Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Änderungstext

Gesetz zur Änderung des Landesdatenschutzgesetzes und des Landesverfassungsschutzgesetzes

Vorn 11. Januar 2012
(GVOBl. Schl..-H. vom 26.01.2012 S. 78)

Der Landtag hat das folgende Gesetz beschlossen:

Artikel 1
Änderung des Landesdatenschutzgesetzes 1

Das Schleswig-Holsteinische Gesetz zum Schutz personenbezogener Informationen vom 9. Februar 2000 (GVOBl. Sch.-H. S. 169), zuletzt geändert durch Gesetz vom 15. September 2011 (GVOBl. Schl.-H. S. 252), wird wie folgt geändert:

1. Die Inhaltsübersicht wird wie folgt geändert:

a) Die Angabe zu § 21 erhält folgende Fassung:

altneu
" § 21 Fernmessen und Fernwirken " § 21 Veröffentlichung von Daten im Internet".

b) Die Angabe zu § 25 erhält folgende Fassung:

altneu
§ 25 Besondere Dokumentationsstelle für Sekten" § 25 (weggefallen)".

c) Nach der Angabe zu § 27 wird folgende Angabe eingefügt:

" § 27a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten"

d) Die Angabe zu § 45 erhält folgende Fassung:

altneu
" § 45 Aufgabenübergang" § 45 Übergangsregelungen"

e) Die Angaben zu § 46 und § 47 werden gestrichen.

f) § 48 wird § 46.

2. § 3 wird wie folgt geändert:

a) Absatz 1 erhält folgende Fassung:

altneu
(1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind
  1. Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung,
  2. Vereinigungen des privaten Rechts, soweit sie Aufgaben der öffentlichen Verwaltung wahrnehmen und an der Vereinigung einem oder mehreren der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
"(1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung."

b) Absatz 2 erhält folgende Fassung:

altneu
 (2) Soweit öffentlich-rechtliche, der Aufsicht des Landes unterstehende Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen, gilt für sie von diesem Gesetz nur § 23; im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes für nichtöffentliche Stellen."(2) Abweichend von Absatz 1 gelten nur die Vorschriften der §§ 23 und 39 bis 43, soweit
  1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe),
  2. öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden,
  3. Landesbetriebe oder
  4. der Aufsicht des Landes oder der Gemeinden unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen,


personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im Übrigen sind die für nichtöffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme seines § 38 anzuwenden."

3. § 5 wird wie folgt geändert:

a) Absatz 1 erhält folgende Fassung:

altneu
 (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Dabei ist insbesondere
  1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren,
  2. zu verhindern, dass personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können,
  3. zu gewährleisten, dass die datenverarbeitende Person, der Zeitpunkt und Umfang der Datenverarbeitung festgestellt werden kann.
"(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Sinne von § 3 Abs. 3 ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Sie müssen gewährleisten, dass
  1. Verfahren und Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können (Verfügbarkeit),
  2. Daten unversehrt, vollständig, zurechenbar und aktuell bleiben (Integrität),
  3. nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit),
  4. die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz),
  5. personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nicht-Verkettbarkeit) und
  6. Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte nach den §§ 26 bis 30 wirksam ermöglichen (Intervenierbarkeit)."

b) Absatz 2 erhält folgende Fassung:

altneu
 (2) Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben."(2) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung der getroffenen Maßnahmen nach Absatz 1 zu testen und durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben."

4. § 6 wird wie folgt geändert:

a) Absatz 3 erhält folgende Fassung:

altneu
 (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten entschlüsseln kann."(3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten entschlüsseln kann. In Fällen, in denen eine Verschlüsselung aus technischen Gründen nicht möglich ist, ist die Verarbeitung personenbezogener Daten ohne Verschlüsselung nach konkreten, dem Schutzbedarf der personenbezogenen Daten angemessenen Verfahrensregelungen zulässig."

b) Absatz 4 erhält folgende Fassung:

altneu
 (4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldatenbestände sind ein Jahr zu speichern. Es ist sicherzustellen, dass die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind."(4) Werden personenbezogene Daten ausschließlich automatisiert gespeichert, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldaten müssen zusammen mit den gespeicherten personenbezogenen Daten sichtbar gemacht werden können und für den gleichen Zeitraum aufbewahrt werden."

