Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Änderungstext

Gesetz Nr. 1477 zur Änderung des Saarländischen Datenschuztgesetzes und anderer Rechtsvorschriften

Vom 22. August 2001
(ABl. vom 29. November 2001 Nr. 53 S. 2066)

Der Landtag des Saarlandes hat folgendes Gesetz beschlossen, das hiermit verkündet wird:

Artikel 1
Änderung des Saarländischen Datenschutzgesetzes

Das Saarländische Gesetz zum Schutz personenbezogener Daten (Saarländisches Datenschutzgesetz - SDSG -) vom 24. März 1993 (Amtsbl. S. 286), geändert durch Gesetz vom 16. März 1994 (Amtsbl. S. 742), wird wie folgt geändert:

1. Die Inhaltsübersicht wird wie folgt geändert:

..

2. § 2 wird wie folgt geändert:

a) Absatz 1 erhält folgende Fassung:


altneu
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch die Behörden und sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und für deren Vereinigungen. Für den Landtag und für die Gerichte, den Rechnungshof sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz nur, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Zweiten Teils. "(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch die Behörden und sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). Als öffentliche Stellen gelten auch Vereinigungen ungeachtet ihrer Rechtsform, die Aufgaben öffentlicher Verwaltung wahrnehmen und an denen eine oder mehrere der in Satz 1 genannten Stellen mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind; Gleiches gilt für weitere Beteiligungen dieser Vereinigungen. Nehmen nichtöffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes. Für den Landtag und für die Gerichte, den Rechnungshof sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz. nur, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Zweiten Teils."

b) Absatz 2 wird wie folgt geändert:

In § 2 Abs. 2 Satz 1 werden die Worte " § 8 Abs. 1 und die §§ 9, 28 bis 30" durch die Worte " § 7 Abs. 1 und die §§ 9, 30 bis 32" ersetzt.

3. § 3 wird wie folgt geändert:.

a) In Absatz 2 Nr. 4 wird das Wort "datenverarbeitende" durch das Wort "verantwortliche" ersetzt.

b) In Absatz 3 wird das Wort "Datenverarbeitende" durch das Wort "Verantwortliche" ersetzt.

c) Die Absätze 4 und 5 erhalten folgende Fassung:


altneu
(4) Dritter ist jede Person oder Stelle außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Stellen, die als Auftragnehmer (§ 5) im Geltungsbereich des Grundgesetzes tätig werden.

(5) Eine Datei ist

  1. eine Sammlung von Daten, die ohne Rücksicht auf die Art der Speicherung durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei) oder
  2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nichtautomatisierte Datei).
 "(4) Empfänger ist jede Person oder Stelle, die personenbezogene Daten erhält.

(5)Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle, es sei denn, es handelt sich hierbei um den Betroffenen oder Stellen die im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag verarbeiten (§ 5)."

d) Nach Absatz 5 wird folgender Absatz 6 eingefügt:

"(6) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft."

e) Der bisherige Absatz 6 wird Absatz 7 und nach dem Wort "amtlichen" werden die Worte "oder dienstlichen" eingefügt.

f) Der bisherige Absatz 7 wird Absatz 8 und folgender Satz angefügt:

"Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren."

g) Nach Absatz 8 wird folgender Absatz 9 angefügt:

(9) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger,

1. die an den Betroffenen ausgegeben wert den,

2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und

3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann."

4. § 4 wird wie folgt gefasst:


altneu
§ 4 Zulässigkeit der Datenverarbeitung; Datenvermeidung und Datensparsamkeit

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn

  1. der Betroffene eingewilligt hat oder
  2. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt.

Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung über die Empfänger der Daten aufzuklären; er ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß er die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann.

 " § 4 Zulässigkeit der Datenverarbeitung; Datenvermeidung und Datensparsamkeit

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn

a) dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder

b) der Betroffene eingewilligt hat.

Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung an Dritte über diese aufzuklären; er ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass er die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann.

(2) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben ist nur auf Grund einer besonderen Rechtsvorschrift zulässig. Dies gilt nicht, wenn

1. der Betroffene eingewilligt hat,

2. die Datenverarbeitung ausschließlich in seinem lebenswichtigen Interesse liegt und eine Einwilligung nicht oder nicht rechtzeitig eingeholt werden konnte,

3. die Angaben aus allgemein zugänglichen Quellen stammen und vom Betroffenen selbst offenbart wurden,

4. die Datenverarbeitung im Rahmen der Vorschriften der §§ 30, 31, 32 oder 33 erforderlich ist,

5. ein rechtliches Interesse an der Verarbeitung der Daten besteht oder

6. die Datenverarbeitung zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Strafverfolgung erforderlich ist.

(3) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung seiner personenbezogenen Daten gestützt werden, die der. Bewertung einzelner Persönlichkeitsmerkmale dienen. Dies gilt nicht, wenn

1. eine Rechtsvorschrift dies ausdrücklich vorsieht,

2. damit dem Begehren des Betroffenen stattgegeben wird oder

3. dem Betroffenen die Tatsache einer Entscheidung nach Satz 1 mitgeteilt und ihm Gelegenheit gegeben wird, hierzu Stellung zu nehmen. Die verantwortliche Stelle ist verpflichtet, nach Eingang der Stellungnahme ihre Entscheidung erneut zu prüfen.

