Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines, Anlagentechnik, Individualrecht

Archiv: ²⁰⁰², ²⁰¹⁶

Abschnitt 1
Allgemeine Bestimmungen

§ 1 Zweck des Gesetzes

(1) Dieses Gesetz trifft ergänzende und beschränkende Regelungen zur Durchführung der Verordnung (EU) 2016/ 679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1; L 314 vom 22.11.2016 S. 72; L 127 vom 23.05.2018 S. 2).

(2) Daneben setzt dieses Gesetz in den Abschnitten 5, 6 und 9 die Artikel 32 bis 34, 41 bis 49 und 53 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 04.05.2016 S. 89; L 127 vom 23.05.2018 S. 9) um. Im Übrigen wird die Richtlinie (EU) 2016/680 im Datenschutzrichtlinienumsetzungsgesetz Sachsen-Anhalt sowie in den jeweiligen Fachgesetzen umgesetzt.

(3) Ferner trifft dieses Gesetz Regelungen für die Verarbeitung personenbezogener Daten, die nicht in den Anwendungsbereich des Unionsrechts im Sinne von Artikel 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 fallen.

§ 2 Anwendungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen. § 25 gilt auch für die Verarbeitung personenbezogener Daten durch nicht öffentliche Stellen, es sei denn, die Verarbeitung erfolgt durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

(2) Öffentliche Stellen im Sinne dieses Gesetzes sind Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen und Stellen des Landes, der Gemeinden, der Verbandsgemeinden, der Landkreise und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen, ungeachtet ihrer Rechtsform. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

(3) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679, unmittelbar gilt.

(4) Soweit die Tätigkeit öffentlicher Stellen dem Anwendungsbereich der Richtlinie (EU) 2016/680 unterfällt, gilt dieses Gesetz nur, soweit nach § 1 Abs. 2 Regelungen zur Umsetzung der Richtlinie (EU) 2016/680 getroffen werden.

(5) Soweit andere Rechtsvorschriften des Bundes oder des Landes auf die Verarbeitung personenbezogener Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, findet Anwendung.

(6) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes für das Land Sachsen-Anhalt vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(7) Bei der Anwendung dieses Gesetzes gelten folgende Einschränkungen:

1. Soweit öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten für sie und ihre Vereinigungen die §§ 17 bis 20, 23, 24 und 26. Im Übrigen gelten die Vorschriften des Bundesdatenschutzgesetzes, die für nicht öffentliche Stellen zur Ausfüllung der Verordnung (EU) 2016/679 gelten, mit Ausnahme der §§ 5 bis 16 und 38 des Bundesdatenschutzgesetzes.
2. Für öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten sowie deren Vereinigungen gilt § 26. Im Übrigen gelten anstelle dieses Gesetzes die für nicht öffentliche Stellen zur Ausfüllung der Verordnung (EU) 2016/679 geltenden Vorschriften des Bundesdatenschutzgesetzes.
3. Für Organe der Rechtspflege gilt dieses Gesetz nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
4. Für den Landesrechnungshof gilt dieses Gesetz nur, soweit er Verwaltungsangelegenheiten wahrnimmt.

§ 3 Anwendung der Verordnung (EU) 2016/679 auf Tätigkeiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen

(1) Abweichend von Artikel 2 Abs. 1 der Verordnung (EU) 2016/679 finden die Regelungen der Verordnung (EU) 2016/679 mit Ausnahme der Artikel 30, 35 und 36 auch Anwendung auf die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem weder gespeichert sind, noch gespeichert werden sollen.

(2) Abweichend von Artikel 2 Abs. 2 Buchst. a der Verordnung (EU) 2016/679 finden die Regelungen der Verordnung (EU) 2016/679 entsprechende Anwendung auf die Verarbeitung personenbezogener Daten

1. zum Zweck der Vorbereitung öffentlicher Auszeichnungen und Ehrungen, soweit in § 28 nichts anderes bestimmt ist,
2. in Begnadigungsverfahren, soweit in § 29 nichts anderes bestimmt ist, und
3. im Rahmen einer sonstigen, nicht in den sachlichen Anwendungsbereich des Unionsrechts fallenden Tätigkeit, die nicht unter Artikel 2 Abs. 2 Buchst. b bis d der Verordnung (EU) 2016/679 fällt, soweit in § 34 nichts anderes bestimmt ist oder soweit die Datenverarbeitung durch Rechtsvorschrift nicht speziell geregelt ist.

Die Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 finden nur Anwendung, soweit die Verarbeitung der personenbezogenen Daten automatisiert erfolgt oder die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Abschnitt 2
Ergänzende Vorschriften zur Rechtmäßigkeit der Datenverarbeitung
(zu den Artikeln 5, 6 und 9 der Verordnung (EU) 2016/679)

§ 4 Zulässigkeit der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten ist zulässig, soweit sie erforderlich ist zur Erfüllung

1. einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder
2. einer in der Zuständigkeit des Verantwortlichen liegenden Aufgabe, deren Wahrnehmung im öffentlichen Interesse liegt oder die in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erfolgt.

Im Übrigen bestimmt sich die Zulässigkeit der Datenverarbeitung nach Artikel 6 Abs. 1 der Verordnung (EU) 2016/679.

§ 5 Erhebung personenbezogener Daten bei anderen Personen

Werden personenbezogene Daten nicht bei der betroffenen Person, sondern bei einer anderen Person erhoben, so ist dieser anderen Person auf Verlangen der Erhebungszweck mitzuteilen, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. Soweit eine Auskunftspflicht besteht, ist sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

§ 6 Übermittlung personenbezogener Daten

(1) Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung. Die übermittelnde Stelle hat dann lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle hält. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen. Erfolgt die Übermittlung durch automatisierten Abruf nach § 15, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger.

