Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk

Änderungstext

NRWDSAnpUG-EU - Nordrhein-Westfälisches Datenschutz-Anpassungs- und Umsetzungsgesetz EU
Gesetz zur Anpassung des allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680

- Nordrhein-Westfalen -

Vom 17. Mai 2018
(GV.NRW. Nr. 12 vom 24.05.2018 S. 244; ber. S. 278; ber. 404)



Artikel 1
DSG NRW - Datenschutzgesetz Nordrhein-Westfalen
Gl.-Nr.: 20061

wie eingefügt

Artikel 2
Änderung des Informationsfreiheitsgesetzes Nordrhein-Westfalen

Das Informationsfreiheitsgesetz Nordrhein-Westfalen vom 27. November 2001 (GV. NRW. S. 806), das zuletzt durch Artikel 4 des Gesetzes vom 2. Oktober 2014 (GV. NRW. S. 622) geändert worden ist, wird wie folgt geändert:

1. In § 10 Absatz 2 werden die Wörter "gemäß § 4 Abs. 6 des Datenschutzgesetzes Nordrhein-Westfalen" durch die Wörter "nach dem geltenden Datenschutzrecht" ersetzt.

2. § 13 wird wie folgt gefasst:

altneu
§ 13 Beauftragte oder Beauftragter für das Recht auf Information

(1) Für die Sicherstellung des Rechts auf Information ist die oder der Landesbeauftragte für den Datenschutz zuständig.

(2) Jeder hat das Recht, die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz als Beauftragte oder Beauftragten für das Recht auf Information anzurufen. Das Datenschutzgesetz Nordrhein-Westfalen gilt entsprechend.

(3) Die oder der Landesbeauftragte für den Datenschutz legt dem Landtag und der Landesregierung jeweils für zwei Kalenderjahre einen Bericht über ihre oder seine Tätigkeit als Beauftragte oder Beauftragter für das Recht auf Information vor. § 27 des Datenschutzgesetzes Nordrhein-Westfalen gilt entsprechend.

" § 13 Beauftragte oder Beauftragter für das Recht auf Information

(1) Für die Sicherstellung des Rechts auf Information ist die oder der Landesbeauftragte für den Datenschutz und Informationsfreiheit zuständig.

(2) Jeder hat das Recht, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit als Beauftragte oder Beauftragten für das Recht auf Information anzurufen.

(3) Berufung und Rechtsstellung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit richtet sich nach § 25 des Datenschutzgesetzes Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. S. 244).

(4) Die in § 2 vom Anwendungsbereich umfassten Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit bei der Aufgabenerfüllung zu unterstützen. Der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit ist dabei insbesondere

  1. Auskunft zu ihren oder seinen Fragen zu erteilen sowie die Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit dem Informationsanliegen stehen und
  2. Zutritt zu Diensträumen zu gewähren.

Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegen gehalten werden.

(5) Die Rechte der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit nach Absatz 4 dürfen nur von ihr oder ihm persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten einer betroffenen Person, der von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihr oder ihm gegenüber nicht offenbart werden.

(6) Stellt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Verstöße gegen dieses Gesetz bei nach § 2 informationspflichtigen Stellen fest, so fordert sie oder er diese zur Mängelbeseitigung auf. Bei Verstößen gegen die Informationspflicht kann er oder sie diese beanstanden

  1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,
  2. beim Landesrechnungshof gegenüber der Präsidentin oder dem Präsidenten,
  3. bei der Kommunalverwaltung gegenüber der jeweils verantwortlichen Gemeinde oder dem verantwortlichen Gemeindeverband,
  4. bei den wissenschaftlichen Hochschulen und Fachhochschulen gegenüber der Hochschulpräsidentin oder dem Hochschulpräsidenten oder der Rektorin oder dem Rektor, bei öffentlichen Schulen gegenüber der Leitung der Schule und
  5. bei den sonstigen Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nummer 2 bis 5 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.

(7) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche Mängel handelt oder wenn ihre Behebung sichergestellt ist.

(8) Mit der Beanstandung kann die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Informationszugangs verbinden.

(9) Die gemäß Absatz 6 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 6 Nummer 2 bis 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit zu.

(10) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit legt dem Landtag und der Landesregierung jeweils für zwei Kalenderjahre einen Bericht über ihre oder seine Tätigkeit als Beauftragte oder Beauftragter für das Recht auf Information vor. § 30 des Datenschutzgesetzes Nordrhein-Westfalen gilt entsprechend."

Artikel 3
Änderung des Meldegesetzes NRW

Das Meldegesetz NRW in der Fassung der Bekanntmachung vom 16. September 1997 (GV. NRW. S. 332; ber. S. 386), das zuletzt durch Artikel 1 des Gesetzes vom 8. September 2015 (GV. NRW. S. 666) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht wird die Angabe zu § 2 wie folgt gefasst:

altneu
§ 2 Speicherung und Nutzung von Daten" § 2 Verarbeiten von Daten".

2. § 2 wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefasst:

altneu
§ 2 Speicherung und Nutzung von Daten" § 2 Verarbeiten von Daten".

b) In Absatz 2 wird das Wort "nutzen" durch das Wort "verwenden" ersetzt.

3. Dem § 7 Absatz 1 wird folgender Satz angefügt:

"Die Zulässigkeit ergibt sich aus § 6 Absatz 1 des Datenschutzgesetzes Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. S. 244) in Verbindung mit Artikel 6 Absatz 1 Buchstaben c und e der Verordnung (EU) 2016/679".

