Gesetz zur Anpassung des Datenschutzrechts an die ...Bundesdatenschutzgesetz (BDSG)...

Gesetzzur Anpassung des Datenschutzrechts an die

Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)

Vom 30. Juni 2017

Der Bundestag hat mit Zustimmung des Bundes-rates das folgende Gesetz beschlossen:

Artikel 1

Bundesdatenschutzgesetz(BDSG)

I n h a l t s ü b e r s i c h t

Teil 1

Gemeinsame Bestimmungen

K a p i t e l 1

A nw e n d u n g s b e r e i c hu n d B e g r i f f s b e s t i mm u n g e n

§ 1 Anwendungsbereich des Gesetzes§ 2 Begriffsbestimmungen

K a p i t e l 2

R e c h t s g r u n d l a g e n d e rV e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n

§ 3 Verarbeitung personenbezogener Daten durch öffentlicheStellen

§ 4 Videoüberwachung öffentlich zugänglicher Räume

K a p i t e l 3

D a t e n s c h u t z b e a u f t r a g t e ö f f e n t l i c h e r S t e l l e n

§ 5 Benennung§ 6 Stellung§ 7 Aufgaben

K a p i t e l 4

D i e o d e r d e rB u n d e s b e a u f t r a g t e f ü r

d e n D a t e n s c h u t z u n d d i e I n f o r m a t i o n s f r e i h e i t

§ 8 Errichtung§ 9 Zuständigkeit§ 10 Unabhängigkeit§ 11 Ernennung und Amtszeit§ 12 Amtsverhältnis§ 13 Rechte und Pflichten§ 14 Aufgaben§ 15 Tätigkeitsbericht§ 16 Befugnisse

K a p i t e l 5

V e r t r e t u n g i mE u r o p ä i s c h e n D a t e n s c h u t z a u s s c h u s s ,

z e n t r a l e A n l a u f s t e l l e , Z u s amm e n a r b e i t d e rA u f s i c h t s b e h ö r d e n d e s B u n d e s u n d d e r L ä n d e ri n A n g e l e g e n h e i t e n d e r E u r o p ä i s c h e n U n i o n

§ 17 Vertretung im Europäischen Datenschutzausschuss,zentrale Anlaufstelle

§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehördendes Bundes und der Länder

§ 19 Zuständigkeiten

K a p i t e l 6

R e c h t s b e h e l f e

§ 20 Gerichtlicher Rechtsschutz§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entschei-

dung bei angenommener Rechtswidrigkeit eines Be-schlusses der Europäischen Kommission

Teil 2

Durchführungsbestimmungenfür Verarbeitungen zu Zwecken

gemäß Artikel 2 der Verordnung (EU) 2016/679

K a p i t e l 1

R e c h t s g r u n d l a g e n d e rV e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n

Abschnitt 1

Verarbeitung besondererKategorien personenbezogener

Daten und Verarbeitung zu anderen Zwecken

§ 22 Verarbeitung besonderer Kategorien personenbezogenerDaten

§ 23 Verarbeitung zu anderen Zwecken durch öffentlicheStellen

§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentlicheStellen

§ 25 Datenübermittlungen durch öffentliche Stellen

Abschnitt 2

Besondere Verarbeitungssituationen

§ 26 Datenverarbeitung für Zwecke des Beschäftigungsver-hältnisses

§ 27 Datenverarbeitung zu wissenschaftlichen oder histori-schen Forschungszwecken und zu statistischen Zwecken

§ 28 Datenverarbeitung zu im öffentlichen Interesse liegendenArchivzwecken

§ 29 Rechte der betroffenen Person und aufsichtsbehördlicheBefugnisse im Fall von Geheimhaltungspflichten

§ 30 Verbraucherkredite§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Boni-

tätsauskünften

K a p i t e l 2

R e c h t e d e r b e t r o f f e n e n P e r s o n

§ 32 Informationspflicht bei Erhebung von personenbezoge-nen Daten bei der betroffenen Person

§ 33 Informationspflicht, wenn die personenbezogenen Datennicht bei der betroffenen Person erhoben wurden

§ 34 Auskunftsrecht der betroffenen Person

2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag: www.bundesanzeiger-verlag.de

§ 35 Recht auf Löschung§ 36 Widerspruchsrecht§ 37 Automatisierte Entscheidungen im Einzelfall einschließ-

lich Profiling

K a p i t e l 3

P f l i c h t e n d e rVe r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen§ 39 Akkreditierung

K a p i t e l 4

A u f s i c h t s b e h ö r d ef ü r d i e D a t e n v e r a r b e i t u n g

d u r c h n i c h t ö f f e n t l i c h e S t e l l e n

§ 40 Aufsichtsbehörden der Länder

K a p i t e l 5

S a n k t i o n e n

§ 41 Anwendung der Vorschriften über das Bußgeld- undStrafverfahren

§ 42 Strafvorschriften§ 43 Bußgeldvorschriften

K a p i t e l 6

R e c h t s b e h e l f e

§ 44 Klagen gegen den Verantwortlichen oder Auftragsver-arbeiter

Teil 3

Bestimmungen fürVerarbeitungen zu Zwecken

gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

K a p i t e l 1

A n w e n d u n g s b e r e i c h ,B e g r i f f s b e s t i mm u n g e n

u n d a l l g e m e i n e G r u n d s ä t z e f ü r d i eVe r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n

§ 45 Anwendungsbereich§ 46 Begriffsbestimmungen§ 47 Allgemeine Grundsätze für die Verarbeitung personen-

bezogener Daten

K a p i t e l 2

R e c h t s g r u n d l a g e n d e rVe r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n

§ 48 Verarbeitung besonderer Kategorien personenbezogenerDaten

§ 49 Verarbeitung zu anderen Zwecken§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und

statistischen Zwecken§ 51 Einwilligung§ 52 Verarbeitung auf Weisung des Verantwortlichen§ 53 Datengeheimnis§ 54 Automatisierte Einzelentscheidung

K a p i t e l 3

R e c h t e d e r b e t r o f f e n e n P e r s o n

§ 55 Allgemeine Informationen zu Datenverarbeitungen§ 56 Benachrichtigung betroffener Personen

§ 57 Auskunftsrecht§ 58 Rechte auf Berichtigung und Löschung sowie Einschrän-

kung der Verarbeitung§ 59 Verfahren für die Ausübung der Rechte der betroffenen

Person§ 60 Anrufung der oder des Bundesbeauftragten§ 61 Rechtsschutz gegen Entscheidungen der oder des

Bundesbeauftragten oder bei deren oder dessen Untätig-keit

K a p i t e l 4

P f l i c h t e n d e rVe r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r

§ 62 Auftragsverarbeitung§ 63 Gemeinsam Verantwortliche§ 64 Anforderungen an die Sicherheit der Datenverarbeitung§ 65 Meldung von Verletzungen des Schutzes personenbezo-

gener Daten an die oder den Bundesbeauftragten§ 66 Benachrichtigung betroffener Personen bei Verletzungen

des Schutzes personenbezogener Daten§ 67 Durchführung einer Datenschutz-Folgenabschätzung§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten§ 69 Anhörung der oder des Bundesbeauftragten§ 70 Verzeichnis von Verarbeitungstätigkeiten§ 71 Datenschutz durch Technikgestaltung und datenschutz-

freundliche Voreinstellungen§ 72 Unterscheidung zwischen verschiedenen Kategorien be-

troffener Personen§ 73 Unterscheidung zwischen Tatsachen und persönlichen

Einschätzungen§ 74 Verfahren bei Übermittlungen§ 75 Berichtigung und Löschung personenbezogener Daten

sowie Einschränkung der Verarbeitung§ 76 Protokollierung§ 77 Vertrauliche Meldung von Verstößen

K a p i t e l 5

D a t e n ü b e r m i t t l u n g e na n D r i t t s t a a t e n u n d a n

i n t e r n a t i o n a l e O r g a n i s a t i o n e n

§ 78 Allgemeine Voraussetzungen§ 79 Datenübermittlung bei geeigneten Garantien§ 80 Datenübermittlung ohne geeignete Garantien§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten

K a p i t e l 6

Z u s amm e n a r b e i t d e r A u f s i c h t s b e h ö r d e n

§ 82 Gegenseitige Amtshilfe

K a p i t e l 7

H a f t u n g u n d S a n k t i o n e n

§ 83 Schadensersatz und Entschädigung§ 84 Strafvorschriften

Teil 4

Besondere Bestimmungen fürVerarbeitungen im Rahmen von nicht in die

Anwendungsbereiche der Verordnung (EU) 2016/679und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

§ 85 Verarbeitung personenbezogener Daten im Rahmen vonnicht in die Anwendungsbereiche der Verordnung (EU)2016/679 und der Richtlinie (EU) 2016/680 fallendenTätigkeiten

2098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 20172098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 20172098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 20172098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017


Te i l 1

G em e i n s am e B e s t i mm u n g e n

Kapitel 1

Anwendungsbereich und Begriffsbestimmungen

§ 1

Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt für die Verarbeitung personen-bezogener Daten durch

1. öffentliche Stellen des Bundes,

2. öffentliche Stellen der Länder, soweit der Daten-schutz nicht durch Landesgesetz geregelt ist undsoweit sie

a) Bundesrecht ausführen oder

b) als Organe der Rechtspflege tätig werden undes sich nicht um Verwaltungsangelegenheitenhandelt.

Für nichtöffentliche Stellen gilt dieses Gesetz für dieganz oder teilweise automatisierte Verarbeitung perso-nenbezogener Daten sowie die nicht automatisierteVerarbeitung personenbezogener Daten, die in einemDateisystem gespeichert sind oder gespeichert werdensollen, es sei denn, die Verarbeitung durch natürlichePersonen erfolgt zur Ausübung ausschließlich persön-licher oder familiärer Tätigkeiten.

(2) Andere Rechtsvorschriften des Bundes über denDatenschutz gehen den Vorschriften dieses Gesetzesvor. Regeln sie einen Sachverhalt, für den diesesGesetz gilt, nicht oder nicht abschließend, finden dieVorschriften dieses Gesetzes Anwendung. Die Ver-pflichtung zur Wahrung gesetzlicher Geheimhaltungs-pflichten oder von Berufs- oder besonderen Amtsge-heimnissen, die nicht auf gesetzlichen Vorschriften be-ruhen, bleibt unberührt.

(3) Die Vorschriften dieses Gesetzes gehen denendes Verwaltungsverfahrensgesetzes vor, soweit beider Ermittlung des Sachverhalts personenbezogeneDaten verarbeitet werden.

(4) Dieses Gesetz findet Anwendung auf öffentlicheStellen. Auf nichtöffentliche Stellen findet es Anwen-dung, sofern

1. der Verantwortliche oder Auftragsverarbeiter perso-nenbezogene Daten im Inland verarbeitet,

2. die Verarbeitung personenbezogener Daten im Rah-men der Tätigkeiten einer inländischen Niederlas-sung des Verantwortlichen oder Auftragsverarbeiterserfolgt oder

3. der Verantwortliche oder Auftragsverarbeiter zwarkeine Niederlassung in einem Mitgliedstaat derEuropäischen Union oder in einem anderen Ver-tragsstaat des Abkommens über den EuropäischenWirtschaftsraum hat, er aber in den Anwendungs-bereich der Verordnung (EU) 2016/679 des Euro-päischen Parlaments und des Rates vom 27. April2016 zum Schutz natürlicher Personen bei derVerarbeitung personenbezogener Daten, zum freienDatenverkehr und zur Aufhebung der Richtlinie95/46/EG (Datenschutz-Grundverordnung) (ABl.L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016,S. 72) fällt.

Sofern dieses Gesetz nicht gemäß Satz 2 Anwendungfindet, gelten für den Verantwortlichen oder Auftrags-verarbeiter nur die §§ 8 bis 21, 39 bis 44.

(5) Die Vorschriften dieses Gesetzes finden keine An-wendung, soweit das Recht der Europäischen Union,im Besonderen die Verordnung (EU) 2016/679 in derjeweils geltenden Fassung, unmittelbar gilt.

(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2der Verordnung (EU) 2016/679 stehen die Vertrags-staaten des Abkommens über den Europäischen Wirt-schaftsraum und die Schweiz den Mitgliedstaaten derEuropäischen Union gleich. Andere Staaten gelteninsoweit als Drittstaaten.

(7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1Absatz 1 der Richtlinie (EU) 2016/680 des Euro-päischen Parlaments und des Rates vom 27. April 2016zum Schutz natürlicher Personen bei der Verarbeitungpersonenbezogener Daten durch die zuständigen Be-hörden zum Zwecke der Verhütung, Ermittlung, Aufde-ckung oder Verfolgung von Straftaten oder der Straf-vollstreckung sowie zum freien Datenverkehr und zurAufhebung des Rahmenbeschlusses 2008/977/JI desRates (ABl. L 119 vom 4.5.2016, S. 89) stehen die beider Umsetzung, Anwendung und Entwicklung desSchengen-Besitzstands assoziierten Staaten den Mit-gliedstaaten der Europäischen Union gleich. AndereStaaten gelten insoweit als Drittstaaten.

(8) Für Verarbeitungen personenbezogener Datendurch öffentliche Stellen im Rahmen von nicht in dieAnwendungsbereiche der Verordnung (EU) 2016/679und der Richtlinie (EU) 2016/680 fallenden Tätigkeitenfinden die Verordnung (EU) 2016/679 und die Teile 1und 2 dieses Gesetzes entsprechend Anwendung, so-weit nicht in diesem Gesetz oder einem anderen GesetzAbweichendes geregelt ist.

§ 2

Begriffsbestimmungen

(1) Öffentliche Stellen des Bundes sind die Behör-den, die Organe der Rechtspflege und andere öffent-lich-rechtlich organisierte Einrichtungen des Bundes,der bundesunmittelbaren Körperschaften, der Anstal-ten und Stiftungen des öffentlichen Rechts sowie derenVereinigungen ungeachtet ihrer Rechtsform.

(2) Öffentliche Stellen der Länder sind die Behörden,die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einerGemeinde, eines Gemeindeverbandes oder sonstigerder Aufsicht des Landes unterstehender juristischerPersonen des öffentlichen Rechts sowie deren Vereini-gungen ungeachtet ihrer Rechtsform.

(3) Vereinigungen des privaten Rechts von öffent-lichen Stellen des Bundes und der Länder, die Aufga-ben der öffentlichen Verwaltung wahrnehmen, geltenungeachtet der Beteiligung nichtöffentlicher Stellen alsöffentliche Stellen des Bundes, wenn

1. sie über den Bereich eines Landes hinaus tätigwerden oder

2. dem Bund die absolute Mehrheit der Anteile gehörtoder die absolute Mehrheit der Stimmen zusteht.

Andernfalls gelten sie als öffentliche Stellen der Länder.



(4) Nichtöffentliche Stellen sind natürliche und juris-tische Personen, Gesellschaften und andere Personen-vereinigungen des privaten Rechts, soweit sie nichtunter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffent-liche Stelle hoheitliche Aufgaben der öffentlichen Ver-waltung wahr, ist sie insoweit öffentliche Stelle im Sinnedieses Gesetzes.

(5) Öffentliche Stellen des Bundes gelten als nicht-öffentliche Stellen im Sinne dieses Gesetzes, soweit sieals öffentlich-rechtliche Unternehmen am Wettbewerbteilnehmen. Als nichtöffentliche Stellen im Sinne diesesGesetzes gelten auch öffentliche Stellen der Länder,soweit sie als öffentlich-rechtliche Unternehmen amWettbewerb teilnehmen, Bundesrecht ausführen undder Datenschutz nicht durch Landesgesetz geregelt ist.

Kapitel 2

Rechtsgrundlagen derVerarbeitung personenbezogener Daten

§ 3

Verarbeitungpersonenbezogener Daten durch öffentliche Stellen

Die Verarbeitung personenbezogener Daten durcheine öffentliche Stelle ist zulässig, wenn sie zur Erfül-lung der in der Zuständigkeit des Verantwortlichen lie-genden Aufgabe oder in Ausübung öffentlicher Gewalt,die dem Verantwortlichen übertragen wurde, erforder-lich ist.

§ 4

Videoüberwachung öffentlich zugänglicher Räume

(1) Die Beobachtung öffentlich zugänglicher Räumemit optisch-elektronischen Einrichtungen (Videoüber-wachung) ist nur zulässig, soweit sie

1. zur Aufgabenerfüllung öffentlicher Stellen,

2. zur Wahrnehmung des Hausrechts oder

3. zur Wahrnehmung berechtigter Interessen für kon-kret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dassschutzwürdige Interessen der Betroffenen überwiegen.Bei der Videoüberwachung von

1. öffentlich zugänglichen großflächigen Anlagen, wieinsbesondere Sport-, Versammlungs- und Vergnü-gungsstätten, Einkaufszentren oder Parkplätzen,oder

2. Fahrzeugen und öffentlich zugänglichen großflächi-gen Einrichtungen des öffentlichen Schienen-,Schiffs- und Busverkehrs

gilt der Schutz von Leben, Gesundheit oder Freiheit vondort aufhältigen Personen als ein besonders wichtigesInteresse.

(2) Der Umstand der Beobachtung und der Nameund die Kontaktdaten des Verantwortlichen sind durchgeeignete Maßnahmen zum frühestmöglichen Zeit-punkt erkennbar zu machen.

(3) Die Speicherung oder Verwendung von nachAbsatz 1 erhobenen Daten ist zulässig, wenn sie zumErreichen des verfolgten Zwecks erforderlich ist undkeine Anhaltspunkte bestehen, dass schutzwürdigeInteressen der Betroffenen überwiegen. Absatz 1 Satz 2

gilt entsprechend. Für einen anderen Zweck dürfen sienur weiterverarbeitet werden, soweit dies zur Abwehrvon Gefahren für die staatliche und öffentliche Sicher-heit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Da-ten einer bestimmten Person zugeordnet, so bestehtdie Pflicht zur Information der betroffenen Person überdie Verarbeitung gemäß den Artikeln 13 und 14 der Ver-ordnung (EU) 2016/679. § 32 gilt entsprechend.

(5) Die Daten sind unverzüglich zu löschen, wenn siezur Erreichung des Zwecks nicht mehr erforderlich sindoder schutzwürdige Interessen der Betroffenen einerweiteren Speicherung entgegenstehen.

Kapitel 3

Datenschutzbeauftragte öffentlicher Stellen

§ 5

Benennung

(1) Öffentliche Stellen benennen eine Datenschutz-beauftragte oder einen Datenschutzbeauftragten. Diesgilt auch für öffentliche Stellen nach § 2 Absatz 5, dieam Wettbewerb teilnehmen.

(2) Für mehrere öffentliche Stellen kann unter Be-rücksichtigung ihrer Organisationsstruktur und ihrerGröße eine gemeinsame Datenschutzbeauftragte oderein gemeinsamer Datenschutzbeauftragter benanntwerden.

(3) Die oder der Datenschutzbeauftragte wird auf derGrundlage ihrer oder seiner beruflichen Qualifikationund insbesondere ihres oder seines Fachwissens be-nannt, das sie oder er auf dem Gebiet des Daten-schutzrechts und der Datenschutzpraxis besitzt, sowieauf der Grundlage ihrer oder seiner Fähigkeit zur Erfül-lung der in § 7 genannten Aufgaben.

(4) Die oder der Datenschutzbeauftragte kann Be-schäftigte oder Beschäftigter der öffentlichen Stellesein oder ihre oder seine Aufgaben auf der Grundlageeines Dienstleistungsvertrags erfüllen.

(5) Die öffentliche Stelle veröffentlicht die Kontakt-daten der oder des Datenschutzbeauftragten und teiltdiese Daten der oder dem Bundesbeauftragten für denDatenschutz und die Informationsfreiheit mit.

§ 6

Stellung

(1) Die öffentliche Stelle stellt sicher, dass die oderder Datenschutzbeauftragte ordnungsgemäß und früh-zeitig in alle mit dem Schutz personenbezogener Datenzusammenhängenden Fragen eingebunden wird.

(2) Die öffentliche Stelle unterstützt die Daten-schutzbeauftragte oder den Datenschutzbeauftragtenbei der Erfüllung ihrer oder seiner Aufgaben gemäß§ 7, indem sie die für die Erfüllung dieser Aufgaben er-forderlichen Ressourcen und den Zugang zu personen-bezogenen Daten und Verarbeitungsvorgängen sowiedie zur Erhaltung ihres oder seines Fachwissens erfor-derlichen Ressourcen zur Verfügung stellt.

(3) Die öffentliche Stelle stellt sicher, dass die oderder Datenschutzbeauftragte bei der Erfüllung ihrer oderseiner Aufgaben keine Anweisungen bezüglich der Aus-übung dieser Aufgaben erhält. Die oder der Daten-



schutzbeauftragte berichtet unmittelbar der höchstenLeitungsebene der öffentlichen Stelle. Die oder der Da-tenschutzbeauftragte darf von der öffentlichen Stellewegen der Erfüllung ihrer oder seiner Aufgaben nichtabberufen oder benachteiligt werden.

(4) Die Abberufung der oder des Datenschutzbeauf-tragten ist nur in entsprechender Anwendung des § 626des Bürgerlichen Gesetzbuchs zulässig. Die Kündigungdes Arbeitsverhältnisses ist unzulässig, es sei denn,dass Tatsachen vorliegen, welche die öffentliche Stellezur Kündigung aus wichtigem Grund ohne Einhaltungeiner Kündigungsfrist berechtigen. Nach dem Endeder Tätigkeit als Datenschutzbeauftragte oder als Da-tenschutzbeauftragter ist die Kündigung des Arbeits-verhältnisses innerhalb eines Jahres unzulässig, es seidenn, dass die öffentliche Stelle zur Kündigung auswichtigem Grund ohne Einhaltung einer Kündigungs-frist berechtigt ist.

(5) Betroffene Personen können die Datenschutzbe-auftragte oder den Datenschutzbeauftragten zu allenmit der Verarbeitung ihrer personenbezogenen Datenund mit der Wahrnehmung ihrer Rechte gemäß der Ver-ordnung (EU) 2016/679, diesem Gesetz sowie anderenRechtsvorschriften über den Datenschutz im Zusam-menhang stehenden Fragen zu Rate ziehen. Die oderder Datenschutzbeauftragte ist zur Verschwiegenheitüber die Identität der betroffenen Person sowie überUmstände, die Rückschlüsse auf die betroffene Personzulassen, verpflichtet, soweit sie oder er nicht davondurch die betroffene Person befreit wird.

(6) Wenn die oder der Datenschutzbeauftragte beiihrer oder seiner Tätigkeit Kenntnis von Daten erhält,für die der Leitung oder einer bei der öffentlichen Stellebeschäftigten Person aus beruflichen Gründen einZeugnisverweigerungsrecht zusteht, steht dieses Rechtauch der oder dem Datenschutzbeauftragten und denihr oder ihm unterstellten Beschäftigten zu. Über dieAusübung dieses Rechts entscheidet die Person, derdas Zeugnisverweigerungsrecht aus beruflichen Grün-den zusteht, es sei denn, dass diese Entscheidungin absehbarer Zeit nicht herbeigeführt werden kann.Soweit das Zeugnisverweigerungsrecht der oder desDatenschutzbeauftragten reicht, unterliegen ihre oderseine Akten und andere Dokumente einem Beschlag-nahmeverbot.

§ 7

Aufgaben

(1) Der oder dem Datenschutzbeauftragten obliegenneben den in der Verordnung (EU) 2016/679 genanntenAufgaben zumindest folgende Aufgaben:

1. Unterrichtung und Beratung der öffentlichen Stelleund der Beschäftigten, die Verarbeitungen durchfüh-ren, hinsichtlich ihrer Pflichten nach diesem Gesetzund sonstigen Vorschriften über den Datenschutz,einschließlich der zur Umsetzung der Richtlinie (EU)2016/680 erlassenen Rechtsvorschriften;

2. Überwachung der Einhaltung dieses Gesetzes undsonstiger Vorschriften über den Datenschutz, ein-schließlich der zur Umsetzung der Richtlinie (EU)2016/680 erlassenen Rechtsvorschriften, sowie derStrategien der öffentlichen Stelle für den Schutzpersonenbezogener Daten, einschließlich der Zuwei-sung von Zuständigkeiten, der Sensibilisierung und

der Schulung der an den Verarbeitungsvorgängenbeteiligten Beschäftigten und der diesbezüglichenÜberprüfungen;

3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durch-führung gemäß § 67 dieses Gesetzes;

4. Zusammenarbeit mit der Aufsichtsbehörde;

5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde inmit der Verarbeitung zusammenhängenden Fragen,einschließlich der vorherigen Konsultation gemäß§ 69 dieses Gesetzes, und gegebenenfalls Beratungzu allen sonstigen Fragen.

Im Fall einer oder eines bei einem Gericht bestelltenDatenschutzbeauftragten beziehen sich diese Aufga-ben nicht auf das Handeln des Gerichts im Rahmenseiner justiziellen Tätigkeit.

(2) Die oder der Datenschutzbeauftragte kann an-dere Aufgaben und Pflichten wahrnehmen. Die öffent-liche Stelle stellt sicher, dass derartige Aufgaben undPflichten nicht zu einem Interessenkonflikt führen.

(3) Die oder der Datenschutzbeauftragte trägt beider Erfüllung ihrer oder seiner Aufgaben dem mit denVerarbeitungsvorgängen verbundenen Risiko gebüh-rend Rechnung, wobei sie oder er die Art, den Umfang,die Umstände und die Zwecke der Verarbeitung be-rücksichtigt.

Kapitel 4

Die oder der Bundesbeauftragte fürden Datenschutz und die Informationsfreiheit

§ 8

Errichtung

(1) Die oder der Bundesbeauftragte für den Daten-schutz und die Informationsfreiheit (Bundesbeauftragte)ist eine oberste Bundesbehörde. Der Dienstsitz istBonn.

(2) Die Beamtinnen und Beamten der oder desBundesbeauftragten sind Beamtinnen und Beamtedes Bundes.

(3) Die oder der Bundesbeauftragte kann Aufgabender Personalverwaltung und Personalwirtschaft auf an-dere Stellen des Bundes übertragen, soweit hierdurchdie Unabhängigkeit der oder des Bundesbeauftragtennicht beeinträchtigt wird. Diesen Stellen dürfen perso-nenbezogene Daten der Beschäftigten übermitteltwerden, soweit deren Kenntnis zur Erfüllung der über-tragenen Aufgaben erforderlich ist.