5. § 7 wird wie folgt geändert:

a) Absatz 1 Satz 3 Nr. 4 erhält folgende Fassung:

altneu
 4. die Kategorien der verarbeiteten Daten,"4. die Kategorien der verarbeiteten Daten und deren Aufbewahrungs- oder Löschfristen"

b) Absatz 4 erhält folgende Fassung:

altneu
(4) Das Unabhängige Landeszentrum für Datenschutz führt ein Verzeichnis der Meldungen nach Absatz 3. Es enthält die Angaben nach Absatz 1. Das Verzeichnis kann von jeder Person eingesehen werden. Satz 3 gilt nicht für Verfahren, die
  1. nach dem Landesverfassungsschutzgesetz geführt werden,
  2. der Gefahrenabwehr dienen,
  3. der Strafverfolgung dienen oder
  4. der Steuerfahndung dienen,

soweit die datenverarbeitende Stelle eine Einsichtnahme mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

 "(4) Das Unabhängige Landeszentrum für Datenschutz führt ein Verzeichnis der Meldungen nach Absatz 3. Es enthält die Angaben nach Absatz 1. Das Verzeichnis kann von jeder Person eingesehen werden. Das Unabhängige Landeszentrum für Datenschutz veröffentlicht das Verzeichnis auf seiner Internetseite. Die Sätze 3 und 4 gelten nicht für Verfahren, die
  1. nach dem Landesverfassungsschutzgesetz geführt werden,
  2. der Gefahrenabwehr dienen,
  3. der Strafverfolgung dienen oder
  4. der Steuerfahndung dienen."

c) Absatz 5 erhält folgende Fassung:

altneu
 (5) Bei Bestellung einer oder eines behördlichen Datenschutzbeauftragten nach § 10 kann das Verfahrensverzeichnis von jeder Person bei der datenverarbeitenden Stelle eingesehen werden. Die Ausnahmen von der Einsichtnahme nach Absatz 4 Satz 4 gelten entsprechend."(5) Bei Bestellung einer oder eines behördlichen Datenschutzbeauftragten nach § 10 kann das Verfahrensverzeichnis von jeder Person bei der datenverarbeitenden Stelle eingesehen werden. Die datenverarbeitende Stelle kann das Verfahrensverzeichnis auf ihrer Internetseite veröffentlichen. Die Ausnahmen von der Einsichtnahme und Veröffentlichung nach Absatz 4 Satz 5 gelten entsprechend."

6. § 8 erhält folgende Fassung:

altneu
 " § 8 Gemeinsame Verfahren und Abrufverfahren

(1) Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.

(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens kontrolliert werden kann. Hierzu ist das Verfahrensverzeichnis nach § 7 Abs. 1 um die Feststellung zu ergänzen, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. Die Betroffenen können die ihnen nach Abschnitt V dieses Gesetzes zustehenden Rechte gegenüber jeder der beteiligten Stellen geltend machen. Diese leiten die Anliegen der Betroffenen an die nach Satz 2 als verantwortlich festgestellte Stelle weiter.

(3) Werden bei gemeinsamen Verfahren personenbezogene Daten übermittelt, so sind die Empfänger, der Zeitpunkt der Übermittlung und die jeweils übermittelten Daten zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern.

(4) Bei Abrufverfahren trägt die Verantwortung für die Zulässigkeit des einzelnen Abrufs die abrufende Stelle. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Zulässigkeit der Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

" § 8 Gemeinsame Verfahren und Abrufverfahren

(1) Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.

(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens kontrolliert werden kann. Hierzu kann die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens von der Verantwortung für die gespeicherten Daten abgetrennt und auf eine zentrale Stelle übertragen werden. Die zentrale Stelle sowie Einzelheiten über Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung werden durch Verordnung der für das Verfahren zuständigen obersten Landesbehörde bestimmt.