Artikel 4
Änderung des Ausführungsgesetzes NRW Glücksspielstaatsvertrag

(nicht dargestellt)

Artikel 5
Änderung des Spielbankgesetzes NRW

(nicht dargestellt)

Artikel 6
Änderung des Verwaltungsverfahrensgesetzes für das Land Nordrhein-Westfalen

Das Verwaltungsverfahrensgesetz für das Land Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 12. November 1999 (GV. NRW. S. 602), das zuletzt durch Artikel 8 des Gesetzes vom 22. März 2018 (GV. NRW. S. 172) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden in der Angabe zu § 3b die Wörter "Personenbezogene Daten," gestrichen.

2. § 3b wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefasst:

altneu
§ 3b Personenbezogene Daten, Betriebs- und Geschäftsgeheimnisse" § 3b Betriebs- und Geschäftsgeheimnisse"

b) § 3b Satz 2

Sie unterliegt, soweit sie personenbezogene Daten verarbeitet, den Vorschriften des Datenschutzgesetzes Nordrhein-Westfalen.

wird aufgehoben.

3. In § 26 Absatz 2 Satz 3 werden die Wörter " , zur Angabe von personenbezogenen Daten oder von Betriebs- und Geschäftsgeheimnissen" gestrichen.

Artikel 7
Änderung des Landesbeamtengesetzes

Das Landesbeamtengesetz vom 14. Juni 2016 (GV. NRW. S. 310, ber. S. 642), das zuletzt durch Artikel 1 des Gesetzes vom 19. September 2017 (GV. NRW. S. 764) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden die Angaben zu den §§ 86 und 87 wie folgt gefasst:


altneu
§ 86 Akteneinsicht

§ 87 Vorlage und Auskunft

" § 86 Auskunftsrecht

§ 87 Übermittlung an Behörden und Auskunft an nicht betroffene Personen".

2. § 83 wird wie folgt geändert:

a) In Absatz 1 Satz 2 und 7 wird jeweils das Wort "automatisiert" durch die Wörter "im Wege des automatisierten Verfahrens" ersetzt.

b) Absatz 4 Satz 1 wird wie folgt gefasst:

altneu
Der Dienstherr darf personenbezogene Daten über Bewerberinnen und Bewerber, Beamtinnen und Beamte und ehemalige Beamtinnen und Beamte nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt."Der Dienstherr darf personenbezogene Daten über Bewerberinnen und Bewerber, Beamtinnen und Beamte und ehemalige Beamtinnen und Beamte verarbeiten, soweit dies im Rahmen der Personalverwaltung und der Personalwirtschaft zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen erforderlich ist oder eine Rechtsvorschrift oder eine Dienstvereinbarung dies erlaubt oder die betroffene Person eingewilligt hat."

3. In § 84 werden in Satz 4 die Wörter "Die Beihilfeakte darf" durch die Wörter "Beihilfedaten dürfen" und das Wort "weitergegeben" durch das Wort "übermittelt" ersetzt.

4. § 86 wird wie folgt gefasst:

altneu
§ 86 Akteneinsicht

(1) Die Beamtin oder der Beamte hat, auch nach Beendigung des Beamtenverhältnisses, ein Recht auf Einsicht in seine vollständige Personalakte.

(2) Einer oder einem Bevollmächtigten der Beamtin oder des Beamten ist Einsicht zu gewähren, soweit dienstliche Gründe nicht entgegenstehen. Dies gilt auch für Hinterbliebene, wenn ein berechtigtes Interesse glaubhaft gemacht wird, und deren Bevollmächtigte. Für Auskünfte aus der Personalakte gelten die Sätze 1 und 2 entsprechend.

(3) Die personalaktenführende Behörde bestimmt, wo die Einsicht gewährt wird. Soweit dienstliche Gründe nicht entgegenstehen, können Auszüge, Abschriften, Ablichtungen oder Ausdrucke gefertigt werden; der Beamtin oder dem Beamten ist auf Verlangen ein Ausdruck der zu ihrer oder seiner Person automatisiert gespeicherten Personalaktendaten zu überlassen.

(4) Die Beamtin oder der Beamte hat ein Recht auf Einsicht auch in andere Akten, die personenbezogene Daten über sie oder ihn enthalten und für ihr oder sein Dienstverhältnis verarbeitet oder genutzt werden, soweit gesetzlich nichts anderes bestimmt ist; dies gilt nicht für Sicherheitsakten. Die Einsichtnahme ist unzulässig, wenn die Daten der oder des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen nichtpersonenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. In diesem Fall ist der Beamtin oder dem Beamten Auskunft zu erteilen.

" § 86 Auskunftsrecht

(1) Der Anspruch der Beamtinnen und Beamten auf Auskunft aus ihren Personalakten oder aus anderen Akten, die personenbezogene Daten über sie enthalten und für ihr Dienstverhältnis verarbeitet werden, umfasst auch die Gewährung von Akteneinsicht, soweit gesetzlich nichts anderes bestimmt ist. Beamtinnen und Beamte haben, auch nach Beendigung des Beamtenverhältnisses, ein Recht auf Einsicht in ihre vollständige Personalakte. Die Auskunft aus Sicherheitsakten ist unzulässig. Unzulässig ist die Einsichtnahme in Daten der oder des Betroffenen, die mit Daten Dritter oder geheimhaltungsbedürftigen nichtpersonenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist.

(2) Einer oder einem Bevollmächtigten der Beamtin oder des Beamten ist Auskunft zu gewähren, soweit dienstliche Gründe nicht entgegenstehen. Dies gilt auch für Hinterbliebene und deren Bevollmächtigte, wenn ein berechtigtes Interesse glaubhaft gemacht wird.

