Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk; Allgemeines, Anlagentechnik, Individualrecht
Frame öffnen

Saarländisches Datenschutzgesetz
- Saarland -

Vom 16. Mai 2018
(AmtsBl. I Nr. 19 vom 24.05.2018 S. 254; 08.12.2021 S. 2629 21)



Archiv: 1993; 2008

Erster Abschnitt
Allgemeines

§ 1 Zweck

(1) Dieses Gesetz trifft die ergänzenden Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 04.05.2016 S. 1, L 314 vom 22.11.2016 S. 72), in der jeweils geltenden Fassung. Gleichzeitig regelt es in den Grenzen der Verordnung (EU) 2016/679 spezifische Anforderungen an die Verarbeitung personenbezogener Daten.

(2) Darüber hinaus trifft dieses Gesetz Regelungen für die Verarbeitung personenbezogener Daten, die nicht in den Anwendungsbereich des Unionsrechts im Sinne von Artikel 2 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 fallen.

§ 2 Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten im Anwendungsbereich der Verordnung (EU) 2016/679 durch die Behörden und sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). Als öffentliche Stellen gelten auch Vereinigungen ungeachtet ihrer Rechtsform, die Aufgaben öffentlicher Verwaltung wahrnehmen und an denen eine oder mehrere der in Satz 1 genannten Stellen mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind; Gleiches gilt für weitere Beteiligungen dieser Vereinigungen. Nehmen nicht öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes. Für den Landtag und für die Gerichte, den Rechnungshof sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz nur, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Fünften Abschnitts.

(2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden haben.

(3) Soweit öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten sie als nicht öffentliche Stellen. Mit Ausnahme der Vorschriften über die Aufsichtsbehörde sind ergänzend zur Verordnung (EU) 2016/679 die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097), in der jeweils geltenden Fassung einschließlich der Straf- und Bußgeldvorschriften anwendbar.

(4) Die Vorschriften dieses Gesetzes gehen denen des Saarländischen Verwaltungsverfahrensgesetzes vom 15. Dezember 1976 (Amtsbl. S. 1151), zuletzt geändert durch das Gesetz vom 25. Juni 2014 (Amtsbl. I S. 306) vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(5) Besondere Rechtsvorschriften des Bundes oder des Landes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(6) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

§ 3 Entsprechende Anwendung

(1) Die Regelungen der Verordnung (EU) 2016/679 und dieses Gesetzes finden entsprechende Anwendung für Tätigkeiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen, soweit nicht gesetzlich etwas Abweichendes geregelt ist.

(2) Absatz 1 gilt auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen; Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 sind auf diese Verarbeitung nicht anzuwenden.

Zweiter Abschnitt
Durchführungsbestimmungen zu den Artikeln 5 bis 11 der Verordnung (EU) 2016/679
(Grundsätze der Datenverarbeitung)

§ 4 Rechtmäßigkeit der Verarbeitung personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der oder des Verantwortlichen liegenden Aufgabe erforderlich ist.

(2) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgabe erforderlich ist.

(3) Die Übermittlung personenbezogener Daten an nicht öffentliche Stellen ist zulässig, wenn

  1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist,
  2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
  3. es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist

und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden.

(4) Der Verantwortliche ist verpflichtet, vertraglich sicherzustellen, dass ein Auftragsverarbeiter, auf den dieses Gesetz keine Anwendung findet, dessen Vorschriften beachtet.

§ 5 Erhebung personenbezogener Daten

Werden personenbezogene Daten bei einem Dritten erhoben, ist dieser auf Verlangen auf den Erhebungszweck hinzuweisen, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist der Dritte auf die Auskunftspflicht und sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.

§ 6 Verantwortung bei der Übermittlung personenbezogener Daten

(1) Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. Erfolgt die Übermittlung aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung. Die übermittelnde Stelle hat dann lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers hält. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat in dem Ersuchen der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.

(2) Erfolgt die Übermittlung durch automatisierten Abruf, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger.

