Landesdatenschutzgesetz Entwurf (LDSG-E). Entwurf eines Schleswig-Holsteinischen Gesetzes zum Schutz personenbezogener Informationen.
Inhaltsübersicht
Abschnitt I. Allgemeine Vorschriften
§ 1 Gesetzeszweck
Zweck dieses Gesetzes ist es, bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen die Grundrechte, insbesondere das Recht auf informationelle Selbstbestimmung, zu wahren.
§ 2 Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffene oder Betroffener).
(2) Datenverarbeitung ist die Verwendung personenbezogener Daten. Dabei ist
1. Erheben das Beschaffen von Daten,
2. Speichern das Aufbewahren von Daten auf Datenträgern,
3. Übermitteln das Weitergeben von Daten an Dritte oder der Abruf von zum Abruf bereitgehaltenen Daten durch Dritte,
4. Löschen das Unkenntlichmachen gespeicherter Daten.
(3) Datenverarbeitende Stelle ist jede öffentliche Stelle im Sinne von § 3 Absatz 1, die personenbezogene Daten für sich selbst verarbeitet oder durch andere verarbeiten läßt.
(4) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(5) Pseudonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(6) Verschlüsseln ist das Verändern von Daten derart, daß ohne Nutzung des Geheimnisses die Kenntnisnahme vom Inhalt der Daten nicht oder nur mit einem unverhältnismäßigen Aufwand möglich ist.
§ 3 Anwendungsbereich
(1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind
1. Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung,
2. Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen einem oder mehreren der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Beteiligt sich eine Vereinigung des privaten Rechts, auf die dieses Gesetz nach Satz 2 Nr. 2 Anwendung findet, an weiteren Vereinigungen des privaten Rechts, so findet Satz 2 Nr. 2 entsprechende Anwendung.
(2) Für öffentlich-rechtliche, der Aufsicht des Landes unterstehende Unternehmen mit eigener Rechtspersönlichkeit, die am Wettbewerb teilnehmen und nicht Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten von diesem Gesetz nur § 23 und Abschnitt VII. Im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes für nichtöffentliche Stellen. Die Sätze 1 und 2 gelten nicht für die Datenzentrale Schleswig-Holstein.
(3) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.
Abschnitt II. Systemdatenschutz
§ 4 Datenvermeidung und Datensparsamkeit
Bei der Gestaltung von Verfahren und der Auswahl von informationstechnischen Produkten zum Einsatz in automatisierten Verfahren hat die datenverarbeitende Stelle den Grundsatz der Datensparsamkeit zu beachten. Produkte, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde, sollen vorrangig eingesetzt werden.
§ 5 Freigabe automatisierter Verfahren, Vorabkontrolle
(1) Der erstmalige Einsatz oder die Änderung von automatisierten Verfahren zur Verarbeitung personenbezogener Daten bedarf der Freigabe durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine Person, der diese Befugnis ausdrücklich übertragen worden ist. Die Verarbeitung personenbezogener Daten in automatisierten Verfahren ist erst zulässig, wenn die Freigabe erteilt worden ist. Die Freigabe ist zu dokumentieren.
(2) Die Freigabe darf nur erteilt werden, wenn
1. die rechtliche Zulässigkeit der Verarbeitung festgestellt wurde,
2. eine Dokumentation des Verfahrens vorliegt, die mindestens die in das Verzeichnis nach § 8 aufzunehmenden Angaben enthält,
3. die einzusetzenden Verfahren getestet worden sind und
4. in einem Sicherheitskonzept dargelegt ist, in welcher Weise die nach den §§ 6 und 7 erforderlichen technischen und organisatorischen Maßnahmen umgesetzt werden.
(3) Im Rahmen der Freigabe von automatisierten Verfahren hat die datenverarbeitende Stelle zu prüfen, ob von den Verfahren eine besondere Gefährdung für die Rechte der Betroffenen ausgehen kann. Ist dies der Fall, so darf das Verfahren nur eingeführt oder wesentlich geändert werden, wenn die Gefährdung durch technische oder organisatorische Maßnahmen wirksam beherrscht werden kann. Bei der Beurteilung dieser Frage ist die oder der Beauftragte für den Datenschutz nach § 9 oder die oder der Landesbeauftragte für den Datenschutz zu beteiligen.
(4) Die Landesregierung regelt durch Verordnung die Einzelheiten der Freigabe nach Absatz 2, insbesondere
1. die über Absatz 2 Nummer 2 hinausgehenden Anforderungen an die Dokumentation automatisierter Verfahren,
2. Kriterien für Verfahren, deren Freigabe unter vereinfachten Voraussetzungen erfolgen kann,
3. das Vorgehen beim Test von Programmen,
4. die Anforderungen an das Sicherheitskonzept und
5. die Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen.
Dabei sind die in den §§ 6 und 7 genannten Maßnahmen der Datensicherheit nach dem Stand der Technik fortzuschreiben. Die oder der Landesbeauftragte für den Datenschutz ist zu beteiligen.
§ 6 Allgemeine Maßnahmen zur Datensicherheit
(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Dabei ist insbesondere
1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren,
2. zu verhindern, daß personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können,
3. zu gewährleisten, daß festgestellt werden kann, welche personenbezogenen Daten wann von wem verarbeitet worden sind.
(2) Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind.
§ 7 Besondere Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren
(1) Automatisierte Verfahren sind so zu gestalten, daß eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist.
(2) Zugriffe, mit denen Änderungen an freigegebenen automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren.
(3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, daß sie die Daten entschlüsseln kann.
(4) Werden bei gemeinsamen Verfahren nach § 17 personenbezogene Daten übermittelt, so sind die Empfänger, der Zeitpunkt der Übermittlung und die jeweils übermittelten Daten zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern.
(5) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Absatz 4 Satz 2 gilt entsprechend. Es ist sicherzustellen, daß die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind.
(6) Die datenverarbeitenden Stellen haben technische und organisatorische Maßnahmen zu treffen, um die Verarbeitung personenbezogener Daten in nicht freigegebenen automatisierten Verfahren zu unterbinden.
