• Inicio
• Lista de Correo
• Acerca de...

Revista Informática Jurídica

• Legislación
• Jurisprudencia
• Seminarios
• Máster y Post-Grado
• Trabajos
• Directorios Jurídicos
• Bibliografía
• Autores
• Colaboradores

Enlaces

• Alfa-Redi
• Derecho Informático
• Toda la Ley
• Grupo Web de Abogados
• Diego Sánchez Montenegro
• Derecho
• DerechoNet
• Rincón Legal
• Abogado Peru
• Dünedain
• MasQueAbogados
• Audea

Anexos

Thüringer Datenschutzgesetz

(ThürDSG) Vom 29. Oktober 1991

 

  Inhaltsübersicht

  Erster Abschnitt

  Allgemeine Bestimmungen

            1          Zweck des Gesetzes           

            2          Anwendungsbereich

            3          Begriffsbestimmungen

            4          Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

            5          Rechte des Betroffenen

            6          Datengeheimnis

            7          Automatisiertes Abrufverfahren

            8          Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

            9          Technische und organisatorische Maßnahmen

            10        Anlagen- und Verfahrensverzeichnis

Zweiter Abschnitt

Schutzrechte

            11        Anrufung des Landesbeauftragten für den Datenschutz

            12        Einsicht in das Datenschutzregister

            13        Auskunft an den Betroffenen

            14        Berichtigungsanspruch

            15        Anspruch auf Sperrung

            16        Anspruch auf Löschung

            17        Benachrichtigung bei regelmäßigen Datenübermittlungen

            18        Anspruch auf Schadensersatz

Dritter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

            19        Datenerhebung

            20        Datenspeicherung, -veränderung und -nutzung

            21        Datenübermittlung innerhalb des öffentlichen Bereichs

            22        Datenübermittlung an Stellen außerhalb des öffent-lichen Bereichs

            23        Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes

            24        Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

            25        Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

Vierter Abschnitt

Besondere Bestimmungen

            26        Öffentliche Stellen, die am Wettbewerb teilnehmen

            27        Öffentlich-rechtliche Religionsgesellschaften

            28        Verarbeitung personenbezogener Daten durch den Rundfunk

            29        Beauftragter für den Datenschutz im Rundfunk

            30        Personenbezogene Daten aus ehemaligen Einrichtungen

            31        Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen

            32        Widerspruchsrecht

            33        Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

Fünfter Abschnitt

Überwachung des Datenschutzes bei öffentlichen Stellen

            34        Sicherstellung des Datenschutzes

            35        Bestellung des Landesbeauftragten für den Datenschutz

            36        Rechtsstellung und Verschwiegenheitspflicht

            37        Kontrolle durch den Landesbeauftragten für den Datenschutz

            38        Pflicht zur Unterstützung

            39        Beanstandung durch den Landesbeauftragten für den Datenschutz

            40        Weitere Aufgaben des Landesbeauftragten für den Datenschutz

            41        Beirat beim Landesbeauftragten für den Datenschutz

Sechster Abschnitt

Aufsichtsbehörden für die Datenverarbeitung nichtöffentlicher Stellen

            42        Aufsichtsbehörde

Siebter Abschnitt

Strafvorschrift, Schlußvorschriften

            43        Strafvorschrift

            44        Inkrafttreten, Übergangsbestimmungen

Der Thüringer Landtag hat das folgende Gesetz beschlossen:

Erster Abschnitt

Allgemeine Bestimmungen

1. Zweck des Gesetzes

Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten durch öffentliche Stellen (§ 2 Abs. 1) in seinem Persönlich-keitsrecht beeinträchtigt wird.

2. Anwendungsbereich

(1) Die Vorschriften dieses Gesetzes gelten für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände und die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen).

(2) Für personenbezogene Daten in automatisierten Dateien, die vorübergehend und ausschließlich aus verarbeitungstechnischen Gründen erstellt und nach ihrer ordnungsgemäßen Nutzung automatisch gelöscht oder zur Herstellung von Texten vorübergehend erstellt werden, gelten von den Vorschriften dieses Gesetzes nur die 6, 9, 20 Abs. 4 sowie in Verbindung damit 34 Abs. 1 und die 37 bis 40.

(3) Soweit besondere Rechtsvorschriften des Bundes oder des Landes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten und von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

3. Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über per-sönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Erheben ist das Beschaffen von Daten über den Betroffenen.

(3) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

1.         Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung;

2.         Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten;

3.         Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß

a)         die Daten durch die speichernde Stelle an den Empfänger weitergegeben werden oder

b)         der Dritte von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft;

4.         Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken;

5.         Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

(4) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.

(5) Speichernde Stelle ist jede öffentliche Stelle, die Daten für sich selbst speichert oder durch andere speichern läßt.

(6) Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen oder Stellen, die im Geltungsbereich des Grundgesetzes personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

(7) Eine Datei ist:

1.         eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder

2.         jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht-automatisierte Datei).

Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.

(8) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.

(9) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

4. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten sind nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit der Betroffene eingewilligt hat.

(2) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Speicherung und einer vorgesehenen Übermittlung sowie auf Verlangen auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.

(3) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 2 Satz 2 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 2 Satz 1 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.

5. Rechte des Betroffenen

Der Betroffene hat nach Maßgabe dieses Gesetzes ein Recht auf:

1.         Anrufung des Landesbeauftragten für den Datenschutz (11),

2.         Einsicht in das beim Landesbeauftragten für den Datenschutz geführte Datenschutzregister (12),

3.         Auskunft über die zu seiner Person gespeicherten Daten (13),

4.         Berichtigung, Sperrung und Löschung der zu seiner Person gespeicherten Daten (14 bis 16),

5.         Benachrichtigung bei regelmäßigen Datenübermittlungen (17),

6.         Schadensersatz (18).

Diese Rechte können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

6. Datengeheimnis

Den bei öffentlichen Stellen beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

7. Automatisiertes Abrufverfahren

(1) Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Soll ein solches Verfahren die Übermittlung personenbezogener Daten ermöglichen, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, so darf es nur eingerichtet werden, soweit dies eine Rechtsvorschrift zuläßt.

(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1.         Anlaß und Zweck des Abrufverfahrens,

2.         Datenempfänger,

3.         Art der abzurufenden Daten,

4.         nach 9 erforderliche technische und organisatorische Maßnahmen.

Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer

Aufsicht unterliegenden Stellen des Landes getroffen werden.

(3) Über die Einrichtung eines Abrufverfahrens ist vorher der Landesbeauftragte für den Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. Die Einrichtung eines Abrufverfahrens, an dem die in 13 Abs. 4 genannten Stellen beteiligt sind, bedarf der Zustimmung des für die speichernde und die abrufende Stelle jeweils zuständigen Ministers oder seines Vertreters.

(4) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung geltenden Vorschriften. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlaß besteht.

Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindestens durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffent-lichung zulässig wäre.

8. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag öffentlicher Stellen durch andere Personen oder Stellen erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 13 bis 18 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für ihrer Aufsicht unterliegenden Stellen des Landes erteilt werden; diese sind von der Auftragserteilung zu unterrichten.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) Ist der Auftragnehmer eine öffentliche Stelle, gelten für ihn nur die 6, 9, 10, 34, 37 bis 40 und 43.

(5) Soweit juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen dem Land oder einer der Aufsicht des Landes unterstehenden Körperschaft, An-stalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, für eine öffentliche Stelle Daten im Auftrag zu ver-arbeiten, gelten die 10, 34 und 37 bis 40 entsprechend.

(6) Sind auf den Auftragnehmer die Vorschriften dieses Gesetzes nicht anwendbar, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz entsprechend der 37 bis 40 unterwirft. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz über die Beauftragung zu unterrichten.

9. Technische und organisatorische Maßnahmen

(1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind zur Ausführung der Vorschriften dieses Gesetzes Maß-nahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind:

1.         Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

2.         zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle);

3.         die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

4.         zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

5.         zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

6.         zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle);

7.         zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

8.         zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);

9.         zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

10.       die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Werden personenbezogene Daten in nichtautomatisierten Dateien oder in Akten verarbeitet, sind insbesondere Maßnahmen zu treffen, die verhindern, daß Unbefugte bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung auf die Daten zugreifen können.

10. Anlagen- und Verfahrensverzeichnis

(1) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen und automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden. Das Verzeichnis kann auch bei einer datenver-arbeitenden Stelle für andere Stellen geführt werden.

(2) In dem Verzeichnis ist für jedes automatisierte Verfahren schriftlich festzulegen:

1.         die Bezeichnung des Verfahrens;

2.         die Aufgabe, zu deren Erfüllung personenbezogene Daten verarbeitet werden und die Rechtsgrundlage der Verarbeitung;

3.         die Art der gespeicherten Daten;

4.         der Kreis der Betroffenen;

5.         die Art der regelmäßig zu übermittelnden Daten und deren Empfänger;

6.         die Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung;

7.         die verarbeitungsberechtigten Personen oder Personengruppen. Die Gerichte und der Landtag führen Verzeichnisse nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(3) Absatz 1 gilt nicht für automatisierte Verfahren, die nur vorübergehend eingesetzt werden und bei denen die gespeicherten Daten innerhalb von drei Monaten nach der Speicherung gelöscht werden.

Zweiter Abschnitt

Schutzrechte

11. Anrufung des Landesbeauftragten für den Datenschutz

(1) Jedermann kann sich - unbeschadet des allgemeinen Petitionsrechts oder anderer Rechte - an den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, daß bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen seine schutzwürdigen Belange beeinträchtigt werden. Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte und den Landtag gilt dies nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(2) Niemand darf benachteiligt oder gemaßregelt werden, weil er von seinem Recht nach Absatz 1 Gebrauch gemacht hat.