(4) Bei der Verarbeitung personenbezogener Daten haben sich die Art der Datenverarbeitung sowie die Auswahl und Gestattung hierzu bestimmter technischer Einrichtungen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten."


5. § 5 wird wie folgt geändert:

a) Absatz 1 erhält folgende Fassung:


altneu
(1) Die datenverarbeitende Stelle bleibt für die Einhaltung der Vorschriften über den Datenschutz verantwortlich, auch wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Die in § 6 genannten Rechte sind ihr gegenüber geltend zu machen. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Der Auftraggeber hat darauf zu achten, daß beim Auftragnehmer die nach § 11 erforderlichen Maßnahmen getroffen sind. "(1) Werden personenbezogene Daten im Auftrag einer öffentlichen Stelle verarbeitet, so bleibt sie verantwortliche Stelle im Sinne dieses Gesetzes. Der Auftragnehmer ist unter besonderer Berücksichtigung seiner Eignung sorgfältig auszuwählen. Der Auftrag ist schriftlich unter Festlegung von Gegenstand und Umfang der Datenverarbeitung zu erteilen. Er muss Weisungen zur Umsetzung der Vorgaben des § 11 enthalten. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen des vertraglich Festgelegten verarbeiten. Unterauftragsverhältnisse bedürfen ausdrücklicher Zustimmung. Der Auftraggeber hat darauf zu achten, dass beim Auftragnehmer die nach § 11 Abs. 2 erforderlichen Maßnahmen getroffen sind."

b) In Absatz 2 wird die Angabe " §§ 7, 8 Abs. 1, §§ 11, 22, 24 bis 27, 33 und 34" durch die Angabe " §§ 6, 7 Abs. 1, §§ 8, 11, 23, 26 bis 29, 35 und 36" ersetzt.

c) Nach Absatz 3 wird folgender Absatz 4 angefügt:

"(4) Die Absätze 1 bis 3 gelten entsprechend für Personen und Stellen, die im Auftrag die Wartung und Betreuung von Anlagen und Verfahren zur automatisierten Datenverarbeitung wahrnehmen."

6. § 6

§ 6 Rechte des Betroffenen

Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf

  1. Auskunft über die zu seiner Person gespeicherten Daten (§ 18),
  2. Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten (§ 19),
  3. Schadensersatz (§ 20),
  4. Anrufung des Landesbeauftragten für Datenschutz (§ 25 Abs. 1),
  5. Auskunft aus dem beim Landesbeauftragten für Datenschutz geführten Dateienregister (§ 23 Abs. 2) sowie Einsicht in dieses Register.

Diese Rechte können auch durch die Einwilligung des Betroffenen nicht ausgeschlossen oder beschränkt werden.

wird aufgehoben; der bisherige § 7 wird § 6.

7. Der bisherige § 8 wird § 7 und in Absatz 2 wie folgt geändert:

a) In Satz 1 wird das Wort "Dateibeschreibung" durch das Wort "Verfahrensbeschreibung" ersetzt.

b) In Satz 3 wird das Wort "datenverarbeitende" durch das Wort "verantwortliche" ersetzt.

8. Folgender § 8 wird eingefügt:

" § 8 Behördlicher Datenschutzbeauftragter

(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, können einen behördlichen Datenschutzbeauftragten und einen Vertreterschriftlich bestellen. Diese müssen für ihre Tätigkeit geeignet sein, insbesondere über die erforderliche Zuverlässigkeit und Sachkunde verfügen. Die Bestellung externer Datenschutzbeauftragter ist zulässig, auch können mehrere öffentliche Stellen gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, sofern die Aufgabenerfüllung hierdurch nicht beeinträchtigt wird. Der behördliche Datenschutzbeauftragte ist im Rahmen seiner Aufgabenerfüllung unmittelbar der Leitung der öffentlichen Stelle unterstellt. In Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. In seiner Funktion ist der behördliche Datenschutzbeauftragte weisungsfrei. Er kann sich unmittelbar an den Landesbeauftragten für Datenschutz wenden. Der behördliche Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Soweit erforderlich, ist er von anderen Tätigkeiten frei zu stellen und mit räumlichen, sachlichen und personellen Mitteln auszustatten.

(2) Der behördliche Datenschutzbeauftragte hat die verantwortliche Stelle bei der Ausführung datenschutzrechtlicher Vorschriften zu unterstützen und auf deren Einhaltung hinzuwirken. Zu den Aufgaben des behördlichen Datenschutzbeauftragten zählen insbesondere:

1. die nach § 9 zu erstellenden Verfahrensbeschreibungen zu führen,

2. die Vorabkontrolle nach § 11 Abs. 1 in Zusammenarbeit mit der verantwortlichen Stelle durchzuführen,

3. die verantwortliche Stelle bei dem Erarbeiten technischer und organisatorischer Maßnahmen nach § 11 Abs. 2 und 3 zu unterstützen und

4. die mit der Verarbeitung personenbezogener Daten befassten Personen mit den Bestimmungen dieses Gesetzes und anderer datenschutzrechtlicher Vorschriften vertraut zu machen.

