I n h a l t s ü b e r s i c h t

Erster Abschnitt

Allgemeine undgemeinsame Bestimmungen

§ 1 Zweck und Anwendungsbereich des Gesetzes

§ 2 Öffentliche und nicht-öffentliche Stellen

§ 3 Weitere Begriffsbestimmungen

§ 3a Datenvermeidung und Datensparsamkeit

§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nut-zung

§ 4a Einwilligung

§ 4b Übermittlung personenbezogener Daten ins Auslandsowie an über- und zwischenstaatliche Stellen

§ 4c Ausnahmen

§ 4d Meldepflicht

§ 4e Inhalt der Meldepflicht

§ 4f Beauftragter für den Datenschutz

§ 4g Aufgaben des Beauftragten für den Datenschutz

§ 5 Datengeheimnis

§ 6 Unabdingbare Rechte des Betroffenen

§ 6a Automatisierte Einzelentscheidung

§ 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen

§ 6c Mobile personenbezogene Speicher- und Verarbeitungs-medien

§ 7 Schadensersatz

§ 8 Schadensersatz bei automatisierter Datenverarbeitungdurch öffentliche Stellen

§ 9 Technische und organisatorische Maßnahmen

§ 9a Datenschutzaudit

§ 10 Einrichtung automatisierter Abrufverfahren

§ 11 Erhebung, Verarbeitung oder Nutzung personenbezoge-ner Daten im Auftrag

Zweiter Abschnitt

Datenverarbeitungder öffentlichen Stellen

Erster Unterabschnitt

Rechtsgrundlagen der Datenverarbeitung

§ 12 Anwendungsbereich

§ 13 Datenerhebung

§ 14 Datenspeicherung, -veränderung und -nutzung

*) Dieses Gesetz dient der Umsetzung der Richtlinie 95/46/EG desEuropäischen Parlaments und des Rates vom 24. Oktober 1995 zumSchutz natürlicher Personen bei der Verarbeitung personenbezogenerDaten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31).

§ 15 Datenübermittlung an öffentliche Stellen

§ 16 Datenübermittlung an nicht-öffentliche Stellen

§ 17 (weggefallen)

§ 18 Durchführung des Datenschutzes in der Bundes-verwaltung

Zweiter Unterabschnitt

Rechte des Betroffenen

§ 19 Auskunft an den Betroffenen

§ 19a Benachrichtigung

§ 20 Berichtigung, Löschung und Sperrung von Daten; Wider-spruchsrecht

§ 21 Anrufung des Bundesbeauftragten für den Datenschutz

Dritter Unterabschnitt

Bundesbeauftragter für den Datenschutz

§ 22 Wahl des Bundesbeauftragten für den Datenschutz

§ 23 Rechtsstellung des Bundesbeauftragten für den Daten-schutz

§ 24 Kontrolle durch den Bundesbeauftragten für den Daten-schutz

§ 25 Beanstandungen durch den Bundesbeauftragten für denDatenschutz

§ 26 Weitere Aufgaben des Bundesbeauftragten für denDatenschutz

Dritter Abschnitt

Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-

rechtlicher Wettbewerbsunternehmen

Erster Unterabschnitt

Rechtsgrundlagen der Datenverarbeitung

§ 27 Anwendungsbereich

§ 28 Datenerhebung, -verarbeitung und -nutzung für eigeneZwecke

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zumZweck der Übermittlung

§ 30 Geschäftsmäßige Datenerhebung und -speicherung zumZweck der Übermittlung in anonymisierter Form

§ 31 Besondere Zweckbindung

§ 32 (weggefallen)

Zweiter Unterabschnitt

Rechte des Betroffenen

§ 33 Benachrichtigung des Betroffenen

§ 34 Auskunft an den Betroffenen

§ 35 Berichtigung, Löschung und Sperrung von Daten

Bundesdatenschutzgesetz(BDSG)*)

Dritter Unterabschnitt

Aufsichtsbehörde

§§ 36 und 37 (weggefallen)

§ 38 Aufsichtsbehörde

§ 38a Verhaltensregeln zur Förderung der Durchführung daten-schutzrechtlicher Regelungen

Vierter Abschnitt

Sondervorschriften

§ 39 Zweckbindung bei personenbezogenen Daten, die einemBerufs- oder besonderen Amtsgeheimnis unterliegen

§ 40 Verarbeitung und Nutzung personenbezogener Datendurch Forschungseinrichtungen

§ 41 Erhebung, Verarbeitung und Nutzung personenbezogenerDaten durch die Medien

§ 42 Datenschutzbeauftragter der Deutschen Welle

Fünfter Abschnitt

Schlussvorschriften

§ 43 Bußgeldvorschriften

§ 44 Strafvorschriften

Sechster Abschnitt

Übergangsvorschriften

§ 45 Laufende Verwendungen

§ 46 Weitergeltung von Begriffsbestimmungen

Anlage (zu § 9 Satz 1)

Erster Abschnitt

Allgemeine undgemeinsame Bestimmungen

§ 1

Zweck undAnwendungsbereich des Gesetzes

(1) Zweck dieses Gesetzes ist es, den Einzelnen davorzu schützen, dass er durch den Umgang mit seinen perso-nenbezogenen Daten in seinem Persönlichkeitsrechtbeeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitungund Nutzung personenbezogener Daten durch

1. öffentliche Stellen des Bundes,

2. öffentliche Stellen der Länder, soweit der Datenschutznicht durch Landesgesetz geregelt ist und soweit sie

a) Bundesrecht ausführen oder

b) als Organe der Rechtspflege tätig werden und essich nicht um Verwaltungsangelegenheiten handelt,

3. nicht-öffentliche Stellen, soweit sie die Daten unterEinsatz von Datenverarbeitungsanlagen verarbeiten,nutzen oder dafür erheben oder die Daten in oder ausnicht automatisierten Dateien verarbeiten, nutzen oder

dafür erheben, es sei denn, die Erhebung, Verarbeitungoder Nutzung der Daten erfolgt ausschließlich für per-sönliche oder familiäre Tätigkeiten.

(3) Soweit andere Rechtsvorschriften des Bundes aufpersonenbezogene Daten einschließlich deren Veröffent-lichung anzuwenden sind, gehen sie den Vorschriften die-ses Gesetzes vor. Die Verpflichtung zur Wahrung gesetz-licher Geheimhaltungspflichten oder von Berufs- oderbesonderen Amtsgeheimnissen, die nicht auf gesetz-lichen Vorschriften beruhen, bleibt unberührt.

(4) Die Vorschriften dieses Gesetzes gehen denen desVerwaltungsverfahrensgesetzes vor, soweit bei derErmittlung des Sachverhalts personenbezogene Datenverarbeitet werden.

(5) Dieses Gesetz findet keine Anwendung, sofern einein einem anderen Mitgliedstaat der Europäischen Unionoder in einem anderen Vertragsstaat des Abkommensüber den Europäischen Wirtschaftsraum belegene verant-wortliche Stelle personenbezogene Daten im Inlanderhebt, verarbeitet oder nutzt, es sei denn, dies erfolgtdurch eine Niederlassung im Inland. Dieses Gesetz findetAnwendung, sofern eine verantwortliche Stelle, die nichtin einem Mitgliedstaat der Europäischen Union oder ineinem anderen Vertragsstaat des Abkommens über denEuropäischen Wirtschaftsraum belegen ist, personen-bezogene Daten im Inland erhebt, verarbeitet oder nutzt.Soweit die verantwortliche Stelle nach diesem Gesetz zunennen ist, sind auch Angaben über im Inland ansässigeVertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofernDatenträger nur zum Zweck des Transits durch das Inlandeingesetzt werden. § 38 Abs. 1 Satz 1 bleibt unberührt.

§ 2

Öffentliche und nicht-öffentliche Stellen

(1) Öffentliche Stellen des Bundes sind die Behörden,die Organe der Rechtspflege und andere öffentlich-recht-lich organisierte Einrichtungen des Bundes, der bundes-unmittelbaren Körperschaften, Anstalten und Stiftungendes öffentlichen Rechts sowie deren Vereinigungen un-geachtet ihrer Rechtsform. Als öffentliche Stellen geltendie aus dem Sondervermögen Deutsche Bundespostdurch Gesetz hervorgegangenen Unternehmen, solangeihnen ein ausschließliches Recht nach dem Postgesetzzusteht.

(2) Öffentliche Stellen der Länder sind die Behörden, dieOrgane der Rechtspflege und andere öffentlich-rechtlichorganisierte Einrichtungen eines Landes, einer Gemeinde,eines Gemeindeverbandes und sonstiger der Aufsicht desLandes unterstehender juristischer Personen des öffent-lichen Rechts sowie deren Vereinigungen ungeachtet ihrerRechtsform.

(3) Vereinigungen des privaten Rechts von öffentlichenStellen des Bundes und der Länder, die Aufgaben deröffentlichen Verwaltung wahrnehmen, gelten ungeachtetder Beteiligung nicht-öffentlicher Stellen als öffentlicheStellen des Bundes, wenn

1. sie über den Bereich eines Landes hinaus tätig werdenoder

2. dem Bund die absolute Mehrheit der Anteile gehörtoder die absolute Mehrheit der Stimmen zusteht.

Andernfalls gelten sie als öffentliche Stellen der Länder.

(4) Nicht-öffentliche Stellen sind natürliche und juristi-sche Personen, Gesellschaften und andere Personen-vereinigungen des privaten Rechts, soweit sie nicht unterdie Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentlicheStelle hoheitliche Aufgaben der öffentlichen Verwaltungwahr, ist sie insoweit öffentliche Stelle im Sinne diesesGesetzes.

§ 3

Weitere Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben überpersönliche oder sachliche Verhältnisse einer bestimmtenoder bestimmbaren natürlichen Person (Betroffener).

(2) Automatisierte Verarbeitung ist die Erhebung, Verar-beitung oder Nutzung personenbezogener Daten unterEinsatz von Datenverarbeitungsanlagen. Eine nicht auto-matisierte Datei ist jede nicht automatisierte Sammlungpersonenbezogener Daten, die gleichartig aufgebaut istund nach bestimmten Merkmalen zugänglich ist und aus-gewertet werden kann.

(3) Erheben ist das Beschaffen von Daten über denBetroffenen.

(4) Verarbeiten ist das Speichern, Verändern, Übermit-teln, Sperren und Löschen personenbezogener Daten. ImEinzelnen ist, ungeachtet der dabei angewendetenVerfahren:

1. Speichern das Erfassen, Aufnehmen oder Aufbewah-ren personenbezogener Daten auf einem Datenträgerzum Zweck ihrer weiteren Verarbeitung oder Nutzung,

2. Verändern das inhaltliche Umgestalten gespeicherterpersonenbezogener Daten,

3. Übermitteln das Bekanntgeben gespeicherter oderdurch Datenverarbeitung gewonnener personenbezo-gener Daten an einen Dritten in der Weise, dass

a) die Daten an den Dritten weitergegeben werdenoder

b) der Dritte zur Einsicht oder zum Abruf bereitgehal-tene Daten einsieht oder abruft,

4. Sperren das Kennzeichnen gespeicherter personen-bezogener Daten, um ihre weitere Verarbeitung oderNutzung einzuschränken,

5. Löschen das Unkenntlichmachen gespeicherter per-sonenbezogener Daten.

(5) Nutzen ist jede Verwendung personenbezogenerDaten, soweit es sich nicht um Verarbeitung handelt.

(6) Anonymisieren ist das Verändern personenbezoge-ner Daten derart, dass die Einzelangaben über persön-liche oder sachliche Verhältnisse nicht mehr oder nur miteinem unverhältnismäßig großen Aufwand an Zeit, Kostenund Arbeitskraft einer bestimmten oder bestimmbarennatürlichen Person zugeordnet werden können.

(6a) Pseudonymisieren ist das Ersetzen des Namensund anderer Identifikationsmerkmale durch ein Kenn-zeichen zu dem Zweck, die Bestimmung des Betroffenenauszuschließen oder wesentlich zu erschweren.

(7) Verantwortliche Stelle ist jede Person oder Stelle,die personenbezogene Daten für sich selbst erhebt, ver-arbeitet oder nutzt oder dies durch andere im Auftragvornehmen lässt.

(8) Empfänger ist jede Person oder Stelle, die Datenerhält. Dritter ist jede Person oder Stelle außerhalb derverantwortlichen Stelle. Dritte sind nicht der Betroffenesowie Personen und Stellen, die im Inland, in einem an-deren Mitgliedstaat der Europäischen Union oder in einemanderen Vertragsstaat des Abkommens über den Euro-päischen Wirtschaftsraum personenbezogene Daten imAuftrag erheben, verarbeiten oder nutzen.

(9) Besondere Arten personenbezogener Daten sindAngaben über die rassische und ethnische Herkunft,politische Meinungen, religiöse oder philosophischeÜberzeugungen, Gewerkschaftszugehörigkeit, Gesund-heit oder Sexualleben.

(10) Mobile personenbezogene Speicher- und Verar-beitungsmedien sind Datenträger,

1. die an den Betroffenen ausgegeben werden,

2. auf denen personenbezogene Daten über die Speiche-rung hinaus durch die ausgebende oder eine andereStelle automatisiert verarbeitet werden können und

3. bei denen der Betroffene diese Verarbeitung nur durchden Gebrauch des Mediums beeinflussen kann.

§ 3a

Datenvermeidung und Datensparsamkeit

Gestaltung und Auswahl von Datenverarbeitungssyste-men haben sich an dem Ziel auszurichten, keine oder sowenig personenbezogene Daten wie möglich zu erheben,zu verarbeiten oder zu nutzen. Insbesondere ist von denMöglichkeiten der Anonymisierung und Pseudonymisie-rung Gebrauch zu machen, soweit dies möglich ist undder Aufwand in einem angemessenen Verhältnis zu demangestrebten Schutzzweck steht.

§ 4

Zulässigkeit der Daten-erhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personen-bezogener Daten sind nur zulässig, soweit dieses Gesetzoder eine andere Rechtsvorschrift dies erlaubt oderanordnet oder der Betroffene eingewilligt hat.

(2) Personenbezogene Daten sind beim Betroffenen zuerheben. Ohne seine Mitwirkung dürfen sie nur erhobenwerden, wenn

1. eine Rechtsvorschrift dies vorsieht oder zwingend vor-aussetzt oder

2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nachoder der Geschäftszweck eine Erhebung bei ande-ren Personen oder Stellen erforderlich macht oder

b) die Erhebung beim Betroffenen einen unverhältnis-mäßigen Aufwand erfordern würde

und keine Anhaltspunkte dafür bestehen, dass über-wiegende schutzwürdige Interessen des Betroffenenbeeinträchtigt werden.

(3) Werden personenbezogene Daten beim Betroffenenerhoben, so ist er, sofern er nicht bereits auf andere WeiseKenntnis erlangt hat, von der verantwortlichen Stelle über

1. die Identität der verantwortlichen Stelle,

2. die Zweckbestimmungen der Erhebung, Verarbeitungoder Nutzung und

3. die Kategorien von Empfängern nur, soweit der Betrof-fene nach den Umständen des Einzelfalles nicht mitder Übermittlung an diese rechnen muss,

zu unterrichten. Werden personenbezogene Daten beimBetroffenen aufgrund einer Rechtsvorschrift erhoben, diezur Auskunft verpflichtet, oder ist die Erteilung der Aus-kunft Voraussetzung für die Gewährung von Rechtsvor-teilen, so ist der Betroffene hierauf, sonst auf die Freiwillig-keit seiner Angaben hinzuweisen. Soweit nach denUmständen des Einzelfalles erforderlich oder auf Verlan-gen, ist er über die Rechtsvorschrift und über die Folgender Verweigerung von Angaben aufzuklären.