(3) Die personalaktenführende Behörde bestimmt, wo die Einsicht gewährt wird. Soweit wichtige dienstliche Gründe nicht entgegenstehen, werden Auszüge, Abschriften, Ablichtungen oder Ausdrucke gefertigt. Der Beamtin oder dem Beamten ist auf Verlangen ein Ausdruck der zu ihrer oder seiner Person automatisiert gespeicherten Personalaktendaten zu überlassen."

5. § 87 wird wie folgt gefasst:

altneu
§ 87 Vorlage und Auskunft

(1) Ohne Einwilligung der Beamtin oder des Beamten ist es zulässig, die Personalakte für Zwecke der Personalverwaltung oder Personalwirtschaft der obersten Dienstbehörde oder einer im Rahmen der Dienstaufsicht weisungsbefugten Behörde vorzulegen. Das Gleiche gilt für Behörden im Bereich desselben Dienstherrn, soweit die Vorlage zur Vorbereitung oder Durchführung einer Personalentscheidung notwendig ist. Ärztinnen und Ärzten, die im Auftrag der personalverwaltenden Behörde ein medizinisches Gutachten erstellen, darf die Personalakte ebenfalls ohne Einwilligung vorgelegt werden. Für Auskünfte aus der Personalakte gelten die Sätze 1 bis 3 entsprechend. Soweit eine Auskunft ausreicht, ist von einer Vorlage abzusehen.

(2) Auskünfte an Dritte dürfen nur mit Einwilligung der Beamtin oder des Beamten erteilt werden, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der oder des Dritten die Auskunftserteilung zwingend erfordert. Inhalt und Empfänger der Auskunft sind der Beamtin oder dem Beamten schriftlich mitzuteilen.

(3) Vorlage und Auskunft sind auf den jeweils erforderlichen Umfang zu beschränken.

" § 87 Übermittlung an Behörden und Auskunft an nicht betroffene Personen

(1) Ohne Einwilligung der Beamtin oder des Beamten ist es zulässig, die Personalakte für Zwecke der Personalverwaltung oder Personalwirtschaft der obersten Dienstbehörde oder einer im Rahmen der Dienstaufsicht weisungsbefugten Behörde zu übermitteln. Das Gleiche gilt für Behörden im Bereich desselben Dienstherrn, soweit die Übermittlung der Akte zur Vorbereitung oder Durchführung einer Personalentscheidung notwendig ist. Ärztinnen und Ärzten, die im Auftrag der personalverwaltenden Behörde ein medizinisches Gutachten erstellen, darf die Personalakte ebenfalls ohne Einwilligung übermittelt werden. Für Auskünfte aus der Personalakte gelten die Sätze 1 bis 3 entsprechend. Soweit eine Auskunft ausreicht, ist von einer Übermittlung abzusehen.

(2) Auskünfte an nicht betroffene Personen dürfen nur mit Einwilligung der Beamtin oder des Beamten erteilt werden, es sei denn, dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der nicht betroffenen Person die Auskunftserteilung zwingend erfordert. Inhalt und Empfänger der Auskunft sind der Beamtin oder dem Beamten schriftlich mitzuteilen.

(3) Übermittlung und Auskunft sind auf den jeweils erforderlichen Umfang zu beschränken."

6. § 89 wird wie folgt geändert:

a) In Absatz 1 Satz 3 werden die Wörter "automatisierter Datenabruf" durch die Wörter "Datenabruf im Wege des automatisierten Verfahrens" ersetzt.

b) Absatz 2 wird wie folgt gefasst:

altneu
(2) Personalaktendaten im Sinne des § 84 dürfen automatisiert nur im Rahmen ihrer Zweckbestimmung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt verarbeitet werden."(2) Personalaktendaten im Sinne des § 84 dürfen im automatisierten Verfahren im Rahmen ihrer Zweckbestimmung und nur von den übrigen Personaldateien technisch und organisatorisch getrennt und nur nach Maßgabe des § 84 sowie im Fall der Übertragung von Aufgaben der Personalverwaltung im Sinne des § 91 verarbeitet werden."

c) In Absatz 3 wird das Wort "automatisiert" durch die Wörter "im Wege des automatisierten Verfahrens" ersetzt.

d) In Absatz 4 wird das Wort "automatisierte" gestrichen und nach dem Wort "Daten" werden die Wörter "im automatisierten Verfahren" eingefügt.

7. § 91 Absatz 5 Satz 3 wird wie folgt gefasst:

altneu
§§ 84 und 89 Absatz 2 sowie § 11 des Datenschutzgesetzes Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 9. Juni 2000 (GV. NRW. S. 542) in der jeweils geltenden Fassung gelten entsprechend."Die §§ 84 und 89 Absatz 2 sowie Artikel 28 der Verordnung (EU) 2016/679 gelten entsprechend."

8. § 91a wird wie folgt gefasst:

altneu
§ 91a Verarbeitung von Personalakten im Auftrag

(1) Die Verarbeitung von Personalaktendaten im Auftrag der personalverwaltenden Behörde ist auch außerhalb des öffentliches Dienstes zulässig,

  1. soweit sie erforderlich ist für die automatisierte Erledigung von Aufgaben, und
  2. wenn der Auftraggeber die Einhaltung der beamten- und datenschutzrechtlichen Vorschriften durch den Auftragnehmer regelmäßig kontrolliert.