(7) Die datenverarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen.
§ 8 Verfahrensverzeichnis
(1) Die datenverarbeitende Stelle erstellt für jedes von ihr betriebene automatisierte Verfahren eine Verfahrensbeschreibung. Diese enthält Angaben über
1. Zweckbestimmung und Rechtsgrundlage des Verfahrens,
2. den Kreis der Betroffenen,
3. die Kategorien der verarbeiteten Daten,
4. die Personen und Stellen, die Daten erhalten oder erhalten können einschließlich der Auftragnehmenden,
5. geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union,
6. die datenschutzrechtliche Beurteilung der oder des behördlichen Datenschutzbeauftragten, soweit eine solche vorliegt,
7. die eingesetzte Hard- und Software und
8. eine allgemeine Beschreibung der zur Einhaltung der Datensicherheit getroffenen Maßnahmen.
(2) Die Verfahrensbeschreibung nach Absatz 1 ist der oder dem Landesbeauftragten für den Datenschutz vor Beginn der Verarbeitung zu übersenden. Änderungen sind ihr oder ihm umgehend mitzuteilen.
(3) Die oder der Landesbeauftragte für den Datenschutz führt ein Verzeichnis der Meldungen nach Absatz 2. Das Verzeichnis kann von jeder Person eingesehen werden; dies gilt nicht für die Angaben nach Absatz 1 Nummern 7 und 8. Satz 2 gilt nicht für Verfahren, die
1. nach dem Landesverfassungsschutzgesetz geführt werden,
2. der Gefahrenabwehr oder der Strafverfolgung oder
3. der Steuerfahndung dienen,
soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar hält.
(4) Von der Meldung nach Absatz 2 kann abgesehen werden, wenn bei der datenverarbeitenden Stelle eine Beauftragte oder ein Beauftragter für den Datenschutz nach § 9 bestellt ist. In diesen Fällen führt die datenverarbeitende Stelle ein Verzeichnis der bei ihr betriebenen automatisierten Verfahren. Absatz 2 und Absatz 3 Satz 2 und 3 gelten entsprechend.
§ 9 Die oder der Beauftragte für den Datenschutz
(1) Die datenverarbeitende Stelle kann schriftlich eine Beauftragte oder einen Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam eine Beauftragte oder einen Beauftragten für den Datenschutz bestellen.
(2) Die oder der Beauftragte für den Datenschutz muß die erforderliche Sachkunde und Zuverlässigkeit besitzen. Sie oder er darf durch die Bestellung keinem Konflikt mit anderen dienstlichen Aufgaben ausgesetzt sein.
(3) Die oder der Beauftragte für den Datenschutz ist unmittelbar der Leiterin oder dem Leiter der datenverarbeitenden Stelle zu unterstellen. Sie oder er ist bei der Ausübung des Amtes weisungsfrei und darf wegen der Wahrnehmung des Amtes nicht benachteiligt werden. Sie oder er ist zur Erfüllung der Aufgaben des Amtes im erforderlichen Umfang freizustellen und mit den notwendigen Mitteln auszustatten. Beschäftigte und Betroffene können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an sie oder ihn wenden. Die oder der Beauftragte für den Datenschutz darf zur Aufgabenerfüllung Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen. § 32 Absatz 4 gilt entsprechend.
(4) Die oder der Beauftragte für den Datenschutz überwacht und unterstützt die Einhaltung der datenschutzrechtlichen Vorschriften bei der datenverarbeitenden Stelle. Sie oder er hat insbesondere
1. vor der Einführung oder Änderung automatisierter Verfahren ihre oder seine datenschutzrechtliche Beurteilung abzugeben,
2. zu überprüfen, ob die datenschutzrechtlichen Vorschriften eingehalten werden und ob der Einsatz automatisierter Verfahren im Rahmen der Freigabe erfolgt; Verstöße sind der Leiterin oder dem Leiter der datenverarbeitenden Stelle zu melden,
3. die datenverarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten zu beraten und bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren auf die Einhaltung der einschlägigen Vorschriften hinzuwirken,
4. die Beschäftigten der datenverarbeitenden Stellen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
5. das Verzeichnis nach § 8 Absatz 4 Satz 2 zu führen und zur Einsicht bereitzuhalten.
Abschnitt III. Zulässigkeit der Datenverarbeitung
§10 Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
1. die oder der Betroffene eingewilligt hat,
2. eine diesem Gesetz vorgehende Rechtsvorschrift oder
3. dieses Gesetz sie erlaubt
und bei automatisierten Verfahren die Freigabe nach § 5 vorliegt.
(2) Die Verarbeitung personenbezogener Daten ist nach Maßgabe der nachfolgenden Vorschriften zulässig, soweit sie zur rechtmäßigen Erfüllung der durch Rechtsvorschrift zugewiesenen Aufgaben der datenverarbeitenden Stelle erforderlich ist.
(3) Die Verarbeitung personenbezogener Daten, die allgemein zugänglichen Quellen entnommen werden können, sowie von Daten, die die Betroffenen selbst zur Veröffentlichung bestimmt haben, ist über die Fälle von Absatz 2 hinaus zulässig, soweit nicht schutzwürdige Belange der Betroffenen beeinträchtigt sind.
(4) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist nur nach Rechtsvorschriften, die diesem Gesetz vorgehen, sowie nach § 16 Absatz 5 und den §§ 22 bis 24 dieses Gesetzes zulässig. Dasselbe gilt für Daten über strafbare Handlungen und Entscheidungen in Strafsachen. Die in den Sätzen 1 und 2 genannten Daten dürfen ausnahmsweise nach den Vorschriften dieses Abschnitts verarbeitet werden, wenn die oder der Betroffene eingewilligt hat oder soweit die Verarbeitung
1. ausschließlich im Interesse der oder des Betroffenen liegt,
2. sich auf Daten bezieht, die die oder der Betroffene selbst öffentlich gemacht hat,
3. zur Geltendmachung rechtlicher Ansprüche vor Gericht erforderlich ist oder
4. für die Abwehr von Gefahren für Leben, Gesundheit, persönliche Freiheit oder vergleichbare Rechtsgüter erforderlich ist.