§ 9

Zuständigkeit

(1) Die oder der Bundesbeauftragte ist zuständig fürdie Aufsicht über die öffentlichen Stellen des Bundes,auch soweit sie als öffentlich-rechtliche Unternehmenam Wettbewerb teilnehmen. Die Vorschriften diesesKapitels gelten auch für Auftragsverarbeiter, soweit sienichtöffentliche Stellen sind, bei denen dem Bund dieMehrheit der Anteile gehört oder die Mehrheit derStimmen zusteht und der Auftraggeber eine öffentlicheStelle des Bundes ist.



(2) Die oder der Bundesbeauftragte ist nicht zustän-dig für die Aufsicht über die von den Bundesgerichtenim Rahmen ihrer justiziellen Tätigkeit vorgenommenenVerarbeitungen.

§ 10

Unabhängigkeit

(1) Die oder der Bundesbeauftragte handelt bei derErfüllung ihrer oder seiner Aufgaben und bei der Aus-übung ihrer oder seiner Befugnisse völlig unabhängig.Sie oder er unterliegt weder direkter noch indirekter Be-einflussung von außen und ersucht weder um Weisungnoch nimmt sie oder er Weisungen entgegen.

(2) Die oder der Bundesbeauftragte unterliegt derRechnungsprüfung durch den Bundesrechnungshof,soweit hierdurch ihre oder seine Unabhängigkeit nichtbeeinträchtigt wird.

§ 11

Ernennung und Amtszeit

(1) Der Deutsche Bundestag wählt ohne Ausspracheauf Vorschlag der Bundesregierung die Bundesbeauf-tragte oder den Bundesbeauftragten mit mehr als derHälfte der gesetzlichen Zahl seiner Mitglieder. Die oderder Gewählte ist von der Bundespräsidentin oder demBundespräsidenten zu ernennen. Die oder der Bundes-beauftragte muss bei ihrer oder seiner Wahl das 35. Le-bensjahr vollendet haben. Sie oder er muss über die fürdie Erfüllung ihrer oder seiner Aufgaben und Ausübungihrer oder seiner Befugnisse erforderliche Qualifikation,Erfahrung und Sachkunde insbesondere im Bereich desSchutzes personenbezogener Daten verfügen. Insbe-sondere muss die oder der Bundesbeauftragte überdurch einschlägige Berufserfahrung erworbene Kennt-nisse des Datenschutzrechts verfügen und die Befähi-gung zum Richteramt oder höheren Verwaltungsdiensthaben.

(2) Die oder der Bundesbeauftragte leistet vor derBundespräsidentin oder dem Bundespräsidenten fol-genden Eid: „Ich schwöre, dass ich meine Kraft demWohle des deutschen Volkes widmen, seinen Nutzenmehren, Schaden von ihm wenden, das Grundgesetzund die Gesetze des Bundes wahren und verteidigen,meine Pflichten gewissenhaft erfüllen und Gerechtigkeitgegen jedermann üben werde. So wahr mir Gott helfe.“Der Eid kann auch ohne religiöse Beteuerung geleistetwerden.

(3) Die Amtszeit der oder des Bundesbeauftragtenbeträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

§ 12

Amtsverhältnis

(1) Die oder der Bundesbeauftragte steht nach Maß-gabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis.

(2) Das Amtsverhältnis beginnt mit der Aushändi-gung der Ernennungsurkunde. Es endet mit dem Ab-lauf der Amtszeit oder mit dem Rücktritt. Die Bundes-präsidentin oder der Bundespräsident enthebt aufVorschlag der Präsidentin oder des Präsidenten desBundestages die Bundesbeauftragte ihres oder denBundesbeauftragten seines Amtes, wenn die oder derBundesbeauftragte eine schwere Verfehlung begangen

hat oder die Voraussetzungen für die Wahrnehmungihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fallder Beendigung des Amtsverhältnisses oder der Amts-enthebung erhält die oder der Bundesbeauftragte einevon der Bundespräsidentin oder dem Bundespräsiden-ten vollzogene Urkunde. Eine Amtsenthebung wird mitder Aushändigung der Urkunde wirksam. Endet dasAmtsverhältnis mit Ablauf der Amtszeit, ist die oderder Bundesbeauftragte verpflichtet, auf Ersuchen derPräsidentin oder des Präsidenten des Bundestagesdie Geschäfte bis zur Ernennung einer Nachfolgerinoder eines Nachfolgers für die Dauer von höchstenssechs Monaten weiterzuführen.

(3) Die Leitende Beamtin oder der Leitende Beamtenimmt die Rechte der oder des Bundesbeauftragtenwahr, wenn die oder der Bundesbeauftragte an derAusübung ihres oder seines Amtes verhindert ist oderwenn ihr oder sein Amtsverhältnis endet und sie oder ernicht zur Weiterführung der Geschäfte verpflichtet ist.§ 10 Absatz 1 ist entsprechend anzuwenden.

(4) Die oder der Bundesbeauftragte erhält vom Be-ginn des Kalendermonats an, in dem das Amtsverhält-nis beginnt, bis zum Schluss des Kalendermonats, indem das Amtsverhältnis endet, im Fall des Absatzes 2Satz 6 bis zum Ende des Monats, in dem die Ge-schäftsführung endet, Amtsbezüge in Höhe der Besol-dungsgruppe B 11 sowie den Familienzuschlag ent-sprechend Anlage V des Bundesbesoldungsgesetzes.Das Bundesreisekostengesetz und das Bundesum-zugskostengesetz sind entsprechend anzuwenden. ImÜbrigen sind § 12 Absatz 6 sowie die §§ 13 bis 20und 21a Absatz 5 des Bundesministergesetzes mitden Maßgaben anzuwenden, dass an die Stelle dervierjährigen Amtszeit in § 15 Absatz 1 des Bundes-ministergesetzes eine Amtszeit von fünf Jahren tritt.Abweichend von Satz 3 in Verbindung mit den §§ 15bis 17 und 21a Absatz 5 des Bundesministergesetzesberechnet sich das Ruhegehalt der oder des Bundes-beauftragten unter Hinzurechnung der Amtszeit alsruhegehaltsfähige Dienstzeit in entsprechender Anwen-dung des Beamtenversorgungsgesetzes, wenn diesgünstiger ist und die oder der Bundesbeauftragte sichunmittelbar vor ihrer oder seiner Wahl zur oder zumBundesbeauftragten als Beamtin oder Beamter oderals Richterin oder Richter mindestens in dem letztengewöhnlich vor Erreichen der Besoldungsgruppe B 11zu durchlaufenden Amt befunden hat.

§ 13

Rechte und Pflichten

(1) Die oder der Bundesbeauftragte sieht von allenmit den Aufgaben ihres oder seines Amtes nicht zuvereinbarenden Handlungen ab und übt während ihreroder seiner Amtszeit keine andere mit ihrem oderseinem Amt nicht zu vereinbarende entgeltliche oderunentgeltliche Tätigkeit aus. Insbesondere darf die oderder Bundesbeauftragte neben ihrem oder seinem Amtkein anderes besoldetes Amt, kein Gewerbe und keinenBeruf ausüben und weder der Leitung oder dem Auf-sichtsrat oder Verwaltungsrat eines auf Erwerb gerich-teten Unternehmens noch einer Regierung oder einergesetzgebenden Körperschaft des Bundes oder einesLandes angehören. Sie oder er darf nicht gegen Entgeltaußergerichtliche Gutachten abgeben.



(2) Die oder der Bundesbeauftragte hat der Präsi-dentin oder dem Präsidenten des Bundestages Mittei-lung über Geschenke zu machen, die sie oder er inBezug auf das Amt erhält. Die Präsidentin oder derPräsident des Bundestages entscheidet über die Ver-wendung der Geschenke. Sie oder er kann Verfahrens-vorschriften erlassen.

(3) Die oder der Bundesbeauftragte ist berechtigt,über Personen, die ihr oder ihm in ihrer oder seinerEigenschaft als Bundesbeauftragte oder Bundesbeauf-tragter Tatsachen anvertraut haben, sowie über dieseTatsachen selbst das Zeugnis zu verweigern. Dies giltauch für die Mitarbeiterinnen und Mitarbeiter der oderdes Bundesbeauftragten mit der Maßgabe, dass überdie Ausübung dieses Rechts die oder der Bundesbe-auftragte entscheidet. Soweit das Zeugnisverweige-rungsrecht der oder des Bundesbeauftragten reicht,darf die Vorlegung oder Auslieferung von Akten oderanderen Dokumenten von ihr oder ihm nicht gefordertwerden.

(4) Die oder der Bundesbeauftragte ist, auch nachBeendigung ihres oder seines Amtsverhältnisses, ver-pflichtet, über die ihr oder ihm amtlich bekanntgewor-denen Angelegenheiten Verschwiegenheit zu bewah-ren. Dies gilt nicht für Mitteilungen im dienstlichen Ver-kehr oder über Tatsachen, die offenkundig sind oderihrer Bedeutung nach keiner Geheimhaltung bedürfen.Die oder der Bundesbeauftragte entscheidet nachpflichtgemäßem Ermessen, ob und inwieweit sie oderer über solche Angelegenheiten vor Gericht oder außer-gerichtlich aussagt oder Erklärungen abgibt; wenn sieoder er nicht mehr im Amt ist, ist die Genehmigung deroder des amtierenden Bundesbeauftragten erforderlich.Unberührt bleibt die gesetzlich begründete Pflicht,Straftaten anzuzeigen und bei einer Gefährdung derfreiheitlichen demokratischen Grundordnung für derenErhaltung einzutreten. Für die Bundesbeauftragte oderden Bundesbeauftragten und ihre oder seine Mitarbei-terinnen und Mitarbeiter gelten die §§ 93, 97 und 105Absatz 1, § 111 Absatz 5 in Verbindung mit § 105Absatz 1 sowie § 116 Absatz 1 der Abgabenordnungnicht. Satz 5 findet keine Anwendung, soweit dieFinanzbehörden die Kenntnis für die Durchführungeines Verfahrens wegen einer Steuerstraftat sowieeines damit zusammenhängenden Steuerverfahrensbenötigen, an deren Verfolgung ein zwingendes öffent-liches Interesse besteht, oder soweit es sich um vor-sätzlich falsche Angaben der oder des Auskunftspflich-tigen oder der für sie oder ihn tätigen Personen handelt.Stellt die oder der Bundesbeauftragte einen Daten-schutzverstoß fest, ist sie oder er befugt, diesen an-zuzeigen und die betroffene Person hierüber zu infor-mieren.

(5) Die oder der Bundesbeauftragte darf als Zeuginoder Zeuge aussagen, es sei denn, die Aussage würde

1. dem Wohl des Bundes oder eines Landes Nachteilebereiten, insbesondere Nachteile für die Sicherheitder Bundesrepublik Deutschland oder ihre Bezie-hungen zu anderen Staaten, oder

2. Grundrechte verletzen.

Betrifft die Aussage laufende oder abgeschlossene Vor-gänge, die dem Kernbereich exekutiver Eigenverant-wortung der Bundesregierung zuzurechnen sind odersein könnten, darf die oder der Bundesbeauftragte nur

im Benehmen mit der Bundesregierung aussagen. § 28des Bundesverfassungsgerichtsgesetzes bleibt unbe-rührt.

(6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entspre-chend für die öffentlichen Stellen, die für die Kontrolleder Einhaltung der Vorschriften über den Datenschutzin den Ländern zuständig sind.

§ 14

Aufgaben

(1) Die oder der Bundesbeauftragte hat neben den inder Verordnung (EU) 2016/679 genannten Aufgaben dieAufgaben,

1. die Anwendung dieses Gesetzes und sonstigerVorschriften über den Datenschutz, einschließlichder zur Umsetzung der Richtlinie (EU) 2016/680 er-lassenen Rechtsvorschriften, zu überwachen unddurchzusetzen,

2. die Öffentlichkeit für die Risiken, Vorschriften,Garantien und Rechte im Zusammenhang mit derVerarbeitung personenbezogener Daten zu sensibi-lisieren und sie darüber aufzuklären, wobei spezifi-sche Maßnahmen für Kinder besondere Beachtungfinden,

3. den Deutschen Bundestag und den Bundesrat, dieBundesregierung und andere Einrichtungen undGremien über legislative und administrative Maß-nahmen zum Schutz der Rechte und Freiheitennatürlicher Personen in Bezug auf die Verarbeitungpersonenbezogener Daten zu beraten,

4. die Verantwortlichen und die Auftragsverarbeiterfür die ihnen aus diesem Gesetz und sonstigen Vor-schriften über den Datenschutz, einschließlich denzur Umsetzung der Richtlinie (EU) 2016/680 erlas-senen Rechtsvorschriften, entstehenden Pflichtenzu sensibilisieren,

5. auf Anfrage jeder betroffenen Person Informationenüber die Ausübung ihrer Rechte aufgrund diesesGesetzes und sonstiger Vorschriften über denDatenschutz, einschließlich der zur Umsetzung derRichtlinie (EU) 2016/680 erlassenen Rechtsvor-schriften, zur Verfügung zu stellen und gegebenen-falls zu diesem Zweck mit den Aufsichtsbehördenin anderen Mitgliedstaaten zusammenzuarbeiten,

6. sich mit Beschwerden einer betroffenen Personoder Beschwerden einer Stelle, einer Organisationoder eines Verbandes gemäß Artikel 55 der Richt-linie (EU) 2016/680 zu befassen, den Gegenstandder Beschwerde in angemessenem Umfang zuuntersuchen und den Beschwerdeführer innerhalbeiner angemessenen Frist über den Fortgang unddas Ergebnis der Untersuchung zu unterrichten,insbesondere, wenn eine weitere Untersuchungoder Koordinierung mit einer anderen Aufsichts-behörde notwendig ist,

7. mit anderen Aufsichtsbehörden zusammenzuarbei-ten, auch durch Informationsaustausch, und ihnenAmtshilfe zu leisten, um die einheitliche Anwen-dung und Durchsetzung dieses Gesetzes undsonstiger Vorschriften über den Datenschutz, ein-schließlich der zur Umsetzung der Richtlinie (EU)2016/680 erlassenen Rechtsvorschriften, zu ge-währleisten,



8. Untersuchungen über die Anwendung dieses Ge-setzes und sonstiger Vorschriften über den Daten-schutz, einschließlich der zur Umsetzung der Richt-linie (EU) 2016/680 erlassenen Rechtsvorschriften,durchzuführen, auch auf der Grundlage von Infor-mationen einer anderen Aufsichtsbehörde odereiner anderen Behörde,

9. maßgebliche Entwicklungen zu verfolgen, soweitsie sich auf den Schutz personenbezogener Datenauswirken, insbesondere die Entwicklung der Infor-mations- und Kommunikationstechnologie und derGeschäftspraktiken,

10. Beratung in Bezug auf die in § 69 genannten Ver-arbeitungsvorgänge zu leisten und

11. Beiträge zur Tätigkeit des Europäischen Daten-schutzausschusses zu leisten.

Im Anwendungsbereich der Richtlinie (EU) 2016/680nimmt die oder der Bundesbeauftragte zudem die Auf-gabe nach § 60 wahr.

(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3genannten Aufgabe kann die oder der Bundesbe-auftragte zu allen Fragen, die im Zusammenhang mitdem Schutz personenbezogener Daten stehen, vonsich aus oder auf Anfrage Stellungnahmen an denDeutschen Bundestag oder einen seiner Ausschüsse,den Bundesrat, die Bundesregierung, sonstige Einrich-tungen und Stellen sowie an die Öffentlichkeit richten.Auf Ersuchen des Deutschen Bundestages, einesseiner Ausschüsse oder der Bundesregierung gehtdie oder der Bundesbeauftragte ferner Hinweisen aufAngelegenheiten und Vorgänge des Datenschutzes beiden öffentlichen Stellen des Bundes nach.

(3) Die oder der Bundesbeauftragte erleichtert dasEinreichen der in Absatz 1 Satz 1 Nummer 6 genanntenBeschwerden durch Maßnahmen wie etwa die Bereit-stellung eines Beschwerdeformulars, das auch elektro-nisch ausgefüllt werden kann, ohne dass andere Kom-munikationsmittel ausgeschlossen werden.

(4) Die Erfüllung der Aufgaben der oder des Bundes-beauftragten ist für die betroffene Person unentgeltlich.Bei offenkundig unbegründeten oder, insbesondere imFall von häufiger Wiederholung, exzessiven Anfragenkann die oder der Bundesbeauftragte eine angemes-sene Gebühr auf der Grundlage der Verwaltungskostenverlangen oder sich weigern, aufgrund der Anfrage tätigzu werden. In diesem Fall trägt die oder der Bundes-beauftragte die Beweislast für den offenkundig unbe-gründeten oder exzessiven Charakter der Anfrage.

§ 15

Tätigkeitsbericht

Die oder der Bundesbeauftragte erstellt einen Jah-resbericht über ihre oder seine Tätigkeit, der eine Listeder Arten der gemeldeten Verstöße und der Arten dergetroffenen Maßnahmen, einschließlich der verhängtenSanktionen und der Maßnahmen nach Artikel 58 Ab-satz 2 der Verordnung (EU) 2016/679, enthalten kann.Die oder der Bundesbeauftragte übermittelt den Berichtdem Deutschen Bundestag, dem Bundesrat und derBundesregierung und macht ihn der Öffentlichkeit, derEuropäischen Kommission und dem EuropäischenDatenschutzausschuss zugänglich.

§ 16

Befugnisse

(1) Die oder der Bundesbeauftragte nimmt im An-wendungsbereich der Verordnung (EU) 2016/679 dieBefugnisse gemäß Artikel 58 der Verordnung (EU)2016/679 wahr. Kommt die oder der Bundesbeauf-tragte zu dem Ergebnis, dass Verstöße gegen die Vor-schriften über den Datenschutz oder sonstige Mängelbei der Verarbeitung personenbezogener Daten vorlie-gen, teilt sie oder er dies der zuständigen Rechts- oderFachaufsichtsbehörde mit und gibt dieser vor der Aus-übung der Befugnisse des Artikels 58 Absatz 2 Buch-stabe b bis g, i und j der Verordnung (EU) 2016/679gegenüber dem Verantwortlichen Gelegenheit zur Stel-lungnahme innerhalb einer angemessenen Frist. Vonder Einräumung der Gelegenheit zur Stellungnahmekann abgesehen werden, wenn eine sofortige Entschei-dung wegen Gefahr im Verzug oder im öffentlichenInteresse notwendig erscheint oder ihr ein zwingendesöffentliches Interesse entgegensteht. Die Stellung-nahme soll auch eine Darstellung der Maßnahmen ent-halten, die aufgrund der Mitteilung der oder desBundesbeauftragten getroffen worden sind.

(2) Stellt die oder der Bundesbeauftragte bei Daten-verarbeitungen durch öffentliche Stellen des Bundes zuZwecken außerhalb des Anwendungsbereichs der Ver-ordnung (EU) 2016/679 Verstöße gegen die Vorschriftendieses Gesetzes oder gegen andere Vorschriften überden Datenschutz oder sonstige Mängel bei der Verar-beitung oder Nutzung personenbezogener Daten fest,so beanstandet sie oder er dies gegenüber der zustän-digen obersten Bundesbehörde und fordert diese zurStellungnahme innerhalb einer von ihr oder ihm zu be-stimmenden Frist auf. Die oder der Bundesbeauftragtekann von einer Beanstandung absehen oder auf eineStellungnahme verzichten, insbesondere wenn es sichum unerhebliche oder inzwischen beseitigte Mängelhandelt. Die Stellungnahme soll auch eine Darstellungder Maßnahmen enthalten, die aufgrund der Beanstan-dung der oder des Bundesbeauftragten getroffen wor-den sind. Die oder der Bundesbeauftragte kann denVerantwortlichen auch davor warnen, dass beabsich-tigte Verarbeitungsvorgänge voraussichtlich gegen indiesem Gesetz enthaltene und andere auf die jeweiligeDatenverarbeitung anzuwendende Vorschriften überden Datenschutz verstoßen.

(3) Die Befugnisse der oder des Bundesbeauftragtenerstrecken sich auch auf

1. von öffentlichen Stellen des Bundes erlangte perso-nenbezogene Daten über den Inhalt und die näherenUmstände des Brief-, Post- und Fernmeldeverkehrsund

2. personenbezogene Daten, die einem besonderenAmtsgeheimnis, insbesondere dem Steuergeheimnisnach § 30 der Abgabenordnung, unterliegen.

Das Grundrecht des Brief-, Post- und Fernmelde-geheimnisses des Artikels 10 des Grundgesetzes wirdinsoweit eingeschränkt.

(4) Die öffentlichen Stellen des Bundes sind ver-pflichtet, der oder dem Bundesbeauftragten und ihrenoder seinen Beauftragten

1. jederzeit Zugang zu den Grundstücken und Dienst-räumen, einschließlich aller Datenverarbeitungsan-



lagen und -geräte, sowie zu allen personenbezoge-nen Daten und Informationen, die zur Erfüllung ihreroder seiner Aufgaben notwendig sind, zu gewährenund

2. alle Informationen, die für die Erfüllung ihrer oderseiner Aufgaben erforderlich sind, bereitzustellen.

(5) Die oder der Bundesbeauftragte wirkt auf dieZusammenarbeit mit den öffentlichen Stellen, die fürdie Kontrolle der Einhaltung der Vorschriften über denDatenschutz in den Ländern zuständig sind, sowie mitden Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3Satz 1 zweiter Halbsatz gilt entsprechend.

Kapitel 5

Vertretung imEuropäischen Datenschutzausschuss,

zentrale Anlaufstelle, Zusammenarbeit derAufsichtsbehörden des Bundes und der Länderin Angelegenheiten der Europäischen Union

§ 17

Vertretung im EuropäischenDatenschutzausschuss, zentrale Anlaufstelle

(1) Gemeinsamer Vertreter im Europäischen Daten-schutzausschuss und zentrale Anlaufstelle ist die oderder Bundesbeauftragte (gemeinsamer Vertreter). AlsStellvertreterin oder Stellvertreter des gemeinsamenVertreters wählt der Bundesrat eine Leiterin oder einenLeiter der Aufsichtsbehörde eines Landes (Stellvertre-ter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausschei-den aus dem Amt als Leiterin oder Leiter der Aufsichts-behörde eines Landes endet zugleich die Funktion alsStellvertreter. Wiederwahl ist zulässig.

(2) Der gemeinsame Vertreter überträgt in Ange-legenheiten, die die Wahrnehmung einer Aufgabebetreffen, für welche die Länder allein das Recht zurGesetzgebung haben, oder welche die Einrichtung oderdas Verfahren von Landesbehörden betreffen, demStellvertreter auf dessen Verlangen die Verhandlungs-führung und das Stimmrecht im Europäischen Daten-schutzausschuss.

§ 18

Verfahren der Zusammenarbeit derAufsichtsbehörden des Bundes und der Länder

(1) Die oder der Bundesbeauftragte und die Auf-sichtsbehörden der Länder (Aufsichtsbehörden desBundes und der Länder) arbeiten in Angelegenheitender Europäischen Union mit dem Ziel einer einheitlichenAnwendung der Verordnung (EU) 2016/679 und derRichtlinie (EU) 2016/680 zusammen. Vor der Übermitt-lung eines gemeinsamen Standpunktes an die Auf-sichtsbehörden der anderen Mitgliedstaaten, die Euro-päische Kommission oder den Europäischen Daten-schutzausschuss geben sich die Aufsichtsbehördendes Bundes und der Länder frühzeitig Gelegenheit zurStellungnahme. Zu diesem Zweck tauschen sie unter-einander alle zweckdienlichen Informationen aus. DieAufsichtsbehörden des Bundes und der Länder betei-ligen die nach den Artikeln 85 und 91 der Verordnung(EU) 2016/679 eingerichteten spezifischen Aufsichtsbe-hörden, sofern diese von der Angelegenheit betroffensind.

(2) Soweit die Aufsichtsbehörden des Bundes undder Länder kein Einvernehmen über den gemeinsamenStandpunkt erzielen, legen die federführende Behördeoder in Ermangelung einer solchen der gemeinsameVertreter und sein Stellvertreter einen Vorschlag füreinen gemeinsamen Standpunkt vor. Einigen sich dergemeinsame Vertreter und sein Stellvertreter nicht aufeinen Vorschlag für einen gemeinsamen Standpunkt,legt in Angelegenheiten, die die Wahrnehmung von Auf-gaben betreffen, für welche die Länder allein das Rechtder Gesetzgebung haben, oder welche die Einrichtungoder das Verfahren von Landesbehörden betreffen, derStellvertreter den Vorschlag für einen gemeinsamenStandpunkt fest. In den übrigen Fällen fehlenden Ein-vernehmens nach Satz 2 legt der gemeinsame Vertreterden Standpunkt fest. Der nach den Sätzen 1 bis 3 vor-geschlagene Standpunkt ist den Verhandlungen zuGrunde zu legen, wenn nicht die Aufsichtsbehördenvon Bund und Ländern einen anderen Standpunkt miteinfacher Mehrheit beschließen. Der Bund und jedesLand haben jeweils eine Stimme. Enthaltungen werdennicht gezählt.

(3) Der gemeinsame Vertreter und dessen Stellver-treter sind an den gemeinsamen Standpunkt nach denAbsätzen 1 und 2 gebunden und legen unter Beach-tung dieses Standpunktes einvernehmlich die jeweiligeVerhandlungsführung fest. Sollte ein Einvernehmennicht erreicht werden, entscheidet in den in § 18 Ab-satz 2 Satz 2 genannten Angelegenheiten der Stell-vertreter über die weitere Verhandlungsführung. In denübrigen Fällen gibt die Stimme des gemeinsamen Ver-treters den Ausschlag.

§ 19

Zuständigkeiten

(1) Federführende Aufsichtsbehörde eines Landesim Verfahren der Zusammenarbeit und Kohärenz nachKapitel VII der Verordnung (EU) 2016/679 ist die Auf-sichtsbehörde des Landes, in dem der Verantwortlicheoder der Auftragsverarbeiter seine Hauptniederlassungim Sinne des Artikels 4 Nummer 16 der Verordnung (EU)2016/679 oder seine einzige Niederlassung in derEuropäischen Union im Sinne des Artikels 56 Absatz 1der Verordnung (EU) 2016/679 hat. Im Zuständigkeits-bereich der oder des Bundesbeauftragten gilt Artikel 56Absatz 1 in Verbindung mit Artikel 4 Nummer 16 derVerordnung (EU) 2016/679 entsprechend. Besteht überdie Federführung kein Einvernehmen, findet für dieFestlegung der federführenden Aufsichtsbehörde dasVerfahren des § 18 Absatz 2 entsprechende Anwen-dung.