§ 4a

Einwilligung

(1) Die Einwilligung ist nur wirksam, wenn sie aufder freien Entscheidung des Betroffenen beruht. Er ist aufden vorgesehenen Zweck der Erhebung, Verarbeitungoder Nutzung sowie, soweit nach den Umständen desEinzelfalles erforderlich oder auf Verlangen, auf die Fol-gen der Verweigerung der Einwilligung hinzuweisen. DieEinwilligung bedarf der Schriftform, soweit nicht wegenbesonderer Umstände eine andere Form angemessenist. Soll die Einwilligung zusammen mit anderen Erklärun-gen schriftlich erteilt werden, ist sie besonders hervor-zuheben.

(2) Im Bereich der wissenschaftlichen Forschung liegtein besonderer Umstand im Sinne von Absatz 1 Satz 3auch dann vor, wenn durch die Schriftform der bestimmteForschungszweck erheblich beeinträchtigt würde. In die-sem Fall sind der Hinweis nach Absatz 1 Satz 2 und dieGründe, aus denen sich die erhebliche Beeinträchtigungdes bestimmten Forschungszwecks ergibt, schriftlichfestzuhalten.

(3) Soweit besondere Arten personenbezogener Daten(§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden,muss sich die Einwilligung darüber hinaus ausdrücklichauf diese Daten beziehen.

§ 4b

Übermittlungpersonenbezogener Daten ins Ausland

sowie an über- oder zwischenstaatliche Stellen

(1) Für die Übermittlung personenbezogener Daten anStellen

1. in anderen Mitgliedstaaten der Europäischen Union,

2. in anderen Vertragsstaaten des Abkommens über denEuropäischen Wirtschaftsraum oder

3. der Organe und Einrichtungen der EuropäischenGemeinschaften

gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30 nach Maß-gabe der für diese Übermittlung geltenden Gesetze undVereinbarungen, soweit die Übermittlung im Rahmen vonTätigkeiten erfolgt, die ganz oder teilweise in den Anwen-dungsbereich des Rechts der Europäischen Gemein-schaften fallen.

(2) Für die Übermittlung personenbezogener Daten anStellen nach Absatz 1, die nicht im Rahmen von Tätigkei-ten erfolgt, die ganz oder teilweise in den Anwendungs-bereich des Rechts der Europäischen Gemeinschaftenfallen, sowie an sonstige ausländische oder über- oder

zwischenstaatliche Stellen gilt Absatz 1 entsprechend. DieÜbermittlung unterbleibt, soweit der Betroffene einschutzwürdiges Interesse an dem Ausschluss der Über-mittlung hat, insbesondere wenn bei den in Satz 1genannten Stellen ein angemessenes Datenschutzniveaunicht gewährleistet ist. Satz 2 gilt nicht, wenn die Über-mittlung zur Erfüllung eigener Aufgaben einer öffentlichenStelle des Bundes aus zwingenden Gründen der Verteidi-gung oder der Erfüllung über- oder zwischenstaatlicherVerpflichtungen auf dem Gebiet der Krisenbewältigungoder Konfliktverhinderung oder für humanitäre Maßnah-men erforderlich ist.

(3) Die Angemessenheit des Schutzniveaus wird unterBerücksichtigung aller Umstände beurteilt, die bei einerDatenübermittlung oder einer Kategorie von Datenüber-mittlungen von Bedeutung sind; insbesondere können dieArt der Daten, die Zweckbestimmung, die Dauer dergeplanten Verarbeitung, das Herkunfts- und das End-bestimmungsland, die für den betreffenden Empfängergeltenden Rechtsnormen sowie die für ihn geltendenStandesregeln und Sicherheitsmaßnahmen herange-zogen werden.

(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet dieübermittelnde Stelle den Betroffenen von der Übermitt-lung seiner Daten. Dies gilt nicht, wenn damit zu rechnenist, dass er davon auf andere Weise Kenntnis erlangt, oderwenn die Unterrichtung die öffentliche Sicherheit gefähr-den oder sonst dem Wohl des Bundes oder eines LandesNachteile bereiten würde.

(5) Die Verantwortung für die Zulässigkeit der Übermitt-lung trägt die übermittelnde Stelle.

(6) Die Stelle, an die die Daten übermittelt werden, ist aufden Zweck hinzuweisen, zu dessen Erfüllung die Datenübermittelt werden.

§ 4c

Ausnahmen

(1) Im Rahmen von Tätigkeiten, die ganz oder teilweisein den Anwendungsbereich des Rechts der EuropäischenGemeinschaften fallen, ist eine Übermittlung personen-bezogener Daten an andere als die in § 4b Abs. 1 genann-ten Stellen, auch wenn bei ihnen ein angemessenesDatenschutzniveau nicht gewährleistet ist, zulässig,sofern

1. der Betroffene seine Einwilligung gegeben hat,

2. die Übermittlung für die Erfüllung eines Vertragszwischen dem Betroffenen und der verantwortlichenStelle oder zur Durchführung von vorvertraglichenMaßnahmen, die auf Veranlassung des Betroffenengetroffen worden sind, erforderlich ist,

3. die Übermittlung zum Abschluss oder zur Erfüllungeines Vertrags erforderlich ist, der im Interesse desBetroffenen von der verantwortlichen Stelle mit einemDritten geschlossen wurde oder geschlossen werdensoll,

4. die Übermittlung für die Wahrung eines wichtigenöffentlichen Interesses oder zur Geltendmachung,Ausübung oder Verteidigung von Rechtsansprüchenvor Gericht erforderlich ist,

5. die Übermittlung für die Wahrung lebenswichtigerInteressen des Betroffenen erforderlich ist oder

6. die Übermittlung aus einem Register erfolgt, das zurInformation der Öffentlichkeit bestimmt ist und entwe-der der gesamten Öffentlichkeit oder allen Personen,die ein berechtigtes Interesse nachweisen können, zurEinsichtnahme offen steht, soweit die gesetzlichenVoraussetzungen im Einzelfall gegeben sind.

Die Stelle, an die die Daten übermittelt werden, ist daraufhinzuweisen, dass die übermittelten Daten nur zu demZweck verarbeitet oder genutzt werden dürfen, zu dessenErfüllung sie übermittelt werden.

(2) Unbeschadet des Absatzes 1 Satz 1 kann die zustän-dige Aufsichtsbehörde einzelne Übermittlungen oderbestimmte Arten von Übermittlungen personenbezogenerDaten an andere als die in § 4b Abs. 1 genannten Stellengenehmigen, wenn die verantwortliche Stelle ausreichen-de Garantien hinsichtlich des Schutzes des Persönlich-keitsrechts und der Ausübung der damit verbundenenRechte vorweist; die Garantien können sich insbesondereaus Vertragsklauseln oder verbindlichen Unternehmens-regelungen ergeben. Bei den Post- und Telekommunikati-onsunternehmen ist der Bundesbeauftragte für denDatenschutz zuständig. Sofern die Übermittlung durchöffentliche Stellen erfolgen soll, nehmen diese die Prüfungnach Satz 1 vor.

(3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1ergangenen Entscheidungen mit.

§ 4d

Meldepflicht

(1) Verfahren automatisierter Verarbeitungen sind vorihrer Inbetriebnahme von nicht-öffentlichen verantwort-lichen Stellen der zuständigen Aufsichtsbehörde und vonöffentlichen verantwortlichen Stellen des Bundes sowievon den Post- und Telekommunikationsunternehmendem Bundesbeauftragten für den Datenschutz nach Maß-gabe von § 4e zu melden.

(2) Die Meldepflicht entfällt, wenn die verantwortlicheStelle einen Beauftragten für den Datenschutz bestellt hat.

(3) Die Meldepflicht entfällt ferner, wenn die verantwort-liche Stelle personenbezogene Daten für eigene Zweckeerhebt, verarbeitet oder nutzt, hierbei höchstens vierArbeitnehmer mit der Erhebung, Verarbeitung oderNutzung personenbezogener Daten beschäftigt und ent-weder eine Einwilligung der Betroffenen vorliegt oder dieErhebung, Verarbeitung oder Nutzung der Zweckbestim-mung eines Vertragsverhältnisses oder vertragsähnlichenVertrauensverhältnisses mit den Betroffenen dient.

(4) Die Absätze 2 und 3 gelten nicht, wenn es sichum automatisierte Verarbeitungen handelt, in denengeschäftsmäßig personenbezogene Daten von der jeweili-gen Stelle

1. zum Zweck der Übermittlung oder

2. zum Zweck der anonymisierten Übermittlung

gespeichert werden.

(5) Soweit automatisierte Verarbeitungen besondereRisiken für die Rechte und Freiheiten der Betroffenen auf-weisen, unterliegen sie der Prüfung vor Beginn der Verar-beitung (Vorabkontrolle). Eine Vorabkontrolle ist insbeson-dere durchzuführen, wenn

1. besondere Arten personenbezogener Daten (§ 3Abs. 9) verarbeitet werden oder

2. die Verarbeitung personenbezogener Daten dazubestimmt ist, die Persönlichkeit des Betroffenen zubewerten einschließlich seiner Fähigkeiten, seinerLeistung oder seines Verhaltens,

es sei denn, dass eine gesetzliche Verpflichtung oder eineEinwilligung des Betroffenen vorliegt oder die Erhebung,Verarbeitung oder Nutzung der Zweckbestimmung einesVertragsverhältnisses oder vertragsähnlichen Vertrauens-verhältnisses mit dem Betroffenen dient.

(6) Zuständig für die Vorabkontrolle ist der Beauftragtefür den Datenschutz. Dieser nimmt die Vorabkontrollenach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oderbei den Post- und Telekommunikationsunternehmen anden Bundesbeauftragten für den Datenschutz zu wenden.

§ 4e

Inhalt der Meldepflicht

Sofern Verfahren automatisierter Verarbeitungenmeldepflichtig sind, sind folgende Angaben zu machen:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstigegesetzliche oder nach der Verfassung des Unterneh-mens berufene Leiter und die mit der Leitung derDatenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbei-tung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppenund der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denendie Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vor-läufig zu beurteilen, ob die Maßnahmen nach § 9 zurGewährleistung der Sicherheit der Verarbeitung ange-messen sind.

§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mit-geteilten Angaben sowie für den Zeitpunkt der Aufnahmeund der Beendigung der meldepflichtigen Tätigkeit ent-sprechend.

§ 4f

Beauftragter für den Datenschutz

(1) Öffentliche und nicht-öffentliche Stellen, die perso-nenbezogene Daten automatisiert erheben, verarbeitenoder nutzen, haben einen Beauftragten für den Daten-schutz schriftlich zu bestellen. Nicht-öffentliche Stellensind hierzu spätestens innerhalb eines Monats nach Auf-nahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wennpersonenbezogene Daten auf andere Weise erhoben, ver-arbeitet oder genutzt werden und damit in der Regel min-destens 20 Personen beschäftigt sind. Die Sätze 1 und 2gelten nicht für nicht-öffentliche Stellen, die höchstensvier Arbeitnehmer mit der Erhebung, Verarbeitung oderNutzung personenbezogener Daten beschäftigen. Soweitaufgrund der Struktur einer öffentlichen Stelle erforderlich,genügt die Bestellung eines Beauftragten für den Daten-

schutz für mehrere Bereiche. Soweit nicht-öffentlicheStellen automatisierte Verarbeitungen vornehmen, dieeiner Vorabkontrolle unterliegen oder personenbezogeneDaten geschäftsmäßig zum Zweck der Übermittlung oderder anonymisierten Übermittlung erheben, verarbeitenoder nutzen, haben sie unabhängig von der Anzahl derArbeitnehmer einen Beauftragten für den Datenschutzzu bestellen.

(2) Zum Beauftragten für den Datenschutz darf nurbestellt werden, wer die zur Erfüllung seiner Aufgabenerforderliche Fachkunde und Zuverlässigkeit besitzt. Mitdieser Aufgabe kann auch eine Person außerhalb der ver-antwortlichen Stelle betraut werden. Öffentliche Stellenkönnen mit Zustimmung ihrer Aufsichtsbehörde einenBediensteten aus einer anderen öffentlichen Stelle zumBeauftragten für den Datenschutz bestellen.

(3) Der Beauftragte für den Datenschutz ist dem Leiterder öffentlichen oder nicht-öffentlichen Stelle unmittelbarzu unterstellen. Er ist in Ausübung seiner Fachkunde aufdem Gebiet des Datenschutzes weisungsfrei. Er darfwegen der Erfüllung seiner Aufgaben nicht benachteiligtwerden. Die Bestellung zum Beauftragten für den Daten-schutz kann in entsprechender Anwendung von § 626 desBürgerlichen Gesetzbuchs, bei nicht-öffentlichen Stellenauch auf Verlangen der Aufsichtsbehörde, widerrufenwerden.

(4) Der Beauftragte für den Datenschutz ist zur Ver-schwiegenheit über die Identität des Betroffenen sowieüber Umstände, die Rückschlüsse auf den Betroffenenzulassen, verpflichtet, soweit er nicht davon durch denBetroffenen befreit wird.

(5) Die öffentlichen und nicht-öffentlichen Stellen habenden Beauftragten für den Datenschutz bei der Erfüllungseiner Aufgaben zu unterstützen und ihm insbesondere,soweit dies zur Erfüllung seiner Aufgaben erforderlich ist,Hilfspersonal sowie Räume, Einrichtungen, Geräte undMittel zur Verfügung zu stellen. Betroffene können sichjederzeit an den Beauftragten für den Datenschutz wen-den.

§ 4g

Aufgaben desBeauftragten für den Datenschutz

(1) Der Beauftragte für den Datenschutz wirkt auf dieEinhaltung dieses Gesetzes und anderer Vorschriften überden Datenschutz hin. Zu diesem Zweck kann sich derBeauftragte für den Datenschutz in Zweifelsfällen an diefür die Datenschutzkontrolle bei der verantwortlichen Stel-le zuständige Behörde wenden. Er hat insbesondere

1. die ordnungsgemäße Anwendung der Datenverarbei-tungsprogramme, mit deren Hilfe personenbezogeneDaten verarbeitet werden sollen, zu überwachen; zudiesem Zweck ist er über Vorhaben der automatisier-ten Verarbeitung personenbezogener Daten rechtzeitigzu unterrichten,

2. die bei der Verarbeitung personenbezogener Datentätigen Personen durch geeignete Maßnahmen mit denVorschriften dieses Gesetzes sowie anderen Vorschrif-ten über den Datenschutz und mit den jeweiligenbesonderen Erfordernissen des Datenschutzes ver-traut zu machen.

(2) Dem Beauftragten für den Datenschutz ist von derverantwortlichen Stelle eine Übersicht über die in § 4e

Satz 1 genannten Angaben sowie über zugriffsberechtig-te Personen zur Verfügung zu stellen. Im Fall des § 4dAbs. 2 macht der Beauftragte für den Datenschutz dieAngaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jeder-mann in geeigneter Weise verfügbar. Im Fall des § 4dAbs. 3 gilt Satz 2 entsprechend für die verantwortlicheStelle.

(3) Auf die in § 6 Abs. 2 Satz 4 genannten Behörden fin-det Absatz 2 Satz 2 keine Anwendung. Absatz 1 Satz 2 fin-det mit der Maßgabe Anwendung, dass der behördlicheBeauftragte für den Datenschutz das Benehmen mit demBehördenleiter herstellt; bei Unstimmigkeiten zwischendem behördlichen Beauftragten für den Datenschutz unddem Behördenleiter entscheidet die oberste Bundes-behörde.

§ 5

Datengeheimnis

Den bei der Datenverarbeitung beschäftigten Personenist untersagt, personenbezogene Daten unbefugt zu erhe-ben, zu verarbeiten oder zu nutzen (Datengeheimnis).Diese Personen sind, soweit sie bei nicht-öffentlichenStellen beschäftigt werden, bei der Aufnahme ihrer Tätig-keit auf das Datengeheimnis zu verpflichten. Das Daten-geheimnis besteht auch nach Beendigung ihrer Tätigkeitfort.

