umwelt-online: Landesdatenschutzgesetz Nordrhein-Westfalen (2)

UWS Umweltmanagement GmbHzurückFrame öffnen

§ 17 Übermittlung an ausländische Stellen

(1) Die Zulässigkeit der Übermittlung an öffentliche und nicht-öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes richtet sich nach den §§ 14 und 16. Die Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Vor der Entscheidung über die Angemessenheit des Datenschutzniveaus ist der Landesbeauftragte für Datenschutz und Informationsfreiheit zu hören.

(2) Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn

  1. die betroffene Person in die Übermittlung eingewilligt hat,
  2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist,
  3. die Übermittlung zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist,
  4. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt oder
  5. die Übermittlung genehmigt wird, wenn die empfangende Stelle ausreichende Garantien hinsichtlich des

Schutzes der informationellen Selbstbestimmung bietet. Die für die Genehmigungserteilung zuständige Stelle oder zuständigen Stellen bestimmt die Landesregierung durch Rechtsverordnung.

(3) Die empfangende Stelle ist darauf hinzuweisen, dass die Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt wurden.

Dritter Abschnitt
Rechte der betroffenen Person

§ 18 Auskunft, Einsichtnahme

(1) Der betroffenen Person ist von der verantwortlichen Stelle auf Antrag Auskunft zu erteilen über

  1. die zu ihrer Person verarbeiteten Daten,
  2. den Zweck und die Rechtsgrundlage der Verarbeitung,
  3. die Herkunft der Daten und die Empfänger von Übermittlungen sowie
  4. die allgemeinen technischen Bedingungen der automatisierten Verarbeitung der zur eigenen Person verarbeiteten Daten.

Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

(2) Auskunft oder Einsichtnahme sind zu gewähren, soweit die betroffene Person Angaben macht, die das Auffinden der Daten mit angemessenem Aufwand ermöglichen. Auskunftserteilungen und Einsichtnahme sind gebührenfrei, die Erstattung von Auslagen kann verlangt werden.

(3) Die Verpflichtung zur Auskunftserteilung oder zur Gewährung der Einsichtnahme entfällt, soweit

  1. dies die ordnungsgemäße Erfüllung der Aufgaben der verantwortlichen Stelle erheblich gefährden würde,
  2. dies die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person geheimgehalten werden müssen.

(4) Einer Begründung für die Auskunftsverweigerung bedarf es nur dann nicht, wenn durch die Mitteilung der Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall sind die wesentlichen Gründe für die Entscheidung aufzuzeichnen.

(5) Bezieht sich die Auskunftserteilung oder die Einsichtnahme auf die Herkunft personenbezogener Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft und der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, sowie von den in § 19 Abs. 3 Bundesdatenschutzgesetz genannten Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt für die Übermittlung personenbezogener Daten an diese Behörden. Für die Versagung der Zustimmung gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung findet, die Absätze 3 und 4 entsprechend.

(6) Werden Auskunft oder Einsichtnahme nicht gewährt, ist die betroffene Person darauf hinzuweisen, dass sie sich an den Landesbeauftragten für Datenschutz und Informationsfreiheit wenden kann.

§ 19 Berichtigung, Sperrung und Löschung

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Sind personenbezogene Daten zu berichtigen, so ist in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt und aus welchem Grund diese Daten unrichtig waren oder geworden sind.

(2) Personenbezogene Daten sind zu sperren, wenn

  1. ihre Richtigkeit von der betroffenen Person bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
  2. die betroffene Person an Stelle der Löschung nach Absatz 3 Satz 1 Buchstabe a die Sperrung verlangt,
  3. die weitere Speicherung im Interesse der betroffenen Person geboten ist,
  4. sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

In den Fällen nach Satz 1 Buchstabe c und d sind die Gründe aufzuzeichnen. Bei automatisierten Dateien ist die Sperrung grundsätzlich durch technische Maßnahmen sicherzustellen; im Übrigen ist ein entsprechender Vermerk anzubringen. Gesperrte Daten dürfen über die Speicherung hinaus nicht mehr weiterverarbeitet werden, es sei denn, dass dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist oder die betroffene Person eingewilligt hat.

(3) Personenbezogene Daten sind zu löschen, wenn

  1. ihre Speicherung unzulässig ist oder
  2. ihre Kenntnis für die speichernde Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist.