Er kann zu seiner Aufgabenerfüllung jederzeit Einsicht in die Datenbestände der verantwortlichen Stelle nehmen, soweit dem nicht gesetzliche Regelungen entgegen stehen. Soweit kein behördlicher Datenschutzbeauftragter bestellt ist, obliegt die Wahrnehmung von dessen Aufgaben der öffentlichen Stelle mit Ausnahme der Führung der Verfahrensverzeichnisse (Nummer 1) und der Durchführung der Vorabkontrolle (Nummer 2). Die Führung des Verfahrensverzeichnisses und die Durchführung der Vorabkontrolle obliegen dem Landesbeauftragten für Datenschutz.

(3) Bedienstete der öffentlichen Stelle können sich in datenschutzrechtlichen Fragen jederzeit an den behördlichen Datenschutzbeauftragten wenden. Dieser ist verpflichtet, über die ihm bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder von Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der behördliche Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht durch den Betroffenen hiervon befreit wird."

9. § 9 wird wie folgt geändert:

a) Die Überschrift erhält folgende Fassung:


altneu
Dateibeschreibung und Geräteverzeichnis "Verfahrensbeschreibung".

b) Die Absätze 1 und 2 erhalten folgende Fassung:


altneu
(1) Die speichernde Stelle ist verpflichtet, in einer Dateibeschreibung schriftlich festzulegen und auf dem neuesten Stand zu halten:
  1. die Bezeichnung der Datei auf ihre Zweckbestimmung,
  2. die Art der gespeicherten personenbezogenen Daten sowie die Rechtsgrundlage ihrer Verarbeitung,
  3. den Kreis der Betroffenen
  4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Herkunft regelmäßig empfangener Daten,
  5. Fristen für die Sperrung und Löschung der Daten,
  6. die technischen und organisatorischen Maßnahmen gemäß § 11,
  7. bei automatisierten Dateien die Betriebsart des Verfahrens, die Art der Geräte, die Stellen, bei denen sie aufgestellt sind, sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

(2) Absatz 1 findet keine Anwendung auf nicht-automatisierte Dateien, aus denen keine Daten an Dritte übermittelt werden, sowie auf Dateien, die bei automatisierter Verarbeitung ausschließlich aus verarbeitungstechnischen Gründen vorübergehend vorgehalten werden.

 

"(1) Die speichernde Stelle, die für den Einsatz eines automatisierten Verfahrens zuständig ist, ist verpflichtet, in einer Verfahrensbeschreibung folgende Angaben schriftlich festzulegen:

1. Name und Anschrift der verantwortlichen Stelle,

2. die Bezeichnung des Verfahrens und seine Zweckbestimmungen sowie die jeweiligen Rechtsgrundlagen,

3. die Art der verarbeiteten personenbezogenen Daten,

4. den Kreis der Betroffenen,

5. die Art regelmäßig zu übermittelnder personenbezogener Daten, deren Empfänger sowie Art und Herkunft regelmäßig empfangener Daten,

6. eine geplante Datenübermittlung in Drittländer,

7. Fristen für die Sperrung und Löschung der Daten,

8. die Ergebnisse der Vorabkontrolle nach § 11 Abs. 1,

9. die technischen und organisatorischen Maßnahmen nach § 11 Abs. 2,

10. die Technik der Verfahren, einschließlich Hard- und Software und

11. die zugriffsberechtigten Personen oder Personengruppen.

Änderungen sind dem behördlichen Datenschutzbeauftragten mitzuteilen. Soweit speichernde und verantwortliche Stelle nicht identisch sind, sind diese Verfahrensbeschreibung und deren Änderungen auch dem behördlichen Datenschutzbeauftragten der verantwortlichen Stelle zur Verfügung zu stellen.

(2) Die Angaben der Verfahrensbeschreibung können bei dem behördlichen Datenschutzbeauftragten der verantwortlichen Stelle von jedermann eingesehen werden. Dies gilt jedoch insbesondere für die Angaben zu den Nummern 8, 9 und 10 nur, soweit hierdurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für

1. Verfahren des Landesamtes für Verfassungsschutz,

2. Verfahren zum Zwecke der Gefahrenabwehr und der Strafverfolgung,

3. Verfahren der Steuerfahndung,

4. Verfahren der öffentlich-rechtlichen Unternehmen, die am Wettbewerb teilnehmen,

soweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt."

c) Absatz 3 wird wie folgt gefasst:


altneu
(3) Die datenverarbeitende oder in ihrem Auftrag tätige Stelle ist verpflichtet, in einem Verzeichnis der Geräte, mit denen personenbezogene Daten verarbeitet werden, festzulegen:
  1. den Typ und die Art der Geräte,
  2. den Hersteller,
  3. die Anzahl der Geräte,
  4. das verwendete Betriebssystem,
  5. die Möglichkeiten zur Datenfernverarbeitung und Datenübertragung.