(3) Wendet sich ein Betroffener an den Landesbeauftragten für den Datenschutz, weil ihm nach 13 Abs. 5 oder besonderen gesetzlichen Vorschriften keine Auskunft erteilt worden ist, darf die Mitteilung des Landesbeauftragten an den Betroffenen keine Rückschlüsse auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. Das gleiche gilt, wenn ein Betroffener unmittelbar den Landesbeauftragten anruft und die für die Erteilung der Auskunft zuständige Stelle diesem unter Angabe von Gründen darlegt, daß sie bei einem Auskunftsersuchen eine Auskunft nach den in Satz 1 genannten Vorschriften verweigern würde.

12. Einsicht in das Datenschutzregister

(1) Jedermann kann in das vom Landesbeauftragten für den Datenschutz geführte Datenschutzregister Einsicht nehmen. Für die Einsichtnahme werden Kosten nicht erhoben.

(2) Das Datenschutzregister enthält die Angabe der öffentlichen Stellen, die personenbezogene Daten in automatisierten Verfahren verarbeiten, eine Darstellung des Dateiinhalts und die Angabe der Stellen, denen Daten regelmäßig übermittelt werden.

(3) Wer ein berechtigtes Interesse glaubhaft macht, kann sich Auszüge aus dem Datenschutzregister anfertigen lassen.

(4) Das Nähere zur Ausführung der Absätze 1 bis 3, insbesondere Inhalt und Aufbau des Registers, die Art und Weise der Registerführung sowie die Form der Auskunftserteilung regelt die Landes-regierung durch Rechtsverordnung. Dabei können aus Gründen des Gemeinwohls der Inhalt des Datenschutzregisters und der Anspruch auf Einsicht beschränkt werden, insbesondere hinsichtlich solcher Stellen, gegenüber denen nach 13 Abs. 5 kein Auskunftsanspruch besteht.

13. Auskunft an den Betroffenen

(1) Die speichernde Stelle hat dem Betroffenen auf Antrag Auskunft zu erteilen über:

1.         die zu seiner Person gespeicherten Daten,

2.         den Zweck und die Rechtsgrundlage der Speicherung sowie

3.         die Herkunft der Daten und deren Empfänger, soweit diese Angaben gespeichert sind.

Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind.

(2) Für die Auskunft werden Kosten nicht erhoben.

(3) In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten nur in Akten gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die speichernde Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßen Ermessen; dabei dürfen berechtigte Interessen Dritter nicht beeinträchtigt werden.

(4) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaften, Polizeibehörden, an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministers der Verteidigung, so ist sie nur mit Zustim-mung dieser Stellen zulässig.

(5) Die Auskunftserteilung unterbleibt, soweit:

1.         die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben gefährden würde,

2.         die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,

3.         die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen den überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen,

4.         die personenbezogenen Daten zur Entscheidung in Gnadensachen oder zur Entscheidung über die Verleihung von staatlichen Orden oder Ehrenzeichen gespeichert sind und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.

(6) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, daß er sich an den Landesbeauftragten für den Datenschutz wenden kann.

(7) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht das zuständige Landesministerium im Einzelfall feststellt, daß dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde.

14. Berichtigungsanspruch

Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezogenen Daten in Akten festgestellt, daß sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.

15. Anspruch auf Sperrung

(1) Personenbezogene Daten in Dateien sind zu sperren, wenn:

1.         ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt oder

2.         eine Löschung aus den in 16 Abs. 4 genannten Gründen unterblieben ist.

(2) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, daß ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörden nicht mehr erforderlich sind.

(3) Ohne Einwilligung des Betroffenen dürfen gesperrte personenbezogene Daten nur übermittelt oder genutzt werden, wenn:

1.         es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot, zu Aufsichts- und Kontrollzwecken, zur Rechnungsprüfung oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich ist und

2.         die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.

Personenbezogene Daten, die unzulässig in Akten gespeichert sind oder deren Löschung aus der Datei nur gemäß 16 Abs. 4 unterblieben ist, dürfen ohne Einwilligung des Betroffenen nicht mehr übermittelt oder genutzt werden.

16. Anspruch auf Löschung

(1) Personenbezogene Daten in Dateien sind zu löschen, wenn:

1.         ihre Speicherung unzulässig ist oder

2.         ihre Kenntnis für die speichernde Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist.

(2) Personenbezogene Daten in Akten sind zu löschen, wenn die speichernde Stelle im Einzelfall feststellt, daß die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist.

(3) Vor einer Löschung sind die Daten dem zuständigen Archiv zur Übernahme anzubieten. Das Nähere wird durch Rechts-vorschriften über öffentliche Archive geregelt.