Sind personenbezogene Daten in Akten gespeichert und ist die nach § 4 Abs. 6 vorgesehene Abtrennung nicht möglich, ist die Löschung nach Satz 1 Buchstabe b nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist, es sei denn, dass die betroffene Person die Löschung verlangt und die weitere Speicherung sie in unangemessener Weise beeinträchtigen würde. Soweit hiernach eine Löschung nicht in Betracht kommt, sind die personenbezogenen Daten auf Antrag der betroffenen Person zu sperren.

(4) Abgesehen von den Fällen des Absatzes 3 Satz 1 Buchstabe a ist von einer Löschung abzusehen, soweit die gespeicherten Daten auf Grund von Rechtsvorschriften einem Archiv zur Übernahme anzubieten oder von einem Archiv zu übernehmen sind.

(5) Über die Berichtigung unrichtiger Daten, die Sperrung bestrittener Daten und die Löschung oder Sperrung unzulässig gespeicherter Daten sind unverzüglich die betroffene Person und die Stellen zu unterrichten, denen die Daten übermittelt worden sind. Die Unterrichtung kann unterbleiben, wenn sie einen erheblichen Aufwand erfordern würde und nachteilige Folgen für die betroffene Person nicht zu befürchten sind.

§ 20 Schadensersatz

(1) Wird der betroffenen Person durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt, so ist ihr der Träger der verantwortlichen Stelle zum Schadensersatz verpflichtet. In schweren Fällen kann die betroffene Person auch wegen des Schadens, der nicht Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen.

(2) Ist der Schaden durch Verarbeitung der Daten in einer automatisierten Datei entstanden, besteht die Entschädigungspflicht unabhängig von einem Verschulden der verantwortlichen Stelle. In diesem Fall haftet der Ersatzpflichtige gegenüber der betroffenen Person für jedes schädigende Ereignis bis zu einem Betrag von 500.000 Deutsche Mark oder 250.000 Euro. Im Übrigen setzt die Verpflichtung zum Schadensersatz Verschulden voraus. Der verantwortlichen Stelle obliegt in Fällen des Satzes 3 die Beweislast, dass sie die unzulässige oder unrichtige Verarbeitung der Daten nicht zu vertreten hat. Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(3) Auf eine schuldhafte Mitverursachung des Schadens durch die betroffene Person sind die §§ 254 und 839 Abs. 3 des Bürgerlichen Gesetzbuches entsprechend anzuwenden. Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschrif-ten des Bürgerlichen Gesetzbuches entsprechende Anwendung.

(4) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.

Zweiter Teil
Landesbeauftragter für Datenschutz und Informationsfreiheit

§ 21 Berufung und Rechtsstellung 09 11 15a

(1) Der Landtag wählt auf Vorschlag der Landesregierung einen Landesbeauftragten für Datenschutz und Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Dieser muss die Befähigung zum Richteramt oder zum höheren Dienst haben und die zur Erfüllung seiner Aufgaben erforderliche Fachkunde besitzen. Die Amts- und Funktionsbezeichnung "Der Landesbeauftragte für Datenschutz und Informationsfreiheit" wird in männlicher oder weiblicher Form geführt.

(2) Der Landesbeauftragte für Datenschutz und Informationsfreiheit wird jeweils für die Dauer von acht Jahren in ein Beamtenverhältnis auf Zeit berufen. Nach Ende der Amtszeit bleibt er bis zur Ernennung eines Nachfolgers im Amt. Die Wiederwahl ist zulässig. Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit bestellt eine Mitarbeiterin oder einen Mitarbeiter zur Stellvertreterin oder zum Stellvertreter. Diese oder dieser führt die Geschäfte im Verhinderungsfall.

(3) Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist eine Landesbehörde; er hat seinen Sitz in Düsseldorf. Er ist oberste Dienstbehörde und trifft Entscheidungen nach § 37 Beamtenstatusgesetz für sich und seine Bediensteten in eigener Verantwortung. Die Bediensteten unterstehen nur seinen Weisungen.

(3a) Für die beamtenrechtlichen Angelegenheiten des Landesbeauftragten für Datenschutz und Informationsfreiheit in Person ist das Ministerium für Inneres und Kommunales zuständig, mit der Maßgabe, dass die Wahrnehmung der Zuständigkeit die Unabhängigkeit des Landesbeauftragten für Datenschutz und Informationsfreiheit nicht beeinträchtigt.

