Regelwerk
| Regelwerk | |
Änderungstext
Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze
Vom 18. Mai 2001
(BGBl. I Nr. 23 v. 22.05.2001 S. 904)
siehe Fn. *
Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:
Artikel 1
Änderung des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2955), zuletzt geändert durch Artikel 2 Abs. 5 des Gesetzes vom 17. Dezember 1997 (BGBl. I S. 3108), wird wie folgt geändert:
1. Nach der Überschrift wird folgende Inhaltsübersicht eingefügt: - wie einfügt -
2. Die Überschrift vor § 1 wird wie folgt gefasst:
| alt | neu |
| Erster Abschnitt Allgemeine Bestimmungen | "Erster Abschnitt Allgemeine und gemeinsame Bestimmungen". |
3. § 1 wird wie folgt geändert:
a) Absatz 2 Nr. 3 wird wie folgt gefasst:
| alt | neu |
| 3. nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen. | "3. nicht öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten." |
b) Absatz 3
(3) Bei der Anwendung dieses Gesetzes gelten folgende Einschränkungen:
- Für automatisierte Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden, gelten nur die §§ 5 und 9.
- Für nicht-automatisierte Dateien, deren personenbezogene Daten nicht zur Übermittlung an Dritte bestimmt sind, gelten nur die §§ 5, 9, 39 und 40. Außerdem gelten für Dateien öffentlicher Stellen die Regelungen über die Verarbeitung und Nutzung personenbezogener Daten in Akten. Werden im Einzelfall personenbezogene Daten übermittelt, gelten für diesen Einzelfall die Vorschriften dieses Gesetzes uneingeschränkt.
wird aufgehoben.
c) Die, bisherigen Absätze 4 und 5 werden die Absätze 3 und 4.
d) Nach Absatz 4 wird folgender Absatz 5 eingefügt:
"(5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt."
4. § 3 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
| alt | neu |
(2) Eine Datei ist
Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. | "(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann." |
b) Absatz 3
(3) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
wird aufgehoben.
c) Die bisherigen Absätze 4 bis 9 werden die Absätze 3 bis 8.
d) Absatz 4 Satz 2 Nr. 3 wird wie folgt geändert:
aa) Nach dem Wort "Dritten" wird der Klammerzusatz "(Empfänger)" gestrichen.
bb) In Buchstabe a werden die Wörter "durch die speichernde Stelle an den Empfänger". durch die Wörter "an den Dritten" ersetzt.
cc) In Buchstabe b werden die Wörter "Empfänger von der speichernden Stelle" durch das Wort "Dritte" ersetzt.
e) Nach Absatz 6 wird folgender Absatz 6a eingefügt:
"(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren."
f) Die Absätze 7 und 8 werden wie folgt gefasst:
| alt | neu |
| (7) Speichernde Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst speichert oder durch andere im Auftrag speichern läßt.
(8) Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Geltungsbereich dieses Gesetzes personenbezogene Daten im Auftrag verarbeiten oder nutzen. | "(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
(8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen." |
g) Nach Absatz 8 werden folgende Absätze 9 und 10 angefügt:
"(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
(10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann."
5. Nach § 3 wird folgender § 3a eingefügt:
- wie eingefügt -
6. § 4 wird wie folgt gefasst:
| alt | neu |
| § 4 Zulässigkeit der Datenverarbeitung und -nutzung
(1) Die Verarbeitung personenbezogener Daten und deren Nutzung sind nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat. (2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. (3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2 Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszweckes ergibt, schriftlich festzuhalten. | " § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhöben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären." |
7. Nach § 4 werden folgende §§ 4a bis 4g eingefügt:
- wie eingefügt -
8. In § 5 Satz 1 werden nach dem Wort "unbefugt" die Wörter "zu erheben" eingefügt.
9. § 6 Abs. 2 wird wie folgt geändert:
a) In Satz 1 werden die Wörter "in einer Datei gespeichert, bei der" durch die Wörter "automatisiert in der Weise gespeichert, dass" und die Wörter ", die speichernde Stelle festzustellen" durch die Wörter "festzustellen, welche Stelle die Daten gespeichert hat" ersetzt.
b) In Satz 2 werden die Wörter "speichernde Stelle" durch die Wörter "Stelle, die die Daten gespeichert hat," ersetzt.
c) In Satz 3 werden die Wörter "die speichernde" durch das Wort "jene" ersetzt.