§ 6

Unabdingbare Rechte des Betroffenen

(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34)und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35)können nicht durch Rechtsgeschäft ausgeschlossen oderbeschränkt werden.

(2) Sind die Daten des Betroffenen automatisiert in derWeise gespeichert, dass mehrere Stellen speicherungs-berechtigt sind, und ist der Betroffene nicht in der Lagefestzustellen, welche Stelle die Daten gespeichert hat, sokann er sich an jede dieser Stellen wenden. Diese ist ver-pflichtet, das Vorbringen des Betroffenen an die Stelle, diedie Daten gespeichert hat, weiterzuleiten. Der Betroffeneist über die Weiterleitung und jene Stelle zu unterrichten.Die in § 19 Abs. 3 genannten Stellen, die Behörden derStaatsanwaltschaft und der Polizei sowie öffentliche Stel-len der Finanzverwaltung, soweit sie personenbezogeneDaten in Erfüllung ihrer gesetzlichen Aufgaben im Anwen-dungsbereich der Abgabenordnung zur Überwachungund Prüfung speichern, können statt des Betroffenen denBundesbeauftragten für den Datenschutz unterrichten. Indiesem Fall richtet sich das weitere Verfahren nach § 19Abs. 6.

§ 6a

Automatisierte Einzelentscheidung

(1) Entscheidungen, die für den Betroffenen eine recht-liche Folge nach sich ziehen oder ihn erheblich beein-trächtigen, dürfen nicht ausschließlich auf eine automati-sierte Verarbeitung personenbezogener Daten gestütztwerden, die der Bewertung einzelner Persönlichkeits-merkmale dienen.

(2) Dies gilt nicht, wenn

1. die Entscheidung im Rahmen des Abschlusses oderder Erfüllung eines Vertragsverhältnisses oder eines

sonstigen Rechtsverhältnisses ergeht und dem Begeh-ren des Betroffenen stattgegeben wurde oder

2. die Wahrung der berechtigten Interessen des Betroffe-nen durch geeignete Maßnahmen gewährleistet unddem Betroffenen von der verantwortlichen Stelle dieTatsache des Vorliegens einer Entscheidung im Sinnedes Absatzes 1 mitgeteilt wird. Als geeignete Maßnah-me gilt insbesondere die Möglichkeit des Betroffenen,seinen Standpunkt geltend zu machen. Die verantwort-liche Stelle ist verpflichtet, ihre Entscheidung erneut zuprüfen.

(3) Das Recht des Betroffenen auf Auskunft nach den§§ 19 und 34 erstreckt sich auch auf den logischen Aufbauder automatisierten Verarbeitung der ihn betreffendenDaten.

§ 6b

Beobachtungöffentlich zugänglicher Räume mit

optisch-elektronischen Einrichtungen

(1) Die Beobachtung öffentlich zugänglicher Räumemit optisch-elektronischen Einrichtungen (Videoüberwa-chung) ist nur zulässig, soweit sie

1. zur Aufgabenerfüllung öffentlicher Stellen,

2. zur Wahrnehmung des Hausrechts oder

3. zur Wahrnehmung berechtigter Interessen für konkretfestgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dassschutzwürdige Interessen der Betroffenen überwiegen.

(2) Der Umstand der Beobachtung und die verantwort-liche Stelle sind durch geeignete Maßnahmen erkennbarzu machen.

(3) Die Verarbeitung oder Nutzung von nach Absatz 1erhobenen Daten ist zulässig, wenn sie zum Erreichen desverfolgten Zwecks erforderlich ist und keine Anhaltspunk-te bestehen, dass schutzwürdige Interessen der Betroffe-nen überwiegen. Für einen anderen Zweck dürfen sie nurverarbeitet oder genutzt werden, soweit dies zur Abwehrvon Gefahren für die staatliche und öffentliche Sicherheitsowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Dateneiner bestimmten Person zugeordnet, ist diese über eineVerarbeitung oder Nutzung entsprechend den §§ 19aund 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zurErreichung des Zwecks nicht mehr erforderlich sind oderschutzwürdige Interessen der Betroffenen einer weiterenSpeicherung entgegenstehen.

§ 6c

Mobile personenbezogeneSpeicher- und Verarbeitungsmedien

(1) Die Stelle, die ein mobiles personenbezogenesSpeicher- und Verarbeitungsmedium ausgibt oder einVerfahren zur automatisierten Verarbeitung personenbe-zogener Daten, das ganz oder teilweise auf einem solchenMedium abläuft, auf das Medium aufbringt, ändert oderhierzu bereithält, muss den Betroffenen

1. über ihre Identität und Anschrift,

2. in allgemein verständlicher Form über die Funktions-weise des Mediums einschließlich der Art der zu verar-beitenden personenbezogenen Daten,

3. darüber, wie er seine Rechte nach den §§ 19, 20, 34und 35 ausüben kann, und

4. über die bei Verlust oder Zerstörung des Mediums zutreffenden Maßnahmen

unterrichten, soweit der Betroffene nicht bereits Kenntniserlangt hat.

(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorgezu tragen, dass die zur Wahrnehmung des Auskunfts-rechts erforderlichen Geräte oder Einrichtungen in ange-messenem Umfang zum unentgeltlichen Gebrauch zurVerfügung stehen.

(3) Kommunikationsvorgänge, die auf dem Medium eineDatenverarbeitung auslösen, müssen für den Betroffeneneindeutig erkennbar sein.

§ 7

Schadensersatz

Fügt eine verantwortliche Stelle dem Betroffenen durcheine nach diesem Gesetz oder nach anderen Vorschriftenüber den Datenschutz unzulässige oder unrichtige Erhe-bung, Verarbeitung oder Nutzung seiner personenbezo-genen Daten einen Schaden zu, ist sie oder ihr Träger demBetroffenen zum Schadensersatz verpflichtet. Die Ersatz-pflicht entfällt, soweit die verantwortliche Stelle die nachden Umständen des Falles gebotene Sorgfalt beachtethat.

§ 8

Schadensersatz bei automatisierterDatenverarbeitung durch öffentliche Stellen

(1) Fügt eine verantwortliche öffentliche Stelle demBetroffenen durch eine nach diesem Gesetz oder nachanderen Vorschriften über den Datenschutz unzulässigeoder unrichtige automatisierte Erhebung, Verarbeitungoder Nutzung seiner personenbezogenen Daten einenSchaden zu, ist ihr Träger dem Betroffenen unabhängigvon einem Verschulden zum Schadensersatz verpflichtet.

(2) Bei einer schweren Verletzung des Persönlichkeits-rechts ist dem Betroffenen der Schaden, der nicht Vermö-gensschaden ist, angemessen in Geld zu ersetzen.

(3) Die Ansprüche nach den Absätzen 1 und 2 sind ins-gesamt auf einen Betrag von 130 000 Euro begrenzt. Istaufgrund desselben Ereignisses an mehrere PersonenSchadensersatz zu leisten, der insgesamt den Höchst-betrag von 130 000 Euro übersteigt, so verringern sich dieeinzelnen Schadensersatzleistungen in dem Verhältnis, indem ihr Gesamtbetrag zu dem Höchstbetrag steht.

(4) Sind bei einer automatisierten Verarbeitung mehrereStellen speicherungsberechtigt und ist der Geschädigtenicht in der Lage, die speichernde Stelle festzustellen, sohaftet jede dieser Stellen.

(5) Hat bei der Entstehung des Schadens ein Verschul-den des Betroffenen mitgewirkt, gilt § 254 des Bürger-lichen Gesetzbuchs.

(6) Auf die Verjährung finden die für unerlaubte Handlun-gen geltenden Verjährungsvorschriften des BürgerlichenGesetzbuchs entsprechende Anwendung.

§ 9

Technischeund organisatorische Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oderim Auftrag personenbezogene Daten erheben, verarbeitenoder nutzen, haben die technischen und organisatori-schen Maßnahmen zu treffen, die erforderlich sind, um dieAusführung der Vorschriften dieses Gesetzes, insbeson-dere die in der Anlage zu diesem Gesetz genannten Anfor-derungen, zu gewährleisten. Erforderlich sind Maßnah-men nur, wenn ihr Aufwand in einem angemessenenVerhältnis zu dem angestrebten Schutzzweck steht.

§ 9a

Datenschutzaudit

Zur Verbesserung des Datenschutzes und der Daten-sicherheit können Anbieter von Datenverarbeitungssyste-men und -programmen und datenverarbeitende Stellen ihrDatenschutzkonzept sowie ihre technischen Einrichtun-gen durch unabhängige und zugelassene Gutachterprüfen und bewerten lassen sowie das Ergebnis derPrüfung veröffentlichen. Die näheren Anforderungen andie Prüfung und Bewertung, das Verfahren sowie die Aus-wahl und Zulassung der Gutachter werden durch beson-deres Gesetz geregelt.

§ 10

Einrichtungautomatisierter Abrufverfahren

(1) Die Einrichtung eines automatisierten Verfahrens,das die Übermittlung personenbezogener Daten durchAbruf ermöglicht, ist zulässig, soweit dieses Verfahrenunter Berücksichtigung der schutzwürdigen Interessender Betroffenen und der Aufgaben oder Geschäftszweckeder beteiligten Stellen angemessen ist. Die Vorschriftenüber die Zulässigkeit des einzelnen Abrufs bleibenunberührt.

(2) Die beteiligten Stellen haben zu gewährleisten, dassdie Zulässigkeit des Abrufverfahrens kontrolliert werdenkann. Hierzu haben sie schriftlich festzulegen:

1. Anlass und Zweck des Abrufverfahrens,

2. Dritte, an die übermittelt wird,

3. Art der zu übermittelnden Daten,

4. nach § 9 erforderliche technische und organisatorischeMaßnahmen.

Im öffentlichen Bereich können die erforderlichen Fest-legungen auch durch die Fachaufsichtsbehörden getrof-fen werden.

(3) Über die Einrichtung von Abrufverfahren ist in Fällen,in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind,der Bundesbeauftragte für den Datenschutz unter Mittei-lung der Festlegungen nach Absatz 2 zu unterrichten. DieEinrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nurzulässig, wenn das für die speichernde und die abrufendeStelle jeweils zuständige Bundes- oder Landesministeri-um zugestimmt hat.

(4) Die Verantwortung für die Zulässigkeit des einzelnenAbrufs trägt der Dritte, an den übermittelt wird. Die spei-chernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn

dazu Anlass besteht. Die speichernde Stelle hat zugewährleisten, dass die Übermittlung personenbezogenerDaten zumindest durch geeignete Stichprobenverfahrenfestgestellt und überprüft werden kann. Wird ein Gesamt-bestand personenbezogener Daten abgerufen oder über-mittelt (Stapelverarbeitung), so bezieht sich die Gewähr-leistung der Feststellung und Überprüfung nur auf dieZulässigkeit des Abrufes oder der Übermittlung desGesamtbestandes.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allge-mein zugänglicher Daten. Allgemein zugänglich sindDaten, die jedermann, sei es ohne oder nach vorherigerAnmeldung, Zulassung oder Entrichtung eines Entgelts,nutzen kann.

§ 11

Erhebung,Verarbeitung oder Nutzung

personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag durchandere Stellen erhoben, verarbeitet oder genutzt, ist derAuftraggeber für die Einhaltung der Vorschriften diesesGesetzes und anderer Vorschriften über den Datenschutzverantwortlich. Die in den §§ 6, 7 und 8 genannten Rechtesind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksich-tigung der Eignung der von ihm getroffenen technischenund organisatorischen Maßnahmen sorgfältig auszu-wählen. Der Auftrag ist schriftlich zu erteilen, wobei dieDatenerhebung, -verarbeitung oder -nutzung, die techni-schen und organisatorischen Maßnahmen und etwaigeUnterauftragsverhältnisse festzulegen sind. Er kann beiöffentlichen Stellen auch durch die Fachaufsichtsbehördeerteilt werden. Der Auftraggeber hat sich von der Einhal-tung der beim Auftragnehmer getroffenen technischenund organisatorischen Maßnahmen zu überzeugen.

(3) Der Auftragnehmer darf die Daten nur im Rahmen derWeisungen des Auftraggebers erheben, verarbeiten odernutzen. Ist er der Ansicht, dass eine Weisung des Auftrag-gebers gegen dieses Gesetz oder andere Vorschriftenüber den Datenschutz verstößt, hat er den Auftraggeberunverzüglich darauf hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie§ 44 nur die Vorschriften über die Datenschutzkontrolleoder die Aufsicht, und zwar für

1. a) öffentliche Stellen,

b) nicht-öffentliche Stellen, bei denen der öffentlichenHand die Mehrheit der Anteile gehört oder dieMehrheit der Stimmen zusteht und der Auftrag-geber eine öffentliche Stelle ist,

die §§ 18, 24 bis 26 oder die entsprechenden Vor-schriften der Datenschutzgesetze der Länder,

2. die übrigen nicht-öffentlichen Stellen, soweit sie perso-nenbezogene Daten im Auftrag als Dienstleistungs-unternehmen geschäftsmäßig erheben, verarbeitenoder nutzen, die §§ 4f, 4g und 38.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn diePrüfung oder Wartung automatisierter Verfahren oder vonDatenverarbeitungsanlagen durch andere Stellen im Auf-trag vorgenommen wird und dabei ein Zugriff auf perso-nenbezogene Daten nicht ausgeschlossen werden kann.

Zweiter Abschnitt

Datenverarbeitungder öffentlichen Stellen

E r s t e r U n t e r a b s c h n i t t

R e c h t s g r u n d l a g e nd e r D a t e n v e r a r b e i t u n g

§ 12

Anwendungsbereich

(1) Die Vorschriften dieses Abschnittes gelten für öffent-liche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.

(2) Soweit der Datenschutz nicht durch Landesgesetzgeregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für dieöffentlichen Stellen der Länder, soweit sie

1. Bundesrecht ausführen und nicht als öffentlich-recht-liche Unternehmen am Wettbewerb teilnehmen oder

2. als Organe der Rechtspflege tätig werden und es sichnicht um Verwaltungsangelegenheiten handelt.

(3) Für Landesbeauftragte für den Datenschutz gilt § 23Abs. 4 entsprechend.

(4) Werden personenbezogene Daten für frühere, beste-hende oder zukünftige dienst- oder arbeitsrechtlicheRechtsverhältnisse erhoben, verarbeitet oder genutzt,gelten anstelle der §§ 13 bis 16, 19 bis 20 der § 28 Abs. 1und 3 Nr. 1 sowie die §§ 33 bis 35, auch soweit personen-bezogene Daten weder automatisiert verarbeitet noch innicht automatisierten Dateien verarbeitet oder genutztoder dafür erhoben werden.

§ 13

Datenerhebung

(1) Das Erheben personenbezogener Daten ist zulässig,wenn ihre Kenntnis zur Erfüllung der Aufgaben der verant-wortlichen Stelle erforderlich ist.

(1a) Werden personenbezogene Daten statt beimBetroffenen bei einer nicht-öffentlichen Stelle erhoben, soist die Stelle auf die Rechtsvorschrift, die zur Auskunftverpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hin-zuweisen.