(2) Die Auftragserteilung bedarf der vorherigen Zustimmung der obersten Dienstbehörde. Zu diesem Zweck hat der Auftraggeber der obersten Dienstbehörde rechtzeitig vor der Auftragserteilung schriftlich mitzuteilen:

  1. den Auftragnehmer, die von diesem getroffenen technischen und organisatorischen Maßnahmen und die ergänzenden Festlegungen nach Absatz 3,
  2. die Aufgabe, zu deren Erfüllung der Auftragnehmer die Daten verarbeiten soll,
  3. die Art der Daten, die für den Auftraggeber verarbeitet werden sollen, und den Kreis der Beschäftigten, auf den sich diese Daten beziehen, sowie
  4. die beabsichtigte Erteilung von Unteraufträgen durch den Auftragnehmer.

(3) In dem Auftrag ist insbesondere schriftlich festzulegen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 10 des Datenschutzgesetzes Nordrhein-Westfalen zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung, und Sperrung von Daten und gegebenenfalls die Vernichtung der Papierakte,
  5. die von dem Auftragnehmer vorzunehmenden Kontrollen der Datenverarbeitung, insbesondere die Überprüfung, ob das Ergebnis bildlich und inhaltlich mit der Papierakte übereinstimmt.
  6. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  7. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  8. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  9. die Verpflichtung des Auftragnehmers, den Auftraggeber unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt und
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten, sobald diese für die Erfüllung des Auftrags nicht mehr benötigt werden, spätestens nach Beendigung des Auftrags.

Soweit der Auftragnehmer eine nichtöffentliche Stelle ist, ist auch festzulegen, dass der Auftragnehmer die Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit zu dulden hat. Diese Kontrolle richtet sich nach den maßgeblichen datenschutzrechtlichen Bestimmungen.

(4) Eine nichtöffentliche Stelle darf nur beauftragt werden, wenn

  1. beim Auftraggeber sonst Störungen im Geschäftsablauf auftreten können oder der Auftragnehmer die übertragenen Aufgaben erheblich kostengünstiger erledigen kann und
  2. die beim Auftragnehmer mit der Datenverarbeitung beauftragten Beschäftigten besonders auf den Schutz der Personalaktendaten verpflichtet sind.

Satz 1 Nummer 1 findet keine Anwendung für Gemeinden und Gemeindeverbände.

(5) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Der Auftragnehmer darf die Daten nur für die im Auftrag festgelegten Zwecke verarbeiten und nur für die im Auftrag festgelegte Dauer speichern.

(6) Die Rechte der betroffenen Person nach dem Datenschutzgesetz Nordrhein-Westfalen sind gegenüber dem Auftraggeber geltend zu machen.

(7) Unteraufträge dürfen nur mit vorheriger Zustimmung des Auftraggebers erteilt werden. Für Unterauftragnehmer gelten die für den Auftragnehmer bestehenden Vorgaben entsprechend.

" § 91a Verarbeitung von Personalakten im Auftrag

(1) Die Verarbeitung von Personalaktendaten im Auftrag der personalverwaltenden Behörde ist auch außerhalb des öffentliches Dienstes zulässig,

  1. soweit sie erforderlich ist für die automatisierte Erledigung von Aufgaben und
  2. wenn der Verantwortliche die Einhaltung der beamten- und datenschutzrechtlichen Vorschriften durch den Auftragsverarbeiter regelmäßig kontrolliert.

(2) Die Auftragserteilung bedarf der vorherigen Zustimmung der obersten Dienstbehörde. Zu diesem Zweck hat der Verantwortliche der obersten Dienstbehörde rechtzeitig vor der Auftragserteilung schriftlich mitzuteilen:

  1. den Auftragsverarbeiter, die von diesem getroffenen technischen und organisatorischen Maßnahmen und die ergänzenden Festlegungen nach Absatz 3,
  2. die Aufgabe, zu deren Erfüllung der Auftragsverarbeiter die Daten verarbeiten soll,
  3. die Art der Daten, die für den Verantwortlichen verarbeitet werden sollen, und den Kreis der Beschäftigten, auf den sich diese Daten beziehen, sowie
  4. die beabsichtigte Erteilung von Unteraufträgen durch den Auftragsverarbeiter.

(3) In dem Auftrag ist insbesondere schriftlich festzulegen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 15 des Datenschutzgesetzes Nordrhein-Westfalen zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten und gegebenenfalls die Vernichtung der Papierakte,
  5. die von dem Auftragsverarbeiter vorzunehmenden Kontrollen der Datenverarbeitung, insbesondere die Überprüfung, ob das Ergebnis bildlich und inhaltlich mit der Papierakte übereinstimmt,
  6. die Kontrollrechte des Verantwortlichen und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters,
  7. mitzuteilende Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  8. der Umfang der Weisungsbefugnisse, die sich der Verantwortliche gegenüber dem Auftragsverarbeiter vorbehält,
  9. die Verpflichtung des Auftragsverarbeiters, den Verantwortlichen unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, dass eine Weisung des Verantwortlichen gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, und
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragsverarbeiter gespeicherter Daten, sobald diese für die Erfüllung des Auftrags nicht mehr benötigt werden, spätestens nach Beendigung des Auftrags.

Soweit der Auftragsverarbeiter eine nichtöffentliche Stelle ist, ist auch festzulegen, dass der Auftragsverarbeiter die Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit zu dulden hat. Diese Kontrolle richtet sich nach den maßgeblichen datenschutzrechtlichen Bestimmungen.

