2, speichernde Stelle jede der in § 1 Abs. 2 genannten Stellen, die Daten für sich selbst speichert oder durch andere speichern läßt,

3. Dritter jede Person oder Stelle außerhalb der speichernden Stelle, ausgenommen der Betroffenen und diejenigen Stellen, die in den Fällen der Nummer 2 im Geltungsbereich des Grundgesetzes im Auftrag tätig werden,

4. eine Datei

1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder
2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht automatisierte Datei),

2. Empfänger jede Person oder Stelle, die Daten erhält.

3. Dritter jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Inland oder in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag verarbeiten.

4. Automatisierte Verarbeitung die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann."

1. eine Rechtsvorschrift dies ausdrücklich vorsieht,

2. der Betroffene eingewilligt hat, wobei sich die Einwilligung ausdrücklich auf diese Daten beziehen muss,

3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,

4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,

5. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl zwingend erforderlich ist,

6. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder

7. dies zum Zweck der Abwehr einer Gefahr für die öffentliche Sicherheit oder eines sonst dem Wohle des Bundes oder eines Landes drohenden Nachteils zwingend erforderlich ist."

(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist ihr Rechtsträger dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet. Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(2) Die Ansprüche nach Absatz 1 Satz 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von 250 000 DM begrenzt. Ist aufgrund desselben Erreignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von Satz 1 übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbeitrag zu dem Höchstbetrag steht.

(3) Sind bei der Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet der Rechtsträger jeder speicherungsberechtigten Stelle. Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(4) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(5) Schadensersatzansprüche aufgrund anderer Vorschriften bleiben unberührt.

(6) Über Ansprüche nach den Absätzen 1 bis 3 entscheiden die ordentlichen Gerichte.

(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen.

(2) Absatz 1 gilt nicht, soweit

1. ein Gesetz, das die Wahrung der berechtigten Interessen des Betroffenen sicherstellt, solche automatisierten Einzelentscheidungen ausdrücklich zulässt, oder

2. mit der Entscheidung einem Begehren des Betroffenen stattgegeben wird."

(1) Wer im Rahmen des § 1 Abs. 2 oder im Auftrag der dort genannten Stellen personenbezogene Daten verarbeitet, hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nach Maßgabe von Satz 2 sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,

1. Unbefugten den Zugang zu Datenverarbeitungssystemen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. die Benutzung von Datenverarbeitungssystemen mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte zu verhindern (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an wen wann welche personenbezogenen Daten durch Einrichtungen zur Datenübertragung übermittelt worden sind (Übermittelungskontrolle),
7. zu gewährleisten, daß überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu gewährleisten, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert, gelöscht oder entfernt werden können (Transportkontrolle),
10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten in nicht automatisierten Dateien oder in Akten verarbeitet, sind die nach Absatz 1 erforderlichen Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

(4) Auf die in § 1 Abs. 2 genannten Stellen, die Sozialleistungsträger im Sinne des § 12 des Ersten Buches Sozialgesetzbuch, aber nicht Sozialversicherungsträger oder deren Verbände im Sinne des § 81 Abs. 4 Satz 4 des Zehnten Buches Sozialgesetzbuch sind, sind die §§ 36 und 37 Abs. 1 des Bundesdatenschutzgesetzes entsprechend anzuwenden.

(1) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Insbesondere ist von den Möglichkeiten der Anonymisierung und der Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Vor der Entscheidung über die Einführung oder die wesentliche Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden sollen, haben die verantwortlichen Stellen zu untersuchen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der Betroffenen verbunden sind. Die zu treffenden technischen und organisatorischen Maßnahmen sind zu dokumentieren. Das Ergebnis der Untersuchung ist dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten (Vorabkontrolle). Der behördliche Datenschutzbeauftragte hat sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz zu wenden.

(3) Die verantwortlichen Stellen und ihre auftragnehmenden Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung zu gewährleisten. Erforderlich sind Maßnahmen, soweit der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nach Maßgabe des Satzes 2 sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen.

(4) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere technische und organisatorische Maßnahmen zu treffen, die geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, der Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können."