(5) Die Datenverarbeitung soll so organisiert sein, daß bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist. Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, zulässig, soweit nicht schutzwürdige Belange der oder des Betroffenen überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot.
(6) Pseudonymisierte Daten dürfen von solchen Stellen verarbeitet werden, die keinen Zugriff auf die Zuordnungsfunktion haben. Die Übermittlung pseudonymisierter Daten ist zulässig, wenn die Zuordnungsfunktion im alleinigen Zugriff der übermittelnden Stelle verbleibt.
§ 11 Form der Einwilligung
(1) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. In den Fällen des §10 Absatz 4 muß sich die Einwilligung ausdrücklich auf die dort aufgeführten Daten beziehen. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die oder der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen.
(2) Die oder der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung aufzuklären. Dabei ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß die Einwilligung verweigert und mit Wirkung für die Zukunft widerrufen werden kann.
(3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, daß
1. sie nur durch eine eindeutige und bewußte Handlung der oder des Betroffenen erfolgen kann,
2. sie nicht unerkennbar verändert werden kann,
3. ihre Urheberin oder ihr Urheber erkannt werden kann und
4. die Einwilligung bei der verarbeitenden Stelle protokolliert wird.
§ 12 Erheben, Zweckbindung
(1) Personenbezogene Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben. Ohne Kenntnis der Betroffenen dürfen personenbezogene Daten nur erhoben werden, wenn die Voraussetzungen von Absatz 3 Nr. 1, 2 oder 4 vorliegen. Die Herkunft der Daten ist zu dokumentieren.
(2) Personenbezogene Daten dürfen nur für den Zweck weiterverarbeitet werden, für den sie rechtmäßig erhoben worden sind. Daten, von denen die öffentliche Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für die Zwecke weiterverarbeitet werden, für die sie erstmals rechtmäßig gespeichert worden sind.
(3) Die Verarbeitung für andere Zwecke ist ohne Einwilligung der oder des Betroffenen nur zulässig, wenn
1. eine Rechtsvorschrift dies erlaubt,
2. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit, persönliche Freiheit oder sonstiger schwerwiegender Beeinträchtigungen der Rechtspositionen einzelner dies gebietet,
3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder
4. die Einholung der Einwilligung nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre und offensichtlich ist, daß die Verarbeitung im Interesse der oder des Betroffenen liegt und sie oder er in Kenntnis des anderen Zwecks die Einwilligung erteilen würde.
Für Daten im Sinne von § 10 Absatz 4 findet Satz 1 Nummer 3 und 4 keine Anwendung.
(4) Die Verarbeitung der Daten zur Ausübung von Aufsichts- und Kontrollbefugnissen sowie zur Rechnungsprüfung gilt nicht als Verarbeitung für andere Zwecke. Die Verarbeitung zu Ausbildungs- und Prüfungszwecken hat in anonymisierter oder pseudonymisierter Form zu erfolgen. Lassen sich die in Satz 2 genannten Zwecke durch anonymisierte oder pseudonymisierte Datenverarbeitung nicht erreichen, so ist die Zweckänderung zulässig, soweit berechtigte Interessen der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen.
(5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verwendet werden.
(6) Werden Daten innerhalb einer datenverarbeitenden Stelle zu einem anderen Zweck als dem nach Absatz 2 weiterverarbeitet, so ist dies zu dokumentieren.
§ 13 Datenübermittlung innerhalb des öffentlichen Bereichs
(1) Bei der Übermittlung personenbezogener Daten an andere öffentliche Stellen sind die Voraussetzungen des § 10 Absatz 2 und des § 12 Absätze 2 bis 5 zu beachten.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Soll die Übermittlung auf Ersuchen einer Stelle erfolgen, so hat diese die hierfür erforderlichen Angaben zu machen, insbesondere die Rechtsgrundlage für die Übermittlung anzugeben. Die übermittelnde Stelle prüft die Schlüssigkeit der Anfrage. Bestehen im Einzelfall Zweifel, so prüft sie auch die Rechtmäßigkeit des Ersuchens. Die empfangende Stelle trägt im übrigen die Verantwortung für die Zulässigkeit der Übermittlung.
§ 14 Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des öffentlichen Bereichs ist zulässig, wenn
1. von diesen ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind oder
2. die Voraussetzungen des § 10 Absatz 2 vorliegen
und die Anforderungen des § 12 Absätze 2 bis 5 eingehalten werden.
(2) Die übermittelnde Stelle hat die empfangende Stelle zu verpflichten, die Daten nur zu dem Zweck zu verwenden, zu dem sie ihr übermittelt wurden.
§ 15 Datenübermittlung an ausländische Stellen
(1) Die Zulässigkeit der Übermittlung an öffentliche und nichtöffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes richtet sich nach den §§ 13 und 14. Die Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Vor der Entscheidung über die Angemessenheit des Datenschutzniveaus ist die oder der Landesbeauftragte für den Datenschutz zu hören.
(2) Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn
1. die oder der Betroffene in die Übermittlung eingewilligt hat,
2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist,
3. die Übermittlung zur Wahrung lebenswichtiger Interessen der oder des Betroffenen erforderlich ist,
4. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt oder
5. die oder der Landesbeauftragte für den Datenschutz die Übermittlung genehmigt, nachdem sie oder er sich davon überzeugt hat, daß die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes der in § 1 genannten Rechte bietet.
(3) Die empfangende Stelle ist darauf hinzuweisen, daß die Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt wurden.
Abschnitt IV. Besondere Formen der Datenverarbeitung
§ 16 Verarbeitung personenbezogener Daten im Auftrag, Wartung
(1) Läßt eine datenverarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Die Weitergabe der Daten von der datenverarbeitenden Stelle an die Auftragnehmenden gilt nicht als Übermittlung im Sinne von § 2 Absatz 2 Nr. 3.