(2) Die Aufsichtsbehörde, bei der eine betroffenePerson Beschwerde eingereicht hat, gibt die Be-schwerde an die federführende Aufsichtsbehörde nachAbsatz 1, in Ermangelung einer solchen an die Auf-sichtsbehörde eines Landes ab, in dem der Verantwort-liche oder der Auftragsverarbeiter eine Niederlassunghat. Wird eine Beschwerde bei einer sachlich unzustän-digen Aufsichtsbehörde eingereicht, gibt diese, soferneine Abgabe nach Satz 1 nicht in Betracht kommt, dieBeschwerde an die Aufsichtsbehörde am Wohnsitz desBeschwerdeführers ab. Die empfangende Aufsichtsbe-hörde gilt als die Aufsichtsbehörde nach Maßgabe desKapitels VII der Verordnung (EU) 2016/679, bei der die



Beschwerde eingereicht worden ist, und kommt denVerpflichtungen aus Artikel 60 Absatz 7 bis 9 undArtikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach.

Kapitel 6

Rechtsbehelfe

§ 20

Gerichtlicher Rechtsschutz

(1) Für Streitigkeiten zwischen einer natürlichen odereiner juristischen Person und einer Aufsichtsbehördedes Bundes oder eines Landes über Rechte gemäß Ar-tikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679sowie § 61 ist der Verwaltungsrechtsweg gegeben.Satz 1 gilt nicht für Bußgeldverfahren.

(2) Die Verwaltungsgerichtsordnung ist nach Maß-gabe der Absätze 3 bis 7 anzuwenden.

(3) Für Verfahren nach Absatz 1 Satz 1 ist das Ver-waltungsgericht örtlich zuständig, in dessen Bezirk dieAufsichtsbehörde ihren Sitz hat.

(4) In Verfahren nach Absatz 1 Satz 1 ist die Auf-sichtsbehörde beteiligungsfähig.

(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1sind

1. die natürliche oder juristische Person als Klägerinoder Antragstellerin und

2. die Aufsichtsbehörde als Beklagte oder Antrags-gegnerin.

§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnungbleibt unberührt.

(6) Ein Vorverfahren findet nicht statt.

(7) Die Aufsichtsbehörde darf gegenüber einer Be-hörde oder deren Rechtsträger nicht die sofortige Voll-ziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 derVerwaltungsgerichtsordnung anordnen.

§ 21

Antrag der Aufsichtsbehördeauf gerichtliche Entscheidung bei

angenommener Rechtswidrigkeit einesBeschlusses der Europäischen Kommission

(1) Hält eine Aufsichtsbehörde einen Angemessen-heitsbeschluss der Europäischen Kommission, einenBeschluss über die Anerkennung von Standardschutz-klauseln oder über die Allgemeingültigkeit von geneh-migten Verhaltensregeln, auf dessen Gültigkeit es füreine Entscheidung der Aufsichtsbehörde ankommt, fürrechtswidrig, so hat die Aufsichtsbehörde ihr Verfahrenauszusetzen und einen Antrag auf gerichtliche Ent-scheidung zu stellen.

(2) Für Verfahren nach Absatz 1 ist der Verwaltungs-rechtsweg gegeben. Die Verwaltungsgerichtsordnungist nach Maßgabe der Absätze 3 bis 6 anzuwenden.

(3) Über einen Antrag der Aufsichtsbehörde nachAbsatz 1 entscheidet im ersten und letzten Rechtszugdas Bundesverwaltungsgericht.

(4) In Verfahren nach Absatz 1 ist die Aufsichtsbe-hörde beteiligungsfähig. An einem Verfahren nach Ab-satz 1 ist die Aufsichtsbehörde als Antragstellerin be-teiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichts-ordnung bleibt unberührt. Das Bundesverwaltungsge-

richt kann der Europäischen Kommission Gelegenheitzur Äußerung binnen einer zu bestimmenden Fristgeben.

(5) Ist ein Verfahren zur Überprüfung der Gültigkeiteines Beschlusses der Europäischen Kommission nachAbsatz 1 bei dem Gerichtshof der Europäischen Unionanhängig, so kann das Bundesverwaltungsgericht an-ordnen, dass die Verhandlung bis zur Erledigung desVerfahrens vor dem Gerichtshof der EuropäischenUnion auszusetzen sei.

(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5Satz 1 und Absatz 6 der Verwaltungsgerichtsordnungentsprechend anzuwenden. Kommt das Bundesverwal-tungsgericht zu der Überzeugung, dass der Beschlussder Europäischen Kommission nach Absatz 1 gültig ist,so stellt es dies in seiner Entscheidung fest. Andernfallslegt es die Frage nach der Gültigkeit des Beschlussesgemäß Artikel 267 des Vertrags über die Arbeitsweiseder Europäischen Union dem Gerichtshof der Euro-päischen Union zur Entscheidung vor.

Te i l 2

D u r c h f ü h r u n g s b e s t i mm u n g e nf ü r Ve r a r b e i t u n g e n z u

Z w e c k e n g em ä ß A r t i k e l 2d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9

Kapitel 1


A b s c h n i t t 1

Ve r a r b e i t u n gb e s o n d e r e r K a t e g o r i e n

p e r s o n e n b e z o g e n e r D a t e n u n dVe r a r b e i t u n g z u a n d e r e n Zw e c k e n

§ 22

Verarbeitung besondererKategorien personenbezogener Daten

(1) Abweichend von Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 ist die Verarbeitung besondererKategorien personenbezogener Daten im Sinne desArtikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-lässig

1. durch öffentliche und nichtöffentliche Stellen, wennsie

a) erforderlich ist, um die aus dem Recht der sozia-len Sicherheit und des Sozialschutzes erwach-senden Rechte auszuüben und den diesbezüg-lichen Pflichten nachzukommen,

b) zum Zweck der Gesundheitsvorsorge, für die Be-urteilung der Arbeitsfähigkeit des Beschäftigten,für die medizinische Diagnostik, die Versorgungoder Behandlung im Gesundheits- oder Sozialbe-reich oder für die Verwaltung von Systemen undDiensten im Gesundheits- und Sozialbereich oderaufgrund eines Vertrags der betroffenen Personmit einem Angehörigen eines Gesundheitsberufserforderlich ist und diese Daten von ärztlichemPersonal oder durch sonstige Personen, die einerentsprechenden Geheimhaltungspflicht unterlie-



gen, oder unter deren Verantwortung verarbeitetwerden, oder

c) aus Gründen des öffentlichen Interesses im Be-reich der öffentlichen Gesundheit, wie des Schut-zes vor schwerwiegenden grenzüberschreitendenGesundheitsgefahren oder zur Gewährleistung ho-her Qualitäts- und Sicherheitsstandards bei derGesundheitsversorgung und bei Arzneimitteln undMedizinprodukten erforderlich ist; ergänzend zuden in Absatz 2 genannten Maßnahmen sind ins-besondere die berufsrechtlichen und strafrecht-lichen Vorgaben zur Wahrung des Berufsgeheim-nisses einzuhalten,

2. durch öffentliche Stellen, wenn sie

a) aus Gründen eines erheblichen öffentlichen Inte-resses zwingend erforderlich ist,

b) zur Abwehr einer erheblichen Gefahr für dieöffentliche Sicherheit erforderlich ist,

c) zur Abwehr erheblicher Nachteile für das Gemein-wohl oder zur Wahrung erheblicher Belange desGemeinwohls zwingend erforderlich ist oder

d) aus zwingenden Gründen der Verteidigung oderder Erfüllung über- oder zwischenstaatlicher Ver-pflichtungen einer öffentlichen Stelle des Bundesauf dem Gebiet der Krisenbewältigung oder Kon-fliktverhinderung oder für humanitäre Maßnah-men erforderlich ist

und soweit die Interessen des Verantwortlichen ander Datenverarbeitung in den Fällen der Nummer 2die Interessen der betroffenen Person überwiegen.

(2) In den Fällen des Absatzes 1 sind angemesseneund spezifische Maßnahmen zur Wahrung der Interes-sen der betroffenen Person vorzusehen. Unter Berück-sichtigung des Stands der Technik, der Implementie-rungskosten und der Art, des Umfangs, der Umständeund der Zwecke der Verarbeitung sowie der unter-schiedlichen Eintrittswahrscheinlichkeit und Schwereder mit der Verarbeitung verbundenen Risiken für dieRechte und Freiheiten natürlicher Personen könnendazu insbesondere gehören:

1. technisch organisatorische Maßnahmen, um sicher-zustellen, dass die Verarbeitung gemäß der Verord-nung (EU) 2016/679 erfolgt,

2. Maßnahmen, die gewährleisten, dass nachträglichüberprüft und festgestellt werden kann, ob undvon wem personenbezogene Daten eingegeben,verändert oder entfernt worden sind,

3. Sensibilisierung der an VerarbeitungsvorgängenBeteiligten,

4. Benennung einer oder eines Datenschutzbeauftrag-ten,

5. Beschränkung des Zugangs zu den personenbezo-genen Daten innerhalb der verantwortlichen Stelleund von Auftragsverarbeitern,

6. Pseudonymisierung personenbezogener Daten,

7. Verschlüsselung personenbezogener Daten,

8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integri-tät, Verfügbarkeit und Belastbarkeit der Systemeund Dienste im Zusammenhang mit der Verarbei-

tung personenbezogener Daten, einschließlich derFähigkeit, die Verfügbarkeit und den Zugang beieinem physischen oder technischen Zwischenfallrasch wiederherzustellen,

9. zur Gewährleistung der Sicherheit der Verarbeitungdie Einrichtung eines Verfahrens zur regelmäßigenÜberprüfung, Bewertung und Evaluierung der Wirk-samkeit der technischen und organisatorischenMaßnahmen oder

10. spezifische Verfahrensregelungen, die im Fall einerÜbermittlung oder Verarbeitung für andere Zweckedie Einhaltung der Vorgaben dieses Gesetzes sowieder Verordnung (EU) 2016/679 sicherstellen.

§ 23

Verarbeitung zuanderen Zwecken durch öffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zueinem anderen Zweck als zu demjenigen, zu dem dieDaten erhoben wurden, durch öffentliche Stellen imRahmen ihrer Aufgabenerfüllung ist zulässig, wenn

1. offensichtlich ist, dass sie im Interesse der betroffe-nen Person liegt und kein Grund zu der Annahmebesteht, dass sie in Kenntnis des anderen Zwecksihre Einwilligung verweigern würde,

2. Angaben der betroffenen Person überprüft werdenmüssen, weil tatsächliche Anhaltspunkte für derenUnrichtigkeit bestehen,

3. sie zur Abwehr erheblicher Nachteile für das Ge-meinwohl oder einer Gefahr für die öffentliche Si-cherheit, die Verteidigung oder die nationale Sicher-heit, zur Wahrung erheblicher Belange des Gemein-wohls oder zur Sicherung des Steuer- und Zollauf-kommens erforderlich ist,

4. sie zur Verfolgung von Straftaten oder Ordnungswid-rigkeiten, zur Vollstreckung oder zum Vollzug vonStrafen oder Maßnahmen im Sinne des § 11 Absatz 1Nummer 8 des Strafgesetzbuchs oder von Erzie-hungsmaßregeln oder Zuchtmitteln im Sinne desJugendgerichtsgesetzes oder zur Vollstreckung vonGeldbußen erforderlich ist,

5. sie zur Abwehr einer schwerwiegenden Beeinträch-tigung der Rechte einer anderen Person erforderlichist oder

6. sie der Wahrnehmung von Aufsichts- und Kontrollbe-fugnissen, der Rechnungsprüfung oder der Durch-führung von Organisationsuntersuchungen des Ver-antwortlichen dient; dies gilt auch für die Verarbei-tung zu Ausbildungs- und Prüfungszwecken durchden Verantwortlichen, soweit schutzwürdige Interes-sen der betroffenen Person dem nicht entgegen-stehen.

(2) Die Verarbeitung besonderer Kategorien perso-nenbezogener Daten im Sinne des Artikels 9 Absatz 1der Verordnung (EU) 2016/679 zu einem anderenZweck als zu demjenigen, zu dem die Daten erhobenwurden, ist zulässig, wenn die Voraussetzungen desAbsatzes 1 und ein Ausnahmetatbestand nach Artikel 9Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22vorliegen.



§ 24

Verarbeitung zuanderen Zwecken durch nichtöffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zueinem anderen Zweck als zu demjenigen, zu dem dieDaten erhoben wurden, durch nichtöffentliche Stellenist zulässig, wenn

1. sie zur Abwehr von Gefahren für die staatliche oderöffentliche Sicherheit oder zur Verfolgung von Straf-taten erforderlich ist oder

2. sie zur Geltendmachung, Ausübung oder Verteidi-gung zivilrechtlicher Ansprüche erforderlich ist,

sofern nicht die Interessen der betroffenen Person andem Ausschluss der Verarbeitung überwiegen.

(2) Die Verarbeitung besonderer Kategorien perso-nenbezogener Daten im Sinne des Artikels 9 Absatz 1der Verordnung (EU) 2016/679 zu einem anderenZweck als zu demjenigen, zu dem die Daten erhobenwurden, ist zulässig, wenn die Voraussetzungen desAbsatzes 1 und ein Ausnahmetatbestand nach Artikel 9Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22vorliegen.

§ 25

Datenübermittlungen durch öffentliche Stellen

(1) Die Übermittlung personenbezogener Datendurch öffentliche Stellen an öffentliche Stellen ist zu-lässig, wenn sie zur Erfüllung der in der Zuständigkeitder übermittelnden Stelle oder des Dritten, an den dieDaten übermittelt werden, liegenden Aufgaben erfor-derlich ist und die Voraussetzungen vorliegen, die eineVerarbeitung nach § 23 zulassen würden. Der Dritte, anden die Daten übermittelt werden, darf diese nur fürden Zweck verarbeiten, zu dessen Erfüllung sie ihmübermittelt werden. Eine Verarbeitung für andere Zwe-cke ist unter den Voraussetzungen des § 23 zulässig.

(2) Die Übermittlung personenbezogener Datendurch öffentliche Stellen an nichtöffentliche Stellen istzulässig, wenn

1. sie zur Erfüllung der in der Zuständigkeit der über-mittelnden Stelle liegenden Aufgaben erforderlich istund die Voraussetzungen vorliegen, die eine Verar-beitung nach § 23 zulassen würden,

2. der Dritte, an den die Daten übermittelt werden, einberechtigtes Interesse an der Kenntnis der zu über-mittelnden Daten glaubhaft darlegt und die betrof-fene Person kein schutzwürdiges Interesse an demAusschluss der Übermittlung hat oder

3. es zur Geltendmachung, Ausübung oder Verteidi-gung rechtlicher Ansprüche erforderlich ist

und der Dritte sich gegenüber der übermittelndenöffentlichen Stelle verpflichtet hat, die Daten nur fürden Zweck zu verarbeiten, zu dessen Erfüllung sie ihmübermittelt werden. Eine Verarbeitung für andere Zwe-cke ist zulässig, wenn eine Übermittlung nach Satz 1zulässig wäre und die übermittelnde Stelle zugestimmthat.

(3) Die Übermittlung besonderer Kategorien perso-nenbezogener Daten im Sinne des Artikels 9 Absatz 1der Verordnung (EU) 2016/679 ist zulässig, wenn dieVoraussetzungen des Absatzes 1 oder 2 und ein Aus-

nahmetatbestand nach Artikel 9 Absatz 2 der Verord-nung (EU) 2016/679 oder nach § 22 vorliegen.

A b s c h n i t t 2

B e s o n d e r e Ve r a r b e i t u n g s s i t u a t i o n e n

§ 26

Datenverarbeitung fürZwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dür-fen für Zwecke des Beschäftigungsverhältnisses verar-beitet werden, wenn dies für die Entscheidung über dieBegründung eines Beschäftigungsverhältnisses odernach Begründung des Beschäftigungsverhältnisses fürdessen Durchführung oder Beendigung oder zur Aus-übung oder Erfüllung der sich aus einem Gesetz odereinem Tarifvertrag, einer Betriebs- oder Dienstvereinba-rung (Kollektivvereinbarung) ergebenden Rechte undPflichten der Interessenvertretung der Beschäftigten er-forderlich ist. Zur Aufdeckung von Straftaten dürfenpersonenbezogene Daten von Beschäftigten nur dannverarbeitet werden, wenn zu dokumentierende tatsäch-liche Anhaltspunkte den Verdacht begründen, dass diebetroffene Person im Beschäftigungsverhältnis eineStraftat begangen hat, die Verarbeitung zur Aufdeckungerforderlich ist und das schutzwürdige Interesse deroder des Beschäftigten an dem Ausschluss der Verar-beitung nicht überwiegt, insbesondere Art und Ausmaßim Hinblick auf den Anlass nicht unverhältnismäßigsind.

(2) Erfolgt die Verarbeitung personenbezogener Da-ten von Beschäftigten auf der Grundlage einer Einwil-ligung, so sind für die Beurteilung der Freiwilligkeitder Einwilligung insbesondere die im Beschäftigungs-verhältnis bestehende Abhängigkeit der beschäftigtenPerson sowie die Umstände, unter denen die Einwilli-gung erteilt worden ist, zu berücksichtigen. Freiwillig-keit kann insbesondere vorliegen, wenn für die be-schäftigte Person ein rechtlicher oder wirtschaftlicherVorteil erreicht wird oder Arbeitgeber und beschäftigtePerson gleichgelagerte Interessen verfolgen. Die Ein-willigung bedarf der Schriftform, soweit nicht wegenbesonderer Umstände eine andere Form angemessenist. Der Arbeitgeber hat die beschäftigte Person überden Zweck der Datenverarbeitung und über ihr Wider-rufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU)2016/679 in Textform aufzuklären.

(3) Abweichend von Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 ist die Verarbeitung besondererKategorien personenbezogener Daten im Sinne desArtikels 9 Absatz 1 der Verordnung (EU) 2016/679 fürZwecke des Beschäftigungsverhältnisses zulässig,wenn sie zur Ausübung von Rechten oder zur Erfüllungrechtlicher Pflichten aus dem Arbeitsrecht, dem Rechtder sozialen Sicherheit und des Sozialschutzes erfor-derlich ist und kein Grund zu der Annahme besteht,dass das schutzwürdige Interesse der betroffenenPerson an dem Ausschluss der Verarbeitung überwiegt.Absatz 2 gilt auch für die Einwilligung in die Verar-beitung besonderer Kategorien personenbezogenerDaten; die Einwilligung muss sich dabei ausdrücklichauf diese Daten beziehen. § 22 Absatz 2 gilt entspre-chend.



(4) Die Verarbeitung personenbezogener Daten, ein-schließlich besonderer Kategorien personenbezogenerDaten von Beschäftigten für Zwecke des Beschäfti-gungsverhältnisses, ist auf der Grundlage von Kollek-tivvereinbarungen zulässig. Dabei haben die Verhand-lungspartner Artikel 88 Absatz 2 der Verordnung (EU)2016/679 zu beachten.

(5) Der Verantwortliche muss geeignete Maßnahmenergreifen, um sicherzustellen, dass insbesondere die inArtikel 5 der Verordnung (EU) 2016/679 dargelegtenGrundsätze für die Verarbeitung personenbezogenerDaten eingehalten werden.

(6) Die Beteiligungsrechte der Interessenvertretun-gen der Beschäftigten bleiben unberührt.

(7) Die Absätze 1 bis 6 sind auch anzuwenden, wennpersonenbezogene Daten, einschließlich besondererKategorien personenbezogener Daten, von Beschäftig-ten verarbeitet werden, ohne dass sie in einem Datei-system gespeichert sind oder gespeichert werdensollen.

(8) Beschäftigte im Sinne dieses Gesetzes sind:

1. Arbeitnehmerinnen und Arbeitnehmer, einschließlichder Leiharbeitnehmerinnen und Leiharbeitnehmer imVerhältnis zum Entleiher,

2. zu ihrer Berufsbildung Beschäftigte,

3. Teilnehmerinnen und Teilnehmer an Leistungen zurTeilhabe am Arbeitsleben sowie an Abklärungen derberuflichen Eignung oder Arbeitserprobung (Rehabi-litandinnen und Rehabilitanden),

4. in anerkannten Werkstätten für behinderte Men-schen Beschäftigte,

5. Freiwillige, die einen Dienst nach dem Jugendfrei-willigendienstegesetz oder dem Bundesfreiwilligen-dienstgesetz leisten,

6. Personen, die wegen ihrer wirtschaftlichen Unselb-ständigkeit als arbeitnehmerähnliche Personen an-zusehen sind; zu diesen gehören auch die in Heim-arbeit Beschäftigten und die ihnen Gleichgestellten,

7. Beamtinnen und Beamte des Bundes, Richterinnenund Richter des Bundes, Soldatinnen und Soldatensowie Zivildienstleistende.

Bewerberinnen und Bewerber für ein Beschäftigungs-verhältnis sowie Personen, deren Beschäftigungsver-hältnis beendet ist, gelten als Beschäftigte.

§ 27

Datenverarbeitung zuwissenschaftlichen oder historischen

Forschungszwecken und zu statistischen Zwecken

(1) Abweichend von Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 ist die Verarbeitung besondererKategorien personenbezogener Daten im Sinne desArtikels 9 Absatz 1 der Verordnung (EU) 2016/679 auchohne Einwilligung für wissenschaftliche oder histori-sche Forschungszwecke oder für statistische Zweckezulässig, wenn die Verarbeitung zu diesen Zwecken er-forderlich ist und die Interessen des Verantwortlichenan der Verarbeitung die Interessen der betroffenenPerson an einem Ausschluss der Verarbeitung erheb-lich überwiegen. Der Verantwortliche sieht angemes-sene und spezifische Maßnahmen zur Wahrung der

Interessen der betroffenen Person gemäß § 22 Ab-satz 2 Satz 2 vor.

(2) Die in den Artikeln 15, 16, 18 und 21 der Verord-nung (EU) 2016/679 vorgesehenen Rechte der betroffe-nen Person sind insoweit beschränkt, als diese Rechtevoraussichtlich die Verwirklichung der Forschungs-oder Statistikzwecke unmöglich machen oder ernsthaftbeinträchtigen und die Beschränkung für die Erfüllungder Forschungs- oder Statistikzwecke notwendig ist.Das Recht auf Auskunft gemäß Artikel 15 der Verord-nung (EU) 2016/679 besteht darüber hinaus nicht, wenndie Daten für Zwecke der wissenschaftlichen For-schung erforderlich sind und die Auskunftserteilungeinen unverhältnismäßigen Aufwand erfordern würde.

(3) Ergänzend zu den in § 22 Absatz 2 genanntenMaßnahmen sind zu wissenschaftlichen oder histori-schen Forschungszwecken oder zu statistischen Zwe-cken verarbeitete besondere Kategorien personen-bezogener Daten im Sinne des Artikels 9 Absatz 1 derVerordnung (EU) 2016/679 zu anonymisieren, sobalddies nach dem Forschungs- oder Statistikzweck mög-lich ist, es sei denn, berechtigte Interessen der betrof-fenen Person stehen dem entgegen. Bis dahin sind dieMerkmale gesondert zu speichern, mit denen Einzel-angaben über persönliche oder sachliche Verhältnisseeiner bestimmten oder bestimmbaren Person zugeord-net werden können. Sie dürfen mit den Einzelangabennur zusammengeführt werden, soweit der Forschungs-oder Statistikzweck dies erfordert.

(4) Der Verantwortliche darf personenbezogene Da-ten nur veröffentlichen, wenn die betroffene Personeingewilligt hat oder dies für die Darstellung von For-schungsergebnissen über Ereignisse der Zeitge-schichte unerlässlich ist.

§ 28

Datenverarbeitung zuim öffentlichen Interesse liegenden Archivzwecken

(1) Abweichend von Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 ist die Verarbeitung besondererKategorien personenbezogener Daten im Sinne desArtikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-lässig, wenn sie für im öffentlichen Interesse liegendeArchivzwecke erforderlich ist. Der Verantwortliche siehtangemessene und spezifische Maßnahmen zur Wah-rung der Interessen der betroffenen Person gemäß§ 22 Absatz 2 Satz 2 vor.

(2) Das Recht auf Auskunft der betroffenen Persongemäß Artikel 15 der Verordnung (EU) 2016/679 be-steht nicht, wenn das Archivgut nicht durch den Namender Person erschlossen ist oder keine Angaben ge-macht werden, die das Auffinden des betreffendenArchivguts mit vertretbarem Verwaltungsaufwand er-möglichen.

(3) Das Recht auf Berichtigung der betroffenen Per-son gemäß Artikel 16 der Verordnung (EU) 2016/679besteht nicht, wenn die personenbezogenen Daten zuArchivzwecken im öffentlichen Interesse verarbeitetwerden. Bestreitet die betroffene Person die Richtigkeitder personenbezogenen Daten, ist ihr die Möglichkeiteiner Gegendarstellung einzuräumen. Das zuständigeArchiv ist verpflichtet, die Gegendarstellung den Unter-lagen hinzuzufügen.



(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d,den Artikeln 20 und 21 der Verordnung (EU) 2016/679vorgesehenen Rechte bestehen nicht, soweit dieseRechte voraussichtlich die Verwirklichung der im öffent-lichen Interesse liegenden Archivzwecke unmöglich ma-chen oder ernsthaft beeinträchtigen und die Ausnahmenfür die Erfüllung dieser Zwecke erforderlich sind.