(1) Die speichernde Stelle ist verpflichtet, in einer Beschreibung jeder automatisiert geführten Datei festzulegen:

1. die Zweckbestimmung und die Rechtsgrundlage der Datei,
2. die Art der gespeicherten Daten,
3. den Kreis der Betroffenen,
4. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und die Herkunft regelmäßig empfangener Daten,
5. Fristen für das Sperren und Löschen der Daten,
6. die technischen und organisatorischen Maßnahmen nach § 7,
7. zugriffsberechtigte Personengruppen oder allein zugriffsberechtigte Personen.

Die speichernde Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Dateien in einer Dateibeschreibung zusammenfassen.

(2) Absatz 1 findet keine Anwendung auf automatisierte Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer Nutzung gelöscht werden.

(3) Die datenverarbeitende Stelle oder die in ihrem Auftrag tätige Stelle ist verpflichtet, in einem Verzeichnis der Geräte, mit denen personenbezogene Daten automatisiert verarbeitet werden, festzulegen:

1. den Typ und die Art der Geräte,
2. den Hersteller,
3. die Anzahl und den Standort der Geräte,
4. das verwendete Betriebssystem,
5. die Möglichkeiten zur Datenfernverarbeitung und Datenübertragung,
6. verwendete Standard- und Anwenderprogramme.

(4) Die Beschreibung nach Absatz 1 und das Verzeichnis nach Absatz 3 sind laufend auf dem neuesten Stand zu halten.

(5) Die Beschreibung nach Absatz 1 und das Verzeichnis nach Absatz 3 sind dem Landesbeauftragten für den Datenschutz auf Anforderung einzureichen.

(1) Die verantwortliche Stelle ist verpflichtet, in einer Beschreibung für jedes automatisierte Verfahren, mit dem personenbezogene Daten verarbeitet werden, festzulegen:

1. Name und Anschrift der verantwortlichen Stelle,

2. die Bezeichnung des Verfahrens und die Zweckbestimmung der Verarbeitung,

3. die Art der verarbeiteten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,

4. den Kreis der Betroffenen,

5. die Empfänger oder den Kreis von Empfängern, denen Daten mitgeteilt werden können,

6. Fristen für das Sperren und Löschen der Daten,

7. die technischen und organisatorischen Maßnahmen nach § 7,

8. eine geplante Datenübermittlung in Staaten außerhalb der Europäischen Union.

Die verantwortliche Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen.

(2) Die Beschreibung nach Absatz 1 ist laufend auf dem neuesten Stand zu halten.

(3) Die Verfahrensbeschreibung und eine Darstellung der Zugriffsberechtigungen sind dem behördlichen Datenschutzbeauftragten unverzüglich, jedenfalls aber vor der Einführung oder wesentlichen Änderung eines Verfahrens zu übersenden. Die Verfahrensbeschreibungen können bei den verantwortlichen Stellen von jedermann eingesehen werden. Das Einsichtsrecht ist ausgeschlossen, wenn durch die Einsichtnahme die öffentliche Sicherheit gefährdet oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereitet würden."

Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur rechtmäßigen Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist.

(1) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über

1. die Identität der verantwortlichen Stelle,

2. die Zweckbestimmung der Datenverarbeitung und

3. den Kreis von Empfängern, soweit der Betroffene nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden die personenbezogenen Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, ist er auf diese

und die Folgen der Verweigerung, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.

(2) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der verantwortlichen Stelle entsprechend Absatz 1 Satz 1 zu unterrichten. Die Unterrichtung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens bei ihrer ersten Durchführung.

(3) Eine Pflicht zur Unterrichtung besteht in den Fällen des Absatz 2 nicht,

1. wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat,

2. wenn die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert,

3. wenn die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist, oder

4. solange die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde.

Die Gründe für ein Absehen von der Unterrichtung sind aufzuzeichnen.

(4) Werden die Daten bei einem Dritten außerhalb des öffentlichen Bereichs erhoben, so ist dieser von der verantwortlichen Stelle über die hierzu berechtigende Rechtsvorschrift aufzuklären. Soweit eine Auskunftspflicht besteht, ist er hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Absatz 3 gilt entsprechend."