(3) Bei Verfahren nach Absatz 1 ist das Verfahrensverzeichnis nach § 7 Abs. 1 um die Feststellung zu ergänzen, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. Die Betroffenen können die ihnen nach Abschnitt V dieses Gesetzes zustehenden Rechte gegenüber jeder der beteiligten Stehen geltend machen. Diese leiten die Anliegen der Betroffenen an die nach Satz 1 als verantwortlich festgestellte Stelle weiter.

(4) Werden bei gemeinsamen Verfahren personenbezogene Daten übermittelt, sind die Empfänger, der Zeitpunkt der Übermittlung, die jeweils übermittelten Daten und der Zweck der Übermittlung zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern.

(5) Bei Abrufverfahren trägt die Verantwortung für die Zulässigkeit des einzelnen Abrufs die abrufende Stelle. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Zulässigkeit der Übermittlung personenbezogener Daten festgestellt und überprüft werden kann.

(6) Die Absätze 1 bis 5 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre."

7. § 10 Abs. 3 Satz 6 erhält folgende Fassung:

altneu
 Dies gilt nicht, soweit besondere Amts- und Berufsgeheimnisse dem entgegenstehen."Dies gilt nicht, soweit das Steuergeheimnis dem entgegensteht."

8. § 11 Abs. 3 Satz 1 wird wie folgt geändert:

a) In Nummer 2 wird die Zahl "25" durch die Zahl "24" ersetzt.

b) Nummer 4 erhält folgende Fassung:

altneu
 4. sie ausschließlich im Interesse der oder des Betroffenen liegt,"4. sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,"

9. § 12 wird wie folgt geändert:

a) In Absatz 2 wird folgender Satz 1 vorangestellt:

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der oder des Betroffenen beruht."

b) Absatz 3 wird wie folgt geändert:

aal Nummer 2 erhält folgende Fassung:

altneu
 2. sie nicht unerkennbar verändert werden kann,"2. sie unversehrt und authentisch ist,"

bb) Nummer 3 erhält folgende Fassung:

altneu
 3. ihre Urheberin oder ihr Urheber erkannt werden kann und"3. die Identität der Urheberin oder des Urhebers erkannt werden kann und"

10. § 13 Abs. 1 Satz 3 erhält folgende Fassung:

altneu
Die Herkunft der Daten ist zu dokumentieren."Die Herkunft der Daten und der Zweck der Erhebung sind zu dokumentieren."

11. § 14 wird folgender Absatz 3 angefügt:

"(3) Die übermittelnde Stelle protokolliert die Empfänger, den Zeitpunkt der Übermittlung, die jeweils übermittelten Daten und den Zweck der Übermittlung. Die Protokolldatenbestände sind ein Jahr zu speichern."

12. § 15 Abs. 2 wird folgender Satz 2 angefügt:

" § 14 Abs. 3 gilt entsprechend, sofern nicht durch Rechtsvorschrift Abweichendes geregelt ist."

13. § 17 wird wie folgt geändert;

a) Folgender neuer Absatz 2 wird eingefügt:

"(2) Werden bei automatisierter Datenverarbeitung Verantwortlichkeiten auf eine zentrale Stelle übertragen, gilt § 8 Abs. 2 entsprechend. Die zentrale Stelle übernimmt für das automatisierte Verfahren die Verantwortung nach Absatz 1 Satz 1."

b) Die bisherigen Absätze 2 bis 5 werden Absätze 3 bis 6.

c) Im neuen Absatz 6 wird in Satz 2 die Zahl "3" durch "4" ersetzt.

14. In § 18 Abs. 1 wird die Angabe ",z.B. Chipkarten" gestrichen.

15. § 20 erhält folgende Fassung:

altneu
 " § 20 Video-Überwachung und -Aufzeichnung

(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Belange Betroffener nicht überwiegen.