(3b) In Disziplinarangelegenheiten des Landesbeauftragten für Datenschutz und Informationsfreiheit in Person entscheiden die Richterdienstgerichte. Auf das Verfahren vor den Richterdienstgerichten sind die Vorschriften des Landesrichter- und Staatsanwältegesetzes vom 8. Dezember 2015 (GV. NRW. S. 812) in der jeweils geltenden Fassung anzuwenden. Die nach diesen Vorschriften zustehenden Befugnisse der Antrag stellenden Stellen übt der Präsident des Landtags aus. Die nicht ständigen Beisitzer des Richterdienstgerichtes müssen Mitglieder der Verwaltungsgerichtsbarkeit sein.

(4) Dem Landesbeauftragten für Datenschutz und Informationsfreiheit ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Landtages in einem eigenen Kapitel auszuweisen.

(5) Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist für alle beamten- und disziplinarrechtlichen Entscheidungen sowie für alle arbeitsrechtlichen Entscheidungen hinsichtlich seiner Beschäftigten zuständig. Ihre Einbeziehung in den Personalaustausch in der Landesverwaltung wird gewährleistet. Näheres zur Personalgewinnung und zur Personalverwaltung kann der Landesbeauftragte für Datenschutz und Informationsfreiheit mit dem Ministerium für Inneres und Kommunales vereinbaren.

(6) Der Landesbeauftragte für Datenschutz und Informationsfreiheit kann sich jederzeit an den Landtag wenden.

§ 21a Übergangsregelung 11

(1) Bis zum Zusammentreten zur ersten Sitzung des gewählten Personalrates beim Landesbeauftragten für Datenschutz und Informationsfreiheit bleibt der Personalrat des Ministeriums für Inneres und Kommunales für Beschäftigte des Landesbeauftragten für Datenschutz und Informationsfreiheit zuständig. Die Schwerbehindertenvertretung des Ministeriums für Inneres und Kommunales führt die Geschäfte bis zur Bekanntgabe des Wahlergebnisses der Schwerbehindertenvertretung beim Landesbeauftragten für Datenschutz und Informationsfreiheit zunächst weiter; diese übergangsweise Zuständigkeit im Bereich der Schwerbehindertenvertretung endet jedoch spätestens sechs Monate nach Inkrafttreten des Gesetzes.

(2) Bis zur Ausweisung der Personal- und Sachausstattung in einem eigenen Kapitel im Einzelplan des Landtages gemäß § 21 Absatz 4 Datenschutzgesetz Nordrhein-Westfalen durch den Haushaltsgesetzgeber erhält der Landesbeauftragte für Datenschutz und Informationsfreiheit aus dem eigenen Kapitel im Einzelplan des Ministeriums für Inneres und Kommunales die Haushaltsmittel zur Erfüllung seiner Aufgaben.

§ 22 Aufgaben und Befugnisse 11

(1) Der Landesbeauftragte für Datenschutz und Informationsfreiheit überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. Den Stellen kann der Landesbeauftragte für Datenschutz und Informationsfreiheit auch Empfehlungen zur Verbesserung des Datenschutzes geben, insbesondere die Landesregierung und einzelne Ministerien, Gemeinden und Gemeindeverbände sowie die übrigen öffentlichen Stellen in Fragen des Datenschutzes beraten und informieren.

(2) Die öffentlichen Stellen sind verpflichtet, den Landesbeauftragten für Datenschutz und Informationsfreiheit bei der Aufgabenerfüllung zu unterstützen und Amtshilfe zu leisten. Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden. Dem Landesbeauftragten für Datenschutz und Informationsfreiheit sind insbesondere

  1. Auskunft über die Fragen zu erteilen sowie Einsicht in alle Datenverarbeitungsvorgänge, Dokumentationen und Aufzeichnungen zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich auch in die gespeicherten Daten,
  2. jederzeit Zutritt zu allen Diensträumen und Zugriff auf elektronische Dienste zu gewähren und
  3. Kopien von Unterlagen, von automatisierten Dateien, von deren Verfahren und von organisatorischen Regelungen zur Mitnahme zur Verfügung zu stellen, soweit nicht die Aufgabenerfüllung der verantwortlichen Stelle wesentlich gefährdet wird. Die Gefährdung ist schriftlich zu begründen.

Die Rechte nach Satz 3 dürfen nur vom Landesbeauftragten für Datenschutz und Informationsfreiheit persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten einer betroffenen Person, der von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihm gegenüber nicht offenbart werden.

