Druck- und Lokalversion Regelwerk

Änderungstext

Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze*)

Vom 18. Mai 2001
(BGBl. I Nr. 23 v. 22.05.2001 S. 904)


Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:

....

31. § 28 wird wie folgt geändert:

a) In der Überschrift werden die Wörter "Datenspeicherung, -übermittlung" durch die Wörter "Datenerhebung, -verarbeitung" ersetzt.

b) Absatz 1 Satz 1 wird wie folgt geändert:

aa) Nach dem Wort "Das" wird das Wort "Erheben," eingefügt.

bb) In Nummer 1 werden die Wörter "im Rahmen" durch die Wörter "wenn es" ersetzt und nach dem Wort "Betroffenen" wird das Wort "dient" eingefügt.

cc) In Nummer 2 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt und nach dem Wort "überwiegt," das Wort "oder" angefügt.

dd) Nummer 3 wird wie folgt gefasst:


altneu
3. wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Verarbeitung oder Nutzung offensichtlich überwiegt, "3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt."

ee) Nummer 4

4. wenn es im Interesse der speichernden Stelle zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

wird aufgehoben.

c) Absatz 1 Satz 2 wird wie folgt gefasst:


altneu
Die Daten müssen nach Treu und Glauben und auf rechtmäßige Weise erhoben werden. "Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen."

d) Nach Absatz 1 wird folgender Absatz 2 eingefügt:

"(2) Für einen anderen Zweck dürfen sie nur unter den Voraussetzungen des Absatzes 1 Satz 1 Nr. 2 und 3 übermittelt oder genutzt werden."

e) Die bisherigen Absätze 2 bis 4 werden die Absätze 3 bis 5.

f) Absatz 3 wird wie folgt gefasst:


altneu
(3) Die Übermittlung oder Nutzung ist auch zulässig
    1. soweit es zur Wahrung berechtigter Interessen eines Dritten oder öffentlicher Interessen erforderlich ist oder
    2. wenn es sich um listenmäßig oder sonst zusammengefaßte Daten über Angehörige einer Personengruppe handelt, die sich auf
      • eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
      • Berufs-, Branchen- oder Geschäftsbezeichnung,
      • Namen,
      • Titel,
      • akademische Grade,
      • Anschrift,
      • Geburtsjahr

      beschränken und
      kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. In den Fällen des Buchstabens b kann im allgemeinen davon ausgegangen werden, daß dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich

      • auf gesundheitliche Verhältnisse,
      • auf strafbare Handlungen,
      • auf Ordnungswidrigkeiten,
      • auf religiöse oder politische Anschauungen sowie
      • bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse

    beziehen, oder

  2. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) Die Übermittlung oder Nutzung für einen anderen Zweck ist auch zulässig:

1. soweit es zur Wahrung berechtigter Interessen eines Dritten oder

2. zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, oder

3. für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf

a) eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe,

b) Berufs-, Branchen- oder Geschäftsbezeichnung,

c) Namen,

d) Titel,

e) akademische Grade,

f) Anschrift und

g) Geburtsjahr

beschränken

und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder

4. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, dass dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich

1. auf strafbare Handlungen,

2. auf Ordnungswidrigkeiten sowie

3. bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse

beziehen."

g) Absatz 4 wird wie folgt geändert:

aa) In Satz 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

bb) Nach Satz 1 wird folgender Satz eingefügt:

"Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann."

cc) In dem neuen Satz 3 werden die Wörter "beim Empfänger der nach Absatz 2 übermittelten Daten" durch die Wörter "bei dem Dritten, dem die Daten nach Absatz 3 übermittelt werden", ersetzt.

h) Absatz 5 wird wie folgt geändert:

aa) In Satz 1 werden die Wörter "Empfänger darf die übermittelten Daten" durch die Wörter "Dritte, dem die Daten übermittelt worden sind, darf diese nur" ersetzt.

bb) In Satz 2 werden nach dem Wort "ist" die Wörter "nicht öffentlichen Stellen" eingefügt und die Wörter "1 und 2 zulässig" durch die Wörter "2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt" ersetzt.

cc) In Satz 3 werden die Wörter "den Empfänger" durch das Wort "ihn" ersetzt.

i) Nach Absatz 5 werden die folgenden Absätze 6 bis 9 angefügt:

"(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn

1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,

2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,

3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder

4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(7) Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuches genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.

(8) Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter. den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist.

(9) Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. Absatz 3 Nr. 2 gilt entsprechend."