(4) Der Empfänger darf die übermittelten Daten nur für die Zwecke verarbeiten, zu deren Erfüllung sie ihm übermittelt worden sind. § 12 Abs. 2 bleibt unberührt.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden, sofern die übermittelnde Stelle und der Empfänger unterschiedliche Aufgaben wahrnehmen; dies gilt nicht für Akten, soweit die Daten zur Bearbeitung der Akte innerhalb der öffentlichen Stelle benötigt werden.

(4) Die übermittelten Daten dürfen nur für Zwecke verarbeitet werden, zu deren Erfüllung sie übermittelt worden sind. § 12 Abs. 2 bleibt unberührt.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden, sofern die Datenübermittlung zwischen Einheiten erfolgt, die unterschiedliche Aufgaben wahrnehmen."

(5) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dies gilt nicht für den Abruf durch den Betroffenen.

(5) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden. Dies gilt nicht für den Betroffenen und andere Personen, soweit diesen nach besonderen Rechtsvorschriften eine Befugnis zur Einsichtnahme in elektronischer Form eingeräumt ist."

(1) Eine Übermittlung personenbezogener Daten an ausländische und an über- und zwischenstaatliche Stellen ist zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaft oder einem zwischenstaatlichen Vertrag ausdrücklich geregelt ist.

(2) Eine Übermittlung darf unter den Voraussetzungen des § 13 Abs. 1 Satz 1 auch erfolgen, wenn für den Empfänger gleichwertige Datenschutzvorschriften gelten. Die Übermittlung unterbleibt, wenn sie gegen dieses Gesetz oder eine andere Rechtsvorschrift verstoßen würde oder soweit Grund zu der Annahme besteht, daß sie schutzwürdige Belange des Betroffenen verletzt.

(3) Der Empfänger ist darauf hinzuweisen, daß er die übermittelten Daten nur zur Verarbeitung für den Zweck erhält, zu dem sie ihm übermittelt werden.

(1) Die Übermittlung personenbezogener Daten in Mitgliedstaaten sowie an Organe und Einrichtungen der Europäischen Union und anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum ist unter den Voraussetzungen der §§ 13, 17 und 20 zulässig.

(2) Die Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union und an über- oder zwischenstaatliche Stellen ist unter den Voraussetzungen der §§ 13, 17 und 20 zulässig, wenn in dem Staat oder bei der Stelle ein angemessenes Schutzniveau gewährleistet ist. Die Angemessenheit des Schutzniveaus ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenübermittlung von Bedeutung sind, insbesondere der Art der Daten, der Zweckbestimmung und Dauer ihrer geplanten Verarbeitung, des Herkunfts- und des Endbestimmungslandes sowie der für den Empfänger geltenden Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen.

(3) Ist in Staaten außerhalb der Europäischen Union oder bei über- oder zwischenstaatlichen Stellen kein angemessenes Schutzniveau gewährleistet, so ist die Übermittlung personenbezogener Daten nur zulässig, soweit

1. der Betroffene eingewilligt hat,

2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

3. die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder

4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder das allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall erfüllt sind.

(4) Unbeschadet des Absatzes 3 ist die Übermittlung personenbezogener Daten an Drittstaaten oder an über- und zwischenstaatliche Stellen, die kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleisten, auch zulässig, wenn die Stelle, der die Daten übermittelt werden sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; diese Garantien können sich insbesondere aus vertraglichen Vereinbarungen ergeben. Die Übermittlung bedarf in diesem Falle der Zustimmung der zuständigen Aufsichtsbehörde. Der Landesbeauftragte für den Datenschutz ist vor der Übermittlung zu hören.

(5) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden."

1. die zu seiner Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Speicherung und sonstigen Verarbeitung sowie
3. die Herkunft der Daten und die Empfänger von Übermittlungen, soweit dies festgehalten wird.

1. die zu seiner Person gespeicherten Daten,

2. den Zweck und die Rechtsgrundlage der Speicherung und sonstigen Verarbeitung,

3. den logischen Aufbau einer automatisierten Verarbeitung der ihn betreffenden Daten, soweit durch eine automatisierte Verarbeitung automatisierte Einzelentscheidungen getroffen werden, sowie

4. die Herkunft der Daten und die Empfänger oder der Kreis von Empfängern, an die die Daten weitergegeben werden."