§ 18 Auskunft und Benachrichtigung sowie Einsicht in Akten

§ 18 Auskunft und Einsicht in Akten".

§ 39 Ordnungswidrigkeiten

§ 39 (aufgehoben)".

Anlage 2 Mindestvertragsinhalt zu § 11a Abs. 2 Satz 2

Anlage 2 (aufgehoben)".

1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe),
2. öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden,
3. der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen,

personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im übrigen sind mit Ausnahme der §§ 32 sowie 36 bis 38 die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anzuwenden. Unbeschadet der Regelung des Absatzes 1 Satz 1 gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als öffentliche Stellen im Sinne dieses Gesetzes.

1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe),
2. öffentliche Einrichtungen, die entsprechend den Vorschriften über Eigenbetriebe geführt werden,
3. Landesbetriebe,
4. der Aufsicht des Landes oder der Gemeinden oder Gemeindeverbänden unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen,

personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im Übrigen sind mit Ausnahme der §§ 4d bis 4g und des § 38 die für nichtöffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anzuwenden."

2. Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren,
3. Verschlüsseln das Ersetzen von Klartextbegriffen oder Zeichen durch andere in der Weise, dass der Klartext nur mit unverhältnismäßig großem Aufwand wieder lesbar gemacht werden kann,
4. ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ein Datenträger,
   1. der an den Betroffenen ausgegeben wird,
   2. auf dem personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und
   3. bei dem der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann,
5. Wartung die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware und
6. Fernwartung die Wartung der Soft- und Hardware von Datenverarbeitungsanlagen, die von einem Ort außerhalb der Stelle, bei der die Verarbeitung personenbezogener Daten erfolgt, mittels Einrichtungen zur Datenübertragung vorgenommen wird."

a) der Daten verarbeitenden Stelle selbst,

b) des Betroffenen,

c) des Auftragnehmers in den Fällen der §§ 11 und 11a,

d) der Personen, die unter der unmittelbaren Verantwortung der Daten verarbeitenden Stelle oder des Auftragnehmers nach Buchstabe c befugt sind, Daten zu verarbeiten."

1. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder
2. der Betroffene ohne jeden Zweifel eingewilligt hat.

1. mit freiwilliger und ausdrücklicher Zustimmung (Einwilligung) des Betroffenen oder

2. soweit dies nach diesem Gesetz oder nach anderen Rechtsvorschriften zulässig ist."

Die Verarbeitung personenbezogener Daten über

1. die rassische und ethnische Herkunft,
2. politische Meinungen,
3. religiöse oder weltanschauliche Überzeugungen,
4. die Gewerkschaftszugehörigkeit,
5. die Gesundheit oder
6. das Sexualleben

ist nur zulässig, wenn sie in einer bereichsspezifischen Rechtsvorschrift geregelt ist, die den Zweck der Verarbeitung bestimmt sowie angemessene Garantien zum Schutze des Rechtes auf informationelle Selbstbestimmung vorsieht. Abweichend von Satz 1 ist die Verarbeitung dieser Daten zulässig,

1. wenn der Betroffene ausdrücklich eingewilligt hat,
2. auf der Grundlage der §§ 15, 28 und 29 oder

wenn sie ausschließlich im Interesse des Betroffenen liegt und der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht vorab gehört worden ist.

Soweit nicht andere Rechtsvorschriften die Verarbeitung personenbezogener Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben ausdrücklich vorsehen oder zwingend voraussetzen, ist diese nur zulässig,

1. mit Einwilligung des Betroffenen,
2. auf der Grundlage der §§ 15, 28, 29, 31, 33a, 33b und 33c oder
3. wenn sie zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus rechtlichen oder tatsächlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben.

Die Verarbeitung dieser Daten ist auch zulässig, wenn die Daten von dem Betroffenen offenkundig öffentlich gemacht wurden."

1. Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten sowie Einsicht in Akten (§ 18),
2. Gegenvorstellung aufgrund eines schutzwürdigen besonderen persönlichen Interesses (§ 4b),
3. Einsicht in das Verfahrensverzeichnis (§ 8 Abs. 6),
4. Berichtigung, Löschung oder Sperrung der zu seiner Person gespeicherten Daten (§ 19),
5. Schadensersatz (§ 20) und
6. Anrufung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (§ 21 Abs. 1).

Diese Rechte können auch durch die Einwilligung des Betroffenen nicht ausgeschlossen oder beschränkt werden. Sie sind gegenüber der jeweiligen datenverarbeitenden Stelle geltend zu machen.

1. Auskunft über die zu seiner Person gespeicherten Daten sowie Einsicht in Akten (§ 18),
2. Gegenvorstellung aufgrund eines schutzwürdigen besonderen persönlichen Interesses (§ 4b),
3. Einsicht in das Verfahrensverzeichnis (§ 8 Abs. 4),
4. Berichtigung, Löschung oder Sperrung der zu seiner Person gespeicherten Daten (§ 19) und
5. Anrufung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (§ 21 Abs. 1).

Auf diese Rechte kann der Betroffene nicht wirksam verzichten."

1. ein aus einer Risikoanalyse entwickeltes Sicherheitskonzept ergeben hat, dass die von dem Verfahren ausgehenden Gefahren für die Rechte und Freiheiten der Betroffenen durch technischorganisatorische Maßnahmen nach § 10 Abs. 1 und 2 beherrscht werden können und
2. in den Verfahren, in denen besondere Risiken für die Rechte und Freiheiten der Betroffenen ausgehen, eine Vorabkontrolle nach § 10a erfolgt ist.

Entsprechend der technischen Entwicklung ist die Ermittlung der zu treffenden technischen und organisatorischen Maßnahmen in angemessenen Abständen zu wiederholen. Die Freigabe erfolgt durch die Daten verarbeitende Stelle. Sie kann auch durch die zuständige oberste Landesbehörde oder eine von ihr bestimmte Stelle erteilt werden."

1. auf die Beachtung der Datenschutzvorschriften und deren Einhaltung hinzuwirken,
2. die bei der Verarbeitung tätigen Personen mit den Bestimmungen dieses Gesetzes und anderer für die datenverarbeitende Stelle einschlägigen Rechtsvorschriften vertraut zu machen und
3. die datenverarbeitende Stelle bei der Umsetzung der nach § 7 Abs. 3 und nach den §§ 8, 10, 11, 11a und 26 erforderlichen Maßnahmen zu unterstützen.

Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen.

1. auf die Einhaltung der Datenschutzvorschriften hinzuwirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Bestimmungen dieses Gesetzes und anderer für die Daten verarbeitende Stelle einschlägigen Rechtsvorschriften vertraut zu machen,
3. die Daten verarbeitende Stelle bei der Umsetzung der nach § 7 Abs. 3 und nach den §§ 8, 10, 11, 11a und 26 erforderlichen Maßnahmen zu unterstützen und
4. die Vorabkontrolle nach § 10a vorzunehmen.

Er kann die zur Erfüllung seiner Aufgaben notwendige Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen. Berufs- oder besondere Amtsgeheimnisse können ihm nicht entgegengehalten werden."

(1) Jede datenverarbeitende Stelle, die personenbezogene Daten verarbeitet, führt ein Verzeichnis der automatisierten Verfahren (Verfahrensverzeichnis) und ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen (Anlagenverzeichnis); die Verzeichnisse enthalten auch die Angaben über die Verfahren und Anlagen, die für die Stelle in Fällen von Datenverarbeitung im Auftrag eingesetzt werden.

(2) Das Verfahrensverzeichnis hat folgende Angaben zu enthalten:

1. Bezeichnung des Verfahrens,
2. Name und Anschrift des für die Verarbeitung Verantwortlichen,
3. Zweckbestimmung und Rechtsgrundlagen der Verarbeitung,
4. Art der gespeicherten Daten,
5. Kreis der Betroffenen,
6. Art der regelmäßig an Dritte zu übermittelnden oder regelmäßig innerhalb der datenverarbeitenden Stelle weiterzugebenden Daten und deren Empfänger,
7. Art sowie Herkunft der regelmäßig von Dritten empfangenen Daten,
8. Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung,
9. Datenübermittlungen in Drittländer sowie deren Namen,
10. allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach § 10 und
11. welche Teile des Verfahrens der Datenverarbeitung räumlich außerhalb der datenverarbeitenden Stelle durchgeführt werden.