(4) Die Löschung unterbleibt, wenn:

1.         Grund zu der Annahme besteht, daß durch sie schutzwürdige Interessen des Betroffenen beeinträchtigt würden,

2.         eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist, oder

3.         einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

17. Benachrichtigung bei regelmäßigen Datenübermittlungen

Von einer Berichtigung unrichtiger Daten (14), der Sperrung bestrittener Daten (15 Abs. 1 Nr. 1) sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung (16 Abs. 1 Nr. 1; 15 Abs. 1 Nr. 2 in Verbindung mit 16 Abs. 4 und Abs. 1 Nr. 1) sind die Stellen zu verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist.

18. Anspruch auf Schadensersatz

(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.

(3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt bis zu einem Betrag in Höhe von 250.000 DM begrenzt.

(4) Sind bei einer Datei mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.

(5) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(6) Auf das Mitverschulden des Betroffenen und die Verjährung sind die 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(7) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.

(8) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Dritter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

19. Datenerhebung

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stellen erforderlich ist.

(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn:

1.         eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder

2.         die zu erfüllende Verwaltungsaufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder

3.         die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde.

In den Fällen der Nummern 2 und 3 ist eine Erhebung bei Dritten nur zulässig, wenn keine Anhaltspunkte dafür vorliegen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.

(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nichtöffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

20. Datenspeicherung, -veränderung und -nutzung

(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgabe erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.

(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn:

1.         eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt;

2.         der Betroffene eingewilligt hat;

3.         offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis der anderen Zwecke seine Einwilligung verweigern würde;

4.         Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen;

5.         die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle sie veröffentlichen dürfte, es sei denn, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Zweckänderung überwiegt;

6.         es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist;

7.         es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des 11 Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist;

8.         es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder

9.         es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Durchführung von Organisati-onsuntersuchungen, der Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung oder der Erstellung von Geschäftsstatistiken für die speichernde Stelle dient.

Dies gilt auch für die Verarbeitung und Nutzung zu Ausbildungs- und Prüfungszwecken durch die speichernde Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.

(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbei-tungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

21. Datenübermittlung innerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn:

1.         sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Empfängers liegenden Aufgaben erforderlich ist und

2.         die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht. 7 Abs. 4 bleibt unberührt.

(3) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt worden sind. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des 20 Abs. 2 zulässig.

(4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung überwiegen; eine Nutzung dieser Daten ist unzulässig.

22. Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn:

1.         sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach 20 zulassen würden, oder

2.         der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.

(4) Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt worden sind. Die übermittelnde Stelle hat den Empfänger darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.

23. Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes

(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des Geltungsbereichs des Grundgesetzes sowie an über- und zwischenstaatliche Stellen ist zulässig, soweit sie in einer Rechtsvorschrift oder einem Rechtsakt der Europäischen Gemeinschaften geregelt ist. Im übrigen ist die Übermittlung unter den Voraussetzungen des 22 Abs. 1 zulässig, soweit keine Anhaltspunkte dafür vorliegen, daß ihr überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen;

22 Abs. 3 gilt entsprechend.

(2) Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, daß durch sie gegen den Zweck eines deutschen Gesetzes verstoßen würde.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.

24. Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

(1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat.

(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch ein besonderes Gesetz zugelassen ist.

Amtsgeheimnis unterliegen

25. Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.

(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschrift des Absatzes 3 einzuhalten.

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, soweit:

1.         der Betroffene eingewilligt hat oder

2.         dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.

Vierter Abschnitt

Besondere Bestimmungen

26. Öffentliche Stellen, die am Wettbewerb teilnehmen

Soweit öffentliche Stellen am Wettbewerb teilnehmen, sind auf sie, auf ihre Zusammenschlüsse und Verbände von den Vorschriften dieses Gesetzes nur der Fünfte Abschnitt - ausgenommen 34 Abs. 2 - anzuwenden. Im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des Zweiten Abschnitts und des 38.

27. Öffentlich-rechtliche Religionsgesellschaften

Personenbezogene Daten dürfen in entsprechender Anwendung des 21 von der speichernden Stelle an Stellen der öffentlich-rechtlichen Religionsgesellschaften übermittelt werden, wenn sichergestellt ist, daß beim Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.

28. Verarbeitung personenbezogener Daten durch den Rundfunk

(1) Soweit eine öffentlich-rechtliche Rundfunkanstalt des Landes personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen Zwecken erhebt, verarbeitet oder nutzt, gelten von den Vorschriften dieses Gesetzes nur die 6 und 9. Für die Verarbeitung personenbezogener Daten zu anderen Zwecken gelten neben 29 die Vorschriften dieses Gesetzes entsprechend mit Ausnahme des Fünften Abschnitts.