(4) Eine nichtöffentliche Stelle darf nur beauftragt werden, wenn

  1. beim Verantwortlichen sonst Störungen im Geschäftsablauf auftreten können oder der Auftragsverarbeiter die übertragenen Aufgaben erheblich kostengünstiger erledigen kann und
  2. die beim Auftragsverarbeiter mit der Datenverarbeitung beauftragten Beschäftigten besonders auf den Schutz der Personalaktendaten verpflichtet sind.

Satz 1 Nummer 1 findet keine Anwendung für Gemeinden und Gemeindeverbände.

(5) Der Auftragsverarbeiter darf die Daten nur im Rahmen der Weisungen des Verantwortlichen verarbeiten. Der Auftragsverarbeiter darf die Daten nur für die im Auftrag festgelegten Zwecke verarbeiten und für die im Auftrag festgelegte Dauer speichern.

(6) Die Rechte der betroffenen Person nach dem geltenden Datenschutzrecht sind gegenüber dem Verantwortlichen geltend zu machen.

(7) Unteraufträge dürfen nur mit vorheriger Zustimmung des Verantwortlichen erteilt werden. Für Unterauftragsverarbeiter gelten die für den Auftragsverarbeiter bestehenden Vorgaben entsprechend."

Artikel 8
Änderung des Gesetzes über den Brandschutz, die Hilfeleistung und den Katastrophenschutz

Das Gesetz über den Brandschutz, die Hilfeleistung und den Katastrophenschutz vom 17. Dezember 2015 (GV. NRW. S. 886) wird wie folgt geändert:

1. In § 30 Absatz 3 Satz 2 wird das Wort "Angaben" durch das Wort "Daten" ersetzt.

2. § 46 wird wie folgt geändert:

a) In Absatz 1 werden nach dem Wort "Bestimmungen" die Wörter "der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 04.05.2016 S. 1, L 314 vom 22.11.2016 S. 72) und" eingefügt und die Wörter "in der Fassung der Bekanntmachung vom 9. Juni 2000 (GV. NRW. S. 542)" werden durch die Angabe "vom 17. Mai 2018 (GV. NRW. S. 244)" ersetzt.

b) Dem Absatz 2 wird folgender Satz angefügt:

"Die Verarbeitung personenbezogener Daten nach § 28 und § 38 ist nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 auch für besondere Kategorien gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 in Verbindung mit § 16 Nummer 1 des Datenschutzgesetzes Nordrhein-Westfalen zulässig."

c) Absatz 3 wird wie folgt gefasst:

altneu
(3) Personenbezogene Daten sind grundsätzlich bei der betroffenen Person mit deren Kenntnis zu erheben. Bei Dritten dürfen personenbezogene Daten erhoben werden, soweit dies zum Schutz von Leben und Gesundheit, zur Sicherstellung einer wirksamen Gefahrenabwehr oder zur Geltendmachung von Kostenersatzansprüchen benötigten Angaben bei der betroffenen Person nicht oder nicht rechtzeitig erhoben werden können."(3) Die Informationspflicht des Verantwortlichen bei der Erhebung von personenbezogenen Daten bei der betroffenen Person nach Artikel 13 der Verordnung (EU) 2016/679 wird beschränkt. Gleiches gilt für die Informationspflicht des Verantwortlichen nach Artikel 14 der Verordnung (EU) 2016/679, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden."

d) Absatz 4 Satz 3

§ 28 Datenschutzgesetz Nordrhein-Westfalen findet Anwendung.

wird aufgehoben.

e) Absatz 5

(5) Auf der Grundlage dieses Gesetzes verarbeitete personenbezogene Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des Zwecks, zu dem sie erhoben wurden, nicht mehr erforderlich sind.

wird aufgehoben.

f) Absatz 6 wird Absatz 5.

g) Absatz 7 wird Absatz 6 und wie folgt geändert:

aa) In Satz 1 wird die Angabe "6" durch die Angabe "5" ersetzt.

bb) Satz 2

Die §§ 8 und 10 des Datenschutzgesetzes Nordrhein-Westfalen finden Anwendung.

wird aufgehoben.

Artikel 9
Änderung des Verfassungsschutzgesetzes Nordrhein-Westfalen

Das Verfassungsschutzgesetz Nordrhein-Westfalen vom 20. Dezember 1994 (GV. NRW. 1995 S. 28), das zuletzt durch Gesetz vom 6. März 2018 (GV. NRW. S. 144) geändert worden ist, wird wie folgt geändert:

1. Dem § 5 Absatz 1 wird folgender Satz angefügt:

"Die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat."

2. § 5c wird wie folgt geändert:

a) In Absatz 2 Satz 7 werden die Wörter "sind die Daten zu sperren und zu kennzeichnen" durch die Wörter "ist die Verarbeitung der Daten einzuschränken" ersetzt.

b) Absatz 4 wird wie folgt geändert:

aa) Dem Satz 1 wird folgender Satz vorangestellt:

"Die nach § 5 Absatz 2 Nummer 6, 7 und 10 bis 14 erhobenen Daten dürfen an die Verfassungsschutzbehörden des Bundes und der Länder, den Militärischen Abschirmdienst und den Bundesnachrichtendienst zur Abwehr von drohenden Gefahren für die freiheitliche demokratische Grundordnung oder den Bestand oder die Sicherheit des Bundes oder eines Landes einschließlich der Sicherheit der in der Bundesrepublik Deutschland stationierten Truppen der nichtdeutschen Vertragsstaaten des Nordatlantikvertrags übermittelt werden."

bb) Im neuen Satz 2 werden die Wörter "Die nach § 5 Absatz 2 Nummer 6, 7 und 10 bis 14 erhobenen Daten dürfen" durch die Wörter "An andere Stellen dürfen diese Daten" ersetzt.

cc) Nach Satz 2 wird der folgende Satz eingefügt:

"Die unter den Voraussetzungen des § 5 Absatz 5 Satz 2 des Bundesverfassungsschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch Artikel 2 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist, zulässige Übermittlung an ausländische öffentliche Stellen sowie an über- und zwischenstaatliche Stellen unterbleibt, wenn auswärtige Belange der Bundesrepublik Deutschland oder schutzwürdige Interessen des Betroffenen entgegenstehen."