(2) Das Bildmaterial darf gespeichert werden (Video-Aufzeichnung), wenn die Tatsache der Aufzeichnung für die Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist. Die Aufzeichnungen sind spätestens nach sieben Tagen zu löschen, es sei denn, sie dokumentieren Vorkommnisse, zu deren Aufklärung die weitere Speicherung erforderlich ist.

" § 20 Video-Überwachung und -Aufzeichnung

(1) Öffentliche Stellen dürfen mit optischelektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Belange Betroffener nicht überwiegen.

(2) Der Umstand der Beobachtung und die dafür verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Speicherung oder weitere Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über die Speicherung oder Verarbeitung entsprechend § 26 zu unterrichten.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen,"

16. § 21 erhält folgende Fassung:

altneu
§ 21 Fernmessen und Fernwirken 

(1) Wer eine Datenverarbeitungs- oder Übertragungseinrichtung zu dem Zweck nutzt, bei einem Betroffenen, insbesondere in der Wohnung oder in den Geschäftsräumen ferngesteuert Messungen vorzunehmen oder andere Wirkungen auszulösen, bedarf dessen Einwilligung.

(2) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses darf nicht von der Einwilligung der oder des Betroffenen nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft die oder der Betroffene ihre oder seine Einwilligung, so dürfen ihr oder ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.

" § 21 Veröffentlichung von Daten im Internet

(1) Die Veröffentlichung personenbezogener Daten im Internet ist nur zulässig, wenn diese Form der Veröffentlichung durch eine Rechtsvorschrift erlaubt ist oder wenn die oder der Betroffene in diese Form der Veröffentlichung eingewilligt hat. Sollen Daten nach § 11 Abs. 2 oder Daten von Mandatsträgern und öffentlich tätigen Personen im Rahmen eines Dienst- oder Arbeitsverhältnisses veröffentlicht werden, ist dies abweichend von Satz 1 zulässig, wenn sich die Daten auf das Mandat oder das Dienst- oder Arbeitsverhältnis beziehen und die schutzwürdigen Belange der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen.

(2) Die Veröffentlichung ist zu befristen; sie darf einen Zeitraum von fünf Jahren nicht überschreiten. Mit Ablauf der Frist ist die Veröffentlichung aus dem Internet zu entfernen. Wiederholungsveröffentlichungen sind zulässig. Bei der Veröffentlichung ist ein Datum zu bestimmen, an dem die Veröffentlichung aus dem Internet entfernt wird."

17. In § 22 Abs. 1 Satz 1 zweiter Halbsatz wird das Wort "nutzen" durch das Wort "verarbeiten" ersetzt.

18. § 25

§ 25 Besondere Dokumentationsstelle für Sekten 12

(1) Die Ministerpräsidentin oder der Ministerpräsident oder eine von ihr oder von ihm besonders beauftragte Stelle (Dokumentationsstelle) kann zum Zweck der Aufklärung oder Warnung die Betätigungen von Sekten oder sektenähnlichen Vereinigungen einschließlich der mit ihnen rechtlich, wirtschaftlich oder in ihrer religiösen oder weltanschaulichen Zielsetzung verbundenen Organisationen oder Vereinigungen in Schleswig-Holstein dokumentieren und über sie informieren, sofern tatsächliche Anhaltspunkte den Verdacht begründen, dass von deren Wirken Gefahren für die Menschenwürde, die freie Entfaltung der Persönlichkeit, das Leben, die Gesundheit oder das Eigentum ausgehen, insbesondere dass Personen in ihrer Willensfreiheit eingeschränkt werden.

(2) Soweit ein begründeter Verdacht im Sinne des Absatz 1 besteht, kann die Dokumentationsstelle über Personen, die in einer derartigen Sekte, Vereinigung oder Organisation aktiv mitwirken, bei anderen öffentlichen Stellen vorhandene oder öffentlich zugängliche personenbezogene Daten erheben und weiterverarbeiten. Hiervon ausgenommen sind Daten, die besonderen Berufs- oder Amtsgeheimnissen unterliegen, sowie Daten, für die besondere Verwendungsvorschriften in anderen Gesetzen bestehen.