(3) Die Führung des Verfahrensverzeichnisses soll dem behördlichen Datenschutzbeauftragten übertragen werden. Die datenverarbeitende Stelle hat dem behördlichen Datenschutzbeauftragten die in Absatz 2 aufgeführten Angaben rechtzeitig vor Einführung oder wesentlicher Änderung des Verfahrens mitzuteilen, um ihm die Prüfung des Verfahrens zu ermöglichen.

(4) Die Führung eines eigenen Anlagenverzeichnisses kann entfallen, wenn ein Geräteverzeichnis nach haushaltsrechtlichen Vorschriften geführt wird, sofern die Geräte in dem gleichen Umfang technisch beschrieben werden, wie er zum Zwecke der Datenschutzkontrolle geboten ist; zu diesen Angaben gehören auch die Bezeichnungen gegenwärtig verwendeter Betriebssysteme.

(5) Das Anlagen- und das Verfahrensverzeichnis sind bei wesentlichen Änderungen zu aktualisieren.

(6) Die Angaben des Verfahrensverzeichnisses gemäß Absatz 2 Nr. 1 bis 7 und 9 können bei der datenverarbeitenden Stelle von jedem eingesehen werden; dies gilt auch für die Angaben gemäß Absatz 2 Nr. 10, soweit dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für

1. Verfahren der Verfassungsschutzbehörde,
2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
3. Verfahren der Steuerfahndung,

soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

(7) Absatz 2 gilt nicht für Verfahren,

1. deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht,
2. soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden, oder
3. die unter Einsatz handelsüblicher Schreibprogramme ablaufen.

(8) Die Landesregierung wird ermächtigt, durch Rechtsverordnung das Nähere zur Ausgestaltung des Anlagen- und Verfahrensverzeichnisses zu regeln, insbesondere zum Zwecke der Vereinfachung des Verfahrens und zur Entlastung der datenverarbeitenden Stellen.

(1) Für automatisierte Verarbeitungen personenbezogener Daten hat die Daten verarbeitende Stelle in einem Verfahrensverzeichnis schriftlich oder elektronisch festzulegen:

1. die Bezeichnung des Verfahrens,
2. den Namen und die Anschrift der Daten verarbeitenden Stelle,
3. die Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung,
4. die betroffenen Personengruppen und die diesbezüglichen Daten oder Datenkategorien,
5. die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden,
6. die geplanten Datenübermittlungen nach § 17 Abs. 2,
7. im Falle von § 11 die Auftragnehmer,
8. die Regelfristen für die Sperrung und Löschung der Daten,
9. die Beschreibung der Maßnahmen nach § 10,
10. die allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen und der verwendeten Software und
11. die Freigabeerklärung, gegebenenfalls das Ergebnis der Vorabkontrolle.

In den Fällen des § 7 Abs. 3 Satz 5 können die Festlegungen nach Satz 1 durch die zuständige oberste Landesbehörde oder die von ihr bestimmte Stelle getroffen werden.

(2) Das Führen des Verfahrensverzeichnisses ist dem behördlichen Datenschutzbeauftragten zu übertragen.

(3) Das Verfahrensverzeichnis ist bei wesentlichen Änderungen zu aktualisieren.

(4) Die Angaben des Verfahrensverzeichnisses gemäß Absatz 1 können von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Absatz 1 Nr. 7 bis 11, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Satz 1 gilt nicht für

1. Verfahren der Verfassungsschutzbehörde,
2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
3. Verfahren der Steuerfahndung

soweit die Daten verarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

(5) Absatz 1 gilt nicht für

1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,
2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
3. Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
7. Zimmer-, Inventar- und Softwareverzeichnisse,
8. Bibliothekskataloge und Fundstellenverzeichnisse oder
9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an Betroffene genutzt werden.