(2) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder einer anderen Person so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht berechtigte Interessen der betroffenen Person oder der anderen Person an deren Geheimhaltung offensichtlich überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

§ 7 Zweckbindung, Zweckänderung

(1) Zu dem Zweck einer Verarbeitung personenbezogener Daten zählt auch die Verarbeitung

1. zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung und zur Durchführung von Organisationsuntersuchungen sowie
2. zu Aus-, Fort-, Weiterbildungs-, Lehr- und Prüfungszwecken, soweit nicht berechtigte Interessen der betroffenen Person an der Geheimhaltung der Daten überwiegen.

(2) Eine Verarbeitung von personenbezogenen Daten zu einem anderen Zweck als dem, für den die Daten erhoben wurden, ist zulässig, soweit und solange

1. die Datenverarbeitung zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonstigen gegenwärtigen erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
2. die Datenverarbeitung zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist,
3. die Datenverarbeitung zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte und Freiheiten einer anderen Person erforderlich ist,
4. die Datenverarbeitung zur Überprüfung von Angaben der betroffenen Person erforderlich ist, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Datenverarbeitung zum Schutz der betroffenen Person erforderlich ist und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
6. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die datenverarbeitende Stelle sie veröffentlichen dürfte, es sei denn, dass schutzwürdige Interessen der betroffenen Person der Datenverarbeitung offensichtlich entgegenstehen, oder
7. offensichtlich ist, dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde.

(3) Absatz 2 findet keine Anwendung auf personenbezogene Daten, die

1. einem Berufsgeheimnis oder einem besonderen Amtsgeheimnis unterliegen und der datenverarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind oder
2. ausschließlich zu Zwecken der Datenschutzkontrolle, der Gewährleistung der Datensicherheit oder des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden.

(4) Eine Information der betroffenen Person nach Artikel 13 Abs. 3 und Artikel 14 Abs. 4 der Verordnung (EU) 2016/679 über die Datenverarbeitung nach Absatz 2 Nrn. 1 bis 4 erfolgt nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde.

§ 8 Optischelektronische Beobachtung

(1) Die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Bereichen durch optischelektronische Einrichtungen ist zulässig, soweit dies

1. zur Wahrnehmung des Hausrechts,
2. zum Schutz des Eigentums oder Besitzes oder
3. zur Kontrolle von Zugangsberechtigungen, insbesondere in Durchführung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten,

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Personen, die sich im Aufnahmebereich der Einrichtung befinden, überwiegen.

(2) Die Möglichkeit der Beobachtung muss für betroffene Personen, die sich im Aufnahmebereich der optischelektronischen Einrichtung befinden, erkennbar sein. Zudem ist auf den Namen und die Kontaktdaten des Verantwortlichen sowie auf die Möglichkeit, bei dem Verantwortlichen die Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, hinzuweisen.

(3) Die Daten dürfen für einen anderen Zweck nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist.

(4) Der Einsatz von Attrappen ist unter entsprechender Anwendung der Absätze 1 und 2 zulässig.

§ 9 Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Verordnung (EU) 2016/679 ist zulässig, soweit und solange es erforderlich ist

1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten,
5. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer gegenwärtigen erheblichen Gefahr für die öffentliche Sicherheit oder
6. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Satz 1 zulässig, so kann die Verarbeitung besonderer Kategorien personenbezogener Daten auch für die in § 7 Abs. 1 genannten Zwecke erfolgen.

Abschnitt 3
Beschränkung der Informationspflicht, des Auskunftsrechts und des Rechts auf Löschung
(zu den Artikeln 13 bis 15 und 17 der Verordnung (EU) 2016/679)

§ 10 Beschränkung der Informationspflicht bei der Erhebung von personenbezogenen Daten nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679

(1) Die Verantwortlichen können von der Erteilung der Information nach Artikel 13 Abs. 1 bis 3 und Artikel 14 Abs. 1 bis 4 der Verordnung (EU) 2016/679 absehen, soweit und solange

1. die Information die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
2. die Information die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde oder
3. die Information dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird.

(2) Die Gründe für ein Absehen von der Erteilung der Information sind zu dokumentieren. Die Erteilung der Information ist nachzuholen, wenn die Gründe für ein Absehen von der Erteilung der Information nicht mehr bestehen.

§ 11 Beschränkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679

(1) Bezieht sich eine nach Artikel 15 der Verordnung (EU) 2016/679 verlangte Auskunft auf personenbezogene Daten, die an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder, soweit die Sicherheit des Bundes berührt wird, das Bundesministerium der Verteidigung oder eine Behörde seines nachgeordneten Bereichs übermittelt wurden, so ist sie nur mit Zustimmung dieser Stelle zulässig. Wird die Zustimmung nicht erteilt, so ist hierüber der Landesbeauftragte für den Datenschutz zu unterrichten.

(2) Die Verantwortlichen können die Erteilung einer Auskunft ablehnen, soweit und solange

1. die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
2. die Auskunft die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde oder
3. die Auskunft dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird.

Weiterhin kann die Erteilung einer Auskunft über personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden und durch geeignete technische und organisatorische Maßnahmen gegen eine Verarbeitung zu anderen Zwecken geschützt sind, abgelehnt werden, wenn die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordern würde. Die Erteilung einer Auskunft unterbleibt, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, oder der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.