(2) Die datenverarbeitende Stelle hat dafür Sorge zu tragen, daß personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Sie hat Auftragnehmende unter besonderer Berücksichtigung ihrer Eignung für die Gewährleistung der nach den §§ 6 und 7 notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Aufträge, ergänzende Weisungen zu technischen und organisatorischen Maßnahmen und die etwaige Zulässigkeit von Unterauftragsverhältnissen sind schriftlich festzulegen.
(3) Sofern die Vorschriften dieses Gesetzes auf Auftragnehmende keine Anwendung finden, hat die datenverarbeitende Stelle diese zu verpflichten, jederzeit von ihr veranlaßte Kontrollen zu ermöglichen.
(4) Die Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der datenverarbeitenden Stelle gilt als Datenverarbeitung im Auftrag im Sinne von Absatz 1 Satz 1.
(5) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der datenverarbeitenden Stelle ist die Übermittlung personenbezogener Daten an solche Personen zulässig, die durch besondere Rechtsvorschriften zur Verschwiegenheit verpflichtet sind. Die übermittelnde Stelle hat diese Personen zu verpflichten,
1. die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, sowie
2. nach Erledigung des Auftrags die ihr von der datenverarbeitenden Stelle überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.
Die Absätze 1 bis 3 gelten entsprechend.
§ 17 Gemeinsame Verfahren, automatisierte Übermittlungsverfahren
(1) Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglicht, darf nur eingeführt werden, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die gesetzlichen Anforderungen an die Zulässigkeit der Datenverarbeitung im Einzelfall bleiben unberührt.
(2) Die beteiligten Stellen haben gemeinsam die Dokumentation gemäß § 5 Absatz 2 Nr. 2 für das gesamte Verfahren aufzustellen. Dabei legen sie über die in dieser Vorschrift genannten Umstände hinaus auch fest
1. den Umfang der Pflichten, die jeder beteiligten Stelle in dem Verfahren zukommen,
2. für jede beteiligte Stelle den Bereich der Datenverarbeitung, für dessen Rechtmäßigkeit sie verantwortlich ist.
Die für das Verfahrensverzeichnis nach § 8 erforderlichen Angaben zu dem gemeinsamen Verfahren einschließlich der Informationen nach Satz 2 werden in die Verfahrensverzeichnisse aller beteiligten Stellen aufgenommen.
(3) Die Freigabe nach § 5 wird von den Leiterinnen oder Leitern der beteiligten Stellen gemeinsam erteilt. Ist den beteiligten Stellen dieselbe Stelle übergeordnet, so erteilt die Leiterin oder der Leiter dieser Stelle die Freigabe.
(4) Die Betroffenen können die ihnen nach dem § 25 Absatz 1 Nummern 1 bis 6 zustehenden Rechte gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Datenverarbeitung verantwortlich ist. Die beteiligten Stellen leiten die Anliegen der Betroffenen an die zuständige Stelle weiter. Der Umfang der Auskunft nach § 27 erstreckt sich auch auf die Angaben nach Absatz 2 Satz 2.
(5) Die Absätze 1 bis 4 gelten entsprechend für automatisierte Verfahren, die eine Übermittlung personenbezogener Daten ohne vorherige Prüfung des Einzelfalles durch die übermittelnde Stelle ermöglichen (automatisierte Übermittlungsverfahren). Absatz 1, Absatz 2 Satz 1 und 2 und Absatz 3 Satz 1 gelten entsprechend, wenn innerhalb einer datenverarbeitenden Stelle ein gemeinsames automatisiertes Verfahren zur Verarbeitung personenbezogener Daten für verschiedene Zwecke eingerichtet wird.
§ 18 Mobile personenbezogene Datenverarbeitungssysteme
(1) Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle Daten automatisiert austauschen können (mobile Datenverarbeitungssysteme, z.B. Chipkarten), dürfen nur mit der Einwilligung der oder des Betroffenen oder aufgrund einer Rechtsvorschrift eingesetzt werden.
(2) Für die Betroffenen muß jederzeit erkennbar sein,
1. ob Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlaßt stattfinden,
2. welche personenbezogenen Daten der oder des Betroffenen verarbeitet werden und
3. welcher Verarbeitungsvorgang im einzelnen abläuft oder angestoßen wird.
Den Betroffenen müssen die Informationen nach Nummer 2 und 3 auf ihren Wunsch auch schriftlich in Papierform mitgeteilt werden.
(3) Die Betroffenen sind bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihnen nach § 25 zustehenden Rechte aufzuklären. Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, daß diese in angemessenem Umfang zur Verfügung stehen.
§ 19 Verbot automatisierter Einzelentscheidungen
Entscheidungen, die zu einer tatsächlichen oder rechtlichen Beschwer der Betroffenen führen, dürfen nicht ausschließlich auf die Ergebnisse automatisierter Verfahren, die einzelne Aspekte der Person der Betroffenen bewerten, gestützt werden. Ergebnisse automatisierter Verfahren dürfen abweichend von Satz 1 für Entscheidungen verwendet werden, wenn
1. ein Gesetz, das angemessene Garantien zur Wahrung der Rechte der Betroffenen enthält, dies vorsieht oder
2. der oder dem Betroffenen vor der Entscheidung ermöglicht wird, ihre oder seine besonderen persönlichen Interessen geltend zu machen.
§ 20 Video-Überwachung und -Aufzeichnung
(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Belange Betroffener nicht überwiegen.
(2) Das Bildmaterial darf gespeichert werden (Video-Aufzeichnung), wenn die Tatsache der Aufzeichnung für die Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist. Die Aufzeichnungen sind spätestens nach sieben Tagen zu löschen, es sei denn, sie dokumentieren Vorkommnisse, zu deren Aufklärung die weitere Speicherung erforderlich ist.