(2) Führt die journalistisch-redaktionelle Verarbeitung oder Nutzung personenbezogener Daten durch die Rundfunkanstalt zur Verbreitung einer Gegendarstellung des Betroffenen, so ist diese zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.

(3) Wird jemand durch eine Berichterstattung der Rundfunkanstalt in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder Gewährsmannes von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. Der Betroffene kann die Berichtigung unrichtiger Daten verlangen.

29. Beauftragter für den Datenschutz im Rundfunk

(1) Der Intendant der Rundfunkanstalt beruft mit Zustimmung des Verwaltungsrates einen Beauftragten für den Datenschutz im Rundfunk.

(2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Erfüllung seiner Aufgaben nach diesem Gesetz an Weisungen nicht gebunden; im übrigen untersteht er der Dienstaufsicht des Intendanten.

(3) Jedermann kann sich entsprechend 11 Abs. 1 Satz 1 an den Beauftragten für den Datenschutz wenden.

(4) Bei Beanstandungen verständigt der Beauftragte für den Datenschutz den Intendanten und den Verwaltungsrat. Er erstattet den Organen des Rundfunks alle zwei Jahre einen Bericht über seine Tätigkeit; diesen übermittelt er auch dem Landesbeauftragten für den Datenschutz.

(5) Der Beauftragte für den Datenschutz hat, auch nach seinem Ausscheiden, über die ihm bei seiner Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

30. Personenbezogene Daten aus ehemaligen Einrichtungen

(1) Personenbezogene Daten aus ehemaligen Einrichtungen, die vor dem 3. Oktober 1990 nach ihrer Zweckbestimmung überwiegend für Verwaltungsaufgaben gespeichert waren, die nach dem Grundgesetz von Ländern, Gemeinden, Gemeindeverbänden oder sonstigen Trägern öffentlicher Verwaltung wahrzunehmen sind, stehen demjenigen Träger öffentlicher Verwaltung zu, der nach dem Grundgesetz für die Verwaltungsaufgabe zuständig ist. Dieser bestimmt die verantwortliche speichernde Stelle. In Zweifelsfällen wird die speichernde Stelle durch die Landesregierung bestimmt.

(2) Ehemalige Einrichtungen im Sinne des Absatzes 1 sind ehemalige staatliche oder wirtschaftsleitende Organe, Kombinate, Betriebe oder Einrichtungen sowie gesellschaftliche Organisationen der Deutschen Demokratischen Republik.

31. Verarbeitung personenbezogener Daten aus ehemaligen Einrichtungen

(1) Abweichend von 20 Abs. 1 ist das Speichern, Verändern oder Nutzen personenbezogener Daten aus ehemaligen Einrichtungen durch die in 30 Abs. 1 Satz 3 genannten speichernden Stellen zulässig, soweit:

1.         die Kenntnis der Daten zur rechtmäßigen Erfüllung einer in der Zuständigkeit dieser Stellen liegenden Aufgabe erforderlich ist,

2.         die erneute Erhebung dieser Daten einen unverhältnismäßig hohen Aufwand darstellt,

3.         der Betroffene der Verarbeitung oder Nutzung nicht nach 32 widersprochen hat und

4.         die Zuständigkeit und Verantwortlichkeit der speichernden Stellen eindeutig bestimmt ist.

Satz 1 gilt nicht für eine Verwendung der Daten zum Nachteil des Betroffenen, wenn anzunehmen ist, daß sie unter Verstoß gegen die Menschenwürde erhoben worden sind.

(2) Personenbezogene Daten, deren Verarbeitung und Nutzung nach Absatz 1 zulässig ist, gelten als für den nach Absatz 1 Nr. 1 bestimmten Zweck erstmalig eingespeichert.

32. Widerspruchsrecht

(1) Der Betroffene kann der Verarbeitung und Nutzung seiner personenbezogenen Daten widersprechen, wenn die Daten ohne seine Mitwirkung durch eine ehemalige Einrichtung erhoben oder gespeichert wurden und die Daten nach geltendem Recht nicht ohne seine Mitwirkung erhoben werden dürfen oder wenn anzunehmen ist, daß sie unter Verstoß gegen die Menschenwürde erhoben worden sind.

(2) Der Betroffene ist in geeigneter Weise über:

1.         die Herkunft solcher Daten,

2.         die Art der ursprünglichen Verwendung,

3.         die Art und den Umfang der beabsichtigten Verarbeitung oder Nutzung,

4.         die nunmehr zuständige speichernde Stelle und

5.         die bestehende Widerspruchsmöglichkeit zu unterrichten. Die Unterrichtung kann auch in allgemeiner Form erfolgen, soweit eine Einzelunterrichtung wegen des damit verbundenen unverhältnismäßigen Aufwands nicht geboten erscheint und schutzwürdige Belange der Betroffenen nicht überwiegen.