(3) Die Ablehnung der Auskunftserteilung bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist die betroffene Person darauf hinzuweisen, dass sie sich an den Landesbeauftragten für den Datenschutz wenden kann.

(4) Wird der betroffenen Person keine Auskunft erteilt, so ist sie auf ihr Verlangen dem Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des Landesbeauftragten für den Datenschutz an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.

§ 12 Beschränkung des Rechts auf Löschung nach Artikel 17 der Verordnung (EU) 2016/679

(1) Ist eine Löschung im Fall der nicht automatisierten Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht kein Recht der betroffenen Person auf und keine Verpflichtung des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Abs. 1 der Verordnung (EU) 2016/679. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679.

(2) Soweit öffentliche Stellen nach einer Rechtsvorschrift verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung personenbezogener Daten abweichend von Artikel 17 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 erst zulässig, nachdem die Unterlagen dem zuständigen Archiv angeboten worden sind und von diesem die Feststellung erfolgt ist, dass es sich nicht um Archivgut handelt, oder die Feststellung nicht innerhalb von zwölf Monaten getroffen worden ist. Während dieser Zeit sind die personenbezogenen Daten bei der anbietenden Stelle in der Verarbeitung einzuschränken. Eine Löschung personenbezogener Daten ist auch zulässig, wenn das zuständige öffentliche Archiv wegen offensichtlich geringer Bedeutung der Daten grundsätzlich auf deren Anbietung verzichtet hat.

Abschnitt 4
Verantwortlicher und Auftragsverarbeiter
(zu den Artikeln 25, 26, 32 und 34 der Verordnung (EU) 2016/679)

§ 13 Datengeheimnis

Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

§ 14 Schutzmaßnahmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Werden im Rahmen der Datenverarbeitung nach den §§ 8 und 26 bis 29 besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 der Verordnung (EU) 2016/679 verarbeitet, sind von den Verantwortlichen und den Auftragsverarbeitern zur Wahrung der Grundrechte und der Interessen der betroffenen Person folgende Maßnahmen zu treffen:

1. Sicherstellung, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet worden sind,
2. Beschränkung der Befugnisse für den Zugriff auf personenbezogene Daten auf das erforderliche Maß sowie die Dokumentation der Befugnisse und
3. Sensibilisierung der Personen, die Zugang zu den personenbezogenen Daten haben.

(2) Soweit es zum Schutz besonderer Kategorien personenbezogener Daten erforderlich ist, haben die Verantwortlichen und die Auftragsverarbeiter ergänzend zu Absatz 1 weitere angemessene und spezifische Maßnahmen zu treffen. Als Maßnahmen kommen insbesondere in Betracht:

1. Sicherstellung, dass die personenbezogenen Daten zur Verarbeitung nur im Vier-Augen-Prinzip freigegeben werden,
2. Sicherstellung, dass auf die personenbezogenen Daten nur nach einer Zwei-Faktor-Authentisierung zugegriffen wird,
3. Sicherstellung, dass die elektronische Übermittlung von personenbezogenen Daten nur mit einer Ende- zu- Ende-Verschlüsselung erfolgt,
4. Sicherstellung, dass in einem vernetzten IT-System die personenbezogenen Daten nur mit einer Verschlüsselung gespeichert werden,
5. Sicherstellung, dass durch eine redundante Auslegung der Systeme, der Energieversorgung und der Datenübertragungseinrichtungen ein Datenverlust vermieden wird,
6. Sicherstellung, dass Daten nicht unbefugt verändert werden und ihre Integrität gewahrt ist, etwa durch den Einsatz einer elektronischen Signatur,
7. Schulung der Personen, die Zugang zu personenbezogenen Daten haben.

(3) Art und Umfang der Maßnahmen nach den Absätzen 1 und 2 richten sich nach dem Stand der Technik und den Implementierungskosten, nach der Art, dem Umfang, den Umständen und dem Zweck der Datenverarbeitung sowie nach der Eintrittswahrscheinlichkeit und der Schwere der mit der Datenverarbeitung verbundenen Risiken für die Grundrechte und Interessen der betroffenen Person.

§ 15 Automatisierte Verfahren, gemeinsame Dateisysteme, Vertragspflichten

(1) Die Einrichtung eines automatisierten Abrufverfahrens oder eines gemeinsamen automatisierten Dateisystems, in oder aus dem mehrere datenverarbeitende Stellen personenbezogene Daten verarbeiten, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können.

(2) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch eine andere Stelle verarbeitet und sind auf den Auftragsverarbeiter die Vorschriften dieses Gesetzes nicht anwendbar, so ist der Verantwortliche verpflichtet, vertraglich sicherzustellen, dass der Auftragsverarbeiter die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz unterwirft.

§ 16 Beschränkung der Benachrichtigungspflicht nach Artikel 34 der Verordnung (EU) 2016/679

(1) Die Verantwortlichen können von der Benachrichtigung nach Artikel 34 der Verordnung (EU) 2016/679 absehen, soweit und solange

1. die Benachrichtigung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
2. die Benachrichtigung die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde,
3. die Benachrichtigung dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird, oder
4. die Benachrichtigung die Sicherheit von automatisierten Informationssystemen gefährden würde.

(2) § 10 Abs. 2 gilt entsprechend.