§ 29

Rechte der betroffenenPerson und aufsichtsbehördliche

Befugnisse im Fall von Geheimhaltungspflichten

(1) Die Pflicht zur Information der betroffenen Persongemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU)2016/679 besteht ergänzend zu den in Artikel 14 Ab-satz 5 der Verordnung (EU) 2016/679 genannten Aus-nahmen nicht, soweit durch ihre Erfüllung Informatio-nen offenbart würden, die ihrem Wesen nach, insbe-sondere wegen der überwiegenden berechtigten Inte-ressen eines Dritten, geheim gehalten werden müssen.Das Recht auf Auskunft der betroffenen Person gemäßArtikel 15 der Verordnung (EU) 2016/679 besteht nicht,soweit durch die Auskunft Informationen offenbart wür-den, die nach einer Rechtsvorschrift oder ihrem Wesennach, insbesondere wegen der überwiegenden berech-tigten Interessen eines Dritten, geheim gehalten werdenmüssen. Die Pflicht zur Benachrichtigung gemäß Arti-kel 34 der Verordnung (EU) 2016/679 besteht ergän-zend zu der in Artikel 34 Absatz 3 der Verordnung (EU)2016/679 genannten Ausnahme nicht, soweit durch dieBenachrichtigung Informationen offenbart würden, dienach einer Rechtsvorschrift oder ihrem Wesen nach,insbesondere wegen der überwiegenden berechtigtenInteressen eines Dritten, geheim gehalten werden müs-sen. Abweichend von der Ausnahme nach Satz 3 istdie betroffene Person nach Artikel 34 der Verordnung(EU) 2016/679 zu benachrichtigen, wenn die Interessender betroffenen Person, insbesondere unter Berück-sichtigung drohender Schäden, gegenüber dem Ge-heimhaltungsinteresse überwiegen.

(2) Werden Daten Dritter im Zuge der Aufnahme oderim Rahmen eines Mandatsverhältnisses an einen Be-rufsgeheimnisträger übermittelt, so besteht die Pflichtder übermittelnden Stelle zur Information der betroffe-nen Person gemäß Artikel 13 Absatz 3 der Verordnung(EU) 2016/679 nicht, sofern nicht das Interesse der be-troffenen Person an der Informationserteilung überwiegt.

(3) Gegenüber den in § 203 Absatz 1, 2a und 3 desStrafgesetzbuchs genannten Personen oder deren Auf-tragsverarbeitern bestehen die Untersuchungsbefug-nisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1Buchstabe e und f der Verordnung (EU) 2016/679 nicht,soweit die Inanspruchnahme der Befugnisse zu einemVerstoß gegen die Geheimhaltungspflichten dieserPersonen führen würde. Erlangt eine Aufsichtsbehördeim Rahmen einer Untersuchung Kenntnis von Daten,die einer Geheimhaltungspflicht im Sinne des Satzes 1unterliegen, gilt die Geheimhaltungspflicht auch für dieAufsichtsbehörde.

§ 30

Verbraucherkredite

(1) Eine Stelle, die geschäftsmäßig personenbezo-gene Daten, die zur Bewertung der Kreditwürdigkeit

von Verbrauchern genutzt werden dürfen, zum Zweckder Übermittlung erhebt, speichert oder verändert, hatAuskunftsverlangen von Darlehensgebern aus anderenMitgliedstaaten der Europäischen Union genauso zubehandeln wie Auskunftsverlangen inländischer Darle-hensgeber.

(2) Wer den Abschluss eines Verbraucherdarlehens-vertrags oder eines Vertrags über eine entgeltlicheFinanzierungshilfe mit einem Verbraucher infolge einerAuskunft einer Stelle im Sinne des Absatzes 1 ablehnt,hat den Verbraucher unverzüglich hierüber sowie überdie erhaltene Auskunft zu unterrichten. Die Unterrich-tung unterbleibt, soweit hierdurch die öffentlicheSicherheit oder Ordnung gefährdet würde. § 37 bleibtunberührt.

§ 31

Schutz des Wirtschaftsverkehrsbei Scoring und Bonitätsauskünften

(1) Die Verwendung eines Wahrscheinlichkeitswertsüber ein bestimmtes zukünftiges Verhalten einer natür-lichen Person zum Zweck der Entscheidung über dieBegründung, Durchführung oder Beendigung eines Ver-tragsverhältnisses mit dieser Person (Scoring) ist nurzulässig, wenn

1. die Vorschriften des Datenschutzrechts eingehaltenwurden,

2. die zur Berechnung des Wahrscheinlichkeitswertsgenutzten Daten unter Zugrundelegung eines wis-senschaftlich anerkannten mathematisch-statisti-schen Verfahrens nachweisbar für die Berechnungder Wahrscheinlichkeit des bestimmten Verhaltenserheblich sind,

3. für die Berechnung des Wahrscheinlichkeitswertsnicht ausschließlich Anschriftendaten genutzt wur-den und

4. im Fall der Nutzung von Anschriftendaten die betrof-fene Person vor Berechnung des Wahrscheinlich-keitswerts über die vorgesehene Nutzung dieserDaten unterrichtet worden ist; die Unterrichtung istzu dokumentieren.

(2) Die Verwendung eines von Auskunfteien ermittel-ten Wahrscheinlichkeitswerts über die Zahlungsfähig-und Zahlungswilligkeit einer natürlichen Person ist imFall der Einbeziehung von Informationen über Forde-rungen nur zulässig, soweit die Voraussetzungen nachAbsatz 1 vorliegen und nur solche Forderungen übereine geschuldete Leistung, die trotz Fälligkeit nicht er-bracht worden ist, berücksichtigt werden,

1. die durch ein rechtskräftiges oder für vorläufig voll-streckbar erklärtes Urteil festgestellt worden sindoder für die ein Schuldtitel nach § 794 der Zivil-prozessordnung vorliegt,

2. die nach § 178 der Insolvenzordnung festgestelltund nicht vom Schuldner im Prüfungstermin bestrit-ten worden sind,

3. die der Schuldner ausdrücklich anerkannt hat,

4. bei denen

a) der Schuldner nach Eintritt der Fälligkeit der For-derung mindestens zweimal schriftlich gemahntworden ist,



b) die erste Mahnung mindestens vier Wochen zu-rückliegt,

c) der Schuldner zuvor, jedoch frühestens bei derersten Mahnung, über eine mögliche Berücksich-tigung durch eine Auskunftei unterrichtet wordenist und

d) der Schuldner die Forderung nicht bestritten hatoder

5. deren zugrunde liegendes Vertragsverhältnis auf-grund von Zahlungsrückständen fristlos gekündigtwerden kann und bei denen der Schuldner zuvorüber eine mögliche Berücksichtigung durch eineAuskunftei unterrichtet worden ist.

Die Zulässigkeit der Verarbeitung, einschließlich derErmittlung von Wahrscheinlichkeitswerten, von anderenbonitätsrelevanten Daten nach allgemeinem Daten-schutzrecht bleibt unberührt.

Kapitel 2

Rechte der betroffenen Person

§ 32

Informationspflicht beiErhebung von personenbezogenenDaten bei der betroffenen Person

(1) Die Pflicht zur Information der betroffenen Per-son gemäß Artikel 13 Absatz 3 der Verordnung (EU)2016/679 besteht ergänzend zu der in Artikel 13 Ab-satz 4 der Verordnung (EU) 2016/679 genannten Aus-nahme dann nicht, wenn die Erteilung der Informationüber die beabsichtigte Weiterverarbeitung

1. eine Weiterverarbeitung analog gespeicherter Datenbetrifft, bei der sich der Verantwortliche durch dieWeiterverarbeitung unmittelbar an die betroffenePerson wendet, der Zweck mit dem ursprüng-lichen Erhebungszweck gemäß der Verordnung (EU)2016/679 vereinbar ist, die Kommunikation mit derbetroffenen Person nicht in digitaler Form erfolgtund das Interesse der betroffenen Person an derInformationserteilung nach den Umständen des Ein-zelfalls, insbesondere mit Blick auf den Zusammen-hang, in dem die Daten erhoben wurden, als geringanzusehen ist,

2. im Fall einer öffentlichen Stelle die ordnungsge-mäße Erfüllung der in der Zuständigkeit des Verant-wortlichen liegenden Aufgaben im Sinne des Arti-kels 23 Absatz 1 Buchstabe a bis e der Verordnung(EU) 2016/679 gefährden würde und die Interessendes Verantwortlichen an der Nichterteilung der Infor-mation die Interessen der betroffenen Person über-wiegen,

3. die öffentliche Sicherheit oder Ordnung gefährdenoder sonst dem Wohl des Bundes oder eines LandesNachteile bereiten würde und die Interessen des Ver-antwortlichen an der Nichterteilung der Informationdie Interessen der betroffenen Person überwiegen,

4. die Geltendmachung, Ausübung oder Verteidigungrechtlicher Ansprüche beeinträchtigen würde unddie Interessen des Verantwortlichen an der Nicht-erteilung der Information die Interessen der betroffe-nen Person überwiegen oder

5. eine vertrauliche Übermittlung von Daten an öffent-liche Stellen gefährden würde.

(2) Unterbleibt eine Information der betroffenen Per-son nach Maßgabe des Absatzes 1, ergreift der Ver-antwortliche geeignete Maßnahmen zum Schutz derberechtigten Interessen der betroffenen Person, ein-schließlich der Bereitstellung der in Artikel 13 Absatz 1und 2 der Verordnung (EU) 2016/679 genannten Infor-mationen für die Öffentlichkeit in präziser, transparen-ter, verständlicher und leicht zugänglicher Form in einerklaren und einfachen Sprache. Der Verantwortlichehält schriftlich fest, aus welchen Gründen er von einerInformation abgesehen hat. Die Sätze 1 und 2 finden inden Fällen des Absatzes 1 Nummer 4 und 5 keine An-wendung.

(3) Unterbleibt die Benachrichtigung in den Fällendes Absatzes 1 wegen eines vorübergehenden Hinde-rungsgrundes, kommt der Verantwortliche der Infor-mationspflicht unter Berücksichtigung der spezifischenUmstände der Verarbeitung innerhalb einer angemes-senen Frist nach Fortfall des Hinderungsgrundes, spä-testens jedoch innerhalb von zwei Wochen, nach.

§ 33

Informationspflicht, wenndie personenbezogenen Daten nicht

bei der betroffenen Person erhoben wurden

(1) Die Pflicht zur Information der betroffenen Persongemäß Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU)2016/679 besteht ergänzend zu den in Artikel 14 Ab-satz 5 der Verordnung (EU) 2016/679 und der in § 29Absatz 1 Satz 1 genannten Ausnahme nicht, wenn dieErteilung der Information

1. im Fall einer öffentlichen Stelle

a) die ordnungsgemäße Erfüllung der in der Zustän-digkeit des Verantwortlichen liegenden Aufgabenim Sinne des Artikels 23 Absatz 1 Buchstabe abis e der Verordnung (EU) 2016/679 gefährdenwürde oder

b) die öffentliche Sicherheit oder Ordnung gefähr-den oder sonst dem Wohl des Bundes oder einesLandes Nachteile bereiten würde

und deswegen das Interesse der betroffenen Person ander Informationserteilung zurücktreten muss,

2. im Fall einer nichtöffentlichen Stelle

a) die Geltendmachung, Ausübung oder Verteidi-gung zivilrechtlicher Ansprüche beeinträchtigenwürde oder die Verarbeitung Daten aus zivilrecht-lichen Verträgen beinhaltet und der Verhütungvon Schäden durch Straftaten dient, sofern nichtdas berechtigte Interesse der betroffenen Personan der Informationserteilung überwiegt, oder

b) die zuständige öffentliche Stelle gegenüber demVerantwortlichen festgestellt hat, dass das Be-kanntwerden der Daten die öffentliche Sicherheitoder Ordnung gefährden oder sonst dem Wohldes Bundes oder eines Landes Nachteile bereitenwürde; im Fall der Datenverarbeitung für Zweckeder Strafverfolgung bedarf es keiner Feststellungnach dem ersten Halbsatz.



(2) Unterbleibt eine Information der betroffenen Per-son nach Maßgabe des Absatzes 1, ergreift der Ver-antwortliche geeignete Maßnahmen zum Schutz derberechtigten Interessen der betroffenen Person, ein-schließlich der Bereitstellung der in Artikel 14 Absatz 1und 2 der Verordnung (EU) 2016/679 genannten Infor-mationen für die Öffentlichkeit in präziser, transparen-ter, verständlicher und leicht zugänglicher Form in einerklaren und einfachen Sprache. Der Verantwortlichehält schriftlich fest, aus welchen Gründen er von einerInformation abgesehen hat.

(3) Bezieht sich die Informationserteilung auf dieÜbermittlung personenbezogener Daten durch öffent-liche Stellen an Verfassungsschutzbehörden, denBundesnachrichtendienst, den Militärischen Abschirm-dienst und, soweit die Sicherheit des Bundes berührtwird, andere Behörden des Bundesministeriums derVerteidigung, ist sie nur mit Zustimmung dieser Stellenzulässig.

§ 34

Auskunftsrecht der betroffenen Person

(1) Das Recht auf Auskunft der betroffenen Persongemäß Artikel 15 der Verordnung (EU) 2016/679 be-steht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht,wenn

1. die betroffene Person nach § 33 Absatz 1 Num-mer 1, 2 Buchstabe b oder Absatz 3 nicht zu infor-mieren ist, oder

2. die Daten

a) nur deshalb gespeichert sind, weil sie aufgrundgesetzlicher oder satzungsmäßiger Aufbewah-rungsvorschriften nicht gelöscht werden dürfen,oder

b) ausschließlich Zwecken der Datensicherung oderder Datenschutzkontrolle dienen

und die Auskunftserteilung einen unverhältnismäßi-gen Aufwand erfordern würde sowie eine Verarbei-tung zu anderen Zwecken durch geeignete techni-sche und organisatorische Maßnahmen ausge-schlossen ist.

(2) Die Gründe der Auskunftsverweigerung sind zudokumentieren. Die Ablehnung der Auskunftserteilungist gegenüber der betroffenen Person zu begründen,soweit nicht durch die Mitteilung der tatsächlichenund rechtlichen Gründe, auf die die Entscheidung ge-stützt wird, der mit der Auskunftsverweigerung ver-folgte Zweck gefährdet würde. Die zum Zweck der Aus-kunftserteilung an die betroffene Person und zu derenVorbereitung gespeicherten Daten dürfen nur für diesenZweck sowie für Zwecke der Datenschutzkontrolleverarbeitet werden; für andere Zwecke ist die Verarbei-tung nach Maßgabe des Artikels 18 der Verordnung(EU) 2016/679 einzuschränken.

(3) Wird der betroffenen Person durch eine öffent-liche Stelle des Bundes keine Auskunft erteilt, so istsie auf ihr Verlangen der oder dem Bundesbeauftragtenzu erteilen, soweit nicht die jeweils zuständige obersteBundesbehörde im Einzelfall feststellt, dass dadurch

die Sicherheit des Bundes oder eines Landes gefährdetwürde. Die Mitteilung der oder des Bundesbeauftragtenan die betroffene Person über das Ergebnis der daten-schutzrechtlichen Prüfung darf keine Rückschlüsse aufden Erkenntnisstand des Verantwortlichen zulassen,sofern dieser nicht einer weitergehenden Auskunft zu-stimmt.

(4) Das Recht der betroffenen Person auf Auskunftüber personenbezogene Daten, die durch eine öffent-liche Stelle weder automatisiert verarbeitet noch nichtautomatisiert verarbeitet und in einem Dateisystem ge-speichert werden, besteht nur, soweit die betroffenePerson Angaben macht, die das Auffinden der Datenermöglichen, und der für die Erteilung der Auskunft er-forderliche Aufwand nicht außer Verhältnis zu dem vonder betroffenen Person geltend gemachten Informati-onsinteresse steht.

§ 35

Recht auf Löschung

(1) Ist eine Löschung im Fall nicht automatisierterDatenverarbeitung wegen der besonderen Art der Spei-cherung nicht oder nur mit unverhältnismäßig hohemAufwand möglich und ist das Interesse der betroffenenPerson an der Löschung als gering anzusehen, bestehtdas Recht der betroffenen Person auf und die Pflichtdes Verantwortlichen zur Löschung personenbezoge-ner Daten gemäß Artikel 17 Absatz 1 der Verordnung(EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3der Verordnung (EU) 2016/679 genannten Ausnahmennicht. In diesem Fall tritt an die Stelle einer Löschungdie Einschränkung der Verarbeitung gemäß Artikel 18der Verordnung (EU) 2016/679. Die Sätze 1 und 2finden keine Anwendung, wenn die personenbezoge-nen Daten unrechtmäßig verarbeitet wurden.

(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe bund c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1und 2 entsprechend im Fall des Artikels 17 Absatz 1Buchstabe a und d der Verordnung (EU) 2016/679,solange und soweit der Verantwortliche Grund zu derAnnahme hat, dass durch eine Löschung schutzwür-dige Interessen der betroffenen Person beeinträchtigtwürden. Der Verantwortliche unterrichtet die betroffenePerson über die Einschränkung der Verarbeitung, so-fern sich die Unterrichtung nicht als unmöglich erweistoder einen unverhältnismäßigen Aufwand erfordernwürde.

(3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe bder Verordnung (EU) 2016/679 gilt Absatz 1 entspre-chend im Fall des Artikels 17 Absatz 1 Buchstabe ader Verordnung (EU) 2016/679, wenn einer Löschungsatzungsgemäße oder vertragliche Aufbewahrungs-fristen entgegenstehen.

§ 36

Widerspruchsrecht

Das Recht auf Widerspruch gemäß Artikel 21 Ab-satz 1 der Verordnung (EU) 2016/679 gegenüber eineröffentlichen Stelle besteht nicht, soweit an der Verar-beitung ein zwingendes öffentliches Interesse besteht,das die Interessen der betroffenen Person überwiegt,oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.



§ 37

Automatisierte Entscheidungenim Einzelfall einschließlich Profiling

(1) Das Recht gemäß Artikel 22 Absatz 1 der Ver-ordnung (EU) 2016/679, keiner ausschließlich auf einerautomatisierten Verarbeitung beruhenden Entschei-dung unterworfen zu werden, besteht über die inArtikel 22 Absatz 2 Buchstabe a und c der Verord-nung (EU) 2016/679 genannten Ausnahmen hinausnicht, wenn die Entscheidung im Rahmen der Leis-tungserbringung nach einem Versicherungsvertrag er-geht und

1. dem Begehren der betroffenen Person stattgegebenwurde oder

2. die Entscheidung auf der Anwendung verbindlicherEntgeltregelungen für Heilbehandlungen beruht undder Verantwortliche für den Fall, dass dem Antragnicht vollumfänglich stattgegeben wird, angemes-sene Maßnahmen zur Wahrung der berechtigtenInteressen der betroffenen Person trifft, wozu min-destens das Recht auf Erwirkung des Eingreifenseiner Person seitens des Verantwortlichen, auf Dar-legung des eigenen Standpunktes und auf Anfech-tung der Entscheidung zählt; der Verantwortliche in-formiert die betroffene Person über diese Rechtespätestens zum Zeitpunkt der Mitteilung, aus dersich ergibt, dass dem Antrag der betroffenen Personnicht vollumfänglich stattgegeben wird.

(2) Entscheidungen nach Absatz 1 dürfen auf derVerarbeitung von Gesundheitsdaten im Sinne desArtikels 4 Nummer 15 der Verordnung (EU) 2016/679beruhen. Der Verantwortliche sieht angemessene undspezifische Maßnahmen zur Wahrung der Interessender betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.

Kapitel 3

Pflichten derVerantwortlichen und Auftragsverarbeiter

§ 38

Datenschutzbeauftragte nichtöffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe bund c der Verordnung (EU) 2016/679 benennen der Ver-antwortliche und der Auftragsverarbeiter eine Daten-schutzbeauftragte oder einen Datenschutzbeauftrag-ten, soweit sie in der Regel mindestens zehn Personenständig mit der automatisierten Verarbeitung personen-bezogener Daten beschäftigen. Nehmen der Verant-wortliche oder der Auftragsverarbeiter Verarbeitungenvor, die einer Datenschutz-Folgenabschätzung nachArtikel 35 der Verordnung (EU) 2016/679 unterliegen,oder verarbeiten sie personenbezogene Daten ge-schäftsmäßig zum Zweck der Übermittlung, der anony-misierten Übermittlung oder für Zwecke der Markt-oder Meinungsforschung, haben sie unabhängig vonder Anzahl der mit der Verarbeitung beschäftigten Per-sonen eine Datenschutzbeauftragte oder einen Daten-schutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden An-wendung, § 6 Absatz 4 jedoch nur, wenn die Benen-nung einer oder eines Datenschutzbeauftragten ver-pflichtend ist.

§ 39

Akkreditierung

Die Erteilung der Befugnis, als Zertifizierungsstellegemäß Artikel 43 Absatz 1 Satz 1 der Verordnung (EU)2016/679 tätig zu werden, erfolgt durch die für diedatenschutzrechtliche Aufsicht über die Zertifizierungs-stelle zuständige Aufsichtsbehörde des Bundes oderder Länder auf der Grundlage einer Akkreditierungdurch die Deutsche Akkreditierungsstelle. § 2 Absatz 3Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Num-mer 3 des Akkreditierungsstellengesetzes finden mitder Maßgabe Anwendung, dass der Datenschutz alsein dem Anwendungsbereich des § 1 Absatz 2 Satz 2unterfallender Bereich gilt.

Kapitel 4

Aufsichtsbehörde für dieDatenverarbeitung durch nichtöffentliche Stellen

§ 40

Aufsichtsbehörden der Länder

(1) Die nach Landesrecht zuständigen Behördenüberwachen im Anwendungsbereich der Verordnung(EU) 2016/679 bei den nichtöffentlichen Stellen die An-wendung der Vorschriften über den Datenschutz.

(2) Hat der Verantwortliche oder Auftragsverarbeitermehrere inländische Niederlassungen, findet für die Be-stimmung der zuständigen Aufsichtsbehörde Artikel 4Nummer 16 der Verordnung (EU) 2016/679 entspre-chende Anwendung. Wenn sich mehrere Behördenfür zuständig oder für unzuständig halten oder wenndie Zuständigkeit aus anderen Gründen zweifelhaft ist,treffen die Aufsichtsbehörden die Entscheidung ge-meinsam nach Maßgabe des § 18 Absatz 2. § 3 Ab-satz 3 und 4 des Verwaltungsverfahrensgesetzes findetentsprechende Anwendung.

(3) Die Aufsichtsbehörde darf die von ihr gespeicher-ten Daten nur für Zwecke der Aufsicht verarbeiten; hier-bei darf sie Daten an andere Aufsichtsbehörden über-mitteln. Eine Verarbeitung zu einem anderen Zweck istüber Artikel 6 Absatz 4 der Verordnung (EU) 2016/679hinaus zulässig, wenn

1. offensichtlich ist, dass sie im Interesse der betroffe-nen Person liegt und kein Grund zu der Annahmebesteht, dass sie in Kenntnis des anderen Zwecksihre Einwilligung verweigern würde,

2. sie zur Abwehr erheblicher Nachteile für das Ge-meinwohl oder einer Gefahr für die öffentlicheSicherheit oder zur Wahrung erheblicher Belangedes Gemeinwohls erforderlich ist oder

3. sie zur Verfolgung von Straftaten oder Ordnungs-widrigkeiten, zur Vollstreckung oder zum Vollzugvon Strafen oder Maßnahmen im Sinne des § 11 Ab-satz 1 Nummer 8 des Strafgesetzbuchs oder vonErziehungsmaßregeln oder Zuchtmitteln im Sinnedes Jugendgerichtsgesetzes oder zur Vollstreckungvon Geldbußen erforderlich ist.

Stellt die Aufsichtsbehörde einen Verstoß gegen dieVorschriften über den Datenschutz fest, so ist sie be-fugt, die betroffenen Personen hierüber zu unterrichten,den Verstoß anderen für die Verfolgung oder Ahndungzuständigen Stellen anzuzeigen sowie bei schwerwie-



genden Verstößen die Gewerbeaufsichtsbehörde zurDurchführung gewerberechtlicher Maßnahmen zuunterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entspre-chend.

(4) Die der Aufsicht unterliegenden Stellen sowie diemit deren Leitung beauftragten Personen haben einerAufsichtsbehörde auf Verlangen die für die Erfüllungihrer Aufgaben erforderlichen Auskünfte zu erteilen.Der Auskunftspflichtige kann die Auskunft auf solcheFragen verweigern, deren Beantwortung ihn selbst odereinen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivil-prozessordnung bezeichneten Angehörigen der Gefahrstrafgerichtlicher Verfolgung oder eines Verfahrensnach dem Gesetz über Ordnungswidrigkeiten aus-setzen würde. Der Auskunftspflichtige ist darauf hinzu-weisen.

(5) Die von einer Aufsichtsbehörde mit der Überwa-chung der Einhaltung der Vorschriften über den Daten-schutz beauftragten Personen sind befugt, zur Erfül-lung ihrer Aufgaben Grundstücke und Geschäftsräumeder Stelle zu betreten und Zugang zu allen Datenverar-beitungsanlagen und -geräten zu erhalten. Die Stelle istinsoweit zur Duldung verpflichtet. § 16 Absatz 4 giltentsprechend.

(6) Die Aufsichtsbehörden beraten und unterstützendie Datenschutzbeauftragten mit Rücksicht auf derentypische Bedürfnisse. Sie können die Abberufung deroder des Datenschutzbeauftragten verlangen, wennsie oder er die zur Erfüllung ihrer oder seiner Aufgabenerforderliche Fachkunde nicht besitzt oder im Fall desArtikels 38 Absatz 6 der Verordnung (EU) 2016/679 einschwerwiegender Interessenkonflikt vorliegt.

(7) Die Anwendung der Gewerbeordnung bleibt un-berührt.

Kapitel 5

Sanktionen

§ 41

Anwendung der Vorschriftenüber das Bußgeld- und Strafverfahren

(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 derVerordnung (EU) 2016/679 gelten, soweit dieses Gesetznichts anderes bestimmt, die Vorschriften des Gesetzesüber Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35und 36 des Gesetzes über Ordnungswidrigkeiten findenkeine Anwendung. § 68 des Gesetzes über Ordnungs-widrigkeiten findet mit der Maßgabe Anwendung, dassdas Landgericht entscheidet, wenn die festgesetzteGeldbuße den Betrag von einhunderttausend Euroübersteigt.

(2) Für Verfahren wegen eines Verstoßes nach Arti-kel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679gelten, soweit dieses Gesetz nichts anderes bestimmt,die Vorschriften des Gesetzes über Ordnungswidrig-keiten und der allgemeinen Gesetze über das Strafver-fahren, namentlich der Strafprozessordnung und desGerichtsverfassungsgesetzes, entsprechend. Die §§ 56bis 58, 87, 88, 99 und 100 des Gesetzes über Ord-nungswidrigkeiten finden keine Anwendung. § 69 Ab-satz 4 Satz 2 des Gesetzes über Ordnungswidrigkeitenfindet mit der Maßgabe Anwendung, dass die Staats-anwaltschaft das Verfahren nur mit Zustimmung der

Aufsichtsbehörde, die den Bußgeldbescheid erlassenhat, einstellen kann.