3. § 10 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Sperrung" durch das Wort "Verarbeitungseinschränkung" ersetzt.

b) Absatz 2 Satz 4 wird wie folgt gefasst:

altneu
In diesem Falle sind die Daten zu sperren. Sie dürfen nur noch mit Einwilligung der betroffenen Person verarbeitet werden."In diesem Falle ist die Verarbeitung der Daten einzuschränken."

4. § 11 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Sperrung" durch das Wort "Verarbeitungseinschränkung" ersetzt.

b) Absatz 2 wird wie folgt gefasst:

altneu
(2) Die Verfassungsschutzbehörde hat personenbezogene Daten in schriftlichen oder elektronischen Akten zu sperren, wenn sie im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden und die Daten für ihre künftige Aufgabenerfüllung nicht mehr erforderlich sind. Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen; sie dürfen nur noch mit Einwilligung der betroffenen Person verarbeitet werden. Eine Aufhebung der Sperrung ist möglich, wenn ihre Voraussetzungen nachträglich entfallen."(2) Die Verfassungsschutzbehörde hat die Verarbeitung personenbezogener Daten in schriftlichen oder elektronischen Akten einzuschränken, wenn sie im Einzelfall feststellt, dass ohne die Einschränkung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden und die Daten für ihre künftige Aufgabenerfüllung nicht mehr erforderlich sind. Verarbeitungseingeschränkte Daten sind mit einem entsprechenden Vermerk zu versehen. Sie dürfen nur mit Einwilligung der betroffenen Person verarbeitet werden. Eine Aufhebung der Einschränkung ist möglich, wenn ihre Voraussetzungen nachträglich entfallen."

a) In Absatz 3 Satz 3 werden die Wörter "sind die" durch die Wörter "ist die Verarbeitung der" und die Wörter "zu sperren" durch das Wort "einzuschränken" ersetzt.

b) In Absatz 4 Satz 3 wird das Wort "Sperrung" durch das Wort "Verarbeitungseinschränkung" ersetzt.

5. § 12 wird wie folgt gefasst:

altneu
§ 12 Verfahrensverzeichnis

(1) Beim Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten ist bei dem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis § 8 des Datenschutzgesetzes Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 9. Juni 2000 (GV. NRW. S. 542), zuletzt geändert durch Artikel 1 des Gesetzes vom 11. Juli 2011 (GV. NRW. S. 338) zu beachten.

(2) Auszüge aus Textdateien dürfen nicht ohne die dazugehörenden erläuternden Unterlagen übermittelt werden.

" § 12 Verfahrensverzeichnis

(1) Beim Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten führt die Verfassungsschutzbehörde ein für den behördlichen Datenschutzbeauftragten bestimmtes Verzeichnis.

(2) Das Verzeichnis enthält die folgenden Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,
  2. die Zwecke der Verarbeitung,
  3. Angaben über den Kreis der betroffenen Personen,
  4. Angaben über die Rechtsgrundlage der Verarbeitung,
  5. eine Beschreibung der Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,
  6. die zugriffsberechtigten Personen oder Personengruppen,
  7. gegebenenfalls die Verwendung von Profiling,
  8. gegebenenfalls die beabsichtigte Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
  9. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der personenbezogenen Daten und
  10. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung ."

6. Nach § 14 wird folgender § 15 eingefügt:

" § 15 Unabhängige Datenschutzkontrolle

(1) Jedermann kann sich an die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit (die oder der Landesbeauftragte) wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten durch die Verfassungsschutzbehörde in seinen Rechten verletzt worden zu sein.

(2) Die oder der Landesbeauftragte kontrolliert bei der Verfassungsschutzbehörde die Einhaltung der Vorschriften über den Datenschutz. Sie oder er berät die Verfassungsschutzbehörde in Belangen des Datenschutzes. Soweit die Einhaltung von Vorschriften der Kontrolle durch die G 10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten, es sei denn, die G 10-Kommission ersucht die Landesbeauftragte oder den Landesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.

(3) Die Verfassungsschutzbehörde ist verpflichtet, die Landesbeauftragte oder den Landesbeauftragten und ihre oder seine schriftlich besonders Beauftragten bei der Aufgabenerfüllung zu unterstützen. Den in Satz 1 genannten Personen ist dabei insbesondere

  1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 2 stehen, sowie
  2. jederzeit Zutritt zu allen Diensträumen zu gewähren.

Dies gilt nicht, soweit die Verfassungsschutzbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.

(4) Die Absätze 1 bis 3 gelten ohne Beschränkung auf die Erfüllung der Aufgaben nach § 3. Sie gelten entsprechend für die Verarbeitung personenbezogener Daten durch andere Stellen, wenn diese der Erfüllung der Aufgaben von Verfassungsschutzbehörden nach § 3 dient.

(5) Stellt die oder der Landesbeauftragte bei Datenverarbeitungen der Verfassungsschutzbehörde Verstöße gegen die Vorschriften über den Datenschutz fest, so beanstandet sie oder er dies gegenüber der Verfassungsschutzbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Landesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder zwischenzeitlich beseitigte Mängel handelt. Die Stellungnahme soll eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten getroffen worden sind. Die oder der Landesbeauftragte kann die oder den Verantwortlichen davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen."