Das Verzeichnis ist laufend auf dem neuesten Stand zu halten. Weitere in das Verzeichnis aufzunehmende Angaben über die Beschaffenheit der Geräte und deren Verwendung bestimmt das Ministerium des Innern durch Rechtsverordnung nach Anhörung des Landesbeauftragten für Datenschutz.

 "(3) Soweit eine verantwortliche Stelle keinen behördlichen Datenschutzbeauftragten bestellt hat, tritt an dessen Stelle der Landesbeauftragte für Datenschutz."

10. § 10 wird wie folgt geändert:

a) In Absatz 3 werden nach der Angabe "11" die Worte "Abs. 2" eingefügt.

b) Folgender Absatz 7 wird angefügt:

"(7) Die Absätze 1 bis 6 gelten entsprechend für die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen. Die Beteiligten bestimmen eine nach diesem Gesetz verantwortliche Stelle und legen schriftlich den jeweiligen Verantwortungsbereich fest."

11. § 11 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Technische" durch die Worte "Vorabkontrolle; technische" ersetzt.

b) Die Absätze 1 und 2 erhalten folgende Fassung:


altneu
(1) Öffentliche Stellen, die selbst oder im Auftrag einer anderen öffentlichen Stelle personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, uni eine den Vorschriften über den Datenschutz entsprechende Verarbeitung der Daten sicherzustellen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten geeignet sind,

  1. Unbefugten den Zugang zu den Datenverarbeitungsanlagen zu verwehren (Zugangskontrolle),
  2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),
  4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
  5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  6. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen durch Einrichtungen zur Datenübertragung übermittelt worden sind (Übermittlungskontrolle),
  7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  8. zu gewährleisten, daß Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  9. zu gewährleisten, daß bei der Übertragung der Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
 

"(1) Vor dem erstmaligen Einsatz automatisierter Verfahren zur Verarbeitung personenbezogener Daten ist zu prüfen, welche Gefahren hierdurch für das informationelle Selbstbestimmungsrecht erwachsen können (Vorabkontrolle). Automatisierte Verfahren dürfen nur dann eingesetzt werden, wenn sichergestellt ist, dass keine Gefahren für das informationelle Selbstbestimmungsrecht bestehen oder diese durch Maßnahmen nach Absatz 2 verhindert werden können. Diese Maßnahmen müssen unter Berücksichtigung des Standes .der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Gefahren und der Art der zu schützenden personenbezogenen Daten angemessen ist.

(2) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht Wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkafegorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)'

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)'

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass diese Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können."


c) In Absatz 3 werden die Worte "in nicht automatisierten Dateien oder in Akten" durch die Worte "nicht automatisiert" ersetzt.

12. § 12 wird wie folgt geändert:

a) Der Überschrift wird ein Semikolon und das Wort "Benachrichtigung" angefügt.

b) Absatz 1 erhält folgende Fassung:


altneu
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Personenbezogene Daten sind grundsätzlich beim Betroffenen mit seiner Kenntnis zu erheben. "(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Personenbezogene Daten sind grundsätzlich bei dem Betroffenen mit dessen Kenntnis zu erheben. Dieser ist über den Verwendungszweck aufzuklären. Werden personenbezogene Daten auf Grund einer Rechtsvorschrift erhoben, ist diese anzugeben und zu erläutern. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, ist der Betroffene hierauf, ansonsten auf die Freiwilligkeit seiner Angaben, hinzuweisen."

c) Absatz 2 Halbsatz 1 erhält folgende Fassung:


altneu
Beim Betroffenen dürfen ohne seine Kenntnis personenbezogene Daten nur erhoben werden "Das Erheben personenbezogener Daten bei dem Betroffenen ohne dessen Kenntnis ist nur zulässig,"

d) Absatz 3 wird wie folgt geändert:

aa) Die Worte "Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstaben b bis g" werden durch die Worte "in § 13 Abs. 2 Satz 1 Buchstaben b bis g genannten Voraussetzungen" ersetzt.

bb) Folgender Satz wird angefügt:

"Im Falle des § 13 Abs. 2 Satz 1 Buchstabe d ist der Betroffene darauf hinzuweisen, wo die Daten erhöben werden können."

e) Dem Absatz 4 werden folgende Sätze angefügt:

"Auf Verlangen des Dritten ist dieser über den Verwendungszweck aufzuklären. Auf eine Auskunftsverpflichtung, ansonsten auf die Freiwilligkeit der Angaben, ist hinzuweisen."