(2) Das Erheben besonderer Arten personenbezogenerDaten (§ 3 Abs. 9) ist nur zulässig, soweit

1. eine Rechtsvorschrift dies vorsieht oder aus Gründeneines wichtigen öffentlichen Interesses zwingenderfordert,

2. der Betroffene nach Maßgabe des § 4a Abs. 3 ein-gewilligt hat,

3. dies zum Schutz lebenswichtiger Interessen desBetroffenen oder eines Dritten erforderlich ist,sofern der Betroffene aus physischen oder rechtlichenGründen außerstande ist, seine Einwilligung zu geben,

4. es sich um Daten handelt, die der Betroffene offen-kundig öffentlich gemacht hat,

5. dies zur Abwehr einer erheblichen Gefahr für die öffent-liche Sicherheit erforderlich ist,

6. dies zur Abwehr erheblicher Nachteile für das Gemein-wohl oder zur Wahrung erheblicher Belange desGemeinwohls zwingend erforderlich ist,

7. dies zum Zweck der Gesundheitsvorsorge, der medizi-nischen Diagnostik, der Gesundheitsversorgung oderBehandlung oder für die Verwaltung von Gesundheits-diensten erforderlich ist und die Verarbeitung dieserDaten durch ärztliches Personal oder durch sonstigePersonen erfolgt, die einer entsprechenden Geheim-haltungspflicht unterliegen,

8. dies zur Durchführung wissenschaftlicher Forschungerforderlich ist, das wissenschaftliche Interesse an derDurchführung des Forschungsvorhabens das Interes-se des Betroffenen an dem Ausschluss der Erhebungerheblich überwiegt und der Zweck der Forschung aufandere Weise nicht oder nur mit unverhältnismäßigemAufwand erreicht werden kann oder

9. dies aus zwingenden Gründen der Verteidigung oderder Erfüllung über- oder zwischenstaatlicher Ver-pflichtungen einer öffentlichen Stelle des Bundes aufdem Gebiet der Krisenbewältigung oder Konflikt-verhinderung oder für humanitäre Maßnahmen erfor-derlich ist.

§ 14

Datenspeicherung,-veränderung und -nutzung

(1) Das Speichern, Verändern oder Nutzen personen-bezogener Daten ist zulässig, wenn es zur Erfüllung der inder Zuständigkeit der verantwortlichen Stelle liegendenAufgaben erforderlich ist und es für die Zwecke erfolgt, fürdie die Daten erhoben worden sind. Ist keine Erhebungvorausgegangen, dürfen die Daten nur für die Zweckegeändert oder genutzt werden, für die sie gespeichertworden sind.

(2) Das Speichern, Verändern oder Nutzen für andereZwecke ist nur zulässig, wenn

1. eine Rechtsvorschrift dies vorsieht oder zwingend vor-aussetzt,

2. der Betroffene eingewilligt hat,

3. offensichtlich ist, dass es im Interesse des Betroffenenliegt, und kein Grund zu der Annahme besteht, dass erin Kenntnis des anderen Zwecks seine Einwilligungverweigern würde,

4. Angaben des Betroffenen überprüft werden müssen,weil tatsächliche Anhaltspunkte für deren Unrichtigkeitbestehen,

5. die Daten allgemein zugänglich sind oder die verant-wortliche Stelle sie veröffentlichen dürfte, es sei denn,dass das schutzwürdige Interesse des Betroffenen andem Ausschluss der Zweckänderung offensichtlichüberwiegt,

6. es zur Abwehr erheblicher Nachteile für das Gemein-wohl oder einer Gefahr für die öffentliche Sicherheitoder zur Wahrung erheblicher Belange des Gemein-wohls erforderlich ist,

7. es zur Verfolgung von Straftaten oder Ordnungswidrig-keiten, zur Vollstreckung oder zum Vollzug von Strafenoder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 desStrafgesetzbuchs oder von Erziehungsmaßregeln oderZuchtmitteln im Sinne des Jugendgerichtsgesetzesoder zur Vollstreckung von Bußgeldentscheidungenerforderlich ist,

8. es zur Abwehr einer schwerwiegenden Beeinträch-tigung der Rechte einer anderen Person erforderlich istoder

9. es zur Durchführung wissenschaftlicher Forschungerforderlich ist, das wissenschaftliche Interesse an derDurchführung des Forschungsvorhabens das Interes-se des Betroffenen an dem Ausschluss der Zweck-änderung erheblich überwiegt und der Zweck derForschung auf andere Weise nicht oder nur mit unver-hältnismäßigem Aufwand erreicht werden kann.

(3) Eine Verarbeitung oder Nutzung für andere Zweckeliegt nicht vor, wenn sie der Wahrnehmung von Aufsichts-und Kontrollbefugnissen, der Rechnungsprüfung oder derDurchführung von Organisationsuntersuchungen für dieverantwortliche Stelle dient. Das gilt auch für die Verarbei-tung oder Nutzung zu Ausbildungs- und Prüfungs-zwecken durch die verantwortliche Stelle, soweit nichtüberwiegende schutzwürdige Interessen des Betroffenenentgegenstehen.

(4) Personenbezogene Daten, die ausschließlich zuZwecken der Datenschutzkontrolle, der Datensicherungoder zur Sicherstellung eines ordnungsgemäßen Betrie-bes einer Datenverarbeitungsanlage gespeichert werden,dürfen nur für diese Zwecke verwendet werden.

(5) Das Speichern, Verändern oder Nutzen von beson-deren Arten personenbezogener Daten (§ 3 Abs. 9) fürandere Zwecke ist nur zulässig, wenn

1. die Voraussetzungen vorliegen, die eine Erhebungnach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würdenoder

2. dies zur Durchführung wissenschaftlicher Forschungerforderlich ist, das öffentliche Interesse an der Durch-führung des Forschungsvorhabens das Interesse desBetroffenen an dem Ausschluss der Zweckänderungerheblich überwiegt und der Zweck der Forschung aufandere Weise nicht oder nur mit unverhältnismäßigemAufwand erreicht werden kann.

Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen desöffentlichen Interesses das wissenschaftliche Interesse andem Forschungsvorhaben besonders zu berücksichtigen.

(6) Die Speicherung, Veränderung oder Nutzung vonbesonderen Arten personenbezogener Daten (§ 3 Abs. 9)zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sichnach den für die in § 13 Abs. 2 Nr. 7 genannten Personengeltenden Geheimhaltungspflichten.

§ 15

Datenübermittlung an öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten anöffentliche Stellen ist zulässig, wenn

1. sie zur Erfüllung der in der Zuständigkeit der übermit-telnden Stelle oder des Dritten, an den die Daten über-mittelt werden, liegenden Aufgaben erforderlich ist und

2. die Voraussetzungen vorliegen, die eine Nutzung nach§ 14 zulassen würden.

(2) Die Verantwortung für die Zulässigkeit der Übermitt-lung trägt die übermittelnde Stelle. Erfolgt die Übermitt-lung auf Ersuchen des Dritten, an den die Daten übermit-telt werden, trägt dieser die Verantwortung. In diesemFall prüft die übermittelnde Stelle nur, ob das Übermitt-lungsersuchen im Rahmen der Aufgaben des Dritten, an

den die Daten übermittelt werden, liegt, es sei denn, dassbesonderer Anlass zur Prüfung der Zulässigkeit der Über-mittlung besteht. § 10 Abs. 4 bleibt unberührt.

(3) Der Dritte, an den die Daten übermittelt werden, darfdiese für den Zweck verarbeiten oder nutzen, zu dessenErfüllung sie ihm übermittelt werden. Eine Verarbeitungoder Nutzung für andere Zwecke ist nur unter den Voraus-setzungen des § 14 Abs. 2 zulässig.

(4) Für die Übermittlung personenbezogener Daten anStellen der öffentlich-rechtlichen Religionsgesellschaftengelten die Absätze 1 bis 3 entsprechend, sofern sicher-gestellt ist, dass bei diesen ausreichende Datenschutz-maßnahmen getroffen werden.

(5) Sind mit personenbezogenen Daten, die nachAbsatz 1 übermittelt werden dürfen, weitere personenbe-zogene Daten des Betroffenen oder eines Dritten so ver-bunden, dass eine Trennung nicht oder nur mit unvertret-barem Aufwand möglich ist, so ist die Übermittlung auchdieser Daten zulässig, soweit nicht berechtigte Interessendes Betroffenen oder eines Dritten an deren Geheimhal-tung offensichtlich überwiegen; eine Nutzung dieserDaten ist unzulässig.

(6) Absatz 5 gilt entsprechend, wenn personenbezoge-ne Daten innerhalb einer öffentlichen Stelle weitergegebenwerden.

§ 16

Datenübermittlungan nicht-öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten annicht-öffentliche Stellen ist zulässig, wenn

1. sie zur Erfüllung der in der Zuständigkeit der übermit-telnden Stelle liegenden Aufgaben erforderlich ist unddie Voraussetzungen vorliegen, die eine Nutzung nach§ 14 zulassen würden, oder

2. der Dritte, an den die Daten übermittelt werden, einberechtigtes Interesse an der Kenntnis der zu übermit-telnden Daten glaubhaft darlegt und der Betroffenekein schutzwürdiges Interesse an dem Ausschluss derÜbermittlung hat. Das Übermitteln von besonderenArten personenbezogener Daten (§ 3 Abs. 9) ist abwei-chend von Satz 1 Nr. 2 nur zulässig, wenn die Voraus-setzungen vorliegen, die eine Nutzung nach § 14 Abs. 5und 6 zulassen würden oder soweit dies zur Geltend-machung, Ausübung oder Verteidigung rechtlicherAnsprüche erforderlich ist.

(2) Die Verantwortung für die Zulässigkeit der Übermitt-lung trägt die übermittelnde Stelle.

(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2unterrichtet die übermittelnde Stelle den Betroffenen vonder Übermittlung seiner Daten. Dies gilt nicht, wenn damitzu rechnen ist, dass er davon auf andere Weise Kenntniserlangt, oder wenn die Unterrichtung die öffentlicheSicherheit gefährden oder sonst dem Wohle des Bundesoder eines Landes Nachteile bereiten würde.

(4) Der Dritte, an den die Daten übermittelt werden, darfdiese nur für den Zweck verarbeiten oder nutzen, zu des-sen Erfüllung sie ihm übermittelt werden. Die übermitteln-de Stelle hat ihn darauf hinzuweisen. Eine Verarbeitungoder Nutzung für andere Zwecke ist zulässig, wenn eineÜbermittlung nach Absatz 1 zulässig wäre und die über-mittelnde Stelle zugestimmt hat.

§ 17

(weggefallen)

§ 18

Durchführung des Daten-schutzes in der Bundesverwaltung

(1) Die obersten Bundesbehörden, der Präsident desBundeseisenbahnvermögens sowie die bundesunmittel-baren Körperschaften, Anstalten und Stiftungen desöffentlichen Rechts, über die von der Bundesregierungoder einer obersten Bundesbehörde lediglich die Rechts-aufsicht ausgeübt wird, haben für ihren Geschäftsbereichdie Ausführung dieses Gesetzes sowie anderer Rechts-vorschriften über den Datenschutz sicherzustellen. DasGleiche gilt für die Vorstände der aus dem Sondervermö-gen Deutsche Bundespost durch Gesetz hervorgegange-nen Unternehmen, solange diesen ein ausschließlichesRecht nach dem Postgesetz zusteht.

(2) Die öffentlichen Stellen führen ein Verzeichnis dereingesetzten Datenverarbeitungsanlagen. Für ihre auto-matisierten Verarbeitungen haben sie die Angaben nach§ 4e sowie die Rechtsgrundlage der Verarbeitung schrift-lich festzulegen. Bei allgemeinen Verwaltungszweckendienenden automatisierten Verarbeitungen, bei welchendas Auskunftsrecht des Betroffenen nicht nach § 19Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgese-hen werden. Für automatisierte Verarbeitungen, die ingleicher oder ähnlicher Weise mehrfach geführt werden,können die Festlegungen zusammengefasst werden.

Z w e i t e r U n t e r a b s c h n i t t

R e c h t e d e s B e t r o f f e n e n

§ 19

Auskunft an den Betroffenen

(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilenüber

1. die zu seiner Person gespeicherten Daten, auch soweitsie sich auf die Herkunft dieser Daten beziehen,

2. die Empfänger oder Kategorien von Empfängern, andie die Daten weitergegeben werden, und

3. den Zweck der Speicherung.

In dem Antrag soll die Art der personenbezogenen Da-ten, über die Auskunft erteilt werden soll, näher bezeich-net werden. Sind die personenbezogenen Daten wederautomatisiert noch in nicht automatisierten Dateiengespeichert, wird die Auskunft nur erteilt, soweit derBetroffene Angaben macht, die das Auffinden der Datenermöglichen, und der für die Erteilung der Auskunft erfor-derliche Aufwand nicht außer Verhältnis zu dem vomBetroffenen geltend gemachten Informationsinteressesteht. Die verantwortliche Stelle bestimmt das Verfahren,insbesondere die Form der Auskunftserteilung, nachpflichtgemäßem Ermessen.

(2) Absatz 1 gilt nicht für personenbezogene Daten, dienur deshalb gespeichert sind, weil sie aufgrund gesetz-licher, satzungsmäßiger oder vertraglicher Aufbewah-rungsvorschriften nicht gelöscht werden dürfen, oder aus-schließlich Zwecken der Datensicherung oder der Daten-schutzkontrolle dienen und eine Auskunftserteilung einenunverhältnismäßigen Aufwand erfordern würde.

(3) Bezieht sich die Auskunftserteilung auf die Übermitt-lung personenbezogener Daten an Verfassungsschutz-behörden, den Bundesnachrichtendienst, den Militäri-schen Abschirmdienst und, soweit die Sicherheit desBundes berührt wird, andere Behörden des Bundes-ministeriums der Verteidigung, ist sie nur mit Zustimmungdieser Stellen zulässig.

(4) Die Auskunftserteilung unterbleibt, soweit

1. die Auskunft die ordnungsgemäße Erfüllung der in derZuständigkeit der verantwortlichen Stelle liegendenAufgaben gefährden würde,

2. die Auskunft die öffentliche Sicherheit oder Ordnunggefährden oder sonst dem Wohle des Bundes odereines Landes Nachteile bereiten würde oder

3. die Daten oder die Tatsache ihrer Speicherung nacheiner Rechtsvorschrift oder ihrem Wesen nach, ins-besondere wegen der überwiegenden berechtigtenInteressen eines Dritten, geheim gehalten werdenmüssen

und deswegen das Interesse des Betroffenen an der Aus-kunftserteilung zurücktreten muss.

(5) Die Ablehnung der Auskunftserteilung bedarf einerBegründung nicht, soweit durch die Mitteilung dertatsächlichen und rechtlichen Gründe, auf die die Ent-scheidung gestützt wird, der mit der Auskunftsverweige-rung verfolgte Zweck gefährdet würde. In diesem Fall istder Betroffene darauf hinzuweisen, dass er sich an denBundesbeauftragten für den Datenschutz wenden kann.

(6) Wird dem Betroffenen keine Auskunft erteilt, so istsie auf sein Verlangen dem Bundesbeauftragten für denDatenschutz zu erteilen, soweit nicht die jeweils zuständi-ge oberste Bundesbehörde im Einzelfall feststellt, dassdadurch die Sicherheit des Bundes oder eines Landesgefährdet würde. Die Mitteilung des Bundesbeauftragtenan den Betroffenen darf keine Rückschlüsse auf denErkenntnisstand der verantwortlichen Stelle zulassen,sofern diese nicht einer weitergehenden Auskunftzustimmt.

(7) Die Auskunft ist unentgeltlich.

§ 19a

Benachrichtigung

(1) Werden Daten ohne Kenntnis des Betroffenen erho-ben, so ist er von der Speicherung, der Identität der ver-antwortlichen Stelle sowie über die Zweckbestimmungender Erhebung, Verarbeitung oder Nutzung zu unterrichten.Der Betroffene ist auch über die Empfänger oder Kategori-en von Empfängern von Daten zu unterrichten, soweit ernicht mit der Übermittlung an diese rechnen muss. Soferneine Übermittlung vorgesehen ist, hat die Unterrichtungspätestens bei der ersten Übermittlung zu erfolgen.

(2) Eine Pflicht zur Benachrichtigung besteht nicht,wenn

1. der Betroffene auf andere Weise Kenntnis von derSpeicherung oder der Übermittlung erlangt hat,

2. die Unterrichtung des Betroffenen einen unverhältnis-mäßigen Aufwand erfordert oder

3. die Speicherung oder Übermittlung der personenbezo-genen Daten durch Gesetz ausdrücklich vorgesehenist.