(3) Sind mit personenbezogenen Daten, die auf Grund von Rechtsvorschriften im Sinne des Artikels 6 Absatz 1 Buchstabe c oder Buchstabe e der Verordnung (EU) 2016/679 verarbeitet werden, weitere personenbezogene Daten der betroffenen Person oder Dritter so in Akten verbunden, dass eine Trennung nicht oder nur

mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht Rechte und Freiheiten der betroffenen Person oder anderer Personen an deren Geheimhaltung überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

§ 7 Zweckbindung, Zweckänderung

(1) Zu dem Zweck einer Verarbeitung personenbezogener Daten durch öffentliche Stellen zählt auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung sowie zu statistischen Zwecken des Verantwortlichen. Dies gilt auch für die Verarbeitung zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person an der Geheimhaltung entgegenstehen.

(2) Eine Verarbeitung zu anderen als den ursprünglichen Zwecken ist zulässig, wenn

  1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
  2. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
  3. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen oder
  4. sich bei der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint.

(3) Abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 2 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde. Sieht der Verantwortliche von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.

(4) Ferner ist eine Zweckänderung zulässig, wenn

  1. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Datenverarbeitung zu ihrem Schutz erfolgt und sie in Kenntnis des anderen Zweckes ihre Einwilligung erteilen würde oder
  2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, soweit nicht schutzwürdige Interessen der betroffenen Personen offensichtlich entgegenstehen.

(5) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 vorliegen.

(6) Unterliegen die personenbezogenen Daten einem Berufsgeheimnis oder einem besonderen Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, finden die Absätze 2 und 4 keine Anwendung, es sei denn, die zur Verschwiegenheit verpflichtete Person oder Stelle hat eingewilligt.

(7) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verarbeitet werden.

§ 8 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist unbeschadet der in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 genannten Ausnahmen zulässig, soweit es erforderlich ist

  1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
  2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
  3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
  4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,
  5. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
  6. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
  7. für die in § 7 Absatz 1 genannten Zwecke.

(2) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:

  1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
  2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
  3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
  4. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
  5. Pseudonymisierung personenbezogener Daten,
  6. Verschlüsselung personenbezogener Daten,
  7. dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
  8. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
  9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

§ 9 Verarbeitung personenbezogener Daten zu Zwecken der parlamentarischen Kontrolle

(1) Die Landesregierung darf personenbezogene Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten an den Landtag in dem dafür erforderlichen Umfang verarbeiten. Eine Übermittlung der Daten zu einem der in Satz 1 genannten Zwecke ist nicht zulässig, wenn dies wegen des streng persönlichen Charakters der Daten für die betroffene Person unzumutbar ist oder wenn der Eingriff in ihr informationelles Selbstbestimmungsrecht unverhältnismäßig ist. Dies gilt nicht, wenn im Hinblick auf § 2 Absatz 2 oder durch sonstige geeignete Maßnahmen sichergestellt ist, dass schutzwürdige Interessen der betroffenen Personen nicht beeinträchtigt werden. Besondere gesetzliche Übermittlungsverbote bleiben unberührt.

(2) Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise öffentlich zugänglich gemacht werden. Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der betroffenen Personen beeinträchtigt werden.

Dritter Abschnitt
Durchführungsbestimmungen zu den Artikeln 12 bis 23 der Verordnung (EU) 2016/679
(Rechte der betroffenen Person)

§ 10 Beschränkung der Informationspflicht bei Erhebung der personenbezogenen Daten nach Artikel 13 und Artikel 14 der Verordnung (EU) 2016/679

(1) Bei der Erhebung personenbezogener Daten sieht der Verantwortliche von einer Information der betroffenen Person nach Artikel 13 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 ab, soweit und solange

  1. die Weitergabe der Information die öffentliche Sicherheit gefährden oder dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  2. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährdet würde oder
  3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim zu halten sind.

(2) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten an Staatsanwaltschaften, Polizeidienststellen und andere für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten zuständige Stellen, Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist von diesen Stellen die Zustimmung einzuholen.

(3) Sieht der Verantwortliche von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.

§ 11 Beschränkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679

(1) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaft, an Polizeidienststellen, an Landesfinanzbehörden, soweit diese personenbezogene Daten für Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeiten, an Verfassungsschutzbehörden, an den Bundesnachrichtendienst, an den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, an andere Behörden des Bundesministers der Verteidigung, entscheidet der Verantwortliche über die Auskunft mit Zustimmung der Stellen, an die diese Daten übermittelt wurden. Gleiches gilt für die Übermittlung personenbezogener Daten von diesen Behörden.