(6) Die Landesregierung wird ermächtigt, durch Rechtsverordnung das Nähere zur Ausgestaltung des Verfahrensverzeichnisses zu regeln, insbesondere zum Zweck der Vereinfachung des Verfahrens und zur Entlastung der Daten verarbeitenden Stelle."

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist nur zulässig, soweit dies durch Bundes- oder Landesrecht bestimmt ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufes bleiben unberührt.

(2) Die Minister werden ermächtigt, für die Behörden und Einrichtungen ihres Geschäftsbereiches sowie für die der Rechtsaufsicht des Landes unterliegenden sonstigen öffentlichen Stellen die Einrichtung automatisierter Abrufverfahren durch Rechtsverordnung zuzulassen. Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter Berücksichtigung des informationellen Selbstbestimmungsrechts des betroffenen Personenkreises und der Aufgaben der beteiligten Stellen angemessen ist. Die Datenempfänger, die Datenart und der Zweck des Abrufes sind festzulegen. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist zu unterrichten.

(3) Die am Abrufverfahren beteiligten Stellen haben die nach § 10 erforderlichen Maßnahmen zu treffen.

(4) Für die Einrichtung automatisierter Abrufverfahren innerhalb einer öffentlichen Stelle gelten nur Absatz 2 Satz 2 und 3 sowie Absatz 3 entsprechend.

(5) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereiches nicht zum automatisierten Abruf bereitgehalten werden; dies gilt nicht für den Betroffenen.

(6) Die Absätze 1 bis 5 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffentlichung zulässig wäre.

(7) Absatz 1 Satz 1 und Absatz 2 Satz 1 und 4 sowie Absatz 5 finden keine Anwendung, soweit die zur Übermittlung vorgesehenen Daten mit schriftlicher Einwilligung der Betroffenen zum Zwecke der Übermittlung im automatisierten Abrufverfahren gespeichert sind; § 4 Absatz 2 Satz 2 und 3 gilt entsprechend.

(8) Die Absätze 1 bis 7 sind auf die Zulassung regelmäßiger Datenübermittlungen entsprechend anzuwenden.

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten an Dritte durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist vorab zu unterrichten.

(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1. den Anlass und Zweck des Abrufverfahrens,
2. die Empfänger der Daten,
3. die Art der zu übermittelnden Daten sowie
4. die nach § 10 erforderlichen technischen und organisatorischen Maßnahmen.

Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde getroffen werden.

(3) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger der Daten. Die übermittelnde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die übermittelnde Stelle überprüft die Übermittlung personenbezogener Daten durch geeignete Stichprobenverfahren.

(4) Für die Einrichtung automatisierter Abrufverfahren innerhalb einer öffentlichen Stelle gelten Absatz 1 Satz 1 und 2 sowie die Absätze 2 und 3 entsprechend.

(5) Die Absätze 1 bis 3 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

(6) Die Absätze 1 bis 5 sind auf die Zulassung regelmäßiger Datenübermittlungen entsprechend anzuwenden."

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
3. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
4. zu verhindern, daß personenbezogene Daten unbefugt oder zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, übermittelt, entfernt, vernichtet oder sonst verarbeitet werden (Datenverarbeitungskontrolle),
5. festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind (Verantwortlichkeitskontrolle),
6. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. eine Überprüfung aller wesentlichen Verarbeitungsschritte der Datenverarbeitungsanlage und des -verfahrens durch eine Dokumentation zu ermöglichen (Dokumentationskontrolle) und
8. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

1. nur Befugte diese Daten zur Kenntnis nehmen können (Vertraulichkeit),
2. diese Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
3. diese Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
4. diese Daten jederzeit ihrem Ursprung zugeordnet werden können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), und
6. die Verfahrensweisen bei der Verarbeitung dieser Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz)."