33. Sperrung personenbezogener Daten aus ehemaligen Einrichtungen

Ist die Verarbeitung oder Nutzung personenbezogener Daten aus ehemaligen Einrichtungen nach 31 Abs. 1 nicht zulässig, sind diese Daten abweichend von 16 bis zum Inkrafttreten eines Gesetzes über öffentliche Archive zu sperren.

Fünfter Abschnitt

Überwachung des Datenschutzes bei öffentlichen Stellen

34. Sicherstellung des Datenschutzes

(1) Die Landesministerien, die Gemeinden und Gemeinde-verbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen haben für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.

(2) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf hinsichtlich der Datenarten und der regelmäßigen Daten-übermittlung der vorherigen schriftlichen Freigabe durch die Stelle, die nach Absatz 1 den Datenschutz sicherzustellen hat. Entsprechendes gilt für wesentliche Änderungen der Verfahren.

(3) Sollen in einem Verfahren personenbezogene Daten aus verschiedenen Verwaltungszweigen verarbeitet werden, dann bedarf es der Zustimmung der beteiligten Stellen, die den Datenschutz sicherzustellen haben.

35. Bestellung des Landesbeauftragten für den Datenschutz

(1) Der Landtag wählt auf Vorschlag der Landesregierung den Landesbeauftragten für den Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Gewählte ist von der Landesregierung zu ernennen.

(2) Die Amtszeit des Landesbeauftragten für den Datenschutz beträgt sechs Jahre. Einmalige Wiederwahl ist zulässig.

(3) Der Präsident des Landtags verpflichtet den Landesbeauf-tragten für den Datenschutz vor dem Landtag, sein Amt gerecht und unparteiisch zu führen, das Grundgesetz und die Verfassung des Landes sowie die Gesetze zu wahren und zu verteidigen.

(4) Auf Vorschlag des Landesbeauftragten für den Datenschutz ernennt die Landesregierung einen Vertreter im Amt. Dieser soll die Befähigung zum Richteramt haben.

(5) Dienstsitz des Landesbeauftragten für den Datenschutz ist Erfurt.

(6) Die Landesregierung entläßt den Landesbeauftragten für den Datenschutz, wenn dieser es verlangt oder auf Vorschlag des Präsidenten des Landtags, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Falle der Beendigung des Amtsverhältnisses erhält der Landesbeauftragte eine vom Ministerpräsidenten vollzogene Urkunde.

Eine Entlassung wird mit der Aushändigung der Urkunde wirksam.

(7) Der Landesbeauftragte für den Datenschutz erhält Amtsbezüge nach der Besoldungsgruppe B 6.

36. Rechtsstellung und Verschwiegenheitspflicht

(1) Der Landesbeauftragte für den Datenschutz ist in der Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er steht zum Land nach Maßgabe dieses Gesetzes in einem öffentlichrechtlichen Amtsverhältnis. Der Präsident des Landtags führt die Dienstaufsicht.

(2) Der Landesbeauftragte für den Datenschutz darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.

(3) Der Landesbeauftragte für den Datenschutz ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm bei seiner amtlichen Tätigkeit bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(4) Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne von 96 Strafprozeßordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und seine Mitarbeiter in eigener Verantwortung. Der Nachfolger im Amt entscheidet über die Aussagegenehmigung seiner Vorgänger.

(5) Dem Landesbeauftragten für den Datenschutz ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Landtags in einem eigenen Kapitel auszuweisen. Für bestimmte Einzelfragen kann der Landesbeauftragte für den Datenschutz auch Dritte zur Mitarbeit heranziehen.

(6) Die Besetzung der Personalstellen erfolgt auf Vorschlag des Landesbeauftragten für den Datenschutz. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden; er ist ihr Dienstvorgesetzter, sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen gebunden.

37. Kontrolle durch den Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei allen öffentlichen Stellen die Einhaltung der Vorschriften dieses Gesetzes und anderer Rechtsvorschriften über den Datenschutz.

(2) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. Für personenbezogene Daten, die dem Arztgeheimnis unterliegen und personenbezogene Daten in Personalakten oder Akten über die Sicherheitsüberprüfung gilt dies jedoch nur, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten nicht widersprochen hat. Unbeschadet des Kontrollrechts des Landesbeauftragten unterrichtet die speichernde Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht. Der Widerspruch ist schriftlich gegenüber der speichernden Stelle zu erklären.

(3) Die Kontrolle des Landesbeauftragten für den Datenschutz erstreckt sich nicht auf personenbezogene Daten, die der Kontrolle durch die Kommission nach 3 des Gesetzes zur Ausführung des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.

(4) Die Gerichte und der Landtag unterliegen der Kontrolle des Landesbeauftragten für den Datenschutz nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

38. Pflicht zur Unterstützung

(1) Der Landesbeauftragte für den Datenschutz und seine Beauftragten sind von allen öffentlichen Stellen in der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist im Rahmen der Kontrollbefugnis nach 37 insbesondere:

1.         Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach 37 stehen,

2.         jederzeit Zutritt in alle Diensträume zu gewähren.