(2) Die Auskunft unterbleibt unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 soweit

  1. die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde,
  2. die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse eines Landes, des Bundes oder der Europäischen Union - einschließlich Währungs-, Haushalts- und Steuerangelegenheiten - gefährden würde,
  3. personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person geheim gehalten werden müssen oder
  4. personenbezogene Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

(3) Die Ablehnung der Auskunft bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. Wird der betroffenen Person keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Landesbeauftragten für Datenschutz zu erteilen mit der Maßgabe, dass sowohl die Auskunft als auch die Gründe für die Ablehnung nicht der betroffenen Person von der oder dem Landesbeauftragten für Datenschutz mitgeteilt werden. Die Mitteilung der oder des Landesbeauftragten für Datenschutz an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand der in Absatz 1 Satz 1 genannten öffentlichen Stellen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt. Die Auskunft an die oder den Landesbeauftragten für Datenschutz ist nicht zu erteilen, wenn die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes, in Angelegenheiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen, gefährdet würde. Die Gründe der Ablehnung nach Satz 1 und Satz 4 sind aktenkundig zu machen.

(4) Über personenbezogene Daten, die nicht automatisiert verarbeitet werden und auch nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht offensichtlich außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.

§ 12 Beschränkung der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Artikel 34 der Verordnung (EU) 2016/679

(1) Der Verantwortliche sieht über Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 hinaus von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ab, soweit und solange

  1. die Information die öffentliche Sicherheit gefährden oder dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,
  2. dies zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist,
  3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim zu halten sind oder
  4. die Information die Sicherheit von informationstechnischen Systemen gefährden würde.

(2) § 10 Absatz 3 gilt entsprechend.

Vierter Abschnitt
Durchführungsbestimmungen zu den Artikeln 24 bis 43 der Verordnung (EU) 2016/679
(Verantwortlicher und Auftragsverarbeiter)

§ 13 Datengeheimnis

Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmerinnen oder Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu verarbeiten; dies gilt auch nach Beendigung ihrer Tätigkeit. Diese Personen sind über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten.

§ 14 Datenschutz-Folgenabschätzung

(1) Eine Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 durch den Verantwortlichen kann unterbleiben, soweit

  1. eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Ministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
  2. der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Datenschutz-Folgenabschätzung erfolgt ist, es sei denn, dass dies in der Rechtsgrundlage ausdrücklich bestimmt ist.

Die Ministerien stellen den öffentlichen Stellen die Ergebnisse der von ihnen und der von ihnen ermächtigten öffentlichen Stellen durchgeführten Datenschutz-Folgenabschätzungen zur Verfügung.

(2) Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das auch zum Einsatz durch andere öffentliche Stellen bestimmt ist, so führt sie, sofern die Voraussetzungen des Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 bei diesem Verfahren vorliegen, die Datenschutz-Folgenabschätzung nach Artikel 35 und 36 der Verordnung (EU) 2016/679 durch. Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Datenschutz-Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.

§ 15 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten 21

(1) Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen oder elektronischen Freigabe. In der Freigabeerklärung ist zu bestätigen, dass

  1. die Verarbeitung im Einklang mit Artikel 5 und Artikel 6 der Verordnung (EU) 2016/679 erfolgt,
  2. ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und
  3. für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.

Die Freigabe erfolgt durch den Verantwortlichen. Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 vereinbart werden. Die Freigabeerklärung ist dem Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 beizufügen.

(2) Absatz 1 Satz 1 gilt nicht für

  1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,
  2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
  3. Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
  4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
  5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
  6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
  7. Zimmer-, Inventar- und Softwareverzeichnisse,
  8. Bibliothekskataloge und Fundstellenverzeichnisse oder
  9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.

