daten durch oeffentliche Stellen des Bundes in
seinen Rechten verletzt worden zu sein. Fuer die Erhebung, Verarbeitung oder Nutzung
- 19 -
�
von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in
Verwaltungsangelegenheiten taetig werden.
Dritter Unterabschnitt
Bundesbeauftragter fuer den Datenschutz und die
Informationsfreiheit
§ 22 Wahl des Bundesbeauftragten fuer den Datenschutz und die die
Informationsfreiheit
(1) Der Deutsche Bundestag waehlt auf Vorschlag der Bundesregierung den
Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit mit mehr als der
Haelfte der gesetzlichen Zahl seiner Mitglieder. Der Bundesbeauftragte muss bei seiner
Wahl das 35. Lebensjahr vollendet haben. Der Gewaehlte ist vom Bundespraesidenten zu
ernennen.
(2) Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid:
"Ich schwoere, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen
Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes
wahren und verteidigen, meine Pflichten gewissenhaft erfuellen und Gerechtigkeit gegen
jedermann ueben werde. So wahr mir Gott helfe."
Der Eid kann auch ohne religioese Beteuerung geleistet werden.
(3) Die Amtszeit des Bundesbeauftragten betraegt fuenf Jahre. Einmalige Wiederwahl ist
zulaessig.
(4) Der Bundesbeauftragte steht nach Massgabe dieses Gesetzes zum Bund in einem
oeffentlich-rechtlichen Amtsverhaeltnis. Er ist in Ausuebung seines Amtes unabhaengig und
nur dem Gesetz unterworfen. Er untersteht der Rechtsaufsicht der Bundesregierung.
(5) Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. Er
untersteht der Dienstaufsicht des Bundesministeriums des Innern. Dem Bundesbeauftragten
ist die fuer die Erfuellung seiner Aufgaben notwendige Personal- und Sachausstattung
zur Verfuegung zu stellen; sie ist im Einzelplan des Bundesministers des Innern
in einem eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit
dem Bundesbeauftragten zu besetzen. Die Mitarbeiter koennen, falls sie mit der
beabsichtigten Massnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt,
abgeordnet oder umgesetzt werden.
(6) Ist der Bundesbeauftragte voruebergehend an der Ausuebung seines Amtes verhindert,
kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschaefte
beauftragen. Der Bundesbeauftragte soll dazu gehoert werden.
§ 23 Rechtsstellung des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
(1) Das Amtsverhaeltnis des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit beginnt mit der Aushaendigung der Ernennungsurkunde. Es endet
1. mit Ablauf der Amtszeit,
2. mit der Entlassung.
Der Bundespraesident entlaesst den Bundesbeauftragten, wenn dieser es verlangt oder
auf Vorschlag der Bundesregierung, wenn Gruende vorliegen, die bei einem Richter auf
Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des
Amtsverhaeltnisses erhaelt der Bundesbeauftragte eine vom Bundespraesidenten vollzogene
Urkunde. Eine Entlassung wird mit der Aushaendigung der Urkunde wirksam. Auf Ersuchen
des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschaefte
bis zur Ernennung seines Nachfolgers weiterzufuehren.
- 20 -
�
(2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein
Gewerbe und keinen Beruf ausueben und weder der Leitung oder dem Aufsichtsrat oder
Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder
einer gesetzgebenden Koerperschaft des Bundes oder eines Landes angehoeren. Er darf nicht
gegen Entgelt aussergerichtliche Gutachten abgeben.
(3) Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung ueber
Geschenke zu machen, die er in bezug auf sein Amt erhaelt. Das Bundesministerium des
Innern entscheidet ueber die Verwendung der Geschenke.
(4) Der Bundesbeauftragte ist berechtigt, ueber Personen, die ihm in seiner Eigenschaft
als Bundesbeauftragter Tatsachen anvertraut haben, sowie ueber diese Tatsachen selbst
das Zeugnis zu verweigern. Dies gilt auch fuer die Mitarbeiter des Bundesbeauftragten
mit der Massgabe, dass ueber die Ausuebung dieses Rechts der Bundesbeauftragte entscheidet.
Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung
oder Auslieferung von Akten oder anderen Schriftstuecken von ihm nicht gefordert werden.
(5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhaeltnisses,
verpflichtet, ueber die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit
zu bewahren. Dies gilt nicht fuer Mitteilungen im dienstlichen Verkehr oder ueber
Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung
beduerfen. Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, ueber
solche Angelegenheiten ohne Genehmigung des Bundesministeriums des Innern weder vor
Gericht noch aussergerichtlich aussagen oder Erklaerungen abgeben. Unberuehrt bleibt
die gesetzlich begruendete Pflicht, Straftaten anzuzeigen und bei Gefaehrdung der
freiheitlichen demokratischen Grundordnung fuer deren Erhaltung einzutreten. Fuer den
Bundesbeauftragten und seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs.
5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. Satz 5
findet keine Anwendung, soweit die Finanzbehoerden die Kenntnis fuer die Durchfuehrung
eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhaengenden
Steuerverfahrens benoetigen, an deren Verfolgung ein zwingendes oeffentliches Interesse
besteht, oder soweit es sich um vorsaetzlich falsche Angaben des Auskunftspflichtigen
oder der fuer ihn taetigen Personen handelt. Stellt der Bundesbeauftragte einen
Datenschutzverstoss fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierueber
zu informieren.
(6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die
Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder
die Erfuellung oeffentlicher Aufgaben ernstlich gefaehrden oder erheblich erschweren
wuerde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn
die Erstattung den dienstlichen Interessen Nachteile bereiten wuerde. § 28 des
Bundesverfassungsgerichtsgesetzes bleibt unberuehrt.