Die verantwortliche Stelle legt schriftlich fest, unter wel-chen Voraussetzungen von einer Benachrichtigung nachNummer 2 oder 3 abgesehen wird.

(3) § 19 Abs. 2 bis 4 gilt entsprechend.

§ 20

Berichtigung, Löschung undSperrung von Daten; Widerspruchsrecht

(1) Personenbezogene Daten sind zu berichtigen, wennsie unrichtig sind. Wird festgestellt, dass personenbezo-gene Daten, die weder automatisiert verarbeitet noch innicht automatisierten Dateien gespeichert sind, unrichtigsind, oder wird ihre Richtigkeit von dem Betroffenenbestritten, so ist dies in geeigneter Weise festzuhalten.

(2) Personenbezogene Daten, die automatisiert verar-beitet oder in nicht automatisierten Dateien gespeichertsind, sind zu löschen, wenn

1. ihre Speicherung unzulässig ist oder

2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllungder in ihrer Zuständigkeit liegenden Aufgaben nichtmehr erforderlich ist.

(3) An die Stelle einer Löschung tritt eine Sperrung,soweit

1. einer Löschung gesetzliche, satzungsmäßige oder ver-tragliche Aufbewahrungsfristen entgegenstehen,

2. Grund zu der Annahme besteht, dass durch eineLöschung schutzwürdige Interessen des Betroffenenbeeinträchtigt würden, oder

3. eine Löschung wegen der besonderen Art der Spei-cherung nicht oder nur mit unverhältnismäßig hohemAufwand möglich ist.

(4) Personenbezogene Daten, die automatisiert verar-beitet oder in nicht automatisierten Dateien gespeichertsind, sind ferner zu sperren, soweit ihre Richtigkeit vomBetroffenen bestritten wird und sich weder die Richtigkeitnoch die Unrichtigkeit feststellen lässt.

(5) Personenbezogene Daten dürfen nicht für eine auto-matisierte Verarbeitung oder Verarbeitung in nicht auto-matisierten Dateien erhoben, verarbeitet oder genutztwerden, soweit der Betroffene dieser bei der verantwortli-chen Stelle widerspricht und eine Prüfung ergibt, dass dasschutzwürdige Interesse des Betroffenen wegen seinerbesonderen persönlichen Situation das Interesse der ver-antwortlichen Stelle an dieser Erhebung, Verarbeitungoder Nutzung überwiegt. Satz 1 gilt nicht, wenn eineRechtsvorschrift zur Erhebung, Verarbeitung oder Nut-zung verpflichtet.

(6) Personenbezogene Daten, die weder automatisiertverarbeitet noch in einer nicht automatisierten Dateigespeichert sind, sind zu sperren, wenn die Behörde imEinzelfall feststellt, dass ohne die Sperrung schutzwürdigeInteressen des Betroffenen beeinträchtigt würden und dieDaten für die Aufgabenerfüllung der Behörde nicht mehrerforderlich sind.

(7) Gesperrte Daten dürfen ohne Einwilligung desBetroffenen nur übermittelt oder genutzt werden, wenn

1. es zu wissenschaftlichen Zwecken, zur Behebungeiner bestehenden Beweisnot oder aus sonstigen imüberwiegenden Interesse der verantwortlichen Stelleoder eines Dritten liegenden Gründen unerlässlich istund

2. die Daten hierfür übermittelt oder genutzt werden dürf-ten, wenn sie nicht gesperrt wären.

(8) Von der Berichtigung unrichtiger Daten, der Sper-rung bestrittener Daten sowie der Löschung oder Sper-rung wegen Unzulässigkeit der Speicherung sind die Stel-len zu verständigen, denen im Rahmen einer Datenüber-mittlung diese Daten zur Speicherung weitergegeben wur-den, wenn dies keinen unverhältnismäßigen Aufwanderfordert und schutzwürdige Interessen des Betroffenennicht entgegenstehen.

(9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzesist anzuwenden.

§ 21

Anrufung des Bundes-beauftragten für den Datenschutz

Jedermann kann sich an den Bundesbeauftragten fürden Datenschutz wenden, wenn er der Ansicht ist, bei derErhebung, Verarbeitung oder Nutzung seiner personen-bezogenen Daten durch öffentliche Stellen des Bundes inseinen Rechten verletzt worden zu sein. Für die Erhebung,Verarbeitung oder Nutzung von personenbezogenenDaten durch Gerichte des Bundes gilt dies nur, soweitdiese in Verwaltungsangelegenheiten tätig werden.

D r i t t e r U n t e r a b s c h n i t t

B u n d e s b e a u f t r a g t e rf ü r d e n D a t e n s c h u t z

§ 22

Wahl des Bundes-beauftragten für den Datenschutz

(1) Der Deutsche Bundestag wählt auf Vorschlag derBundesregierung den Bundesbeauftragten für den Daten-schutz mit mehr als der Hälfte der gesetzlichen Zahl seinerMitglieder. Der Bundesbeauftragte muss bei seiner Wahldas 35. Lebensjahr vollendet haben. Der Gewählte ist vomBundespräsidenten zu ernennen.

(2) Der Bundesbeauftragte leistet vor dem Bundes-minister des Innern folgenden Eid:

„Ich schwöre, dass ich meine Kraft dem Wohle desdeutschen Volkes widmen, seinen Nutzen mehren,Schaden von ihm wenden, das Grundgesetz und dieGesetze des Bundes wahren und verteidigen, meinePflichten gewissenhaft erfüllen und Gerechtigkeit gegenjedermann üben werde. So wahr mir Gott helfe.“

Der Eid kann auch ohne religiöse Beteuerung geleistetwerden.

(3) Die Amtszeit des Bundesbeauftragten beträgt fünfJahre. Einmalige Wiederwahl ist zulässig.

(4) Der Bundesbeauftragte steht nach Maßgabe diesesGesetzes zum Bund in einem öffentlich-rechtlichen Amts-verhältnis. Er ist in Ausübung seines Amtes unabhängigund nur dem Gesetz unterworfen. Er untersteht derRechtsaufsicht der Bundesregierung.

(5) Der Bundesbeauftragte wird beim Bundesministe-rium des Innern eingerichtet. Er untersteht der Dienstauf-sicht des Bundesministeriums des Innern. Dem Bundes-beauftragten ist die für die Erfüllung seiner Aufgaben not-wendige Personal- und Sachausstattung zur Verfügung zu

stellen; sie ist im Einzelplan des Bundesministeriums desInnern in einem eigenen Kapitel auszuweisen. Die Stellensind im Einvernehmen mit dem Bundesbeauftragten zubesetzen. Die Mitarbeiter können, falls sie mit der beab-sichtigten Maßnahme nicht einverstanden sind, nur imEinvernehmen mit ihm versetzt, abgeordnet oder umge-setzt werden.

(6) Ist der Bundesbeauftragte vorübergehend an derAusübung seines Amtes verhindert, kann der Bundes-minister des Innern einen Vertreter mit der Wahrnehmungder Geschäfte beauftragen. Der Bundesbeauftragte solldazu gehört werden.

§ 23

Rechtsstellung des Bundes-beauftragten für den Datenschutz

(1) Das Amtsverhältnis des Bundesbeauftragten für denDatenschutz beginnt mit der Aushändigung der Ernen-nungsurkunde. Es endet

1. mit Ablauf der Amtszeit,

2. mit der Entlassung.

Der Bundespräsident entlässt den Bundesbeauftragten,wenn dieser es verlangt oder auf Vorschlag der Bun-desregierung, wenn Gründe vorliegen, die bei einemRichter auf Lebenszeit die Entlassung aus dem Dienstrechtfertigen. Im Fall der Beendigung des Amtsverhält-nisses erhält der Bundesbeauftragte eine vom Bundes-präsidenten vollzogene Urkunde. Eine Entlassung wird mitder Aushändigung der Urkunde wirksam. Auf Ersuchendes Bundesministers des Innern ist der Bundesbeauftrag-te verpflichtet, die Geschäfte bis zur Ernennung seinesNachfolgers weiterzuführen.

(2) Der Bundesbeauftragte darf neben seinem Amt keinanderes besoldetes Amt, kein Gewerbe und keinen Berufausüben und weder der Leitung oder dem Aufsichtsratoder Verwaltungsrat eines auf Erwerb gerichteten Unter-nehmens noch einer Regierung oder einer gesetzgeben-den Körperschaft des Bundes oder eines Landesangehören. Er darf nicht gegen Entgelt außergerichtlicheGutachten abgeben.

(3) Der Bundesbeauftragte hat dem Bundesministeriumdes Innern Mitteilung über Geschenke zu machen, die er inBezug auf sein Amt erhält. Das Bundesministerium desInnern entscheidet über die Verwendung der Geschenke.

(4) Der Bundesbeauftragte ist berechtigt, über Perso-nen, die ihm in seiner Eigenschaft als BundesbeauftragterTatsachen anvertraut haben, sowie über diese Tatsachenselbst das Zeugnis zu verweigern. Dies gilt auch für dieMitarbeiter des Bundesbeauftragten mit der Maßgabe,dass über die Ausübung dieses Rechts der Bundesbeauf-tragte entscheidet. Soweit das Zeugnisverweigerungs-recht des Bundesbeauftragten reicht, darf die Vorlegungoder Auslieferung von Akten oder anderen Schriftstückenvon ihm nicht gefordert werden.

(5) Der Bundesbeauftragte ist, auch nach Beendigungseines Amtsverhältnisses, verpflichtet, über die ihm amt-lich bekannt gewordenen Angelegenheiten Verschwie-genheit zu bewahren. Dies gilt nicht für Mitteilungen imdienstlichen Verkehr oder über Tatsachen, die offenkun-dig sind oder ihrer Bedeutung nach keiner Geheimhaltungbedürfen. Der Bundesbeauftragte darf, auch wenn er nichtmehr im Amt ist, über solche Angelegenheiten ohne

Genehmigung des Bundesministeriums des Innern wedervor Gericht noch außergerichtlich aussagen oderErklärungen abgeben. Unberührt bleibt die gesetzlichbegründete Pflicht, Straftaten anzuzeigen und bei Gefähr-dung der freiheitlichen demokratischen Grundordnung fürderen Erhaltung einzutreten. Für den Bundesbeauftragtenund seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1,§ 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116Abs. 1 der Abgabenordnung nicht. Satz 5 findet keineAnwendung, soweit die Finanzbehörden die Kenntnis fürdie Durchführung eines Verfahrens wegen einer Steuer-straftat sowie eines damit zusammenhängenden Steuer-verfahrens benötigen, an deren Verfolgung ein zwingen-des öffentliches Interesse besteht, oder soweit es sich umvorsätzlich falsche Angaben des Auskunftspflichtigenoder der für ihn tätigen Personen handelt. Stellt derBundesbeauftragte einen Datenschutzverstoß fest, ist erbefugt, diesen anzuzeigen und den Betroffenen hierüberzu informieren.

(6) Die Genehmigung, als Zeuge auszusagen, soll nurversagt werden, wenn die Aussage dem Wohle des Bun-des oder eines deutschen Landes Nachteile bereiten oderdie Erfüllung öffentlicher Aufgaben ernstlich gefährdenoder erheblich erschweren würde. Die Genehmigung, einGutachten zu erstatten, kann versagt werden, wenn dieErstattung den dienstlichen Interessen Nachteile bereitenwürde. § 28 des Bundesverfassungsgerichtsgesetzesbleibt unberührt.

(7) Der Bundesbeauftragte erhält vom Beginn desKalendermonats an, in dem das Amtsverhältnis beginnt,bis zum Schluss des Kalendermonats, in dem das Amts-verhältnis endet, im Fall des Absatzes 1 Satz 6 bis zumEnde des Monats, in dem die Geschäftsführung endet,Amtsbezüge in Höhe der einem Bundesbeamten der Be-soldungsgruppe B 9 zustehenden Besoldung. Das Bun-desreisekostengesetz und das Bundesumzugskosten-gesetz sind entsprechend anzuwenden. Im Übrigen sinddie §§ 13 bis 20 des Bundesministergesetzes in derFassung der Bekanntmachung vom 27. Juli 1971 (BGBl. IS. 1166), zuletzt geändert durch das Gesetz zur Kürzungdes Amtsgehalts der Mitglieder der Bundesregierung undder Parlamentarischen Staatssekretäre vom 22. Dezem-ber 1982 (BGBl. I S. 2007), mit der Maßgabe anzuwenden,dass an die Stelle der zweijährigen Amtszeit in § 15 Abs. 1des Bundesministergesetzes eine Amtszeit von fünfJahren tritt. Abweichend von Satz 3 in Verbindung mit den§§ 15 bis 17 des Bundesministergesetzes berechnet sichdas Ruhegehalt des Bundesbeauftragten unter Hinzu-rechnung der Amtszeit als ruhegehaltsfähige Dienstzeit inentsprechender Anwendung des Beamtenversorgungs-gesetzes, wenn dies günstiger ist und der Bundes-beauftragte sich unmittelbar vor seiner Wahl zum Bundes-beauftragten als Beamter oder Richter mindestens indem letzten gewöhnlich vor Erreichen der Besoldungs-gruppe B 9 zu durchlaufenden Amt befunden hat.*)

*) Gemäß Artikel 3 Nr. 2 des Versorgungsänderungsgesetzes 2001 vom20. Dezember 2001 (BGBl. I S. 3926) ist am 1. Januar 2003 § 23 Abs. 7wie folgt geändert worden:a) Satz 3 wird wie folgt gefasst:

„Im Übrigen sind die §§ 13 bis 20 und 21a Abs. 5 des Bundesminister-gesetzes mit den Maßgaben anzuwenden, dass an die Stelle derzweijährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzeseine Amtszeit von fünf Jahren und an die Stelle der Besoldungs-gruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes die Besol-dungsgruppe B 9 tritt.“

b) In Satz 4 wird die Angabe „§§ 15 bis 17“ durch die Angabe „§§ 15bis 17 und 21a Abs. 5“ ersetzt.

(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffent-lichen Stellen, die für die Kontrolle der Einhaltung der Vor-schriften über den Datenschutz in den Ländern zuständigsind.

§ 24

Kontrolle durch den Bundes-beauftragten für den Datenschutz

(1) Der Bundesbeauftragte für den Datenschutz kontrol-liert bei den öffentlichen Stellen des Bundes die Einhal-tung der Vorschriften dieses Gesetzes und anderer Vor-schriften über den Datenschutz.

(2) Die Kontrolle des Bundesbeauftragten erstreckt sichauch auf

1. von öffentlichen Stellen des Bundes erlangte perso-nenbezogene Daten über den Inhalt und die näherenUmstände des Brief-, Post- und Fernmeldeverkehrsund

2. personenbezogene Daten, die einem Berufs- oderbesonderen Amtsgeheimnis, insbesondere dem Steu-ergeheimnis nach § 30 der Abgabenordnung, unter-liegen.

Das Grundrecht des Brief-, Post- und Fernmeldegeheim-nisses des Artikels 10 des Grundgesetzes wird insoweiteingeschränkt. Personenbezogene Daten, die der Kon-trolle durch die Kommission nach § 15 des Artikel 10-Ge-setzes unterliegen, unterliegen nicht der Kontrolle durchden Bundesbeauftragten, es sei denn, die Kommissionersucht den Bundesbeauftragten, die Einhaltung der Vor-schriften über den Datenschutz bei bestimmten Vorgän-gen oder in bestimmten Bereichen zu kontrollieren undausschließlich ihr darüber zu berichten. Der Kontrolledurch den Bundesbeauftragten unterliegen auch nichtpersonenbezogene Daten in Akten über die Sicherheits-überprüfung, wenn der Betroffene der Kontrolle der auf ihnbezogenen Daten im Einzelfall gegenüber dem Bundes-beauftragten widerspricht.

(3) Die Bundesgerichte unterliegen der Kontrolle desBundesbeauftragten nur, soweit sie in Verwaltungsange-legenheiten tätig werden.