(3) Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Satz 1 gilt nicht für

  1. Verfahren der Verfassungsschutzbehörde,
  2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen und
  3. Verfahren der Steuerfahndung

soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

Fünfter Abschnitt
Durchführungsbestimmungen zu den Artikeln 51 bis 59 der Verordnung (EU) 2016/679
(Landesbeauftragte oder Landesbeauftragter für Datenschutz)

§ 16 Rechtsstellung der oder des Landesbeauftragten für Datenschutz

(1) Die oder der Landesbeauftragte für Datenschutz ist Aufsichtsbehörde

  1. gemäß Artikel 51 der Verordnung (EU) 2016/679 bei der Verarbeitung gemäß § 2,
  2. nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht öffentlicher Stellen.

Die Aufsichtsbehörde ist bei der Präsidentin oder dem Präsidenten des Landtages des Saarlandes angegliedert und führt die Bezeichnung "Landesbeauftragte für Datenschutz" oder "Landesbeauftragter für Datenschutz". Sie oder er leitet das Unabhängige Datenschutzzentrum Saarland.

(2) Der oder dem Landesbeauftragten für Datenschutz obliegt auch die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften bei der Verarbeitung gemäß § 3.

(3) Die oder der Landesbeauftragte für Datenschutz ist hilfeleistende Behörde nach Artikel 13 Absatz 2 Buchstabe a des Übereinkommens vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (BGBl. 1985 II S. 538, 539) in Verbindung mit Artikel 2 des Gesetzes zu dem Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten vom 13. März 1985 (BGBl. II S. 538).

(4) Die oder der Landesbeauftragte für Datenschutz ist bei der Ausübung ihrer oder seiner Aufgaben völlig unabhängig und an Weisungen nicht gebunden.

(5) Der oder dem Landesbeauftragten für Datenschutz ist die für die Erfüllung ihrer oder seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen. Die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen. Die oder der Landesbeauftragte für Datenschutz ist im Rahmen ihrer oder seiner Zuständigkeit oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung und oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung, des § 119 des Sozialgerichtsgesetzes sowie des § 86 der Finanzgerichtsordnung.

(6) Die Beamtinnen und Beamten bei der oder dem Landesbeauftragten für Datenschutz werden auf deren oder dessen Vorschlag durch die Präsidentin oder den Präsidenten des Landtages ernannt. Dienstvorgesetzte oder Dienstvorgesetzter der Beamtinnen und Beamten ist die oder der Landesbeauftragte für Datenschutz, an deren oder dessen Weisungen sie ausschließlich gebunden sind. Die oder der Landesbeauftragte für Datenschutz übt für die bei ihr oder ihm tätigen Beamtinnen und Beamten die Aufgaben und Befugnisse der obersten Dienstbehörde aus. Die Tarifbeschäftigten werden auf Vorschlag der oder des Landesbeauftragten für Datenschutz von der Präsidentin oder dem Präsidenten des Landtages eingestellt und entlassen.

(7) Die oder der Landesbeauftragte für Datenschutz kann Aufgaben der Personalverwaltung und Personalwirtschaft auf die Landtagsverwaltung und auf andere Stellen des Landes übertragen, soweit hierdurch die völlige Unabhängigkeit der oder des Landesbeauftragten für Datenschutz nicht beeinträchtigt wird.

(8) Die oder der Landesbeauftragte für Datenschutz bestellt eine Mitarbeiterin oder einen Mitarbeiter zur Stellvertreterin oder zum Stellvertreter. Die Stellvertreterin oder der Stellvertreter führt die Geschäfte, wenn die oder der Landesbeauftragte für Datenschutz an der Ausübung des Amtes verhindert ist. § 17 Absatz 1 Satz 1 gilt entsprechend.

§ 17 Ernennung und Amtszeit

(1) Die oder der Landesbeauftragte für Datenschutz muss neben der erforderlichen Erfahrung und Sachkunde nach Artikel 53 Absatz 2 der Verordnung (EU) 2016/679, insbesondere im Bereich des Schutzes personenbezogener Daten, die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst haben. Die oder der Landesbeauftragte für Datenschutz wird durch den Landtag für sechs Jahre gewählt und in ein Beamtenverhältnis auf Zeit berufen. Sie oder er wird von der Präsidentin oder dem Präsidenten des Landtages ernannt. Die Wiederwahl und die Ernennung für weitere Amtszeiten sind zulässig. Das Amt ist bis zum Eintritt der Nachfolge weiterzuführen, längstens jedoch sechs Monate nach Ablauf der Amtszeit.

