Gesetz zur Anpassung des Datenschutzrechts an die
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Vom 30. Juni 2017
Der Bundestag hat mit Zustimmung des Bundes- rates das folgende Gesetz beschlossen:
Artikel 1
Bundesdatenschutzgesetz (BDSG)
I n h a l t s ü b e r s i c h t
Teil 1
Gemeinsame Bestimmungen
K a p i t e l 1
A n w e n d u n g s b e r e i c h u n d B e g r i f f s b e s t i mm u n g e n
§ 1 Anwendungsbereich des Gesetzes § 2 Begriffsbestimmungen
K a p i t e l 2
R e c h t s g r u n d l a g e n d e r V e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
§ 4 Videoüberwachung öffentlich zugänglicher Räume
K a p i t e l 3
D a t e n s c h u t z b e a u f t r a g t e ö f f e n t l i c h e r S t e l l e n
§ 5 Benennung § 6 Stellung § 7 Aufgaben
K a p i t e l 4
D i e o d e r d e r B u n d e s b e a u f t r a g t e f ü r
d e n D a t e n s c h u t z u n d d i e I n f o r m a t i o n s f r e i h e i t
§ 8 Errichtung § 9 Zuständigkeit § 10 Unabhängigkeit § 11 Ernennung und Amtszeit § 12 Amtsverhältnis § 13 Rechte und Pflichten § 14 Aufgaben § 15 Tätigkeitsbericht § 16 Befugnisse
K a p i t e l 5
V e r t r e t u n g i m E u r o p ä i s c h e n D a t e n s c h u t z a u s s c h u s s ,
z e n t r a l e A n l a u f s t e l l e , Z u s amm e n a r b e i t d e r A u f s i c h t s b e h ö r d e n d e s B u n d e s u n d d e r L ä n d e r i n A n g e l e g e n h e i t e n d e r E u r o p ä i s c h e n U n i o n
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
§ 19 Zuständigkeiten
K a p i t e l 6
R e c h t s b e h e l f e
§ 20 Gerichtlicher Rechtsschutz § 21 Antrag der Aufsichtsbehörde auf gerichtliche Entschei-
dung bei angenommener Rechtswidrigkeit eines Be- schlusses der Europäischen Kommission
Teil 2
Durchführungsbestimmungen für Verarbeitungen zu Zwecken
gemäß Artikel 2 der Verordnung (EU) 2016/679
K a p i t e l 1
R e c h t s g r u n d l a g e n d e r V e r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
Abschnitt 1
Verarbeitung besonderer Kategorien personenbezogener
Daten und Verarbeitung zu anderen Zwecken
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
§ 25 Datenübermittlungen durch öffentliche Stellen
Abschnitt 2
Besondere Verarbeitungssituationen
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsver- hältnisses
§ 27 Datenverarbeitung zu wissenschaftlichen oder histori- schen Forschungszwecken und zu statistischen Zwecken
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
§ 30 Verbraucherkredite § 31 Schutz des Wirtschaftsverkehrs bei Scoring und Boni-
tätsauskünften
K a p i t e l 2
R e c h t e d e r b e t r o f f e n e n P e r s o n
§ 32 Informationspflicht bei Erhebung von personenbezoge- nen Daten bei der betroffenen Person
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
§ 34 Auskunftsrecht der betroffenen Person
2097Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 35 Recht auf Löschung § 36 Widerspruchsrecht § 37 Automatisierte Entscheidungen im Einzelfall einschließ-
lich Profiling
K a p i t e l 3
P f l i c h t e n d e r Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen § 39 Akkreditierung
K a p i t e l 4
A u f s i c h t s b e h ö r d e f ü r d i e D a t e n v e r a r b e i t u n g
d u r c h n i c h t ö f f e n t l i c h e S t e l l e n
§ 40 Aufsichtsbehörden der Länder
K a p i t e l 5
S a n k t i o n e n
§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
§ 42 Strafvorschriften § 43 Bußgeldvorschriften
K a p i t e l 6
R e c h t s b e h e l f e
§ 44 Klagen gegen den Verantwortlichen oder Auftragsver- arbeiter
Teil 3
Bestimmungen für Verarbeitungen zu Zwecken
gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
K a p i t e l 1
A n w e n d u n g s b e r e i c h , B e g r i f f s b e s t i mm u n g e n
u n d a l l g e m e i n e G r u n d s ä t z e f ü r d i e Ve r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 45 Anwendungsbereich § 46 Begriffsbestimmungen § 47 Allgemeine Grundsätze für die Verarbeitung personen-
bezogener Daten
K a p i t e l 2
R e c h t s g r u n d l a g e n d e r Ve r a r b e i t u n g p e r s o n e n b e z o g e n e r D a t e n
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 49 Verarbeitung zu anderen Zwecken § 50 Verarbeitung zu archivarischen, wissenschaftlichen und
statistischen Zwecken § 51 Einwilligung § 52 Verarbeitung auf Weisung des Verantwortlichen § 53 Datengeheimnis § 54 Automatisierte Einzelentscheidung
K a p i t e l 3
R e c h t e d e r b e t r o f f e n e n P e r s o n
§ 55 Allgemeine Informationen zu Datenverarbeitungen § 56 Benachrichtigung betroffener Personen
§ 57 Auskunftsrecht § 58 Rechte auf Berichtigung und Löschung sowie Einschrän-
kung der Verarbeitung § 59 Verfahren für die Ausübung der Rechte der betroffenen
Person § 60 Anrufung der oder des Bundesbeauftragten § 61 Rechtsschutz gegen Entscheidungen der oder des
Bundesbeauftragten oder bei deren oder dessen Untätig- keit
K a p i t e l 4
P f l i c h t e n d e r Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r
§ 62 Auftragsverarbeitung § 63 Gemeinsam Verantwortliche § 64 Anforderungen an die Sicherheit der Datenverarbeitung § 65 Meldung von Verletzungen des Schutzes personenbezo-
gener Daten an die oder den Bundesbeauftragten § 66 Benachrichtigung betroffener Personen bei Verletzungen
des Schutzes personenbezogener Daten § 67 Durchführung einer Datenschutz-Folgenabschätzung § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten § 69 Anhörung der oder des Bundesbeauftragten § 70 Verzeichnis von Verarbeitungstätigkeiten § 71 Datenschutz durch Technikgestaltung und datenschutz-
freundliche Voreinstellungen § 72 Unterscheidung zwischen verschiedenen Kategorien be-
troffener Personen § 73 Unterscheidung zwischen Tatsachen und persönlichen
Einschätzungen § 74 Verfahren bei Übermittlungen § 75 Berichtigung und Löschung personenbezogener Daten
sowie Einschränkung der Verarbeitung § 76 Protokollierung § 77 Vertrauliche Meldung von Verstößen
K a p i t e l 5
D a t e n ü b e r m i t t l u n g e n a n D r i t t s t a a t e n u n d a n
i n t e r n a t i o n a l e O r g a n i s a t i o n e n
§ 78 Allgemeine Voraussetzungen § 79 Datenübermittlung bei geeigneten Garantien § 80 Datenübermittlung ohne geeignete Garantien § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
K a p i t e l 6
Z u s amm e n a r b e i t d e r A u f s i c h t s b e h ö r d e n
§ 82 Gegenseitige Amtshilfe
K a p i t e l 7
H a f t u n g u n d S a n k t i o n e n
§ 83 Schadensersatz und Entschädigung § 84 Strafvorschriften
Teil 4
Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die
Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
2098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Te i l 1
G em e i n s am e B e s t i mm u n g e n
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen
§ 1
Anwendungsbereich des Gesetzes
(1) Dieses Gesetz gilt für die Verarbeitung personen- bezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Daten- schutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung perso- nenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persön- licher oder familiärer Tätigkeiten.
(2) Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Ver- pflichtung zur Wahrung gesetzlicher Geheimhaltungs- pflichten oder von Berufs- oder besonderen Amtsge- heimnissen, die nicht auf gesetzlichen Vorschriften be- ruhen, bleibt unberührt.
(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwen- dung, sofern
1. der Verantwortliche oder Auftragsverarbeiter perso- nenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rah- men der Tätigkeiten einer inländischen Niederlas- sung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Ver- tragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungs- bereich der Verordnung (EU) 2016/679 des Euro- päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftrags- verarbeiter nur die §§ 8 bis 21, 39 bis 44.
(5) Die Vorschriften dieses Gesetzes finden keine An- wendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertrags- staaten des Abkommens über den Europäischen Wirt- schaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Euro- päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Be- hörden zum Zwecke der Verhütung, Ermittlung, Aufde- ckung oder Verfolgung von Straftaten oder der Straf- vollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mit- gliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(8) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, so- weit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
§ 2
Begriffsbestimmungen
(1) Öffentliche Stellen des Bundes sind die Behör- den, die Organe der Rechtspflege und andere öffent- lich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstal- ten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich- rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereini- gungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffent- lichen Stellen des Bundes und der Länder, die Aufga- ben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
2099Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Nichtöffentliche Stellen sind natürliche und juris- tische Personen, Gesellschaften und andere Personen- vereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffent- liche Stelle hoheitliche Aufgaben der öffentlichen Ver- waltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
(5) Öffentliche Stellen des Bundes gelten als nicht- öffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 3
Verarbeitung personenbezogener Daten durch öffentliche Stellen
Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfül- lung der in der Zuständigkeit des Verantwortlichen lie- genden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforder- lich ist.
§ 4
Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüber- wachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für kon- kret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Bei der Videoüberwachung von
1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnü- gungsstätten, Einkaufszentren oder Parkplätzen, oder
2. Fahrzeugen und öffentlich zugänglichen großflächi- gen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.
(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeit- punkt erkennbar zu machen.
(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Absatz 1 Satz 2
gilt entsprechend. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicher- heit sowie zur Verfolgung von Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Da- ten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Artikeln 13 und 14 der Ver- ordnung (EU) 2016/679. § 32 gilt entsprechend.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Kapitel 3
Datenschutzbeauftragte öffentlicher Stellen
§ 5
Benennung
(1) Öffentliche Stellen benennen eine Datenschutz- beauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach § 2 Absatz 5, die am Wettbewerb teilnehmen.
(2) Für mehrere öffentliche Stellen kann unter Be- rücksichtigung ihrer Organisationsstruktur und ihrer Größe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden.
(3) Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens be- nannt, das sie oder er auf dem Gebiet des Daten- schutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner Fähigkeit zur Erfül- lung der in § 7 genannten Aufgaben.
(4) Die oder der Datenschutzbeauftragte kann Be- schäftigte oder Beschäftigter der öffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(5) Die öffentliche Stelle veröffentlicht die Kontakt- daten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit.
§ 6
Stellung
(1) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß und früh- zeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
(2) Die öffentliche Stelle unterstützt die Daten- schutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 7, indem sie die für die Erfüllung dieser Aufgaben er- forderlichen Ressourcen und den Zugang zu personen- bezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erfor- derlichen Ressourcen zur Verfügung stellt.
(3) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Aus- übung dieser Aufgaben erhält. Die oder der Daten-
2100 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
schutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. Die oder der Da- tenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden.
(4) Die Abberufung der oder des Datenschutzbeauf- tragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Da- tenschutzbeauftragter ist die Kündigung des Arbeits- verhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungs- frist berechtigt ist.
(5) Betroffene Personen können die Datenschutzbe- auftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Ver- ordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusam- menhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
(6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Grün- den zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlag- nahmeverbot.
§ 7
Aufgaben
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchfüh- ren, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, ein- schließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuwei- sung von Zuständigkeiten, der Sensibilisierung und
der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3. Beratung im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durch- führung gemäß § 67 dieses Gesetzes;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufga- ben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.
(2) Die oder der Datenschutzbeauftragte kann an- dere Aufgaben und Pflichten wahrnehmen. Die öffent- liche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebüh- rend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung be- rücksichtigt.
Kapitel 4
Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
§ 8
Errichtung
(1) Die oder der Bundesbeauftragte für den Daten- schutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf an- dere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen perso- nenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der über- tragenen Aufgaben erforderlich ist.
§ 9
Zuständigkeit
(1) Die oder der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Die Vorschriften dieses Kapitels gelten auch für Auftragsverarbeiter, soweit sie nichtöffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.
2101Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Die oder der Bundesbeauftragte ist nicht zustän- dig für die Aufsicht über die von den Bundesgerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
§ 10
Unabhängigkeit
(1) Die oder der Bundesbeauftragte handelt bei der Erfüllung ihrer oder seiner Aufgaben und bei der Aus- übung ihrer oder seiner Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter Be- einflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen.
(2) Die oder der Bundesbeauftragte unterliegt der Rechnungsprüfung durch den Bundesrechnungshof, soweit hierdurch ihre oder seine Unabhängigkeit nicht beeinträchtigt wird.
§ 11
Ernennung und Amtszeit
(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauf- tragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundes- beauftragte muss bei ihrer oder seiner Wahl das 35. Le- bensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbe- sondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kennt- nisse des Datenschutzrechts verfügen und die Befähi- gung zum Richteramt oder höheren Verwaltungsdienst haben.
(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten fol- genden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
§ 12
Amtsverhältnis
(1) Die oder der Bundesbeauftragte steht nach Maß- gabe dieses Gesetzes zum Bund in einem öffentlich- rechtlichen Amtsverhältnis.
(2) Das Amtsverhältnis beginnt mit der Aushändi- gung der Ernennungsurkunde. Es endet mit dem Ab- lauf der Amtszeit oder mit dem Rücktritt. Die Bundes- präsidentin oder der Bundespräsident enthebt auf Vorschlag der Präsidentin oder des Präsidenten des Bundestages die Bundesbeauftragte ihres oder den Bundesbeauftragten seines Amtes, wenn die oder der Bundesbeauftragte eine schwere Verfehlung begangen
hat oder die Voraussetzungen für die Wahrnehmung ihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fall der Beendigung des Amtsverhältnisses oder der Amts- enthebung erhält die oder der Bundesbeauftragte eine von der Bundespräsidentin oder dem Bundespräsiden- ten vollzogene Urkunde. Eine Amtsenthebung wird mit der Aushändigung der Urkunde wirksam. Endet das Amtsverhältnis mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen der Präsidentin oder des Präsidenten des Bundestages die Geschäfte bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers für die Dauer von höchstens sechs Monaten weiterzuführen.
(3) Die Leitende Beamtin oder der Leitende Beamte nimmt die Rechte der oder des Bundesbeauftragten wahr, wenn die oder der Bundesbeauftragte an der Ausübung ihres oder seines Amtes verhindert ist oder wenn ihr oder sein Amtsverhältnis endet und sie oder er nicht zur Weiterführung der Geschäfte verpflichtet ist. § 10 Absatz 1 ist entsprechend anzuwenden.
(4) Die oder der Bundesbeauftragte erhält vom Be- ginn des Kalendermonats an, in dem das Amtsverhält- nis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 2 Satz 6 bis zum Ende des Monats, in dem die Ge- schäftsführung endet, Amtsbezüge in Höhe der Besol- dungsgruppe B 11 sowie den Familienzuschlag ent- sprechend Anlage V des Bundesbesoldungsgesetzes. Das Bundesreisekostengesetz und das Bundesum- zugskostengesetz sind entsprechend anzuwenden. Im Übrigen sind § 12 Absatz 6 sowie die §§ 13 bis 20 und 21a Absatz 5 des Bundesministergesetzes mit den Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Absatz 1 des Bundes- ministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Absatz 5 des Bundesministergesetzes berechnet sich das Ruhegehalt der oder des Bundes- beauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwen- dung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und die oder der Bundesbeauftragte sich unmittelbar vor ihrer oder seiner Wahl zur oder zum Bundesbeauftragten als Beamtin oder Beamter oder als Richterin oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 11 zu durchlaufenden Amt befunden hat.