(4) Die öffentlichen Stellen des Bundes sind verpflichtet,den Bundesbeauftragten und seine Beauftragten bei derErfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabeiinsbesondere

1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterla-gen, insbesondere in die gespeicherten Daten und indie Datenverarbeitungsprogramme, zu gewähren, dieim Zusammenhang mit der Kontrolle nach Absatz 1stehen,

2. jederzeit Zutritt in alle Diensträume zu gewähren.

Die in § 6 Abs. 2 und § 19 Abs. 3 genannten Behördengewähren die Unterstützung nur dem Bundesbeauftrag-ten selbst und den von ihm schriftlich besonders Beauf-tragten. Satz 2 gilt für diese Behörden nicht, soweit dieoberste Bundesbehörde im Einzelfall feststellt, dass dieAuskunft oder Einsicht die Sicherheit des Bundes odereines Landes gefährden würde.

(5) Der Bundesbeauftragte teilt das Ergebnis seinerKontrolle der öffentlichen Stelle mit. Damit kann er Vor-schläge zur Verbesserung des Datenschutzes, insbeson-dere zur Beseitigung von festgestellten Mängeln bei der

Verarbeitung oder Nutzung personenbezogener Daten,verbinden. § 25 bleibt unberührt.

(6) Absatz 2 gilt entsprechend für die öffentlichen Stel-len, die für die Kontrolle der Einhaltung der Vorschriftenüber den Datenschutz in den Ländern zuständig sind.

§ 25

Beanstandungen durch denBundesbeauftragten für den Datenschutz

(1) Stellt der Bundesbeauftragte für den DatenschutzVerstöße gegen die Vorschriften dieses Gesetzes odergegen andere Vorschriften über den Datenschutz odersonstige Mängel bei der Verarbeitung oder Nutzungpersonenbezogener Daten fest, so beanstandet er dies

1. bei der Bundesverwaltung gegenüber der zuständigenobersten Bundesbehörde,

2. beim Bundeseisenbahnvermögen gegenüber demPräsidenten,

3. bei den aus dem Sondervermögen Deutsche Bundes-post durch Gesetz hervorgegangenen Unternehmen,solange ihnen ein ausschließliches Recht nach demPostgesetz zusteht, gegenüber deren Vorständen,

4. bei den bundesunmittelbaren Körperschaften, Anstal-ten und Stiftungen des öffentlichen Rechts sowie beiVereinigungen solcher Körperschaften, Anstalten undStiftungen gegenüber dem Vorstand oder dem sonstvertretungsberechtigten Organ

und fordert zur Stellungnahme innerhalb einer von ihm zubestimmenden Frist auf. In den Fällen von Satz 1 Nr. 4unterrichtet der Bundesbeauftragte gleichzeitig die zu-ständige Aufsichtsbehörde.

(2) Der Bundesbeauftragte kann von einer Beanstan-dung absehen oder auf eine Stellungnahme der betroffe-nen Stelle verzichten, insbesondere wenn es sich umunerhebliche oder inzwischen beseitigte Mängel handelt.

(3) Die Stellungnahme soll auch eine Darstellung derMaßnahmen enthalten, die aufgrund der Beanstandungdes Bundesbeauftragten getroffen worden sind. Die inAbsatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zustän-digen Aufsichtsbehörde gleichzeitig eine Abschrift ihrerStellungnahme an den Bundesbeauftragten zu.

§ 26

Weitere Aufgaben des Bundes-beauftragten für den Datenschutz

(1) Der Bundesbeauftragte für den Datenschutz erstat-tet dem Deutschen Bundestag alle zwei Jahre einen Tätig-keitsbericht. Er unterrichtet den Deutschen Bundestagund die Öffentlichkeit über wesentliche Entwicklungendes Datenschutzes.

(2) Auf Anforderung des Deutschen Bundestagesoder der Bundesregierung hat der BundesbeauftragteGutachten zu erstellen und Berichte zu erstatten. AufErsuchen des Deutschen Bundestages, des Petitions-ausschusses, des Innenausschusses oder der Bundes-regierung geht der Bundesbeauftragte ferner Hinweisenauf Angelegenheiten und Vorgänge des Datenschutzesbei den öffentlichen Stellen des Bundes nach. Der Bun-desbeauftragte kann sich jederzeit an den DeutschenBundestag wenden.

(3) Der Bundesbeauftragte kann der Bundesregierungund den in § 12 Abs. 1 genannten Stellen des BundesEmpfehlungen zur Verbesserung des Datenschutzesgeben und sie in Fragen des Datenschutzes beraten. Diein § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch denBundesbeauftragten zu unterrichten, wenn die Empfeh-lung oder Beratung sie nicht unmittelbar betrifft.

(4) Der Bundesbeauftragte wirkt auf die Zusammen-arbeit mit den öffentlichen Stellen, die für die Kontrolleder Einhaltung der Vorschriften über den Datenschutz inden Ländern zuständig sind, sowie mit den Aufsichts-behörden nach § 38 hin. § 38 Abs. 1 Satz 3 und 4 gilt ent-sprechend.

Dritter Abschnitt

Datenverarbeitungnicht-öffentlicher Stellenund öffentlich-rechtlicher

Wettbewerbsunternehmen

E r s t e r U n t e r a b s c h n i t t

R e c h t s g r u n d l a g e nd e r D a t e n v e r a r b e i t u n g

§ 27

Anwendungsbereich

(1) Die Vorschriften dieses Abschnittes finden Anwen-dung, soweit personenbezogene Daten unter Einsatz vonDatenverarbeitungsanlagen verarbeitet, genutzt oderdafür erhoben werden oder die Daten in oder aus nichtautomatisierten Dateien verarbeitet, genutzt oder dafürerhoben werden durch

1. nicht-öffentliche Stellen,

2. a) öffentliche Stellen des Bundes, soweit sie alsöffentlich-rechtliche Unternehmen am Wettbewerbteilnehmen,

b) öffentliche Stellen der Länder, soweit sie als öffent-lich-rechtliche Unternehmen am Wettbewerb teil-nehmen, Bundesrecht ausführen und der Daten-schutz nicht durch Landesgesetz geregelt ist.

Dies gilt nicht, wenn die Erhebung, Verarbeitung oderNutzung der Daten ausschließlich für persönliche oderfamiliäre Tätigkeiten erfolgt. In den Fällen der Nummer 2Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24bis 26.

(2) Die Vorschriften dieses Abschnittes gelten nichtfür die Verarbeitung und Nutzung personenbezogenerDaten außerhalb von nicht automatisierten Dateien,soweit es sich nicht um personenbezogene Daten han-delt, die offensichtlich aus einer automatisierten Verar-beitung entnommen worden sind.

§ 28

Datenerhebung, -verarbeitungund -nutzung für eigene Zwecke

(1) Das Erheben, Speichern, Verändern oder Über-mitteln personenbezogener Daten oder ihre Nutzung alsMittel für die Erfüllung eigener Geschäftszwecke ist zu-lässig,

1. wenn es der Zweckbestimmung eines Vertragsverhält-nisses oder vertragsähnlichen Vertrauensverhältnissesmit dem Betroffenen dient,

2. soweit es zur Wahrung berechtigter Interessen derverantwortlichen Stelle erforderlich ist und kein Grundzu der Annahme besteht, dass das schutzwürdigeInteresse des Betroffenen an dem Ausschluss derVerarbeitung oder Nutzung überwiegt, oder

3. wenn die Daten allgemein zugänglich sind oder dieverantwortliche Stelle sie veröffentlichen dürfte, essei denn, dass das schutzwürdige Interesse desBetroffenen an dem Ausschluss der Verarbeitung oderNutzung gegenüber dem berechtigten Interesse derverantwortlichen Stelle offensichtlich überwiegt.

Bei der Erhebung personenbezogener Daten sind dieZwecke, für die die Daten verarbeitet oder genutzt werdensollen, konkret festzulegen.

(2) Für einen anderen Zweck dürfen sie nur unter denVoraussetzungen des Absatzes 1 Satz 1 Nr. 2 und 3 über-mittelt oder genutzt werden.

(3) Die Übermittlung oder Nutzung für einen anderenZweck ist auch zulässig:

1. soweit es zur Wahrung berechtigter Interessen einesDritten oder

2. zur Abwehr von Gefahren für die staatliche und öffent-liche Sicherheit sowie zur Verfolgung von Straftatenerforderlich ist, oder

3. für Zwecke der Werbung, der Markt- und Meinungs-forschung, wenn es sich um listenmäßig oder sonstzusammengefasste Daten über Angehörige einerPersonengruppe handelt, die sich auf

a) eine Angabe über die Zugehörigkeit des Betroffe-nen zu dieser Personengruppe,

b) Berufs-, Branchen- oder Geschäftsbezeichnung,

c) Namen,

d) Titel,

e) akademische Grade,

f) Anschrift und

g) Geburtsjahr

beschränken

und kein Grund zu der Annahme besteht, dass der Betrof-fene ein schutzwürdiges Interesse an dem Ausschluss derÜbermittlung oder Nutzung hat, oder

4. wenn es im Interesse einer Forschungseinrichtung zurDurchführung wissenschaftlicher Forschung erforder-lich ist, das wissenschaftliche Interesse an der Durch-führung des Forschungsvorhabens das Interesse desBetroffenen an dem Ausschluss der Zweckänderungerheblich überwiegt und der Zweck der Forschung aufandere Weise nicht oder nur mit unverhältnismäßigemAufwand erreicht werden kann.

In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, dassdieses Interesse besteht, wenn im Rahmen der Zweck-bestimmung eines Vertragsverhältnisses oder vertrags-ähnlichen Vertrauensverhältnisses gespeicherte Datenübermittelt werden sollen, die sich

1. auf strafbare Handlungen,

2. auf Ordnungswidrigkeiten sowie

3. bei Übermittlung durch den Arbeitgeber auf arbeits-rechtliche Rechtsverhältnisse

beziehen.

(4) Widerspricht der Betroffene bei der verantwortlichenStelle der Nutzung oder Übermittlung seiner Daten fürZwecke der Werbung oder der Markt- oder Meinungs-forschung, ist eine Nutzung oder Übermittlung für dieseZwecke unzulässig. Der Betroffene ist bei der Ansprachezum Zweck der Werbung oder der Markt- oder Meinungs-forschung über die verantwortliche Stelle sowie über dasWiderspruchsrecht nach Satz 1 zu unterrichten; soweitder Ansprechende personenbezogene Daten des Betrof-fenen nutzt, die bei einer ihm nicht bekannten Stellegespeichert sind, hat er auch sicherzustellen, dass derBetroffene Kenntnis über die Herkunft der Daten erhaltenkann. Widerspricht der Betroffene bei dem Dritten, demdie Daten nach Absatz 3 übermittelt werden, der Verarbei-tung oder Nutzung für Zwecke der Werbung oder derMarkt- oder Meinungsforschung, hat dieser die Daten fürdiese Zwecke zu sperren.

(5) Der Dritte, dem die Daten übermittelt worden sind,darf diese nur für den Zweck verarbeiten oder nutzen, zudessen Erfüllung sie ihm übermittelt werden. Eine Verar-beitung oder Nutzung für andere Zwecke ist nicht-öffent-lichen Stellen nur unter den Voraussetzungen der Absät-ze 2 und 3 und öffentlichen Stellen nur unter den Voraus-setzungen des § 14 Abs. 2 erlaubt. Die übermittelndeStelle hat ihn darauf hinzuweisen.

(6) Das Erheben, Verarbeiten und Nutzen von besonde-ren Arten personenbezogener Daten (§ 3 Abs. 9) für eigeneGeschäftszwecke ist zulässig, soweit nicht der Betroffenenach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn

1. dies zum Schutz lebenswichtiger Interessen desBetroffenen oder eines Dritten erforderlich ist, sofernder Betroffene aus physischen oder rechtlichen Grün-den außerstande ist, seine Einwilligung zu geben,

2. es sich um Daten handelt, die der Betroffene offenkun-dig öffentlich gemacht hat,

3. dies zur Geltendmachung, Ausübung oder Verteidi-gung rechtlicher Ansprüche erforderlich ist und keinGrund zu der Annahme besteht, dass das schutzwürdi-ge Interesse des Betroffenen an dem Ausschluss derErhebung, Verarbeitung oder Nutzung überwiegt, oder

4. dies zur Durchführung wissenschaftlicher Forschungerforderlich ist, das wissenschaftliche Interesse an derDurchführung des Forschungsvorhabens das Interes-se des Betroffenen an dem Ausschluss der Erhebung,Verarbeitung und Nutzung erheblich überwiegt und derZweck der Forschung auf andere Weise nicht oder nurmit unverhältnismäßigem Aufwand erreicht werdenkann.

(7) Das Erheben von besonderen Arten personenbezo-gener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zumZweck der Gesundheitsvorsorge, der medizinischenDiagnostik, der Gesundheitsversorgung oder Behandlungoder für die Verwaltung von Gesundheitsdiensten erfor-derlich ist und die Verarbeitung dieser Daten durch ärzt-liches Personal oder durch sonstige Personen erfolgt, dieeiner entsprechenden Geheimhaltungspflicht unterliegen.Die Verarbeitung und Nutzung von Daten zu den in Satz 1genannten Zwecken richtet sich nach den für die in Satz 1genannten Personen geltenden Geheimhaltungspflichten.Werden zu einem in Satz 1 genannten Zweck Daten über

die Gesundheit von Personen durch Angehörige einesanderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchsgenannten Berufes, dessen Ausübung die Feststellung,Heilung oder Linderung von Krankheiten oder die Herstel-lung oder den Vertrieb von Hilfsmitteln mit sich bringt,erhoben, verarbeitet oder genutzt, ist dies nur unter denVoraussetzungen zulässig, unter denen ein Arzt selbsthierzu befugt wäre.

(8) Für einen anderen Zweck dürfen die besonderenArten personenbezogener Daten (§ 3 Abs. 9) nur unter denVoraussetzungen des Absatzes 6 Nr. 1 bis 4 oder desAbsatzes 7 Satz 1 übermittelt oder genutzt werden. EineÜbermittlung oder Nutzung ist auch zulässig, wenn dieszur Abwehr von erheblichen Gefahren für die staatlicheund öffentliche Sicherheit sowie zur Verfolgung vonStraftaten von erheblicher Bedeutung erforderlich ist.

(9) Organisationen, die politisch, philosophisch, religiösoder gewerkschaftlich ausgerichtet sind und keinenErwerbszweck verfolgen, dürfen besondere Arten perso-nenbezogener Daten (§ 3 Abs. 9) erheben, verarbeitenoder nutzen, soweit dies für die Tätigkeit der Organisationerforderlich ist. Dies gilt nur für personenbezogene Datenihrer Mitglieder oder von Personen, die im Zusammen-hang mit deren Tätigkeitszweck regelmäßig Kontakte mitihr unterhalten. Die Übermittlung dieser personenbezoge-nen Daten an Personen oder Stellen außerhalb der Orga-nisation ist nur unter den Voraussetzungen des § 4a Abs. 3zulässig. Absatz 3 Nr. 2 gilt entsprechend.

§ 29

GeschäftsmäßigeDatenerhebung und -speicherung

zum Zweck der Übermittlung

(1) Das geschäftsmäßige Erheben, Speichern oder Ver-ändern personenbezogener Daten zum Zweck der Über-mittlung, insbesondere wenn dies der Werbung, der Tätig-keit von Auskunfteien, dem Adresshandel oder der Markt-und Meinungsforschung dient, ist zulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betrof-fene ein schutzwürdiges Interesse an dem Ausschlussder Erhebung, Speicherung oder Veränderung hat,oder

2. die Daten aus allgemein zugänglichen Quellen entnom-men werden können oder die verantwortliche Stellesie veröffentlichen dürfte, es sei denn, dass dasschutzwürdige Interesse des Betroffenen an dem Aus-schluss der Erhebung, Speicherung oder Veränderungoffensichtlich überwiegt.