(3) Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist frühzeitig über Planungen zur Entwicklung, zum Aufbau oder zur wesentlichen Veränderung automatisierter Datenverarbeitungs- und Informationssysteme zu unterrichten, sofern in dem jeweiligen System personenbezogene Daten verarbeitet werden sollen. Dasselbe gilt bei Entwürfen für Rechts- oder Verwaltungsvorschriften des Landes, wenn sie eine Verarbeitung personenbezogener Daten vorsehen.

(4) Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihm durch Beschwerden, Anfragen, Hinweise und Beratungswünsche bekannt werden, zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Er darf im Rahmen von Kontrollmaßnahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgemäßem Ermessen abgesehen werden. Die nach den Sätzen 1 und 2 erhobenen und verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden.

(5) Der Landesbeauftragte für Datenschutz und Informationsfreiheit arbeitet mit den Behörden und sonstigen Stellen zusammen die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in der Europäischen Union im Bund und in den Ländern zuständig sind. Aufsichtsbehörde im Sinne des § 38 Bundesdatenschutzgesetz ist der Landesbeauftragte für Datenschutz und Informationsfreiheit.

§ 23 Vorverfahren 11

Abweichend von § 68 der Verwaltungsgerichtsordnung findet ein Vorverfahren nicht statt.

§ 24 Beanstandungen durch den Landesbeauftragten

(1) Stellt der Landesbeauftragte für Datenschutz und Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes, gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er diese

  1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde, beim Landesrechnungshof gegenüber der Präsidentin oder dem Präsidenten,
  2. bei der Kommunalverwaltung gegenüber der jeweils verantwortlichen Gemeinde oder dem verantwortlichen Gemeindeverband
  3. bei den wissenschaftlichen Hochschulen, Gesamthochschulen und Fachhochschulen gegenüber dem Hochschulpräsidenten oder dem Rektor, bei öffentlichen Schulen gegenüber dem Leiter der Schule,
  4. bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nr. 2 bis 4 unterrichtet der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.

(2) Der Landesbeauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche Mängel handelt oder wenn ihre Behebung sichergestellt ist.

(3) Mit der Beanstandung kann der Landesbeauftragte für Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

(4) Die gemäß Absatz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 1 Nr. 2 bis 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den Landesbeauftragten für Datenschutz und Informationsfreiheit zu.

§ 25 Anrufungsrecht der betroffenen Person

(1) Wer der Ansicht ist, dass gegen Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften verstoßen worden ist oder ein solcher Verstoß bevorsteht, hat das Recht, sich unmittelbar an den Landesbeauftragten für Datenschutz und Informationsfreiheit zu wenden; dies gilt auch für Bedienstete öffentlicher Stellen, ohne dass der Dienstweg eingehalten werden muss.

(2) Niemand darf deswegen benachteiligt oder gemaßregelt werden, weil er sich an den Landesbeauftragten für Datenschutz und Informationsfreiheit wendet.

§ 26 (aufgehoben)

§ 27 Datenschutzbericht, Gutachtertätigkeit und Informationspflichten 11

(1) Der Landesbeauftragte für Datenschutz und Informationsfreiheit legt dem Landtag und der Landesregierung jeweils für zwei Kalenderjahre einen Bericht über seine Tätigkeit vor (Datenschutzbericht). Die Landesregierung nimmt hierzu gegenüber dem Landtag schriftlich Stellung. Der Landesbeauftragte für Datenschutz und Informationsfreiheit berät und informiert mit dem Bericht und auf andere Weise die Bürger sowie die Öffentlichkeit zu Fragen des Datenschutzes.

(2) Der Landtag kann den Landesbeauftragten für Datenschutz und Informationsfreiheit mit der Erstattung von Gutachten in Datenschutzfragen betrauen.

(3) Auf Ersuchen des Landtages hat der Landesbeauftragte für Datenschutz und Informationsfreiheit zu aktuellen Entwicklungen von besonderer datenschutzrechtlicher Bedeutung zu berichten. Der Landtag kann die Anwesenheit des Landesbeauftragten für Datenschutz und Informationsfreiheit verlangen. Schriftliche Äußerungen gegenüber dem Landtag sind gleichzeitig der Landesregierung zu übersenden.