§ 13
Rechte und Pflichten
(1) Die oder der Bundesbeauftragte sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und übt während ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf die oder der Bundesbeauftragte neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Auf- sichtsrat oder Verwaltungsrat eines auf Erwerb gerich- teten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.
2102 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Die oder der Bundesbeauftragte hat der Präsi- dentin oder dem Präsidenten des Bundestages Mittei- lung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. Die Präsidentin oder der Präsident des Bundestages entscheidet über die Ver- wendung der Geschenke. Sie oder er kann Verfahrens- vorschriften erlassen.
(3) Die oder der Bundesbeauftragte ist berechtigt, über Personen, die ihr oder ihm in ihrer oder seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauf- tragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiterinnen und Mitarbeiter der oder des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts die oder der Bundesbe- auftragte entscheidet. Soweit das Zeugnisverweige- rungsrecht der oder des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Dokumenten von ihr oder ihm nicht gefordert werden.
(4) Die oder der Bundesbeauftragte ist, auch nach Beendigung ihres oder seines Amtsverhältnisses, ver- pflichtet, über die ihr oder ihm amtlich bekanntgewor- denen Angelegenheiten Verschwiegenheit zu bewah- ren. Dies gilt nicht für Mitteilungen im dienstlichen Ver- kehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Bundesbeauftragte entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außer- gerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Bundesbeauftragten erforderlich. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei einer Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. Für die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Mitarbei- terinnen und Mitarbeiter gelten die §§ 93, 97 und 105 Absatz 1, § 111 Absatz 5 in Verbindung mit § 105 Absatz 1 sowie § 116 Absatz 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffent- liches Interesse besteht, oder soweit es sich um vor- sätzlich falsche Angaben der oder des Auskunftspflich- tigen oder der für sie oder ihn tätigen Personen handelt. Stellt die oder der Bundesbeauftragte einen Daten- schutzverstoß fest, ist sie oder er befugt, diesen an- zuzeigen und die betroffene Person hierüber zu infor- mieren.
(5) Die oder der Bundesbeauftragte darf als Zeugin oder Zeuge aussagen, es sei denn, die Aussage würde
1. dem Wohl des Bundes oder eines Landes Nachteile bereiten, insbesondere Nachteile für die Sicherheit der Bundesrepublik Deutschland oder ihre Bezie- hungen zu anderen Staaten, oder
2. Grundrechte verletzen.
Betrifft die Aussage laufende oder abgeschlossene Vor- gänge, die dem Kernbereich exekutiver Eigenverant- wortung der Bundesregierung zuzurechnen sind oder sein könnten, darf die oder der Bundesbeauftragte nur
im Benehmen mit der Bundesregierung aussagen. § 28 des Bundesverfassungsgerichtsgesetzes bleibt unbe- rührt.
(6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entspre- chend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind.
§ 14
Aufgaben
(1) Die oder der Bundesbeauftragte hat neben den in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben,
1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 er- lassenen Rechtsvorschriften, zu überwachen und durchzusetzen,
2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibi- lisieren und sie darüber aufzuklären, wobei spezifi- sche Maßnahmen für Kinder besondere Beachtung finden,
3. den Deutschen Bundestag und den Bundesrat, die Bundesregierung und andere Einrichtungen und Gremien über legislative und administrative Maß- nahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,
4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vor- schriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlas- senen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,
5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvor- schriften, zur Verfügung zu stellen und gegebenen- falls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten,
6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richt- linie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichts- behörde notwendig ist,
7. mit anderen Aufsichtsbehörden zusammenzuarbei- ten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwen- dung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, ein- schließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu ge- währleisten,
2103Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
8. Untersuchungen über die Anwendung dieses Ge- setzes und sonstiger Vorschriften über den Daten- schutz, einschließlich der zur Umsetzung der Richt- linie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Infor- mationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,
9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Infor- mations- und Kommunikationstechnologie und der Geschäftspraktiken,
10. Beratung in Bezug auf die in § 69 genannten Ver- arbeitungsvorgänge zu leisten und
11. Beiträge zur Tätigkeit des Europäischen Daten- schutzausschusses zu leisten.
Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Bundesbeauftragte zudem die Auf- gabe nach § 60 wahr.
(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Bundesbe- auftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Deutschen Bundestag oder einen seiner Ausschüsse, den Bundesrat, die Bundesregierung, sonstige Einrich- tungen und Stellen sowie an die Öffentlichkeit richten. Auf Ersuchen des Deutschen Bundestages, eines seiner Ausschüsse oder der Bundesregierung geht die oder der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach.
(3) Die oder der Bundesbeauftragte erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereit- stellung eines Beschwerdeformulars, das auch elektro- nisch ausgefüllt werden kann, ohne dass andere Kom- munikationsmittel ausgeschlossen werden.
(4) Die Erfüllung der Aufgaben der oder des Bundes- beauftragten ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die oder der Bundesbeauftragte eine angemes- sene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Bundes- beauftragte die Beweislast für den offenkundig unbe- gründeten oder exzessiven Charakter der Anfrage.
§ 15
Tätigkeitsbericht
Die oder der Bundesbeauftragte erstellt einen Jah- resbericht über ihre oder seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen, einschließlich der verhängten Sanktionen und der Maßnahmen nach Artikel 58 Ab- satz 2 der Verordnung (EU) 2016/679, enthalten kann. Die oder der Bundesbeauftragte übermittelt den Bericht dem Deutschen Bundestag, dem Bundesrat und der Bundesregierung und macht ihn der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich.
§ 16
Befugnisse
(1) Die oder der Bundesbeauftragte nimmt im An- wendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Kommt die oder der Bundesbeauf- tragte zu dem Ergebnis, dass Verstöße gegen die Vor- schriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorlie- gen, teilt sie oder er dies der zuständigen Rechts- oder Fachaufsichtsbehörde mit und gibt dieser vor der Aus- übung der Befugnisse des Artikels 58 Absatz 2 Buch- stabe b bis g, i und j der Verordnung (EU) 2016/679 gegenüber dem Verantwortlichen Gelegenheit zur Stel- lungnahme innerhalb einer angemessenen Frist. Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entschei- dung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht. Die Stellung- nahme soll auch eine Darstellung der Maßnahmen ent- halten, die aufgrund der Mitteilung der oder des Bundesbeauftragten getroffen worden sind.
(2) Stellt die oder der Bundesbeauftragte bei Daten- verarbeitungen durch öffentliche Stellen des Bundes zu Zwecken außerhalb des Anwendungsbereichs der Ver- ordnung (EU) 2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verar- beitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber der zustän- digen obersten Bundesbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu be- stimmenden Frist auf. Die oder der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstan- dung der oder des Bundesbeauftragten getroffen wor- den sind. Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsich- tigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.
(3) Die Befugnisse der oder des Bundesbeauftragten erstrecken sich auch auf
1. von öffentlichen Stellen des Bundes erlangte perso- nenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs und
2. personenbezogene Daten, die einem besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
Das Grundrecht des Brief-, Post- und Fernmelde- geheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt.
(4) Die öffentlichen Stellen des Bundes sind ver- pflichtet, der oder dem Bundesbeauftragten und ihren oder seinen Beauftragten
1. jederzeit Zugang zu den Grundstücken und Dienst- räumen, einschließlich aller Datenverarbeitungsan-
2104 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
lagen und -geräte, sowie zu allen personenbezoge- nen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren und
2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.
(5) Die oder der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3 Satz 1 zweiter Halbsatz gilt entsprechend.
Kapitel 5
Vertretung im Europäischen Datenschutzausschuss,
zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union
§ 17
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
(1) Gemeinsamer Vertreter im Europäischen Daten- schutzausschuss und zentrale Anlaufstelle ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbehörde eines Landes (Stellvertre- ter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausschei- den aus dem Amt als Leiterin oder Leiter der Aufsichts- behörde eines Landes endet zugleich die Funktion als Stellvertreter. Wiederwahl ist zulässig.
(2) Der gemeinsame Vertreter überträgt in Ange- legenheiten, die die Wahrnehmung einer Aufgabe betreffen, für welche die Länder allein das Recht zur Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, dem Stellvertreter auf dessen Verlangen die Verhandlungs- führung und das Stimmrecht im Europäischen Daten- schutzausschuss.
§ 18
Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
(1) Die oder der Bundesbeauftragte und die Auf- sichtsbehörden der Länder (Aufsichtsbehörden des Bundes und der Länder) arbeiten in Angelegenheiten der Europäischen Union mit dem Ziel einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 zusammen. Vor der Übermitt- lung eines gemeinsamen Standpunktes an die Auf- sichtsbehörden der anderen Mitgliedstaaten, die Euro- päische Kommission oder den Europäischen Daten- schutzausschuss geben sich die Aufsichtsbehörden des Bundes und der Länder frühzeitig Gelegenheit zur Stellungnahme. Zu diesem Zweck tauschen sie unter- einander alle zweckdienlichen Informationen aus. Die Aufsichtsbehörden des Bundes und der Länder betei- ligen die nach den Artikeln 85 und 91 der Verordnung (EU) 2016/679 eingerichteten spezifischen Aufsichtsbe- hörden, sofern diese von der Angelegenheit betroffen sind.
(2) Soweit die Aufsichtsbehörden des Bundes und der Länder kein Einvernehmen über den gemeinsamen Standpunkt erzielen, legen die federführende Behörde oder in Ermangelung einer solchen der gemeinsame Vertreter und sein Stellvertreter einen Vorschlag für einen gemeinsamen Standpunkt vor. Einigen sich der gemeinsame Vertreter und sein Stellvertreter nicht auf einen Vorschlag für einen gemeinsamen Standpunkt, legt in Angelegenheiten, die die Wahrnehmung von Auf- gaben betreffen, für welche die Länder allein das Recht der Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, der Stellvertreter den Vorschlag für einen gemeinsamen Standpunkt fest. In den übrigen Fällen fehlenden Ein- vernehmens nach Satz 2 legt der gemeinsame Vertreter den Standpunkt fest. Der nach den Sätzen 1 bis 3 vor- geschlagene Standpunkt ist den Verhandlungen zu Grunde zu legen, wenn nicht die Aufsichtsbehörden von Bund und Ländern einen anderen Standpunkt mit einfacher Mehrheit beschließen. Der Bund und jedes Land haben jeweils eine Stimme. Enthaltungen werden nicht gezählt.
(3) Der gemeinsame Vertreter und dessen Stellver- treter sind an den gemeinsamen Standpunkt nach den Absätzen 1 und 2 gebunden und legen unter Beach- tung dieses Standpunktes einvernehmlich die jeweilige Verhandlungsführung fest. Sollte ein Einvernehmen nicht erreicht werden, entscheidet in den in § 18 Ab- satz 2 Satz 2 genannten Angelegenheiten der Stell- vertreter über die weitere Verhandlungsführung. In den übrigen Fällen gibt die Stimme des gemeinsamen Ver- treters den Ausschlag.
§ 19
Zuständigkeiten
(1) Federführende Aufsichtsbehörde eines Landes im Verfahren der Zusammenarbeit und Kohärenz nach Kapitel VII der Verordnung (EU) 2016/679 ist die Auf- sichtsbehörde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung im Sinne des Artikels 4 Nummer 16 der Verordnung (EU) 2016/679 oder seine einzige Niederlassung in der Europäischen Union im Sinne des Artikels 56 Absatz 1 der Verordnung (EU) 2016/679 hat. Im Zuständigkeits- bereich der oder des Bundesbeauftragten gilt Artikel 56 Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechend. Besteht über die Federführung kein Einvernehmen, findet für die Festlegung der federführenden Aufsichtsbehörde das Verfahren des § 18 Absatz 2 entsprechende Anwen- dung.
(2) Die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, gibt die Be- schwerde an die federführende Aufsichtsbehörde nach Absatz 1, in Ermangelung einer solchen an die Auf- sichtsbehörde eines Landes ab, in dem der Verantwort- liche oder der Auftragsverarbeiter eine Niederlassung hat. Wird eine Beschwerde bei einer sachlich unzustän- digen Aufsichtsbehörde eingereicht, gibt diese, sofern eine Abgabe nach Satz 1 nicht in Betracht kommt, die Beschwerde an die Aufsichtsbehörde am Wohnsitz des Beschwerdeführers ab. Die empfangende Aufsichtsbe- hörde gilt als die Aufsichtsbehörde nach Maßgabe des Kapitels VII der Verordnung (EU) 2016/679, bei der die
2105Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Beschwerde eingereicht worden ist, und kommt den Verpflichtungen aus Artikel 60 Absatz 7 bis 9 und Artikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach.
Kapitel 6
Rechtsbehelfe
§ 20
Gerichtlicher Rechtsschutz
(1) Für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und einer Aufsichtsbehörde des Bundes oder eines Landes über Rechte gemäß Ar- tikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679 sowie § 61 ist der Verwaltungsrechtsweg gegeben. Satz 1 gilt nicht für Bußgeldverfahren.
(2) Die Verwaltungsgerichtsordnung ist nach Maß- gabe der Absätze 3 bis 7 anzuwenden.
(3) Für Verfahren nach Absatz 1 Satz 1 ist das Ver- waltungsgericht örtlich zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat.
(4) In Verfahren nach Absatz 1 Satz 1 ist die Auf- sichtsbehörde beteiligungsfähig.
(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 sind
1. die natürliche oder juristische Person als Klägerin oder Antragstellerin und
2. die Aufsichtsbehörde als Beklagte oder Antrags- gegnerin.
§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unberührt.
(6) Ein Vorverfahren findet nicht statt.
(7) Die Aufsichtsbehörde darf gegenüber einer Be- hörde oder deren Rechtsträger nicht die sofortige Voll- ziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.
§ 21
Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei
angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission
(1) Hält eine Aufsichtsbehörde einen Angemessen- heitsbeschluss der Europäischen Kommission, einen Beschluss über die Anerkennung von Standardschutz- klauseln oder über die Allgemeingültigkeit von geneh- migten Verhaltensregeln, auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbehörde ankommt, für rechtswidrig, so hat die Aufsichtsbehörde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Ent- scheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist der Verwaltungs- rechtsweg gegeben. Die Verwaltungsgerichtsordnung ist nach Maßgabe der Absätze 3 bis 6 anzuwenden.
(3) Über einen Antrag der Aufsichtsbehörde nach Absatz 1 entscheidet im ersten und letzten Rechtszug das Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die Aufsichtsbe- hörde beteiligungsfähig. An einem Verfahren nach Ab- satz 1 ist die Aufsichtsbehörde als Antragstellerin be- teiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichts- ordnung bleibt unberührt. Das Bundesverwaltungsge-
richt kann der Europäischen Kommission Gelegenheit zur Äußerung binnen einer zu bestimmenden Frist geben.