10. Nach § 6 werden folgende § § 6a bis 6c eingefügt:
- wie eingefügt -
11. Die § § 7 und 8 werden wie folgt gefasst:
| alt | neu |
| § 7 Schadensersatz durch öffentliche Stellen
(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet. (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von zweihundertfünfzigtausend Deutsche Mark begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von zweihundertfünfzigtausend Deutsche Mark übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. (5) Mehrere Ersatzpflichtige haften als Gesamtschuldner. (6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden. (7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt. (8) Der Rechtsweg vor den ordentlichen Gerichten steht offen. § 8 Schadensersatz durch nicht-öffentliche Stellen Macht ein Betroffener gegenüber einer nicht-öffentlichen Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem Gesetz oder anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend und ist streitig, ob der Schaden die Folge eines von der speichernden Stelle zu vertretenden Umstandes ist, so trifft die Beweislast die speichernde Stelle. | " § 7 Schadensersatz
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. § 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen (1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet. (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 250.000 Deutsche Mark begrenzt. Ist aufgrund desselben. Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 250.000 Deutsche Mark übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. (5) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden." |
12. In § 9 Satz 1 wird das Wort "verarbeiten" durch die Wörter "erheben, verarbeiten oder nutzen" ersetzt.
13. Nach § 9 wird folgender § 9a eingefügt:
- wie eingefügt -
14. § 10 wird wie folgt geändert:
a) In Absatz 2 Satz 2 Nr. 2 wird das Wort "Datenempfänger" durch die Wörter "Dritte, an die übermittelt wird, ersetzt.
b) In Absatz 3 Satz 2 werden das Wort "der" durch das Wort "das", das Wort "Landesminister" durch das Wort "Landesministerium" und das Wort "haben" durch das Wort "hat" ersetzt sowie die Wörter "oder deren Vertreter" gestrichen.
c) In Absatz 4 Satz 1 wird das Wort "Empfänger" durch die Wörter "Dritte, an den übermittelt wird" ersetzt.
d) Absatz 5 wird wie folgt gefasst:
| alt | neu |
| (5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen. | "(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten, allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann." |
15. § 11 wird wie folgt geändert:
a) In der Überschrift wird vor dem Wort "Verarbeitung" das Wort "Erhebung", eingefügt.
b) In Absatz 1 Satz 1 wird vor dem Wort "verarbeitet" das Wort "erhoben", eingefügt.
c) In Absatz 1 Satz 2 wird die Angabe "bis 8" durch die Angabe ", 7 und 8" ersetzt.
d) Absatz 2 wird wie folgt geändert:
aa) In Satz 2 wird das Wort "Datenverarbeitung" durch die Wörter "Datenerhebung, -verarbeitung" ersetzt.
bb) Dem Absatz wird folgender Satz angefügt: "Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen."
e) In Absatz 3 Satz 1 wird vor dem Wort "verarbeiten" das Wort "erheben," eingefügt.
f) In Absatz 4 Nr. 2 werden vor dem Wort "verarbeiten" das Wort "erheben," eingefügt und die Angabe "32, 36 bis" durch die Angabe "4f, 4g und" ersetzt.
g) Nach Absatz 4 wird folgender Absatz 5 angefügt:
"(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann."
16. § 12 wird wie folgt geändert:
a) In Absatz 2 wird die Angabe "17, 19 und" durch die Angabe "16, 19 bis" ersetzt.
b) Absatz 4 wird wie folgt gefasst:
| alt | neu |
| (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse verarbeitet oder genutzt, gelten anstelle der §§ 14 bis 17, 19 und 20 der § 28 Abs. 1 und 2 Nr. 1 sowie die §§ 33 bis 35. | "(4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse erhoben, verarbeitet oder genutzt, gelten anstelle der §§ 13 bis 16, 19 bis 20 der § 28 Abs. 1 und 3 Nr. 1 sowie die §§ 33 bis 35, auch soweit personenbezogene Daten weder automatisiert verarbeitet noch in nicht automatisierten Dateien verarbeitet oder genutzt oder dafür erhoben werden." |
17. § 13 wird wie folgt geändert:
a) In Absatz 1 werden die Wörter "erhebenden Stellen" durch die Wörter "verantwortlichen Stelle" ersetzt.
a1) Nach Absatz 1 wird folgender Absatz 1a eingefügt:
"(1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen."
b) Absatz 2 wird wie folgt gefasst:
| alt | neu |
(2) Personenbezogene Daten sind beim Betroffenen zu erheben.
Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn
und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. | "(2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit
1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert, 2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, 3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist, 7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, 8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder 9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist." |
c) Die Absätze 3 und 4
(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
werden aufgehoben.
18. § 14 wird wie folgt geändert:
a) In Absatz 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Nummer 5 werden die Wörter "aus allgemein zugänglichen Quellen entnommen werden können" durch die Wörter "allgemein zugänglich sind" und das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.
bb) In Nummer 6 werden nach dem Wort "einer" die Wörter "sonst unmittelbar drohenden" gestrichen und nach dem Wort "Sicherheit" die Wörter "oder zur Wahrung erheblicher Belange des Gemeinwohls" eingefügt.
c) In Absatz 3 Satz 1 und 2 wird jeweils das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.
d) Nach Absatz 4 werden folgende Absätze 5 und 6 angefügt:
"(5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten. (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder
2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.