§ 28 Abs. 1 Satz 2 ist anzuwenden.

(2) Die Übermittlung im Rahmen der Zwecke nachAbsatz 1 ist zulässig, wenn

1. a) der Dritte, dem die Daten übermittelt werden, einberechtigtes Interesse an ihrer Kenntnis glaubhaftdargelegt hat oder

b) es sich um listenmäßig oder sonst zusammen-gefasste Daten nach § 28 Abs. 3 Nr. 3 handelt, diefür Zwecke der Werbung oder der Markt- oder Mei-nungsforschung übermittelt werden sollen, und

2. kein Grund zu der Annahme besteht, dass der Betrof-fene ein schutzwürdiges Interesse an dem Ausschlussder Übermittlung hat.

§ 28 Abs. 3 Satz 2 gilt entsprechend. Bei der Übermitt-lung nach Nummer 1 Buchstabe a sind die Gründe fürdas Vorliegen eines berechtigten Interesses und dieArt und Weise ihrer glaubhaften Darlegung von der über-mittelnden Stelle aufzuzeichnen. Bei der Übermittlungim automatisierten Abrufverfahren obliegt die Aufzeich-nungspflicht dem Dritten, dem die Daten übermitteltwerden.

(3) Die Aufnahme personenbezogener Daten in elek-tronische oder gedruckte Adress-, Telefon-, Branchen-oder vergleichbare Verzeichnisse hat zu unterbleiben,wenn der entgegenstehende Wille des Betroffenen ausdem zugrunde liegenden elektronischen oder gedrucktenVerzeichnis oder Register ersichtlich ist. Der Empfängerder Daten hat sicherzustellen, dass Kennzeichnungenaus elektronischen oder gedruckten Verzeichnissenoder Registern bei der Übernahme in Verzeichnisse oderRegister übernommen werden.

(4) Für die Verarbeitung oder Nutzung der übermitteltenDaten gilt § 28 Abs. 4 und 5.

(5) § 28 Abs. 6 bis 9 gilt entsprechend.

§ 30

Geschäftsmäßige Datenerhebungund -speicherung zum Zweck der

Übermittlung in anonymisierter Form

(1) Werden personenbezogene Daten geschäftsmäßigerhoben und gespeichert, um sie in anonymisierter Formzu übermitteln, sind die Merkmale gesondert zu spei-chern, mit denen Einzelangaben über persönliche odersachliche Verhältnisse einer bestimmten oder bestimm-baren natürlichen Person zugeordnet werden können.Diese Merkmale dürfen mit den Einzelangaben nur zusam-mengeführt werden, soweit dies für die Erfüllung desZwecks der Speicherung oder zu wissenschaftlichenZwecken erforderlich ist.

(2) Die Veränderung personenbezogener Daten istzulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betrof-fene ein schutzwürdiges Interesse an dem Ausschlussder Veränderung hat, oder

2. die Daten aus allgemein zugänglichen Quellen entnom-men werden können oder die verantwortliche Stelle sieveröffentlichen dürfte, soweit nicht das schutzwürdigeInteresse des Betroffenen an dem Ausschluss derVeränderung offensichtlich überwiegt.

(3) Die personenbezogenen Daten sind zu löschen,wenn ihre Speicherung unzulässig ist.

(4) § 29 gilt nicht.

(5) § 28 Abs. 6 bis 9 gilt entsprechend.

§ 31

Besondere Zweckbindung

Personenbezogene Daten, die ausschließlich zuZwecken der Datenschutzkontrolle, der Datensicherungoder zur Sicherstellung eines ordnungsgemäßen Betrie-bes einer Datenverarbeitungsanlage gespeichert werden,dürfen nur für diese Zwecke verwendet werden.

§ 32

(weggefallen)

Z w e i t e r U n t e r a b s c h n i t t

R e c h t e d e s B e t r o f f e n e n

§ 33

Benachrichtigung des Betroffenen

(1) Werden erstmals personenbezogene Daten für eige-ne Zwecke ohne Kenntnis des Betroffenen gespeichert, istder Betroffene von der Speicherung, der Art der Daten,der Zweckbestimmung der Erhebung, Verarbeitung oderNutzung und der Identität der verantwortlichen Stelle zubenachrichtigen. Werden personenbezogene Daten ge-schäftsmäßig zum Zweck der Übermittlung ohne Kenntnisdes Betroffenen gespeichert, ist der Betroffene von dererstmaligen Übermittlung und der Art der übermitteltenDaten zu benachrichtigen. Der Betroffene ist in den Fällender Sätze 1 und 2 auch über die Kategorien von Empfän-gern zu unterrichten, soweit er nach den Umständen desEinzelfalles nicht mit der Übermittlung an diese rechnenmuss.

(2) Eine Pflicht zur Benachrichtigung besteht nicht,wenn

1. der Betroffene auf andere Weise Kenntnis von derSpeicherung oder der Übermittlung erlangt hat,

2. die Daten nur deshalb gespeichert sind, weil sie auf-grund gesetzlicher, satzungsmäßiger oder vertrag-licher Aufbewahrungsvorschriften nicht gelöscht wer-den dürfen oder ausschließlich der Datensicherungoder der Datenschutzkontrolle dienen und eineBenachrichtigung einen unverhältnismäßigen Aufwanderfordern würde,

3. die Daten nach einer Rechtsvorschrift oder ihremWesen nach, namentlich wegen des überwiegendenrechtlichen Interesses eines Dritten, geheim gehaltenwerden müssen,

4. die Speicherung oder Übermittlung durch Gesetz aus-drücklich vorgesehen ist,

5. die Speicherung oder Übermittlung für Zwecke derwissenschaftlichen Forschung erforderlich ist und eineBenachrichtigung einen unverhältnismäßigen Aufwanderfordern würde,

6. die zuständige öffentliche Stelle gegenüber der verant-wortlichen Stelle festgestellt hat, dass das Bekannt-werden der Daten die öffentliche Sicherheit oderOrdnung gefährden oder sonst dem Wohle des Bun-des oder eines Landes Nachteile bereiten würde,

7. die Daten für eigene Zwecke gespeichert sind und

a) aus allgemein zugänglichen Quellen entnommensind und eine Benachrichtigung wegen der Vielzahlder betroffenen Fälle unverhältnismäßig ist, oder

b) die Benachrichtigung die Geschäftszwecke derverantwortlichen Stelle erheblich gefährden würde,es sei denn, dass das Interesse an der Benachrich-tigung die Gefährdung überwiegt, oder

8. die Daten geschäftsmäßig zum Zweck der Übermitt-lung gespeichert sind und

a) aus allgemein zugänglichen Quellen entnommensind, soweit sie sich auf diejenigen Personen bezie-hen, die diese Daten veröffentlicht haben, oder

b) es sich um listenmäßig oder sonst zusammen-gefasste Daten handelt (§ 29 Abs. 2 Nr. 1 Buch-stabe b)

und eine Benachrichtigung wegen der Vielzahl derbetroffenen Fälle unverhältnismäßig ist.

Die verantwortliche Stelle legt schriftlich fest, unterwelchen Voraussetzungen von einer Benachrichtigungnach Satz 1 Nr. 2 bis 7 abgesehen wird.

§ 34

Auskunft an den Betroffenen

(1) Der Betroffene kann Auskunft verlangen über

1. die zu seiner Person gespeicherten Daten, auch soweitsie sich auf die Herkunft dieser Daten beziehen,

2. Empfänger oder Kategorien von Empfängern, an dieDaten weitergegeben werden, und

3. den Zweck der Speicherung.

Er soll die Art der personenbezogenen Daten, über dieAuskunft erteilt werden soll, näher bezeichnen. Werdendie personenbezogenen Daten geschäftsmäßig zumZweck der Übermittlung gespeichert, kann der Betroffeneüber Herkunft und Empfänger nur Auskunft verlangen,sofern nicht das Interesse an der Wahrung des Geschäfts-geheimnisses überwiegt. In diesem Fall ist Auskunft überHerkunft und Empfänger auch dann zu erteilen, wenndiese Angaben nicht gespeichert sind.

(2) Der Betroffene kann von Stellen, die geschäftsmäßigpersonenbezogene Daten zum Zweck der Auskunftsertei-lung speichern, Auskunft über seine personenbezogenenDaten verlangen, auch wenn sie weder in einer automati-sierten Verarbeitung noch in einer nicht automatisiertenDatei gespeichert sind. Auskunft über Herkunft undEmpfänger kann der Betroffene nur verlangen, sofernnicht das Interesse an der Wahrung des Geschäfts-geheimnisses überwiegt.

(3) Die Auskunft wird schriftlich erteilt, soweit nichtwegen der besonderen Umstände eine andere Form derAuskunftserteilung angemessen ist.

(4) Eine Pflicht zur Auskunftserteilung besteht nicht,wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5bis 7 nicht zu benachrichtigen ist.

(5) Die Auskunft ist unentgeltlich. Werden die personen-bezogenen Daten geschäftsmäßig zum Zweck der Über-mittlung gespeichert, kann jedoch ein Entgelt verlangtwerden, wenn der Betroffene die Auskunft gegenüberDritten zu wirtschaftlichen Zwecken nutzen kann. Das Ent-gelt darf über die durch die Auskunftserteilung entstande-nen direkt zurechenbaren Kosten nicht hinausgehen. EinEntgelt kann in den Fällen nicht verlangt werden, in denenbesondere Umstände die Annahme rechtfertigen, dassDaten unrichtig oder unzulässig gespeichert werden, oderin denen die Auskunft ergibt, dass die Daten zu berichti-gen oder unter der Voraussetzung des § 35 Abs. 2 Satz 2Nr. 1 zu löschen sind.

(6) Ist die Auskunftserteilung nicht unentgeltlich, ist demBetroffenen die Möglichkeit zu geben, sich im Rahmen

seines Auskunftsanspruchs persönlich Kenntnis über dieihn betreffenden Daten und Angaben zu verschaffen. Er isthierauf in geeigneter Weise hinzuweisen.

§ 35

Berichtigung, Löschungund Sperrung von Daten

(1) Personenbezogene Daten sind zu berichtigen, wennsie unrichtig sind.

(2) Personenbezogene Daten können außer in den Fäl-len des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden.Personenbezogene Daten sind zu löschen, wenn

1. ihre Speicherung unzulässig ist,

2. es sich um Daten über die rassische oder ethnischeHerkunft, politische Meinungen, religiöse oder philoso-phische Überzeugungen oder die Gewerkschafts-zugehörigkeit, über Gesundheit oder das Sexualleben,strafbare Handlungen oder Ordnungswidrigkeitenhandelt und ihre Richtigkeit von der verantwortlichenStelle nicht bewiesen werden kann,

3. sie für eigene Zwecke verarbeitet werden, sobald ihreKenntnis für die Erfüllung des Zwecks der Speicherungnicht mehr erforderlich ist, oder

4. sie geschäftsmäßig zum Zweck der Übermittlung ver-arbeitet werden und eine Prüfung jeweils am Ende desvierten Kalenderjahres beginnend mit ihrer erstma-ligen Speicherung ergibt, dass eine längerwährendeSpeicherung nicht erforderlich ist.

(3) An die Stelle einer Löschung tritt eine Sperrung,soweit

1. im Fall des Absatzes 2 Nr. 3 einer Löschung gesetz-liche, satzungsmäßige oder vertragliche Aufbewah-rungsfristen entgegenstehen,

2. Grund zu der Annahme besteht, dass durch eineLöschung schutzwürdige Interessen des Betroffenenbeeinträchtigt würden, oder

3. eine Löschung wegen der besonderen Art der Spei-cherung nicht oder nur mit unverhältnismäßig hohemAufwand möglich ist.

(4) Personenbezogene Daten sind ferner zu sperren,soweit ihre Richtigkeit vom Betroffenen bestritten wirdund sich weder die Richtigkeit noch die Unrichtigkeit fest-stellen lässt.

(5) Personenbezogene Daten dürfen nicht für eine auto-matisierte Verarbeitung oder Verarbeitung in nicht auto-matisierten Dateien erhoben, verarbeitet oder genutztwerden, soweit der Betroffene dieser bei der verantwort-lichen Stelle widerspricht und eine Prüfung ergibt, dassdas schutzwürdige Interesse des Betroffenen wegen sei-ner besonderen persönlichen Situation das Interesse derverantwortlichen Stelle an dieser Erhebung, Verarbeitungoder Nutzung überwiegt. Satz 1 gilt nicht, wenn eineRechtsvorschrift zur Erhebung, Verarbeitung oder Nut-zung verpflichtet.

(6) Personenbezogene Daten, die unrichtig sind oderderen Richtigkeit bestritten wird, müssen bei dergeschäftsmäßigen Datenspeicherung zum Zweck derÜbermittlung außer in den Fällen des Absatzes 2 Nr. 2nicht berichtigt, gesperrt oder gelöscht werden, wenn sieaus allgemein zugänglichen Quellen entnommen und zu

Dokumentationszwecken gespeichert sind. Auf Verlangendes Betroffenen ist diesen Daten für die Dauer der Spei-cherung seine Gegendarstellung beizufügen. Die Datendürfen nicht ohne diese Gegendarstellung übermitteltwerden.

(7) Von der Berichtigung unrichtiger Daten, der Sper-rung bestrittener Daten sowie der Löschung oder Sper-rung wegen Unzulässigkeit der Speicherung sind die Stel-len zu verständigen, denen im Rahmen einer Datenüber-mittlung diese Daten zur Speicherung weitergegeben wer-den, wenn dies keinen unverhältnismäßigen Aufwanderfordert und schutzwürdige Interessen des Betroffenennicht entgegenstehen.

(8) Gesperrte Daten dürfen ohne Einwilligung desBetroffenen nur übermittelt oder genutzt werden, wenn

1. es zu wissenschaftlichen Zwecken, zur Behebungeiner bestehenden Beweisnot oder aus sonstigen imüberwiegenden Interesse der verantwortlichen Stelleoder eines Dritten liegenden Gründen unerlässlich istund

2. die Daten hierfür übermittelt oder genutzt werden dürf-ten, wenn sie nicht gesperrt wären.

D r i t t e r U n t e r a b s c h n i t t

A u f s i c h t s b e h ö r d e

§§ 36 und 37

(weggefallen)

§ 38

Aufsichtsbehörde

(1) Die Aufsichtsbehörde kontrolliert die Ausführung die-ses Gesetzes sowie anderer Vorschriften über den Daten-schutz, soweit diese die automatisierte Verarbeitungpersonenbezogener Daten oder die Verarbeitung oderNutzung personenbezogener Daten in oder aus nichtautomatisierten Dateien regeln einschließlich des Rechtsder Mitgliedstaaten in den Fällen des § 1 Abs. 5. Die Auf-sichtsbehörde darf die von ihr gespeicherten Daten nur fürZwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darfdie Aufsichtsbehörde zum Zweck der Aufsicht Daten anandere Aufsichtsbehörden übermitteln. Sie leistet denAufsichtsbehörden anderer Mitgliedstaaten der Europäi-schen Union auf Ersuchen ergänzende Hilfe (Amtshilfe).Stellt die Aufsichtsbehörde einen Verstoß gegen diesesGesetz oder andere Vorschriften über den Datenschutzfest, so ist sie befugt, die Betroffenen hierüber zu unter-richten, den Verstoß bei den für die Verfolgung oderAhndung zuständigen Stellen anzuzeigen sowie beischwerwiegenden Verstößen die Gewerbeaufsichts-behörde zur Durchführung gewerberechtlicher Maßnah-men zu unterrichten. Sie veröffentlicht regelmäßig,spätestens alle zwei Jahre, einen Tätigkeitsbericht. § 21Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend.