§ 21 Fernmessen und Fernwirken
(1) Die Einrichtung von Fernmeß- und Fernwirkdiensten ist nur mit der Einwilligung der oder des Betroffenen zulässig. Die oder der Betroffene muß erkennen können, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. Die Einwilligung kann jederzeit widerrufen werden, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.
(2) Eine Leistung, der Abschluß oder die Abwicklung eines Vertragsverhältnisses dürfen nicht von der Einwilligung der oder des Betroffenen nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft die oder der Betroffene ihre oder seine Einwilligung, so dürfen ihr oder ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.
Abschnitt V. Besondere Zwecke der Datenverarbeitung
§ 22 Datenverarbeitung für wissenschaftliche Zwecke
(1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken durch öffentliche Stellen und die Übermittlung personenbezogener Daten durch öffentliche Stellen an Dritte, die die Daten zu wissenschaftlichen Zwecken nutzen wollen, soll in anonymisierter Form erfolgen.
(2) Öffentliche Stellen dürfen personenbezogene Daten zu wissenschaftlichen Zwecken verarbeiten oder an Dritte, die die Daten zu wissenschaftlichen Zwecken nutzen wollen, übermitteln, wenn die Daten pseudonymisiert werden und der mit der Forschung befaßte Personenkreis oder bei Übermittlungen die empfangende Stelle keinen Zugriff auf die Zuordnungsfunktion hat. Steht zur Erfassung der Daten, zur Pseudonymisierung oder Anonymisierung bei der übermittelnden Stelle nicht ausreichend Personal zur Verfügung, so können die mit der Forschung befaßten Personen diese Aufgaben wahrnehmen, wenn sie zuvor nach dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet worden sind und unter der Aufsicht der übermittelnden Stelle stehen.
(3) Ist eine Anonymisierung oder Pseudonymisierung nicht möglich, so ist die Datenverarbeitung zu wissenschaftlichen Zwecken durch die öffentliche Stelle selbst zulässig, wenn
1. die oder der Betroffene in die Datenverarbeitung eingewilligt hat,
2. es sich nicht um Daten nach § 10 Absatz 4 handelt und schutzwürdige Belange der oder des Betroffenen wegen der Art der Daten oder wegen der Art der Verwendung für das jeweilige Forschungsvorhaben nicht beeinträchtigt sind oder
3. die Einwilligung der oder des Betroffenen nicht eingeholt werden kann und die Genehmigung der für die datenverarbeitende Stelle zuständigen obersten Aufsichtsbehörde vorliegt.
Unter den Voraussetzungen der Nummern 1 und 3 ist auch die Übermittlung personenbezogener Daten an Dritte, die die Daten zu wissenschaftlichen Zwecken nutzen wollen, zulässig.
(4) Die Genehmigung nach Absatz 3 Nr. 3 wird erteilt, wenn das öffentliche Interesse an der Durchführung des jeweiligen Forschungsvorhabens die schutzwürdigen Belange der oder des Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Die Genehmigung muß den Forschungszweck, die Art der zu verarbeitenden Daten, den Kreis der Betroffenen sowie bei Übermittlungen den Empfängerkreis bezeichnen und ist der oder dem Landesbeauftragten für den Datenschutz mitzuteilen.
(5) Sobald der Forschungszweck es gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Im Fall des Absatz 3 Nr. 3 ist dies der obersten Aufsichtsbehörde zu melden. Die nach Absatz 3 Satz 2 übermittelten personenbezogenen Daten dürfen für einen anderen als den ursprünglichen Forschungszweck nur nach Maßgabe der Absätze 1 bis 3 weiterverarbeitet werden.
(6) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn
1. die oder der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Personen der Zeitgeschichte unerläßlich ist.
(7) Die übermittelnde Stelle hat empfangende Stellen, auf die dieses Gesetz keine Anwendung findet, zu verpflichten, die Vorschriften der Absätze 5 und 6 einzuhalten und jederzeit Kontrollen durch die oder den Landesbeauftragten für den Datenschutz zu ermöglichen.
§ 23 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
(1) Öffentliche Stellen dürfen Daten der Beschäftigten vorbehaltlich besonderer gesetzlicher oder tarifrechtlicher Regelungen nur nach Maßgabe der Vorschriften des Landesbeamtengesetzes zu Personalakten verarbeiten.
(2) Daten von Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach den §§ 6 und 7 gespeichert oder in einem automatisierten Verfahren gewonnen werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden.
§ 24 Besondere Dokumentationsstelle für Sekten
(1) Die Ministerpräsidentin oder der Ministerpräsident oder eine von ihr oder von ihm besonders beauftragte Stelle (Dokumentationsstelle) kann zum Zweck der Aufklärung oder Warnung die Betätigungen von Sekten oder sektenähnlichen Vereinigungen einschließlich der mit ihnen rechtlich, wirtschaftlich oder in ihrer religiösen oder weltanschaulichen Zielsetzungen verbundenen Organisationen oder Vereinigungen in Schleswig-Holstein dokumentieren und über sie informieren, sofern tatsächliche Anhaltspunkte den Verdacht begründen, daß von deren Wirken Gefahren für die Menschenwürde, die freie Entfaltung der Persönlichkeit, das Leben, die Gesundheit oder das Eigentum ausgehen, insbesondere daß Personen in ihrer Willensfreiheit eingeschränkt werden.
(2) Soweit ein begründeter Verdacht im Sinne des Absatz 1 besteht, kann die Dokumentationsstelle über Personen, die in einer derartigen Sekte, Vereinigung oder Organisation aktiv mitwirken, bei anderen öffentlichen Stellen vorhandene oder öffentlich zugängliche personenbezogene Daten erheben und weiterverarbeiten. Hiervon ausgenommen sind Daten, die besonderen Berufs- oder Amtsgeheimnissen unterliegen, sowie Daten, für die besondere Verwendungsvorschriften in anderen Gesetzen bestehen.
(3) Die Speicherung der erhobenen personenbezogenen Daten ist spätestens nach zwei Jahren auf ihre Erforderlichkeit zu prüfen. Spätestens fünf Jahre nach der letzten Tätigkeit im Sinne von Absatz 2 sind die personenbezogenen Daten zu löschen.