(2) Die oder der Landesbeauftragte für Datenschutz kann außer auf eigenen Antrag nur im Wege der Amtsenthebung nach Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 wegen einer begangenen schweren Verfehlung oder einer nicht mehr erfüllten Voraussetzung für die Wahrnehmung ihrer oder seiner Aufgaben durch die Präsidentin oder den Präsidenten des Landtages nach Abwahl durch den Landtag des Saarlandes entlassen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt. Die Dienstaufsicht übt die Präsidentin oder der Präsident des Landtages aus, soweit die Unabhängigkeit der oder des Landesbeauftragten für Datenschutz hierdurch nicht beeinträchtigt wird.

§ 18 Rechte und Pflichten

(1) Die oder der Landesbeauftragte für Datenschutz sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und übt während ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf sie oder er neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben sowie weder der Leitung, dem Aufsichtsrat oder dem Verwaltungsrat eines auf Erwerb gerichteten Unternehmens, noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. Sie oder er hat der Präsidentin oder dem Präsidenten des Landtages Mitteilung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. Die Präsidentin oder der Präsident des Landtages entscheidet über die Verwendung der Geschenke.

(2) Die oder der Landesbeauftragte für Datenschutz ist verpflichtet, über die ihr oder ihm amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Landesbeauftragte für Datenschutz trifft die Entscheidungen nach § 59 des Saarländischen Beamtengesetzes für sich, vormalige Landesbeauftragte für Datenschutz und ihre oder seine Mitarbeiterinnen und Mitarbeiter in eigener Verantwortung. Wird eine Beamtin oder ein Beamter oder eine Richterin oder ein Richter zur oder zum Landesbeauftragten für Datenschutz ernannt, so ruhen für die Dauer der Amtszeit die in dem Dienstverhältnis begründeten Rechte und Pflichten mit Ausnahme der Pflicht zur Verschwiegenheit und des Verbots zur Annahme von Belohnungen und Geschenken.

(3) In den nach diesem Gesetz begründeten Zuständigkeiten vertritt die oder der Landesbeauftragte für Datenschutz das Saarland im gerichtlichen Verfahren.

(4) Die oder der Landesbeauftragte für Datenschutz kann sich jederzeit an den Landtag wenden. Sie oder er kann an den Sitzungen der Ausschüsse des Landtages teilnehmen und sich zu Fragen äußern, die für den Datenschutz von Bedeutung sind.

(5) Die oder der Landesbeauftragte für Datenschutz unterliegt der Rechnungsprüfung durch den Rechnungshof, soweit hierdurch ihre oder seine Unabhängigkeit im Sinne von Artikel 52 Absatz 1 der Verordnung (EU) 2016/679 nicht beeinträchtigt wird.

§ 19 Wahrnehmung der Aufgaben nach Artikel 57 und Artikel 59 der Verordnung (EU) 2016/679; sonstige Aufgaben und Mitwirkungspflichten 21

(1) Die oder der Landesbeauftragte für Datenschutz nimmt die Aufgaben nach Artikel 57 der Verordnung (EU) 2016/679 wahr. Dabei kontrolliert sie oder er die Einhaltung der Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes und anderer datenschutzrechtlicher Bestimmungen.

(2) Vor dem Erlass von Rechts- und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, ist die oder der Landesbeauftragte für Datenschutz zu hören. Sie oder er ist bei Planungen des Landes oder der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts zum Aufbau automatisierter Informationssysteme rechtzeitig zu unterrichten, sofern in den Systemen personenbezogene Daten verarbeitet werden sollen.

(3) Die Landesregierung nimmt zu den sie betreffenden Teilen des Tätigkeitsberichts der oder des Landesbeauftragten für Datenschutz nach Artikel 59 der Verordnung (EU) 2016/679 gegenüber dem Landtag schriftlich oder elektronisch Stellung. Diese soll innerhalb von sechs Monaten nach Vorlage des Tätigkeitsberichts dem Landtag zugeleitet werden.