f) Absatz 5 erhält folgende Fassung:


altneu
(5) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist er über den Verwendungszweck aufzuklären. Werden die Daten auf Grund einer Rechtsvorschrift erhoben, so ist der Betroffene in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, ist der Betroffene hinauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, dann ist er davon zu benachrichtigen, sobald die Erfüllung der Aufgaben dadurch nicht mehr gefährdet wird. Die Benachrichtigung umfaßt die Angabe der Rechtsgrundlage und die in Satz 1 und 2 vorgesehene Aufklärung. Im Falle einer Datenerhebung nach Absatz 3 unter den Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstabe d ist der Betroffene darauf hinzuweisen, bei welchen Stellen seine Daten erhoben werden können. "(5) Werden personenbezogene Daten ohne Kenntnis des Betroffenen erhoben, ist dieser von der Datenerhebung zu benachrichtigen, sofern die Aufgabenerfüllung hierdurch nicht beeinträchtigt ist. Im Falle einer beabsichtigten Übermittlung hat die Benachrichtigung spätestens mit deren Durchführung zu erfolgen, sofern die Aufgabenerfüllung hierdurch nicht beeinträchtigt ist. Die Benachrichtigung umfasst zumindest die Angabe des Verwendungszwecks und der Rechtsgrundlage sowie einen Hinweis auf die Rechte des Betroffenen nach dem dritten Abschnitt. Eine Pflicht zur Benachrichtigung besteht nicht, wenn

1. die Verarbeitung ausdrücklich durch Rechtsvorschrift vorgesehen ist,

2. Betroffene auf andere Weise Kenntnis von der Verarbeitung ihrer Daten erlangt haben oder

3. die Benachrichtigung nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre."

g) Absatz 6 wird aufgehoben.

13. § 15 wird wie folgt geändert:

a) In Absatz 1 Satz 1 werden die Worte "in automatisiert geführten Dateien gespeichert sind" durch die Worte "automatisiert verarbeitet werden" ersetzt.

b) In Absatz 3 werden die Worte "geführter Dateien" durch die Worte "automatisierter Verfahren" ersetzt.

c) Absatz 4 wird wie folgt geändert:

aa) In Satz 1 werden die Worte "bestehenden Dateien" durch die Worte "Verfahren zur automatisierten Datenverarbeitung" ersetzt.

bb) In Satz 2 wird Nummer 2

2. vorhandene Dateien,

aufgehoben und die bisherigen Nummern 3 bis 5 werden die Nummern 2 bis 4.

14. § 17 erhält folgende Fassung:


altneu
§ 17 Übermittlung an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes

(1) Eine Übermittlung personenbezogener Daten an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes sowie an über- und zwischenstaatliche Stellen ist nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen zulässig.

(2) Eine Übermittlung darf auch erfolgen, wenn die Voraussetzungen des § 14 Abs. 1 erfüllt sind und im Empfängerland gleichwertige Datenschutzregelungen gelten. Die Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß dadurch gegen den Zweck eines Gesetzes im Geltungsbereich des Grundgesetzes 1 verstoßen würde.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

 " § 17 Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

(1) Für die Übermittlung personenbezogener Daten an öffentliche Stellen der Mitgliedstaaten der Europäischen Union sowie anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder an Organe und Einrichtungen der Europäischen Union gelten die §§ 14 und 30; für die Übermittlung an nicht öffentliche Stellen gilt § 16 entsprechend.

(2) Die Übermittlung personenbezogener Daten an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nur zulässig, wenn beim Empfänger ein angemessenes Datenschutzniveau gewährleistet ist. Zu der Frage, ob das Datenschutzniveau angemessen ist, muss der Landesbeauftragte für Datenschutz gehört werden.

(3) Ist ein angemessenes Datenschutzniveau nicht gewährleistet, dürfen personenbezogene Daten nur übermittelt werden, wenn

1. der Betroffene eingewilligt hat,

2. die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist,

3. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

4. die Übermittlung für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,

5. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle geschlossen wurde oder geschlossen werden soll oder

6. die Daten aus einem Register entnommen wurden, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, offen steht, soweit die gesetzlichen Voraussetzungen zur Einsichtnahme im Einzelfall gegeben sind.

(4) Datenempfänger sind darauf hinzuweisen, dass die Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt wurden.

(5) Die Verantwortung für die Zulässigkeit von Datenübermittlungen nach den Absätzen 2 und 3 trägt die übermittelnde Stelle."

15. Folgender § 18 wird eingefügt:

" § 18 Mobile personenbezogene Speicher- und Verarbeitungsmedien

(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen

1. über ihre Identität und Anschrift,

2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,

3. darüber, wie er seine Rechte nach den §§ 20 bis 24 ausüben kann, und

4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen

unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat.

(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.

(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein."

16. Nach der Überschrift des Dritten Abschnitts wird folgender § 19 eingefügt:

" § 19 Unabdingbarkeit der Rechte des Betroffenen

Die in den §§ 20 bis 24 aufgeführten Rechte können durch Rechtsgeschäft weder ausgeschlossen noch beschränkt werden."

17. Der bisherige § 18 wird § 20 und wie folgt geändert:

a) In Absatz 1 Satz 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" und das Wort "Speicherung" durch das Wort "Verarbeitung" ersetzt.

b) In Absatz 2 Satz 2 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

c) In Absatz 3 Buchstabe a wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

d) In Absatz 4 wird folgender Satz angefügt:

"Der Betroffene ist in jedem Fall darauf hinzuweisen, dass er sich an den Landesbeauftragten für Datenschutz wenden kann."