Abschnitt 5
Datenschutzbeauftragter
(zu den Artikeln 32 bis 34 der Richtlinie (EU) 2016/680 und den Artikeln 37 bis 39 der Verordnung (EU) 2016/679)

§ 17 Geltungsbereich

(1) Die Vorschriften dieses Abschnitts gelten für die Bestellung, Stellung und Aufgaben des Datenschutzbeauftragten im Anwendungsbereich der Richtlinie (EU) 2016/ 680 bei öffentlichen Stellen, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten oder die Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit zuständig sind, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.

(2) Für die Stellung des Datenschutzbeauftragten im Anwendungsbereich der Verordnung (EU) 2016/679 gilt § 19 Abs. 4, Abs. 5 Satz 2 und Abs. 6 entsprechend.

§ 18 Bestellung

(1) Öffentliche Stellen im Sinne des § 17 Abs. 1 bestellen einen Datenschutzbeauftragten. Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter bestellt werden. Als Datenschutzbeauftragter bestellt werden kann auch die Person, die nach Artikel 37 der Verordnung (EU) 2016/679 von der öffentlichen Stelle als Datenschutzbeauftragter bestellt worden ist.

(2) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens bestellt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in § 20 genannten Aufgaben.

(3) Der Datenschutzbeauftragte kann Beschäftigter der öffentlichen Stelle sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen.

(4) Die öffentliche Stelle veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten dem Landesbeauftragten für den Datenschutz mit.

§ 19 Stellung

(1) Die öffentliche Stelle im Sinne des § 17 Abs. 1 stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2) Die öffentliche Stelle unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß § 20, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.

(3) Die öffentliche Stelle stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgabe erhält. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. Der Datenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

(4) Die Abberufung des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

(5) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Anwendungsbereich der Richtlinie (EU) 2016/680 und der zu ihrer Umsetzung ergangenen Rechtsvorschriften im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird.

(6) Wenn der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Datenschutzbeauftragten reicht, unterliegen seine Akten einem Beschlagnahmeverbot.

§ 20 Aufgaben

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

1. Unterrichtung und Beratung der öffentlichen Stelle im Sinne des § 17 Abs. 1 und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften und sonstiger Vorschriften über den Datenschutz,
2. Überwachung der Einhaltung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sonstiger Rechtsvorschriften über den Datenschutz sowie der Strategie der öffentlichen Stelle für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der Beschäftigten, die personenbezogene Daten verarbeiten, und der diesbezüglichen Überprüfungen,
3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung gemäß Artikel 27 der Richtlinie (EU) 2016/680 und der Überwachung ihrer Durchführung,
4. Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz,
5. Tätigkeit als Anlaufstelle für den Landesbeauftragten für den Datenschutz in mit der Verarbeitung personenbezogener Daten zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 28 der Richtlinie (EU) 2016/680, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einer Interessenkollision führen.

(3) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Abschnitt 6
Unabhängige Aufsichtsbehörde
(zu den Artikeln 51 bis 59 der Verordnung (EU) 2016/679 und den Artikeln 41 bis 49 der Richtlinie (EU) 2016/680)

§ 21 Berufung des Landesbeauftragten für den Datenschutz ^{20 23}

(1) Der Landtag wählt gemäß Artikel 63 Abs. 2 der Verfassung des Landes Sachsen-Anhalt den Landesbeauftragten für den Datenschutz; die Wiederwahl ist zulässig. Vorschlagsberechtigt ist jede im Landtag vertretene Fraktion. Der Landesbeauftragte für den Datenschutz muss die Befähigung für den Zugang zu Laufbahnen der Laufbahngruppe 2 unter den Voraussetzungen des § 14 Abs. 4 des Landesbeamtengesetzes erworben haben und über die zur Erfüllung seiner Aufgaben und zur Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde, insbesondere im Bereich des Schutzes personenbezogener Daten, verfügen. Eine öffentliche Stellenausschreibung ist nicht erforderlich.

(2) Der Landesbeauftragte für den Datenschutz ist Beamter auf Zeit und wird vom Präsidenten des Landtages auf die Dauer von fünf Jahren berufen. Er tritt trotz Erreichens der Altersgrenze nach § 39 Abs. 1 Satz 1 und Abs. 2 des Landesbeamtengesetzes erst nach Ablauf seiner Amtszeit in den Ruhestand. Der Landesbeauftragte für den Datenschutz ist verpflichtet, das Amt bis zur Bestellung eines Nachfolgers, längstens jedoch für zwölf Monate nach Ablauf der Amtszeit weiterzuführen; die Amtszeit gilt als entsprechend verlängert. Kommt er der Verpflichtung nach Satz 3 nicht nach, ist er zu entlassen.

(3) Eine Abwahl des Landesbeauftragten für den Datenschutz vor Ablauf seiner Amtszeit ist zulässig, wenn dieser eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt. Die Abwahl bedarf der Zustimmung einer Mehrheit von zwei Dritteln der Mitglieder des Landtages. Die Abwahl wird mit der Zustellung oder Aushändigung der Entlassungsurkunde des Präsidenten des Landtages wirksam.

§ 22 Rechtsstellung, Geschäftsstelle ²⁰

(1) Der Landesbeauftragte für den Datenschutz ist Aufsichtsbehörde im Sinne von Artikel 4 Nr. 21 in Verbindung mit Artikel 51 der Verordnung (EU) 2016/679 sowie Aufsichtsbehörde im Sinne von Artikel 3 Nr. 15 in Verbindung mit Artikel 41 der Richtlinie (EU) 2016/680; er ist in Ausübung seines Amtes völlig unabhängig und nur den geltenden Rechtsvorschriften unterworfen.