(3) Die Speicherung der erhobenen personenbezogenen Daten ist spätestens nach zwei Jahren auf ihre Erforderlichkeit zu prüfen. Spätestens fünf Jahre nach der letzten Tätigkeit im Sinne von Absatz 2 sind die personenbezogenen Daten zu löschen.

(4) An Stellen außerhalb des öffentlichen Bereichs dürfen personenbezogene Daten übermittelt werden, wenn

  1. es zur Erfüllung der Aufgabe nach Absatz 1 erforderlich ist oder
  2. ein Dritter ein rechtliches Interesse daran hat

und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind.

wird gestrichen.

19. § 26 Abs. 1 erhält folgende Fassung:

altneu
 (1) Werden personenbezogene Daten bei den Betroffenen mit ihrer Kenntnis erhoben, so sind sie in geeigneter Weise über die datenverarbeitende Stelle und den Zweck der Datenverarbeitung aufzuklären. Die Betroffenen sind darüber hinaus aufzuklären über
  1. die Rechtsvorschrift, die die Datenverarbeitung gestattet; liegt eine solche nicht vor, die Freiwilligkeit der Datenangabe,
  2. die Folgen einer Nichtbeantwortung, wenn die Angaben für die Gewährung einer Leistung erforderlich sind,
  3. ihre Rechte nach diesem Gesetz,
  4. den Empfängerkreis bei beabsichtigten Übermittlungen sowie
  5. die Auftragnehmenden bei beabsichtigter Datenverarbeitung im Auftrag,

soweit es nach den Umständen des Einzelfalles angemessen erscheint. Die Pflicht zur Benachrichtigung nach den Sätzen 1 und 2 entfällt, wenn den Betroffenen die Informationen bereits vorliegen.

"(1) Werden personenbezogene Daten bei den Betroffenen mit ihrer Kenntnis erhoben, so sind sie in geeigneter Weise aufzuklären über
  1. die datenverarbeitende Stelle,
  2. den Zweck der Datenverarbeitung,
  3. die Rechtsvorschrift, die die Datenverarbeitung gestattet; liegt eine solche nicht vor, die Freiwilligkeit der Datenangabe,
  4. die Folgen einer Nichtbeantwortung, wenn die Angaben für die Gewährung einer Leistung erforderlich sind,
  5. ihre Rechte nach diesem Gesetz,
  6. den Empfängerkreis bei beabsichtigten Übermittlungen sowie
  7. die Auftragnehmenden bei beabsichtigter Datenverarbeitung im Auftrag.

Die Pflicht zur Aufklärung nach Satz 1 entfällt, wenn den Betroffenen die Informationen bereits vorliegen."

20. § 27 Abs. 1 Nr. 3 erhält folgende Fassung:

altneu
 3. die Herkunft der Daten und den Empfängerkreis von Übermittlungen,"3. die Herkunft der Daten (§ 13 Abs. 1 Satz 3) und die Empfänger von Übermittlungen (§ 14 Abs. 3, § 15 Abs. 2 Satz 2),"

21. Nach § 27 wird folgender § 27a eingefügt:

" § 27 a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Stellt eine datenverarbeitende Stelle fest, dass bei ihr gespeicherte personenbezogene Daten im Sinne von § 11 Abs. 3 Satz 1 unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich den Betroffenen sowie dem Unabhängigen Landeszentrum für Datenschutz mitzuteilen. § 42 a Satz 2 bis 4 und 6 des Bundesdatenschutzgesetzes gilt entsprechend. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle eine Veröffentlichung auf der Internetseite des Unabhängigen Landeszentrums für Datenschutz."

22. § 28 wird wie folgt geändert:

a) In Absatz 2 Nr. 1 wird das Wort "Speicherung" durch das Wort "Verarbeitung" ersetzt.

b) In Absatz 4 Satz 1 und 2 wird jeweils das Wort "Nutzung" durch das Wort "Verarbeitung" ersetzt.