(2) Die Aufsichtsbehörde führt ein Register der nach§ 4d meldepflichtigen automatisierten Verarbeitungen mitden Angaben nach § 4e Satz 1. Das Register kann vonjedem eingesehen werden. Das Einsichtsrecht erstrecktsich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie aufdie Angabe der zugriffsberechtigten Personen.

(3) Die der Kontrolle unterliegenden Stellen sowiedie mit deren Leitung beauftragten Personen haben derAufsichtsbehörde auf Verlangen die für die Erfüllung ihrerAufgaben erforderlichen Auskünfte unverzüglich zu ertei-len. Der Auskunftspflichtige kann die Auskunft auf solcheFragen verweigern, deren Beantwortung ihn selbst odereinen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessord-nung bezeichneten Angehörigen der Gefahr strafgericht-licher Verfolgung oder eines Verfahrens nach dem Gesetzüber Ordnungswidrigkeiten aussetzen würde. Der Aus-kunftspflichtige ist darauf hinzuweisen.

(4) Die von der Aufsichtsbehörde mit der Kontrollebeauftragten Personen sind befugt, soweit es zur Erfül-lung der der Aufsichtsbehörde übertragenen Aufgabenerforderlich ist, während der Betriebs- und Geschäfts-zeiten Grundstücke und Geschäftsräume der Stelle zubetreten und dort Prüfungen und Besichtigungen vor-zunehmen. Sie können geschäftliche Unterlagen, insbe-sondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie diegespeicherten personenbezogenen Daten und die Daten-verarbeitungsprogramme, einsehen. § 24 Abs. 6 gilt ent-sprechend. Der Auskunftspflichtige hat diese Maßnahmenzu dulden.

(5) Zur Gewährleistung des Datenschutzes nach die-sem Gesetz und anderen Vorschriften über den Daten-schutz, soweit diese die automatisierte Verarbeitungpersonenbezogener Daten oder die Verarbeitung perso-nenbezogener Daten in oder aus nicht automatisiertenDateien regeln, kann die Aufsichtsbehörde anordnen,dass im Rahmen der Anforderungen nach § 9 Maß-nahmen zur Beseitigung festgestellter technischer oderorganisatorischer Mängel getroffen werden. Bei schwer-wiegenden Mängeln dieser Art, insbesondere, wenn siemit besonderer Gefährdung des Persönlichkeitsrechtsverbunden sind, kann sie den Einsatz einzelner Ver-fahren untersagen, wenn die Mängel entgegen der Anord-nung nach Satz 1 und trotz der Verhängung einesZwangsgeldes nicht in angemessener Zeit beseitigtwerden. Sie kann die Abberufung des Beauftragten fürden Datenschutz verlangen, wenn er die zur Erfüllung sei-ner Aufgaben erforderliche Fachkunde und Zuverlässig-keit nicht besitzt.

(6) Die Landesregierungen oder die von ihnen er-mächtigten Stellen bestimmen die für die Kontrolle derDurchführung des Datenschutzes im Anwendungsbereichdieses Abschnittes zuständigen Aufsichtsbehörden.

(7) Die Anwendung der Gewerbeordnung auf die denVorschriften dieses Abschnittes unterliegenden Gewerbe-betriebe bleibt unberührt.

§ 38a

Verhaltensregelnzur Förderung der Durchführung

datenschutzrechtlicher Regelungen

(1) Berufsverbände und andere Vereinigungen, diebestimmte Gruppen von verantwortlichen Stellen vertre-ten, können Entwürfe für Verhaltensregeln zur Förderungder Durchführung von datenschutzrechtlichen Regelun-gen der zuständigen Aufsichtsbehörde unterbreiten.

(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit derihr unterbreiteten Entwürfe mit dem geltenden Daten-schutzrecht.

Vierter Abschnitt

Sondervorschriften

§ 39

Zweckbindung bei personen-bezogenen Daten, die einem Berufs-

oder besonderen Amtsgeheimnis unterliegen

(1) Personenbezogene Daten, die einem Berufs- oderbesonderen Amtsgeheimnis unterliegen und die von derzur Verschwiegenheit verpflichteten Stelle in Ausübungihrer Berufs- oder Amtspflicht zur Verfügung gestellt wor-den sind, dürfen von der verantwortlichen Stelle nur fürden Zweck verarbeitet oder genutzt werden, für den sie sieerhalten hat. In die Übermittlung an eine nicht-öffentlicheStelle muss die zur Verschwiegenheit verpflichtete Stelleeinwilligen.

(2) Für einen anderen Zweck dürfen die Daten nur ver-arbeitet oder genutzt werden, wenn die Änderung desZwecks durch besonderes Gesetz zugelassen ist.

§ 40

Verarbeitung undNutzung personenbezogener Daten

durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen Forschungerhobene oder gespeicherte personenbezogene Datendürfen nur für Zwecke der wissenschaftlichen Forschungverarbeitet oder genutzt werden.

(2) Die personenbezogenen Daten sind zu anonymi-sieren, sobald dies nach dem Forschungszweck möglichist. Bis dahin sind die Merkmale gesondert zu speichern,mit denen Einzelangaben über persönliche oder sachlicheVerhältnisse einer bestimmten oder bestimmbaren Personzugeordnet werden können. Sie dürfen mit den Einzel-angaben nur zusammengeführt werden, soweit der For-schungszweck dies erfordert.

(3) Die wissenschaftliche Forschung betreibenden Stel-len dürfen personenbezogene Daten nur veröffentlichen,wenn

1. der Betroffene eingewilligt hat oder

2. dies für die Darstellung von Forschungsergebnissenüber Ereignisse der Zeitgeschichte unerlässlich ist.

§ 41

Erhebung,Verarbeitung und Nutzung personen-bezogener Daten durch die Medien

(1) Die Länder haben in ihrer Gesetzgebung vorzuse-hen, dass für die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten von Unternehmen und Hilfs-unternehmen der Presse ausschließlich zu eigenen jour-nalistisch-redaktionellen oder literarischen Zwecken denVorschriften der §§ 5, 9 und 38a entsprechende Regelun-gen einschließlich einer hierauf bezogenen Haftungsrege-lung entsprechend § 7 zur Anwendung kommen.

(2) Führt die journalistisch-redaktionelle Erhebung, Ver-arbeitung oder Nutzung personenbezogener Daten durchdie Deutsche Welle zur Veröffentlichung von Gegen-darstellungen des Betroffenen, so sind diese Gegen-

darstellungen zu den gespeicherten Daten zu nehmenund für dieselbe Zeitdauer aufzubewahren wie die Datenselbst.

(3) Wird jemand durch eine Berichterstattung der Deut-schen Welle in seinem Persönlichkeitsrecht beeinträch-tigt, so kann er Auskunft über die der Berichterstattungzugrunde liegenden, zu seiner Person gespeichertenDaten verlangen. Die Auskunft kann nach Abwägung derschutzwürdigen Interessen der Beteiligten verweigertwerden, soweit

1. aus den Daten auf Personen, die bei der Vorbereitung,Herstellung oder Verbreitung von Rundfunksendungenberufsmäßig journalistisch mitwirken oder mitgewirkthaben, geschlossen werden kann,

2. aus den Daten auf die Person des Einsenders oderdes Gewährsträgers von Beiträgen, Unterlagen undMitteilungen für den redaktionellen Teil geschlossenwerden kann,

3. durch die Mitteilung der recherchierten oder sonsterlangten Daten die journalistische Aufgabe der Deut-schen Welle durch Ausforschung des Informations-bestandes beeinträchtigt würde.

Der Betroffene kann die Berichtigung unrichtiger Datenverlangen.

(4) Im Übrigen gelten für die Deutsche Welle von denVorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a.Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich umVerwaltungsangelegenheiten handelt.

§ 42

Datenschutz-beauftragter der Deutschen Welle

(1) Die Deutsche Welle bestellt einen Beauftragten fürden Datenschutz, der an die Stelle des Bundesbeauftrag-ten für den Datenschutz tritt. Die Bestellung erfolgt aufVorschlag des Intendanten durch den Verwaltungsrat fürdie Dauer von vier Jahren, wobei Wiederbestellungenzulässig sind. Das Amt eines Beauftragten für den Daten-schutz kann neben anderen Aufgaben innerhalb derRundfunkanstalt wahrgenommen werden.

(2) Der Beauftragte für den Datenschutz kontrolliert dieEinhaltung der Vorschriften dieses Gesetzes sowie ande-rer Vorschriften über den Datenschutz. Er ist in Ausübungdieses Amtes unabhängig und nur dem Gesetz unter-worfen. Im Übrigen untersteht er der Dienst- und Rechts-aufsicht des Verwaltungsrates.

(3) Jedermann kann sich entsprechend § 21 Satz 1 anden Beauftragten für den Datenschutz wenden.

(4) Der Beauftragte für den Datenschutz erstattet denOrganen der Deutschen Welle alle zwei Jahre, erstmalszum 1. Januar 1994 einen Tätigkeitsbericht. Er erstattetdarüber hinaus besondere Berichte auf Beschluss einesOrganes der Deutschen Welle. Die Tätigkeitsberichteübermittelt der Beauftragte auch an den Bundesbeauf-tragten für den Datenschutz.

(5) Weitere Regelungen entsprechend den §§ 23 bis 26trifft die Deutsche Welle für ihren Bereich. Die §§ 4f und 4gbleiben unberührt.

Fünfter Abschnitt

Schlussvorschriften

§ 43

Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahr-lässig

1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4eSatz 2, eine Meldung nicht, nicht richtig, nicht voll-ständig oder nicht rechtzeitig macht,

2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch inVerbindung mit Satz 3 und 6, einen Beauftragten fürden Datenschutz nicht, nicht in der vorgeschriebenenWeise oder nicht rechtzeitig bestellt,

3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht,nicht richtig oder nicht rechtzeitig unterrichtet odernicht sicherstellt, dass der Betroffene Kenntnis erhal-ten kann,

4. entgegen § 28 Abs. 5 Satz 2 personenbezogeneDaten übermittelt oder nutzt,

5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeich-neten Gründe oder die Art und Weise ihrer glaubhaf-ten Darlegung nicht aufzeichnet,

6. entgegen § 29 Abs. 3 Satz 1 personenbezogeneDaten in elektronische oder gedruckte Adress-, Ruf-nummern-, Branchen- oder vergleichbare Verzeich-nisse aufnimmt,

7. entgegen § 29 Abs. 3 Satz 2 die Übernahme vonKennzeichnungen nicht sicherstellt,

8. entgegen § 33 Abs. 1 den Betroffenen nicht, nichtrichtig oder nicht vollständig benachrichtigt,

9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendar-stellung übermittelt,

10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eineAuskunft nicht, nicht richtig, nicht vollständig odernicht rechtzeitig erteilt oder eine Maßnahme nichtduldet oder

11. einer vollziehbaren Anordnung nach § 38 Abs. 5Satz 1 zuwiderhandelt.

(2) Ordnungswidrig handelt, wer vorsätzlich oder fahr-lässig

1. unbefugt personenbezogene Daten, die nicht allgemeinzugänglich sind, erhebt oder verarbeitet,

2. unbefugt personenbezogene Daten, die nicht all-gemein zugänglich sind, zum Abruf mittels automati-sierten Verfahrens bereithält,

3. unbefugt personenbezogene Daten, die nicht all-gemein zugänglich sind, abruft oder sich oder einemanderen aus automatisierten Verarbeitungen odernicht automatisierten Dateien verschafft,

4. die Übermittlung von personenbezogenen Daten, dienicht allgemein zugänglich sind, durch unrichtigeAngaben erschleicht,

5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch inVerbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder§ 40 Abs. 1, die übermittelten Daten für andere Zweckenutzt, indem er sie an Dritte weitergibt, oder

6. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 Satz 1bezeichneten Merkmale oder entgegen § 40 Abs. 2Satz 3 die in § 40 Abs. 2 Satz 2 bezeichneten Merkmalemit den Einzelangaben zusammenführt.

(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1mit einer Geldbuße bis zu fünfundzwanzigtausend Euro, inden Fällen des Absatzes 2 mit einer Geldbuße bis zu zwei-hundertfünfzigtausend Euro geahndet werden.

§ 44

Strafvorschriften

(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzlicheHandlung gegen Entgelt oder in der Absicht, sich odereinen anderen zu bereichern oder einen anderen zu schä-digen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahrenoder mit Geldstrafe bestraft.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberech-tigt sind der Betroffene, die verantwortliche Stelle, derBundesbeauftragte für den Datenschutz und die Auf-sichtsbehörde.

Sechster Abschnitt

Übergangsvorschriften

§ 45

Laufende Verwendungen

Erhebungen, Verarbeitungen oder Nutzungen perso-nenbezogener Daten, die am 23. Mai 2001 bereits begon-nen haben, sind binnen drei Jahren nach diesem Zeit-punkt mit den Vorschriften dieses Gesetzes in Überein-stimmung zu bringen. Soweit Vorschriften dieses Geset-zes in Rechtsvorschriften außerhalb des Anwendungs-bereichs der Richtlinie 95/46/EG des Europäischen Parla-ments und des Rates vom 24. Oktober 1995 zum Schutznatürlicher Personen bei der Verarbeitung personenbe-zogener Daten und zum freien Datenverkehr zur Anwen-dung gelangen, sind Erhebungen, Verarbeitungen oderNutzungen personenbezogener Daten, die am 23. Mai2001 bereits begonnen haben, binnen fünf Jahren nachdiesem Zeitpunkt mit den Vorschriften dieses Gesetzes inÜbereinstimmung zu bringen.

§ 46

Weitergeltungvon Begriffsbestimmungen

(1) Wird in besonderen Rechtsvorschriften des Bundesder Begriff Datei verwendet, ist Datei

1. eine Sammlung personenbezogener Daten, die durchautomatisierte Verfahren nach bestimmten Merkmalenausgewertet werden kann (automatisierte Datei), oder

2. jede sonstige Sammlung personenbezogener Daten,die gleichartig aufgebaut ist und nach bestimmtenMerkmalen geordnet, umgeordnet und ausgewertetwerden kann (nicht automatisierte Datei).

Nicht hierzu gehören Akten und Aktensammlungen, es seidenn, dass sie durch automatisierte Verfahren umgeord-net und ausgewertet werden können.

(2) Wird in besonderen Rechtsvorschriften des Bundesder Begriff Akte verwendet, ist Akte jede amtlichen oder

dienstlichen Zwecken dienende Unterlage, die nicht demDateibegriff des Absatzes 1 unterfällt; dazu zählen auchBild- und Tonträger. Nicht hierunter fallen Vorentwürfeund Notizen, die nicht Bestandteil eines Vorgangs werdensollen.

(3) Wird in besonderen Rechtsvorschriften des Bundesder Begriff Empfänger verwendet, ist Empfänger jede Per-

son oder Stelle außerhalb der verantwortlichen Stelle.Empfänger sind nicht der Betroffene sowie Personen undStellen, die im Inland, in einem anderen Mitgliedstaat derEuropäischen Union oder in einem anderen Vertragsstaatdes Abkommens über den Europäischen Wirtschaftsraumpersonenbezogene Daten im Auftrag erheben, verarbeitenoder nutzen.

Anlage(zu § 9 Satz 1)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, istdie innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dasssie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sindinsbesondere Maßnahmen zu treffen, die je nach der Art der zu schützendenpersonenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personen-bezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutritts-kontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutztwerden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines DatenverarbeitungssystemsBerechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegendenDaten zugreifen können, und dass personenbezogene Daten bei der Verar-beitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischenÜbertragung oder während ihres Transports oder ihrer Speicherung aufDatenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werdenkönnen, und dass überprüft und festgestellt werden kann, an welche Stelleneine Übermittlung personenbezogener Daten durch Einrichtungen zurDatenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann,ob und von wem personenbezogene Daten in Datenverarbeitungssystemeeingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitetwerden, nur entsprechend den Weisungen des Auftraggebers verarbeitetwerden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörungoder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Datengetrennt verarbeitet werden können.