(1) Werden personenbezogene Daten im Auftrag einer datenverarbeitenden Stelle (Auftraggeber) durch andere Personen oder Stellen (Auftragnehmer) verarbeitet, bleibt die auftraggebende Stelle für die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in § 5 Abs. 1 genannten Rechte sind ihr gegenüber geltend zu machen. Sofern die Bestimmungen dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, sicherzustellen, daß der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes vorgenommen wird, der Kontrolle des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht unterwirft. Erfolgt die Durchführung des Auftrages außerhalb des Geltungsbereiches dieses Gesetzes durch eine nicht-öffentliche Stelle, so ist sicherzustellen, daß sich diese Stelle der Kontrolle des Landesbeauftragten für den Datenschutz, in dessen Land die Verarbeitung erfolgt, unterwirft, soweit dieser hierzu durch Landesrecht befugt ist. Bei einer Auftragsdurchführung außerhalb des Geltungsbereiches dieses Gesetzes ist die für den Ort der Auftragsdurchführung zuständige Datenschutzkontrollbehörde zu unterrichten. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht und die im Land Brandenburg nach § 38 des Bundesdatenschutzgesetzes zuständige Aufsichtsbehörde über die Beauftragung zu unterrichten. Soweit der Auftragnehmer eine nicht-öffentliche Stelle ist, bedarf die Auftragserteilung der Zustimmung; bei öffentlichen Stellen des Landes erteilt die Zustimmung die zuständige oberste Landesbehörde, bei Gemeinden und Gemeindeverbänden der Minister des Innern. Die Zustimmung ist vor Abschluß des Vertrages einzuholen.

(2) Der Auftragnehmer ist unter Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist unter Festlegung des Gegenstandes und des Umfanges der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse schriftlich zu erteilen. Für ergänzende Weisungen gilt Satz 2 entsprechend. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes erteilt werden; diese sind hiervon zu unterrichten.

(3) Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen der Weisungen der auftraggebenden Stelle verarbeiten. Weisungen, die sich auf eine Datenverarbeitung richten, die gegen dieses Gesetz oder andere Rechtsvorschriften über den Datenschutz verstoßen, sind nicht durchzuführen. Dasselbe gilt, wenn Daten verarbeitet werden sollen, die nach Ansicht des Auftragnehmers unter Verstoß gegen Rechtsvorschriften erlangt worden sind.

(4) Ist der Auftragnehmer eine in § 2 Abs. 1 Satz 1 oder 2 genannte Stelle des Landes, gelten für ihn neben Absatz 3 nur die §§ 6 und 10 sowie 21, 23, 25, 26, 38 und 39.

(5) Bezieht sich der Auftrag auf die Verarbeitung von Daten, für die gesetzliche Geheimhaltungspflichten bestehen oder die Berufs- oder besonderen Amtsgeheimnissen unterfallen, die nicht auf gesetzlichen Vorschriften beruhen, sind besondere Maßnahmen nach Absatz 2 Satz 2 zu treffen, die eine Wahrung der Geheimnisse sicherstellen. Darüber hinaus sollen an nicht-öffentliche Stellen Aufträge nach Satz 1 nur vergeben werden, wenn überwiegende schutzwürdige Interessen der Betroffenen nicht entgegenstehen. Satz 2 gilt nicht, wenn sich der Auftrag nur auf

1. das Erfassen, Aufnehmen, Aufbewahren oder Vernichten von Daten,
2. das Übertragen von Daten von einem auf ein anderes Speichermedium oder
3. die Verarbeitung von Daten, die aus der Sicht der auftragnehmenden Person oder Stelle nicht oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können,

bezieht, und sofern technische und organisatorische Maßnahmen ergriffen worden sind, durch die sichergestellt wird, daß der Auftragnehmer nur soweit es für die Aufgabenerfüllung unerläßlich ist, die Daten zur Kenntnis nehmen kann.

(6) Sofern Unterauftragsverhältnisse vorgesehen sind oder zugelassen werden sollen, ist vertraglich sicherzustellen, daß die datenschutzrechtlichen Pflichten in dem gleichen Umfang eingehalten werden, wie sie im Auftragsverhältnis mit der öffentlichen Stelle festgelegt sind; Absatz 1 Satz 3 bis 6 gilt entsprechend.