(4) An Stellen außerhalb des öffentlichen Bereichs dürfen personenbezogene Daten übermittelt werden, wenn
1. es zur Erfüllung der Aufgabe nach Absatz 1 erforderlich ist oder
2. ein Dritter ein rechtliches Interesse daran hat
und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind.
Abschnitt VI. Rechte der Betroffenen
§ 25 Rechte der Betroffenen
(1) Betroffene haben nach Maßgabe dieses Gesetzes ein Recht auf
1. Einsicht in das Verfahrensverzeichnis (§ 8 Abs. 3 und 4),
2. Benachrichtigung bei der Erhebung, Speicherung oder Übermittlung der zu ihrer Person gespeicherten Daten (§ 26),
3. Auskunft über die zu ihrer Person gespeicherten Daten (§ 27),
4. Berichtigung, Sperrung oder Löschung der zu ihrer Person gespeicherten Daten (§ 28),
5. Einwand gegen die Datenverarbeitung aus besonderen persönlichen Gründen (§ 29),
6. Schadensersatz (§ 30) und
7. Anrufung der oder des Landesbeauftragten für den Datenschutz (§ 32 Absatz 3).
(2) Die in Absatz 1 genannten Rechte der Betroffenen können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
§ 26 Aufklärung, Benachrichtigung
(1) Werden personenbezogene Daten bei den Betroffenen mit ihrer Kenntnis erhoben, so sind sie in geeigneter Weise aufzuklären über
1. die Anschrift der datenverarbeitenden Stelle,
2. den Zweck der Datenerhebung,
3. die Rechtsvorschrift, die die Datenverarbeitung gestattet; liegt eine solche nicht vor, die Freiwilligkeit der Datenverarbeitung,
4. die Folgen einer Nichtbeantwortung, wenn die Angaben für die Gewährung einer Leistung erforderlich sind,
5. ihre Rechte nach § 25,
6. den Empfängerkreis bei beabsichtigten Übermittlungen sowie
7. die Auftragnehmenden bei beabsichtigter Datenverarbeitung im Auftrag.
(2) Werden die Daten ohne Kenntnis der Betroffenen erhoben, so sind diese in angemessener Weise über die verarbeiteten Daten und über die in Absatz 1 Satz 1 Nummern 1 bis 3 und 5 bis 7 genannten Umstände zu unterrichten. Sollen die Daten übermittelt werden, so hat die Benachrichtigung spätestens zeitgleich mit der Übermittlung zu erfolgen. Satz 1 und 2 finden keine Anwendung, wenn die Betroffenen auf andere Weise Kenntnis von der Verarbeitung ihrer Daten erlangt haben.
§ 27 Auskunft an Betroffene
(1) Den Betroffenen ist von der datenverarbeitenden Stelle auf Antrag gebührenfrei Auskunft zu erteilen über
1. die zu ihrer Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Speicherung,
3. die Herkunft der Daten und den Empfängerkreis von Übermittlungen,
4. die Auftragnehmenden bei Datenverarbeitung im Auftrag sowie
5. die Funktionsweise von automatisierten Verfahren.
Die Betroffenen sollen die Art der personenbezogenen Daten, über die Auskunft verlangt wird, näher bezeichnen.
(2) Den Betroffenen ist nach ihrer Wahl statt der Auskunft die Einsicht in die zu ihrer Person gespeicherten Daten zu gewähren. Die Einsicht wird nicht gewährt, soweit diese mit personenbezogenen Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, daß ihre Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Die Einsicht erstreckt sich nicht auf Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden. Rechtsvorschriften über die Akteneinsicht im Verwaltungsverfahren bleiben unberührt.
(3) Die Auskunftserteilung oder die Gewährung von Einsicht unterbleibt, soweit eine Prüfung ergibt, daß
1. dadurch die Erfüllung der Aufgaben der datenverarbeitenden Stelle, einer übermittelnden Stelle oder einer empfangenden Stelle gefährdet würde,
2. dadurch die öffentliche Sicherheit gefährdet oder sonst dem Wohle des Bundes oder eines Landes schwere Nachteile entstehen würden oder
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person geheimgehalten werden müssen.
(4) In den Fällen des Absatzes 3 sind die Betroffenen unter Mitteilung der wesentlichen Gründe für die Auskunftsverweigerung darauf hinzuweisen, daß sie sich an die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz wenden können. Eine Begründung erfolgt nicht, soweit dadurch der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die Gründe für die Entscheidung nach Satz 2 sind aufzuzeichnen.
§ 28 Berichtigung, Löschung, Sperrung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die datenverarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist.
Die datenverarbeitende Stelle legt in allgemeinen Regelungen über die Aufbewahrung von Daten den Zeitraum fest, innerhalb dessen die Daten als zur Aufgabenerfüllung erforderlich gelten. Sind personenbezogene Daten in Akten untrennbar im Sinn von § 10 Absatz 5 Satz 2 gespeichert, ist die Löschung nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist.
(3) Personenbezogene Daten sind zu sperren, wenn
1. ihre Richtigkeit von der oder dem Betroffenen bestritten wird und sich weder Richtigkeit noch die Unrichtigkeit nachweisen läßt;
2. sie zur Aufgabenerfüllung nicht mehr erforderlich sind, Rechtsvorschriften jedoch die weitere Aufbewahrung anordnen,
3. die oder der Betroffene anstelle der Löschung die Sperrung verlangt,
4. die Löschung die Betroffene oder den Betroffenen in der Verfolgung ihrer oder seiner Rechte oder in sonstigen schutzwürdigen Belangen beeinträchtigen würde,
5. ein Fall von Absatz 2 Satz 3 vorliegt oder
6. bei automatisierten Verfahren die Freigabe nach § 5 nicht vorliegt.