(2) Beim Landesbeauftragten für den Datenschutz wird eine Geschäftsstelle eingerichtet. Dem Landesbeauftragten für den Datenschutz ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Haushalt des Landes in einem eigenen Einzelplan auszuweisen. Die Geschäftsstelle wird durch den Landesbeauftragten für den Datenschutz geleitet. Der Landesbeauftragte für den Datenschutz übt die Dienstaufsicht über alle Bediensteten der Geschäftsstelle aus; er ist Vorgesetzter, Dienstvorgesetzter, höherer Dienstvorgesetzter und oberste Dienstbehörde des Direktors der Geschäftsstelle und der Bediensteten der Geschäftsstelle. Der Direktor der Geschäftsstelle überwacht den ordnungsgemäßen Geschäftsablauf innerhalb der Geschäftsstelle; er muss die Befähigung nach § 5 des Deutschen Richtergesetzes besitzen.

(3) Der Landesbeauftragte für den Datenschutz wird durch den Direktor der Geschäftsstelle vertreten, wenn er

1. an der Ausübung seines Amtes verhindert ist,
2. im Fall des § 21 Abs. 2 Satz 4 entlassen ist oder
3. nach § 21 Abs. 3 abgewählt ist.

Die Vertretungsregelung nach Satz 1 gilt auch, wenn nach Ablauf der Frist des § 21 Abs. 2 Satz 3 kein Nachfolger bestellt ist. Für die Dauer der Vertretung hat der Direktor der Geschäftsstelle die Befugnisse des Landesbeauftragten für den Datenschutz.

(4) Für den Landesbeauftragten für den Datenschutz gilt § 13 Abs. 1, 2 und 4 Satz 1 bis 4 sowie Abs. 5 des Bundesdatenschutzgesetzes entsprechend.

(5) Der Landesbeauftragte für den Datenschutz gilt für den Bereich seiner Geschäftsstelle als oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung und als oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung, des § 119 des Sozialgerichtsgesetzes sowie des § 86 der Finanzgerichtsordnung; er trifft die Entscheidungen nach § 51 des Landesbeamtengesetzes für sich, seine Vorgänger im Amt und seine Bediensteten in eigener Verantwortung. Er gilt in Wahrnehmung seiner Aufgabe nach § 23 Abs. 4 als oberste Landesbehörde im Sinne des § 68 Abs. 1 Satz 2 Nr. 1 der Verwaltungsgerichtsordnung. Er gilt als oberste Landesbehörde im Sinne des Landesbesoldungsrechts. Im Übrigen untersteht er der Dienstaufsicht des Präsidenten des Landtages nur, soweit nicht seine Unabhängigkeit beeinträchtigt wird. Auf ihn sind die für Richter des Landes geltenden Vorschriften über die Dienstaufsicht, zur Amtsenthebung und zum Disziplinarrecht entsprechend anzuwenden. Für ein Disziplinarverfahren gegen den Landesbeauftragten für den Datenschutz ist der Dienstgerichtshof für Richter bei dem Oberverwaltungsgericht des Landes Sachsen-Anhalt zuständig. Die nichtständigen Beisitzer müssen. der Verwaltungsgerichtsbarkeit angehören.

(6) Der Landesbeauftragte für den Datenschutz kann Aufgaben der Personalverwaltung auf eine andere Stelle des Landes übertragen, wenn diese zustimmt; die Unabhängigkeit des Landesbeauftragten für den Datenschutz darf hierdurch nicht beeinträchtigt werden. Dieser Stelle dürfen personenbezogene Daten der Bediensteten übermittelt werden, soweit die Kenntnis der personenbezogenen Daten zur Erfüllung der übertragenen Aufgaben erforderlich ist.

§ 23 Aufgaben und Befugnisse

(1) Der Landesbeauftragte für den Datenschutz erfüllt im Anwendungsbereich der Verordnung (EU) 2016/679 gegenüber allen öffentlichen Stellen die Aufgaben aus Artikel 57 der Verordnung (EU) 2016/679. Dazu stehen ihm die Befugnisse aus Artikel 58 der Verordnung (EU) 2016/ 679 zu. Die Gerichte unterliegen seiner Kontrolle nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(2) Für die Verarbeitung personenbezogener Daten außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 gelten die Artikel 57 bis 59 der Verordnung (EU) 2016/679 entsprechend, soweit nicht dieses Gesetz oder andere Gesetze abweichende Regelungen enthalten.

(3) Zusätzlich zu den Befugnissen nach Artikel 58 Abs. I bis 3 der Verordnung (EU) 2016/679 kann der Landesbeauftragte für den Datenschutz im Falle der Annahme von Verstößen gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes oder gegen andere datenschutzrechtliche Bestimmungen den Verantwortlichen oder den Auftragsverarbeiter auffordern, innerhalb einer bestimmten Frist Stellung zu nehmen. Bei Gemeinden, Verbandsgemeinden, Landkreisen und sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und staatlichen Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen ist gleichzeitig auch die zuständige Aufsichtsbehörde zu unterrichten. Die Stellungnahme nach Satz 1 soll auch Maßnahmen darstellen, die die Verstöße beseitigen sollen. Die in Satz 2 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.

(4) Der Landesbeauftragte für den Datenschutz ist Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes; in dieser Eigenschaft kommen nach diesem Gesetz nur Absatz 5 sowie § 22 und § 24 Abs. 4 bis 6 zur Anwendung. Im Anwendungsbereich des § 25 findet Artikel 58 Abs. 1 Buchst. b, c, e und f sowie Abs. 2 Buchst. c bis j der Verordnung (EU) 2016/679 keine Anwendung.