(7) Der Bundesbeauftragte erhaelt vom Beginn des Kalendermonats an, in dem
das Amtsverhaeltnis beginnt, bis zum Schluss des Kalendermonats, in dem das
Amtsverhaeltnis endet, im Falle des Absatzes 1 Satz 6 bis zum Ende des Monats,
in dem die Geschaeftsfuehrung endet, Amtsbezuege in Hoehe der einem Bundesbeamten
der Besoldungsgruppe B 9 zustehenden Besoldung. Das Bundesreisekostengesetz und
das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im Uebrigen sind § 12
Abs 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den
Massgaben anzuwenden, dass an die Stelle der vierjaehrigen Amtszeit in § 15 Abs.
1 des Bundesministergesetzes eine Amtszeit von fuenf Jahren und an die Stelle der
Besoldungsgruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes die Besoldungsgruppe
B 9 tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5
des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter
Hinzurechnung der Amtszeit als ruhegehaltsfaehige Dienstzeit in entsprechender Anwendung
des Beamtenversorgungsgesetzes, wenn dies guenstiger ist und der Bundesbeauftragte sich
unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens
in dem letzten gewoehnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt
befunden hat.
- 21 -
�
(8) Absatz 5 Satz 5 bis 7 gilt entsprechend fuer die oeffentlichen Stellen, die fuer die
Kontrolle der Einhaltung der Vorschriften ueber den Datenschutz in den Laendern zustaendig
sind.
§ 24 Kontrolle durch den Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
(1) Der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit kontrolliert
bei den oeffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes
und anderer Vorschriften ueber den Datenschutz.
(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf
1. von oeffentlichen Stellen des Bundes erlangte personenbezogene Daten ueber den Inhalt
und die naeheren Umstaende des Brief-, Post- und Fernmeldeverkehrs, und
2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis,
insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des
Grundgesetzes wird insoweit eingeschraenkt. Personenbezogene Daten, die der Kontrolle
durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen
nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht
den Bundesbeauftragten, die Einhaltung der Vorschriften ueber den Datenschutz bei
bestimmten Vorgaengen oder in bestimmten Bereichen zu kontrollieren und ausschliesslich
ihr darueber zu berichten. Der Kontrolle durch den Bundesbeauftragten unterliegen
auch nicht personenbezogene Daten in Akten ueber die Sicherheitsueberpruefung, wenn
der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenueber dem
Bundesbeauftragten widerspricht.
(3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie
in Verwaltungsangelegenheiten taetig werden.
(4) Die oeffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und
seine Beauftragten bei der Erfuellung ihrer Aufgaben zu unterstuetzen. Ihnen ist dabei
insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die
gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewaehren, die im
Zusammenhang mit der Kontrolle nach Absatz 1 stehen,
2. jederzeit Zutritt in alle Dienstraeume zu gewaehren.
Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behoerden gewaehren die Unterstuetzung nur
dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten.
Satz 2 gilt fuer diese Behoerden nicht, soweit die oberste Bundesbehoerde im Einzelfall
feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes
gefaehrden wuerde.
(5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der oeffentlichen
Stelle mit. Damit kann er Vorschlaege zur Verbesserung des Datenschutzes, insbesondere
zur Beseitigung von festgestellten Maengeln bei der Verarbeitung oder Nutzung
personenbezogener Daten, verbinden. § 25 bleibt unberuehrt.
(6) Absatz 2 gilt entsprechend fuer die oeffentlichen Stellen, die fuer die Kontrolle der
Einhaltung der Vorschriften ueber den Datenschutz in den Laendern zustaendig sind.
§ 25 Beanstandungen durch den Bundesbeauftragten fuer den Datenschutz und
die Informationsfreiheit
(1) Stellt der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit
Verstoesse gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften ueber den
Datenschutz oder sonstige Maengel bei der Verarbeitung oder Nutzung personenbezogener
Daten fest, so beanstandet er dies
1. bei der Bundesverwaltung gegenueber der zustaendigen obersten Bundesbehoerde,
2. beim Bundeseisenbahnvermoegen gegenueber dem Praesidenten,
- 22 -
�
3. bei den aus dem Sondervermoegen Deutsche Bundespost durch Gesetz hervorgegangenen
Unternehmen, solange ihnen ein ausschliessliches Recht nach dem Postgesetz zusteht,
gegenueber deren Vorstaenden,
4. bei den bundesunmittelbaren Koerperschaften, Anstalten und Stiftungen des
oeffentlichen Rechts sowie bei Vereinigungen solcher Koerperschaften, Anstalten und
Stiftungen gegenueber dem Vorstand oder dem sonst vertretungsberechtigten Organ
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den
Faellen von Satz 1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zustaendige
Aufsichtsbehoerde.
(2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine
Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um
unerhebliche oder inzwischen beseitigte Maengel handelt.
(3) Die Stellungnahme soll auch eine Darstellung der Massnahmen enthalten, die aufgrund
der Beanstandung des Bundesbeauftragten getroffen worden sind. Die in Absatz 1 Satz
1 Nr. 4 genannten Stellen leiten der zustaendigen Aufsichtsbehoerde gleichzeitig eine
Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu.
§ 26 Weitere Aufgaben des Bundesbeauftragten fuer den Datenschutz und die
Informationsfreiheit
(1) Der Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit erstattet
dem Deutschen Bundestag alle zwei Jahre einen Taetigkeitsbericht. Er unterrichtet
den Deutschen Bundestag und die Oeffentlichkeit ueber wesentliche Entwicklungen des
Datenschutzes.
(2) Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der
Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. Auf Ersuchen
des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der
Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten
und Vorgaenge des Datenschutzes bei den oeffentlichen Stellen des Bundes nach. Der
Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden.
(3) Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten
Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in
Fragen des Datenschutzes beraten. Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind
durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie
nicht unmittelbar betrifft.
(4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den oeffentlichen Stellen,
die fuer die Kontrolle der Einhaltung der Vorschriften ueber den Datenschutz in den
Laendern zustaendig sind, sowie mit den Aufsichtsbehoerden nach § 38 hin. § 38 Abs. 1 Satz
3 und 4 gilt entsprechend.