32. § 29 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Datenspeicherung" durch die Wörter "Datenerhebung und -speicherung" ersetzt.

b) Absatz 1 Satz 1 wird wie folgt geändert:

aa) Nach dem Wort "geschäftsmäßige" wird das Wort "Erheben" und nach dem Wort "Übermittlung" werden ein Komma und die Wörter "insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel oder der Markt- und Meinungsforschung dient", eingefügt.

bb) In Nummer 1 wird vor dem Wort "Speicherung" das Wort ", Erhebung", eingefügt.

cc) In Nummer 2 wird das Wort "speichernde" durch das Wort "verantwortliche" ersetzt sowie vor dem Wort "Speicherung" das Wort "Erhebung" eingefügt.

c) Absatz 2 wird wie folgt geändert:

aa) In Satz 1 werden im ersten Halbsatz nach dem Wort "Übermittlung" die Wörter "im Rahmen der Zwecke nach, Absatz 1" eingefügt.

bb) In Satz 1 Nr. 1 Buchstabe a wird das Wort "Empfänger" durch die Wörter "Dritte, dem die Daten übermittelt werden" ersetzt.

cc) In Satz 1 Nr. 1 Buchstabe b wird die Angabe "Abs. 2 Nr. 1 Buchstabe b" durch die Angabe "Abs. 3 Nr. 3" ersetzt.

dd) In Satz 2 wird die Angabe "Abs. 2 Nr. 1" durch die Angabe "Abs. 3" ersetzt.

ee) In Satz 3 wird das Wort "Empfänger" durch die Wörter "Dritten, dem die Daten übermittelt werden" ersetzt.

d) Nach Absatz 2 wird folgender Absatz 3 eingefügt:

"(3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Telefon-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden."

e) Der bisherige Absatz 3 wird Absatz 4.

f) In Absatz 4 wird die Angabe "3 und 4" durch die Angabe "4 und 5" ersetzt.

g) Nach Absatz 4 wird folgender Absatz 5 angefügt:

"(5) § 28 Abs. 6 bis 9 gilt entsprechend."

33. § 30 wird wie folgt geändert:

a) In der Überschrift wird das Wort "Datenspeicherung" durch die Wörter "Datenerhebung und -speicherung" ersetzt.

b) In Absatz 1 Satz 1 werden nach dem Wort "geschäftsmäßig" die Wörter "erhoben und" eingefügt.

c) Absatz 2 Nr. 2 wird wie folgt geändert:

aa) Das Wort "speichernde" wird durch das Wort "verantwortliche" ersetzt.

bb) Die Wörter "es sei denn, daß" werden durch die Wörter "soweit nicht" ersetzt.

d) Absatz 4 wird wie folgt gefasst:


altneu
(4) Die §§ 29, 33 bis 35 gelten nicht."(4) § 29 gilt nicht." 

e) Nach Absatz 4 wird folgender Absatz 5 angefügt:

"(5) § 28 Abs. 6 bis 9 gilt entsprechend."

34. § 32

§ 32 Meldepflichten

(1) Die Stellen, die personenbezogene Daten geschäftsmäßig

  1. zum Zwecke der Übermittlung speichern,
  2. zum Zwecke der anonymisierten Übermittlung speichern oder
  3. im Auftrag als Dienstleistungsunternehmen verarbeiten oder nutzen,

sowie ihre Zweigniederlassungen und unselbständigen Zweigstellen haben die Aufnahme und Beendigung ihrer Tätigkeit der zuständigen Aufsichtsbehörde innerhalb eines Monats mitzuteilen.

(2) Bei der Anmeldung sind folgende Angaben für das bei der Aufsichtsbehörde geführte Register mitzuteilen:

  1. Name oder Firma der Stelle,
  2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzlich oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
  3. Anschrift,
  4. Geschäftszwecke der Stelle und der Datenverarbeitung,
  5. Name des Beauftragten für den Datenschutz,
  6. allgemeine Beschreibung der Art der gespeicherten personenbezogenen Daten. Im Falle des Absatzes 1 Nr. 3 ist diese Angabe nicht erforderlich.

(3) Bei der Anmeldung sind außerdem folgende Angaben mitzuteilen, die nicht in das Register aufgenommen werden:

  1. Art der eingesetzten Datenverarbeitungsanlagen,
  2. bei regelmäßiger Übermittlung personenbezogener Daten Empfänger und Art der übermittelten Daten.

(4) Absatz 1 gilt für die Änderung der nach Absätzen 2 und 3 mitgeteilten Angaben entsprechend.