§ 20 Wahrnehmung der Befugnisse der oder des Landesbeauftragten für Datenschutz nach Artikel 58 der Verordnung (EU) 2016/679; sonstige Befugnisse

(1) Die Befugnisse der oder des Landesbeauftragten für Datenschutz nach Artikel 58 der Verordnung (EU) 2016/679 beziehen sich auf die Kontrolle der Einhaltung der Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes und anderer datenschutzrechtlicher Bestimmungen sowie auf Verstöße gegen diese Vorschriften.

(2) Zusätzlich zu den Befugnissen nach Artikel 58 Absatz 1 bis Absatz 3 der Verordnung (EU) 2016/679 kann die oder der Landesbeauftragte für Datenschutz im Falle von Verstößen im Sinne von Absatz 1 diese mit der Aufforderung beanstanden, innerhalb einer bestimmten Frist Stellung zu nehmen. Gleichzeitig ist auch die zuständige Rechts- oder Fachaufsichtsbehörde zu unterrichten. Die Beanstandung nach Satz 1 soll auch die Maßnahmen darstellen, die die Verstöße beseitigen sollen. Die Stellungnahme ist vom Verantwortlichen der oder dem Landesbeauftragten für Datenschutz und der zuständigen Fach- und Rechtsaufsichtsbehörde zuzuleiten.

(3) Die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679 und nach Absatz 2 dieser Vorschrift übt die oder der Landesbeauftragte für Datenschutz gegenüber dem Verantwortlichen aus. Bei den Gemeinden und Gemeindeverbänden sowie bei den sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts sowie bei Vereinigungen im Sinne von § 2 Absatz 1 übt die oder der Landesbeauftragte für Datenschutz die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679 und nach Absatz 2 dieser Vorschrift gegenüber dem vertretungsberechtigten Organ aus.

(4) Die öffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere

  1. Auskunft auf die Fragen zu erteilen sowie Einsicht in alle Vorgänge und Aufzeichnungen zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen,
  2. jederzeit - auch unangemeldet - ungehinderten Zutritt zu allen Diensträumen zu gewähren.

In den Fällen des § 3 Absatz 1 dürfen die Befugnisse nach Satz 1 und Satz 2 nur von der oder dem Landesbeauftragten für Datenschutz persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten einer betroffenen Person, der von der Daten verarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihr gegenüber nicht offenbart werden.

(5) Die oder der Landesbeauftragte für Datenschutz ist im Rahmen der ihr oder ihm durch § 16 Absatz 1 und 2 zugewiesenen Aufgaben zuständig für die Verfolgung und Ahndung von Ordnungswidrigkeiten. Die Befugnis, Geldbußen zu verhängen, steht der oder dem Landesbeauftragten gegenüber Behörden und öffentlichen Stellen nur zu, soweit diese als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.

(6) Die oder der Landesbeauftragte für Datenschutz kann Empfehlungen zur Verbesserung des Datenschutzes geben, insbesondere kann sie oder er den Landtag, die Landesregierung und die sonstigen öffentlichen Stellen in Fragen des Datenschutzes beraten.

(7) Auf Ersuchen des Landtages, des Petitionsausschusses des Landtages oder des für den Datenschutz zuständigen Landtagsausschusses kann die oder der Landesbeauftragte für Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die ihren oder seinen Aufgabenbereich unmittelbar betreffen, nachgehen.

(8) Der Landtag, seine Ausschüsse und die Landesregierung können die Landesbeauftragte oder den Landesbeauftragten für Datenschutz um die Erstattung von Gutachten und Stellungnahmen oder die Durchführung von Untersuchungen in Datenschutzfragen ersuchen.

§ 21 Kostenerhebung

(1) In der Funktion als Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes kann die oder der Landesbeauftragte für Datenschutz unbeschadet des Artikels 57 Absatz 3 der Verordnung (EU) 2016/679 für Amtshandlungen und sonstige öffentlich-rechtliche Leistungen nach der Verordnung (EU) 2016/679 und dem Bundesdatenschutzgesetz Gebühren und Auslagen erheben. Die Gebühren und Auslagen fließen dem Land zu.