Dritter Abschnitt
Datenverarbeitung nicht-oeffentlicher Stellen und
oeffentlich-rechtlicher Wettbewerbsunternehmen
Erster Unterabschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 27 Anwendungsbereich
(1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten
unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafuer erhoben
werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt
oder dafuer erhoben werden durch
- 23 -
�
1. nicht-oeffentliche Stellen,
2. a) oeffentliche Stellen des Bundes, soweit sie als oeffentlich-rechtliche Unternehmen
am Wettbewerb teilnehmen,
b) oeffentliche Stellen der Laender, soweit sie als oeffentlich-rechtliche Unternehmen
am Wettbewerb teilnehmen, Bundesrecht ausfuehren und der Datenschutz nicht durch
Landesgesetz geregelt ist.
Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschliesslich
fuer persoenliche oder familiaere Taetigkeiten erfolgt. In den Faellen der Nummer 2
Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
(2) Die Vorschriften dieses Abschnittes gelten nicht fuer die Verarbeitung und Nutzung
personenbezogener Daten ausserhalb von nicht automatisierten Dateien, soweit es sich
nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten
Verarbeitung entnommen worden sind.
§ 28 Datenerhebung, -verarbeitung und -nutzung fuer eigene Zwecke
(1) Das Erheben, Speichern, Veraendern oder Uebermitteln personenbezogener Daten oder
ihre Nutzung als Mittel fuer die Erfuellung eigener Geschaeftszwecke ist zulaessig
1. wenn es der Zweckbestimmung eines Vertragsverhaeltnisses oder vertragsaehnlichen
Vertrauensverhaeltnisses mit dem Betroffenen dient,
2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle
erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwuerdige
Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung
ueberwiegt, oder
3. wenn die Daten allgemein zugaenglich sind oder die verantwortliche Stelle sie
veroeffentlichen duerfte, es sei denn, dass das schutzwuerdige Interesse des
Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenueber dem
berechtigten Interesse der verantwortlichen Stelle offensichtlich ueberwiegt.
Bei der Erhebung personenbezogener Daten sind die Zwecke, fuer die die Daten verarbeitet
oder genutzt werden sollen, konkret festzulegen.
(2) Fuer einen anderen Zweck duerfen sie nur unter den Voraussetzungen des Absatzes 1
Satz 1 Nr. 2 und 3 uebermittelt oder genutzt werden.
(3) Die Uebermittlung oder Nutzung fuer einen anderen Zweck ist auch zulaessig:
1. soweit es zur Wahrung berechtigter Interessen eines Dritten oder
2. zur Abwehr von Gefahren fuer die staatliche und oeffentliche Sicherheit sowie zur
Verfolgung von Straftaten erforderlich ist, oder
3. fuer Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um
listenmaessig oder sonst zusammengefasste Daten ueber Angehoerige einer Personengruppe
handelt, die sich auf
a) eine Angabe ueber die Zugehoerigkeit des Betroffenen zu dieser Personengruppe,
b) Berufs-, Branchen- oder Geschaeftsbezeichnung,
c) Namen,
d) Titel,
e) akademische Grade,
f) Anschrift und
g) Geburtsjahr
beschraenken
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwuerdiges Interesse
an dem Ausschluss der Uebermittlung oder Nutzung hat, oder
4. wenn es im Interesse einer Forschungseinrichtung zur Durchfuehrung
wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse
- 24 -
�
an der Durchfuehrung des Forschungsvorhabens das Interesse des Betroffenen an dem
Ausschluss der Zweckaenderung erheblich ueberwiegt und der Zweck der Forschung auf
andere Weise nicht oder nur mit unverhaeltnismaessigem Aufwand erreicht werden kann.
In den Faellen des Satzes 1 Nr. 3 ist anzunehmen, dass dieses Interesse besteht, wenn
im Rahmen der Zweckbestimmung eines Vertragsverhaeltnisses oder vertragsaehnlichen
Vertrauensverhaeltnisses gespeicherte Daten uebermittelt werden sollen, die sich
1. auf strafbare Handlungen,
2. auf Ordnungswidrigkeiten sowie
3. bei Uebermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhaeltnisse
beziehen.
(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Nutzung
oder Uebermittlung seiner Daten fuer Zwecke der Werbung oder der Markt- oder
Meinungsforschung, ist eine Nutzung oder Uebermittlung fuer diese Zwecke unzulaessig.
Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder
Meinungsforschung ueber die verantwortliche Stelle sowie ueber das Widerspruchsrecht
nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des
Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat
er auch sicherzustellen, dass der Betroffene Kenntnis ueber die Herkunft der Daten
erhalten kann. Widerspricht der Betroffene bei dem Dritten, dem die Daten nach Absatz
3 uebermittelt werden, der Verarbeitung oder Nutzung fuer Zwecke der Werbung oder der
Markt- oder Meinungsforschung, hat dieser die Daten fuer diese Zwecke zu sperren.
(5) Der Dritte, dem die Daten uebermittelt worden sind, darf diese nur fuer den
Zweck verarbeiten oder nutzen, zu dessen Erfuellung sie ihm uebermittelt werden. Eine
Verarbeitung oder Nutzung fuer andere Zwecke ist nicht-oeffentlichen Stellen nur unter
den Voraussetzungen der Absaetze 2 und 3 und oeffentlichen Stellen nur unter den
Voraussetzungen des § 14 Abs. 2 erlaubt. Die uebermittelnde Stelle hat ihn darauf
hinzuweisen.