Dritter Teil
Besonderer Datenschutz

§ 28 Datenverarbeitung für wissenschaftliche Zwecke

(1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken soll in anonymisierter Form erfolgen. Stehen einer Anonymisierung wissenschaftliche Gründe entgegen, dürfen die Daten auch verarbeitet werden, wenn sie pseudonymisiert werden und der mit der Forschung befasste Personenkreis oder die empfangende Stelle oder Person keinen Zugriff auf die Zuordnungsfunktion hat. Datenerfassung, Anonymisierung oder Pseudonymisierung kann auch durch die mit der Forschung befassten Personen erfolgen, wenn sie zuvor nach dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet worden sind und unter der Aufsicht der übermittelnden Stelle stehen.

(2) Ist eine Anonymisierung oder Pseudonymisierung nicht möglich, so dürfen personenbezogene Daten für ein bestimmtes Forschungsvorhaben verarbeitet werden wenn

  1. die betroffene Person eingewilligt hat,
  2. schutzwürdige Belange der betroffenen Person wegen der Art der Daten oder der Art der Verwendung nicht beeinträchtigt werden oder
  3. der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßig großem Aufwand erreicht werden kann und das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der betroffenen Person überwiegt.

(3) Sobald es der Forschungszweck gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Die Merkmale, mit deren Hilfe ,ein Personenbezug wiederhergestellt werden kann, sind gesondert zu speichern; sie müssen gelöscht werden, sobald der Forschungszweck dies zulässt. Sollen personenbezogene Daten für einen anderen als den ursprünglichen Forschungszweck verarbeitet werden, ist dies nur nach Maßgabe der Absätze 1 und 2 zulässig.

(4) Die zu wissenschaftlichen Zwecken verarbeiteten Daten dürfen nur veröffentlicht werden, wenn

  1. die betroffene Person eingewilligt hat oder
  2. das öffentliche Interesse an der Darstellung des Forschungsergebnisses die schutzwürdigen Belange der betroffenen Person erheblich überwiegt.

(5) Soweit öffentliche Stellen personenbezogene Daten übermitteln, haben sie diejenigen empfangenden Stellen, auf die dieses Gesetz keine Anwendung findet, darauf zu verpflichten, die Vorschriften der Absätze 1 bis 4 einzuhalten und jederzeit Kontrollen durch den Landesbeauftragten für Datenschutz und Informationsfreiheit zu ermöglichen. Bei einer Datenübermittlung an Stellen außerhalb des Geltungsbereichs dieses Gesetzes hat die übermittelnde Stelle die für den Empfänger zuständige Datenschutzkontrollbehörde zu unterrichten.

§ 29 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen 09

(1) Daten von Bewerbern und Beschäftigten dürfen nur verarbeitet werden, wenn dies zur Eingebung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht. Abweichend von § 16 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs nur zulässig, wenn der Empfänger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder die betroffene Person eingewilligt hat. Die Datenübermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig.

(2) Die beamtenrechtlichen Vorschriften über die Führung von Personalakten (§ 50 Beamtenstatusgesetz, §§ 84 - 92 des Landesbeamtengesetzes für das Land Nordrhein-Westfalen) sind für alle nicht beamteten Beschäftigten einer öffentlichen Stelle entsprechend anzuwenden, soweit nicht die Besonderheiten des Tarif- und Arbeitsrechts hinsichtlich der Aufnahme und Entfernung von bestimmten Vorgängen und Vermerken eine abweichende Behandlung erfordern.

(3) Die Weiterverarbeitung der bei ärztlichen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Die Einstellungsbehörde darf vom untersuchenden Arzt in der Regel nur die Übermittlung des Ergebnisses der Eignungsuntersuchung und dabei festgestellter Risikofaktoren verlangen.

(4) Personenbezogene Daten, die vor der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat. Nach Beendigung eines Dienst- oder Arbeitsverhältnisses sind personenbezogene Daten zu löschen, wenn diese Daten nicht mehr benötigt werden, es sei denn, dass Rechtsvorschriften entgegenstehen; § 19 Abs. 3 Satz 2 und 3 sowie Abs. 4 finden Anwendung.

(5) Die Ergebnisse medizinischer oder psychologischer Untersuchungen und Tests der Beschäftigten dürfen automatisiert nur verarbeitet werden, wenn dies dem Schutz der Beschäftigten dient.

(6) Soweit Daten der Beschäftigten im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach § 10 gespeichert werden, dürfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.

(7) Beurteilungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden.

§ 29a Mobile personenbezogene Datenverarbeitungssysteme 15

(1) Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgehenden Stelle oder Dritten bereitgestellte Schnittstelle Daten automatisiert austauschen können (mobile Datenverarbeitungssysteme, z.B. Chipkarten), dürfen nur mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden.