(5) Der Landesbeauftragte für den Datenschutz ist im Rahmen der ihm durch die Verordnung (EU) 2016/679 und durch Absatz 4 sowie der nach nationalem Recht zugewiesenen Aufgaben zuständige Behörde für die Verfolgung und Ahndung von Ordnungswidrigkeiten. Er ist hilfeleistende Behörde nach Artikel 13 Abs. 2 Buchst. a des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 (BGBl. II 1985 S. 538, 539) in Verbindung mit Artikel 2 des Gesetzes zu dem Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 13. März 1985 (BGBl. II S. 538).

(6) Die Erfüllung der Aufgaben des Landesbeauftragten für den Datenschutz ist für die betroffene Person verwaltungskostenfrei. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann der Landesbeauftragte für den Datenschutz eine Gebühr verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt der Landesbeauftragte für den Datenschutz die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter.

(7) Jedermann kann sich an den Landesbeauftragten für den Datenschutz wenden, wenn er tatsächliche Anhaltspunkte für den Verstoß oder das unmittelbare Bevorstehen eines Verstoßes gegen Vorschriften dieses Gesetzes oder eine andere Rechtsvorschrift über den Datenschutz durch eine öffentliche Stelle hat. Niemand darf wegen der Anrufung nach Satz 1 benachteiligt oder gemaßregelt werden.

§ 24 Rechte und Pflichten

(1) Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, den Landesbeauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen. Im Rahmen der Befugnisse des Landesbeauftragten für den Datenschutz haben die Behörden oder sonstigen öffentlichen Stellen jederzeit Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu gewährleisten.

(2) Für personenbezogene Daten, die dem Landesbeauftragten für den Datenschutz und seinen Bediensteten im Rahmen ihrer Aufgabenstellung nach diesem Gesetz bekannt werden, gilt § 7 Abs. 3 Nr. 2 entsprechend.

(3) Der Landesbeauftragte für den Datenschutz ist rechtzeitig über grundlegende Planungen des Landes zum Aufbau und zur Änderung von automatisierten Verfahren zur Verarbeitung von personenbezogenen Daten zu unterrichten. Er ist vor dem Erlass von Rechts- und Verwaltungsvorschriften, die den Umgang mit personenbezogenen Daten betreffen, zu hören.

(4) Der Landesbeauftragte für den Datenschutz kann Empfehlungen zur Verbesserung des Datenschutzes geben, insbesondere kann er den Landtag, die Landesregierung und die sonstigen öffentlichen Stellen in Fragen des Datenschutzes beraten.

(5) Auf Ersuchen des Landtages, seiner Ausschüsse oder der Landesregierung kann der Landesbeauftragte für den Datenschutz Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenbereich unmittelbar betreffen, nachgehen.

(6) Der Landtag, seine Ausschüsse und die Landesregierung können den Landesbeauftragten für den Datenschutz um die Erstattung von Gutachten und Stellungnahmen ersuchen.

Abschnitt 7
Ergänzende Vorschriften für besondere Datenverarbeitungssituationen
(zu den Artikeln 85, 88 und 89 der Verordnung (EU) 2016/679)

§ 25 Vorschriften für die Datenverarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken nach Artikel 85 der Verordnung (EU) 2016/679

(1) Werden personenbezogene Daten zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Absatz 2 genannten Rechte zu. Im Übrigen gelten für die Verarbeitung im Sinne des Satzes 1 die Kapitel 1, VIII, X und XI der Verordnung (EU) 2016/679 sowie Artikel 5 Abs. 1 Buchst. f, Artikel 24 und 32 der Verordnung (EU) 2016/679. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Artikel 5 Abs. 1 Buchst. f, Artikel 24 und 32 der Verordnung (EU) 2016/679 gehaftet wird.

(2) Wer bei einer journalistischen, künstlerischen oder literarischen Offenlegung personenbezogener Daten von hierauf bezogenen Maßnahmen wie Gegendarstellungen, Verpflichtungserklärungen, Gerichtsentscheidungen oder Widerrufen betroffen ist, hat diese Maßnahmen zu den gespeicherten Daten zu nehmen und sie dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst und sie bei einer Übermittlung der Daten gemeinsam mit diesen zu übermitteln.

§ 26 Vorschriften für die Datenverarbeitung im Beschäftigungskontext nach Artikel 88 der Verordnung (EU) 2016/679

(1) Die beamtenrechtlichen Vorschriften über die Führung von Personalakten gemäß § 50 des Beamtenstatusgesetzes und den §§ 84 bis 91 des Landesbeamtengesetzes sind für alle nicht in einem Beamtenverhältnis stehenden Arbeitnehmer und Auszubildenden einer öffentlichen Stelle entsprechend anzuwenden, soweit tarifvertraglich nichts anderes geregelt ist.

(2) Werden Feststellungen über die Eignung eines Bewerbers für ein Dienst- oder Arbeitsverhältnis durch ärztliche oder psychologische Untersuchungen oder Tests getroffen, so darf die Einstellungsbehörde vom untersuchenden Arzt oder Psychologen in der Regel nur das Ergebnis. der Eignungsuntersuchung und Feststellungen über Faktoren anfordern, welche die gesundheitliche Eignung beeinträchtigen können. Weitere personenbezogene Daten darf sie nur anfordern, wenn sie den Bewerber zuvor schriftlich über die Gründe dafür unterrichtet hat.