§ 42

Strafvorschriften

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mitGeldstrafe wird bestraft, wer wissentlich nicht allge-mein zugängliche personenbezogene Daten einer gro-ßen Zahl von Personen, ohne hierzu berechtigt zu sein,

1. einem Dritten übermittelt oder

2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mitGeldstrafe wird bestraft, wer personenbezogene Daten,die nicht allgemein zugänglich sind,

1. ohne hierzu berechtigt zu sein, verarbeitet oder

2. durch unrichtige Angaben erschleicht

und hierbei gegen Entgelt oder in der Absicht handelt,sich oder einen anderen zu bereichern oder einen an-deren zu schädigen.

(3) Die Tat wird nur auf Antrag verfolgt. Antragsbe-rechtigt sind die betroffene Person, der Verantwort-liche, die oder der Bundesbeauftragte und die Auf-sichtsbehörde.

(4) Eine Meldung nach Artikel 33 der Verordnung(EU) 2016/679 oder eine Benachrichtigung nach Arti-kel 34 Absatz 1 der Verordnung (EU) 2016/679 darfin einem Strafverfahren gegen den Meldepflichtigenoder Benachrichtigenden oder seine in § 52 Absatz 1der Strafprozessordnung bezeichneten Angehörigennur mit Zustimmung des Meldepflichtigen oder Be-nachrichtigenden verwendet werden.

§ 43

Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oderfahrlässig

1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nichtrichtig behandelt oder

2. entgegen § 30 Absatz 2 Satz 1 einen Verbrauchernicht, nicht richtig, nicht vollständig oder nicht recht-zeitig unterrichtet.

(2) Die Ordnungswidrigkeit kann mit einer Geldbußebis zu fünfzigtausend Euro geahndet werden.

(3) Gegen Behörden und sonstige öffentliche Stellenim Sinne des § 2 Absatz 1 werden keine Geldbußenverhängt.

(4) Eine Meldung nach Artikel 33 der Verordnung(EU) 2016/679 oder eine Benachrichtigung nach Arti-kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf ineinem Verfahren nach dem Gesetz über Ordnungswid-rigkeiten gegen den Meldepflichtigen oder Benachrich-tigenden oder seine in § 52 Absatz 1 der Strafprozess-ordnung bezeichneten Angehörigen nur mit Zustim-mung des Meldepflichtigen oder Benachrichtigendenverwendet werden.



Kapitel 6

Rechtsbehelfe

§ 44

Klagen gegen denVerantwortlichen oder Auftragsverarbeiter

(1) Klagen der betroffenen Person gegen einen Ver-antwortlichen oder einen Auftragsverarbeiter wegeneines Verstoßes gegen datenschutzrechtliche Bestim-mungen im Anwendungsbereich der Verordnung (EU)2016/679 oder der darin enthaltenen Rechte der be-troffenen Person können bei dem Gericht des Ortes er-hoben werden, an dem sich eine Niederlassung desVerantwortlichen oder Auftragsverarbeiters befindet.Klagen nach Satz 1 können auch bei dem Gericht desOrtes erhoben werden, an dem die betroffene Personihren gewöhnlichen Aufenthaltsort hat.

(2) Absatz 1 gilt nicht für Klagen gegen Behörden,die in Ausübung ihrer hoheitlichen Befugnisse tätig ge-worden sind.

(3) Hat der Verantwortliche oder Auftragsverarbeitereinen Vertreter nach Artikel 27 Absatz 1 der Verordnung(EU) 2016/679 benannt, gilt dieser auch als bevoll-mächtigt, Zustellungen in zivilgerichtlichen Verfahrennach Absatz 1 entgegenzunehmen. § 184 der Zivilpro-zessordnung bleibt unberührt.

Te i l 3

B e s t i mm u n g e n f ü rVe r a r b e i t u n g e n z u Z w e c k e ng em ä ß A r t i k e l 1 A b s a t z 1

d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0

Kapitel 1

Anwendungsbereich,Begriffsbestimmungen und

allgemeine Grundsätze für dieVerarbeitung personenbezogener Daten

§ 45

Anwendungsbereich

Die Vorschriften dieses Teils gelten für die Verarbei-tung personenbezogener Daten durch die für die Ver-hütung, Ermittlung, Aufdeckung, Verfolgung oder Ahn-dung von Straftaten oder Ordnungswidrigkeiten zu-ständigen öffentlichen Stellen, soweit sie Daten zumZweck der Erfüllung dieser Aufgaben verarbeiten. Dieöffentlichen Stellen gelten dabei als Verantwortliche.Die Verhütung von Straftaten im Sinne des Satzes 1umfasst den Schutz vor und die Abwehr von Gefahrenfür die öffentliche Sicherheit. Die Sätze 1 und 2 findenzudem Anwendung auf diejenigen öffentlichen Stellen,die für die Vollstreckung von Strafen, von Maßnahmenim Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetz-buchs, von Erziehungsmaßregeln oder Zuchtmitteln imSinne des Jugendgerichtsgesetzes und von Geldbußenzuständig sind. Soweit dieser Teil Vorschriften für Auf-tragsverarbeiter enthält, gilt er auch für diese.

§ 46

Begriffsbestimmungen

Es bezeichnen die Begriffe:

1. „personenbezogene Daten“ alle Informationen, diesich auf eine identifizierte oder identifizierbarenatürliche Person (betroffene Person) beziehen; alsidentifizierbar wird eine natürliche Person ange-sehen, die direkt oder indirekt, insbesondere mittelsZuordnung zu einer Kennung wie einem Namen,zu einer Kennnummer, zu Standortdaten, zu einerOnline-Kennung oder zu einem oder mehreren be-sonderen Merkmalen, die Ausdruck der physi-schen, physiologischen, genetischen, psychischen,wirtschaftlichen, kulturellen oder sozialen Identitätdieser Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automati-sierter Verfahren ausgeführten Vorgang oder jedesolche Vorgangsreihe im Zusammenhang mit per-sonenbezogenen Daten wie das Erheben, das Er-fassen, die Organisation, das Ordnen, die Speiche-rung, die Anpassung, die Veränderung, das Aus-lesen, das Abfragen, die Verwendung, die Offen-legung durch Übermittlung, Verbreitung oder eineandere Form der Bereitstellung, den Abgleich, dieVerknüpfung, die Einschränkung, das Löschen oderdie Vernichtung;

3. „Einschränkung der Verarbeitung“ die Markierunggespeicherter personenbezogener Daten mit demZiel, ihre künftige Verarbeitung einzuschränken;

4. „Profiling“ jede Art der automatisierten Verarbeitungpersonenbezogener Daten, bei der diese Daten ver-wendet werden, um bestimmte persönliche Aspek-te, die sich auf eine natürliche Person beziehen, zubewerten, insbesondere um Aspekte der Arbeits-leistung, der wirtschaftlichen Lage, der Gesundheit,der persönlichen Vorlieben, der Interessen, der Zu-verlässigkeit, des Verhaltens, der Aufenthaltsorteoder der Ortswechsel dieser natürlichen Person zuanalysieren oder vorherzusagen;

5. „Pseudonymisierung“ die Verarbeitung personen-bezogener Daten in einer Weise, in der die Datenohne Hinzuziehung zusätzlicher Informationen nichtmehr einer spezifischen betroffenen Person zuge-ordnet werden können, sofern diese zusätzlichenInformationen gesondert aufbewahrt werden undtechnischen und organisatorischen Maßnahmenunterliegen, die gewährleisten, dass die Datenkeiner betroffenen Person zugewiesen werdenkönnen;

6. „Dateisystem“ jede strukturierte Sammlung perso-nenbezogener Daten, die nach bestimmten Krite-rien zugänglich sind, unabhängig davon, ob dieseSammlung zentral, dezentral oder nach funktiona-len oder geografischen Gesichtspunkten geordnetgeführt wird;

7. „Verantwortlicher“ die natürliche oder juristischePerson, Behörde, Einrichtung oder andere Stelle,die allein oder gemeinsam mit anderen über dieZwecke und Mittel der Verarbeitung von personen-bezogenen Daten entscheidet;

8. „Auftragsverarbeiter“ eine natürliche oder juristi-sche Person, Behörde, Einrichtung oder andere



Stelle, die personenbezogene Daten im Auftrag desVerantwortlichen verarbeitet;

9. „Empfänger“ eine natürliche oder juristische Per-son, Behörde, Einrichtung oder andere Stelle, derpersonenbezogene Daten offengelegt werden, un-abhängig davon, ob es sich bei ihr um einen Drit-ten handelt oder nicht; Behörden, die im Rahmeneines bestimmten Untersuchungsauftrags nachdem Unionsrecht oder anderen Rechtsvorschriftenpersonenbezogene Daten erhalten, gelten jedochnicht als Empfänger; die Verarbeitung dieser Datendurch die genannten Behörden erfolgt im Einklangmit den geltenden Datenschutzvorschriften gemäßden Zwecken der Verarbeitung;

10. „Verletzung des Schutzes personenbezogener Da-ten“ eine Verletzung der Sicherheit, die zur unbe-absichtigten oder unrechtmäßigen Vernichtung,zum Verlust, zur Veränderung oder zur unbefugtenOffenlegung von oder zum unbefugten Zugang zupersonenbezogenen Daten geführt hat, die verar-beitet wurden;

11. „genetische Daten“ personenbezogene Daten zuden ererbten oder erworbenen genetischen Eigen-schaften einer natürlichen Person, die eindeutigeInformationen über die Physiologie oder die Ge-sundheit dieser Person liefern, insbesondere sol-che, die aus der Analyse einer biologischen Probeder Person gewonnen wurden;

12. „biometrische Daten“ mit speziellen technischenVerfahren gewonnene personenbezogene Datenzu den physischen, physiologischen oder verhal-tenstypischen Merkmalen einer natürlichen Person,die die eindeutige Identifizierung dieser natürlichenPerson ermöglichen oder bestätigen, insbesondereGesichtsbilder oder daktyloskopische Daten;

13. „Gesundheitsdaten“ personenbezogene Daten, diesich auf die körperliche oder geistige Gesundheiteiner natürlichen Person, einschließlich der Erbrin-gung von Gesundheitsdienstleistungen, beziehenund aus denen Informationen über deren Gesund-heitszustand hervorgehen;

14. „besondere Kategorien personenbezogener Daten“

a) Daten, aus denen die rassische oder ethnischeHerkunft, politische Meinungen, religiöse oderweltanschauliche Überzeugungen oder die Ge-werkschaftszugehörigkeit hervorgehen,

b) genetische Daten,

c) biometrische Daten zur eindeutigen Identifizie-rung einer natürlichen Person,

d) Gesundheitsdaten und

e) Daten zum Sexualleben oder zur sexuellenOrientierung;

15. „Aufsichtsbehörde“ eine von einem Mitgliedstaatgemäß Artikel 41 der Richtlinie (EU) 2016/680 ein-gerichtete unabhängige staatliche Stelle;

16. „internationale Organisation“ eine völkerrechtlicheOrganisation und ihre nachgeordneten Stellen so-wie jede sonstige Einrichtung, die durch eine vonzwei oder mehr Staaten geschlossene Übereinkunftoder auf der Grundlage einer solchen Übereinkunftgeschaffen wurde;

17. „Einwilligung“ jede freiwillig für den bestimmtenFall, in informierter Weise und unmissverständlichabgegebene Willensbekundung in Form einer Erklä-rung oder einer sonstigen eindeutigen bestätigen-den Handlung, mit der die betroffene Person zu ver-stehen gibt, dass sie mit der Verarbeitung der siebetreffenden personenbezogenen Daten einver-standen ist.

§ 47

Allgemeine Grundsätzefür die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen

1. auf rechtmäßige Weise und nach Treu und Glaubenverarbeitet werden,

2. für festgelegte, eindeutige und rechtmäßige Zweckeerhoben und nicht in einer mit diesen Zwecken nichtzu vereinbarenden Weise verarbeitet werden,

3. dem Verarbeitungszweck entsprechen, für das Errei-chen des Verarbeitungszwecks erforderlich sein undihre Verarbeitung nicht außer Verhältnis zu diesemZweck stehen,

4. sachlich richtig und erforderlichenfalls auf dem neu-esten Stand sein; dabei sind alle angemessenenMaßnahmen zu treffen, damit personenbezogeneDaten, die im Hinblick auf die Zwecke ihrer Verarbei-tung unrichtig sind, unverzüglich gelöscht oder be-richtigt werden,

5. nicht länger als es für die Zwecke, für die sie verar-beitet werden, erforderlich ist, in einer Form gespei-chert werden, die die Identifizierung der betroffenenPersonen ermöglicht, und

6. in einer Weise verarbeitet werden, die eine angemes-sene Sicherheit der personenbezogenen Daten ge-währleistet; hierzu gehört auch ein durch geeignetetechnische und organisatorische Maßnahmen zu ge-währleistender Schutz vor unbefugter oder unrecht-mäßiger Verarbeitung, unbeabsichtigtem Verlust,unbeabsichtigter Zerstörung oder unbeabsichtigterSchädigung.

Kapitel 2


§ 48

Verarbeitung besondererKategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien perso-nenbezogener Daten ist nur zulässig, wenn sie zur Auf-gabenerfüllung unbedingt erforderlich ist.

(2) Werden besondere Kategorien personenbezoge-ner Daten verarbeitet, sind geeignete Garantien fürdie Rechtsgüter der betroffenen Personen vorzusehen.Geeignete Garantien können insbesondere sein

1. spezifische Anforderungen an die Datensicherheitoder die Datenschutzkontrolle,

2. die Festlegung von besonderen Aussonderungs-prüffristen,

3. die Sensibilisierung der an VerarbeitungsvorgängenBeteiligten,



4. die Beschränkung des Zugangs zu den personen-bezogenen Daten innerhalb der verantwortlichenStelle,

5. die von anderen Daten getrennte Verarbeitung,

6. die Pseudonymisierung personenbezogener Daten,

7. die Verschlüsselung personenbezogener Daten oder

8. spezifische Verfahrensregelungen, die im Fall einerÜbermittlung oder Verarbeitung für andere Zweckedie Rechtmäßigkeit der Verarbeitung sicherstellen.

§ 49

Verarbeitung zu anderen Zwecken

Eine Verarbeitung personenbezogener Daten zueinem anderen Zweck als zu demjenigen, zu dem sieerhoben wurden, ist zulässig, wenn es sich bei demanderen Zweck um einen der in § 45 genannten Zwe-cke handelt, der Verantwortliche befugt ist, Daten zudiesem Zweck zu verarbeiten, und die Verarbeitungzu diesem Zweck erforderlich und verhältnismäßig ist.Die Verarbeitung personenbezogener Daten zu einemanderen, in § 45 nicht genannten Zweck ist zulässig,wenn sie in einer Rechtsvorschrift vorgesehen ist.

§ 50

Verarbeitung zu archivarischen,wissenschaftlichen und statistischen Zwecken

Personenbezogene Daten dürfen im Rahmen der in§ 45 genannten Zwecke in archivarischer, wissen-schaftlicher oder statistischer Form verarbeitet werden,wenn hieran ein öffentliches Interesse besteht undgeeignete Garantien für die Rechtsgüter der betroffe-nen Personen vorgesehen werden. Solche Garantienkönnen in einer so zeitnah wie möglich erfolgendenAnonymisierung der personenbezogenen Daten, in Vor-kehrungen gegen ihre unbefugte Kenntnisnahme durchDritte oder in ihrer räumlich und organisatorisch vonden sonstigen Fachaufgaben getrennten Verarbeitungbestehen.

§ 51

Einwilligung

(1) Soweit die Verarbeitung personenbezogener Da-ten nach einer Rechtsvorschrift auf der Grundlage einerEinwilligung erfolgen kann, muss der Verantwortlichedie Einwilligung der betroffenen Person nachweisenkönnen.

(2) Erfolgt die Einwilligung der betroffenen Persondurch eine schriftliche Erklärung, die noch andereSachverhalte betrifft, muss das Ersuchen um Einwilli-gung in verständlicher und leicht zugänglicher Form ineiner klaren und einfachen Sprache so erfolgen, dasses von den anderen Sachverhalten klar zu unterschei-den ist.

(3) Die betroffene Person hat das Recht, ihre Einwil-ligung jederzeit zu widerrufen. Durch den Widerruf derEinwilligung wird die Rechtmäßigkeit der aufgrund derEinwilligung bis zum Widerruf erfolgten Verarbeitungnicht berührt. Die betroffene Person ist vor Abgabeder Einwilligung hiervon in Kenntnis zu setzen.

(4) Die Einwilligung ist nur wirksam, wenn sie aufder freien Entscheidung der betroffenen Person beruht.Bei der Beurteilung, ob die Einwilligung freiwillig erteilt

wurde, müssen die Umstände der Erteilung berücksich-tigt werden. Die betroffene Person ist auf den vorge-sehenen Zweck der Verarbeitung hinzuweisen. Ist diesnach den Umständen des Einzelfalles erforderlich oderverlangt die betroffene Person dies, ist sie auch überdie Folgen der Verweigerung der Einwilligung zu be-lehren.

(5) Soweit besondere Kategorien personenbezoge-ner Daten verarbeitet werden, muss sich die Einwilli-gung ausdrücklich auf diese Daten beziehen.

§ 52

Verarbeitung auf Weisung des Verantwortlichen

Jede einem Verantwortlichen oder einem Auftrags-verarbeiter unterstellte Person, die Zugang zu perso-nenbezogenen Daten hat, darf diese Daten ausschließ-lich auf Weisung des Verantwortlichen verarbeiten, essei denn, dass sie nach einer Rechtsvorschrift zur Ver-arbeitung verpflichtet ist.

§ 53

Datengeheimnis

Mit Datenverarbeitung befasste Personen dürfenpersonenbezogene Daten nicht unbefugt verarbeiten(Datengeheimnis). Sie sind bei der Aufnahme ihrerTätigkeit auf das Datengeheimnis zu verpflichten. DasDatengeheimnis besteht auch nach der Beendigungihrer Tätigkeit fort.

§ 54

Automatisierte Einzelentscheidung

(1) Eine ausschließlich auf einer automatischen Ver-arbeitung beruhende Entscheidung, die mit einer nach-teiligen Rechtsfolge für die betroffene Person verbun-den ist oder sie erheblich beeinträchtigt, ist nur zuläs-sig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

(2) Entscheidungen nach Absatz 1 dürfen nicht aufbesonderen Kategorien personenbezogener Daten be-ruhen, sofern nicht geeignete Maßnahmen zum Schutzder Rechtsgüter sowie der berechtigten Interessen derbetroffenen Personen getroffen wurden.

(3) Profiling, das zur Folge hat, dass betroffene Per-sonen auf der Grundlage von besonderen Kategorienpersonenbezogener Daten diskriminiert werden, ist ver-boten.

Kapitel 3

Rechte der betroffenen Person

§ 55

Allgemeine Informationen zu Datenverarbeitungen

Der Verantwortliche hat in allgemeiner Form und fürjedermann zugänglich Informationen zur Verfügung zustellen über

1. die Zwecke der von ihm vorgenommenen Verarbei-tungen,

2. die im Hinblick auf die Verarbeitung ihrer personen-bezogenen Daten bestehenden Rechte der betroffe-nen Personen auf Auskunft, Berichtigung, Löschungund Einschränkung der Verarbeitung,



3. den Namen und die Kontaktdaten des Verantwort-lichen und der oder des Datenschutzbeauftragten,

4. das Recht, die Bundesbeauftragte oder den Bun-desbeauftragten anzurufen, und

5. die Erreichbarkeit der oder des Bundesbeauftragten.

§ 56

Benachrichtigung betroffener Personen

(1) Ist die Benachrichtigung betroffener Personenüber die Verarbeitung sie betreffender personenbezo-gener Daten in speziellen Rechtsvorschriften, insbe-sondere bei verdeckten Maßnahmen, vorgesehen oderangeordnet, so hat diese Benachrichtigung zumindestdie folgenden Angaben zu enthalten:

1. die in § 55 genannten Angaben,

2. die Rechtsgrundlage der Verarbeitung,

3. die für die Daten geltende Speicherdauer oder, fallsdies nicht möglich ist, die Kriterien für die Fest-legung dieser Dauer,

4. gegebenenfalls die Kategorien von Empfängern derpersonenbezogenen Daten sowie

5. erforderlichenfalls weitere Informationen, insbeson-dere, wenn die personenbezogenen Daten ohneWissen der betroffenen Person erhoben wurden.

(2) In den Fällen des Absatzes 1 kann der Verant-wortliche die Benachrichtigung insoweit und solangeaufschieben, einschränken oder unterlassen, wie an-dernfalls

1. die Erfüllung der in § 45 genannten Aufgaben,

2. die öffentliche Sicherheit oder

3. Rechtsgüter Dritter

gefährdet würden, wenn das Interesse an der Vermei-dung dieser Gefahren das Informationsinteresse derbetroffenen Person überwiegt.

(3) Bezieht sich die Benachrichtigung auf die Über-mittlung personenbezogener Daten an Verfassungs-schutzbehörden, den Bundesnachrichtendienst, denMilitärischen Abschirmdienst und, soweit die Sicherheitdes Bundes berührt wird, andere Behörden desBundesministeriums der Verteidigung, ist sie nur mitZustimmung dieser Stellen zulässig.

(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57Absatz 7 entsprechend.

§ 57

Auskunftsrecht

(1) Der Verantwortliche hat betroffenen Personen aufAntrag Auskunft darüber zu erteilen, ob er sie betref-fende Daten verarbeitet. Betroffene Personen habendarüber hinaus das Recht, Informationen zu erhaltenüber

1. die personenbezogenen Daten, die Gegenstand derVerarbeitung sind, und die Kategorie, zu der sie ge-hören,

2. die verfügbaren Informationen über die Herkunft derDaten,

3. die Zwecke der Verarbeitung und deren Rechts-grundlage,

4. die Empfänger oder die Kategorien von Empfängern,gegenüber denen die Daten offengelegt wordensind, insbesondere bei Empfängern in Drittstaatenoder bei internationalen Organisationen,

5. die für die Daten geltende Speicherdauer oder, fallsdies nicht möglich ist, die Kriterien für die Fest-legung dieser Dauer,

6. das Bestehen eines Rechts auf Berichtigung,Löschung oder Einschränkung der Verarbeitung derDaten durch den Verantwortlichen,

7. das Recht nach § 60, die Bundesbeauftragte oderden Bundesbeauftragten anzurufen, sowie

8. Angaben zur Erreichbarkeit der oder des Bundes-beauftragten.

(2) Absatz 1 gilt nicht für personenbezogene Daten,die nur deshalb verarbeitet werden, weil sie aufgrundgesetzlicher Aufbewahrungsvorschriften nicht gelöschtwerden dürfen oder die ausschließlich Zwecken derDatensicherung oder der Datenschutzkontrolle dienen,wenn die Auskunftserteilung einen unverhältnismäßi-gen Aufwand erfordern würde und eine Verarbeitungzu anderen Zwecken durch geeignete technische undorganisatorische Maßnahmen ausgeschlossen ist.

(3) Von der Auskunftserteilung ist abzusehen, wenndie betroffene Person keine Angaben macht, die dasAuffinden der Daten ermöglichen, und deshalb der fürdie Erteilung der Auskunft erforderliche Aufwand außerVerhältnis zu dem von der betroffenen Person geltendgemachten Informationsinteresse steht.

(4) Der Verantwortliche kann unter den Vorausset-zungen des § 56 Absatz 2 von der Auskunft nach Ab-satz 1 Satz 1 absehen oder die Auskunftserteilung nachAbsatz 1 Satz 2 teilweise oder vollständig einschrän-ken.

(5) Bezieht sich die Auskunftserteilung auf die Über-mittlung personenbezogener Daten an Verfassungs-schutzbehörden, den Bundesnachrichtendienst, denMilitärischen Abschirmdienst und, soweit die Sicher-heit des Bundes berührt wird, andere Behörden desBundesministeriums der Verteidigung, ist sie nur mitZustimmung dieser Stellen zulässig.

(6) Der Verantwortliche hat die betroffene Personüber das Absehen von oder die Einschränkung einerAuskunft unverzüglich schriftlich zu unterrichten. Diesgilt nicht, wenn bereits die Erteilung dieser Informa-tionen eine Gefährdung im Sinne des § 56 Absatz 2mit sich bringen würde. Die Unterrichtung nach Satz 1ist zu begründen, es sei denn, dass die Mitteilung derGründe den mit dem Absehen von oder der Einschrän-kung der Auskunft verfolgten Zweck gefährden würde.

(7) Wird die betroffene Person nach Absatz 6 überdas Absehen von oder die Einschränkung der Auskunftunterrichtet, kann sie ihr Auskunftsrecht auch über dieBundesbeauftragte oder den Bundesbeauftragten aus-üben. Der Verantwortliche hat die betroffene Personüber diese Möglichkeit sowie darüber zu unterrichten,dass sie gemäß § 60 die Bundesbeauftragte oderden Bundesbeauftragten anrufen oder gerichtlichenRechtsschutz suchen kann. Macht die betroffene Per-son von ihrem Recht nach Satz 1 Gebrauch, ist dieAuskunft auf ihr Verlangen der oder dem Bundesbeauf-tragten zu erteilen, soweit nicht die zuständige obersteBundesbehörde im Einzelfall feststellt, dass dadurch



die Sicherheit des Bundes oder eines Landes gefährdetwürde. Die oder der Bundesbeauftragte hat die betrof-fene Person zumindest darüber zu unterrichten, dassalle erforderlichen Prüfungen erfolgt sind oder eineÜberprüfung durch sie stattgefunden hat. Diese Mittei-lung kann die Information enthalten, ob datenschutz-rechtliche Verstöße festgestellt wurden. Die Mitteilungder oder des Bundesbeauftragten an die betroffenePerson darf keine Rückschlüsse auf den Erkenntnis-stand des Verantwortlichen zulassen, sofern dieserkeiner weitergehenden Auskunft zustimmt. Der Verant-wortliche darf die Zustimmung nur insoweit und so-lange verweigern, wie er nach Absatz 4 von einerAuskunft absehen oder sie einschränken könnte. Dieoder der Bundesbeauftragte hat zudem die betroffenePerson über ihr Recht auf gerichtlichen Rechtsschutzzu unterrichten.