(2) Für die Betroffenen muss jederzeit erkennbar sein,

  1. ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst stattfinden,
  2. welche personenbezogenen Daten der betroffenen Person verarbeitet werden und
  3. welcher Verarbeitungsvorgang im Einzelnen abläuft oder angestoßen wird.

Den Betroffenen müssen die Informationen nach Nummer 2 und 3 auf ihren Wunsch auch schriftlich in Papierform mitgeteilt werden.

(3) Die Betroffenen sind bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihnen nach § 5 zustehenden Rechte aufzuklären. Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, dass diese in angemessenem Umfang zur Verfügung stehen.

(4) Abweichend von Absatz 1 dürfen Leitstellen und Befehlsstellen der in Satz 4 genannten Einrichtungen und Organisationen zur Bestimmung des geografischen Standorts personenbezogene Daten der von ihnen gesteuerten Einsatzkräfte mittels elektronischer Einrichtungen durch eine Funktion des Digitalfunks für Behörden und Organisationen mit Sicherheitsaufgaben (BOS-Digitalfunk) oder durch andere technische Mittel ohne Einwilligung der Betroffenen verarbeiten, soweit dies aus dienstlichen Gründen zur Sicherheit oder zur Koordinierung der Einsatzkräfte erforderlich ist. Standortdaten dürfen ausschließlich zu den in Satz 1 festgelegten Zwecken verarbeitet werden. Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der Speicherung nicht mehr erforderlich sind. Satz 1 bis 3 gelten für Einsatzkräfte der Berechtigten des § 4 Absatz 1 Nummern 1.1, 1.5, 1.6, 1.7 und 1.9 der BOS-Funkrichtlinie in der Fassung der Bekanntmachung vom 7. September 2009 (GMBl. 2009, S. 803), soweit es sich hierbei um kommunale Behörden oder um Landesbehörden handelt.

(5) Ausgenommen von dem Erfordernis der Einwilligung gemäß Absatz 1 ist der Einsatz informationstechnischer Systeme im Sinne des Absatzes 1 zulässig, soweit dieser aus zwingenden dienstlichen Gründen, insbesondere aus Gründen der Informationssicherheit, erforderlich ist. Ein solcher Einsatz darf nur erfolgen, soweit dies unter Berücksichtigung des informationellen Selbstbestimmungsrechts des betroffenen Personenkreises und der Aufgaben der beteiligten Stellen angemessen ist. Die durch den Einsatz dieser Systeme erfassten personenbezogenen Daten dürfen ausschließlich für die in Satz 1 genannten Gründe verarbeitet werden. Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks der Speicherung nicht mehr erforderlich sind. Die zuständige oberste Landesbehörde wird ermächtigt, durch Rechtsverordnung diesen Einsatz informationstechnischer Systeme zuzulassen. Sie hat hierbei die Datenempfänger, die Datenart, Anlass und Zweck der Verarbeitung, ihre Form, das Nähere über das Verfahren der Verarbeitung sowie die umfassende Aufklärung der betroffenen Personen festzulegen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit ist zu unterrichten.

§ 29b Optisch-elektronische Überwachung

(1) Die nicht mit einer Speicherung verbundene Beobachtung öffentlich zugänglicher Bereiche mit optisch-elektronischen Einrichtungen ist zulässig, soweit dies der Wahrnehmung des Hausrechts dient und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen betroffener Personen überwiegen. Die Tatsache der Beobachtung ist, soweit nicht offenkundig, den Betroffenen durch geeignete Maßnahmen erkennbar zu machen.

(2) Die Speicherung von nach Absatz 1 Satz 1 erhobenen Daten ist nur bei einer konkreten Gefahr zu Beweiszwecken zulässig, wenn dies zum Erreichen der verfolgten Zwecke unverzichtbar ist. Die Daten sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind; dies ist in angemessenen Zeitabständen zu prüfen.

(3) Werden die gespeicherten Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese jeweils davon zu benachrichtigen. Von einer Benachrichtigung kann abgesehen werden, solange das öffentliche Interesse an einer Strafverfolgung das Benachrichtigungsrecht der betroffenen Person erheblich überwiegt.