18. Der bisherige § 19 wird § 21 und wie folgt geändert:

a) In Absatz 1 werden die Worte "in nichtautomatisierten Dateien oder in Akten" durch die Worte ", die nicht automatisiert verarbeitet werden," ersetzt.

b) In Absatz 2 wird in Satz 3 das Wort "Dateien" durch das Wort "Verfahren" und in Satz 4 das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

c) In Absatz 3 Buchstabe b wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.

19. Nach § 21 wird folgender § 22 eingefügt:

" § 22 Einwendungsrecht des Betroffenen

Betroffene können gegenüber der verantwortlichen Stelle auch gegen eine durch Rechtsvorschrift erlaubte Verarbeitung ihrer personenbezogenen Daten unter Hinweis auf ein schutzwürdiges besonderes persönliches Interesse im Einzelfall schriftlich Einwände vorbringen. In diesen Fällen bleibt die Verarbeitung nur dann zulässig, wenn eine Prüfung ergibt, dass das öffentliche Interesse an der Verarbeitung überwiegt. Betroffene sind über das Ergebnis der Prüfung schriftlich zu unterrichten. Wird dem Einwand nicht entsprochen, ist der Betroffene darauf hinzuweisen, dass er sich an den Landesbeauftragten für Datenschutz wenden kann.- Das Einwendungsrecht besteht nicht, wenn eine Rechtsvorschrift zur Verarbeitung verpflichtet."

20. § 23

§ 23 Dateienregister

(1) Die speichernde Stelle ist verpflichtet, dem Landesbeauftragten für Datenschutz die Beschreibung aller automatisiert geführten Dateien, in denen personenbezogene Daten gespeichert sind, mit den Angaben der Dateibeschreibung (§ 9 Abs. 1) vorzulegen. Der Landesbeauftragte für Datenschutz führt ein Register dieser Dateien (Dateienregister).

(2) Der Landesbeauftragte für Datenschutz erteilt auf Antrag unentgeltlich schriftlich Auskunft aus dem Register, soweit der Antragsteller ein berechtigtes Interesse darlegt. Das Dateienregister kann von jedermann eingesehen werden. Auskunfts- und Einsichtsrecht gelten nicht. für die von den in § 18 Abs. 5 und § 2 Abs. 2 Satz 1 genannten Stellen gemeldeten Dateien und für die in § 9 Abs. 1 Nr. 6 und 7 genannten Angaben.

wird aufgehoben; der bisherige § 25 wird § 23.

21. Der bisherige § 20 wird § 24 und wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

aa) In Satz 1 werden die Worte "ihm der Träger der datenverarbeitenden" durch die Worte "die verantwortliche" ersetzt.

bb) In Satz 3 werden nach dem Wort "Betroffenen" die Worte "nach den Sätzen 1 und 2" eingefügt und die Worte "250.000 Deutsche Mark" durch die Worte "125.000 Euro" ersetzt.

b) Als Absatz 2 wird eingefügt:

"(2) Soweit die unzulässige oder unrichtige Verarbeitung personenbezogener Daten nicht automatisiert erfolgt, haftet die verantwortliche Stelle nur bei Verschulden. Die verantwortliche Stelle haftet nicht, wenn sie nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihr nicht zur Last gelegt werden kann."

c) Die bisherigen Absätze 2 und 3 werden Absätze 3 und 4.

22. Der bisherige § 21 wird § 25.

23. Der bisherige § 22 wird § 26 und wie folgt geändert:

a) In Absatz 1 wird die Angabe " § 28" durch die Angabe " § 30" ersetzt.

b) In Absatz 2 Satz 1 wird die Angabe " § 8" durch die Angabe " § 7" ersetzt.

24. Der bisherige § 24 wird § 27 und wie folgt geändert:

a) Absatz 1 wird wie folgt gefasst:


altneu
(1) Stellt der Landesbeauftragte für Datenschutz Verstöße gegen Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er diese
  1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,
  2. bei den Gemeinden und Gemeindeverbänden sowie den sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen gegenüber dem vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. Im Falle von Satz 1 Nr. 2 unterrichtet der Landesbeauftragte für Datenschutz gleichzeitig auch die zuständige Aufsichtsbehörde.

 "(1) Stellt der Landesbeauftragte für Datenschutz Verstöße gegen Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, teilt er der verantwortlichen Stelle das Ergebnis seiner Kontrolle mit. Mit der Mitteilung kann er Vorschläge zur Beseitigung festgestellter Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden. Erhebliche Verstöße beanstandet er

1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,

2. bei den Gemeinden und Gemeindeverbänden sowie den sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen gegenüber dem vertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. Im Falle von Satz 3 Nr. 2 unterrichtet der Landesbeauftragte für Datenschutz gleichzeitig auch die zuständige Aufsichtsbehörde."

b) Absatz 3

(3) Mit der Beanstandung kann der Landesbeauftragte für Datenschutz Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.

wird aufgehoben.

c) Der bisherige Absatz 4 wird Absatz 3.

25. Der bisherige § 26 wird § 28.

26. Der bisherige § 27 wird § 29 und wie folgt geändert:

a) Nach Satz 2 wird folgender Satz eingefügt:

"Diese soll innerhalb von sechs Monaten nach Vorlage des Tätigkeitsberichts dem Landtag zugeleitet werden."

b) In Satz 4 wird die Angabe " § 21" durch die Angabe " § 25" ersetzt.