(5) Die Aufsichtsbehörde kann im Einzelfall festlegen, Welche Angaben nach Absatz 2 Nr. 4 und 6, Absatz 3 und Absatz 4 mitgeteilt werden müssen. Der mit den Mitteilungen verbundene Aufwand muß in einem angemessenen Verhältnis zu ihrer Bedeutung für die Überwachung durch die Aufsichtsbehörde stehen.

wird aufgehoben.

35. § 33 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

aa) Satz 1 wird wie folgt gefasst:


altneu
Werden erstmals personenbezogene Daten für eigene Zwecke gespeichert, ist der Betroffene von der Speicherung und der Art der Daten zu benachrichtigen. "Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen."

bb) In Satz 2 werden nach den Wörtern "der Übermittlung" die Wörter "ohne Kenntnis des Betroffenen" eingefügt.

cc) Dem Absatz wird folgender Satz 3 angefügt:

"Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss."

b) Absatz 2 wird wie folgt geändert:

aa) In Nummer 2 werden nach dem Wort "dienen" die Wörter "und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde" eingefügt.

bb) ,Nach Nummer 3 werden folgende Nummern 4 und 5 eingefügt:

"4. die, Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist,

5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,".

cc) Die bisherige Nummer 4 wird die Nummer 6.

dd) Die bisherige Nummer 5

5. die Daten in einer Datei gespeichert werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht wird,

wird aufgehoben.

ee) Die bisherigen Nummern 6 und 7 werden die Nummern 7 und 8.

ff) In Nummer 6 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

gg) In Nummer 7 Buchstabe a werden nach dem Wort "sind" die Wörter "und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist", eingefügt.

hh) In Nummer 7 Buchstabe b wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

ii) Nummer 8 wird wie folgt gefasst:


altneu
8. die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und
  1. aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder
  2. es sich um listenmäßig oder sonst zusammengefaßte Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe b).
 "8. die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und

a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder

b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Abs. 2 Nr. 1 Buchstabe b) und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist."

jj) Dem Absatz wird folgender Satz angefügt:

"Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird."

36. § 34 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert:

aa) In Satz 1 Nr. 1 werden die Wörter "Herkunft und Empfänger" durch die Wörter "die Herkunft dieser Daten" ersetzt.

bb) Nach Satz 1 Nr. 1 wird folgende Nummer 2 eingefügt:

"2. Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und".

cc) Der bisherige Satz 1 Nr. 2 wird Satz 1 Nr. 3.

dd) Der bisherige Satz 1 Nr. 3

3. Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, wenn seine Daten automatisiert verarbeitet werden.

wird aufgehoben.

ee) In Satz 1 Nr. 3 wird das Wort "und" durch einen Punkt ersetzt.

ff) In Satz 3 werden die Wörter "wenn er begründete Zweifel an der Richtigkeit der Daten geltend macht" durch die Wörter "sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt" ersetzt.

b) Absatz 2 wird wie folgt geändert:

aa) In Satz 1 werden die Wörter "nicht in einer" durch die Wörter "weder in einer automatisierten Verarbeitung noch in einer nicht automatisierten" ersetzt. In Satz 2 werden die Wörter "wenn er begründete Zweifel an der Richtigkeit der Daten geltend macht" durch die Wörter "sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt" ersetzt.

bb) Satz 3

§ 38 Abs. 1 ist mit der Maßgabe anzuwenden, daß die Aufsichtsbehörde im Einzelfall die Einhaltung von Satz 1 überprüft, wenn der Betroffene begründet darlegt, daß die Auskunft nicht oder nicht richtig erteilt worden ist.

wird aufgehoben.

c) In Absatz 4 wird die Angabe "Nr. 2 bis 6" durch die Angabe "Satz 1 Nr. 2, 3 und 5 bis 7" ersetzt.

37. § 35 wird wie folgt geändert:

a) Absatz 2 Satz 2 wird wie folgt geändert:

aa) Nummer 2 wird wie folgt gefasst:


altneu
2. es sich um Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen handelt und ihre Richtigkeit von der speichernden Stelle nicht bewiesen werden kann, "2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,".

bb) Nummer 4 wird wie folgt gefasst:


altneu
4. sie geschäftsmäßig zum Zwecke der Übermittlung verarbeitet werden und eine Prüfung am Ende des fünften Kalenderjahres nach ihrer erstmaligen Speicherung ergibt, daß eine längerwährende Speicherung nicht erforderlich ist. "4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer erstmaligen Speicherung ergibt, dass eine längerwährende Speicherung nicht erforderlich ist."