(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten
(§ 3 Abs. 9) fuer eigene Geschaeftszwecke ist zulaessig, soweit nicht der Betroffene nach
Massgabe des § 4a Abs. 3 eingewilligt hat, wenn
1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten
erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gruenden
ausserstande ist, seine Einwilligung zu geben,
2. es sich um Daten handelt, die der Betroffene offenkundig oeffentlich gemacht hat,
3. dies zur Geltendmachung, Ausuebung oder Verteidigung rechtlicher Ansprueche
erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwuerdige
Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung
ueberwiegt, oder
4. dies zur Durchfuehrung wissenschaftlicher Forschung erforderlich ist, das
wissenschaftliche Interesse an der Durchfuehrung des Forschungsvorhabens das
Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung
erheblich ueberwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit
unverhaeltnismaessigem Aufwand erreicht werden kann.
(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist
ferner zulaessig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen
Diagnostik, der Gesundheitsversorgung oder Behandlung oder fuer die Verwaltung
von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch
aerztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in
Satz 1 genannten Zwecken richtet sich nach den fuer die in Satz 1 genannten Personen
geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten ueber
die Gesundheit von Personen durch Angehoerige eines anderen als in § 203 Abs. 1 und 3
des Strafgesetzbuches genannten Berufes, dessen Ausuebung die Feststellung, Heilung oder
Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit
- 25 -
�
sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen
zulaessig, unter denen ein Arzt selbst hierzu befugt waere.
(8) Fuer einen anderen Zweck duerfen die besonderen Arten personenbezogener Daten (§
3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes
7 Satz 1 uebermittelt oder genutzt werden. Eine Uebermittlung oder Nutzung ist auch
zulaessig, wenn dies zur Abwehr von erheblichen Gefahren fuer die staatliche und
oeffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung
erforderlich ist.
(9) Organisationen, die politisch, philosophisch, religioes oder gewerkschaftlich
ausgerichtet sind und keinen Erwerbszweck verfolgen, duerfen besondere Arten
personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies fuer
die Taetigkeit der Organisation erforderlich ist. Dies gilt nur fuer personenbezogene
Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Taetigkeitszweck
regelmaessig Kontakte mit ihr unterhalten. Die Uebermittlung dieser personenbezogenen
Daten an Personen oder Stellen ausserhalb der Organisation ist nur unter den
Voraussetzungen des § 4a Abs. 3 zulaessig. Absatz 3 Nr. 2 gilt entsprechend.
§ 29 Geschaeftsmaessige Datenerhebung und -speicherung zum Zweck der
Uebermittlung
(1) Das geschaeftsmaessige Erheben, Speichern oder Veraendern personenbezogener Daten
zum Zweck der Uebermittlung, insbesondere wenn dies der Werbung, der Taetigkeit von
Auskunfteien, dem Adresshandel oder der Markt- und Meinungsforschung dient, ist
zulaessig, wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwuerdiges Interesse
an dem Ausschluss der Erhebung, Speicherung oder Veraenderung hat, oder
2. die Daten aus allgemein zugaenglichen Quellen entnommen werden koennen oder
die verantwortliche Stelle sie veroeffentlichen duerfte, es sei denn, dass das
schutzwuerdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung
oder Veraenderung offensichtlich ueberwiegt.
§ 28 Abs. 1 Satz 2 ist anzuwenden.
(2) Die Uebermittlung im Rahmen der Zwecke nach Absatz 1 ist zulaessig, wenn
1. a) der Dritte, dem die Daten uebermittelt werden, ein berechtigtes Interesse an
ihrer Kenntnis glaubhaft dargelegt hat oder
b) es sich um listenmaessig oder sonst zusammengefasste Daten nach § 28 Abs. 3 Nr.
3 handelt, die fuer Zwecke der Werbung oder der Markt- oder Meinungsforschung
uebermittelt werden sollen, und
2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwuerdiges Interesse
an dem Ausschluss der Uebermittlung hat.
§ 28 Abs. 3 Satz 2 gilt entsprechend. Bei der Uebermittlung nach Nummer 1 Buchstabe
a sind die Gruende fuer das Vorliegen eines berechtigten Interesses und die Art und
Weise ihrer glaubhaften Darlegung von der uebermittelnden Stelle aufzuzeichnen. Bei der
Uebermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem
Dritten, dem die Daten uebermittelt werden.
(3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-,
Telefon-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der
entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder
gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfaenger der Daten hat
sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen
oder Registern bei der Uebernahme in Verzeichnisse oder Register uebernommen werden.
(4) Fuer die Verarbeitung oder Nutzung der uebermittelten Daten gilt § 28 Abs. 4 und 5.
(5) § 28 Abs. 6 bis 9 gilt entsprechend.
- 26 -
�
§ 30 Geschaeftsmaessige Datenerhebung und -speicherung zum Zweck der
Uebermittlung in anonymisierter Form
(1) Werden personenbezogene Daten geschaeftsmaessig erhoben und gespeichert, um sie in
anonymisierter Form zu uebermitteln, sind die Merkmale gesondert zu speichern, mit
denen Einzelangaben ueber persoenliche oder sachliche Verhaeltnisse einer bestimmten oder
bestimmbaren natuerlichen Person zugeordnet werden koennen. Diese Merkmale duerfen mit den
Einzelangaben nur zusammengefuehrt werden, soweit dies fuer die Erfuellung des Zwecks der
Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.
(2) Die Veraenderung personenbezogener Daten ist zulaessig, wenn
1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwuerdiges Interesse
an dem Ausschluss der Veraenderung hat, oder
2. die Daten aus allgemein zugaenglichen Quellen entnommen werden koennen oder die
verantwortliche Stelle sie veroeffentlichen duerfte, soweit nicht das schutzwuerdige
Interesse des Betroffenen an dem Ausschluss der Veraenderung offensichtlich
ueberwiegt.
(3) Die personenbezogenen Daten sind zu loeschen, wenn ihre Speicherung unzulaessig ist.
(4) § 29 gilt nicht.
(5) § 28 Abs. 6 bis 9 gilt entsprechend.