(4) Gesperrte Daten dürfen über die Speicherung hinaus ohne Einwilligung der oder des Betroffenen nicht mehr weiterverarbeitet werden, es sei denn, daß Rechtsvorschriften die Verarbeitung zulassen oder die Nutzung durch die datenverarbeitende Stelle zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der datenverarbeitenden Stelle oder von Dritten liegenden Gründen unerläßlich ist. Die Gründe für die Nutzung gesperrter Daten sind zu dokumentieren. Die datenverarbeitenden Stellen haben durch technische oder organisatorische Maßnahmen sicherzustellen, daß die gesperrten Daten nur nach Maßgabe der Sätze 1 und 2 verarbeitet werden.
(5) Von der Berichtigung, Sperrung oder Löschung nach Absatz 1 Nr. 1 sind unverzüglich die Stellen zu unterrichten, denen die Daten übermittelt wurden. Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden.
§ 29 Einwand gegen die Verarbeitung
Die Betroffenen haben das Recht, schriftlich unter Hinweis auf besondere persönliche Gründe Einwand gegen die Verarbeitung ihrer Daten allgemein oder gegen bestimmte Formen der Verarbeitung zu erheben. Der Einwand ist begründet, wenn ein besonderes persönliches Interesse der oder des Betroffenen das öffentliche Interesse an der Verarbeitung der Daten im Einzelfall überwiegt. In diesem Fall ist die Datenverarbeitung insgesamt oder in bestimmten Formen unzulässig.
§ 30 Schadensersatz
(1) Entsteht der oder dem Betroffenen durch eine unzulässige oder unrichtige Verarbeitung ihrer oder seiner personenbezogenen Daten in einem automatisierten Verfahren ein Schaden, so ist ihr oder ihm der Träger jeder öffentlichen Stelle, die diese Daten für sich selbst verarbeitet oder verarbeiten läßt, unabhängig von einem Verschulden zum Schadensersatz verpflichtet.
(2) In Fällen einer schweren Verletzung des Persönlichkeitsrechts kann die oder der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen.
(3) Die ersatzpflichtige Stelle haftet jeder oder jedem Betroffenen für jedes schädigende Ereignis bis zu einem Betrag von 250 000 Deutsche Mark. Mehrere Ersatzpflichtige haften gesamtschuldnerisch.
(4) Ist streitig, ob ein Schaden ursächliche Folge einer unzulässigen oder unrichtigen Verarbeitung der Daten in einem automatisierten Verfahren ist, so trifft die Beweislast die datenverarbeitende Stelle.
(5) Auf das Mitverschulden der oder des Betroffenen und die Verjährung des Entschädigungsanspruchs sind die §§ 254, 839 Abs. 3 und § 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(6) Die Geltendmachung weitergehender Schadensersatzansprüche aufgrund anderer Vorschriften bleibt unberührt.
Abschnitt VII. Die oder der Landesbeauftragte für den Datenschutz
Die Vorschriften dieses Abschnitts sollen die Modalitäten bei der Bestellung der oder des Landesbeauftragten für den Datenschutz, ihre oder seine Rechtsstellung und die von ihr oder ihm wahrzunehmenden Aufgaben regeln. Im Hinblick auf den im Innenministerium geplanten Entwurf eines Gesetzes zur Neuorganisation des Datenschutzes in Schleswig-Holstein sind die folgenden Vorschriften als vorläufig zu betrachten; der Text muß noch mit dem Vorschlag des Innenministeriums abgestimmt werden. Daher greift dieser Entwurf zunächst auf die bisher geltenden Vorschriften zur Wahl und zur Rechtsstellung der oder des Landesbeauftragten für den Datenschutz zurück. Von materieller Bedeutung sind allerdings die Regelungen in diesem Abschnitt, die der oder dem Landesbeauftragten bestimmte, z.T. neue Aufgaben zuweisen. Diese Normen sind aus der Sicht des Landesbeauftragten unbedingt in ein geändertes LDSG aufzunehmen.
§ 31 Berufung und Rechtsstellung
(1) Das Amt der oder des Landesbeauftragten für den Datenschutz wird bei der Präsidentin oder dem Präsidenten des Schleswig-Holsteinischen Landtages eingerichtet.
(2) Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von sechs Jahren. Die Wiederwahl ist nur einmal zulässig. Vorschlagsberechtigt sind die Fraktionen des Schleswig-Holsteinischen Landtages. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt die oder der Landesbeauftragte für den Datenschutz das Amt bis zur Neuwahl weiter.
(3) Die Präsidentin oder der Präsident des Schleswig-Holsteinischen Landtages ernennt die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz zur Beamtin oder zum Beamten auf Zeit.
(4) Die oder der Landesbeauftragte für den Datenschutz bestellt eine Mitarbeiterin zur Stellvertreterin oder einen Mitarbeiter zum Stellvertreter. Die Stellvertreterin oder der Stellvertreter führt die Geschäfte, wenn die oder der Landesbeauftragte für den Datenschutz an der Ausübung des Amtes verhindert ist.
(5) Vor Ablauf der Amtszeit kann die oder der Landesbeauftragte für den Datenschutz nur mit einer Mehrheit von zwei Dritteln der Mitglieder des Landtages abberufen werden. Die oder der Landesbeauftragte für den Datenschutz kann jederzeit die Entlassung verlangen.
(6) Die oder der Landesbeauftragte für den Datenschutz ist in der Ausübung des Amtes unabhängig und nur dem Gesetz unterworfen. Sie oder er untersteht der Dienstaufsicht der Präsidentin oder des Präsidenten des Schleswig-Holsteinischen Landtages. Für die Erfüllung der Aufgabe ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen.
(7) Die Mitarbeiterinnen und Mitarbeiter werden auf Vorschlag der oder des Landesbeauftragten für den Datenschutz ernannt. Sie können nur im Einvernehmen mit ihr oder ihm versetzt oder abgeordnet werden. Ihre Dienstvorgesetzte oder ihr Dienstvorgesetzter ist die oder der Landesbeauftragte für den Datenschutz, an deren oder dessen Weisungen sie ausschließlich gebunden sind.