(1) Werden personenbezogene Daten im Auftrag einer Daten verarbeitenden Stelle (Auftraggeber) durch andere Personen oder Stellen (Auftragnehmer) verarbeitet, bleibt die auftraggebende Stelle für die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Soweit die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, hat der Auftraggeber vertraglich sicherzustellen, dass der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und jederzeit von ihm veranlasste Kontrollen ermöglicht.

(2) Der Auftrag ist unter Festlegung des Gegenstandes und des Umfanges der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse schriftlich zu erteilen. Der Auftragnehmer muss Gewähr für die Einhaltung der technischen und organisatorischen Maßnahmen nach § 10 bieten. Werden Daten im Auftrag verarbeitet, für die gesetzliche oder andere Geheimhaltungspflichten bestehen, sind besondere technische und organisatorische Maßnahmen zu treffen, die eine Wahrung der Geheimnisse sicherstellen. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes erteilt werden; diese sind hiervon zu unterrichten.

(3) Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen der Weisungen der auftraggebenden Stelle verarbeiten.

(4) Ist der Auftragnehmer eine in § 2 Abs. 1 Satz 1 oder 2 genannte Stelle, gelten für ihn neben Absatz 3 nur die §§ 6, 7a, 10 und 11a sowie 21, 23, 25, 26 und 38.

(5) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der Daten verarbeitenden Stelle ist die Übermittlung personenbezogener Daten zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet,

1. die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, und
2. nach Erledigung des Auftrags die ihnen überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.

Die Absätze 1 bis 3 gelten entsprechend."

1. durch Gesetz ausdrücklich bestimmt ist, dass die Daten bei anderen Stellen oder Personen erhoben werden,
2. der Betroffene auf andere Weise Kenntnis von der Verarbeitung erlangt hat oder
3. sie unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde."

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig, sofern sichergestellt ist, daß bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgemeinschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig, sofern sichergestellt ist, dass bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen sind."

(1) Die Zulässigkeit der Übermittlung personenbezogener Daten an Stellen im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union richtet sich nach § 4.

(2) Für die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereiches der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union sowie an über- und zwischenstaatliche Stellen ist § 16 Abs. 1, 2 und 4 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen nur dann anzuwenden, wenn diese Stellen ein angemessenes Datenschutzniveau gewährleisten.

(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in den Stellen nach Absatz 2 geltenden Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

(4) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(1) Die Zulässigkeit der Übermittlung personenbezogener Daten an Stellen in anderen Mitgliedstaaten der Europäischen Union, in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder der Organe und Einrichtungen der Union richtet sich nach § 4.

(2) Für die Übermittlung personenbezogener Daten an andere als die in Absatz 1 genannten Stellen sowie an über- und zwischenstaatliche Stellen ist § 16 Abs. 1, 2 und 4 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen nur dann anzuwenden, wenn diese Stellen ein angemessenes Datenschutzniveau gewährleisten.

(3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in den Stellen nach Absatz 2 geltenden Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden.

(4) Sofern Stellen nach Absatz 2 kein angemessenes Datenschutzniveau gewährleisten, ist eine Übermittlung personenbezogener Daten nur zulässig, sofern

1. der Betroffene eingewilligt hat,
2. die Übermittlung für die Erfüllung eines Vertrages zwischen der übermittelnden Stelle und dem Betroffenen oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, der im Interesse des Betroffenen mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist,
5. die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist,
6. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind oder
7. die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes der Grundrechte bietet.

(5) Datenübermittlungen nach Absatz 4 Nr. 7 sind dem für Inneres zuständigen Mitglied der Landesregierung mitzuteilen.

(6) Die Stelle, der die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu Zwecken verarbeitet werden dürfen, die mit den Zwecken zu vereinbaren sind, zu deren Erfüllung sie ihr übermittelt werden.

(7) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle."