§ 31 Besondere Zweckbindung
Personenbezogene Daten, die ausschliesslich zu Zwecken der Datenschutzkontrolle,
der Datensicherung oder zur Sicherstellung eines ordnungsgemaessen Betriebes einer
Datenverarbeitungsanlage gespeichert werden, duerfen nur fuer diese Zwecke verwendet
werden.
§ 32
(weggefallen)
Zweiter Unterabschnitt
Rechte des Betroffenen
§ 33 Benachrichtigung des Betroffenen
(1) Werden erstmals personenbezogene Daten fuer eigene Zwecke ohne Kenntnis des
Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten,
der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identitaet
der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene Daten
geschaeftsmaessig zum Zweck der Uebermittlung ohne Kenntnis des Betroffenen gespeichert,
ist der Betroffene von der erstmaligen Uebermittlung und der Art der uebermittelten
Daten zu benachrichtigen. Der Betroffene ist in den Faellen der Saetze 1 und 2 auch
ueber die Kategorien von Empfaengern zu unterrichten, soweit er nach den Umstaenden des
Einzelfalles nicht mit der Uebermittlung an diese rechnen muss.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Uebermittlung
erlangt hat,
2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher,
satzungsmaessiger oder vertraglicher Aufbewahrungsvorschriften nicht geloescht werden
duerfen oder ausschliesslich der Datensicherung oder der Datenschutzkontrolle dienen
und eine Benachrichtigung einen unverhaeltnismaessigen Aufwand erfordern wuerde,
3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des
ueberwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden muessen,
- 27 -
�
4. die Speicherung oder Uebermittlung durch Gesetz ausdruecklich vorgesehen ist,
5. die Speicherung oder Uebermittlung fuer Zwecke der wissenschaftlichen Forschung
erforderlich ist und eine Benachrichtigung einen unverhaeltnismaessigen Aufwand
erfordern wuerde,
6. die zustaendige oeffentliche Stelle gegenueber der verantwortlichen Stelle
festgestellt hat, dass das Bekanntwerden der Daten die oeffentliche Sicherheit
oder Ordnung gefaehrden oder sonst dem Wohle des Bundes oder eines Landes Nachteile
bereiten wuerde,
7. die Daten fuer eigene Zwecke gespeichert sind und
a) aus allgemein zugaenglichen Quellen entnommen sind und eine Benachrichtigung
wegen der Vielzahl der betroffenen Faelle unverhaeltnismaessig ist, oder
b) die Benachrichtigung die Geschaeftszwecke der verantwortlichen Stelle erheblich
gefaehrden wuerde, es sei denn, dass das Interesse an der Benachrichtigung die
Gefaehrdung ueberwiegt, oder
8. die Daten geschaeftsmaessig zum Zweck der Uebermittlung gespeichert sind und
a) aus allgemein zugaenglichen Quellen entnommen sind, soweit sie sich auf
diejenigen Personen beziehen, die diese Daten veroeffentlicht haben, oder
b) es sich um listenmaessig oder sonst zusammengefasste Daten handelt (§ 29 Abs. 2
Nr. 1 Buchstabe b)
und eine Benachrichtigung wegen der Vielzahl der betroffenen Faelle
unverhaeltnismaessig ist.
Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von
einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird.
§ 34 Auskunft an den Betroffenen
(1) Der Betroffene kann Auskunft verlangen ueber
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft
dieser Daten beziehen,
2. Empfaenger oder Kategorien von Empfaengern, an die Daten weitergegeben werden, und
3. den Zweck der Speicherung.
Er soll die Art der personenbezogenen Daten, ueber die Auskunft erteilt werden soll,
naeher bezeichnen. Werden die personenbezogenen Daten geschaeftsmaessig zum Zweck der
Uebermittlung gespeichert, kann der Betroffene ueber Herkunft und Empfaenger nur Auskunft
verlangen, sofern nicht das Interesse an der Wahrung des Geschaeftsgeheimnisses
ueberwiegt. In diesem Fall ist Auskunft ueber Herkunft und Empfaenger auch dann zu
erteilen, wenn diese Angaben nicht gespeichert sind.
(2) Der Betroffene kann von Stellen, die geschaeftsmaessig personenbezogene Daten zum
Zwecke der Auskunftserteilung speichern, Auskunft ueber seine personenbezogenen Daten
verlangen, auch wenn sie weder in einer automatisierten Verarbeitung noch in einer
nicht automatisierten Datei gespeichert sind. Auskunft ueber Herkunft und Empfaenger
kann der Betroffene nur verlangen, sofern nicht das Interesse an der Wahrung des
Geschaeftsgeheimnisses ueberwiegt.
(3) Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonderen Umstaende
eine andere Form der Auskunftserteilung angemessen ist.
(4) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33
Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist.
(5) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschaeftsmaessig
zum Zweck der Uebermittlung gespeichert, kann jedoch ein Entgelt verlangt werden,
wenn der Betroffene die Auskunft gegenueber Dritten zu wirtschaftlichen Zwecken nutzen
kann. Das Entgelt darf ueber die durch die Auskunftserteilung entstandenen direkt
zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann in den Faellen nicht verlangt
werden, in denen besondere Umstaende die Annahme rechtfertigen, dass Daten unrichtig
- 28 -
�
oder unzulaessig gespeichert werden, oder in denen die Auskunft ergibt, dass die Daten
zu berichtigen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2 Nr. 1 zu loeschen
sind.
(6) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Moeglichkeit
zu geben, sich im Rahmen seines Auskunftsanspruchs persoenlich Kenntnis ueber die ihn
betreffenden Daten und Angaben zu verschaffen. Er ist hierauf in geeigneter Weise
hinzuweisen.