23. In. § 32 Abs. 2 wird das Wort "kleine" gestrichen.

24. In § 39 Abs. 5 wird das Wort "jährlich" durch die Worte "alle zwei Jahre" ersetzt.

25. § 43 wird wie folgt geändert:

a) Absatz 2 erhält folgende Fassung:

altneu
 (2) Öffentliche Stellen können ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen."(2) Öffentliche Stellen können ihre technischen und organisatorischen Maßnahmen bei der Verarbeitung personenbezogener Daten sowie die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen."

b) In Absatz 4 werden nach der Zahl "3" die Worte "sowie nach § 9 Abs. 1" eingefügt.

26. § 44 erhält folgende Fassung:

altneu
  § 44 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind,

  1. erhebt, speichert, zweckwidrig verarbeitet, verändert, übermittelt, zum Abruf bereithält oder löscht,
  2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer anonymisierte oder pseudonymisierte Daten mit anderen Informationen zusammenführt und dadurch die Betroffene oder den Betroffenen wieder bestimmbar macht oder wer sich bei pseudonymisierten Daten entgegen den Vorschriften dieses Gesetzes Zugriff auf die Zuordnungsfunktion verschafft.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

" § 44 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind,

  1. erhebt, speichert, zweckwidrig verarbeitet, verändert, übermittelt, zum Abruf bereithält oder löscht,
  2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder andere veranlasst.

(2) Ordnungswidrig handelt auch,

  1. wer anonymisierte oder pseudonymisierte Daten mit anderen Informationen zusammenführt und dadurch die Betroffene oder den Betroffenen wieder bestimmbar macht.
  2. wer sich bei pseudonymisierten Daten entgegen den Vorschriften dieses Gesetzes Zugriff auf die Zuordnungsfunktion verschafft oder
  3. wer es vollständig unterlässt, technischorganisatorische Maßnahmen nach § 5 Abs. 1 zu treffen.

(3) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden."

27. § 45 erhält folgende Fassung:

altneu
  § 45 Aufgabenübergang 12

(1) Die am 30. Juni 2000 dem bei dem Präsidenten des Schleswig-Holsteinischen Landtages eingerichteten Landesbeauftragten für den Datenschutz sowie der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben gehen am 1. Juli 2000 auf die Anstalt über.

(2) Die Dienststelle im Sinne des Mitbestimmungsgesetzes Schleswig-Holstein (MBG Schl.-H.) "Landesbeauftragter für den Datenschutz bei dem Präsidenten des Schleswig-Holsteinischen Landtages" wird aufgelöst.

" § 45 Übergangsregelungen

Am 26. Januar 2012 eingesetzte automatisierte Verfahren müssen bis zum Ablauf des 31. Dezember 2013 den § 6 Abs. 4 Satz 3, § 8 Abs. 4 und §§ 14 und 15 entsprechen."

28. Die §§ 46 und 47

§ 46 Personalübergang

(1) Mit Wirkung vom 1. Juli 2000 gehen die Arbeits- und Ausbildungsverhältnisse der am 30. Juni 2000 beim Landesbeauftragten für den Datenschutz tätigen Arbeitnehmerinnen und Arbeitnehmer sowie der zu ihrer Ausbildung Beschäftigten vom Land Schleswig-Holstein auf das Unabhängige Landeszentrum für Datenschutz über.

(2) Für die Beschäftigten nach Absatz 1 gelten die bis zum Zeitpunkt der Errichtung der Anstalt maßgeblichen arbeitsvertraglichen Vereinbarungen und Tarifverträge in der jeweils geltenden Fassung weiter. Es gelten ferner die diese Tarifverträge künftig ändernden und ergänzenden Tarifverträge. Das Recht des Unabhängigen Landeszentrums für Datenschutz, für seine Beschäftigen Tarifverträge abzuschließen, bleibt hiervon unberührt. Bis zum Inkrafttreten neuer Tarifverträge sind für die ab 1. Juli 2000 eingestellten Arbeitnehmerinnen und Arbeitnehmer sowie zu ihrer Ausbildung Beschäftigen die nach Satz 1 und 2 maßgeblichen Tarifverträge anzuwenden.