(5) Ist ein Verfahren zur Überprüfung der Gültigkeit eines Beschlusses der Europäischen Kommission nach Absatz 1 bei dem Gerichtshof der Europäischen Union anhängig, so kann das Bundesverwaltungsgericht an- ordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsordnung entsprechend anzuwenden. Kommt das Bundesverwal- tungsgericht zu der Überzeugung, dass der Beschluss der Europäischen Kommission nach Absatz 1 gültig ist, so stellt es dies in seiner Entscheidung fest. Andernfalls legt es die Frage nach der Gültigkeit des Beschlusses gemäß Artikel 267 des Vertrags über die Arbeitsweise der Europäischen Union dem Gerichtshof der Euro- päischen Union zur Entscheidung vor.
Te i l 2
D u r c h f ü h r u n g s b e s t i mm u n g e n f ü r Ve r a r b e i t u n g e n z u
Z w e c k e n g em ä ß A r t i k e l 2 d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9
Kapitel 1
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
A b s c h n i t t 1
Ve r a r b e i t u n g b e s o n d e r e r K a t e g o r i e n
p e r s o n e n b e z o g e n e r D a t e n u n d Ve r a r b e i t u n g z u a n d e r e n Zw e c k e n
§ 22
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu- lässig
1. durch öffentliche und nichtöffentliche Stellen, wenn sie
a) erforderlich ist, um die aus dem Recht der sozia- len Sicherheit und des Sozialschutzes erwach- senden Rechte auszuüben und den diesbezüg- lichen Pflichten nachzukommen,
b) zum Zweck der Gesundheitsvorsorge, für die Be- urteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbe- reich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterlie-
2106 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
gen, oder unter deren Verantwortung verarbeitet werden, oder
c) aus Gründen des öffentlichen Interesses im Be- reich der öffentlichen Gesundheit, wie des Schut- zes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung ho- her Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind ins- besondere die berufsrechtlichen und strafrecht- lichen Vorgaben zur Wahrung des Berufsgeheim- nisses einzuhalten,
2. durch öffentliche Stellen, wenn sie
a) aus Gründen eines erheblichen öffentlichen Inte- resses zwingend erforderlich ist,
b) zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist,
c) zur Abwehr erheblicher Nachteile für das Gemein- wohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
d) aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Ver- pflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Kon- fliktverhinderung oder für humanitäre Maßnah- men erforderlich ist
und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 2 die Interessen der betroffenen Person überwiegen.
(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interes- sen der betroffenen Person vorzusehen. Unter Berück- sichtigung des Stands der Technik, der Implementie- rungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
1. technisch organisatorische Maßnahmen, um sicher- zustellen, dass die Verarbeitung gemäß der Verord- nung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. Benennung einer oder eines Datenschutzbeauftrag- ten,
5. Beschränkung des Zugangs zu den personenbezo- genen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6. Pseudonymisierung personenbezogener Daten,
7. Verschlüsselung personenbezogener Daten,
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integri- tät, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbei-
tung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirk- samkeit der technischen und organisatorischen Maßnahmen oder
10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
§ 23
Verarbeitung zu anderen Zwecken durch öffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffe- nen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
3. sie zur Abwehr erheblicher Nachteile für das Ge- meinwohl oder einer Gefahr für die öffentliche Si- cherheit, die Verteidigung oder die nationale Sicher- heit, zur Wahrung erheblicher Belange des Gemein- wohls oder zur Sicherung des Steuer- und Zollauf- kommens erforderlich ist,
4. sie zur Verfolgung von Straftaten oder Ordnungswid- rigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erzie- hungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist,
5. sie zur Abwehr einer schwerwiegenden Beeinträch- tigung der Rechte einer anderen Person erforderlich ist oder
6. sie der Wahrnehmung von Aufsichts- und Kontrollbe- fugnissen, der Rechnungsprüfung oder der Durch- führung von Organisationsuntersuchungen des Ver- antwortlichen dient; dies gilt auch für die Verarbei- tung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interes- sen der betroffenen Person dem nicht entgegen- stehen.
(2) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
2107Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 24
Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straf- taten erforderlich ist oder
2. sie zur Geltendmachung, Ausübung oder Verteidi- gung zivilrechtlicher Ansprüche erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
(2) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
§ 25
Datenübermittlungen durch öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an öffentliche Stellen ist zu- lässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erfor- derlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden. Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwe- cke ist unter den Voraussetzungen des § 23 zulässig.
(2) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der über- mittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verar- beitung nach § 23 zulassen würden,
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu über- mittelnden Daten glaubhaft darlegt und die betrof- fene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
3. es zur Geltendmachung, Ausübung oder Verteidi- gung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwe- cke ist zulässig, wenn eine Übermittlung nach Satz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
(3) Die Übermittlung besonderer Kategorien perso- nenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zulässig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Aus-
nahmetatbestand nach Artikel 9 Absatz 2 der Verord- nung (EU) 2016/679 oder nach § 22 vorliegen.
A b s c h n i t t 2
B e s o n d e r e Ve r a r b e i t u n g s s i t u a t i o n e n
§ 26
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dür- fen für Zwecke des Beschäftigungsverhältnisses verar- beitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Aus- übung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinba- rung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten er- forderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsäch- liche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verar- beitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2) Erfolgt die Verarbeitung personenbezogener Da- ten von Beschäftigten auf der Grundlage einer Einwil- ligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungs- verhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilli- gung erteilt worden ist, zu berücksichtigen. Freiwillig- keit kann insbesondere vorliegen, wenn für die be- schäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Ein- willigung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Wider- rufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
(3) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erfor- derlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verar- beitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entspre- chend.
2108 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Die Verarbeitung personenbezogener Daten, ein- schließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäfti- gungsverhältnisses, ist auf der Grundlage von Kollek- tivvereinbarungen zulässig. Dabei haben die Verhand- lungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
(6) Die Beteiligungsrechte der Interessenvertretun- gen der Beschäftigten bleiben unberührt.
(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftig- ten verarbeitet werden, ohne dass sie in einem Datei- system gespeichert sind oder gespeichert werden sollen.
(8) Beschäftigte im Sinne dieses Gesetzes sind:
1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabi- litandinnen und Rehabilitanden),
4. in anerkannten Werkstätten für behinderte Men- schen Beschäftigte,
5. Freiwillige, die einen Dienst nach dem Jugendfrei- willigendienstegesetz oder dem Bundesfreiwilligen- dienstgesetz leisten,
6. Personen, die wegen ihrer wirtschaftlichen Unselb- ständigkeit als arbeitnehmerähnliche Personen an- zusehen sind; zu diesen gehören auch die in Heim- arbeit Beschäftigten und die ihnen Gleichgestellten,
7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
Bewerberinnen und Bewerber für ein Beschäftigungs- verhältnis sowie Personen, deren Beschäftigungsver- hältnis beendet ist, gelten als Beschäftigte.
§ 27
Datenverarbeitung zu wissenschaftlichen oder historischen
Forschungszwecken und zu statistischen Zwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder histori- sche Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken er- forderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheb- lich überwiegen. Der Verantwortliche sieht angemes- sene und spezifische Maßnahmen zur Wahrung der
Interessen der betroffenen Person gemäß § 22 Ab- satz 2 Satz 2 vor.
(2) Die in den Artikeln 15, 16, 18 und 21 der Verord- nung (EU) 2016/679 vorgesehenen Rechte der betroffe- nen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verord- nung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen For- schung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen sind zu wissenschaftlichen oder histori- schen Forschungszwecken oder zu statistischen Zwe- cken verarbeitete besondere Kategorien personen- bezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck mög- lich ist, es sei denn, berechtigte Interessen der betrof- fenen Person stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzel- angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeord- net werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.
(4) Der Verantwortliche darf personenbezogene Da- ten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von For- schungsergebnissen über Ereignisse der Zeitge- schichte unerlässlich ist.
§ 28
Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verord- nung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu- lässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wah- rung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
(2) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 be- steht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben ge- macht werden, die das Auffinden des betreffenden Archivguts mit vertretbarem Verwaltungsaufwand er- möglichen.
(3) Das Recht auf Berichtigung der betroffenen Per- son gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im öffentlichen Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unter- lagen hinzuzufügen.
2109Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, den Artikeln 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffent- lichen Interesse liegenden Archivzwecke unmöglich ma- chen oder ernsthaft beeinträchtigen und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind.
§ 29
Rechte der betroffenen Person und aufsichtsbehördliche
Befugnisse im Fall von Geheimhaltungspflichten
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Ab- satz 5 der Verordnung (EU) 2016/679 genannten Aus- nahmen nicht, soweit durch ihre Erfüllung Informatio- nen offenbart würden, die ihrem Wesen nach, insbe- sondere wegen der überwiegenden berechtigten Inte- ressen eines Dritten, geheim gehalten werden müssen. Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart wür- den, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berech- tigten Interessen eines Dritten, geheim gehalten werden müssen. Die Pflicht zur Benachrichtigung gemäß Arti- kel 34 der Verordnung (EU) 2016/679 besteht ergän- zend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müs- sen. Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach Artikel 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berück- sichtigung drohender Schäden, gegenüber dem Ge- heimhaltungsinteresse überwiegen.
(2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Be- rufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffe- nen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der be- troffenen Person an der Informationserteilung überwiegt.
(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auf- tragsverarbeitern bestehen die Untersuchungsbefug- nisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde.
§ 30
Verbraucherkredite
(1) Eine Stelle, die geschäftsmäßig personenbezo- gene Daten, die zur Bewertung der Kreditwürdigkeit
von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union genauso zu behandeln wie Auskunftsverlangen inländischer Darle- hensgeber.
(2) Wer den Abschluss eines Verbraucherdarlehens- vertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 1 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrich- tung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 37 bleibt unberührt.
§ 31
Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natür- lichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Ver- tragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wis- senschaftlich anerkannten mathematisch-statisti- schen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wur- den und
4. im Fall der Nutzung von Anschriftendaten die betrof- fene Person vor Berechnung des Wahrscheinlich- keitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittel- ten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forde- rungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht er- bracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig voll- streckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivil- prozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestrit- ten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der For- derung mindestens zweimal schriftlich gemahnt worden ist,
2110 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
b) die erste Mahnung mindestens vier Wochen zu- rückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksich- tigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis auf- grund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Daten- schutzrecht bleibt unberührt.
Kapitel 2
Rechte der betroffenen Person
§ 32
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Die Pflicht zur Information der betroffenen Per- son gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Ab- satz 4 der Verordnung (EU) 2016/679 genannten Aus- nahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
1. eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprüng- lichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Ein- zelfalls, insbesondere mit Blick auf den Zusammen- hang, in dem die Daten erhoben wurden, als gering anzusehen ist,
2. im Fall einer öffentlichen Stelle die ordnungsge- mäße Erfüllung der in der Zuständigkeit des Verant- wortlichen liegenden Aufgaben im Sinne des Arti- kels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Infor- mation die Interessen der betroffenen Person über- wiegen,
3. die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Ver- antwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
4. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nicht- erteilung der Information die Interessen der betroffe- nen Person überwiegen oder
5. eine vertrauliche Übermittlung von Daten an öffent- liche Stellen gefährden würde.
(2) Unterbleibt eine Information der betroffenen Per- son nach Maßgabe des Absatzes 1, ergreift der Ver- antwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, ein- schließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Infor- mationen für die Öffentlichkeit in präziser, transparen- ter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 1 Nummer 4 und 5 keine An- wendung.
(3) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinde- rungsgrundes, kommt der Verantwortliche der Infor- mationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemes- senen Frist nach Fortfall des Hinderungsgrundes, spä- testens jedoch innerhalb von zwei Wochen, nach.
§ 33
Informationspflicht, wenn die personenbezogenen Daten nicht
bei der betroffenen Person erhoben wurden
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Ab- satz 5 der Verordnung (EU) 2016/679 und der in § 29 Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die Erteilung der Information
1. im Fall einer öffentlichen Stelle
a) die ordnungsgemäße Erfüllung der in der Zustän- digkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde oder
b) die öffentliche Sicherheit oder Ordnung gefähr- den oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss,
2. im Fall einer nichtöffentlichen Stelle
a) die Geltendmachung, Ausübung oder Verteidi- gung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung Daten aus zivilrecht- lichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt, oder
b) die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Be- kanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde; im Fall der Datenverarbeitung für Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz.
2111Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Unterbleibt eine Information der betroffenen Per- son nach Maßgabe des Absatzes 1, ergreift der Ver- antwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, ein- schließlich der Bereitstellung der in Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Infor- mationen für die Öffentlichkeit in präziser, transparen- ter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat.
(3) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch öffent- liche Stellen an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirm- dienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
§ 34
Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 be- steht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, wenn
1. die betroffene Person nach § 33 Absatz 1 Num- mer 1, 2 Buchstabe b oder Absatz 3 nicht zu infor- mieren ist, oder
2. die Daten
a) nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewah- rungsvorschriften nicht gelöscht werden dürfen, oder
b) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismäßi- gen Aufwand erfordern würde sowie eine Verarbei- tung zu anderen Zwecken durch geeignete techni- sche und organisatorische Maßnahmen ausge- schlossen ist.
(2) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung ge- stützt wird, der mit der Auskunftsverweigerung ver- folgte Zweck gefährdet würde. Die zum Zweck der Aus- kunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbei- tung nach Maßgabe des Artikels 18 der Verordnung (EU) 2016/679 einzuschränken.
(3) Wird der betroffenen Person durch eine öffent- liche Stelle des Bundes keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch
die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person über das Ergebnis der daten- schutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zu- stimmt.
(4) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffent- liche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem ge- speichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft er- forderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informati- onsinteresse steht.
§ 35
Recht auf Löschung
(1) Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Spei- cherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezoge- ner Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezoge- nen Daten unrechtmäßig verarbeitet wurden.
(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwür- dige Interessen der betroffenen Person beeinträchtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, so- fern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entspre- chend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungs- fristen entgegenstehen.
§ 36
Widerspruchsrecht
Das Recht auf Widerspruch gemäß Artikel 21 Ab- satz 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle besteht nicht, soweit an der Verar- beitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
2112 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 37
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz 1 der Ver- ordnung (EU) 2016/679, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entschei- dung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verord- nung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leis- tungserbringung nach einem Versicherungsvertrag er- geht und
1. dem Begehren der betroffenen Person stattgegeben wurde oder
2. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemes- sene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu min- destens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Dar- legung des eigenen Standpunktes und auf Anfech- tung der Entscheidung zählt; der Verantwortliche in- formiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.
(2) Entscheidungen nach Absatz 1 dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 beruhen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
Kapitel 3
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 38
Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Ver- antwortliche und der Auftragsverarbeiter eine Daten- schutzbeauftragte oder einen Datenschutzbeauftrag- ten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personen- bezogener Daten beschäftigen. Nehmen der Verant- wortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten ge- schäftsmäßig zum Zweck der Übermittlung, der anony- misierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Per- sonen eine Datenschutzbeauftragte oder einen Daten- schutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden An- wendung, § 6 Absatz 4 jedoch nur, wenn die Benen- nung einer oder eines Datenschutzbeauftragten ver- pflichtend ist.
§ 39
Akkreditierung
Die Erteilung der Befugnis, als Zertifizierungsstelle gemäß Artikel 43 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 tätig zu werden, erfolgt durch die für die datenschutzrechtliche Aufsicht über die Zertifizierungs- stelle zuständige Aufsichtsbehörde des Bundes oder der Länder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle. § 2 Absatz 3 Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Num- mer 3 des Akkreditierungsstellengesetzes finden mit der Maßgabe Anwendung, dass der Datenschutz als ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2 unterfallender Bereich gilt.