(8) Die oder der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne von § 96 Strafprozeßordnung. Sie oder er trifft die Entscheidungen über Aussagegenehmigungen für sich und die Mitarbeiterinnen und Mitarbeiter in eigener Verantwortung.
§ 32 Kontrollaufgaben
(1) Die oder der Landesbeauftragte für den Datenschutz überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen, auf die dieses Gesetz Anwendung findet. Die Gerichte und der Landesrechnungshof unterliegen der Kontrolle, soweit sie nicht in richterlicher Unabhängigkeit tätig werden.
(2) Auf Anforderung des Landtages, des Eingabenausschusses des Landtages oder einer obersten Landesbehörde soll die oder der Landesbeauftragte für den Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die ihren oder seinen Aufgabenbereich unmittelbar betreffen, nachgehen. Sie oder er legt dem Landtag jährlich einen Tätigkeitsbericht vor.
(3) Jede oder jeder hat das Recht, sich unmittelbar an die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz zu wenden, wenn sie oder er annimmt, daß bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen datenschutzrechtliche Vorschriften verletzt wurden. Dies gilt auch für Beschäftigte der öffentlichen Stellen, ohne daß der Dienstweg einzuhalten ist.
(4) Die öffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz und ihre oder seine Mitarbeiterinnen und Mitarbeiter bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Ihnen ist dabei insbesondere
1. Auskunft auf ihre Fragen zu erteilen sowie Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme; besondere Amts- und Berufsgeheimnisse stehen dem nicht entgegen,
2. jederzeit Zutritt zu allen Diensträumen zu gewähren.
Die oder der Landesbeauftragte für den Datenschutz darf im Rahmen von Kontrollen personenbezogene Daten auch ohne Kenntnis der Betroffenen erheben. Die Benachrichtigung der Betroffenen richtet sich nach § 33 Absatz 4.
(5) Stellt die jeweils zuständige oberste Landesbehörde im Einzelfall fest, daß durch eine mit der Einsicht verbundene Bekanntgabe personenbezogener Daten die Sicherheit des Bundes oder eines Landes gefährdet wird, dürfen die Rechte nach Absatz 1 nur von der oder dem Landesbeauftragten für den Datenschutz persönlich oder den von ihr oder ihm schriftlich besonders damit betrauten Beauftragten ausgeübt werden.
§ 33 Beanstandungen
(1) Stellt die oder der Landesbeauftragte für den Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten bei öffentlichen Stellen fest, so fordert sie oder er diese zur Mängelbeseitigung auf.
(2) Bei erheblichen Verstößen oder sonstigen erheblichen Mängeln spricht die oder der Landesbeauftragte für den Datenschutz gegenüber der öffentlichen Stelle eine förmliche Beanstandung aus. Sie oder er kann die öffentliche Stelle zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auffordern und die zuständige Aufsichtsbehörde über die Beanstandung unterrichten.
(3) Mit der Feststellung von Mängeln und der Beanstandung sollen Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbunden werden.
(4) Die Betroffenen können mit Kenntnis der datenverarbeitenden Stelle nach pflichtgemäßem Ermessen von Verstößen gegen die Vorschriften dieses Gesetzes oder andere Datenschutzvorschriften unterrichtet werden.
§ 34 Serviceaufgaben
(1) Die oder der Landesbeauftragte für den Datenschutz berät die öffentlichen Stellen in Fragen des Datenschutzes, der Informationssicherheit und der damit zusammenhängenden Datenverarbeitungstechniken sowie deren Sozialverträglichkeit. Zu diesem Zweck können Empfehlungen zur Verbesserung des Datenschutzes gegeben werden. Auf Anforderung des Landtages, einzelner Fraktionen des Landtages oder der Landesregierung hat die oder der Landesbeauftragte für den Datenschutz Gutachten zu erstellen und Berichte zu erstatten.
(2) Die oder der Landesbeauftragte für den Datenschutz berät und informiert die Bürgerinnen und Bürger über alle Fragen des Datenschutzes und der Informationssicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte sowie über geeignete technische Maßnahmen zum Selbstdatenschutz.
(3) Datenverarbeitende Stellen können ihr Datenschutzkonzept durch die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz prüfen und beurteilen lassen. Das Nähere regelt die Verordnung nach § 5 Absatz 4.
(4) Die oder der Landesbeauftragte für den Datenschutz führt Fortbildungsveranstaltungen zu den Themen Datenschutz und Datensicherheit durch. Sie oder er berät nichtöffentliche Stellen auf Anfrage in Fragen von Datenschutz und Datensicherheit.
(5) Die oder der Landesbeauftragte für den Datenschutz kann für die Wahrnehmung der Aufgaben nach den Absätzen 3 und 4 Entgelte erheben. Das Nähere darüber regelt die Verordnung nach § 5 Absatz 4.
Abschnitt VIII. Übergangs- und Schlußvorschriften
§ 35 Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind,
1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere veranlaßt.
Ordnungswidrig handelt auch, wer anonymisierte oder pseudonymisierte Daten mit anderen Informationen zusammenführt und dadurch die Betroffene oder den Betroffenen wieder bestimmbar macht oder wer sich bei pseudonymisierten Daten entgegen den Vorschriften dieses Gesetzes Zugriff auf die Zuordnungsfunktion verschafft.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 100 000 Deutsche Mark geahndet werden.
§ 36 Übergangsvorschriften
Soweit andere landesrechtliche Vorschriften den Dateibegriff verwenden, ist Datei
1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder
2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nichtautomatisierte Datei).
§ 37 Inkrafttreten
(1) Dieses Gesetz tritt am 1. Januar 2000 in Kraft.
(2) Mit dem Inkrafttreten dieses Gesetzes tritt das Gesetz zum Schutz personenbezogener Informationen vom 30. Oktober 1991 (GVOBl. Schl.-H. S. 555), zuletzt geändert durch Gesetz vom 12. März 1996 (GVOBl. Schl.-H. S. 291), außer Kraft.