1. die zu seiner Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Verarbeitung,
3. den logischen Aufbau der automatisierten Verarbeitung der zu seiner Person gespeicherten Daten sowie
4. die Herkunft der Daten, den Zweck der Übermittlung und die Empfänger von regelmäßigen Übermittlungen und die Teilnehmer eines automatisierten Abrufverfahrens, auch soweit diese Angaben nicht zu seiner Person gespeichert sind, aber mit vertretbarem Aufwand festgestellt werden können. Sind die Daten in einem automatisierten Verfahren gespeichert, so umfaßt die Auskunft auch die Empfänger von Übermittlungen innerhalb der letzten zwei Jahre. In Akten und bei nicht-automatisierter Speicherung sind Übermittlungen zu dokumentieren.

1. die zu seiner Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Verarbeitung,
3. die Herkunft der Daten und Empfänger übermittelter Daten, soweit diese gespeichert sind,
4. die Empfänger regelmäßiger Datenübermittlungen und
5. den logischen Aufbau der automatisierten Verarbeitung im Falle einer automatisierten Entscheidung gemäß § 4 Abs. 4.

Dies gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen."

(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Videoüberwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung des Hausrechts erforderlich ist und überwiegende schutzwürdige Interessen Betroffener nicht beeinträchtigt werden. Das Bildmaterial darf gespeichert werden (Videoaufzeichnung), wenn die Tatsache der Aufzeichnung den Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist. § 19 Abs. 2 Buchstabe b bleibt unberührt.

(2) Werden durch Videoaufnahmen gewonnene personenbezogene Daten verändert, übermittelt oder sonst genutzt, ist der Betroffene mit Angabe der Rechtsgrundlage zu benachrichtigen. § 12 Abs. 5 gilt entsprechend.

(3) Besondere Vorschriften bleiben unberührt.

(1) Öffentliche Stellen dürfen mit optischelektronischen

Einrichtungen öffentlich zugängliche Räume überwachen, soweit dies

1. zur Erfüllung ihrer Aufgaben,
2. zur Wahrnehmung des Hausrechts,
3. zum Schutz des Eigentums oder Besitzes oder
4. zur Kontrolle von Zugangsberechtigungen

erforderlich ist und keine Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen.

(2) Der Umstand der Videoüberwachung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen. Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. § 19 Abs. 2 Satz 1 Buchstabe b bleibt unberührt.

(4) Werden durch Videoaufnahmen gewonnene personenbezogene Daten verändert, übermittelt oder sonst genutzt, ist der Betroffene zu benachrichtigen. § 12 Abs. 5 gilt entsprechend."

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Datenschutz personenbezogene Daten, die nicht offenkundig sind,

1. erhebt, speichert, unbefugt verwendet, verändert, übermittelt, weitergibt, zum Abruf bereithält, entschlüsselt, den Personenbezug herstellt oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlaßt,

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht. Der Versuch ist strafbar.

(2) Absatz 1 findet nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Datenschutz personenbezogene Daten, die nicht offenkundig sind,

1. erhebt, speichert, unbefugt verwendet, verändert, übermittelt, weitergibt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht oder
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

(3) Wer gegen Entgelt oder in der Absicht sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine der in Absatz 1 genannten Handlungen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle und der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht."

Das informationelle Selbstbestimmungsrecht nach Artikel 11 Abs. 1 der Verfassung des Landes Brandenburg wird nach Maßgabe dieses Gesetzes eingeschränkt.

Durch dieses Gesetz wird das Grundrecht auf Datenschutz (Artikel 11 Abs. 1 der Verfassung des Landes Brandenburg) eingeschränkt."

Bei der Erfüllung der Aufgaben nach § 3 durch die Verfassungsschutzbehörde finden die §§ 9 und 12 bis 19 des Brandenburgischen Datenschutzgesetzes keine Anwendung.

Bei der Erfüllung der Aufgaben nach § 3 durch die Verfassungsschutzbehörde finden die §§ 4a, 9, 12 bis 19, 33c und 33d des Brandenburgischen Datenschutzgesetzes keine Anwendung."