Kapitel 4
Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen
§ 40
Aufsichtsbehörden der Länder
(1) Die nach Landesrecht zuständigen Behörden überwachen im Anwendungsbereich der Verordnung (EU) 2016/679 bei den nichtöffentlichen Stellen die An- wendung der Vorschriften über den Datenschutz.
(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere inländische Niederlassungen, findet für die Be- stimmung der zuständigen Aufsichtsbehörde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entspre- chende Anwendung. Wenn sich mehrere Behörden für zuständig oder für unzuständig halten oder wenn die Zuständigkeit aus anderen Gründen zweifelhaft ist, treffen die Aufsichtsbehörden die Entscheidung ge- meinsam nach Maßgabe des § 18 Absatz 2. § 3 Ab- satz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.
(3) Die Aufsichtsbehörde darf die von ihr gespeicher- ten Daten nur für Zwecke der Aufsicht verarbeiten; hier- bei darf sie Daten an andere Aufsichtsbehörden über- mitteln. Eine Verarbeitung zu einem anderen Zweck ist über Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffe- nen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. sie zur Abwehr erheblicher Nachteile für das Ge- meinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist oder
3. sie zur Verfolgung von Straftaten oder Ordnungs- widrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Ab- satz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist.
Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz fest, so ist sie be- fugt, die betroffenen Personen hierüber zu unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwie-
2113Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
genden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entspre- chend.
(4) Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivil- prozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aus- setzen würde. Der Auskunftspflichtige ist darauf hinzu- weisen.
(5) Die von einer Aufsichtsbehörde mit der Überwa- chung der Einhaltung der Vorschriften über den Daten- schutz beauftragten Personen sind befugt, zur Erfül- lung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverar- beitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt entsprechend.
(6) Die Aufsichtsbehörden beraten und unterstützen die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse. Sie können die Abberufung der oder des Datenschutzbeauftragten verlangen, wenn sie oder er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.
(7) Die Anwendung der Gewerbeordnung bleibt un- berührt.
Kapitel 5
Sanktionen
§ 41
Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 68 des Gesetzes über Ordnungs- widrigkeiten findet mit der Maßgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro übersteigt.
(2) Für Verfahren wegen eines Verstoßes nach Arti- kel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrig- keiten und der allgemeinen Gesetze über das Strafver- fahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ord- nungswidrigkeiten finden keine Anwendung. § 69 Ab- satz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten findet mit der Maßgabe Anwendung, dass die Staats- anwaltschaft das Verfahren nur mit Zustimmung der
Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.
§ 42
Strafvorschriften
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allge- mein zugängliche personenbezogene Daten einer gro- ßen Zahl von Personen, ohne hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art und Weise zugänglich macht
und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein, verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen an- deren zu schädigen.
(3) Die Tat wird nur auf Antrag verfolgt. Antragsbe- rechtigt sind die betroffene Person, der Verantwort- liche, die oder der Bundesbeauftragte und die Auf- sichtsbehörde.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Arti- kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Be- nachrichtigenden verwendet werden.
§ 43
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder
2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht recht- zeitig unterrichtet.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Arti- kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswid- rigkeiten gegen den Meldepflichtigen oder Benachrich- tigenden oder seine in § 52 Absatz 1 der Strafprozess- ordnung bezeichneten Angehörigen nur mit Zustim- mung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
2114 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Kapitel 6
Rechtsbehelfe
§ 44
Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
(1) Klagen der betroffenen Person gegen einen Ver- antwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestim- mungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der be- troffenen Person können bei dem Gericht des Ortes er- hoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet. Klagen nach Satz 1 können auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.
(2) Absatz 1 gilt nicht für Klagen gegen Behörden, die in Ausübung ihrer hoheitlichen Befugnisse tätig ge- worden sind.
(3) Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt, gilt dieser auch als bevoll- mächtigt, Zustellungen in zivilgerichtlichen Verfahren nach Absatz 1 entgegenzunehmen. § 184 der Zivilpro- zessordnung bleibt unberührt.
Te i l 3
B e s t i mm u n g e n f ü r Ve r a r b e i t u n g e n z u Z w e c k e n g em ä ß A r t i k e l 1 A b s a t z 1
d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0
Kapitel 1
Anwendungsbereich, Begriffsbestimmungen und
allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
§ 45
Anwendungsbereich
Die Vorschriften dieses Teils gelten für die Verarbei- tung personenbezogener Daten durch die für die Ver- hütung, Ermittlung, Aufdeckung, Verfolgung oder Ahn- dung von Straftaten oder Ordnungswidrigkeiten zu- ständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Verhütung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit. Die Sätze 1 und 2 finden zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetz- buchs, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. Soweit dieser Teil Vorschriften für Auf- tragsverarbeiter enthält, gilt er auch für diese.
§ 46
Begriffsbestimmungen
Es bezeichnen die Begriffe:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person ange- sehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren be- sonderen Merkmalen, die Ausdruck der physi- schen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automati- sierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit per- sonenbezogenen Daten wie das Erheben, das Er- fassen, die Organisation, das Ordnen, die Speiche- rung, die Anpassung, die Veränderung, das Aus- lesen, das Abfragen, die Verwendung, die Offen- legung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten ver- wendet werden, um bestimmte persönliche Aspek- te, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeits- leistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zu- verlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personen- bezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zuge- ordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;
6. „Dateisystem“ jede strukturierte Sammlung perso- nenbezogener Daten, die nach bestimmten Krite- rien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktiona- len oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personen- bezogenen Daten entscheidet;
8. „Auftragsverarbeiter“ eine natürliche oder juristi- sche Person, Behörde, Einrichtung oder andere
2115Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Per- son, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, un- abhängig davon, ob es sich bei ihr um einen Drit- ten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Verletzung des Schutzes personenbezogener Da- ten“ eine Verletzung der Sicherheit, die zur unbe- absichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verar- beitet wurden;
11. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigen- schaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Ge- sundheit dieser Person liefern, insbesondere sol- che, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;
12. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhal- tenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
13. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbrin- gung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesund- heitszustand hervorgehen;
14. „besondere Kategorien personenbezogener Daten“
a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Ge- werkschaftszugehörigkeit hervorgehen,
b) genetische Daten,
c) biometrische Daten zur eindeutigen Identifizie- rung einer natürlichen Person,
d) Gesundheitsdaten und
e) Daten zum Sexualleben oder zur sexuellen Orientierung;
15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 ein- gerichtete unabhängige staatliche Stelle;
16. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen so- wie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;
17. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklä- rung oder einer sonstigen eindeutigen bestätigen- den Handlung, mit der die betroffene Person zu ver- stehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einver- standen ist.
§ 47
Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten müssen
1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
3. dem Verarbeitungszweck entsprechen, für das Errei- chen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,
4. sachlich richtig und erforderlichenfalls auf dem neu- esten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbei- tung unrichtig sind, unverzüglich gelöscht oder be- richtigt werden,
5. nicht länger als es für die Zwecke, für die sie verar- beitet werden, erforderlich ist, in einer Form gespei- chert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
6. in einer Weise verarbeitet werden, die eine angemes- sene Sicherheit der personenbezogenen Daten ge- währleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu ge- währleistender Schutz vor unbefugter oder unrecht- mäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 48
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien perso- nenbezogener Daten ist nur zulässig, wenn sie zur Auf- gabenerfüllung unbedingt erforderlich ist.
(2) Werden besondere Kategorien personenbezoge- ner Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein
1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
2. die Festlegung von besonderen Aussonderungs- prüffristen,
3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
2116 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
4. die Beschränkung des Zugangs zu den personen- bezogenen Daten innerhalb der verantwortlichen Stelle,
5. die von anderen Daten getrennte Verarbeitung,
6. die Pseudonymisierung personenbezogener Daten,
7. die Verschlüsselung personenbezogener Daten oder
8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.
§ 49
Verarbeitung zu anderen Zwecken
Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 45 genannten Zwe- cke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in § 45 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
§ 50
Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
Personenbezogene Daten dürfen im Rahmen der in § 45 genannten Zwecke in archivarischer, wissen- schaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffe- nen Personen vorgesehen werden. Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vor- kehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.
§ 51
Einwilligung
(1) Soweit die Verarbeitung personenbezogener Da- ten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilli- gung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterschei- den ist.
(3) Die betroffene Person hat das Recht, ihre Einwil- ligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt
wurde, müssen die Umstände der Erteilung berücksich- tigt werden. Die betroffene Person ist auf den vorge- sehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu be- lehren.
(5) Soweit besondere Kategorien personenbezoge- ner Daten verarbeitet werden, muss sich die Einwilli- gung ausdrücklich auf diese Daten beziehen.
§ 52
Verarbeitung auf Weisung des Verantwortlichen
Jede einem Verantwortlichen oder einem Auftrags- verarbeiter unterstellte Person, die Zugang zu perso- nenbezogenen Daten hat, darf diese Daten ausschließ- lich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Ver- arbeitung verpflichtet ist.
§ 53
Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.
§ 54
Automatisierte Einzelentscheidung
(1) Eine ausschließlich auf einer automatischen Ver- arbeitung beruhende Entscheidung, die mit einer nach- teiligen Rechtsfolge für die betroffene Person verbun- den ist oder sie erheblich beeinträchtigt, ist nur zuläs- sig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten be- ruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.
(3) Profiling, das zur Folge hat, dass betroffene Per- sonen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist ver- boten.
Kapitel 3
Rechte der betroffenen Person
§ 55
Allgemeine Informationen zu Datenverarbeitungen
Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur Verfügung zu stellen über
1. die Zwecke der von ihm vorgenommenen Verarbei- tungen,
2. die im Hinblick auf die Verarbeitung ihrer personen- bezogenen Daten bestehenden Rechte der betroffe- nen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,
2117Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
3. den Namen und die Kontaktdaten des Verantwort- lichen und der oder des Datenschutzbeauftragten,
4. das Recht, die Bundesbeauftragte oder den Bun- desbeauftragten anzurufen, und
5. die Erreichbarkeit der oder des Bundesbeauftragten.
§ 56
Benachrichtigung betroffener Personen
(1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezo- gener Daten in speziellen Rechtsvorschriften, insbe- sondere bei verdeckten Maßnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten:
1. die in § 55 genannten Angaben,
2. die Rechtsgrundlage der Verarbeitung,
3. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Fest- legung dieser Dauer,
4. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten sowie
5. erforderlichenfalls weitere Informationen, insbeson- dere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.
(2) In den Fällen des Absatzes 1 kann der Verant- wortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie an- dernfalls
1. die Erfüllung der in § 45 genannten Aufgaben,
2. die öffentliche Sicherheit oder
3. Rechtsgüter Dritter
gefährdet würden, wenn das Interesse an der Vermei- dung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt.
(3) Bezieht sich die Benachrichtigung auf die Über- mittlung personenbezogener Daten an Verfassungs- schutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57 Absatz 7 entsprechend.
§ 57
Auskunftsrecht
(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betref- fende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über
1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie ge- hören,
2. die verfügbaren Informationen über die Herkunft der Daten,
3. die Zwecke der Verarbeitung und deren Rechts- grundlage,
4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Fest- legung dieser Dauer,
6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,
7. das Recht nach § 60, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, sowie
8. Angaben zur Erreichbarkeit der oder des Bundes- beauftragten.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßi- gen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
(4) Der Verantwortliche kann unter den Vorausset- zungen des § 56 Absatz 2 von der Auskunft nach Ab- satz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschrän- ken.
(5) Bezieht sich die Auskunftserteilung auf die Über- mittlung personenbezogener Daten an Verfassungs- schutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicher- heit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(6) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informa- tionen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschrän- kung der Auskunft verfolgten Zweck gefährden würde.
(7) Wird die betroffene Person nach Absatz 6 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Bundesbeauftragte oder den Bundesbeauftragten aus- üben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 60 die Bundesbeauftragte oder den Bundesbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Per- son von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Bundesbeauf- tragten zu erteilen, soweit nicht die zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch
2118 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
die Sicherheit des Bundes oder eines Landes gefährdet würde. Die oder der Bundesbeauftragte hat die betrof- fene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie stattgefunden hat. Diese Mittei- lung kann die Information enthalten, ob datenschutz- rechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person darf keine Rückschlüsse auf den Erkenntnis- stand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verant- wortliche darf die Zustimmung nur insoweit und so- lange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschränken könnte. Die oder der Bundesbeauftragte hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.
(8) Der Verantwortliche hat die sachlichen oder recht- lichen Gründe für die Entscheidung zu dokumentieren.
§ 58
Rechte auf Berichtigung und Löschung
sowie Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie be- treffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.
(2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betref- fender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.
(3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschrän- ken, wenn
1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
2. die Daten zu Beweiszwecken in Verfahren, die Zwe- cken des § 45 dienen, weiter aufbewahrt werden müssen oder
3. eine Löschung wegen der besonderen Art der Spei- cherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbei- tung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.
(5) Hat der Verantwortliche eine Berichtigung vorge- nommen, hat er einer Stelle, die ihm die personenbezo- genen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzu- teilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
(6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schrift- lich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck ge- fährden würde.
(7) § 57 Absatz 7 und 8 findet entsprechende An- wendung.
§ 59
Verfahren für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet besonderer Formvor- schriften soll er bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form ver- wenden.
(2) Bei Anträgen hat der Verantwortliche die betrof- fene Person unbeschadet des § 57 Absatz 6 und des § 58 Absatz 6 unverzüglich schriftlich darüber in Kennt- nis zu setzen, wie verfahren wurde.
(3) Die Erteilung von Informationen nach § 55, die Benachrichtigungen nach den §§ 56 und 66 und die Bearbeitung von Anträgen nach den §§ 57 und 58 er- folgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 57 und 58 kann der Verantwortliche entweder eine angemessene Ge- bühr auf der Grundlage der Verwaltungskosten verlan- gen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können.
(4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den §§ 57 oder 58 gestellt hat, kann er von ihr zusätzliche Informationen anfordern, die zur Bestäti- gung ihrer Identität erforderlich sind.
§ 60
Anrufung der oder des Bundesbeauftragten
(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Bundesbeauftragte oder den Bundesbeauftragten wenden, wenn sie der Auffassung ist, bei der Verarbei- tung ihrer personenbezogenen Daten durch öffentliche Stellen zu den in § 45 genannten Zwecken in ihren
2119Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Rechten verletzt worden zu sein. Dies gilt nicht für die Verarbeitung von personenbezogenen Daten durch Ge- richte, soweit diese die Daten im Rahmen ihrer justiziel- len Tätigkeit verarbeitet haben. Die oder der Bundes- beauftragte hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechts- schutzes nach § 61 hinzuweisen.
(2) Die oder der Bundesbeauftragte hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbei- tung, die in die Zuständigkeit einer Aufsichtsbehörde in einem anderen Mitgliedstaat der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde des anderen Staates weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterlei- tung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.
§ 61
Rechtsschutz gegen Entscheidungen
der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
(1) Jede natürliche oder juristische Person kann un- beschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Bundes- beauftragten vorgehen.
(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Bundesbeauftragte mit einer Beschwerde nach § 60 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.