(2) Für die in 13 Abs. 4 genannten öffentlichen Stellen gilt Absatz 1 nur gegenüber dem Landesbeauftragten selbst und den von ihm schriftlich besonders damit Beauftragten. Absatz 1 Satz 2 findet für diese Stellen keine Anwendung, soweit das zuständige Landesministerium im Einzelfall feststellt, daß die Auskunft oder Einsicht in Unterlagen und Akten die Sicherheit des Bundes oder eines Landes gefährden würde.

39.Beanstandung durch den Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz beanstandet festgestellte Verletzungen von Vorschriften über den Daten-schutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten und fordert ihre Behebung in angemessener Frist. Die für die Sicherstellung des Datenschutzes nach 34 verantwortliche Stelle und die Aufsichtsbehörde sind davon zu verständigen.

(2) Wird die Beanstandung nicht behoben, so fordert der Landesbeauftragte von der für die Sicherstellung des Datenschutzes nach 34 verantwortlichen Stelle und der Aufsichtsbehörde binnen angemessener Frist geeignete Maßnahmen. Hat das nach Ablauf dieser Frist keinen Erfolg, verständigt der Landesbeauftragte den Landtag und die Landesregierung.

(3) Der Landesbeauftragte kann von einer Beanstandung absehen, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.

40.Weitere Aufgaben des Landesbeauftragten für den Datenschutz

(1) Der Landesbeauftragte für den Datenschutz erstattet dem Landtag und der Landesregierung mindestens alle zwei Jahre einen Bericht über seine Tätigkeit. Er gibt dabei auch einen Überblick über die technischen und organisatorischen Maßnahmen nach  9 und regt Verbesserungen des Datenschutzes an.

(2) Der Ministerpräsident führt eine Stellungnahme der Landesregierung zu dem Bericht des Landesbeauftragten für den Datenschutz herbei und legt diese innerhalb von drei Monaten dem Landtag vor.

(3) Der Landesbeauftragte für den Datenschutz unterstützt im Rahmen seiner Beratungsaufgabe den Landtag bei seinen Entscheidungen. Auf Anforderung des Landtags oder der Landesregierung hat der Landesbeauftragte für den Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Der Landtag oder die Landesregierung können den Landesbeauftragten ersuchen, bestimmte Vorgänge aus seinem Aufgabenbereich zu überprüfen.

(4) Der Bericht nach Absatz 1 ist im Beirat beim Landesbeauftragten für den Datenschutz vorzuberaten.

(5) Der Landesbeauftragte für den Datenschutz beobachtet die Entwicklung und Nutzung der Informations- und Kommunikationstechnik, insbesondere der automatisierten Datenverarbeitung und ihre Auswirkungen auf die Arbeitsweise und die Entscheidungsbefugnisse der öffentlichen Stellen. Er hat insbesondere darauf zu achten, ob sie zu einer Verschiebung der Gewaltenteilung zwischen den Verfassungsorganen des Landes, zwischen den Organen der kommunalen Selbstverwaltung und zwischen der staatlichen und der kommunalen Selbstverwaltung führen. Er soll Maßnahmen anregen, die ihm geeignet erscheinen, derartige Auswirkungen zu verhindern.

(6) Der Landesbeauftragte für den Datenschutz kann sich jederzeit an den Landtag wenden.

(7) Der Landesbeauftragte für den Datenschutz führt das Datenschutzregister nach 12.

41. Beirat beim Landesbeauftragten für den Datenschutz

(1) Beim Landesbeauftragten für den Datenschutz wird ein Beirat gebildet. Er besteht aus neun Mitgliedern. Es bestellen sechs Mitglieder der Landtag, ein Mitglied die Landesregierung, ein Mitglied die kommunalen Spitzenverbände, ein Mitglied das Ministerium für Soziales und Gesundheit aus dem Bereich der gesetzlichen Sozialversicherungsträger. Für jedes Beiratsmitglied wird zugleich ein Stellvertreter bestellt.

(2) Die Mitglieder des Beirats werden für vier Jahre, die Mitglieder des Landtags für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.

(3) Der Beirat unterstützt den Landesbeauftragten für den Datenschutz in seiner Arbeit. Die Unabhängigkeit des Landesbeauftragten für den Datenschutz nach 36 Abs. 1 und die Berichtspflicht gegenüber dem Landtag werden dadurch nicht berührt.

(4) Der Beirat gibt sich eine Geschäftsordnung. Er tritt auf Antrag jedes seiner Mitglieder oder des Landesbeauftragten für den Datenschutz zusammen. Den Vorsitz führt ein Mitglied des Landtags.