§ 30 Fernmessen und Fernwirken

(1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) in Wohnungen oder Geschäftsräumen nur vornehmen, wenn die betroffene Person zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes unterrichtet worden ist und nach der Unterrichtung schriftlich eingewilligt hat. Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu dienen soll, in Wohnungen oder Geschäftsräumen andere Wirkungen auszulösen (Fernwirkdienste). Die Einrichtung von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die betroffene Person erkennen kann, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist; dies gilt nicht für Fernmess- und Fernwirkdienste der Versorgungsunternehmen. Die betroffene Person kann ihre Einwilligung jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, dass die betroffene Person nach Absatz 1 Satz 1 oder 2 einwilligt. Verweigert oder widerruft sie ihre Einwilligung, so dürfen ihr keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.

(3) Soweit im Rahmen von Fernmess- oder Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

§ 31 Nutzung von Verwaltungsdaten für die Erstellung von Statistiken

Für die Erstellung von Statistiken dürfen öffentliche Stellen personenbezogene Daten weiterverarbeiten, soweit diese bei der rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben angefallen sind. Die Veröffentlichungen dürfen keine Angaben enthalten, die den Bezug auf eine bestimmte Person zulassen.

§ 32 Nutzung von Einzelangaben aus der amtlichen Statistik durch Gemeinden und Gemeindeverbände

(1) Dürfen den Gemeinden und Gemeindeverbänden auf Grund gesetzlicher Ermächtigungen zur Durchführung eigener statistischer Aufgaben Einzelangaben aus der amtlichen Statistik (Datensätze) für ihren Zuständigkeitsbereich übermittelt werden, so ist dies nur zulässig auf Datenträgern, die zur maschinellen Weiterverarbeitung bestimmt sind.

(2) Datenträger dürfen nur den für die Durchführung statistischer Aufgaben zuständigen Stellen der Gemeinden und Gemeindeverbände übermittelt werden, die organisatorisch und räumlich von den anderen Verwaltungsstellen der Körperschaft getrennt, gegen den Zutritt unbefugter Personen hinreichend geschützt und mit eigenem Personal ausgestattet sind, das die Gewähr für Zuverlässigkeit und Verschwiegenheit bietet, schriftlich auf das Statistikgeheimnis verpflichtet worden und während der Tätigkeit in der Statistikdienststelle nicht mit anderen Aufgaben des Verwaltungsvollzuges betraut ist.

(3) Die in den Statistikdienststellen der Gemeinden und Gemeindeverbände tätigen Personen dürfen die aus den nach Absatz 1 übermittelten Einzelangaben gewonnenen personenbezogenen Erkenntnisse während und nach ihrer Tätigkeit in der Statistikdienststelle nicht in anderen Verfahren oder für andere Zwecke verarbeiten oder offenbaren.

(4) Eine Durchführung eigener statistischer Aufgaben im Sinne des Absatzes 1 liegt nur vor, wenn aus den übermittelten Einzelangaben auf Grund vorgegebener sachlicher Kriterien Zahlensummen (Tabellen) erstellt werden, aus denen kein Bezug auf eine bestimmte Person hergestellt werden kann. Die Speicherung der übermittelten Einzelangaben in Dateien für andere als statistische Nutzungen und ihre Zusammenführung mit anderen Einzelangaben, aus denen ein Bezug zu personenbezogenen Daten hergestellt werden kann, sind unzulässig.

(5) Die Übermittlung nach Absatz 1 ist nach Zeitpunkt, Art der übermittelten Daten, Zweck der Übermittlung und Empfänger von der übermittelnden Dienststelle, nach Art und Zeitpunkt der Nutzung von der Dienststelle, die die Daten erhalten hat, aufzuzeichnen. Die Aufzeichnungen sind fünf Jahre aufzubewahren.

§ 32a Behördliche Datenschutzbeauftragte

(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für Datenschutz und Informationsfreiheit sowie einen Vertreter zu bestellen. Der Beauftragte muss die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Mehrere Stellen können gemeinsam einen Beauftragten für Datenschutz und Informationsfreiheit bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bei Bedarf kann eine Stelle auch mehrere Beauftragte sowie mehrere Vertreter bestellen. Der Beauftragte unterstützt die Stelle bei der Sicherstellung des Datenschutzes. Er berät die datenverarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten und überwacht bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren die Einhaltung der einschlägigen Vorschriften. Er ist bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten frühzeitig zu beteiligen und hat die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen, die mit der Verarbeitung personenbezogener Daten befassten Personen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen und die Vorabkontrolle durchzuführen. Satz 5 findet auch Anwendung auf die Tätigkeit von Personalvertretungen, soweit bei diesen personenbezogene Daten verarbeitet werden.