§ 35 Berichtigung, Loeschung und Sperrung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) Personenbezogene Daten koennen ausser in den Faellen des Absatzes 3 Nr. 1 und 2
jederzeit geloescht werden. Personenbezogene Daten sind zu loeschen, wenn
1. ihre Speicherung unzulaessig ist,
2. es sich um Daten ueber die rassische oder ethnische Herkunft, politische Meinungen,
religioese oder philosophische Ueberzeugungen oder die Gewerkschaftszugehoerigkeit,
ueber Gesundheit oder das Sexualleben, strafbare Handlungen oder
Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle
nicht bewiesen werden kann,
3. sie fuer eigene Zwecke verarbeitet werden, sobald ihre Kenntnis fuer die Erfuellung
des Zwecks der Speicherung nicht mehr erforderlich ist, oder
4. sie geschaeftsmaessig zum Zweck der Uebermittlung verarbeitet werden und eine Pruefung
jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer erstmaligen
Speicherung ergibt, dass eine laengerwaehrende Speicherung nicht erforderlich ist.
(3) An die Stelle einer Loeschung tritt eine Sperrung, soweit
1. im Fall des Absatzes 2 Nr. 3 einer Loeschung gesetzliche, satzungsmaessige oder
vertragliche Aufbewahrungsfristen entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Loeschung schutzwuerdige Interessen des
Betroffenen beeintraechtigt wuerden, oder
3. eine Loeschung wegen der besonderen Art der Speicherung nicht oder nur mit
unverhaeltnismaessig hohem Aufwand moeglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom
Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit
feststellen laesst.
(5) Personenbezogene Daten duerfen nicht fuer eine automatisierte Verarbeitung oder
Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt
werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht
und eine Pruefung ergibt, dass das schutzwuerdige Interesse des Betroffenen wegen
seiner besonderen persoenlichen Situation das Interesse der verantwortlichen Stelle
an dieser Erhebung, Verarbeitung oder Nutzung ueberwiegt. Satz 1 gilt nicht, wenn eine
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird,
muessen bei der geschaeftsmaessigen Datenspeicherung zum Zweck der Uebermittlung ausser
in den Faellen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder geloescht werden,
wenn sie aus allgemein zugaenglichen Quellen entnommen und zu Dokumentationszwecken
gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten fuer die Dauer der
Speicherung seine Gegendarstellung beizufuegen. Die Daten duerfen nicht ohne diese
Gegendarstellung uebermittelt werden.
(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie
der Loeschung oder Sperrung wegen Unzulaessigkeit der Speicherung sind die Stellen zu
verstaendigen, denen im Rahmen einer Datenuebermittlung diese Daten zur Speicherung
weitergegeben werden, wenn dies keinen unverhaeltnismaessigen Aufwand erfordert und
schutzwuerdige Interessen des Betroffenen nicht entgegenstehen.
- 29 -
�
(8) Gesperrte Daten duerfen ohne Einwilligung des Betroffenen nur uebermittelt oder
genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus
sonstigen im ueberwiegenden Interesse der verantwortlichen Stelle oder eines Dritten
liegenden Gruenden unerlaesslich ist und
2. die Daten hierfuer uebermittelt oder genutzt werden duerften, wenn sie nicht gesperrt
waeren.
Dritter Unterabschnitt
Aufsichtsbehoerde
§§ 36 und 37
(weggefallen)
§ 38 Aufsichtsbehoerde
(1) Die Aufsichtsbehoerde kontrolliert die Ausfuehrung dieses Gesetzes sowie anderer
Vorschriften ueber den Datenschutz, soweit diese die automatisierte Verarbeitung
personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener
Daten in oder aus nicht automatisierten Dateien regeln einschliesslich des Rechts
der Mitgliedstaaten in den Faellen des § 1 Abs. 5. Sie beraet und unterstuetzt die
Beauftragten fuer den Datenschutz und die verantwortlichen Stellen mit Ruecksicht auf
deren typische Beduerfnisse. Die Aufsichtsbehoerde darf die von ihr gespeicherten Daten
nur fuer Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7
gilt entsprechend. Insbesondere darf die Aufsichtsbehoerde zum Zweck der Aufsicht Daten
an andere Aufsichtsbehoerden uebermitteln. Sie leistet den Aufsichtsbehoerden anderer
Mitgliedstaaten der Europaeischen Union auf Ersuchen ergaenzende Hilfe (Amtshilfe).
Stellt die Aufsichtsbehoerde einen Verstoss gegen dieses Gesetz oder andere Vorschriften
ueber den Datenschutz fest, so ist sie befugt, die Betroffenen hierueber zu unterrichten,
den Verstoss bei den fuer die Verfolgung oder Ahndung zustaendigen Stellen anzuzeigen
sowie bei schwerwiegenden Verstoessen die Gewerbeaufsichtsbehoerde zur Durchfuehrung
gewerberechtlicher Massnahmen zu unterrichten. Sie veroeffentlicht regelmaessig, spaetestens
alle zwei Jahre, einen Taetigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7
gelten entsprechend.
(2) Die Aufsichtsbehoerde fuehrt ein Register der nach § 4d meldepflichtigen
automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. Das Register kann von
jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach §
4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen.
(3) Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten
Personen haben der Aufsichtsbehoerde auf Verlangen die fuer die Erfuellung ihrer Aufgaben
erforderlichen Auskuenfte unverzueglich zu erteilen. Der Auskunftspflichtige kann
die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen
der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehoerigen
der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz ueber
Ordnungswidrigkeiten aussetzen wuerde. Der Auskunftspflichtige ist darauf hinzuweisen.