27. Der bisherige § 28 wird § 30 und in Absatz 4 nach Satz 1 folgender Satz eingefügt:

"Ist dies nicht möglich, sind sie zu pseudonymisieren."

28. Der bisherige § 29 wird § 31 und in Absatz 3 Satz 2 die Angabe " § 19" durch die Angabe " § 21" ersetzt.

29. Die bisherigen §§ 30 und 31 werden die §§ 32 und 33.

30. Der bisherige § 32 wird § 34 und wie folgt geändert:

a) Absatz 2 wird wie folgt geändert:

aa) In Satz 1 wird die Angabe " §§ 21, 22 und 24 bis 27" durch die Angabe " §§ 23, 25 bis 29" ersetzt.

bb) Satz 2 erhält folgende Fassung:


altneu
§ 8 gilt mit der Maßgabe des Absatzes 4 Satz 2, § 23 mit der Maßgabe des Absatzes 6 Satz 4. " § 7 gilt mit der Maßgabe des Absatzes 4 Satz 2."

cc) Nach Satz 2 wird folgender Satz eingefügt:

"An die Stelle des behördlichen Datenschutzbeauftragten nach § 8 und des Landesbeauftragten für Datenschutz nach § 5 Abs. 3 tritt der Beauftragte der Anstalt für Datenschutz."

b) In Absatz 3 Satz 1 werden nach dem Wort "Datenschutz" die Worte "sowie einen Vertreter" eingefügt.

c) In Absatz 6 Satz 4 werden die Worte "das Dateienregister" durch die Worte "die Verfahrensbeschreibung" und die Angabe " § 23" durch die Angabe " § 9" ersetzt.

31. Der bisherige § 33 wird § 35.

32. Der bisherige § 34 wird § 36 und in Absatz 2 die Angabe "hunderttausend Deutschen Mark" durch die Angabe "50.000 Euro" ersetzt.

33. Der bisherige § 35 wird § 37 und wie folgt geändert:

a) Absatz 2 erhält folgende Fassung:


altneu
(2) Für Dateien, die bereits zum Register des Landesbeauftragten für Datenschutz gemeldet sind, finden die Vorschriften des § 9 Abs. 1 und des § 23 Abs. 1 erstmals in Fällen eintretender Veränderungen Anwendung.  "(2) Soweit landesrechtliche Vorschriften noch den Begriff "Datei" verwenden, ist Datei

1. eine Sammlung von Daten, die ohne Rücksicht auf die Art der Speicherung durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei) oder

2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht automatisierte Datei)."

b) Absätze 3 und 4

(3) Für Behörden des Justizvollzuges gilt § 18 mit der Maßgabe, daß der Betroffene Auskunft oder Akteneinsicht erhält, soweit er zur Wahrnehmung seiner Rechte oder berechtigten Interessen auf die Kenntnis gespeicherter Daten angewiesen ist. Ein Anspruch auf Akteneinsicht steht ihm nicht zu.

(4) Soweit beim Inkrafttreten des Gesetzes personenbezogene Daten automatisiert verarbeitet werden, sind die nach § 11 Abs. 2 erforderlichen Anpassungen und Umstellungen der Verfahren innerhalb eines Jahres nach Inkrafttreten des Gesetzes vorzunehmen, es sei denn, das Verfahren wird bereits vorher geändert.

werden aufgehoben.

34. Der bisherige § 36 wird § 38.

Artikel 2
Änderung anderer Rechtsvorschriften

(1) Das Saarländische Verfassungsschutzgesetz (SVerfSchG) vom 24. März 1993 (Amtsbl. S. 296) - BS-Nr. 12-1 - wird wie folgt geändert:

1. In § 14 Abs. 1 werden die Worte "Die Dateibeschreibung und das Geräteverzeichnis nach § 9 Abs. 1 und 3" durch die Worte "Die Verfahrensbeschreibung nach § 9 Abs. 1" ersetzt.

2. In § 27 werden die Worte " §§ 12 bis 19" durch die Worte " §§ 12 bis 17 und §§ 20 und 21" ersetzt.

(2) In § 1 Abs. 2 Satz 1 der Verordnung zur Durchführung von Vorschriften des Meldegesetzes (Meldeverordnung) vom 27. September 1996 (Amtsbl. S. 1143) - BS-Nr. 210-1-3 - werden nach der Angabe "11" die Worte "Abs. 2" eingefügt.

(3) In § 3 Abs. 1 der Verordnung über die Zulassung der regelmäßigen Übermittlung von Daten aus dem Melderegister an Behörden oder sonstige öffentliche Stellen (Meldedaten-Übermittlungsverordnung - MeldDÜV) vom 27. September 1996 (Amtsbl. S. 1159) - BS-Nr. 210-1-4 - werden nach der Angabe "11" die Worte "Abs. 2" eingefügt.