(5) Der Landesbeauftragte für den Datenschutz nimmt an allen Sitzungen teil. Er verständigt den Beirat von Maßnahmen nach 39 Abs. 1. Vor Maßnahmen nach 39 Abs. 2 kann dem Beirat Gelegenheit zur Stellungnahme gegeben werden.

(6) Die Mitglieder des Beirats haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

Sechster Abschnitt

Aufsichtsbehörden für die Datenverarbeitung nichtöffentlicher Stellen

42. Aufsichtsbehörde

(1) Die Aufsichtsbehörde nach 38 Abs. 6 des Bundesdatenschutzgesetzes und der Landesbeauftragte für den Datenschutz tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus. Die Aufsichtsbehörde kann im Einzelfall mit Zustimmung des Landesbeauftragten für den Datenschutz Bedienstete der Geschäftsstelle des Landesbeauftragten für Datenschutz mit der Vornahme von Handlungen nach 38 Abs. 3 und 4 des Bundesdatenschutzgesetzes beauftragen, sofern die Aufgaben des Landesbeauftragten für den Datenschutz dadurch nicht beeinträchtigt werden.

(2) Das Innenministerium wird ermächtigt, durch Rechtsverordnung sachverständige Personen oder Stellen zu bestimmen, derer sich die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben nach  38 des Bundesdatenschutzgesetzes bedienen kann. Diese Stelle nimmt insoweit hoheitlich Aufgaben der öffentlichen Verwaltung wahr. Die Bediensteten dieser Stelle haben die in 38 Abs. 4 des Bundesdatenschutzgesetzes genannten Rechte; auch ihnen gegenüber besteht die in 38 Abs. 3 des Bundesdatenschutzgesetzes genannte Auskunftspflicht.

(3) Das Innenministerium wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem Finanzministerium die Gebühren und Auslagen für die Tätigkeit der Aufsichtsbehörde nach 38 Abs. 6 des Bundesdatenschutzgesetzes festzusetzen. Die Höhe der Gebühren und Auslagen ist nach dem Aufwand und der Bedeutung der Leistung für den Schuldner zu bemessen.

(4) Schuldner ist in den Fällen des 38 Abs. 1 des Bundesdatenschutzgesetzes der Überprüfte, wenn Mängel festgestellt werden, sonst derjenige, der die Tätigkeit veranlaßt. Für Unterstützungen des Beauftragten für den Datenschutz (37 Abs.1 Satz 2 des Bundesdatenschutzgesetzes) ist Schuldner die natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des privaten Rechts, die den Beauftragten für den Datenschutz bestellt hat. Schuldner in den Fällen des 38 Abs. 2 des Bundesdatenschutzgesetzes ist der Überwachte.

Siebter Abschnitt

Strafvorschrift, Schlußvorschriften

43. Strafvorschrift

(1) Wer unbefugt von diesem Gesetz geschützte personen-bezogene Daten, die nicht offenkundig sind,

1.         speichert, verändert oder übermittelt,

2.         zum Abruf mittels automatisierten Verfahrens bereithält oder

3.         abruft oder sich oder einem anderen aus Dateien verschafft, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer:

1.         die Übermittlung von personenbezogenen Daten, die durch dieses Gesetz geschützt werden und nicht offenkundig sind, durch unrichtige Angaben erschleicht,

2.         entgegen 22 Abs. 4 Satz 1, 24 Abs. 1 oder 25 Abs. 1 die übermittelten Daten für einen anderen Zweck nutzt, indem er sie an Dritte weitergibt, oder

3.         entgegen 25 Abs. 3 Satz 3 die in 25 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.

(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.

(4) Die Tat wird nur auf Antrag verfolgt.

44. Inkrafttreten, Übergangsbestimmungen

(1) Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

(2) Das Datenschutzregister (12) ist innerhalb eines Jahres nach Inkrafttreten dieses Gesetzes einzurichten.

(3) Vordrucke, die den Anforderungen dieses Gesetzes nicht entsprechen, dürfen bis zum Ablauf eines Jahres nach Inkrafttreten dieses Gesetzes aufgebraucht werden.Unzulässige Fragestellungen sind vorher zu streichen.

(4) Werden im Zeitpunkt des Inkrafttretens dieses Gesetzes personenbezogene Daten im Auftrag öffentlicher Stellen durch andere Stellen verarbeitet, ist das Auftragsverhältnis innerhalb eines Jahres den Vorschriften des 8 anzupassen.

(5) Soweit bei öffentlichen Stellen im Zeitpunkt des Inkrafttre-tens dieses Gesetzes automatisierte Abrufverfahren eingerichtet sind, sind die nach 7 erforderlichen Festlegungen innerhalb eines Jahres zu treffen.

(6) Die im Zeitpunkt des Inkrafttretens dieses Gesetzes einge-setzten Datenverarbeitungsanlagen und automatisierten Verfahren sind innerhalb von sechs Monaten in das nach 10 zu führende Verzeichnis aufzunehmen.