(3) Für die Beschäftigen nach Absatz 1 werden die beim Land Schleswig-Holstein in einem Arbeits- oder Ausbildungsverhältnis zurückgelegten Zeiten einer Beschäftigung so angerechnet, wie wenn sie bei dem Unabhängigen Landeszentrum für Datenschutz zurückgelegt worden wären.

(4) Zur Sicherung der Ansprüche auf eine zusätzliche Alters- und Hinterbliebenenversorgung der Beschäftigten stellt die Anstalt sicher, dass die nach der Satzung der Versorgungsanstalt des Bundes und der Länder für eine Beteiligungsvereinbarung geforderten tatsächlichen und rechtlichen Voraussetzungen geschaffen werden.

(5) Die Beamtinnen und Beamten des Landes Schleswig-Holstein, die am 30. Juni 2000 beim Landesbeauftragten für den Datenschutz ihren Dienst ausgeübt haben, werden mit Wirkung vom 1. Juli 2000 nach § 36 Abs. 4 in Verbindung mit Abs. 3 des Landesbeamtengesetzes in den Dienst des Unabhängigen Landeszentrums für Datenschutz nach § 32 übernommen.

§ 47 Übergangsregelungen

(1) Der bisherige Landesbeauftragte für den Datenschutz wird bis zum Ablauf seiner Wahlzeit im Jahre 2004 Landesbeauftragter für Datenschutz nach diesem Gesetz. Eine erneute Wiederwahl ist ausgeschlossen.

(2) Der beim Landesbeauftragten für den Datenschutz gewählte Personalrat bleibt vorbehaltlich der §§ 20 und 21 MBG Schl.-H. über den 30. Juni 2000 bis zum Ablauf seiner regelmäßigen Amtszeit nach § 19 Abs. 1 MBG Schl.-H. bestehen. Die bis zum Ablauf des 30. Juni 2000 abgeschlossenen Dienstvereinbarungen und Vereinbarungen nach § 59 MBG Schl.-H. gelten ab 1. Juli 2000 bis zum Abschluss neuer Dienstvereinbarungen in dem Unabhängigen Landeszentrum für Datenschutz fort.

(3) Die beim Landesbeauftragten für den Datenschutz bestellte Gleichstellungsbeauftragte und gewählte Schwerbehindertenvertretung bleiben über den 30. Juni 2000 hinaus bis zur Neubestellung oder Neuwahl im Amt. Die Gleichstellungsbeauftragte der Anstalt ist unverzüglich, spätestens bis zum 31. Juli 2000, zu bestellen.

(4) Soweit in diesem Gesetz Beträge in Euro genannt werden, gelten diese bis zum 31. Dezember 2001 auch als Beträge in DM; der Umrechnungskurs beträgt 1 Euro = 1,95583 DM.

werden gestrichen.

29. Der bisherige § 48 wird § 46.

Artikel 2
Änderung des Landesverfassungsschutzgesetzes 2

Das Landesverfassungsschutzgesetz vom 23. März 1991 (GVOBl. Schl.-H. S. 203), zuletzt geändert durch Gesetz vom 12. März 2009 (GVOBl. Schl.-H. S. 140), wird wie folgt geändert:

In § 21 wird folgender Absatz 3 angefügt:

"(3) Die Veröffentlichung im Internet ist zulässig."

Artikel 3
Inkrafttreten

Dieses Gesetz tritt am Tag nach der Verkündung in Kraft.


1) Ändert Ges. vom 9. Februar 2000, 05 Schl.-H. II, Gl. Nr. 204-12

2) Ändert Ges. vom 23. Mai 1991, GS Schl.-H. II, Gl. Nr. 12-2