(6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten."
19. § 15 wird wie folgt geändert:
a) In Absatz 1 Nr. 1 und Absatz 2 Satz 2 und 3 werden jeweils das Wort "Empfängers" durch die Wörter "Dritten, an den die Daten übermittelt werden", ersetzt.
b) In Absatz 3 werden die Wörter "Empfänger darf die übermittelten Daten" durch die Wörter "Dritte, an den die Daten übermittelt werden, darf diese" ersetzt.
c) In Absatz 4 werden die Wörter "dem Empfänger" durch das Wort "diesen" ersetzt.
d) In Absatz 5 werden die Wörter "in Akten" gestrichen.
20. § 16 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Nummer 2 wird das Wort "Empfänger" durch die Wörter "Dritte, an den die Daten übermittelt werden," ersetzt.
bb) Der Nummer 2 wird folgender Satz angefügt:
"Das Übermitteln von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist."
b) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter "Empfänger darf die übermittelten Daten" durch die Wörter "Dritte, an den die Daten übermittelt werden, darf diese" ersetzt.
bb) In Satz 2 werden die Wörter "den Empfänger" durch das Wort "ihn" ersetzt.
21. § 17
§ 17 Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses Gesetzes(1) Für die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs dieses Gesetzes sowie an über- und zwischenstaatliche Stellen gilt § 16 Abs. 1 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, sowie § 16 Abs. 3.
(2) Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen den Zweck eines deutschen Gesetzes verstoßen würde.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.
wird aufgehoben.
22. § 18 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
| alt | neu |
(2) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen.
Für ihre Dateien haben sie schriftlich festzulegen:
Sie haben ferner dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird. | "(2) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. Für ihre automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen. Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden." |
b) Absatz 3
(3) Absatz 2 Satz 2 gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden.
wird aufgehoben.
23. § 19 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden in Nummer 1 die Wörter "oder Empfänger" und das Wort "und" gestrichen sowie vor das Wort "Herkunft" das Wort "die" eingefügt und nach Nummer 1 folgende Nummer 2 eingefügt:
"2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und".
bb) Der bisherige Satz 1 Nr. 2 wird Satz 1 Nr. 3.
cc) In Satz 3 werden die Wörter "in Akten" durch die Wörter "weder automatisiert noch in nicht automatisierten Dateien" ersetzt.
dd) In Satz 4 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.
b) Dem Absatz 2 wird folgender Halbsatz angefügt: "und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde".
c) In Absatz 3 wird das Wort "Bundesministers" durch das Wort "Bundesministeriums" ersetzt.
d) In Absatz 4 Nr. 1 und in Absatz 6 Satz 2 werden jeweils das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.
24. Nach § 19 wird folgender § 19a eingefügt:
- wie eingefügt -
25. § 20 wird wie folgt geändert:
a) In der Überschrift wird ein Semikolon und das Wort "Widerspruchsrecht" angefügt.
b) In Absatz 1 Satz 2 werden die Wörter "in Akten" durch die Wörter "die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind," und die Wörter "der Akte zu vermerken oder auf sonstige" durch das Wort "geeigneter" ersetzt sowie vor die Wörter "die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind," ein Komma gesetzt.
c) Absatz 2 wird wie folgt geändert:
aa) Die Wörter "in Dateien" werden durch die Wörter "die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind," ersetzt sowie vor die Wörter "die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind," ein Komma gesetzt.
bb) In Nummer 2 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.
d) In Absatz 4 werden die Wörter "in Dateien" durch die Wörter "die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind," ersetzt sowie vor die Wörter "die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind," ein Komma gesetzt.
e) Nach Absatz 4 wird folgender Absatz 5 eingefügt:
"(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet."
f) Die bisherigen Absätze 5 bis 8 werden die Absätze 6 bis 9.
g) In Absatz 6 werden die Wörter "in Akten" durch die Wörter "die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind," ersetzt sowie vor die Wörter "die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind," ein Komma gesetzt.
h) In Absatz 7 Nr. 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.
i) Absatz 8 wird wie folgt geändert:
aa) Das Wort "regelmäßigen" wird gestrichen.
bb) Die Wörter "werden, wenn dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist" werden durch die Wörter "wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen" ersetzt.