(2) Die Landesregierung wird ermächtigt, die gebührenpflichtigen Tatbestände und Gebührensätze im Einvernehmen mit der oder dem Landesbeauftragten für Datenschutz durch Rechtsverordnung nach § 5 des Gesetzes über die Erhebung von Verwaltungs- und Benutzungsgebühren im Saarland vom 24. Juni 1964 (Amtsbl. S. 629), zuletzt geändert durch Artikel 3 Absatz 2 des Gesetzes vom 15. Februar 2006 (Amtsbl. S. 474, 530), in der jeweils geltenden Fassung, festzulegen.

(3) Gebühren und Auslagen für Untersuchungen nach Artikel 57 Absatz 1 Buchstabe f und h der Verordnung (EU) 2016/679 werden nur erhoben, wenn ein Verstoß gegen die Verordnung (EU) 2016/679, das Bundesdatenschutzgesetz oder eine andere Bestimmung über den Datenschutz festgestellt wird. Untersuchungen oder Beratungen einfacher Art und die Beratung nicht öffentlicher Stellen ohne Gewinnerzielungsabsicht sind insoweit kostenfrei.

(4) Die Höhe der Verwaltungsgebühr ist nach dem Verwaltungsaufwand und der Bedeutung der Angelegenheit für die Beteiligten zu bemessen.

(5) Die oder der Landesbeauftragte für Datenschutz entscheidet in eigener Verantwortung über die Ermäßigung oder Befreiung von Gebühren und Auslagen, soweit dies aus Gründen der Billigkeit oder aus öffentlichem Interesse geboten ist. Im Übrigen findet das Gesetz über die Erhebung von Verwaltungs- und Benutzungsgebühren im Saarland entsprechende Anwendung.

Sechster Abschnitt
Besondere Verarbeitungssituationen

§ 22 Verarbeitung von Beschäftigtendaten

(1) Öffentliche Stellen dürfen personenbezogene Daten von Bewerbern oder Beschäftigten nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung dies vorsieht. § 7 gilt ergänzend.

(2) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

(3) Zur Aufdeckung von Straftaten oder einer erheblichen Dienstpflichtverletzung dürfen personenbezogene Daten von Beschäftigten nach Absatz 1 oder 2 nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Dienst- oder Arbeitsverhältnis eine Straftat oder eine erhebliche Dienstpflichtverletzung begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(4) Die nach Absatz 1 gespeicherten personenbezogenen Daten von Beschäftigten dürfen durch den Verantwortlichen zur Ermöglichung von Auswertungen zu den in Absatz 1 genannten Zwecken zusammengeführt und für die Dauer der Speicherung in den Quellsystemen vorgehalten werden.

(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.

(6) Eine Veröffentlichung der Daten von Beschäftigten ist unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 nur zulässig, wenn diese zum Zweck der Information der Allgemeinheit oder der anderen Beschäftigten erforderlich ist und ihr keine schutzwürdigen Interessen der betroffenen Person entgegenstehen.

(7) Daten, die vor Beginn eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt werden. Die betroffene Person ist hiervon zu verständigen.

(8) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU 2016/679) zu beachten.

(9) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

§ 23 Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken

(1) Die Verarbeitung personenbezogener Daten einschließlich solcher nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zu bestimmten wissenschaftlichen oder historischen Forschungszwecken ist zulässig, soweit dies für die Durchführung der wissenschaftlichen oder historischen Forschung erforderlich ist, insbesondere der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann, und wenn das öffentliche, insbesondere das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person am Unterbleiben der Verarbeitung erheblich überwiegt. Bei der Verarbeitung personenbezogener Daten zu bestimmten wissenschaftlichen oder historischen Forschungszwecken sind diese zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Ist dies nicht möglich, sind sie zu pseudonymisieren. Die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, sind getrennt zu speichern. Die Merkmale sind zu löschen, sobald der Forschungszweck dies zulässt.

(2) Soweit die Vorschriften dieses Gesetzes auf den Empfänger der Daten keine Anwendung finden, dürfen diesem nur personenbezogene Daten übermittelt werden, wenn sich der Empfänger verpflichtet, die übermittelten Daten nur zu den bereits bestimmten Forschungszwecken zu verarbeiten und die Vorschriften der Absätze 1 und 3 einzuhalten. Die übermittelnde Stelle unterrichtet die Landesbeauftragte oder den Landesbeauftragten für Datenschutz.