(8) Der Verantwortliche hat die sachlichen oder recht-lichen Gründe für die Entscheidung zu dokumentieren.

§ 58

Rechte aufBerichtigung und Löschung

sowie Einschränkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von demVerantwortlichen unverzüglich die Berichtigung sie be-treffender unrichtiger Daten zu verlangen. Insbesondereim Fall von Aussagen oder Beurteilungen betrifft dieFrage der Richtigkeit nicht den Inhalt der Aussage oderBeurteilung. Wenn die Richtigkeit oder Unrichtigkeit derDaten nicht festgestellt werden kann, tritt an die Stelleder Berichtigung eine Einschränkung der Verarbeitung.In diesem Fall hat der Verantwortliche die betroffenePerson zu unterrichten, bevor er die Einschränkungwieder aufhebt. Die betroffene Person kann zudem dieVervollständigung unvollständiger personenbezogenerDaten verlangen, wenn dies unter Berücksichtigungder Verarbeitungszwecke angemessen ist.

(2) Die betroffene Person hat das Recht, von demVerantwortlichen unverzüglich die Löschung sie betref-fender Daten zu verlangen, wenn deren Verarbeitungunzulässig ist, deren Kenntnis für die Aufgabenerfüllungnicht mehr erforderlich ist oder diese zur Erfüllung einerrechtlichen Verpflichtung gelöscht werden müssen.

(3) Anstatt die personenbezogenen Daten zu löschen,kann der Verantwortliche deren Verarbeitung einschrän-ken, wenn

1. Grund zu der Annahme besteht, dass eine Löschungschutzwürdige Interessen einer betroffenen Personbeeinträchtigen würde,

2. die Daten zu Beweiszwecken in Verfahren, die Zwe-cken des § 45 dienen, weiter aufbewahrt werdenmüssen oder

3. eine Löschung wegen der besonderen Art der Spei-cherung nicht oder nur mit unverhältnismäßigemAufwand möglich ist.

In ihrer Verarbeitung nach Satz 1 eingeschränkte Datendürfen nur zu dem Zweck verarbeitet werden, der ihrerLöschung entgegenstand.

(4) Bei automatisierten Dateisystemen ist technischsicherzustellen, dass eine Einschränkung der Verarbei-tung eindeutig erkennbar ist und eine Verarbeitung fürandere Zwecke nicht ohne weitere Prüfung möglich ist.

(5) Hat der Verantwortliche eine Berichtigung vorge-nommen, hat er einer Stelle, die ihm die personenbezo-genen Daten zuvor übermittelt hat, die Berichtigungmitzuteilen. In Fällen der Berichtigung, Löschung oderEinschränkung der Verarbeitung nach den Absätzen 1bis 3 hat der Verantwortliche Empfängern, denen dieDaten übermittelt wurden, diese Maßnahmen mitzu-teilen. Der Empfänger hat die Daten zu berichtigen, zulöschen oder ihre Verarbeitung einzuschränken.

(6) Der Verantwortliche hat die betroffene Personüber ein Absehen von der Berichtigung oder Löschungpersonenbezogener Daten oder über die an derenStelle tretende Einschränkung der Verarbeitung schrift-lich zu unterrichten. Dies gilt nicht, wenn bereits dieErteilung dieser Informationen eine Gefährdung imSinne des § 56 Absatz 2 mit sich bringen würde. DieUnterrichtung nach Satz 1 ist zu begründen, es seidenn, dass die Mitteilung der Gründe den mit demAbsehen von der Unterrichtung verfolgten Zweck ge-fährden würde.

(7) § 57 Absatz 7 und 8 findet entsprechende An-wendung.

§ 59

Verfahren für dieAusübung der Rechte der betroffenen Person

(1) Der Verantwortliche hat mit betroffenen Personenunter Verwendung einer klaren und einfachen Sprachein präziser, verständlicher und leicht zugänglicher Formzu kommunizieren. Unbeschadet besonderer Formvor-schriften soll er bei der Beantwortung von Anträgengrundsätzlich die für den Antrag gewählte Form ver-wenden.

(2) Bei Anträgen hat der Verantwortliche die betrof-fene Person unbeschadet des § 57 Absatz 6 und des§ 58 Absatz 6 unverzüglich schriftlich darüber in Kennt-nis zu setzen, wie verfahren wurde.

(3) Die Erteilung von Informationen nach § 55, dieBenachrichtigungen nach den §§ 56 und 66 und dieBearbeitung von Anträgen nach den §§ 57 und 58 er-folgen unentgeltlich. Bei offenkundig unbegründetenoder exzessiven Anträgen nach den §§ 57 und 58 kannder Verantwortliche entweder eine angemessene Ge-bühr auf der Grundlage der Verwaltungskosten verlan-gen oder sich weigern, aufgrund des Antrags tätig zuwerden. In diesem Fall muss der Verantwortliche denoffenkundig unbegründeten oder exzessiven Charakterdes Antrags belegen können.

(4) Hat der Verantwortliche begründete Zweifel ander Identität einer betroffenen Person, die einen Antragnach den §§ 57 oder 58 gestellt hat, kann er von ihrzusätzliche Informationen anfordern, die zur Bestäti-gung ihrer Identität erforderlich sind.

§ 60

Anrufung der oder des Bundesbeauftragten

(1) Jede betroffene Person kann sich unbeschadetanderweitiger Rechtsbehelfe mit einer Beschwerde andie Bundesbeauftragte oder den Bundesbeauftragtenwenden, wenn sie der Auffassung ist, bei der Verarbei-tung ihrer personenbezogenen Daten durch öffentlicheStellen zu den in § 45 genannten Zwecken in ihren



Rechten verletzt worden zu sein. Dies gilt nicht für dieVerarbeitung von personenbezogenen Daten durch Ge-richte, soweit diese die Daten im Rahmen ihrer justiziel-len Tätigkeit verarbeitet haben. Die oder der Bundes-beauftragte hat die betroffene Person über den Standund das Ergebnis der Beschwerde zu unterrichten undsie hierbei auf die Möglichkeit gerichtlichen Rechts-schutzes nach § 61 hinzuweisen.

(2) Die oder der Bundesbeauftragte hat eine bei ihroder ihm eingelegte Beschwerde über eine Verarbei-tung, die in die Zuständigkeit einer Aufsichtsbehördein einem anderen Mitgliedstaat der Europäischen Unionfällt, unverzüglich an die zuständige Aufsichtsbehördedes anderen Staates weiterzuleiten. Sie oder er hat indiesem Fall die betroffene Person über die Weiterlei-tung zu unterrichten und ihr auf deren Ersuchen weitereUnterstützung zu leisten.

§ 61

Rechtsschutzgegen Entscheidungen

der oder des Bundesbeauftragtenoder bei deren oder dessen Untätigkeit

(1) Jede natürliche oder juristische Person kann un-beschadet anderer Rechtsbehelfe gerichtlich gegeneine verbindliche Entscheidung der oder des Bundes-beauftragten vorgehen.

(2) Absatz 1 gilt entsprechend zugunsten betroffenerPersonen, wenn sich die oder der Bundesbeauftragtemit einer Beschwerde nach § 60 nicht befasst oderdie betroffene Person nicht innerhalb von drei Monatennach Einlegung der Beschwerde über den Stand oderdas Ergebnis der Beschwerde in Kenntnis gesetzt hat.

Kapitel 4

Pflichten derVerantwortlichen und Auftragsverarbeiter

§ 62

Auftragsverarbeitung

(1) Werden personenbezogene Daten im Auftrageines Verantwortlichen durch andere Personen oderStellen verarbeitet, hat der Verantwortliche für die Ein-haltung der Vorschriften dieses Gesetzes und andererVorschriften über den Datenschutz zu sorgen. DieRechte der betroffenen Personen auf Auskunft, Berich-tigung, Löschung, Einschränkung der Verarbeitung undSchadensersatz sind in diesem Fall gegenüber demVerantwortlichen geltend zu machen.

(2) Ein Verantwortlicher darf nur solche Auftragsver-arbeiter mit der Verarbeitung personenbezogener Datenbeauftragen, die mit geeigneten technischen und orga-nisatorischen Maßnahmen sicherstellen, dass die Ver-arbeitung im Einklang mit den gesetzlichen Anforderun-gen erfolgt und der Schutz der Rechte der betroffenenPersonen gewährleistet wird.

(3) Auftragsverarbeiter dürfen ohne vorherige schrift-liche Genehmigung des Verantwortlichen keine weite-ren Auftragsverarbeiter hinzuziehen. Hat der Verant-wortliche dem Auftragsverarbeiter eine allgemeine Ge-nehmigung zur Hinzuziehung weiterer Auftragsverarbei-

ter erteilt, hat der Auftragsverarbeiter den Verantwort-lichen über jede beabsichtigte Hinzuziehung oder Er-setzung zu informieren. Der Verantwortliche kann indiesem Fall die Hinzuziehung oder Ersetzung unter-sagen.

(4) Zieht ein Auftragsverarbeiter einen weiteren Auf-tragsverarbeiter hinzu, so hat er diesem dieselben Ver-pflichtungen aus seinem Vertrag mit dem Verantwort-lichen nach Absatz 5 aufzuerlegen, die auch für ihngelten, soweit diese Pflichten für den weiteren Auf-tragsverarbeiter nicht schon aufgrund anderer Vor-schriften verbindlich sind. Erfüllt ein weiterer Auftrags-verarbeiter diese Verpflichtungen nicht, so haftet derihn beauftragende Auftragsverarbeiter gegenüber demVerantwortlichen für die Einhaltung der Pflichten desweiteren Auftragsverarbeiters.

(5) Die Verarbeitung durch einen Auftragsverarbeiterhat auf der Grundlage eines Vertrags oder eines ande-ren Rechtsinstruments zu erfolgen, der oder das denAuftragsverarbeiter an den Verantwortlichen bindetund der oder das den Gegenstand, die Dauer, die Artund den Zweck der Verarbeitung, die Art der personen-bezogenen Daten, die Kategorien betroffener Personenund die Rechte und Pflichten des Verantwortlichen fest-legt. Der Vertrag oder das andere Rechtsinstrumenthaben insbesondere vorzusehen, dass der Auftragsver-arbeiter

1. nur auf dokumentierte Weisung des Verantwort-lichen handelt; ist der Auftragsverarbeiter der Auf-fassung, dass eine Weisung rechtswidrig ist, hat erden Verantwortlichen unverzüglich zu informieren;

2. gewährleistet, dass die zur Verarbeitung der perso-nenbezogenen Daten befugten Personen zur Ver-traulichkeit verpflichtet werden, soweit sie keiner an-gemessenen gesetzlichen Verschwiegenheitspflichtunterliegen;

3. den Verantwortlichen mit geeigneten Mitteln dabeiunterstützt, die Einhaltung der Bestimmungen überdie Rechte der betroffenen Person zu gewährleisten;

4. alle personenbezogenen Daten nach Abschluss derErbringung der Verarbeitungsleistungen nach Wahldes Verantwortlichen zurückgibt oder löscht und be-stehende Kopien vernichtet, wenn nicht nach einerRechtsvorschrift eine Verpflichtung zur Speicherungder Daten besteht;

5. dem Verantwortlichen alle erforderlichen Informatio-nen, insbesondere die gemäß § 76 erstellten Proto-kolle, zum Nachweis der Einhaltung seiner Pflichtenzur Verfügung stellt;

6. Überprüfungen, die von dem Verantwortlichen odereinem von diesem beauftragten Prüfer durchgeführtwerden, ermöglicht und dazu beiträgt;

7. die in den Absätzen 3 und 4 aufgeführten Bedingun-gen für die Inanspruchnahme der Dienste eines wei-teren Auftragsverarbeiters einhält;

8. alle gemäß § 64 erforderlichen Maßnahmen ergreiftund

9. unter Berücksichtigung der Art der Verarbeitung undder ihm zur Verfügung stehenden Informationen denVerantwortlichen bei der Einhaltung der in den §§ 64bis 67 und § 69 genannten Pflichten unterstützt.



(6) Der Vertrag im Sinne des Absatzes 5 ist schrift-lich oder elektronisch abzufassen.

(7) Ein Auftragsverarbeiter, der die Zwecke undMittel der Verarbeitung unter Verstoß gegen diese Vor-schrift bestimmt, gilt in Bezug auf diese Verarbeitungals Verantwortlicher.

§ 63

Gemeinsam Verantwortliche

Legen zwei oder mehr Verantwortliche gemeinsamdie Zwecke und die Mittel der Verarbeitung fest, geltensie als gemeinsam Verantwortliche. Gemeinsam Verant-wortliche haben ihre jeweiligen Aufgaben und daten-schutzrechtlichen Verantwortlichkeiten in transparenterForm in einer Vereinbarung festzulegen, soweit diesenicht bereits in Rechtsvorschriften festgelegt sind. Ausder Vereinbarung muss insbesondere hervorgehen, werwelchen Informationspflichten nachzukommen hat undwie und gegenüber wem betroffene Personen ihreRechte wahrnehmen können. Eine entsprechende Ver-einbarung hindert die betroffene Person nicht, ihreRechte gegenüber jedem der gemeinsam Verantwort-lichen geltend zu machen.

§ 64

Anforderungen an dieSicherheit der Datenverarbeitung

(1) Der Verantwortliche und der Auftragsverarbeiterhaben unter Berücksichtigung des Stands der Technik,der Implementierungskosten, der Art, des Umfangs, derUmstände und der Zwecke der Verarbeitung sowie derEintrittswahrscheinlichkeit und der Schwere der mit derVerarbeitung verbundenen Gefahren für die Rechts-güter der betroffenen Personen die erforderlichen tech-nischen und organisatorischen Maßnahmen zu treffen,um bei der Verarbeitung personenbezogener Daten eindem Risiko angemessenes Schutzniveau zu gewähr-leisten, insbesondere im Hinblick auf die Verarbeitungbesonderer Kategorien personenbezogener Daten. DerVerantwortliche hat hierbei die einschlägigen Techni-schen Richtlinien und Empfehlungen des Bundesamtesfür Sicherheit in der Informationstechnik zu berücksich-tigen.

(2) Die in Absatz 1 genannten Maßnahmen könnenunter anderem die Pseudonymisierung und Verschlüs-selung personenbezogener Daten umfassen, soweitsolche Mittel in Anbetracht der Verarbeitungszweckemöglich sind. Die Maßnahmen nach Absatz 1 sollendazu führen, dass

1. die Vertraulichkeit, Integrität, Verfügbarkeit und Be-lastbarkeit der Systeme und Dienste im Zusammen-hang mit der Verarbeitung auf Dauer sichergestelltwerden und

2. die Verfügbarkeit der personenbezogenen Datenund der Zugang zu ihnen bei einem physischen odertechnischen Zwischenfall rasch wiederhergestelltwerden können.

(3) Im Fall einer automatisierten Verarbeitung habender Verantwortliche und der Auftragsverarbeiter nacheiner Risikobewertung Maßnahmen zu ergreifen, dieFolgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen,mit denen die Verarbeitung durchgeführt wird, fürUnbefugte (Zugangskontrolle),

2. Verhinderung des unbefugten Lesens, Kopierens,Veränderns oder Löschens von Datenträgern (Da-tenträgerkontrolle),

3. Verhinderung der unbefugten Eingabe von perso-nenbezogenen Daten sowie der unbefugten Kennt-nisnahme, Veränderung und Löschung von gespei-cherten personenbezogenen Daten (Speicherkon-trolle),

4. Verhinderung der Nutzung automatisierter Verar-beitungssysteme mit Hilfe von Einrichtungen zurDatenübertragung durch Unbefugte (Benutzerkon-trolle),

5. Gewährleistung, dass die zur Benutzung einesautomatisierten Verarbeitungssystems Berechtig-ten ausschließlich zu den von ihrer Zugangsberech-tigung umfassten personenbezogenen Daten Zu-gang haben (Zugriffskontrolle),

6. Gewährleistung, dass überprüft und festgestelltwerden kann, an welche Stellen personenbezogeneDaten mit Hilfe von Einrichtungen zur Datenüber-tragung übermittelt oder zur Verfügung gestelltwurden oder werden können (Übertragungskon-trolle),

7. Gewährleistung, dass nachträglich überprüft undfestgestellt werden kann, welche personenbezoge-nen Daten zu welcher Zeit und von wem in auto-matisierte Verarbeitungssysteme eingegeben oderverändert worden sind (Eingabekontrolle),

8. Gewährleistung, dass bei der Übermittlung perso-nenbezogener Daten sowie beim Transport vonDatenträgern die Vertraulichkeit und Integrität derDaten geschützt werden (Transportkontrolle),

9. Gewährleistung, dass eingesetzte Systeme im Stö-rungsfall wiederhergestellt werden können (Wieder-herstellbarkeit),

10. Gewährleistung, dass alle Funktionen des Systemszur Verfügung stehen und auftretende Fehlfunk-tionen gemeldet werden (Zuverlässigkeit),

11. Gewährleistung, dass gespeicherte personenbezo-gene Daten nicht durch Fehlfunktionen des Sys-tems beschädigt werden können (Datenintegrität),

12. Gewährleistung, dass personenbezogene Daten,die im Auftrag verarbeitet werden, nur entspre-chend den Weisungen des Auftraggebers verarbei-tet werden können (Auftragskontrolle),

13. Gewährleistung, dass personenbezogene Datengegen Zerstörung oder Verlust geschützt sind (Ver-fügbarkeitskontrolle),

14. Gewährleistung, dass zu unterschiedlichen Zwe-cken erhobene personenbezogene Daten getrenntverarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbeson-dere durch die Verwendung von dem Stand der Technikentsprechenden Verschlüsselungsverfahren erreichtwerden.



§ 65

Meldung von Verletzungendes Schutzes personenbezogener

Daten an die oder den Bundesbeauftragten

(1) Der Verantwortliche hat eine Verletzung desSchutzes personenbezogener Daten unverzüglich undmöglichst innerhalb von 72 Stunden, nachdem sie ihmbekannt geworden ist, der oder dem Bundesbeauftrag-ten zu melden, es sei denn, dass die Verletzung voraus-sichtlich keine Gefahr für die Rechtsgüter natürlicherPersonen mit sich gebracht hat. Erfolgt die Meldungan die Bundesbeauftragte oder den Bundesbeauftrag-ten nicht innerhalb von 72 Stunden, so ist die Verzöge-rung zu begründen.

(2) Ein Auftragsverarbeiter hat eine Verletzung desSchutzes personenbezogener Daten unverzüglich demVerantwortlichen zu melden.

(3) Die Meldung nach Absatz 1 hat zumindest fol-gende Informationen zu enthalten:

1. eine Beschreibung der Art der Verletzung des Schut-zes personenbezogener Daten, die, soweit möglich,Angaben zu den Kategorien und der ungefähren An-zahl der betroffenen Personen, zu den betroffenenKategorien personenbezogener Daten und zu derungefähren Anzahl der betroffenen personenbezo-genen Datensätze zu enthalten hat,

2. den Namen und die Kontaktdaten der oder des Da-tenschutzbeauftragten oder einer sonstigen Per-son oder Stelle, die weitere Informationen erteilenkann,

3. eine Beschreibung der wahrscheinlichen Folgen derVerletzung und

4. eine Beschreibung der von dem Verantwortlichenergriffenen oder vorgeschlagenen Maßnahmen zurBehandlung der Verletzung und der getroffenenMaßnahmen zur Abmilderung ihrer möglichen nach-teiligen Auswirkungen.

(4) Wenn die Informationen nach Absatz 3 nicht zu-sammen mit der Meldung übermittelt werden können,hat der Verantwortliche sie unverzüglich nachzureichen,sobald sie ihm vorliegen.

(5) Der Verantwortliche hat Verletzungen des Schut-zes personenbezogener Daten zu dokumentieren. DieDokumentation hat alle mit den Vorfällen zusammen-hängenden Tatsachen, deren Auswirkungen und dieergriffenen Abhilfemaßnahmen zu umfassen.

(6) Soweit von einer Verletzung des Schutzes perso-nenbezogener Daten personenbezogene Daten betrof-fen sind, die von einem oder an einen Verantwortlichenin einem anderen Mitgliedstaat der Europäischen Unionübermittelt wurden, sind die in Absatz 3 genanntenInformationen dem dortigen Verantwortlichen unver-züglich zu übermitteln.

(7) § 42 Absatz 4 findet entsprechende Anwendung.

(8) Weitere Pflichten des Verantwortlichen zu Be-nachrichtigungen über Verletzungen des Schutzes per-sonenbezogener Daten bleiben unberührt.

§ 66

Benachrichtigungbetroffener Personen bei Verletzungendes Schutzes personenbezogener Daten

(1) Hat eine Verletzung des Schutzes personenbezo-gener Daten voraussichtlich eine erhebliche Gefahr fürRechtsgüter betroffener Personen zur Folge, so hat derVerantwortliche die betroffenen Personen unverzüglichüber den Vorfall zu benachrichtigen.

(2) Die Benachrichtigung nach Absatz 1 hat in klarerund einfacher Sprache die Art der Verletzung desSchutzes personenbezogener Daten zu beschreibenund zumindest die in § 65 Absatz 3 Nummer 2 bis 4genannten Informationen und Maßnahmen zu ent-halten.

(3) Von der Benachrichtigung nach Absatz 1 kannabgesehen werden, wenn

1. der Verantwortliche geeignete technische und orga-nisatorische Sicherheitsvorkehrungen getroffen hatund diese Vorkehrungen auf die von der Verletzungdes Schutzes personenbezogener Daten betroffe-nen Daten angewandt wurden; dies gilt insbeson-dere für Vorkehrungen wie Verschlüsselungen, durchdie die Daten für unbefugte Personen unzugänglichgemacht wurden;

2. der Verantwortliche durch im Anschluss an die Ver-letzung getroffene Maßnahmen sichergestellt hat,dass aller Wahrscheinlichkeit nach keine erheb-liche Gefahr im Sinne des Absatzes 1 mehr be-steht, oder

3. dies mit einem unverhältnismäßigen Aufwand ver-bunden wäre; in diesem Fall hat stattdessen eineöffentliche Bekanntmachung oder eine ähnlicheMaßnahme zu erfolgen, durch die die betroffenenPersonen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffenen Perso-nen über eine Verletzung des Schutzes personenbezo-gener Daten nicht benachrichtigt hat, kann die oder derBundesbeauftragte förmlich feststellen, dass ihrer oderseiner Auffassung nach die in Absatz 3 genanntenVoraussetzungen nicht erfüllt sind. Hierbei hat sie oderer die Wahrscheinlichkeit zu berücksichtigen, dass dieVerletzung eine erhebliche Gefahr im Sinne des Ab-satzes 1 zur Folge hat.

(5) Die Benachrichtigung der betroffenen Personennach Absatz 1 kann unter den in § 56 Absatz 2 genann-ten Voraussetzungen aufgeschoben, eingeschränktoder unterlassen werden, soweit nicht die Interessender betroffenen Person aufgrund der von der Verletzungausgehenden erheblichen Gefahr im Sinne des Ab-satzes 1 überwiegen.

(6) § 42 Absatz 4 findet entsprechende Anwendung.

§ 67

Durchführung einerDatenschutz-Folgenabschätzung

(1) Hat eine Form der Verarbeitung, insbesonderebei Verwendung neuer Technologien, aufgrund der Art,des Umfangs, der Umstände und der Zwecke der Ver-



arbeitung voraussichtlich eine erhebliche Gefahr für dieRechtsgüter betroffener Personen zur Folge, so hat derVerantwortliche vorab eine Abschätzung der Folgen dervorgesehenen Verarbeitungsvorgänge für die betroffe-nen Personen durchzuführen.

(2) Für die Untersuchung mehrerer ähnlicher Verar-beitungsvorgänge mit ähnlich hohem Gefahrenpotentialkann eine gemeinsame Datenschutz-Folgenabschät-zung vorgenommen werden.

(3) Der Verantwortliche hat die Datenschutzbeauf-tragte oder den Datenschutzbeauftragten an derDurchführung der Folgenabschätzung zu beteiligen.

(4) Die Folgenabschätzung hat den Rechten der vonder Verarbeitung betroffenen Personen Rechnung zutragen und zumindest Folgendes zu enthalten:

1. eine systematische Beschreibung der geplanten Ver-arbeitungsvorgänge und der Zwecke der Verarbei-tung,

2. eine Bewertung der Notwendigkeit und Verhältnis-mäßigkeit der Verarbeitungsvorgänge in Bezug aufderen Zweck,

3. eine Bewertung der Gefahren für die Rechtsgüter derbetroffenen Personen und

4. die Maßnahmen, mit denen bestehenden Gefahrenabgeholfen werden soll, einschließlich der Garan-tien, der Sicherheitsvorkehrungen und der Verfahren,durch die der Schutz personenbezogener Datensichergestellt und die Einhaltung der gesetzlichenVorgaben nachgewiesen werden sollen.

(5) Soweit erforderlich, hat der Verantwortliche eineÜberprüfung durchzuführen, ob die Verarbeitung denMaßgaben folgt, die sich aus der Folgenabschätzungergeben haben.

§ 68

Zusammenarbeit mitder oder dem Bundesbeauftragten

Der Verantwortliche hat mit der oder dem Bundes-beauftragten bei der Erfüllung ihrer oder seiner Aufga-ben zusammenzuarbeiten.

§ 69

Anhörung der oder des Bundesbeauftragten

(1) Der Verantwortliche hat vor der Inbetriebnahmevon neu anzulegenden Dateisystemen die Bundes-beauftragte oder den Bundesbeauftragten anzuhören,wenn

1. aus einer Datenschutz-Folgenabschätzung nach§ 67 hervorgeht, dass die Verarbeitung eine erheb-liche Gefahr für die Rechtsgüter der betroffenen Per-sonen zur Folge hätte, wenn der Verantwortlichekeine Abhilfemaßnahmen treffen würde, oder

2. die Form der Verarbeitung, insbesondere bei der Ver-wendung neuer Technologien, Mechanismen oderVerfahren, eine erhebliche Gefahr für die Rechts-güter der betroffenen Personen zur Folge hat.