(3) Es gelten entsprechend

1. für unmittelbare und mittelbare Beamte des Landes sowie für Richter des Landes die für Beschäftigte geltenden Vorschriften,
2. für Bewerber für, ein öffentlich-rechtliches Dienstverhältnis oder Personen, deren öffentlich-rechtliches Dienstverhältnis beendet ist, die für Bewerber für ein Beschäftigungsverhältnis oder Personen, deren Beschäftigungsverhältnis beendet ist, geltenden Vorschriften und
3. für das Land, die Gemeinden, Verbandsgemeinden, Landkreise und die der Aufsicht des Landes unterstehenden anderen Körperschaften, Anstalten und staatlichen Stiftungen des öffentlichen Rechts, die Dienstherrnfähigkeit besitzen, die für Arbeitgeber geltenden Vorschriften des Gendiagnostikgesetzes vom 31. Juli 2009 (BGBl. I S. 2529, 3672), zuletzt geändert durch Artikel 2 Abs. 1 des Gesetzes vom 4. November 2016 (BGBl. I S. 2460, 2461).

§ 27 Ausnahmen in Bezug auf die Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken nach Artikel 89 der Verordnung (EU) 2016/679

(1) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, sind diese zu anonymisieren, sobald dies nach dem Forschungszweck oder dem statistischen Zweck möglich ist. Bis dahin sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, getrennt zu speichern. Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck oder der statistische Zweck dies erfordert.

(2) Im Rahmen von wissenschaftlichen oder historischen Forschungsvorhaben dürfen personenbezogene Daten nur veröffentlicht werden, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(3) Eine Übermittlung von personenbezogenen Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken an Empfänger, auf die dieses Gesetz keine Anwendung findet, ist zulässig, wenn sich die Empfänger verpflichten, die personenbezogenen Daten nur für das von ihnen zu bezeichnende Forschungs- oder Statistikvorhaben und nach Maßgabe der Absätze 1 und 2 zu verarbeiten.

(4) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 der Verordnung (EU) 2016/679 für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke ist zulässig, wenn der Zweck der Forschung oder der statistische Zweck auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und wenn das öffentliche Interesse an der Durchführung des Forschungs- oder Statistikvorhabens das Interesse der betroffenen Person am Unterbleiben der Verarbeitung erheblich überwiegt. Das Ergebnis der Abwägung und dessen Begründung sind zu dokumentieren. Über die Verarbeitung ist der Datenschutzbeauftragte nach Artikel 37 der Verordnung (EU) 2016/679 zu unterrichten.

(5) Ein Anspruch auf Auskunft nach Artikel 15 der Verordnung (EU) 2016/679, auf Berichtigung nach Artikel 16 der Verordnung (EU) 2016/679, auf Einschränkung der Verarbeitung nach Artikel 18 der Verordnung (EU) 2016/679 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679 besteht nicht, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke oder der statistischen Zwecke unmöglich macht oder ernsthaft beeinträchtigt und der Ausschluss dieser Rechte für die Erfüllung der Zwecke notwendig ist. Das Ergebnis der Abwägung und dessen Begründung sind zu dokumentieren.

Abschnitt 8
Vorschriften für die Verarbeitung personenbezogener Daten außerhalb des Anwendungsbereichs des Unionsrechts

§ 28 Öffentliche Auszeichnungen und Ehrungen

(1) Zur Vorbereitung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen personenbezogenen Daten einschließlich besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 der Verordnung (EU) 2016/679 verarbeiten, es sei denn, dass der zuständigen Stelle bekannt ist, dass die betroffene Person ihrer öffentlichen Auszeichnung oder Ehrung oder der damit verbundenen Datenverarbeitung widersprochen hat. Auf Anforderung der in Satz 1 genannten Stelle dürfen öffentliche Stellen die erforderlichen Daten übermitteln. Eine Verarbeitung der personenbezogenen Daten für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig; § 7 Abs. 2 findet keine Anwendung.

(2) Die Artikel 13 bis 15, 19 und 21 Abs. 4 der Verordnung (EU) 2016/679 finden keine Anwendung.

§ 29 Begnadigungsverfahren

In Begnadigungsverfahren dürfen die zuständigen Stellen die für eine Begnadigung erforderlichen Daten einschließlich besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Abs. 1 der Verordnung (EU) 2016/679 verarbeiten. Die Datenverarbeitung unterliegt nicht der Kontrolle des Landesbeauftragten für den Datenschutz. In Begnadigungsverfahren gelten nur die Artikel 5 bis 7 sowie Kapitel IV mit Ausnahme der Artikel 31 und 33 der Verordnung (EU) 2016/679.

Abschnitt 9
Rechtsbehelfe und Sanktionen
(zu den Artikeln 78, 83 und 84 der Verordnung (EU) 2016/679 und Artikel 53 der Richtlinie (EU) 2016/680)

§ 30 Gerichtlicher Rechtsschutz

(1) Dem Verwaltungsgericht Magdeburg werden für die Bezirke aller Verwaltungsgerichte des Landes die Rechtsstreitigkeiten nach Artikel 78 Abs. 1 und 2 der Verordnung (EU) 2016/679 und Artikel 53 Abs. 1 und 2 der Richtlinie (EU) 2016/680 zugewiesen.

(2) Ein Vorverfahren findet nicht statt.

(3) Auch eine Landesbehörde kann gegen eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz Anfechtungsklage erheben.