7. § 17 wird wie folgt geändert:

a) In Absatz 4 Satz 3 wird das Wort "Nutzungs-" durch das Wort "Verwendungs-" ersetzt.

b) In Absatz 5 Satz 1 wird die Angabe "Absatz 2" durch die Angabe "Absatz 4" ersetzt.

8. In § 21 Satz 3 werden die Wörter "sind die Daten zu sperren" durch die Wörter "ist die Verarbeitung der Daten einzuschränken" ersetzt.

9. § 30 Absatz 5 wird wie folgt geändert:

a) In Satz 2 werden die Wörter "Erhebung, Verarbeitung und Nutzung" durch das Wort "Verarbeitung" ersetzt.

b) Satz 5 wird wie folgt gefasst:

altneu
Auf § 24 Absatz 2 Satz 3 des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel I des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist, wird verwiesen."Auf § 15 Absatz 2 Satz 2 wird hingewiesen."

10. § 31 wird wie folgt gefasst:

altneu
§ 31 Geltung des Datenschutzgesetzes Nordrhein-Westfalen

Bei der Erfüllung der Aufgaben durch die Verfassungsschutzbehörde finden die Vorschriften des Datenschutzgesetzes Nordrhein-Westfalen Anwendung; es sei denn zu demselben Sachverhalt werden in diesem Gesetz besondere Regelungen getroffen.

" § 31 Ausschluss der Anwendbarkeit des Datenschutzgesetzes Nordrhein-Westfalen und Anwendung des Bundesdatenschutzgesetzes

(1) Bei der Aufgabenerfüllung durch die Verfassungsschutzbehörde findet das Datenschutzgesetz Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. S. 244) keine Anwendung.

(2) Die §§ 2, 3, 5 Absatz 1 bis 3 und 5, §§ 6, 7, 42, 46, 51 Absatz 1 bis 4, §§ 52 bis 54, 62, 64 bis 66, 83 und 84 des Bundesdatenschutzgesetzes sind entsprechend anzuwenden, soweit nicht in diesem Gesetz abweichende Regelungen enthalten sind. Wird in den genannten Vorschriften auf europarechtliche Regelungen Bezug genommen, führt dies nicht zu einer Anwendbarkeit der europarechtlichen Regelungen."

Artikel 10
Änderung des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen

Das Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen vom 7. März 1995 (GV. NRW. S. 210), das zuletzt durch Artikel 9 des Gesetzes vom 5. April 2005 (GV. NRW. S. 306) geändert worden ist, wird wie folgt geändert:

1. § 21 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Nutzen" durch das Wort "Verwenden" ersetzt.

b) In Absatz 1 wird im Textteil nach Nummer 4 das Wort "nutzen" durch das Wort "verwenden" ersetzt.

c) In Absatz 2 Satz 1 wird im Textteil nach Nummer 3 das Wort "nutzen" durch das Wort "verwenden" ersetzt.

2. § 22 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

aa) In Satz 1 wird das Wort "genutzt" durch das Wort "verwendet" ersetzt.

bb) In Satz 3 und 4 wird jeweils das Wort "nutzen" durch das Wort "verwenden" ersetzt.

b) In Absatz 2 Satz 2 wird das Wort "genutzt" durch das Wort "verwendet" ersetzt.

c) In Absatz 5 werden die Wörter "und nutzen" gestrichen.

3. § 23 wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefasst:

altneu
§ 23 Berichtigen, Löschen und Sperren personenbezogener Daten" § 23 Berichtigung, Löschung und Verarbeitungseinschränkung personenbezogener Daten"

b) Absatz 3 wird wie folgt geändert:

aa) In Satz 2 werden die Wörter "sind die Daten zu sperren" durch die Wörter "ist die Verarbeitung der Daten einzuschränken" ersetzt.

bb) In Satz 3 werden die Wörter "und genutzt" gestrichen.

4. § 28 wird wie folgt geändert:

a) In Satz 1 wird das Wort "nichtöffentliche" durch das Wort "nicht-öffentliche" ersetzt.

b) In Satz 3 werden das Wort "nichtöffentliche" durch das Wort "nichtöffentliche" und das Wort "genutzt" durch das Wort "verwendet" ersetzt.

c) In Satz 4 wird das Wort "nichtöffentliche" durch das Wort "nichtöffentliche" ersetzt.

5. § 32 wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefasst:


altneu
  § 32 Datenverarbeitung, -nutzung und -berichtigung in Dateien" § 32 Datenverarbeitung in Dateien nicht-öffentlicher Stellen"

b) In Satz 1 werden die Wörter "nichtöffentliche" durch das Wort "nicht-öffentliche" und das Wort "nutzen" durch das Wort "verwenden" ersetzt.

c) In Satz 2 wird das Wort "Sperrung" durch das Wort "Verarbeitungseinschränkung" ersetzt.

6. § 34 wird wie folgt geändert:

a) In Nummer 1 wird das Wort "Innenministerium" durch die Wörter "für Inneres zuständige Ministerium" ersetzt.

b) In Nummer 2 werden die Wörter "Ministerium für Wirtschaft, Mittelstand und Technologie" durch die Wörter "für Wirtschaft zuständige Ministerium" und das Wort "Innenministerium" durch die Wörter "für Inneres zuständigen Ministerium" ersetzt.