Kapitel 4
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 62
Auftragsverarbeitung
(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Ein- haltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berich- tigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
(2) Ein Verantwortlicher darf nur solche Auftragsver- arbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und orga- nisatorischen Maßnahmen sicherstellen, dass die Ver- arbeitung im Einklang mit den gesetzlichen Anforderun- gen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
(3) Auftragsverarbeiter dürfen ohne vorherige schrift- liche Genehmigung des Verantwortlichen keine weite- ren Auftragsverarbeiter hinzuziehen. Hat der Verant- wortliche dem Auftragsverarbeiter eine allgemeine Ge- nehmigung zur Hinzuziehung weiterer Auftragsverarbei-
ter erteilt, hat der Auftragsverarbeiter den Verantwort- lichen über jede beabsichtigte Hinzuziehung oder Er- setzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung unter- sagen.
(4) Zieht ein Auftragsverarbeiter einen weiteren Auf- tragsverarbeiter hinzu, so hat er diesem dieselben Ver- pflichtungen aus seinem Vertrag mit dem Verantwort- lichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auf- tragsverarbeiter nicht schon aufgrund anderer Vor- schriften verbindlich sind. Erfüllt ein weiterer Auftrags- verarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines ande- ren Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personen- bezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen fest- legt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsver- arbeiter
1. nur auf dokumentierte Weisung des Verantwort- lichen handelt; ist der Auftragsverarbeiter der Auf- fassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;
2. gewährleistet, dass die zur Verarbeitung der perso- nenbezogenen Daten befugten Personen zur Ver- traulichkeit verpflichtet werden, soweit sie keiner an- gemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und be- stehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
5. dem Verantwortlichen alle erforderlichen Informatio- nen, insbesondere die gemäß § 76 erstellten Proto- kolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;
6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
7. die in den Absätzen 3 und 4 aufgeführten Bedingun- gen für die Inanspruchnahme der Dienste eines wei- teren Auftragsverarbeiters einhält;
8. alle gemäß § 64 erforderlichen Maßnahmen ergreift und
9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 64 bis 67 und § 69 genannten Pflichten unterstützt.
2120 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(6) Der Vertrag im Sinne des Absatzes 5 ist schrift- lich oder elektronisch abzufassen.
(7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vor- schrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
§ 63
Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verant- wortliche haben ihre jeweiligen Aufgaben und daten- schutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Ver- einbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwort- lichen geltend zu machen.
§ 64
Anforderungen an die Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechts- güter der betroffenen Personen die erforderlichen tech- nischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewähr- leisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Techni- schen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksich- tigen.
(2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüs- selung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass
1. die Vertraulichkeit, Integrität, Verfügbarkeit und Be- lastbarkeit der Systeme und Dienste im Zusammen- hang mit der Verarbeitung auf Dauer sichergestellt werden und
2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Da- tenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von perso- nenbezogenen Daten sowie der unbefugten Kennt- nisnahme, Veränderung und Löschung von gespei- cherten personenbezogenen Daten (Speicherkon- trolle),
4. Verhinderung der Nutzung automatisierter Verar- beitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkon- trolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtig- ten ausschließlich zu den von ihrer Zugangsberech- tigung umfassten personenbezogenen Daten Zu- gang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenüber- tragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskon- trolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezoge- nen Daten zu welcher Zeit und von wem in auto- matisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung perso- nenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Stö- rungsfall wiederhergestellt werden können (Wieder- herstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunk- tionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezo- gene Daten nicht durch Fehlfunktionen des Sys- tems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entspre- chend den Weisungen des Auftraggebers verarbei- tet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Ver- fügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwe- cken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbeson- dere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
2121Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
§ 65
Meldung von Verletzungen des Schutzes personenbezogener
Daten an die oder den Bundesbeauftragten
(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftrag- ten zu melden, es sei denn, dass die Verletzung voraus- sichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftrag- ten nicht innerhalb von 72 Stunden, so ist die Verzöge- rung zu begründen.
(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 hat zumindest fol- gende Informationen zu enthalten:
1. eine Beschreibung der Art der Verletzung des Schut- zes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren An- zahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezo- genen Datensätze zu enthalten hat,
2. den Namen und die Kontaktdaten der oder des Da- tenschutzbeauftragten oder einer sonstigen Per- son oder Stelle, die weitere Informationen erteilen kann,
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nach- teiligen Auswirkungen.
(4) Wenn die Informationen nach Absatz 3 nicht zu- sammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
(5) Der Verantwortliche hat Verletzungen des Schut- zes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammen- hängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.
(6) Soweit von einer Verletzung des Schutzes perso- nenbezogener Daten personenbezogene Daten betrof- fen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unver- züglich zu übermitteln.
(7) § 42 Absatz 4 findet entsprechende Anwendung.
(8) Weitere Pflichten des Verantwortlichen zu Be- nachrichtigungen über Verletzungen des Schutzes per- sonenbezogener Daten bleiben unberührt.
§ 66
Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes personenbezo- gener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 65 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu ent- halten.
(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
1. der Verantwortliche geeignete technische und orga- nisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffe- nen Daten angewandt wurden; dies gilt insbeson- dere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;
2. der Verantwortliche durch im Anschluss an die Ver- letzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erheb- liche Gefahr im Sinne des Absatzes 1 mehr be- steht, oder
3. dies mit einem unverhältnismäßigen Aufwand ver- bunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
(4) Wenn der Verantwortliche die betroffenen Perso- nen über eine Verletzung des Schutzes personenbezo- gener Daten nicht benachrichtigt hat, kann die oder der Bundesbeauftragte förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Ab- satzes 1 zur Folge hat.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 56 Absatz 2 genann- ten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Ab- satzes 1 überwiegen.
(6) § 42 Absatz 4 findet entsprechende Anwendung.
§ 67
Durchführung einer Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Ver-
2122 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
arbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffe- nen Personen durchzuführen.
(2) Für die Untersuchung mehrerer ähnlicher Verar- beitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschät- zung vorgenommen werden.
(3) Der Verantwortliche hat die Datenschutzbeauf- tragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.
(4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
1. eine systematische Beschreibung der geplanten Ver- arbeitungsvorgänge und der Zwecke der Verarbei- tung,
2. eine Bewertung der Notwendigkeit und Verhältnis- mäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garan- tien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
(5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
§ 68
Zusammenarbeit mit der oder dem Bundesbeauftragten
Der Verantwortliche hat mit der oder dem Bundes- beauftragten bei der Erfüllung ihrer oder seiner Aufga- ben zusammenzuarbeiten.
§ 69
Anhörung der oder des Bundesbeauftragten
(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Bundes- beauftragte oder den Bundesbeauftragten anzuhören, wenn
1. aus einer Datenschutz-Folgenabschätzung nach § 67 hervorgeht, dass die Verarbeitung eine erheb- liche Gefahr für die Rechtsgüter der betroffenen Per- sonen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde, oder
2. die Form der Verarbeitung, insbesondere bei der Ver- wendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechts- güter der betroffenen Personen zur Folge hat.
Die oder der Bundesbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur An- hörung nach Satz 1 unterliegen.
(2) Der oder dem Bundesbeauftragten sind im Fall des Absatzes 1 vorzulegen:
1. die nach § 67 durchgeführte Datenschutz-Folgenab- schätzung,
2. gegebenenfalls Angaben zu den jeweiligen Zustän- digkeiten des Verantwortlichen, der gemeinsam Ver- antwortlichen und der an der Verarbeitung beteilig- ten Auftragsverarbeiter,
3. Angaben zu den Zwecken und Mitteln der beabsich- tigten Verarbeitung,
4. Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien und
5. Name und Kontaktdaten der oder des Datenschutz- beauftragten.
Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbe- sondere die in Bezug auf den Schutz der personenbe- zogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(3) Falls die oder der Bundesbeauftragte der Auffas- sung ist, dass die geplante Verarbeitung gegen gesetz- liche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gege- benenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der An- hörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Bundesbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Ver- antwortlichen und gegebenenfalls den Auftragsverar- beiter über die Fristverlängerung zu informieren.
(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwort- lichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist be- ginnen. In diesem Fall sind die Empfehlungen der oder des Bundesbeauftragten im Nachhinein zu berück- sichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
§ 70
Verzeichnis von Verarbeitungstätigkeiten
(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
1. den Namen und die Kontaktdaten des Verantwort- lichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontakt- daten der oder des Datenschutzbeauftragten,
2. die Zwecke der Verarbeitung,
3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
2123Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
4. eine Beschreibung der Kategorien betroffener Per- sonen und der Kategorien personenbezogener Daten,
5. gegebenenfalls die Verwendung von Profiling,
6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Dritt- staat oder an eine internationale Organisation,
7. Angaben über die Rechtsgrundlage der Verarbei- tung,
8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auf- trag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
1. den Namen und die Kontaktdaten des Auftragsver- arbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenen- falls der oder des Datenschutzbeauftragten,
2. gegebenenfalls Übermittlungen von personenbezo- genen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und
3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
(3) Die in den Absätzen 1 und 2 genannten Verzeich- nisse sind schriftlich oder elektronisch zu führen.
(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Bundesbeauftragten zur Verfügung zu stellen.
§ 71
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
(1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Daten- schutzgrundsätze wie etwa die Datensparsamkeit wirk- sam umzusetzen, und die sicherstellen, dass die ge- setzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungs- kosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechts- güter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezoge- ner Daten und die Auswahl und Gestaltung von Daten- verarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verar- beiten. Personenbezogene Daten sind zum frühest- möglichen Zeitpunkt zu anonymisieren oder zu pseudo- nymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
(2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicher-
stellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen be- stimmten Verarbeitungszweck erforderlich ist. Dies be- trifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automati- siert einer unbestimmten Anzahl von Personen zugäng- lich gemacht werden können.
§ 72
Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
Der Verantwortliche hat bei der Verarbeitung perso- nenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:
1. Personen, gegen die ein begründeter Verdacht be- steht, dass sie eine Straftat begangen haben,
2. Personen, gegen die ein begründeter Verdacht be- steht, dass sie in naher Zukunft eine Straftat bege- hen werden,
3. verurteilte Straftäter,
4. Opfer einer Straftat oder Personen, bei denen be- stimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und
5. andere Personen wie insbesondere Zeugen, Hin- weisgeber oder Personen, die mit den in den Num- mern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.
§ 73
Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
Der Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbe- zogene Daten auf Tatsachen oder auf persönlichen Ein- schätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persön- lichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persön- lichen Einschätzung beruhenden Beurteilung zugrunde liegen.
§ 74
Verfahren bei Übermittlungen
(1) Der Verantwortliche hat angemessene Maßnah- men zu ergreifen, um zu gewährleisten, dass personen- bezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit ange- messenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprü- fen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu be- urteilen.
2124 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(2) Gelten für die Verarbeitung von personenbezoge- nen Daten besondere Bedingungen, so hat bei Daten- übermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beach- tung hinzuweisen. Die Hinweispflicht kann dadurch er- füllt werden, dass die Daten entsprechend markiert werden.
(3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Ver- trags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Daten- übermittlungen gelten.
§ 75
Berichtigung und Löschung personenbezogener
Daten sowie Einschränkung der Verarbeitung
(1) Der Verantwortliche hat personenbezogene Da- ten zu berichtigen, wenn sie unrichtig sind.
(2) Der Verantwortliche hat personenbezogene Da- ten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Ver- pflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.
(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwen- den. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen.
(4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen hat der Verantwort- liche für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzu- stellen, dass diese Fristen eingehalten werden.
§ 76
Protokollierung
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich Übermittlung,
5. Kombination und
6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie mög- lich die Identität der Person, die die personenbezoge- nen Daten abgefragt oder offengelegt hat, und die Iden- tität des Empfängers der Daten festzustellen.
(3) Die Protokolle dürfen ausschließlich für die Über- prüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Daten- schutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie
für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.
§ 77
Vertrauliche Meldung von Verstößen
Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwor- tungsbereich erfolgende Verstöße gegen Datenschutz- vorschriften zugeleitet werden können.
Kapitel 5
Datenübermittlungen an Drittstaaten und an internationale Organisationen
§ 78
Allgemeine Voraussetzungen
(1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisa- tionen ist bei Vorliegen der übrigen für Datenübermitt- lungen geltenden Voraussetzungen zulässig, wenn
1. die Stelle oder internationale Organisation für die in § 45 genannten Zwecke zuständig ist und
2. die Europäische Kommission gemäß Artikel 36 Ab- satz 3 der Richtlinie (EU) 2016/680 einen Angemes- senheitsbeschluss gefasst hat.
(2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlus- ses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Da- tenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementa- ren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurtei- lung hat der Verantwortliche maßgeblich zu berücksich- tigen, ob der Empfänger im Einzelfall einen angemes- senen Schutz der übermittelten Daten garantiert.
(3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermit- telt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zu- vor von der zuständigen Stelle des anderen Mitglied- staats genehmigt werden. Übermittlungen ohne vorhe- rige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Geneh- migung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die für die Erteilung der Genehmigung zuständig ge- wesen wäre, unverzüglich über die Übermittlung zu unterrichten.
2125Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
(4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzu- stellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwort- liche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu be- rücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezo- gene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.
§ 79
Datenübermittlung bei geeigneten Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 78 auch dann zulässig, wenn
1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder
2. der Verantwortliche nach Beurteilung aller Umstän- de, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garan- tien für den Schutz personenbezogener Daten be- stehen.
(2) Der Verantwortliche hat Übermittlungen nach Ab- satz 1 Nummer 2 zu dokumentieren. Die Dokumenta- tion hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Bundesbeauftragten auf Anforde- rung zur Verfügung zu stellen.
(3) Der Verantwortliche hat die Bundesbeauftragte oder den Bundesbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Be- urteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermitt- lungszwecke angemessen kategorisieren.
§ 80
Datenübermittlung ohne geeignete Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Be- schluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garan- tien im Sinne des § 79 Absatz 1 vor, ist eine Übermitt- lung bei Vorliegen der übrigen Voraussetzungen des § 78 auch dann zulässig, wenn die Übermittlung erfor- derlich ist
1. zum Schutz lebenswichtiger Interessen einer natür- lichen Person,
2. zur Wahrung berechtigter Interessen der betroffenen Person,
3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,
4. im Einzelfall für die in § 45 genannten Zwecke oder
5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammen- hang mit den in § 45 genannten Zwecken.
(2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab- satz 2 entsprechend.
§ 81
Sonstige Datenübermittlung an Empfänger in Drittstaaten
(1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbe- zogene Daten unmittelbar an nicht in § 78 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und
1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermitt- lung überwiegen,
2. die Übermittlung an die in § 78 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durch- geführt werden kann, und
3. der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbei- tet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.
(2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 78 Absatz 1 Nummer 1 genannten Stellen un- verzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab- satz 2 und 3 entsprechend.
(4) Bei Übermittlungen nach Absatz 1 hat der Ver- antwortliche den Empfänger zu verpflichten, die über- mittelten personenbezogenen Daten ohne seine Zu- stimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.
(5) Abkommen im Bereich der justiziellen Zusam- menarbeit in Strafsachen und der polizeilichen Zusam- menarbeit bleiben unberührt.