.b) In Absatz 3 Nr. 1 wird die Angabe "oder 4" gestrichen.

c) Nach Absatz 4 wird folgender Absatz 5 eingefügt:

"(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet."

d) Die bisherigen Absätze 5 bis 7 werden die Absätze 6 bis 8.

e) Absatz 7 wird wie folgt geändert:

aa) Das Wort "regelmäßigen" wird gestrichen.

bb) Die Wörter "zur Wahrung der schutzwürdigen Interessen des Betroffenen erforderlich ist" werden durch die Wörter "keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen" ersetzt.

f) In Absatz 8 Nr. 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

38. In der Überschrift des Dritten Unterabschnitts zum Dritten Abschnitt werden die Wörter "Beauftragter für den Datenschutz," gestrichen.

39. § 36

§ 36 Bestellung eines Beauftragten für den Datenschutz

(1) Die nicht-öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten und damit in der Regel mindestens fünf Arbeitnehmer ständig beschäftigen, haben spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens zwanzig Arbeitnehmer ständig beschäftigt sind.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

(3) Der Beauftragte für den Datenschutz ist dem Inhaber, dem Vorstand, dem Geschäftsführer oder dem sonstigen gesetzlich oder nach der Verfassung des Unternehmens berufenen Leiter unmittelbar zu unterstellen. Er ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann nur auf Verlangen der Aufsichtsbehörde oder in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden.

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Die nicht-öffentliche Stelle hat den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

wird aufgehoben.

40. § 37

§ 37 Aufgaben des Beauftragten für den Datenschutz

(1) Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Zu diesem Zweck kann er sich in Zweifelsfällen an die Aufsichtsbehörde wenden. Er hat insbesondere

  1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
  2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen,
  3. bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.

(2) Dem Beauftragten ist von der nicht-öffentlichen Stelle eine Übersicht zur Verfügung zu stellen über

  1. eingesetzte Datenverarbeitungsanlagen,
  2. Bezeichnung und Art der Dateien,
  3. Art der gespeicherten Daten,
  4. Geschäftszwecke, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist,
  5. deren regelmäßige Empfänger,
  6. zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind.

(3) Absatz 2 Nr. 2 bis 6 gilt nicht für Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden.

wird aufgehoben.

41. § 38 wird wie folgt geändert:

a) Absatz 1 wird wie folgt gefasst:


altneu
(1) Die Aufsichtsbehörde überprüft im Einzelfall die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln, wenn ihr hinreichende Anhaltspunkte dafür vorliegen, daß eine dieser Vorschriften durch nicht-öffentliche Stellen verletzt ist, insbesondere wenn es der Betroffene selbst begründet darlegt. "(1) Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5. Satz 4 bis 7 gelten entsprechend."

b) Absatz 2 wird wie folgt geändert:

aa) Satz 1

Werden personenbezogene Daten geschäftsmäßig
  1. zum Zwecke der Übermittlung gespeichert,
  2. zum Zwecke der anonymisierten Übermittlung gespeichert oder
  3. im Auftrag durch Dienstleistungsunternehmen verarbeitet,

überwacht die Aufsichtsbehörde die Ausführung dieses Gesetzes oder anderer Vorschriften über den Datenschutz, soweit diese die Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien regeln.

wird aufgehoben.

bb) Der neue Satz 1 wird wie folgt gefasst:


altneu
Die Aufsichtsbehörde führt das Register nach § 32 Abs. 2. Das Register kann von jedem eingesehen werden. "Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1."

cc) Der bisherige Satz 3 wird Satz 2.

dd) Nach Satz 2 wird folgender Satz 3 angefügt:

"Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen."

b1) In Absatz 3 Satz 1 wird das Wort "Prüfung" durch das Wort "Kontrolle" ersetzt.

c) Absatz 4 wird wie folgt geändert:

aa) In Satz 1 werden die Wörter "Überprüfung oder Überwachung" durch das Wort "Kontrolle" ersetzt.

bb) In Satz 2 wird die Angabe " § 37 Abs. 2" durch die Angabe " § 4g Abs. 2 Satz 1" ersetzt.

d) In Absatz 5 Satz 1. werden die Wörter "Verarbeitung oder Nutzung" durch die Wörter "automatisierte Verarbeitung personen bezogener Daten oder die Verarbeitung" ersetzt sowie vor dem Wort "Dateien" das Wort "nicht automatisierten" eingefügt.

e) In Absatz 6 wird das Wort "Überwachung" durch das Wort "Kontrolle" ersetzt.

42. Nach § 38 wird folgender § 38a eingefügt:

- wie eingefügt -

43. In § 39 Abs. 1 Satz 1 wird das Wort "speichernden" durch das Wort "verantwortlichen" ersetzt.

44. § 40 wird wie folgt geändert:

a) Absatz 2

(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3 einzuhalten.

wird aufgehoben.

b) Die bisherigen Absätze 3 und 4 werden die Absätze 2 und 3.