(4) Beachtet die öffentliche Stelle eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz nicht und geht sie nicht innerhalb eines Monats nach Bekanntgabe der Anordnung des Landesbeauftragten für den Datenschutz gerichtlich gegen diese vor, kann der Landesbeauftragte für den Datenschutz die gerichtliche Feststellung der Rechtmäßigkeit der getroffenen Anordnung beantragen.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn sich der Landesbeauftragte für den Datenschutz nicht mit einer Beschwerde nach Artikel 57 Abs. 1 Buchst. f der Verordnung (EU) 2016/679 oder Artikel 46 Abs. 1 Buchst. f der Richtlinie (EU) 2016/680 befasst oder den Beschwerdeführer nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis setzt.

(6) Die Absätze 1 bis 5 gelten entsprechend für Anordnungen oder Unterlassungen des Landesbeauftragten für den Datenschutz, die ihre Grundlage außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in anderen Rechtsvorschriften des Bundes oder des Landes haben.

(7) Für Klagen betroffener Personen gegen einen Verantwortlichen oder Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person findet § 44 des Bundesdatenschutzgesetzes entsprechende Anwendung. Satz 1 gilt im Anwendungsbereich der Richtlinie (EU) 2016/680 entsprechend.

§ 31 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren

(1) Für Verstöße nach Artikel 83 Abs. 4 bis 6 der Verordnung (EU) 2016/679 gilt, soweit dieses Gesetz nichts anderes bestimmt, § 41 Abs. 1 Satz 1 und 2 sowie Abs. 2 des Bundesdatenschutzgesetzes entsprechend.

(2) Geldbußen können durch den Landesbeauftragten für den Datenschutz gegenüber öffentlichen Stellen nicht verhängt werden. Satz 1 gilt nicht, soweit öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.

§ 32 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer

1. bei einer öffentlichen Stelle oder deren Auftragsverarbeiter dienstlichen Zugang zu nicht allgemein zugänglichen personenbezogenen Daten hat oder hatte und diese Daten zu einem anderen als einem zur dienstlichen Aufgabenerfüllung gehörenden Zweck verarbeitet oder
2. personenbezogene Daten, die in dem Anwendungsbereich dieses Gesetzes verarbeitet werden und nicht allgemein zugänglich sind, durch Vortäuschung falscher Tatsachen sich oder einer anderen Person verschafft oder sich oder einer anderen Person durch Übermittlung, Verbreitung oder anderer Form der Bereitstellung offenlegen lässt.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

§ 33 Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine in § 32 Abs. 1 genannte Handlung begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person zusammenführt und die Person dadurch wieder bestimmbar macht.

(2) Der Versuch ist strafbar.

(3) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und der Landesbeauftragte für den Datenschutz.

Abschnitt 10
Schlussbestimmungen

§ 34 Übergangsvorschriften

(1) Die in der bis zum 5. Mai 2018 beim Präsidenten des Landtags von Sachsen-Anhalt eingerichteten Geschäftsstelle des Landesbeauftragten für den Datenschutz geltenden Dienstvereinbarungen nach dem Landespersonalvertretungsgesetz Sachsen-Anhalt gelten in der als Behörde verselbständigten Geschäftsstelle des Landesbeauftragten für den Datenschutz fort, wenn sie nicht durch Zeitablauf, Kündigung oder Aufhebungsvereinbarung außer Kraft treten.

(2) Die am 24. Mai 2018 im Amt befindlichen Datenschutzbeauftragten gelten als nach Artikel 37 der Verordnung (EU) 2016/679 und § 18 bestellt. Ihre Stellung sowie ihre Aufgaben richten sich nach den Vorschriften der Verordnung (EU) 2016/679 und nach diesem Gesetz.

(3) Bis zum Inkrafttreten einer gesetzlichen Datenschutzregelung für die Prüftätigkeit des Landesrechnungshofs findet auf die Verarbeitung personenbezogener Daten für den Bereich der Prüftätigkeit des Landesrechnungshofs das Datenschutzgesetz Sachsen-Anhalt in der Fassung der Bekanntmachung vom 13. Januar 2016 (GVBL. LSA S. 24), geändert durch Artikel 1 des Gesetzes vom 21. Februar 2018 (GVBL. LSA S. 10), mit Ausnahme des § 22 Abs. 1 Satz 2 Anwendung, soweit dieser auf Artikel 58 Abs. 2 Buchst. c bis j der Verordnung (EU) 2016/679 verweist.

(4) Bis zum Inkrafttreten einer Anpassung der gesetzlichen Datenschutzregelung für den Bereich der Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungs- und Geheimschutzgesetz findet auf die Verarbeitung personenbezogener Daten bei der Durchführung von Sicherheitsüberprüfungsverfahren durch die zuständige Stelle ergänzend zum Sicherheitsüberprüfungs- und Geheimschutzgesetz das Datenschutzgesetz Sachsen-Anhalt in der Fassung der Bekanntmachung vom 13. Januar 2016 (GVBL. LSA S. 24), geändert durch Artikel 1 des Gesetzes vom 21. Februar 2018 (GVBL. LSA S. 10), mit Ausnahme des § 22 Abs. 1 Satz 2 Anwendung, soweit dieser auf Artikel 58 Abs. 2 Buchst. c bis j der Verordnung (EU) 2016/679 verweist.

§ 35 Sprachliche Gleichstellung

Personen- und Funktionsbezeichnungen in diesem Gesetz gelten jeweils in weiblicher und männlicher Form.

§ 36 Einschränkung von Grundrechten

Durch dieses Gesetz wird das Grundrecht auf Schutz personenbezogener Daten im Sinne des Artikels 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 des Grundgesetzes und des Artikels 6 Abs. 1 Satz 1 der Verfassung des Landes Sachsen-Anhalt eingeschränkt.

ENDE