Kapitel 6
Zusammenarbeit der Aufsichtsbehörden
§ 82
Gegenseitige Amtshilfe
(1) Die oder der Bundesbeauftragte hat den Daten- schutzaufsichtsbehörden in anderen Mitgliedstaaten der Europäischen Union Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitli- che Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. Die Amtshilfe betrifft insbe- sondere Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um Konsultation
2126 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
oder um Vornahme von Nachprüfungen und Untersu- chungen.
(2) Die oder der Bundesbeauftragte hat alle geeigne- ten Maßnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen.
(3) Die oder der Bundesbeauftragte darf Amtshilfe- ersuchen nur ablehnen, wenn
1. sie oder er für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie oder er durchführen soll, nicht zuständig ist oder
2. ein Eingehen auf das Ersuchen gegen Rechtsvor- schriften verstoßen würde.
(4) Die oder der Bundesbeauftragte hat die ersu- chende Aufsichtsbehörde des anderen Staates über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie oder er hat im Fall des Absatzes 3 die Gründe für die Ableh- nung des Ersuchens zu erläutern.
(5) Die oder der Bundesbeauftragte hat die Informa- tionen, um die sie oder er von der Aufsichtsbehörde des anderen Staates ersucht wurde, in der Regel elek- tronisch und in einem standardisierten Format zu über- mitteln.
(6) Die oder der Bundesbeauftragte hat Amtshilfe- ersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbehörde des ande- ren Staates die Erstattung entstandener Ausgaben ver- einbart hat.
(7) Ein Amtshilfeersuchen der oder des Bundesbe- auftragten hat alle erforderlichen Informationen zu ent- halten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.
Kapitel 7
Haftung und Sanktionen
§ 83
Schadensersatz und Entschädigung
(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verar- beitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflich- tet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
(2) Wegen eines Schadens, der nicht Vermögens- schaden ist, kann die betroffene Person eine angemes- sene Entschädigung in Geld verlangen.
(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche bezie- hungsweise sein Rechtsträger.
(4) Hat bei der Entstehung des Schadens ein Ver- schulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzu- wenden.
(5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
§ 84
Strafvorschriften
Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach § 45 Satz 1, 3 oder 4 findet § 42 entsprechende An- wendung.
Te i l 4
B e s o n d e r e B e s t i mm u n g e n f ü r
Ve r a r b e i t u n g e n i m R a hm e n v o n n i c h t i n d i e A n w e n d u n g s b e r e i c h e
d e r Ve r o r d n u n g ( E U ) 2 0 1 6 / 6 7 9 u n d d e r R i c h t l i n i e ( E U ) 2 0 1 6 / 6 8 0
f a l l e n d e n T ä t i g k e i t e n
§ 85
Verarbeitung personenbezogener Daten
im Rahmen von nicht in die Anwendungs- bereiche der Verordnung (EU) 2016/679 und
der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
(1) Die Übermittlung personenbezogener Daten an einen Drittstaat oder an über- oder zwischenstaatliche Stellen oder internationale Organisationen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen- den Tätigkeiten ist über die bereits gemäß der Verord- nung (EU) 2016/679 zulässigen Fälle hinaus auch dann zulässig, wenn sie zur Erfüllung eigener Aufgaben aus zwingenden Gründen der Verteidigung oder zur Erfül- lung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. Der Emp- fänger ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden.
(2) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch Dienststellen im Geschäftsbereich des Bundes- ministeriums der Verteidigung gilt § 16 Absatz 4 nicht, soweit das Bundesministerium der Verteidigung im Ein- zelfall feststellt, dass die Erfüllung der dort genannten Pflichten die Sicherheit des Bundes gefährden würde.
(3) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch öffentliche Stellen des Bundes besteht keine Informationspflicht gemäß Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679, wenn
1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3 handelt oder
2127Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2. durch ihre Erfüllung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden be- rechtigten Interessen eines Dritten, geheim gehalten werden müssen, und deswegen das Interesse der betroffenen Person an der Erteilung der Information zurücktreten muss.
Ist die betroffene Person in den Fällen des Satzes 1 nicht zu informieren, besteht auch kein Recht auf Aus- kunft. § 32 Absatz 2 und § 33 Absatz 2 finden keine Anwendung.
Artikel 2
Änderung des Bundesverfassungsschutzgesetzes
Das Bundesverfassungsschutzgesetz vom 20. De- zember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. § 6 wird wie folgt geändert:
a) In Absatz 2 Satz 4 wird das Wort „sperren“ durch die Wörter „die Verarbeitung einschränken“ er- setzt.
b) In Absatz 3 Satz 1 wird die Angabe „nach § 9“ durch die Angabe „entsprechend § 64“ ersetzt.
2. § 8 Absatz 1 Satz 1 wird wie folgt gefasst:
„Das Bundesamt für Verfassungsschutz darf die zur Erfüllung seiner Aufgaben erforderlichen Informa- tionen einschließlich personenbezogener Daten verarbeiten, soweit nicht die anzuwendenden Be- stimmungen des Bundesdatenschutzgesetzes oder besondere Regelungen in diesem Gesetz entge- genstehen; die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat.“
3. In § 8b Absatz 2 Satz 4 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4. § 12 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) Absatz 2 Satz 3 wird wie folgt gefasst:
„In diesem Falle ist die Verarbeitung einzu- schränken.“
5. § 13 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
„(2) Das Bundesamt für Verfassungsschutz hat die Verarbeitung personenbezogener Daten einzuschränken, wenn es im Einzelfall feststellt, dass ohne die Einschränkung schutzwürdige In- teressen des Betroffenen beeinträchtigt würden und die Daten für seine künftige Aufgabenerfül- lung nicht mehr erforderlich sind. Verarbeitungs- eingeschränkte Daten sind mit einem entspre- chenden Vermerk zu versehen; sie dürfen nicht mehr genutzt oder übermittelt werden. Eine Auf- hebung der Einschränkung ist möglich, wenn ihre Voraussetzungen nachträglich entfallen.“
b) Absatz 3 Satz 5 und 6 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der in der Akte gespeicherten personenbezogenen Daten einzuschränken und mit einem entsprechenden Vermerk zu versehen. Sie dürfen nur für die Inte- ressen nach Satz 4 verarbeitet werden oder wenn es zur Abwehr einer erheblichen Gefahr unerlässlich ist.“
6. Dem § 14 Absatz 1 wird folgender Satz angefügt:
„Das Bundesamt für Verfassungsschutz führt ein Verzeichnis der geltenden Dateianordnungen.“
7. § 22a wird wie folgt geändert:
a) In Absatz 5 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „nach § 8“ durch die Angabe „entsprechend § 83“ ersetzt.
8. § 22b Absatz 7 Satz 1 und 2 wird wie folgt gefasst:
„Das Bundesamt für Verfassungsschutz trifft für die Dateien die technischen und organisatorischen Maßnahmen entsprechend § 64 des Bundesdaten- schutzgesetzes. § 6 Absatz 3 Satz 2 bis 5 und § 26a gelten nur für die vom Bundesamt für Verfas- sungsschutz eingegebenen Daten sowie dessen Abrufe.“
9. § 25 Satz 3 wird wie folgt gefasst:
„Die Vernichtung kann unterbleiben, wenn die Tren- nung von anderen Informationen, die zur Erfüllung der Aufgaben erforderlich sind, nicht oder nur mit unvertretbarem Aufwand möglich ist; in diesem Fall ist die Verarbeitung der Daten einzuschränken.“
10. § 27 wird durch die folgenden §§ 26a und 27 er- setzt:
㤠26a
Unabhängige Datenschutzkontrolle
(1) Jedermann kann sich an die Bundesbeauf- tragte oder den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner per- sonenbezogenen Daten durch das Bundesamt für Verfassungsschutz in seinen Rechten verletzt worden zu sein.
(2) Die oder der Bundesbeauftragte für den Da- tenschutz und die Informationsfreiheit kontrolliert beim Bundesamt für Verfassungsschutz die Einhal- tung der Vorschriften über den Datenschutz. Soweit die Einhaltung von Vorschriften der Kontrolle durch die G 10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, es sei denn, die G 10-Kom- mission ersucht die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.
(3) Das Bundesamt für Verfassungsschutz ist verpflichtet, die Bundesbeauftragte oder den Bun- desbeauftragten für den Datenschutz und die Infor- mationsfreiheit und ihre oder seine schriftlich be-
2128 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
sonders Beauftragten bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Den in Satz 1 ge- nannten Personen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 2 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
Dies gilt nicht, soweit das Bundesministerium des Innern im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
(4) Die Absätze 1 bis 3 gelten ohne Beschrän- kung auf die Erfüllung der Aufgaben nach § 3. Sie gelten entsprechend für die Verarbeitung personen- bezogener Daten durch andere Stellen, wenn diese der Erfüllung der Aufgaben von Verfassungsschutz- behörden nach § 3 dient. § 16 Absatz 1 und 4 des Bundesdatenschutzgesetzes findet keine An- wendung.
§ 27
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben nach § 3 durch das Bundesamt für Verfassungsschutz findet das Bundesdatenschutzgesetz wie folgt Anwendung:
1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54, 62, 64, 83, 84 sind entsprechend anzuwenden.“
Artikel 3
Änderung des MAD-Gesetzes
Das MAD-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2977), das zuletzt durch Artikel 6 des Gesetzes vom 27. März 2017 (BGBl. I S. 562) geändert worden ist, wird wie folgt geändert:
1. § 4 Absatz 1 wird wie folgt gefasst:
„(1) Der Militärische Abschirmdienst darf die zur Erfüllung seiner Aufgaben erforderlichen Informatio- nen einschließlich personenbezogener Daten verar- beiten nach § 8 Absatz 2, 4 und 5 des Bundesver- fassungsschutzgesetzes, soweit nicht die anzuwen- denden Bestimmungen des Bundesdatenschutz- gesetzes oder besondere Regelungen in diesem Gesetz entgegenstehen; die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat. Der Militärische Abschirmdienst ist nicht befugt, perso- nenbezogene Daten zur Erfüllung seiner Aufgaben nach § 1 Absatz 2 zu erheben. § 8 Absatz 2 des Bundesverfassungsschutzgesetzes findet mit der Maßgabe Anwendung, dass die Zustimmung zur Dienstanweisung durch das Bundesministerium der Verteidigung erteilt wird.“
2. In § 6 Absatz 2 werden die Wörter „zu sperren“ durch die Wörter „ihre Verarbeitung einzuschränken“ ersetzt.
3. In § 10 Absatz 2 Satz 2 werden nach den Wörtern „frühere Namen,“ die Wörter „das Geburtsdatum,“ eingefügt.
4. Nach § 12 wird folgender § 12a eingefügt:
㤠12a
Unabhängige Datenschutzkontrolle
§ 26a des Bundesverfassungsschutzgesetzes ist mit der Maßgabe entsprechend anzuwenden, dass an die Stelle des Bundesministeriums des Innern das Bundesministerium der Verteidigung tritt.“
5. § 13 wird wie folgt gefasst:
㤠13
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben nach § 1 Absatz 1 bis 3, den §§ 2 und 14 durch den Militärischen Ab- schirmdienst findet das Bundesdatenschutzgesetz wie folgt Anwendung:
1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54, 62, 64, 83, 84 sind entsprechend anzuwenden.“
Artikel 4
Änderung des BND-Gesetzes
Das BND-Gesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) geändert worden ist, wird wie folgt geändert:
1. In § 1 Absatz 2 Satz 2 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. § 2 Absatz 1 wird wie folgt geändert:
a) Im Satzteil vor Nummer 1 werden die Wörter „er- heben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) Folgender Satz wird angefügt:
„Die Verarbeitung ist auch zulässig, wenn der Betroffene eingewilligt hat.“
3. § 6 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung und“ gestrichen.
b) In Absatz 1 Satz 1 werden die Wörter „erheben und“ gestrichen.
4. In § 7 werden die Wörter „Verarbeitung und Nut- zung“ in der Überschrift durch die Wörter „Weitere Verarbeitung“ und in Absatz 1 durch die Wörter „weitere Verarbeitung“ ersetzt.
5. In § 10 Absatz 4 Satz 6 wird das Wort „gesperrt“ durch die Wörter „in ihrer Verarbeitung einge- schränkt“ ersetzt.
6. In der Überschrift zu Abschnitt 3 wird das Wort „Datenverarbeitung“ durch das Wort „Datenweiter- verarbeitung“ ersetzt.
7. § 20 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
2129Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
b) In den Absätzen 1 und 2 Satz 1 werden jeweils die Wörter „zu sperren“ durch die Wörter „deren Verarbeitung einzuschränken“ ersetzt.
8. § 25 wird wie folgt geändert:
a) In Absatz 5 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „§ 8“ durch die Angabe „§ 83“ ersetzt.
9. In § 27 Absatz 2 wird das Wort „Sperrung“ durch das Wort „Verarbeitungseinschränkung“ ersetzt.
10. In § 28 Satz 2 Nummer 11 wird die Angabe „§ 8“ durch die Angabe „§ 83“ ersetzt.
11. § 32 wird wie folgt gefasst:
㤠32
Unabhängige Datenschutzkontrolle
§ 26a des Bundesverfassungsschutzgesetzes ist mit der Maßgabe entsprechend anzuwenden, dass an die Stelle des Bundesministeriums des Innern das Bundeskanzleramt tritt.“
12. Nach § 32 wird folgender § 32a eingefügt:
㤠32a
Anwendung des Bundesdatenschutzgesetzes
Bei der Erfüllung der Aufgaben des Bundesnach- richtendienstes nach § 1 Absatz 2 ist das Bundes- datenschutzgesetz wie folgt anzuwenden:
1. von den Teilen 1 und 4 des Bundesdatenschutz- gesetzes
a) finden § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4, die §§ 17 bis 21 sowie § 85 keine An- wendung,
b) findet § 14 Absatz 2 mit der Maßgabe Anwen- dung, dass sich die oder der Bundesbeauf- tragte für den Datenschutz und die Informa- tionsfreiheit nur an die Bundesregierung so- wie an die für die Kontrolle des Bundesnach- richtendienstes zuständigen Gremien (Parla- mentarisches Kontrollgremium, Vertrauens- gremium, G 10-Kommission, Unabhängiges Gremium) wenden darf; eine Befassung der für die Kontrolle des Bundesnachrichten- dienstes zuständigen Gremien setzt voraus, dass sie oder er der Bundesregierung ent- sprechend § 16 Absatz 2 Satz 1 des Bundes- datenschutzgesetzes zuvor Gelegenheit ge- geben hat, innerhalb einer von ihr oder ihm gesetzten Frist Stellung zu nehmen;
2. von Teil 3 des Bundesdatenschutzgesetzes sind die §§ 46, 51 Absatz 1 bis 4 sowie die §§ 52 bis 54, 62, 64, 83, 84 entsprechend anzuwen- den.“
Artikel 5
Änderung des Sicherheitsüberprüfungsgesetzes
Das Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867), das zuletzt durch Artikel 1 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 31 wird wie folgt gefasst:
„§ 31 Datenverarbeitung in automatisierten Da- teien“.
b) Nach der Angabe zu § 36 wird folgende Angabe eingefügt:
„§ 36a Unabhängige Datenschutzkontrolle“.
2. In § 19 Absatz 2 Satz 5 werden die Wörter „verarbei- tet und genutzt“ durch die Wörter „gespeichert, ge- nutzt, verändert, übermittelt und gelöscht“ ersetzt.