(4) Die von der Aufsichtsbehoerde mit der Kontrolle beauftragten Personen sind befugt,
soweit es zur Erfuellung der der Aufsichtsbehoerde uebertragenen Aufgaben erforderlich
ist, waehrend der Betriebs- und Geschaeftszeiten Grundstuecke und Geschaeftsraeume der
Stelle zu betreten und dort Pruefungen und Besichtigungen vorzunehmen. Sie koennen
geschaeftliche Unterlagen, insbesondere die Uebersicht nach § 4g Abs. 2 Satz 1 sowie die
gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. §
24 Abs. 6 gilt entsprechend. Der Auskunftspflichtige hat diese Massnahmen zu dulden.
(5) Zur Gewaehrleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften
ueber den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener
Daten oder die Verarbeitung personenbezogener Daten in oder aus nicht automatisierten
- 30 -
�
Dateien regeln, kann die Aufsichtsbehoerde anordnen, dass im Rahmen der Anforderungen
nach § 9 Massnahmen zur Beseitigung festgestellter technischer oder organisatorischer
Maengel getroffen werden. Bei schwerwiegenden Maengeln dieser Art, insbesondere, wenn
sie mit besonderer Gefaehrdung des Persoenlichkeitsrechts verbunden sind, kann sie den
Einsatz einzelner Verfahren untersagen, wenn die Maengel entgegen der Anordnung nach
Satz 1 und trotz der Verhaengung eines Zwangsgeldes nicht in angemessener Zeit beseitigt
werden. Sie kann die Abberufung des Beauftragten fuer den Datenschutz verlangen, wenn
er die zur Erfuellung seiner Aufgaben erforderliche Fachkunde und Zuverlaessigkeit nicht
besitzt.
(6) Die Landesregierungen oder die von ihnen ermaechtigten Stellen bestimmen die fuer die
Kontrolle der Durchfuehrung des Datenschutzes im Anwendungsbereich dieses Abschnittes
zustaendigen Aufsichtsbehoerden.
(7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes
unterliegenden Gewerbebetriebe bleibt unberuehrt.
§ 38a Verhaltensregeln zur Foerderung der Durchfuehrung
datenschutzrechtlicher Regelungen
(1) Berufsverbaende und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen
Stellen vertreten, koennen Entwuerfe fuer Verhaltensregeln zur Foerderung der Durchfuehrung
von datenschutzrechtlichen Regelungen der zustaendigen Aufsichtsbehoerde unterbreiten.
(2) Die Aufsichtsbehoerde ueberprueft die Vereinbarkeit der ihr unterbreiteten Entwuerfe
mit dem geltenden Datenschutzrecht.
Vierter Abschnitt
Sondervorschriften
§ 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder
besonderen Amtsgeheimnis unterliegen
(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
und die von der zur Verschwiegenheit verpflichteten Stelle in Ausuebung ihrer Berufs-
oder Amtspflicht zur Verfuegung gestellt worden sind, duerfen von der verantwortlichen
Stelle nur fuer den Zweck verarbeitet oder genutzt werden, fuer den sie sie erhalten
hat. In die Uebermittlung an eine nicht-oeffentliche Stelle muss die zur Verschwiegenheit
verpflichtete Stelle einwilligen.
(2) Fuer einen anderen Zweck duerfen die Daten nur verarbeitet oder genutzt werden, wenn
die Aenderung des Zwecks durch besonderes Gesetz zugelassen ist.
§ 40 Verarbeitung und Nutzung personenbezogener Daten durch
Forschungseinrichtungen
(1) Fuer Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte
personenbezogene Daten duerfen nur fuer Zwecke der wissenschaftlichen Forschung
verarbeitet oder genutzt werden.
(2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem
Forschungszweck moeglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit
denen Einzelangaben ueber persoenliche oder sachliche Verhaeltnisse einer bestimmten oder
bestimmbaren Person zugeordnet werden koennen. Sie duerfen mit den Einzelangaben nur
zusammengefuehrt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche Forschung betreibenden Stellen duerfen personenbezogene Daten
nur veroeffentlichen, wenn
1. der Betroffene eingewilligt hat oder
2. dies fuer die Darstellung von Forschungsergebnissen ueber Ereignisse der
Zeitgeschichte unerlaesslich ist.
- 31 -
�
§ 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die
Medien
(1) Die Laender haben in ihrer Gesetzgebung vorzusehen, dass fuer die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen
der Presse ausschliesslich zu eigenen journalistisch-redaktionellen oder literarischen
Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschliesslich
einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen.
(2) Fuehrt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten durch die Deutsche Welle zur Veroeffentlichung von
Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den
gespeicherten Daten zu nehmen und fuer dieselbe Zeitdauer aufzubewahren wie die Daten
selbst.
(3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem
Persoenlichkeitsrecht beeintraechtigt, so kann er Auskunft ueber die der Berichterstattung
zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann
nach Abwaegung der schutzwuerdigen Interessen der Beteiligten verweigert werden, soweit
1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung
von Rundfunksendungen berufsmaessig journalistisch mitwirken oder mitgewirkt haben,
geschlossen werden kann,
2. aus den Daten auf die Person des Einsenders oder des Gewaehrstraegers von Beitraegen,
Unterlagen und Mitteilungen fuer den redaktionellen Teil geschlossen werden kann,
3. durch die Mitteilung der recherchierten oder sonst erlangten Daten
die journalistische Aufgabe der Deutschen Welle durch Ausforschung des
Informationsbestandes beeintraechtigt wuerde.
Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) Im Uebrigen gelten fuer die Deutsche Welle von den Vorschriften dieses Gesetzes
die §§ 5, 7, 9 und 38a. Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um
Verwaltungsangelegenheiten handelt.
§ 42 Datenschutzbeauftragter der Deutschen Welle
(1) Die Deutsche Welle bestellt einen Beauftragten fuer den Datenschutz, der an
die Stelle des Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit
tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat
fuer die Dauer von vier Jahren, wobei Wiederbestellungen zulaessig sind. Das Amt
eines Beauftragten fuer den Datenschutz kann neben anderen Aufgaben innerhalb der
Rundfunkanstalt wahrgenommen werden.
(2) Der Beauftragte fuer den Datenschutz kontrolliert die Einhaltung der Vorschriften
dieses Gesetzes sowie anderer Vorschriften ueber den Datenschutz. Er ist in Ausuebung
dieses Amtes unabhaengig und nur dem Gesetz unterworfen. Im Uebrigen untersteht er der
Dienst- und Rechtsaufsicht des Verwaltungsrates.