7. Nach § 34 werden die folgenden §§ 34a bis 34d eingefügt:

" § 34a Anwendung bundesrechtlicher Vorschriften bei der Datenverarbeitung durch öffentliche Stellen

(1) Bei der Erfüllung der Aufgaben dieses Gesetzes durch öffentliche Stellen findet das Datenschutzgesetz Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. s. 244) keine Anwendung.

(2) Die §§ 2, 3, 5 Absatz 1 bis 3 und 5, §§ 6, 7, 42, 46, 51 Absatz 1 und 3, §§ 52, 53, 54 Absatz 1 und 2 sowie §§ 62, 64 bis 66 und 83 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) sind entsprechend anzuwenden, soweit nicht in diesem Gesetz abweichende Regelungen enthalten sind. Wird in den genannten Vorschriften auf europarechtliche Regelungen Bezug genommen, führt dies nicht zu einer Anwendbarkeit der europarechtlichen Regelungen.

§ 34b Anwendung bundesrechtlicher Vorschriften bei der Datenverarbeitung durch nichtöffentliche Stellen

(1) Bei der Erfüllung der Aufgaben dieses Gesetzes durch nichtöffentliche Stellen finden § 1 Absatz 8, §§ 16 bis 21 sowie § 85 des Bundesdatenschutzgesetzes keine Anwendung.

(2) Die §§ 42, 46, 51 Absatz 1 und 3, §§ 52, 53, 54 Absatz 1 und 2 und §§ 62, 64 bis 66 und 83 des Bundesdatenschutzgesetzes sind entsprechend anzuwenden, soweit nicht in diesem Gesetz abweichende Regelungen enthalten sind.

§ 34c Unabhängige Datenschutzkontrolle

(1) Jedermann kann sich an die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit (die oder der Landesbeauftragte) wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten nach diesem Gesetz durch öffentliche oder nichtöffentliche Stellen in seinen Rechten verletzt worden zu sein.

(2) Die oder der Landesbeauftragte kontrolliert bei den öffentlichen und nichtöffentlichen Stellen die Einhaltung der Vorschriften über den Datenschutz. Sie oder er berät die öffentlichen und nichtöffentlichen Stellen in Belangen des Datenschutzes. Soweit die Einhaltung von Vorschriften der Kontrolle durch die G10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten, es sei denn, die G 10-Kommission ersucht die Landesbeauftragte oder den Landesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.

(3) Die öffentlichen und nichtöffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten und ihre oder seine schriftlich besonders beauftragten Personen bei der Aufgabenerfüllung zu unterstützen. Den in Satz 1 genannten Personen ist dabei insbesondere

  1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 2 stehen, sowie
  2. jederzeit Zutritt zu allen Diensträumen zu gewähren.

Dies gilt nicht, soweit die zuständige oberste Landesbehörde oder die oberste Aufsichtsbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.

(4) Stellt die oder der Landesbeauftragte bei Datenverarbeitungen der öffentlichen oder nichtöffentlichen Stellen Verstöße gegen die Vorschriften über den Datenschutz fest, beanstandet sie oder er dies gegenüber der obersten Landesbehörde oder der obersten Aufsichtsbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Landesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder zwischenzeitlich beseitigte Mängel handelt. Die Stellungnahme soll eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten getroffen worden sind. Die oder der Landesbeauftragte kann den Verantwortlichen davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.

§ 34d Verfahrensverzeichnis

(1) Beim Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten führt die öffentliche Stelle ein für den behördlichen Datenschutzbeauftragten bestimmtes Verzeichnis.

(2) Das Verzeichnis enthält die folgenden Angaben:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsamen mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,
  2. die Zwecke der Verarbeitung,
  3. Angaben über den Kreis der betroffenen Personen,
  4. Angaben über die Rechtsgrundlage der Verarbeitung,
  5. eine Beschreibung der Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,
  6. die zugriffsberechtigten Personen oder Personengruppen,
  7. gegebenenfalls die Verwendung von Profiling,
  8. gegebenenfalls die beabsichtigte Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
  9. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der personenbezogenen Daten und
  10. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64 des Bundesdatenschutzgesetzes."

Artikel 11
Änderung des Spielbankgesetzes

(nicht dargestellt)

Artikel 12
Änderung des Abgeordnetengesetzes

(nicht dargestellt)

Artikel 13
Inkrafttreten

Dieses Gesetz tritt am 25. Mai 2018 in Kraft.

ID 180877

____

Ber. vom 28.05.2018 S. 279

"Artikel 1 des Nordrhein-Westfälischen Datenschutz-Anpassungs- und Umsetzungsgesetzes EU vom 17. Mai 2018 (GV. NRW. S. 244) ist wie folgt zu berichtigen:
  1. In § 21 wird nach dem Wort "Absatz" die Angabe "6" durch die Angabe "8" ersetzt.
  2. In § 26 Satz 2 wird nach dem Wort "Absatz" die Angabe "4" durch die Angabe "5" ersetzt.
  3. In § 32 wird nach dem Wort "Absatz" die Angabe "4" durch die Angabe "5" ersetzt."

Ber. vom 17.07.2018 S. 404

"Das Nordrhein-Westfälische Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 17. Mai 2018 (GV. NRW. 244, ber. S. 278) ist wie folgt zu berichtigen:
  1. . In Artikel 1 wird in § 8 Absatz 4 nach den Wörtern "auf die" das Wort "die" gestrichen.
  2. . In Artikel 2 Nummer 2 werden in § 13 Absatz 3 nach dem Wort "der" die Wörter "oder des Landesbeauftragten für Datenschutz und Informationsfreiheit richtet sich nach § " eingefügt. "
ENDE