3. In § 21 Absatz 5 Satz 1 werden die Wörter „verarbei- ten und nutzen“ durch die Wörter „speichern, nut- zen, verändern und übermitteln“ ersetzt.
4. In § 22 Absatz 3 Satz 3 werden die Wörter „verarbei- tet und genutzt“ durch die Wörter „genutzt, verän- dert, übermittelt und gelöscht“ ersetzt.
5. Die Überschrift von § 31 wird wie folgt gefasst:
㤠31
Datenverarbeitung in automatisierten Dateien“.
6. § 36 wird durch die folgenden §§ 36 und 36a ersetzt:
㤠36
Anwendung des Bundesdatenschutzgesetzes,
Bundesverfassungsschutzgesetzes, MAD-Gesetzes und BND-Gesetzes
(1) Die Vorschriften des Bundesdatenschutzge- setzes finden wie folgt Anwendung:
1. § 1 Absatz 8, § 16 Absatz 1 und 4 und die §§ 17 bis 21 sowie § 85 finden keine Anwendung,
2. die §§ 42, 46, 51 Absatz 1 und 3, die §§ 52, 53, 54 Absatz 1 und 2 sowie die §§ 62, 64, 83 sind ent- sprechend anzuwenden.
(2) Die Vorschriften des Ersten Abschnitts und die §§ 14 und 23 Nummer 3 des Bundesverfassungs- schutzgesetzes auch in Verbindung mit § 12 des MAD-Gesetzes und § 31 des BND-Gesetzes sowie die §§ 1, 8 und § 10 Absatz 2 Satz 2 bis 6 des MAD- Gesetzes und § 21 des BND-Gesetzes finden An- wendung.
§ 36a
Unabhängige Datenschutzkontrolle
(1) Jede Person kann sich an die Bundesbeauf- tragte oder den Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer perso- nenbezogenen Daten nach diesem Gesetz durch öffentliche oder nichtöffentliche Stellen in ihren Rechten verletzt worden zu sein.
(2) Die oder der Bundesbeauftragte für den Da- tenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen und den nichtöffentlichen Stel- len die Einhaltung der anzuwendenden Vorschriften über den Datenschutz bei der Erfüllung der Aufga- ben dieses Gesetzes. Soweit die Einhaltung von Vor- schriften der Kontrolle durch die G 10-Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, es sei denn, die G 10-Kommission ersucht die Bundes-
2130 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
beauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, sie bei be- stimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu be- richten. Der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterliegen auch nicht personenbezogene Daten in Akten über die Sicher- heitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber der oder dem Bundesbeauftragten für den Daten- schutz und die Informationsfreiheit widerspricht.
(3) Die öffentlichen und nichtöffentlichen Stellen sind verpflichtet, die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit und ihre oder seine schriftlich be- sonders Beauftragten bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Den in Satz 1 ge- nannten Personen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kon- trolle nach Absatz 2 stehen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
Dies gilt nicht, soweit die zuständige oberste Bun- desbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.“
Artikel 6
Änderung des Artikel 10-Gesetzes
Das Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. I S. 1254, 2298; 2017 I S. 154), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert worden ist, wird wie folgt geändert:
1. § 4 wird wie folgt geändert:
a) Absatz 1 Satz 7 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der Daten ein- zuschränken; sie dürfen nur zu diesen Zwecken verwendet werden.“
b) Absatz 4 wird wie folgt geändert:
aa) Nach dem Wort „dürfen“ werden die Wörter „an andere als die nach § 1 Absatz 1 Num- mer 1 berechtigten Stellen“ eingefügt.
bb) Folgender Satz wird angefügt:
„Bei der Übermittlung an ausländische öffent- liche Stellen sowie an über- und zwischen- staatliche Stellen ist daneben § 19 Absatz 3 Satz 2 und 4 des Bundesverfassungsschutz- gesetzes anzuwenden.“
2. § 6 Absatz 1 Satz 7 wird wie folgt gefasst:
„In diesem Fall ist die Verarbeitung der Daten einzu- schränken; sie dürfen nur zu diesen Zwecken ver- wendet werden.“
3. In § 15 Absatz 5 Satz 2 werden die Wörter „Erhe- bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4. In § 16 Satz 2 werden die Wörter „und Nutzung“ gestrichen.
Artikel 7
Änderung des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 28. April 2017 (BGBl. I S. 968) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 42a folgende Angabe eingefügt:
„§ 42b Antrag der Aufsichtsbehörde auf gericht- liche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission“.
2. Nach § 22 Absatz 5 wird folgender Absatz 5a einge- fügt:
„(5a) Die oder der Bundesbeauftragte kann Auf- gaben der Personalverwaltung und Personalwirt- schaft auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.“
3. Nach § 42a wird folgender § 42b eingefügt:
㤠42b
Antrag der Aufsichtsbehörde
auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit
eines Beschlusses der Europäischen Kommission
(1) Hält eine Aufsichtsbehörde einen Angemes- senheitsbeschluss der Europäischen Kommission, einen Beschluss über die Anerkennung von Stan- dardschutzklauseln oder über die Allgemeingültig- keit von genehmigten Verhaltensregeln, auf dessen Gültigkeit es für eine Entscheidung der Aufsichtsbe- hörde ankommt, für rechtswidrig, so hat die Auf- sichtsbehörde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist der Verwal- tungsrechtsweg gegeben. Die Verwaltungsgerichts- ordnung ist nach Maßgabe der Absätze 3 bis 6 an- zuwenden.
(3) Über einen Antrag der Aufsichtsbehörde nach Absatz 1 entscheidet im ersten und letzten Rechts- zug das Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die Aufsichts- behörde beteiligungsfähig. An einem Verfahren nach Absatz 1 ist die Aufsichtsbehörde als Antragstellerin beteiligt; § 63 Nummer 3 und 4 der Verwaltungsge- richtsordnung bleibt unberührt. Das Bundesverwal- tungsgericht kann der Europäischen Kommission Gelegenheit zur Äußerung binnen einer zu bestim- menden Frist geben.
(5) Ist ein Verfahren zur Überprüfung der Gültig- keit eines Beschlusses der Europäischen Kommis-
2131Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
sion nach Absatz 1 bei dem Gerichtshof der Euro- päischen Union anhängig, so kann das Bundesver- waltungsgericht anordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsord- nung entsprechend anzuwenden. Kommt das Bun- desverwaltungsgericht zu der Überzeugung, dass der Beschluss der Europäischen Kommission nach Absatz 1 gültig ist, so stellt es dies in seiner Ent- scheidung fest. Andernfalls legt es die Frage nach der Gültigkeit des Beschlusses gemäß Artikel 267 des Vertrags über die Arbeitsweise der Euro-
päischen Union dem Gerichtshof der Europäischen Union zur Entscheidung vor.“
Artikel 8
Inkrafttreten, Außerkrafttreten
(1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2 am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Bundes- datenschutzgesetz in der Fassung der Bekanntma- chung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 dieses Gesetzes geändert worden ist, außer Kraft.
(2) Artikel 7 tritt am Tag nach der Verkündung in Kraft.
Das vorstehende Gesetz wird hiermit ausgefertigt. Es ist im Bundesgesetzblatt zu verkünden.
Berlin, den 30. Juni 2017
D e r B u n d e s p r ä s i d e n t S t e i n m e i e r
D i e B u n d e s k a n z l e r i n Dr. A n g e l a M e r k e l
D e r B u n d e sm i n i s t e r d e s I n n e r n T h om a s d e M a i z i è r e
D e r B u n d e sm i n i s t e r d e r J u s t i z u n d f ü r Ve r b r a u c h e r s c h u t z
H e i k o M a a s
D e r B u n d e sm i n i s t e r f ü r G e s u n d h e i t H e r m a n n G r ö h e
2132 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680
(DSAnpUG-EU)
of 30 June 2017
The Bundestag has adopted the following Act with the approval of the Bundesrat:
Article 1
Federal Data Protection Act
(BDSG)
Table of Contents
Part 1
Common provisions
Chapter 1
Scope and definitions
Section 1 Scope of the Act
Section 2 Definitions
Chapter 2
Legal basis for processing personal data
Section 3 Processing of personal data by public bodies
Section 4 Video surveillance of publicly accessible spaces
Chapter 3
Data protection officers of public bodies
Section 5 Designation
Section 6 Position
Section 7 Tasks
Chapter 4
Federal Commissioner for Data Protection and Freedom of Information
- 2 -
Section 8 Establishment
Section 9 Competence
Section 10 Independence
Section 11 Appointment and term of office
Section 12 Official relationship
Section 13 Rights and obligations
Section 14 Tasks
Section 15 Activity reports
Section 16 Powers
Chapter 5
Representation on the European Data Protection Board, single contact point, coop-
eration among the federal supervisory authorities and those of the Länder concern-
ing European Union matters
Section 17 Representation on the European Data Protection Board, single contact
point
Section 18 Procedures for cooperation among the federal and Länder supervisory au-
thorities
Section 19 Responsibilities
Chapter 6
Legal remedies
Section 20 Judicial remedy
Section 21 Application of the supervisory authority for a court decision if it believes that
an adequacy decision by the European Commission violates the law
Part 2
Implementing provisions for processing for purposes in accordance with Article 2
of Regulation (EU) 2016/679
Chapter 1
Legal basis for processing personal data
Sub-chapter 1
Processing of special categories of personal data and processing for other purpos-
es
Section 22 Processing of special categories of personal data
- 3 -
Section 23 Processing for other purposes by public bodies
Section 24 Processing for other purposes by private bodies
Section 25 Transfer of data by public bodies
Sub-chapter 2
Special processing situations
Section 26 Data processing for employment-related purposes
Section 27 Data processing for purposes of scientific or historical research and for sta-
tistical purposes
Section 28 Data processing for archiving purposes in the public interest
Section 29 Rights of the data subject and powers of the supervisory authorities in the
case of secrecy obligations
Section 30 Consumer loans
Section 31 Protection of commercial transactions in the case of scoring and credit re-
ports
Chapter 2
Rights of the data subject
Section 32 Information to be provided where personal data are collected from the data
subject
Section 33 Information to be provided where personal data have not been obtained
from the data subject
Section 34 Right of access by the data subject
Section 35 Right to erasure
Section 36 Right to object
Section 37 Automated individual decision-making, including profiling
Chapter 3
Obligations of controllers and processors
Section 38 Data protection officers of private bodies
Section 39 Accreditation
Chapter 4
Supervisory authorities for data processing by private bodies
Section 40 Supervisory authorities of the Länder
- 4 -
Chapter 5
Penalties
Section 41 Application of provisions concerning criminal proceedings and proceedings
to impose administrative fines
Section 42 Penal provisions
Section 43 Provisions on administrative fines
Chapter 6
Legal remedies
Section 44 Proceedings against a controller or processor
Part 3
Implementing provisions for processing for purposes in accordance with Article 1
(1) of Directive (EU) 2016/680
Chapter 1
Scope, definitions and general principles for processing personal data
Section 45 Scope
Section 46 Definitions
Section 47 General principles for processing personal data
Chapter 2
Legal basis for processing personal data
Section 48 Processing of special categories of data
Section 49 Processing for other purposes
Section 50 Processing for archiving, scientific and statistical purposes
Section 51 Consent
Section 52 Processing on instructions from the controller
Section 53 Confidentiality
Section 54 Automated individual decision
Chapter 3
Rights of the data subject
Section 55 General information on data processing
Section 56 Notification of data subjects
- 5 -
Section 57 Right of access
Section 58 Right to rectification and erasure and to restriction of processing
Section 59 Modalities for exercising the rights of the data subject
Section 60 Right to lodge a complaint with the Federal Commissioner
Section 61 Legal remedies against decisions of the Federal Commissioner or if he or
she fails to take action
Chapter 4
Obligations of controllers and processors
Section 62 Processing carried out on behalf of a controller
Section 63 Joint controllers
Section 64 Requirements for the security of data processing
Section 65 Notifying the Federal Commissioner of a personal data breach
Section 66 Notifying data subjects affected by a personal data breach
Section 67 Conducting a data protection impact assessment
Section 68 Cooperation with the Federal Commissioner
Section 69 Prior consultation of the Federal Commissioner
Section 70 Records of processing activities
Section 71 Data protection by design and by default
Section 72 Distinction between different categories of data subjects
Section 73 Distinction between facts and personal assessments
Section 74 Procedures for data transfers
Section 75 Rectification and erasure of personal data and restriction of processing
Section 76 Logging
Section 77 Confidential reporting of violations
Chapter 5
Transfers of data to third countries and to international organizations
Section 78 General requirements
Section 79 Data transfers with appropriate safeguards
Section 80 Data transfers without appropriate safeguards
Section 81 Other data transfers to recipients in third countries
Chapter 6
Cooperation among supervisory authorities
Section 82 Mutual assistance
- 6 -
Chapter 7
Liability and penalties
Section 83 Compensation
Section 84 Penal provisions
Part 4
Special provisions for processing in the context of activities outside the scope of
Regulation (EU) 2016/679 and Directive (EU) 2016/680
Section 85 Processing of personal data in the context of activities outside the scope of
Regulation (EU) 2016/679 and Directive (EU) 2016/680
P a r t I
C o m m o n p r o v i s i o n s
Chapter 1
Scope and definitions
Section 1
Scope of the Act
(1) This Act shall apply to the processing of personal data by
1. public bodies of the Federation,
2. public bodies of the Länder, where data protection is not governed by Land law and where they
a) carry out federal law or
b) act in the capacity of judicial bodies in matters other than administrative matters.
For private bodies, this Act shall apply to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system un- less such processing is conducted by natural persons in the course of a purely personal or domestic activity.
(2) Other federal data protection legislation shall take precedence over the provi- sions of this Act. If such legislation does not govern a matter conclusively or at all which is covered by this Act, then this Act shall apply. The duty to observe the legal obligation of maintaining secrecy or professional or special official confidentiality not based on legal provisions shall remain unaffected.
- 7 -
(3) The provisions of this Act shall take precedence over those of the Administrative Procedure Act where personal data are processed to establish the facts.
(4) This Act shall apply to public bodies. It shall apply to private bodies if
1. the controller or processor processes personal data in Germany,
2. personal data are processed in the context of the activities of an establishment of the controller or processor in Germany, or if,
3. although the controller or processor has no establishment in a Member State of the European Union or another contracting state of the European Economic Area, it does fall within the scope of Regulation (EU) 2016/679 of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the pro- cessing of personal data and on the free movement of such data, and repealing Di- rective 95/46/EC (General Data Protection Regulation) (OJ L 119 of 4 May 2016, p. 1; L 314 of 22 November 2016, p. 72).
If this Act does not apply in accordance with the second sentence, only Sections 8 to 21 and 39 to 44 shall apply to the controller or processor.
(5) The provisions of this Act shall not apply where the law of the European Union, in particular Regulation (EU) 2016/679 in the applicable version, directly applies.
(6) The contracting states of the European Economic Area and Switzerland shall have equal status with the Member States of the European Union with regard to pro- cessing for purposes in accordance with Article 2 of Regulation (EU) 2016/679. Other states shall be regarded as third countries.
(7) With regard to processing for purposes in accordance with Article 1 (1) of Di- rective (EU) 2016/680 of the European Parliament and the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119 of 4 May 2016, p. 89), the states associated with the implementation, application and development of the Schengen Acquis shall have equal status with the Member States of the European Union. Other states shall be regarded as third countries.