26. § 22 wird wie folgt geändert:
a) In Absatz 2 wird das Wort "Beauftragte" durch das Wort "Bundesbeauftragte" ersetzt.
b) In Absatz 5 Satz 1 wird das Wort "Bundesminister" durch das Wort "Bundesministerium" und in den Sätzen 2 und 3 wird das Wort "Bundesministers" durch das Wort "Bundesministeriums" ersetzt.
27. § 23 wird wie folgt geändert:
a) In Absatz 3 Satz 1 und 2 wird das Wort "Bundesminister" durch das Wort "Bundesministerium" und in Absatz 5 Satz 3 wird das Wort "Bundesministers" durch das Wort "Bundesministeriums" ersetzt.
b) Dem Absatz 5 werden die folgenden Sätze angefügt:
"Für den Bundesbeauftragten und seine Mitarbeiter gelten die §§ 93, 97,105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich, um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen handelt. Stellt der Bundesbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren."
b1) Absatz 6 Satz 3 wird wie folgt gefasst:
| alt | neu |
| § 28 des Gesetzes über das Bundesverfassungsgericht in der Fassung der Bekanntmachung vom 12. Dezember 1985 (BGBl. I S. 2229) bleibt unberührt. | " § 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt." |
c) Nach Absatz 7 wird folgender Absatz 8 angefügt:
"(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind."
28. § 24 wird wie folgt geändert:
a) Absatz 1 Satz 2
Werden personenbezogene Daten in Akten verarbeitet oder genutzt, kontrolliert der Bundesbeauftragte die Erhebung, Verarbeitung oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte dafür darlegt, daß er dabei in seinen Rechten verletzt worden ist, oder dem Bundesbeauftragten hinreichende Anhaltspunkte für eine derartige Verletzung vorliegen.
wird aufgehoben.
b) Absatz 2 wird wie folgt gefasst:
| alt | neu |
(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
Bei den Stellen des Bundes im Sinne des § 2 Abs. 1 Satz 2 wird das Postgeheimnis (Artikel 10 des Grundgesetzes) eingeschränkt, soweit dies zur Ausübung der Kontrolle bei den speichernden Stellen erforderlich ist. Das Kontrollrecht erstreckt sich mit Ausnahme von Nummer 1 nicht auf den Inhalt des Post- und Fernmeldeverkehrs.
Der Kontrolle durch den Bundesbeauftragten unterliegen nicht:
wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten für den Datenschutz widerspricht. Unbeschadet des Kontrollrechts des Bundesbeauftragten unterrichtet die öffentliche Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht. | "(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf
1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 9 des Gesetzes zu Artikel 10 Grundgesetz unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. Der Kontrolle durch den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten widerspricht." |
c) In Absatz 4 Satz 2 Nr. 1 werden die Wörter "und Akten" gestrichen.
29. § 26 wird wie folgt geändert:
a) In der Überschrift werden das Semikolon und das Wort "Dateienregister" gestrichen.
b) Absatz 1 Satz 2 wird wie folgt gefasst:
| alt | neu |
| Der Tätigkeitsbericht soll auch eine Darstellung der wesentlichen Entwicklung des Datenschutzes im nicht-öffentlichen Bereich enthalten. | "Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes." |
c) Dem Absatz 4 wird folgender Satz angefügt: " § 38 Abs. 1 Satz 3 und 4 gilt entsprechend."
d) Absatz 5
(5) Der Bundesbeauftragte führt ein Register der automatisiert geführten Dateien, in denen personenbezogene Daten gespeichert werden. Das gilt nicht für die Dateien der in § 19 Abs. 3 genannten Behörden sowie für Dateien nach § 18 Abs. 3. Die öffentlichen Stellen, deren Dateien in das Register aufgenommen werden, sind verpflichtet, dem Bundesbeauftragten eine Übersicht gemäß § 18 Abs. 2 Satz 2 Nr. 1 bis 6 zuzuleiten. Das Register kann von jedermann eingesehen werden. Die Angaben nach § 18 Abs. 2 Satz 2 Nr. 3 und 5 über Dateien der in § 6 Abs. 2 genannten Behörden unterliegen nicht der Einsichtnahme.
Der Bundesbeauftragte kann im Einzelfall für andere öffentliche Stellen mit deren Einverständnis festlegen, daß einzelne Angaben nicht der Einsichtnahme unterliegen.
wird aufgehoben.
30. § 27 wird wie folgt geändert:
a) In Absatz 1 Satz 1 werden die Wörter "in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeitet oder genutzt" durch die Wörter "unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben" ersetzt.
b) Nach Absatz 1 Satz 1 wird folgender Satz 2 eingefügt:
"Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt."
c) In Absatz 2 werden die Wörter "in Akten" durch die Wörter "außerhalb von nicht automatisierten Dateien" und das Wort "Datei" durch die Wörter "automatisierten Verarbeitung" ersetzt.
 | weiter. | |