(3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten fuer den
Datenschutz wenden.
(4) Der Beauftragte fuer den Datenschutz erstattet den Organen der Deutschen Welle
alle zwei Jahre, erstmals zum 1. Januar 1994 einen Taetigkeitsbericht. Er erstattet
darueber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die
Taetigkeitsberichte uebermittelt der Beauftragte auch an den Bundesbeauftragten fuer den
Datenschutz und die Informationsfreiheit.
(5) Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle fuer
ihren Bereich. Die §§ 4f und 4g bleiben unberuehrt.
Fuenfter Abschnitt
- 32 -
�
Schlussvorschriften
§ 43 Bussgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsaetzlich oder fahrlaessig
1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht,
nicht richtig, nicht vollstaendig oder nicht rechtzeitig macht,
2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6,
einen Beauftragten fuer den Datenschutz nicht, nicht in der vorgeschriebenen Weise
oder nicht rechtzeitig bestellt,
3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht
rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis
erhalten kann,
4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten uebermittelt oder nutzt,
5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gruende oder die Art und
Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte
Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,
7. entgegen § 29 Abs. 3 Satz 2 die Uebernahme von Kennzeichnungen nicht sicherstellt,
8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollstaendig
benachrichtigt,
9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung uebermittelt,
10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig,
nicht vollstaendig oder nicht rechtzeitig erteilt oder eine Massnahme nicht duldet
oder
11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.
(2) Ordnungswidrig handelt, wer vorsaetzlich oder fahrlaessig
1. unbefugt personenbezogene Daten, die nicht allgemein zugaenglich sind, erhebt oder
verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein zugaenglich sind, zum Abruf
mittels automatisierten Verfahrens bereithaelt,
3. unbefugt personenbezogene Daten, die nicht allgemein zugaenglich sind, abruft
oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht
automatisierten Dateien verschafft,
4. die Uebermittlung von personenbezogenen Daten, die nicht allgemein zugaenglich sind,
durch unrichtige Angaben erschleicht,
5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs.
4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die uebermittelten Daten fuer andere Zwecke
nutzt, indem er sie an Dritte weitergibt, oder
6. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder
entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den
Einzelangaben zusammenfuehrt.
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbusse bis zu
fuenfundzwanzigtausend Euro, in den Faellen des Absatzes 2 mit einer Geldbusse bis zu
zweihundertfuenfzigtausend Euro geahndet werden.
§ 44 Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsaetzliche Handlung gegen Entgelt oder in der
Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schaedigen, begeht,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
- 33 -
�
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene,
die verantwortliche Stelle, der Bundesbeauftragte fuer den Datenschutz und die
Informationsfreiheit und die Aufsichtsbehoerde.
Sechster Abschnitt
Uebergangsvorschriften
§ 45 Laufende Verwendungen
Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai
2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den
Vorschriften dieses Gesetzes in Uebereinstimmung zu bringen. Soweit Vorschriften dieses
Gesetzes in Rechtsvorschriften ausserhalb des Anwendungsbereichs der Richtlinie 95/46/EG
des Europaeischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natuerlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur
Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener
Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fuenf Jahren nach diesem
Zeitpunkt mit den Vorschriften dieses Gesetzes in Uebereinstimmung zu bringen.
§ 46 Weitergeltung von Begriffsbestimmungen
(1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist
Datei
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach
bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder
2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und
nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht
automatisierte Datei).
Nicht hierzu gehoeren Akten und Aktensammlungen, es sei denn, dass sie durch
automatisierte Verfahren umgeordnet und ausgewertet werden koennen.
(2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet,
ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem
Dateibegriff des Absatzes 1 unterfaellt; dazu zaehlen auch Bild- und Tontraeger. Nicht
hierunter fallen Vorentwuerfe und Notizen, die nicht Bestandteil eines Vorgangs werden
sollen.
(3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfaenger verwendet,
ist Empfaenger jede Person oder Stelle ausserhalb der verantwortlichen Stelle. Empfaenger
sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen
Mitgliedstaat der Europaeischen Union oder in einem anderen Vertragsstaat des Abkommens
ueber den Europaeischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben,
verarbeiten oder nutzen.
Anlage (zu § 9 Satz 1)
Fundstelle des Originaltextes: BGBl. I 2003, 88
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die
innerbehoerdliche oder innerbetriebliche Organisation so zu gestalten, dass sie den
besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere
Massnahmen zu treffen, die je nach der Art der zu schuetzenden personenbezogenen Daten
oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden koennen
(Zugangskontrolle),
3. zu gewaehrleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten
- 34 -
�
zugreifen koennen, und dass personenbezogene Daten bei der Verarbeitung, Nutzung
und nach der Speicherung nicht unbefugt gelesen, kopiert, veraendert oder entfernt
werden koennen (Zugriffskontrolle),
4. zu gewaehrleisten, dass personenbezogene Daten bei der elektronischen Uebertragung
oder waehrend ihres Transports oder ihrer Speicherung auf Datentraeger nicht
unbefugt gelesen, kopiert, veraendert oder entfernt werden koennen, und dass
ueberprueft und festgestellt werden kann, an welche Stellen eine Uebermittlung
personenbezogener Daten durch Einrichtungen zur Datenuebertragung vorgesehen ist
(Weitergabekontrolle),
5. zu gewaehrleisten, dass nachtraeglich ueberprueft und festgestellt werden kann, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, veraendert
oder entfernt worden sind (Eingabekontrolle),
6. zu gewaehrleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden koennen
(Auftragskontrolle),
7. zu gewaehrleisten, dass personenbezogene Daten gegen zufaellige Zerstoerung oder
Verlust geschuetzt sind (Verfuegbarkeitskontrolle),
8. zu gewaehrleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden koennen.
- 35 -