45. § 41 wird wie folgt geändert:

a) In der Überschrift wird vor dem Wort "Verarbeitung" das Wort "Erhebung," eingefügt.

b) Absatz 1 wird wie folgt gefasst:


altneu
(1) Soweit personenbezogene Daten von Unternehmen oder Hilfsunternehmen der Presse oder des Films oder von Hilfsunternehmen des Rundfunks ausschließlich zu eigenen journalistisch-redaktionellen Zwecken verarbeitet oder genutzt werden, gelten von den Vorschriften dieses Gesetzes nur die §§ 5 und 9. Soweit Verlage personenbezogene Daten zur Herausgabe von Adressen-, Telefon-, Branchen- oder vergleichbaren Verzeichnissen verarbeiten oder nutzen, gilt Satz 1 nur, wenn mit der Herausgabe zugleich eine journalistisch-redaktionelle Tätigkeit verbunden ist. "(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen."

c) In Absatz 2 wird vor dem Wort "Verarbeitung" das Wort "Erhebung," eingefügt.

d) Absatz 3 Satz 2 wird wie folgt gefasst:


altneu
Die Auskunft kann verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. "Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit

1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann,

2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann,

3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde."

e) In Absatz 4 Satz 1 wird die Angabe " §§ 5 und 9" durch die Angabe " §§ 5, 7, 9 und 38a" ersetzt.

46. § 42 Abs. 5 Satz 2 wird wie folgt gefasst:


altneu
§ 18 bleibt unberührt. "Die §§ 4f und 4g bleiben unberührt."

47. § 43 wird wie folgt gefasst:


altneu
§ 43 Strafvorschriften

(1) Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,

  1. speichert, verändert oder übermittelt,
  2. zum Abruf mittels automatisierten Verfahrens bereithält oder
  3. abruft oder sich oder einem anderen aus Dateien verschafft,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer

  1. die Übermittlung von durch dieses Gesetz geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
  2. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 4 Satz 1, auch in Verbindung mit § 29 Abs. 3, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder
  3. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 3 Satz 3 die in § 40 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.

(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.

(4) Die Tat wird nur auf Antrag verfolgt.

 " § 43 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,

2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,

3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann,

4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt,

5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,

6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,

7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt

8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,

9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,

10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder

11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,

2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,

3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,

4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,

5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder

6. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen § 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.

(3) Die Ordnungswidrigkeit kann im Falle des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu fünfhunderttausend Deutsche Mark geahndet werden."

48. § 44 wird wie folgt gefasst:


altneu
§ 44 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
  2. entgegen § 32 Abs. 1, auch in Verbindung mit Absatz 4, eine Meldung nicht oder nicht rechtzeitig erstattet oder entgegen § 32 Abs. 2, auch in Verbindung mit Absatz 4, bei einer solchen Meldung die erforderlichen Angaben nicht, nicht richtig oder nicht vollständig mitteilt,
  3. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
  4. entgegen § 35 Abs. 5 Satz 3 Daten ohne Gegendarstellung übermittelt,
  5. entgegen § 36 Abs. 1 einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig bestellt,
  6. entgegen § 38 Abs. 3 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 38 Abs. 4 Satz 4 den Zutritt zu den Grundstücken oder Geschäftsräumen oder die Vornahme von Prüfungen oder Besichtigungen oder die Einsicht in geschäftliche Unterlagen nicht duldet, oder
  7. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.

 " § 44 Strafvorschriften

(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde."

49. Nach § 44 wird folgende Überschrift eingefügt:,

"Sechster Abschnitt Übergangsvorschriften".

50. Nach der Überschrift "Sechster Abschnitt Übergangsvorschriften" werden folgende §§ 45 und 46 eingefügt:

51. Die Anlage zu § 9 Satz 1 wird wie folgt gefasst:


altneu
Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
  1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
  2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
  3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
  4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
  5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
  6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
  7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
  8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
  10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
 "Anlage (zu § 9 Satz 1)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, ,die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern , dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können."

....

Artikel 9
Inkrafttreten

(1) Dieses Gesetz tritt am Tage nach der Verkündung. in Kraft, soweit in Absatz 2 nichts Abweichendes bestimmt ist.

(2) Artikel 8 § 3 tritt am 1. Januar 2002 in Kraft.

*) Dieses Gesetz dient der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31).

UWS Umweltmanagement GmbH