(2) Der Beauftragte ist in seiner Eigenschaft als behördlicher Datenschutzbeauftragter der Leitung der öffentlichen Stelle unmittelbar zu unterstellen und in dieser Funktion weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Während seiner Tätigkeit darf er mit keiner Aufgabe betraut sein, deren Wahrnehmung zu Interessenkollision führen könnte.

(3) Die verantwortliche Stelle ist verpflichtet, dem Beauftragten die Beschreibung aller automatisiert geführten Verfahren, in denen personenbezogene Daten verarbeitet werden, mit den nach § 8 Abs. 1 vorgesehenen Angaben vorzulegen. Der Beauftragte führt das Verfahrensverzeichnis. Er gewährt jeder Person unentgeltlich nach Maßgabe des § 8 Abs. 2 Einsicht in das Verfahrensverzeichnis. Das Einsichtsrecht in die Verfahrensverzeichnisse, die bei den in § 2 Abs. 2 Satz 1 genannten Stellen geführt werden, kann verwehrt werden, soweit damit Betriebs- oder Geschäftsgeheimnisse offenbart würden. Wird keine Einsicht gewährt, ist in geeigneter Weise Auskunft zu erteilen; die Gründe für die Verweigerung der Einsichtnahme sind aktenkundig zu machen und die einsichtverlangende Person ist darauf hinzuweisen, dass sie sich an den Landesbeauftragten für Datenschutz und Informationsfreiheit wenden kann. Dem Landesbeauftragten für Datenschutz und Informationsfreiheit ist auf sein Verlangen Einsicht in das Verfahrensverzeichnis zu gewähren.

(4) Bedienstete der öffentlichen Stellen können sich jederzeit in Angelegenheiten des Datenschutzes unmittelbar an den Beauftragten wenden. Der Beauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er von der betroffenen Person davon nicht befreit wurde.

Vierter Teil
Straf- und Bußgeldvorschriften; Übergangsvorschriften

§ 33 Straftaten

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, entgegen den Vorschriften über den Datenschutz in diesem Gesetz oder in anderen Rechtsvorschriften des Landes Nordrhein-Westfalen personenbezogene Daten, die nicht offenkundig sind,

  1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf bereithält oder löscht,
  2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere veranlasst,

wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht. Der Versuch ist strafbar.

(2) Absatz 1 findet nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

§ 34 Ordnungswidrigkeiten 11

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften über den Datenschutz in diesem Gesetz oder in anderen Rechtsvorschriften des Landes Nordrhein-Westfalen personenbezogene Daten, die nicht offenkundig sind,

  1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf bereithält oder löscht,
  2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 100.000 Deutschen Mark oder 50.000 Euro geahndet werden.

(3) Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist für die Verfolgung und Ahndung von Ordnungswidrigkeiten

  1. nach den Absätzen 1 und 2 die Bezirksregierung,
  2. nach § 43 des Bundesdatenschutzgesetzes und nach § 16 Absatz 2 Nummer 2 bis 5 des Telemediengesetzes der Landesbeauftragte für Datenschutz und Informationsfreiheit.

§ 35 Übergangsvorschriften

(1) Verarbeitungen personenbezogener Daten, die zum Zeitpunkt des In-Kraft-Tretens dieses Gesetzes1 bereits begonnen wurden, sind innerhalb von drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.

(2) Für Behörden des Justizvollzuges gilt § 18 mit der Maßgabe, dass die betroffene Person Auskunft oder Akteneinsicht erhält, soweit sie zur Wahrnehmung ihrer Rechte oder berechtigten Interessen auf die Kenntnis gespeicherter Daten angewiesen ist. § 185 des Strafvollzugsgesetzes bleibt unberührt.

(3) Für Dateien, die bereits zum Register des Landesbeauftragten für Datenschutz und Informationsfreiheit gemeldet sind, finden die Vorschriften des § 8 Abs. 1 und des § 32a Abs. 3 erstmals in Fällen eintretender Veränderungen Anwendung. Im Übrigen wird die Dateienregisterverordnung vom 11. April 1989 (GV. NRW. S. 226) aufgehoben.

Dies bezieht sich auf das Gesetz zur Änderung des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW) vom 9. Mai 2000 (GV. NRW. S. 452), in Kraft getreten am 31. Mai 2000.

§ 36 (aufgehoben) 11 16

UWS Umweltmanagement GmbHENDEFrame öffnen