Die oder der Bundesbeauftragte kann eine Liste derVerarbeitungsvorgänge erstellen, die der Pflicht zur An-hörung nach Satz 1 unterliegen.

(2) Der oder dem Bundesbeauftragten sind im Falldes Absatzes 1 vorzulegen:

1. die nach § 67 durchgeführte Datenschutz-Folgenab-schätzung,

2. gegebenenfalls Angaben zu den jeweiligen Zustän-digkeiten des Verantwortlichen, der gemeinsam Ver-antwortlichen und der an der Verarbeitung beteilig-ten Auftragsverarbeiter,

3. Angaben zu den Zwecken und Mitteln der beabsich-tigten Verarbeitung,

4. Angaben zu den zum Schutz der Rechtsgüter derbetroffenen Personen vorgesehenen Maßnahmenund Garantien und

5. Name und Kontaktdaten der oder des Datenschutz-beauftragten.

Auf Anforderung sind ihr oder ihm zudem alle sonstigenInformationen zu übermitteln, die sie oder er benötigt,um die Rechtmäßigkeit der Verarbeitung sowie insbe-sondere die in Bezug auf den Schutz der personenbe-zogenen Daten der betroffenen Personen bestehendenGefahren und die diesbezüglichen Garantien bewertenzu können.

(3) Falls die oder der Bundesbeauftragte der Auffas-sung ist, dass die geplante Verarbeitung gegen gesetz-liche Vorgaben verstoßen würde, insbesondere weil derVerantwortliche das Risiko nicht ausreichend ermitteltoder keine ausreichenden Abhilfemaßnahmen getroffenhat, kann sie oder er dem Verantwortlichen und gege-benenfalls dem Auftragsverarbeiter innerhalb einesZeitraums von sechs Wochen nach Einleitung der An-hörung schriftliche Empfehlungen unterbreiten, welcheMaßnahmen noch ergriffen werden sollten. Die oder derBundesbeauftragte kann diese Frist um einen Monatverlängern, wenn die geplante Verarbeitung besonderskomplex ist. Sie oder er hat in diesem Fall innerhalbeines Monats nach Einleitung der Anhörung den Ver-antwortlichen und gegebenenfalls den Auftragsverar-beiter über die Fristverlängerung zu informieren.

(4) Hat die beabsichtigte Verarbeitung erheblicheBedeutung für die Aufgabenerfüllung des Verantwort-lichen und ist sie daher besonders dringlich, kann ermit der Verarbeitung nach Beginn der Anhörung, abervor Ablauf der in Absatz 3 Satz 1 genannten Frist be-ginnen. In diesem Fall sind die Empfehlungen der oderdes Bundesbeauftragten im Nachhinein zu berück-sichtigen und sind die Art und Weise der Verarbeitungdaraufhin gegebenenfalls anzupassen.

§ 70

Verzeichnis von Verarbeitungstätigkeiten

(1) Der Verantwortliche hat ein Verzeichnis allerKategorien von Verarbeitungstätigkeiten zu führen, diein seine Zuständigkeit fallen. Dieses Verzeichnis hat diefolgenden Angaben zu enthalten:

1. den Namen und die Kontaktdaten des Verantwort-lichen und gegebenenfalls des gemeinsam mit ihmVerantwortlichen sowie den Namen und die Kontakt-daten der oder des Datenschutzbeauftragten,

2. die Zwecke der Verarbeitung,

3. die Kategorien von Empfängern, gegenüber denendie personenbezogenen Daten offengelegt wordensind oder noch offengelegt werden sollen,



4. eine Beschreibung der Kategorien betroffener Per-sonen und der Kategorien personenbezogenerDaten,

5. gegebenenfalls die Verwendung von Profiling,

6. gegebenenfalls die Kategorien von Übermittlungenpersonenbezogener Daten an Stellen in einem Dritt-staat oder an eine internationale Organisation,

7. Angaben über die Rechtsgrundlage der Verarbei-tung,

8. die vorgesehenen Fristen für die Löschung oder dieÜberprüfung der Erforderlichkeit der Speicherungder verschiedenen Kategorien personenbezogenerDaten und

9. eine allgemeine Beschreibung der technischen undorganisatorischen Maßnahmen gemäß § 64.

(2) Der Auftragsverarbeiter hat ein Verzeichnis allerKategorien von Verarbeitungen zu führen, die er im Auf-trag eines Verantwortlichen durchführt, das Folgendeszu enthalten hat:

1. den Namen und die Kontaktdaten des Auftragsver-arbeiters, jedes Verantwortlichen, in dessen Auftragder Auftragsverarbeiter tätig ist, sowie gegebenen-falls der oder des Datenschutzbeauftragten,

2. gegebenenfalls Übermittlungen von personenbezo-genen Daten an Stellen in einem Drittstaat oder aneine internationale Organisation unter Angabe desStaates oder der Organisation und

3. eine allgemeine Beschreibung der technischen undorganisatorischen Maßnahmen gemäß § 64.

(3) Die in den Absätzen 1 und 2 genannten Verzeich-nisse sind schriftlich oder elektronisch zu führen.

(4) Verantwortliche und Auftragsverarbeiter habenauf Anforderung ihre Verzeichnisse der oder demBundesbeauftragten zur Verfügung zu stellen.

§ 71

Datenschutz durch Technikgestaltungund datenschutzfreundliche Voreinstellungen

(1) Der Verantwortliche hat sowohl zum Zeitpunktder Festlegung der Mittel für die Verarbeitung als auchzum Zeitpunkt der Verarbeitung selbst angemesseneVorkehrungen zu treffen, die geeignet sind, die Daten-schutzgrundsätze wie etwa die Datensparsamkeit wirk-sam umzusetzen, und die sicherstellen, dass die ge-setzlichen Anforderungen eingehalten und die Rechteder betroffenen Personen geschützt werden. Er hathierbei den Stand der Technik, die Implementierungs-kosten und die Art, den Umfang, die Umstände und dieZwecke der Verarbeitung sowie die unterschiedlicheEintrittswahrscheinlichkeit und Schwere der mit derVerarbeitung verbundenen Gefahren für die Rechts-güter der betroffenen Personen zu berücksichtigen.Insbesondere sind die Verarbeitung personenbezoge-ner Daten und die Auswahl und Gestaltung von Daten-verarbeitungssystemen an dem Ziel auszurichten, sowenig personenbezogene Daten wie möglich zu verar-beiten. Personenbezogene Daten sind zum frühest-möglichen Zeitpunkt zu anonymisieren oder zu pseudo-nymisieren, soweit dies nach dem Verarbeitungszweckmöglich ist.

(2) Der Verantwortliche hat geeignete technischeund organisatorische Maßnahmen zu treffen, die sicher-

stellen, dass durch Voreinstellungen grundsätzlich nursolche personenbezogenen Daten verarbeitet werdenkönnen, deren Verarbeitung für den jeweiligen be-stimmten Verarbeitungszweck erforderlich ist. Dies be-trifft die Menge der erhobenen Daten, den Umfang ihrerVerarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.Die Maßnahmen müssen insbesondere gewährleisten,dass die Daten durch Voreinstellungen nicht automati-siert einer unbestimmten Anzahl von Personen zugäng-lich gemacht werden können.

§ 72

Unterscheidung zwischenverschiedenen Kategorien betroffener Personen

Der Verantwortliche hat bei der Verarbeitung perso-nenbezogener Daten so weit wie möglich zwischenden verschiedenen Kategorien betroffener Personenzu unterscheiden. Dies betrifft insbesondere folgendeKategorien:

1. Personen, gegen die ein begründeter Verdacht be-steht, dass sie eine Straftat begangen haben,

2. Personen, gegen die ein begründeter Verdacht be-steht, dass sie in naher Zukunft eine Straftat bege-hen werden,

3. verurteilte Straftäter,

4. Opfer einer Straftat oder Personen, bei denen be-stimmte Tatsachen darauf hindeuten, dass sie Opfereiner Straftat sein könnten, und

5. andere Personen wie insbesondere Zeugen, Hin-weisgeber oder Personen, die mit den in den Num-mern 1 bis 4 genannten Personen in Kontakt oderVerbindung stehen.

§ 73

Unterscheidung zwischenTatsachen und persönlichen Einschätzungen

Der Verantwortliche hat bei der Verarbeitung so weitwie möglich danach zu unterscheiden, ob personenbe-zogene Daten auf Tatsachen oder auf persönlichen Ein-schätzungen beruhen. Zu diesem Zweck soll er, soweitdies im Rahmen der jeweiligen Verarbeitung möglichund angemessen ist, Beurteilungen, die auf persön-lichen Einschätzungen beruhen, als solche kenntlichmachen. Es muss außerdem feststellbar sein, welcheStelle die Unterlagen führt, die der auf einer persön-lichen Einschätzung beruhenden Beurteilung zugrundeliegen.

§ 74

Verfahren bei Übermittlungen

(1) Der Verantwortliche hat angemessene Maßnah-men zu ergreifen, um zu gewährleisten, dass personen-bezogene Daten, die unrichtig oder nicht mehr aktuellsind, nicht übermittelt oder sonst zur Verfügung gestelltwerden. Zu diesem Zweck hat er, soweit dies mit ange-messenem Aufwand möglich ist, die Qualität der Datenvor ihrer Übermittlung oder Bereitstellung zu überprü-fen. Bei jeder Übermittlung personenbezogener Datenhat er zudem, soweit dies möglich und angemessenist, Informationen beizufügen, die es dem Empfängergestatten, die Richtigkeit, die Vollständigkeit und dieZuverlässigkeit der Daten sowie deren Aktualität zu be-urteilen.



(2) Gelten für die Verarbeitung von personenbezoge-nen Daten besondere Bedingungen, so hat bei Daten-übermittlungen die übermittelnde Stelle den Empfängerauf diese Bedingungen und die Pflicht zu ihrer Beach-tung hinzuweisen. Die Hinweispflicht kann dadurch er-füllt werden, dass die Daten entsprechend markiertwerden.

(3) Die übermittelnde Stelle darf auf Empfänger inanderen Mitgliedstaaten der Europäischen Union undauf Einrichtungen und sonstige Stellen, die nach denKapiteln 4 und 5 des Titels V des Dritten Teils des Ver-trags über die Arbeitsweise der Europäischen Unionerrichtet wurden, keine Bedingungen anwenden, dienicht auch für entsprechende innerstaatliche Daten-übermittlungen gelten.

§ 75

Berichtigung undLöschung personenbezogener

Daten sowie Einschränkung der Verarbeitung

(1) Der Verantwortliche hat personenbezogene Da-ten zu berichtigen, wenn sie unrichtig sind.

(2) Der Verantwortliche hat personenbezogene Da-ten unverzüglich zu löschen, wenn ihre Verarbeitungunzulässig ist, sie zur Erfüllung einer rechtlichen Ver-pflichtung gelöscht werden müssen oder ihre Kenntnisfür seine Aufgabenerfüllung nicht mehr erforderlich ist.

(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwen-den. Sind unrichtige personenbezogene Daten oderpersonenbezogene Daten unrechtmäßig übermitteltworden, ist auch dies dem Empfänger mitzuteilen.

(4) Unbeschadet in Rechtsvorschriften festgesetzterHöchstspeicher- oder Löschfristen hat der Verantwort-liche für die Löschung von personenbezogenen Datenoder eine regelmäßige Überprüfung der Notwendigkeitihrer Speicherung angemessene Fristen vorzusehenund durch verfahrensrechtliche Vorkehrungen sicherzu-stellen, dass diese Fristen eingehalten werden.

§ 76

Protokollierung

(1) In automatisierten Verarbeitungssystemen habenVerantwortliche und Auftragsverarbeiter mindestens diefolgenden Verarbeitungsvorgänge zu protokollieren:

1. Erhebung,

2. Veränderung,

3. Abfrage,

4. Offenlegung einschließlich Übermittlung,

5. Kombination und

6. Löschung.

(2) Die Protokolle über Abfragen und Offenlegungenmüssen es ermöglichen, die Begründung, das Datumund die Uhrzeit dieser Vorgänge und so weit wie mög-lich die Identität der Person, die die personenbezoge-nen Daten abgefragt oder offengelegt hat, und die Iden-tität des Empfängers der Daten festzustellen.

(3) Die Protokolle dürfen ausschließlich für die Über-prüfung der Rechtmäßigkeit der Datenverarbeitungdurch die Datenschutzbeauftragte oder den Daten-schutzbeauftragten, die Bundesbeauftragte oder denBundesbeauftragten und die betroffene Person sowie

für die Eigenüberwachung, für die Gewährleistung derIntegrität und Sicherheit der personenbezogenen Datenund für Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf derenGenerierung folgenden Jahres zu löschen.

(5) Der Verantwortliche und der Auftragsverarbeiterhaben die Protokolle der oder dem Bundesbeauftragtenauf Anforderung zur Verfügung zu stellen.

§ 77

Vertrauliche Meldung von Verstößen

Der Verantwortliche hat zu ermöglichen, dass ihmvertrauliche Meldungen über in seinem Verantwor-tungsbereich erfolgende Verstöße gegen Datenschutz-vorschriften zugeleitet werden können.

Kapitel 5

Datenübermittlungen anDrittstaaten und an internationale Organisationen

§ 78

Allgemeine Voraussetzungen

(1) Die Übermittlung personenbezogener Daten anStellen in Drittstaaten oder an internationale Organisa-tionen ist bei Vorliegen der übrigen für Datenübermitt-lungen geltenden Voraussetzungen zulässig, wenn

1. die Stelle oder internationale Organisation für die in§ 45 genannten Zwecke zuständig ist und

2. die Europäische Kommission gemäß Artikel 36 Ab-satz 3 der Richtlinie (EU) 2016/680 einen Angemes-senheitsbeschluss gefasst hat.

(2) Die Übermittlung personenbezogener Daten hattrotz des Vorliegens eines Angemessenheitsbeschlus-ses im Sinne des Absatzes 1 Nummer 2 und des zuberücksichtigenden öffentlichen Interesses an der Da-tenübermittlung zu unterbleiben, wenn im Einzelfall eindatenschutzrechtlich angemessener und die elementa-ren Menschenrechte wahrender Umgang mit den Datenbeim Empfänger nicht hinreichend gesichert ist odersonst überwiegende schutzwürdige Interessen einerbetroffenen Person entgegenstehen. Bei seiner Beurtei-lung hat der Verantwortliche maßgeblich zu berücksich-tigen, ob der Empfänger im Einzelfall einen angemes-senen Schutz der übermittelten Daten garantiert.

(3) Wenn personenbezogene Daten, die aus einemanderen Mitgliedstaat der Europäischen Union übermit-telt oder zur Verfügung gestellt wurden, nach Absatz 1übermittelt werden sollen, muss diese Übermittlung zu-vor von der zuständigen Stelle des anderen Mitglied-staats genehmigt werden. Übermittlungen ohne vorhe-rige Genehmigung sind nur dann zulässig, wenn dieÜbermittlung erforderlich ist, um eine unmittelbare undernsthafte Gefahr für die öffentliche Sicherheit einesStaates oder für die wesentlichen Interessen einesMitgliedstaats abzuwehren, und die vorherige Geneh-migung nicht rechtzeitig eingeholt werden kann. Im Falldes Satzes 2 ist die Stelle des anderen Mitgliedstaats,die für die Erteilung der Genehmigung zuständig ge-wesen wäre, unverzüglich über die Übermittlung zuunterrichten.



(4) Der Verantwortliche, der Daten nach Absatz 1übermittelt, hat durch geeignete Maßnahmen sicherzu-stellen, dass der Empfänger die übermittelten Daten nurdann an andere Drittstaaten oder andere internationaleOrganisationen weiterübermittelt, wenn der Verantwort-liche diese Übermittlung zuvor genehmigt hat. Bei derEntscheidung über die Erteilung der Genehmigung hatder Verantwortliche alle maßgeblichen Faktoren zu be-rücksichtigen, insbesondere die Schwere der Straftat,den Zweck der ursprünglichen Übermittlung und dasin dem Drittstaat oder der internationalen Organisation,an das oder an die die Daten weiterübermittelt werdensollen, bestehende Schutzniveau für personenbezo-gene Daten. Eine Genehmigung darf nur dann erfolgen,wenn auch eine direkte Übermittlung an den anderenDrittstaat oder die andere internationale Organisationzulässig wäre. Die Zuständigkeit für die Erteilung derGenehmigung kann auch abweichend geregelt werden.

§ 79

Datenübermittlung bei geeigneten Garantien

(1) Liegt entgegen § 78 Absatz 1 Nummer 2 keinBeschluss nach Artikel 36 Absatz 3 der Richtlinie (EU)2016/680 vor, ist eine Übermittlung bei Vorliegen derübrigen Voraussetzungen des § 78 auch dann zulässig,wenn

1. in einem rechtsverbindlichen Instrument geeigneteGarantien für den Schutz personenbezogener Datenvorgesehen sind oder

2. der Verantwortliche nach Beurteilung aller Umstän-de, die bei der Übermittlung eine Rolle spielen, zuder Auffassung gelangt ist, dass geeignete Garan-tien für den Schutz personenbezogener Daten be-stehen.

(2) Der Verantwortliche hat Übermittlungen nach Ab-satz 1 Nummer 2 zu dokumentieren. Die Dokumenta-tion hat den Zeitpunkt der Übermittlung, die Identitätdes Empfängers, den Grund der Übermittlung und dieübermittelten personenbezogenen Daten zu enthalten.Sie ist der oder dem Bundesbeauftragten auf Anforde-rung zur Verfügung zu stellen.

(3) Der Verantwortliche hat die Bundesbeauftragteoder den Bundesbeauftragten zumindest jährlich überÜbermittlungen zu unterrichten, die aufgrund einer Be-urteilung nach Absatz 1 Nummer 2 erfolgt sind. In derUnterrichtung kann er die Empfänger und die Übermitt-lungszwecke angemessen kategorisieren.

§ 80

Datenübermittlung ohne geeignete Garantien

(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Be-schluss nach Artikel 36 Absatz 3 der Richtlinie (EU)2016/680 vor und liegen auch keine geeigneten Garan-tien im Sinne des § 79 Absatz 1 vor, ist eine Übermitt-lung bei Vorliegen der übrigen Voraussetzungen des§ 78 auch dann zulässig, wenn die Übermittlung erfor-derlich ist

1. zum Schutz lebenswichtiger Interessen einer natür-lichen Person,

2. zur Wahrung berechtigter Interessen der betroffenenPerson,

3. zur Abwehr einer gegenwärtigen und erheblichenGefahr für die öffentliche Sicherheit eines Staates,

4. im Einzelfall für die in § 45 genannten Zwecke oder

5. im Einzelfall zur Geltendmachung, Ausübung oderVerteidigung von Rechtsansprüchen im Zusammen-hang mit den in § 45 genannten Zwecken.

(2) Der Verantwortliche hat von einer Übermittlungnach Absatz 1 abzusehen, wenn die Grundrechte derbetroffenen Person das öffentliche Interesse an derÜbermittlung überwiegen.

(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-satz 2 entsprechend.

§ 81

Sonstige Datenübermittlungan Empfänger in Drittstaaten

(1) Verantwortliche können bei Vorliegen der übrigenfür die Datenübermittlung in Drittstaaten geltendenVoraussetzungen im besonderen Einzelfall personenbe-zogene Daten unmittelbar an nicht in § 78 Absatz 1Nummer 1 genannte Stellen in Drittstaaten übermitteln,wenn die Übermittlung für die Erfüllung ihrer Aufgabenunbedingt erforderlich ist und

1. im konkreten Fall keine Grundrechte der betroffenenPerson das öffentliche Interesse an einer Übermitt-lung überwiegen,

2. die Übermittlung an die in § 78 Absatz 1 Nummer 1genannten Stellen wirkungslos oder ungeeignetwäre, insbesondere weil sie nicht rechtzeitig durch-geführt werden kann, und

3. der Verantwortliche dem Empfänger die Zwecke derVerarbeitung mitteilt und ihn darauf hinweist, dassdie übermittelten Daten nur in dem Umfang verarbei-tet werden dürfen, in dem ihre Verarbeitung für dieseZwecke erforderlich ist.

(2) Im Fall des Absatzes 1 hat der Verantwortlichedie in § 78 Absatz 1 Nummer 1 genannten Stellen un-verzüglich über die Übermittlung zu unterrichten, soferndies nicht wirkungslos oder ungeeignet ist.

(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-satz 2 und 3 entsprechend.

(4) Bei Übermittlungen nach Absatz 1 hat der Ver-antwortliche den Empfänger zu verpflichten, die über-mittelten personenbezogenen Daten ohne seine Zu-stimmung nur für den Zweck zu verarbeiten, für densie übermittelt worden sind.

(5) Abkommen im Bereich der justiziellen Zusam-menarbeit in Strafsachen und der polizeilichen Zusam-menarbeit bleiben unberührt.

Kapitel 6

Zusammenarbeit der Aufsichtsbehörden

§ 82

Gegenseitige Amtshilfe

(1) Die oder der Bundesbeauftragte hat den Daten-schutzaufsichtsbehörden in anderen Mitgliedstaatender Europäischen Union Informationen zu übermittelnund Amtshilfe zu leisten, soweit dies für eine einheitli-che Umsetzung und Anwendung der Richtlinie (EU)2016/680 erforderlich ist. Die Amtshilfe betrifft insbe-sondere Auskunftsersuchen und aufsichtsbezogeneMaßnahmen, beispielsweise Ersuchen um Konsultation



oder um Vornahme von Nachprüfungen und Untersu-chungen.

(2) Die oder der Bundesbeauftragte hat alle geeigne-ten Maßnahmen zu ergreifen, um Amtshilfeersuchenunverzüglich und spätestens innerhalb eines Monatsnach deren Eingang nachzukommen.

(3) Die oder der Bundesbeauftragte darf Amtshilfe-ersuchen nur ablehnen, wenn

1. sie oder er für den Gegenstand des Ersuchens oderfür die Maßnahmen, die sie oder er durchführen soll,nicht zuständig ist oder

2. ein Eingehen auf das Ersuchen gegen Rechtsvor-schriften verstoßen würde.

(4) Die oder der Bundesbeauftragte hat die ersu-chende Aufsichtsbehörde des anderen Staates überdie Ergebnisse oder gegebenenfalls über den Fortgangder Maßnahmen zu informieren, die getroffen wurden,um dem Amtshilfeersuchen nachzukommen. Sie oderer hat im Fall des Absatzes 3 die Gründe für die Ableh-nung des Ersuchens zu erläutern.

(5) Die oder der Bundesbeauftragte hat die Informa-tionen, um die sie oder er von der Aufsichtsbehördedes anderen Staates ersucht wurde, in der Regel elek-tronisch und in einem standardisierten Format zu über-mitteln.

(6) Die oder der Bundesbeauftragte hat Amtshilfe-ersuchen kostenfrei zu erledigen, soweit sie oder ernicht im Einzelfall mit der Aufsichtsbehörde des ande-ren Staates die Erstattung entstandener Ausgaben ver-einbart hat.

(7) Ein Amtshilfeersuchen der oder des Bundesbe-auftragten hat alle erforderlichen Informationen zu ent-halten; hierzu gehören insbesondere der Zweck und dieBegründung des Ersuchens. Die auf das Ersuchenübermittelten Informationen dürfen ausschließlich zudem Zweck verwendet werden, zu dem sie angefordertwurden.

Kapitel 7

Haftung und Sanktionen

§ 83

Schadensersatz und Entschädigung

(1) Hat ein Verantwortlicher einer betroffenen Persondurch eine Verarbeitung personenbezogener Daten, dienach diesem Gesetz oder nach anderen auf ihre Verar-beitung anwendbaren Vorschriften rechtswidrig war,einen Schaden zugefügt, ist er oder sein Rechtsträgerder betroffenen Person zum Schadensersatz verpflich-tet. Die Ersatzpflicht entfällt, soweit bei einer nichtautomatisierten Verarbeitung der Schaden nicht aufein Verschulden des Verantwortlichen zurückzuführenist.

(2) Wegen eines Schadens, der nicht Vermögens-schaden ist, kann die betroffene Person eine angemes-sene Entschädigung in Geld verlangen.

(3) Lässt sich bei einer automatisierten Verarbeitungpersonenbezogener Daten nicht ermitteln, welche vonmehreren beteiligten Verantwortlichen den Schadenverursacht hat, so haftet jeder Verantwortliche bezie-hungsweise sein Rechtsträger.

(4) Hat bei der Entstehung des Schadens ein Ver-schulden der betroffenen Person mitgewirkt, ist § 254des Bürgerlichen Gesetzbuchs entsprechend anzu-wenden.

(5) Auf die Verjährung finden die für unerlaubteHandlungen geltenden Verjährungsvorschriften desBürgerlichen Gesetzbuchs entsprechende Anwendung.

§ 84

Strafvorschriften

Für Verarbeitungen personenbezogener Daten durchöffentliche Stellen im Rahmen von Tätigkeiten nach§ 45 Satz 1, 3 oder 4 findet § 42 entsprechende An-wendung.

Te i l 4

B e s o n d e r eB e s t i mm u n g e n f ü r

Ve r a r b e i t u n g e n i m R a hm e nv o n n i c h t i n d i e A n w e n d u n g s b e r e i c h e

d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9u n d d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0

f a l l e n d e n T ä t i g k e i t e n

§ 85

Verarbeitungpersonenbezogener Daten

im Rahmen von nicht in die Anwendungs-bereiche der Verordnung (EU) 2016/679 und

der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

(1) Die Übermittlung personenbezogener Daten aneinen Drittstaat oder an über- oder zwischenstaatlicheStellen oder internationale Organisationen im Rahmenvon nicht in die Anwendungsbereiche der Verordnung(EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen-den Tätigkeiten ist über die bereits gemäß der Verord-nung (EU) 2016/679 zulässigen Fälle hinaus auch dannzulässig, wenn sie zur Erfüllung eigener Aufgaben auszwingenden Gründen der Verteidigung oder zur Erfül-lung über- oder zwischenstaatlicher Verpflichtungeneiner öffentlichen Stelle des Bundes auf dem Gebietder Krisenbewältigung oder Konfliktverhinderung oderfür humanitäre Maßnahmen erforderlich ist. Der Emp-fänger ist darauf hinzuweisen, dass die übermitteltenDaten nur zu dem Zweck verwendet werden dürfen,zu dem sie übermittelt wurden.