(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 personenbezogene Daten nur veröffentlichen, soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.

(4) Ein Anspruch auf Auskunft nach Artikel 15, auf Berichtigung nach Artikel 16, auf Einschränkung der Verarbeitung nach Artikel 18 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679 besteht nicht, soweit und solange die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt.

§ 24 Verarbeitung zu Archivzwecken

(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte der betroffenen Personen vorgesehen werden.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß § 8 Absatz 2 vor.

(3) Ein Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen. Die Auskunft unterbleibt ferner in den Fällen des § 11 Absatz 2. § 11 Absatz 3 gilt entsprechend. Nach dem Tod der betroffenen Personen kann der Auskunftsanspruch nach Satz 1 durch den Ehegatten, den Lebenspartner, die Kinder oder die Eltern geltend gemacht werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.

(4) Ein Recht der betroffenen Person auf Berichtigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht. Die betroffene Person kann verlangen, dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beizufügen, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.

(5) Die in Artikel 18, 19, 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen.

(6) Soweit öffentliche Stellen verpflichtet sind, gespeicherte personenbezogene Unterlagen aufgrund einer Rechtsvorschrift einem Archiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung personenbezogener Daten erst zulässig, nachdem die Unterlagen dem Archiv angeboten und von diesem nicht als archivwürdig übernommen worden sind. Dies gilt auch, wenn das Archiv nicht innerhalb einer durch Rechtsvorschrift bestimmten Frist über die Übernahme entschieden hat.

§ 25 Videoüberwachung

(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optischelektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,

  1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
  2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen

zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.

(2) Der Umstand der Videoüberwachung, Name und Kontaktdaten der verantwortlichen Stelle sowie die Möglichkeit, beim Verantwortlichen die Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.

(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung entsprechend Artikel 13 und 14 der Verordnung (EU) 2016/679. § 10 gilt entsprechend.

(5) Die nach Absatz 1 erhobenen Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des verfolgten Zwecks nicht mehr erforderlich sind. Dies gilt nicht, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von zivilrechtlichen Ansprüchen erforderlich sind.

(6) Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten unbeschadet des Artikel 35 Absatz 2 der Verordnung (EU) 2016/679 rechtzeitig vor dem Einsatz einer Videoüberwachung nach Absatz 1 den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Absatz 2 und die vorgesehenen Auswertungen mitzuteilen.

Siebter Abschnitt
Durchführungsbestimmungen zu den Artikeln 77 bis 84 der Verordnung (EU) 2016/679
(Rechtsbehelfe, Haftung und Sanktionen)

§ 26 Gerichtlicher Rechtsschutz

Für Streitigkeiten zwischen einer öffentlichen Stelle oder natürlichen Person und der oder dem Landesbeauftragten für Datenschutz über Rechte gemäß § 3 Absatz 1 in Verbindung mit Artikel 78 Absatz 1 und 2 und Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 gilt § 20 Absatz 1 bis 6 des Bundesdatenschutzgesetzes entsprechend.

§ 27 Ordnungswidrigkeiten und Strafvorschrift

(1) Ordnungswidrig handelt, wer entgegen der Verordnung (EU) 2016/679, diesem Gesetz oder einer anderen Rechtsvorschrift zum Schutz personenbezogener Daten geschützte personenbezogene Daten, die nicht offenkundig sind, unbefugt

  1. erhebt, speichert, verwendet, verändert, übermittelt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht,
  2. abruft, sich oder einem anderen verschafft oder durch unrichtige oder unvollständige Angaben ihre Übermittlung an sich oder andere veranlasst.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

(3) Die oder der Landesbeauftragte für Datenschutz ist Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 5 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung.

(4) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine der in Absatz 1 genannten Handlungen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die oder der Landesbeauftragte für Datenschutz.

Achter Abschnitt
Schlussvorschriften

§ 28 Einschränkung eines Grundrechts

Das Grundrecht auf informationelle Selbstbestimmung nach Artikel 2 Satz 2 der Verfassung des Saarlandes wird durch dieses Gesetz eingeschränkt.

UWS Umweltmanagement GmbHENDEFrame öffnen