(4) In § 7 Abs. 3 der Verordnung über die Gutachterausschüsse, Kaufpreissammlungen und Bodenrichtwerte nach dem Baugesetzbuch (Gutachterausschussverordnung - GutVO) vom 21. August 1990 (Amtsbl. S. 957), zuletzt geändert durch die Verordnung vom

25. Juni 1998 (Amtsbl. 5. 690) - BS-Nr. 2130-4 -wird die Angabe " § 33" durch die Angabe " § 35" ersetzt.

(5) Die Verordnung über den Inhalt des Liegenschaftskatasters und über die Übermittlung von Daten aus dem Liegenschaftskataster (Katasterinhalts- und DatenübermittlungsVO - KaInDUV) vom 14. Mai 1999 (Amtsbl. S. 810) - BS-Nr. 219- 2-3 - wird wie folgt geändert:

1. In § 7 Abs. 2 Nr. 3 werden die Worte "die zuständigen Forstämter und die ,Forstplanungsanstalt" durch die Worte "die Forstbehörde" ersetzt.

2. In § 7 Abs. 3 Nr. 2 wird das Wort "Abfallgesetz" durch das Wort "Abfallwirtschaftsgesetz" ersetzt.

3. In § 8 Abs. 1 Satz 2 werden nach der Angabe "11" die Worte "Abs. 2" eingefügt.

4. In § 8 Abs. 2 Satz 1 wird das Wort "Übermittlungskontrolle" durch das Wort "Weitergabekontrolle" ersetzt.

(6) In § 8 Abs. 6 Satz 1 des Gesetzes über die Berufsordnung der öffentlich bestellten Vermessungsingenieurinnen und -ingenieure im Saarland (ÖbVI-Berufsordnung) vom 16. Oktober 1997 (Amtsbl. S5. 1130) - BS-Nr. 219-4 - wird in Satz 1 die Angabe " § 7" durch die Angabe " § 6" und in Satz 2 die Angabe " § 7 Satz 2" durch die Angabe " § 6 Satz 2" ersetzt.

(7) Die Verordnung über die Durchführung von Erhebungen zum Zwecke wissenschaftlicher Forschung in Schulen vom 14. April 1986 (Amtsbl. S. 351) - BSNr. 223-2-52 - wird wie folgt geändert:

1. In § 2 Nr. 12 wird die Angabe " § 20 Abs. 2" durch die Angabe " § 28 Abs. 1" ersetzt.

2. In § 4 Abs. 2 Nr. 1 Buchstabe e wird die Angabe " § 12 SDSG und Anlage" durch die Angabe " § 11 SDSG" ersetzt.

(8) Die Verordnung über die Erhebung, Verarbeitung und sonstige Nutzung personenbezogener Daten in den Schulen vom 3. November 1986 (Amtsbl. S. 990), geändert durch die Verordnung vom 19. Januar 1993 (Amtsbl. S. 66) - BS-Nr. 223-2-63 - wird wie folgt geändert:

1. In der Überschrift werden das Wort "Erhebung" sowie die Worte "und sonstige Nutzung" gestrichen.

2. § 5 Satz 2 erhält folgende Fassung:

"Die Vorschriften des Saarländischen Datenschutzgesetzes (SDSG), insbesondere über die Datenverarbeitung im Auftrag (§ 5), die Vorabkontrolle und die technischen und organisatorischen Maßnahmen (§ 11) und die Regelungen für die Einführung von automatisierten Verfahren (§ 7 Abs. 2) sind zu beachten."

3. In § 10 Abs. 3 wird die Angabe " § 17" durch die Angabe " § 21" ersetzt.

4. In Anlage 3 wird die Angabe " § 11" durch die Angabe " § 6" und die Angabe " § 27" durch die Angabe " § 35" ersetzt.

(9) In § 82 Abs. 10 des Rundfunkgesetzes für das Saarland (Landesrundfunkgesetz) in der Fassung der Bekanntmachung vom 18. Dezember 1998 (Amtsbl. 1999 S. 32), zuletzt geändert durch das Gesetz vom 22. November 2000 (Amtsbl. S. 2170), - BS-Nr. 2251-1 -wird die Angabe " § 23 Abs. 2 bis 7" durch die Angabe " § 34 Abs. 2 bis 8" ersetzt.

Artikel 3
Rückkehr zum einheitlichen Verordnungsrang

Die auf Artikel 2 beruhenden Teile der dort geänderten Rechtsverordnungen können aufgrund der einschlägigen Ermächtigung weiterhin durch Rechtsverordnung geändert oder aufgehoben werden.

Artikel 4
Neubekanntmachung

Das Ministerium für Inneres und Sport wird ermächtigt, den Wortlaut des Saarländischen Datenschutzgesetzes in der vom In-Kraft-Treten dieses Gesetzes an geltenden Fassung im Amtsblatt des Saarlandes bekannt zu machen; dabei sind die Personen- und Amtsbezeichnungen in der weiblichen und männlichen Form zu verwenden.

Artikel 5
In-Kraft-Treten

Dieses Gesetz tritt am Tage nach seiner Verkündung in Kraft.

Saarbrücken, den 2. Oktober 2001

1) Dieses Gesetz dient der Umsetzung der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281, S. 31 ff).

ENDE