(2) Für Verarbeitungen im Rahmen von nicht in dieAnwendungsbereiche der Verordnung (EU) 2016/679und der Richtlinie (EU) 2016/680 fallenden Tätigkeitendurch Dienststellen im Geschäftsbereich des Bundes-ministeriums der Verteidigung gilt § 16 Absatz 4 nicht,soweit das Bundesministerium der Verteidigung im Ein-zelfall feststellt, dass die Erfüllung der dort genanntenPflichten die Sicherheit des Bundes gefährden würde.

(3) Für Verarbeitungen im Rahmen von nicht in dieAnwendungsbereiche der Verordnung (EU) 2016/679und der Richtlinie (EU) 2016/680 fallenden Tätigkeitendurch öffentliche Stellen des Bundes besteht keineInformationspflicht gemäß Artikel 13 Absatz 1 und 2der Verordnung (EU) 2016/679, wenn

1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3handelt oder



2. durch ihre Erfüllung Informationen offenbart würden,die nach einer Rechtsvorschrift oder ihrem Wesennach, insbesondere wegen der überwiegenden be-rechtigten Interessen eines Dritten, geheim gehaltenwerden müssen, und deswegen das Interesse derbetroffenen Person an der Erteilung der Informationzurücktreten muss.

Ist die betroffene Person in den Fällen des Satzes 1nicht zu informieren, besteht auch kein Recht auf Aus-kunft. § 32 Absatz 2 und § 33 Absatz 2 finden keineAnwendung.

Artikel 2

Änderung desBundesverfassungsschutzgesetzes

Das Bundesverfassungsschutzgesetz vom 20. De-zember 1990 (BGBl. I S. 2954, 2970), das zuletzt durchArtikel 2 Absatz 1 des Gesetzes vom 16. Juni 2017(BGBl. I S. 1634) geändert worden ist, wird wie folgtgeändert:

1. § 6 wird wie folgt geändert:

a) In Absatz 2 Satz 4 wird das Wort „sperren“ durchdie Wörter „die Verarbeitung einschränken“ er-setzt.

b) In Absatz 3 Satz 1 wird die Angabe „nach § 9“durch die Angabe „entsprechend § 64“ ersetzt.

2. § 8 Absatz 1 Satz 1 wird wie folgt gefasst:

„Das Bundesamt für Verfassungsschutz darf die zurErfüllung seiner Aufgaben erforderlichen Informa-tionen einschließlich personenbezogener Datenverarbeiten, soweit nicht die anzuwendenden Be-stimmungen des Bundesdatenschutzgesetzes oderbesondere Regelungen in diesem Gesetz entge-genstehen; die Verarbeitung ist auch zulässig,wenn der Betroffene eingewilligt hat.“

3. In § 8b Absatz 2 Satz 4 werden die Wörter „Erhe-bung, Verarbeitung und Nutzung“ durch das Wort„Verarbeitung“ ersetzt.


a) In der Überschrift wird das Wort „Sperrung“durch das Wort „Verarbeitungseinschränkung“ersetzt.

b) Absatz 2 Satz 3 wird wie folgt gefasst:

„In diesem Falle ist die Verarbeitung einzu-schränken.“


a) Absatz 2 wird wie folgt gefasst:

„(2) Das Bundesamt für Verfassungsschutzhat die Verarbeitung personenbezogener Dateneinzuschränken, wenn es im Einzelfall feststellt,dass ohne die Einschränkung schutzwürdige In-teressen des Betroffenen beeinträchtigt würdenund die Daten für seine künftige Aufgabenerfül-lung nicht mehr erforderlich sind. Verarbeitungs-eingeschränkte Daten sind mit einem entspre-chenden Vermerk zu versehen; sie dürfen nichtmehr genutzt oder übermittelt werden. Eine Auf-hebung der Einschränkung ist möglich, wennihre Voraussetzungen nachträglich entfallen.“

b) Absatz 3 Satz 5 und 6 wird wie folgt gefasst:

„In diesem Fall ist die Verarbeitung der in derAkte gespeicherten personenbezogenen Dateneinzuschränken und mit einem entsprechendenVermerk zu versehen. Sie dürfen nur für die Inte-ressen nach Satz 4 verarbeitet werden oderwenn es zur Abwehr einer erheblichen Gefahrunerlässlich ist.“

6. Dem § 14 Absatz 1 wird folgender Satz angefügt:

„Das Bundesamt für Verfassungsschutz führt einVerzeichnis der geltenden Dateianordnungen.“

7. § 22a wird wie folgt geändert:

a) In Absatz 5 wird das Wort „Sperrung“ durch dasWort „Verarbeitungseinschränkung“ ersetzt.

b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe„nach § 8“ durch die Angabe „entsprechend§ 83“ ersetzt.

8. § 22b Absatz 7 Satz 1 und 2 wird wie folgt gefasst:

„Das Bundesamt für Verfassungsschutz trifft für dieDateien die technischen und organisatorischenMaßnahmen entsprechend § 64 des Bundesdaten-schutzgesetzes. § 6 Absatz 3 Satz 2 bis 5 und§ 26a gelten nur für die vom Bundesamt für Verfas-sungsschutz eingegebenen Daten sowie dessenAbrufe.“

9. § 25 Satz 3 wird wie folgt gefasst:

„Die Vernichtung kann unterbleiben, wenn die Tren-nung von anderen Informationen, die zur Erfüllungder Aufgaben erforderlich sind, nicht oder nur mitunvertretbarem Aufwand möglich ist; in diesem Fallist die Verarbeitung der Daten einzuschränken.“

10. § 27 wird durch die folgenden §§ 26a und 27 er-setzt:

„§ 26a

Unabhängige Datenschutzkontrolle

(1) Jedermann kann sich an die Bundesbeauf-tragte oder den Bundesbeauftragten für den Daten-schutz und die Informationsfreiheit wenden, wenner der Ansicht ist, bei der Verarbeitung seiner per-sonenbezogenen Daten durch das Bundesamtfür Verfassungsschutz in seinen Rechten verletztworden zu sein.

(2) Die oder der Bundesbeauftragte für den Da-tenschutz und die Informationsfreiheit kontrolliertbeim Bundesamt für Verfassungsschutz die Einhal-tung der Vorschriften über den Datenschutz. Soweitdie Einhaltung von Vorschriften der Kontrolle durchdie G 10-Kommission unterliegt, unterliegt sie nichtder Kontrolle durch die Bundesbeauftragte oderden Bundesbeauftragten für den Datenschutz unddie Informationsfreiheit, es sei denn, die G 10-Kom-mission ersucht die Bundesbeauftragte oder denBundesbeauftragten für den Datenschutz und dieInformationsfreiheit, die Einhaltung der Vorschriftenüber den Datenschutz bei bestimmten Vorgängenoder in bestimmten Bereichen zu kontrollieren undausschließlich ihr darüber zu berichten.

(3) Das Bundesamt für Verfassungsschutz istverpflichtet, die Bundesbeauftragte oder den Bun-desbeauftragten für den Datenschutz und die Infor-mationsfreiheit und ihre oder seine schriftlich be-



sonders Beauftragten bei der Erfüllung ihrer oderseiner Aufgaben zu unterstützen. Den in Satz 1 ge-nannten Personen ist dabei insbesondere

1. Auskunft zu ihren Fragen sowie Einsicht in alleUnterlagen, insbesondere in die gespeichertenDaten und in die Datenverarbeitungsprogramme,zu gewähren, die im Zusammenhang mit derKontrolle nach Absatz 2 stehen,

2. jederzeit Zutritt in alle Diensträume zu gewähren.

Dies gilt nicht, soweit das Bundesministerium desInnern im Einzelfall feststellt, dass die Auskunftoder Einsicht die Sicherheit des Bundes oder einesLandes gefährden würde.

(4) Die Absätze 1 bis 3 gelten ohne Beschrän-kung auf die Erfüllung der Aufgaben nach § 3. Siegelten entsprechend für die Verarbeitung personen-bezogener Daten durch andere Stellen, wenn dieseder Erfüllung der Aufgaben von Verfassungsschutz-behörden nach § 3 dient. § 16 Absatz 1 und 4des Bundesdatenschutzgesetzes findet keine An-wendung.

§ 27

Anwendung des Bundesdatenschutzgesetzes

Bei der Erfüllung der Aufgaben nach § 3 durchdas Bundesamt für Verfassungsschutz findet dasBundesdatenschutzgesetz wie folgt Anwendung:

1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die§§ 17 bis 21 sowie § 85 finden keine Anwendung,

2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,62, 64, 83, 84 sind entsprechend anzuwenden.“

Artikel 3

Änderung desMAD-Gesetzes

Das MAD-Gesetz vom 20. Dezember 1990 (BGBl. IS. 2954, 2977), das zuletzt durch Artikel 6 des Gesetzesvom 27. März 2017 (BGBl. I S. 562) geändert wordenist, wird wie folgt geändert:

1. § 4 Absatz 1 wird wie folgt gefasst:

„(1) Der Militärische Abschirmdienst darf die zurErfüllung seiner Aufgaben erforderlichen Informatio-nen einschließlich personenbezogener Daten verar-beiten nach § 8 Absatz 2, 4 und 5 des Bundesver-fassungsschutzgesetzes, soweit nicht die anzuwen-denden Bestimmungen des Bundesdatenschutz-gesetzes oder besondere Regelungen in diesemGesetz entgegenstehen; die Verarbeitung ist auchzulässig, wenn der Betroffene eingewilligt hat. DerMilitärische Abschirmdienst ist nicht befugt, perso-nenbezogene Daten zur Erfüllung seiner Aufgabennach § 1 Absatz 2 zu erheben. § 8 Absatz 2 desBundesverfassungsschutzgesetzes findet mit derMaßgabe Anwendung, dass die Zustimmung zurDienstanweisung durch das Bundesministerium derVerteidigung erteilt wird.“

2. In § 6 Absatz 2 werden die Wörter „zu sperren“durch die Wörter „ihre Verarbeitung einzuschränken“ersetzt.

3. In § 10 Absatz 2 Satz 2 werden nach den Wörtern„frühere Namen,“ die Wörter „das Geburtsdatum,“eingefügt.

4. Nach § 12 wird folgender § 12a eingefügt:

„§ 12a


§ 26a des Bundesverfassungsschutzgesetzes istmit der Maßgabe entsprechend anzuwenden, dassan die Stelle des Bundesministeriums des Innerndas Bundesministerium der Verteidigung tritt.“

5. § 13 wird wie folgt gefasst:

„§ 13


Bei der Erfüllung der Aufgaben nach § 1 Absatz 1bis 3, den §§ 2 und 14 durch den Militärischen Ab-schirmdienst findet das Bundesdatenschutzgesetzwie folgt Anwendung:

1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die§§ 17 bis 21 sowie § 85 finden keine Anwendung,

2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,62, 64, 83, 84 sind entsprechend anzuwenden.“

Artikel 4

Änderung desBND-Gesetzes

Das BND-Gesetz vom 20. Dezember 1990 (BGBl. IS. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzesvom 10. März 2017 (BGBl. I S. 410) geändert wordenist, wird wie folgt geändert:

1. In § 1 Absatz 2 Satz 2 werden die Wörter „Erhe-bung, Verarbeitung und Nutzung“ durch das Wort„Verarbeitung“ ersetzt.

2. § 2 Absatz 1 wird wie folgt geändert:

a) Im Satzteil vor Nummer 1 werden die Wörter „er-heben, verarbeiten und nutzen“ durch das Wort„verarbeiten“ ersetzt.

b) Folgender Satz wird angefügt:

„Die Verarbeitung ist auch zulässig, wenn derBetroffene eingewilligt hat.“


a) In der Überschrift werden die Wörter „Erhebungund“ gestrichen.

b) In Absatz 1 Satz 1 werden die Wörter „erhebenund“ gestrichen.

4. In § 7 werden die Wörter „Verarbeitung und Nut-zung“ in der Überschrift durch die Wörter „WeitereVerarbeitung“ und in Absatz 1 durch die Wörter„weitere Verarbeitung“ ersetzt.

5. In § 10 Absatz 4 Satz 6 wird das Wort „gesperrt“durch die Wörter „in ihrer Verarbeitung einge-schränkt“ ersetzt.

6. In der Überschrift zu Abschnitt 3 wird das Wort„Datenverarbeitung“ durch das Wort „Datenweiter-verarbeitung“ ersetzt.


a) In der Überschrift wird das Wort „Sperrung“ durchdas Wort „Verarbeitungseinschränkung“ ersetzt.



b) In den Absätzen 1 und 2 Satz 1 werden jeweilsdie Wörter „zu sperren“ durch die Wörter „derenVerarbeitung einzuschränken“ ersetzt.


a) In Absatz 5 wird das Wort „Sperrung“ durch dasWort „Verarbeitungseinschränkung“ ersetzt.

b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe„§ 8“ durch die Angabe „§ 83“ ersetzt.

9. In § 27 Absatz 2 wird das Wort „Sperrung“ durchdas Wort „Verarbeitungseinschränkung“ ersetzt.

10. In § 28 Satz 2 Nummer 11 wird die Angabe „§ 8“durch die Angabe „§ 83“ ersetzt.

11. § 32 wird wie folgt gefasst:

„§ 32


§ 26a des Bundesverfassungsschutzgesetzes istmit der Maßgabe entsprechend anzuwenden, dassan die Stelle des Bundesministeriums des Innerndas Bundeskanzleramt tritt.“

12. Nach § 32 wird folgender § 32a eingefügt:

„§ 32a


Bei der Erfüllung der Aufgaben des Bundesnach-richtendienstes nach § 1 Absatz 2 ist das Bundes-datenschutzgesetz wie folgt anzuwenden:

1. von den Teilen 1 und 4 des Bundesdatenschutz-gesetzes

a) finden § 1 Absatz 8, die §§ 4, 16 Absatz 1und 4, die §§ 17 bis 21 sowie § 85 keine An-wendung,

b) findet § 14 Absatz 2 mit der Maßgabe Anwen-dung, dass sich die oder der Bundesbeauf-tragte für den Datenschutz und die Informa-tionsfreiheit nur an die Bundesregierung so-wie an die für die Kontrolle des Bundesnach-richtendienstes zuständigen Gremien (Parla-mentarisches Kontrollgremium, Vertrauens-gremium, G 10-Kommission, UnabhängigesGremium) wenden darf; eine Befassung derfür die Kontrolle des Bundesnachrichten-dienstes zuständigen Gremien setzt voraus,dass sie oder er der Bundesregierung ent-sprechend § 16 Absatz 2 Satz 1 des Bundes-datenschutzgesetzes zuvor Gelegenheit ge-geben hat, innerhalb einer von ihr oder ihmgesetzten Frist Stellung zu nehmen;

2. von Teil 3 des Bundesdatenschutzgesetzes sinddie §§ 46, 51 Absatz 1 bis 4 sowie die §§ 52bis 54, 62, 64, 83, 84 entsprechend anzuwen-den.“

Artikel 5

Änderung desSicherheitsüberprüfungsgesetzes

Das Sicherheitsüberprüfungsgesetz vom 20. April1994 (BGBl. I S. 867), das zuletzt durch Artikel 1 desGesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändertworden ist, wird wie folgt geändert:

1. Die Inhaltsübersicht wird wie folgt geändert:

a) Die Angabe zu § 31 wird wie folgt gefasst:

„§ 31 Datenverarbeitung in automatisierten Da-teien“.

b) Nach der Angabe zu § 36 wird folgende Angabeeingefügt:

„§ 36a Unabhängige Datenschutzkontrolle“.

2. In § 19 Absatz 2 Satz 5 werden die Wörter „verarbei-tet und genutzt“ durch die Wörter „gespeichert, ge-nutzt, verändert, übermittelt und gelöscht“ ersetzt.

3. In § 21 Absatz 5 Satz 1 werden die Wörter „verarbei-ten und nutzen“ durch die Wörter „speichern, nut-zen, verändern und übermitteln“ ersetzt.

4. In § 22 Absatz 3 Satz 3 werden die Wörter „verarbei-tet und genutzt“ durch die Wörter „genutzt, verän-dert, übermittelt und gelöscht“ ersetzt.

5. Die Überschrift von § 31 wird wie folgt gefasst:

„§ 31

Datenverarbeitung in automatisierten Dateien“.

6. § 36 wird durch die folgenden §§ 36 und 36a ersetzt:

„§ 36

Anwendung desBundesdatenschutzgesetzes,

Bundesverfassungsschutzgesetzes,MAD-Gesetzes und BND-Gesetzes

(1) Die Vorschriften des Bundesdatenschutzge-setzes finden wie folgt Anwendung:

1. § 1 Absatz 8, § 16 Absatz 1 und 4 und die §§ 17bis 21 sowie § 85 finden keine Anwendung,

2. die §§ 42, 46, 51 Absatz 1 und 3, die §§ 52, 53, 54Absatz 1 und 2 sowie die §§ 62, 64, 83 sind ent-sprechend anzuwenden.

(2) Die Vorschriften des Ersten Abschnitts und die§§ 14 und 23 Nummer 3 des Bundesverfassungs-schutzgesetzes auch in Verbindung mit § 12 desMAD-Gesetzes und § 31 des BND-Gesetzes sowiedie §§ 1, 8 und § 10 Absatz 2 Satz 2 bis 6 des MAD-Gesetzes und § 21 des BND-Gesetzes finden An-wendung.

§ 36a


(1) Jede Person kann sich an die Bundesbeauf-tragte oder den Bundesbeauftragten für den Daten-schutz und die Informationsfreiheit wenden, wennsie der Ansicht ist, bei der Verarbeitung ihrer perso-nenbezogenen Daten nach diesem Gesetz durchöffentliche oder nichtöffentliche Stellen in ihrenRechten verletzt worden zu sein.

(2) Die oder der Bundesbeauftragte für den Da-tenschutz und die Informationsfreiheit kontrolliertbei den öffentlichen und den nichtöffentlichen Stel-len die Einhaltung der anzuwendenden Vorschriftenüber den Datenschutz bei der Erfüllung der Aufga-ben dieses Gesetzes. Soweit die Einhaltung von Vor-schriften der Kontrolle durch die G 10-Kommissionunterliegt, unterliegt sie nicht der Kontrolle durch dieBundesbeauftragte oder den Bundesbeauftragtenfür den Datenschutz und die Informationsfreiheit, essei denn, die G 10-Kommission ersucht die Bundes-



beauftragte oder den Bundesbeauftragten für denDatenschutz und die Informationsfreiheit, sie bei be-stimmten Vorgängen oder in bestimmten Bereichenzu kontrollieren und ausschließlich ihr darüber zu be-richten. Der Kontrolle durch die Bundesbeauftragteoder den Bundesbeauftragten für den Datenschutzund die Informationsfreiheit unterliegen auch nichtpersonenbezogene Daten in Akten über die Sicher-heitsüberprüfung, wenn der Betroffene der Kontrolleder auf ihn bezogenen Daten im Einzelfall gegenüberder oder dem Bundesbeauftragten für den Daten-schutz und die Informationsfreiheit widerspricht.

(3) Die öffentlichen und nichtöffentlichen Stellensind verpflichtet, die Bundesbeauftragte oder denBundesbeauftragten für den Datenschutz und die In-formationsfreiheit und ihre oder seine schriftlich be-sonders Beauftragten bei der Erfüllung ihrer oderseiner Aufgaben zu unterstützen. Den in Satz 1 ge-nannten Personen ist dabei insbesondere

1. Auskunft zu ihren Fragen sowie Einsicht in alleUnterlagen, insbesondere in die gespeichertenDaten und in die Datenverarbeitungsprogramme,zu gewähren, die im Zusammenhang mit der Kon-trolle nach Absatz 2 stehen,

2. jederzeit Zutritt in alle Diensträume zu gewähren.

Dies gilt nicht, soweit die zuständige oberste Bun-desbehörde im Einzelfall feststellt, dass die Auskunftoder Einsicht die Sicherheit des Bundes oder einesLandes gefährden würde.“

Artikel 6

Änderung desArtikel 10-Gesetzes

Das Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. IS. 1254, 2298; 2017 I S. 154), das zuletzt durch Artikel 2Absatz 2 des Gesetzes vom 16. Juni 2017 (BGBl. IS. 1634) geändert worden ist, wird wie folgt geändert:


a) Absatz 1 Satz 7 wird wie folgt gefasst:

„In diesem Fall ist die Verarbeitung der Daten ein-zuschränken; sie dürfen nur zu diesen Zweckenverwendet werden.“

b) Absatz 4 wird wie folgt geändert:

aa) Nach dem Wort „dürfen“ werden die Wörter„an andere als die nach § 1 Absatz 1 Num-mer 1 berechtigten Stellen“ eingefügt.

bb) Folgender Satz wird angefügt:

„Bei der Übermittlung an ausländische öffent-liche Stellen sowie an über- und zwischen-staatliche Stellen ist daneben § 19 Absatz 3Satz 2 und 4 des Bundesverfassungsschutz-gesetzes anzuwenden.“

2. § 6 Absatz 1 Satz 7 wird wie folgt gefasst:

„In diesem Fall ist die Verarbeitung der Daten einzu-schränken; sie dürfen nur zu diesen Zwecken ver-wendet werden.“

3. In § 15 Absatz 5 Satz 2 werden die Wörter „Erhe-bung, Verarbeitung und Nutzung“ durch das Wort„Verarbeitung“ ersetzt.

4. In § 16 Satz 2 werden die Wörter „und Nutzung“gestrichen.

Artikel 7

Änderung desBundesdatenschutzgesetzes

Das Bundesdatenschutzgesetz in der Fassung derBekanntmachung vom 14. Januar 2003 (BGBl. I S. 66),das zuletzt durch Artikel 1 des Gesetzes vom 28. April2017 (BGBl. I S. 968) geändert worden ist, wird wiefolgt geändert:

1. In der Inhaltsübersicht wird nach der Angabe zu§ 42a folgende Angabe eingefügt:

„§ 42b Antrag der Aufsichtsbehörde auf gericht-liche Entscheidung bei angenommenerRechtswidrigkeit eines Beschlusses derEuropäischen Kommission“.

2. Nach § 22 Absatz 5 wird folgender Absatz 5a einge-fügt:

„(5a) Die oder der Bundesbeauftragte kann Auf-gaben der Personalverwaltung und Personalwirt-schaft auf andere Stellen des Bundes übertragen,soweit hierdurch die Unabhängigkeit der oderdes Bundesbeauftragten nicht beeinträchtigt wird.Diesen Stellen dürfen personenbezogene Daten derBeschäftigten übermittelt werden, soweit derenKenntnis zur Erfüllung der übertragenen Aufgabenerforderlich ist.“

3. Nach § 42a wird folgender § 42b eingefügt:

„§ 42b

Antrag derAufsichtsbehörde

auf gerichtliche Entscheidungbei angenommener Rechtswidrigkeit

eines Beschlusses der Europäischen Kommission

(1) Hält eine Aufsichtsbehörde einen Angemes-senheitsbeschluss der Europäischen Kommission,einen Beschluss über die Anerkennung von Stan-dardschutzklauseln oder über die Allgemeingültig-keit von genehmigten Verhaltensregeln, auf dessenGültigkeit es für eine Entscheidung der Aufsichtsbe-hörde ankommt, für rechtswidrig, so hat die Auf-sichtsbehörde ihr Verfahren auszusetzen und einenAntrag auf gerichtliche Entscheidung zu stellen.

(2) Für Verfahren nach Absatz 1 ist der Verwal-tungsrechtsweg gegeben. Die Verwaltungsgerichts-ordnung ist nach Maßgabe der Absätze 3 bis 6 an-zuwenden.

(3) Über einen Antrag der Aufsichtsbehörde nachAbsatz 1 entscheidet im ersten und letzten Rechts-zug das Bundesverwaltungsgericht.

(4) In Verfahren nach Absatz 1 ist die Aufsichts-behörde beteiligungsfähig. An einem Verfahren nachAbsatz 1 ist die Aufsichtsbehörde als Antragstellerinbeteiligt; § 63 Nummer 3 und 4 der Verwaltungsge-richtsordnung bleibt unberührt. Das Bundesverwal-tungsgericht kann der Europäischen KommissionGelegenheit zur Äußerung binnen einer zu bestim-menden Frist geben.

(5) Ist ein Verfahren zur Überprüfung der Gültig-keit eines Beschlusses der Europäischen Kommis-



sion nach Absatz 1 bei dem Gerichtshof der Euro-päischen Union anhängig, so kann das Bundesver-waltungsgericht anordnen, dass die Verhandlung biszur Erledigung des Verfahrens vor dem Gerichtshofder Europäischen Union auszusetzen sei.

(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5Satz 1 und Absatz 6 der Verwaltungsgerichtsord-nung entsprechend anzuwenden. Kommt das Bun-desverwaltungsgericht zu der Überzeugung, dassder Beschluss der Europäischen Kommission nachAbsatz 1 gültig ist, so stellt es dies in seiner Ent-scheidung fest. Andernfalls legt es die Frage nachder Gültigkeit des Beschlusses gemäß Artikel 267des Vertrags über die Arbeitsweise der Euro-

päischen Union dem Gerichtshof der EuropäischenUnion zur Entscheidung vor.“

Artikel 8

Inkrafttreten, Außerkrafttreten

(1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Bundes-datenschutzgesetz in der Fassung der Bekanntma-chung vom 14. Januar 2003 (BGBl. I S. 66), das zuletztdurch Artikel 7 dieses Gesetzes geändert worden ist,außer Kraft.

(2) Artikel 7 tritt am Tag nach der Verkündung inKraft.

Das vorstehende Gesetz wird hiermit ausgefertigt. Esist im Bundesgesetzblatt zu verkünden.

Berlin, den 30. Juni 2017

D e r B u n d e s p r ä s i d e n tS t e i n m e i e r

D i e B u n d e s k a n z l e r i nDr. A n g e l a M e r k e l

D e r B u n d e sm i n i s t e r d e s I n n e r nT h om a s d e M a i z i è r e

D e r B u n d e sm i n i s t e rd e r J u s t i z u n d f ü r Ve r b r a u c h e r s c h u t z

H e i k o M a a s

D e r B u n d e sm i n i s t e r f ü r G e s u n d h e i tH e r m a n n G r ö h e



Date post:	12-Aug-2020
Category:	Documents
Upload:	others
View:	2 times
Download:	0 times

Gesetz zur Anpassung des Datenschutzrechts an die ...Bundesdatenschutzgesetz (BDSG)...

Documents