(8) Regulation (EU) 2016/679 and Parts 1 and 2 of this Act shall apply accordingly to processing of personal data by public bodies in the context of activities outside the scope of Regulation (EU) 2016/679 and Directive (EU) 2016/680 unless otherwise provided for in this or another Act.
Section 2
Definitions
(1) Public bodies of the Federation are the authorities, judicial bodies and other pub- lic law institutions of the Federation, of direct federal corporations, statutory bodies and foundations established under public law and of their associations irrespective of their legal form.
(2) Public bodies of the Länder are the authorities, judicial bodies and other public law institutions of a Land, a municipality, an association of municipalities or of other legal
- 8 -
persons under public law subject to Land supervision and of their associations irrespective of their legal form.
(3) Associations of public bodies of the Federation and the Länder which are estab- lished under private law and perform tasks of public administration shall be regarded as public bodies of the Federation irrespective of the participation of private bodies if
1. they operate beyond the borders of a Land, or
2. the Federation holds the absolute majority of shares or controls the absolute majority of votes.
Otherwise they shall be regarded as public bodies of the Länder.
(4) Private bodies are natural and legal persons, societies and other associations es- tablished under private law unless they are covered by subsections 1 to 3. If a private body performs sovereign tasks of the public administration, it shall be a public body as defined in this Act.
(5) Public bodies of the Federation shall be regarded as private bodies as defined in this Act if they take part in competition as enterprises governed by public law. Public bod- ies of the Länder shall also be regarded as private bodies as defined in this Act if they take part in competition as enterprises governed by public law and carry out federal law, and if data protection is not governed by Land law.
Chapter 2
Legal basis for processing personal data
Section 3
Processing of personal data by public bodies
Public bodies shall be permitted to process personal data if such processing is nec- essary to perform the task for which the controller is responsible or to exercise official au- thority which has been vested in the controller.
Section 4
Video surveillance of publicly accessible spaces
(1) Monitoring publicly accessible areas with optical-electronic devices (video surveil- lance) shall be permitted only as far as it is necessary
1. for public bodies to perform their tasks,
2. to exercise the right to determine who shall be allowed or denied access or
3. to safeguard legitimate interests for specifically defined purposes
and if there is nothing to indicate legitimate overriding interests of the data subjects. For video surveillance of
- 9 -
1. large publicly accessible facilities, such as sport facilities, places of gathering and entertainment, shopping centres and car parks, or
2. vehicles and large publicly accessible facilities of public rail, ship or bus transport,
protecting the lives, health and freedom of persons present shall be regarded as a very important interest.
(2) Appropriate measures shall be taken to make the surveillance and the controller’s name and contact details identifiable as early as possible.
(3) Storing or using data collected pursuant to subsection 1 shall be permitted if nec- essary to achieve the intended purpose and if there is nothing to indicate legitimate over- riding interests of the data subjects. Subsection 1, second sentence, shall apply accord- ingly. The data may be further processed for another purpose only if necessary to prevent threats to state and public security and to prosecute crimes.
(4) If data collected from video surveillance are attributed to a particular person, that person shall be informed of the processing in accordance with Articles 13 and 14 of Regu- lation (EU) 2016/679. Section 32 shall apply accordingly.
(5) The data shall be deleted without delay, if they are no longer needed for the in- tended purpose or if the data subject's legitimate interests stand in the way of any further storage.
Chapter 3
Data protection officers of public bodies
Section 5
Designation
(1) Public bodies shall designate a data protection officer. This shall also apply to public bodies as defined in Section 2 (5) which take part in competition.
(2) A single data protection officer may be designated for several public bodies, tak- ing account of their organizational structure and size.
(3) The data protection officer shall be designated on the basis of professional quali- ties and, in particular, expert knowledge of data protection law and practices and the abil- ity to fulfil the tasks referred to in Section 7.
(4) The data protection officer may be a staff member of the public body, or fulfil the tasks on the basis of a service contract.
(5) The public body shall publish the contact details of the data protection officer and communicate them to the Federal Commissioner for Data Protection and Freedom of In- formation.
- 10 -
Section 6
Position
(1) The public body shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.
(2) The public body shall support the data protection officer in performing the tasks referred to in Section 7 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.
(3) The public body shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. The data protection officer shall directly report to the highest management level of the public body. The data protection officer shall not be dismissed or penalized by the public body for performing his or her tasks.
(4) The dismissal of the data protection officer shall be permitted only by applying Section 626 of the Civil Code accordingly. The data protection officer’s employment shall not be terminated unless there are facts which give the public body just cause to terminate without notice. After the activity as data protection officer has ended, the data protection officer may not be terminated for a year following the end of appointment, unless the pub- lic body has just cause to terminate without notice.
(5) Data subjects may contact the data protection officer with regard to all issues re- lated to processing of their personal data and to the exercise of their rights under Regula- tion (EU) 2016/679, this Act and other data protection legislation. The data protection of- ficer shall be bound by secrecy concerning the identity of data subjects and concerning circumstances enabling data subjects to be identified, unless they are released from this obligation by the data subject.
(6) Where in the course of their activities data protection officers become aware of data for which the head of a public body or a person employed by such a body has the right to refuse to give evidence for employment-related reasons, this right shall also apply to the data protection officer and his or her assistants. The person to whom the right to refuse to give evidence applies for employment-related reasons shall decide whether to exercise this right unless it is impossible to effect such a decision in the foreseeable fu- ture. Where the right of the data protection officer to refuse to give evidence applies, his or her files and other documents shall not be subject to seizure.
Section 7
Tasks
(1) In addition to the tasks listed in Regulation (EU) 2016/679, the data protection of- ficer shall have at least the following tasks:
1. to inform and advise the public body and the employees who carry out processing of their obligations pursuant to this Act and other data protection legislation, including legislation enacted to implement Directive (EU) 2016/680;
2. to monitor compliance with this Act and other data protection legislation, including legislation enacted to implement Directive (EU) 2016/680, and with the policies of the public body in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing opera- tions, and the related audits;
- 11 -
3. to provide advice as regards the data protection impact assessment and monitor its implementation pursuant to Section 67 of this Act;
4. to cooperate with the supervisory authority;
5. to act as the contact point for the supervisory authority on issues relating to pro- cessing, including the prior consultation referred to in Section 69 of this Act, and to consult, where appropriate, with regard to any other matter.
In the case of a data protection officer ordered by a court, these tasks shall not refer to the action of the court acting in its judicial capacity.
(2) The data protection officer may perform other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of inter- ests.
(3) The data protection officer shall in the performance of his or her tasks give due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
Chapter 4
Federal Commissioner for Data Protection and Freedom of Information
Section 8
Establishment
(1) The Federal Commissioner for Data Protection and Freedom of Information (Federal Commissioner) shall be a supreme federal authority. It is located in Bonn.
(2) Civil servants of the Federal Commissioner shall be federal civil servants.
(3) The Federal Commissioner may delegate human resources administration and management tasks to other federal bodies as long as doing so does not affect the Federal Commissioner’s independence. Personal data of staff members may be transmitted to these bodies as needed for them to perform their delegated tasks.
Section 9
Competence
(1) The Federal Commissioner shall be competent to supervise the public bodies of the Federation, also if they take part in competition as enterprises governed by public law. The provisions of this chapter shall also apply to processors if they are private bodies in which the Federation holds the absolute majority of shares or controls the absolute majori- ty of votes and they process data on behalf of a public body of the Federation
(2) The Federal Commissioner shall not be competent to supervise processing oper- ations of federal courts acting in their judicial capacity.
- 12 -
Section 10
Independence
(1) The Federal Commissioner shall act with complete independence in performing his or her tasks and exercising his or her powers. The Federal Commissioner shall remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody.
(2) The Federal Commissioner shall be subject to audit by the Bundesrechnungshof as long as this does not affect his or her independence.
Section 11
Appointment and term of office
(1) At the proposal of the Federal Government, the German Bundestag shall elect without debate the Federal Commissioner with more than half of the statutory number of its members. The person elected shall be appointed by the Federal President. The Feder- al Commissioner must be at least 35 years old at the time of election. He or she shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform his or her duties and exercise his or her powers. In particular, the Federal Commissioner must have knowledge of data protection law ac- quired from the relevant professional experience and be qualified for judicial office or higher administrative service.
(2) The Federal Commissioner shall swear the following oath before the Federal President: “I swear to do everything in my power to further the good and the benefit of the German people, to protect them from harm and to defend the Basic Law and the laws of the Federation, to perform my duties conscientiously and to exercise justice in all my deal- ings, so help me God.” The reference to God may be omitted from the oath.
(3) The Federal Commissioner’s term of office shall be five years. It may be renewed once.
Section 12
Official relationship
(1) The Federal Commissioner shall, in accordance with this Act, have official federal status under public law.
(2) The official relationship shall begin upon delivery of the certificate of appointment. It shall end upon expiry of the term of office or upon resignation. The Federal President shall remove the Federal Commissioner from office at the request of the President of the Bundestag if the Federal Commissioner has committed serious misconduct or no longer meets the requirements for performing his or her tasks. If the official relationship is ended or the Federal Commissioner is removed from office, the Federal Commissioner shall be given a document signed by the Federal President. Removal from office shall be effective upon delivery of this document. If the official relationship ends upon expiry of the term of office, at the request of the President of the Bundestag the Federal Commissioner shall be obligated to continue his or her work for no more than six months until a successor has been appointed.
- 13 -
(3) The senior civil servant shall exercise the rights of the Federal Commissioner if the latter is unable to perform his or her duties or if his or her term of office has expired and he or she is no longer obligated to continue his or her work. Section 10 (1) shall apply accordingly.
(4) From the start of the calendar month in which the official relationship commences until the end of the calendar month in which it ends, or, in the case of subsection 2, sixth sentence, until the end of the month in which he or she ceases his or her work, the Feder- al Commissioner shall be paid at the level of a federal civil servant in pay grade B 11 plus the family allowance according to Annex V of the Federal Civil Servants' Remuneration Act. The Federal Travel Expenses Act and the Federal Relocation Expenses Act shall apply accordingly. In all other respects, Section 12 (6), Sections 13 through 20 and 21a (5) of the Act on Federal Ministers shall apply, except that the four-year term of office stip- ulated in Section 15 (1) of the Act on Federal Ministers shall be replaced by a five-year term. By way of derogation from the third sentence in conjunction with Sections 15 through 17 and 21a (5) of the Act on Federal Ministers, the Federal Commissioner’s pen- sion shall be calculated, counting his or her term as Federal Commissioner as a pension- able period of service, on the basis of the Federal Act Governing Civil Servants' Pensions and Allowances, if this is more favourable and if, before his or election as Federal Com- missioner, he or she was a civil servant or judge in at least the last position to be held before reaching pay grade B 11.
Section 13
Rights and obligations
(1) The Federal Commissioner shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any incompatible occu- pation, whether gainful or not. In particular, the Federal Commissioner shall not hold any other paid office or pursue any commercial activity or occupation in addition to his or her official duties and shall not belong to the management or supervisory board of a profit- oriented enterprise, nor to a government or legislative body of the Federation or a Land. The Federal Commissioner shall not deliver extra-judicial opinions in exchange for pay- ment.
(2) The Federal Commissioner shall inform the President of the Bundestag of any gifts received in connection with his or her office. The President of the Bundestag shall decide how such gifts shall be used. He or she may issue procedural rules and regula- tions.
(3) The Federal Commissioner shall have the right to refuse to give testimony con- cerning persons who have confided in him or her in his or her capacity as Federal Com- missioner and concerning the information confided. This shall also apply to the staff of the Federal Commissioner, on the condition that the Federal Commissioner decides on the exercise of this right. Within the scope of the Federal Commissioner’s right of refusal to give testimony, he or she shall not be required to submit or surrender files or other docu- ments.
(4) Even after his or her official relationship has ended, the Federal Commissioner shall be obligated to secrecy concerning matters of which he or she is aware by reason of his or her official duties. This obligation shall not apply to official communications or to matters which are common knowledge or which by their nature do not require confidential- ity. The Federal Commissioner shall decide at his or her due discretion whether and to what extent he or she will testify in or outside court or make statements concerning such matters; if he or she is no longer in office, the permission of the Federal Commissioner in office shall be required. This shall not affect the legal obligation to report crimes and to
- 14 -
uphold the free and democratic order wherever it is threatened. Sections 93, 97, 105 (1), Section 111 (5) in conjunction with Section 105 (1) and Section 116 (1) of the German Fiscal Code shall not apply to the Federal Commissioner or his or her staff. The fifth sen- tence shall not apply where the financial authorities require such knowledge in order to conduct legal proceedings due to a tax offence and related tax proceedings, in the prose- cution of which there is compelling public interest, or where the person required to provide information or persons acting on his or her behalf have intentionally provided false infor- mation. If the Federal Commissioner determines that data protection provisions have been violated, he or she shall be authorized to report the violation and inform the data subject accordingly.
(5) The Federal Commissioner may testify as a witness unless such testimony would
1. be detrimental to the welfare of the Federation or a Land, in particular to the security of the Federal Republic of Germany or its relations with other countries, or
2. would violate fundamental rights.
If the testimony concerns ongoing or completed processes which are or could be consid- ered core aspects of executive responsibility, the Federal Commissioner may testify only with the approval of the Federal Government. Section 28 of the Federal Constitutional Court Act shall remain unaffected.
(6) Subsections 3 and 4, fifth to seventh sentences, shall apply accordingly to the public bodies responsible for monitoring compliance with the data protection provisions in the Länder.
Section 14
Tasks
(1) In addition to the tasks listed in Regulation (EU) 2016/679, the Federal Commis- sioner shall have the following tasks:
1. to monitor and enforce the application of this Act and other data protection legislation, including legislation adopted to implement Directive (EU) 2016/680;
2. to promote public awareness and understanding of the risks, rules, safeguards and rights in relation to the processing of personal data, paying special attention to measures specifically for children;
3. to advise the German Bundestag, the Bundesrat, the Federal Government, and other institutions and bodies on legislative and administrative measures relating to the pro- tection of natural persons’ rights and freedoms with regard to the processing of per- sonal data;
4. to promote the awareness of controllers and processors of their obligations under this Act and other data protection legislation, including legislation adopted to implement Directive (EU) 2016/680;
5. upon request, to provide information to any data subject concerning the exercise of their rights under this Act and other data protection legislation, including legislation adopted to implement Directive (EU) 2016/680, and if appropriate, to cooperate with the supervisory authorities in other Member States to that end;
- 15 -
6. to handle complaints lodged by a data subject, or by a body, organization or associa- tion in accordance with Article 55 of Directive (EU) 2016/680, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in par- ticular if further investigation or coordination with another supervisory authority is necessary;
7. to cooperate with, including by sharing information, and provide mutual assistance to other supervisory authorities, to ensure the consistency of application and enforce- ment of this Act and other data protection legislation, including legislation adopted to implement Directive (EU) 2016/680;
8. to conduct investigations on the application of this Act and other data protection legis- lation, including legislation adopted to implement Directive (EU) 2016/680, also on the basis of information received from another supervisory authority or other public au- thority;
9. to monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication tech- nologies and commercial practices;
10. to provide advice on the processing operations referred to in Section 69; and
11. to contribute to the activities of the European Data Protection Board.
Within the scope of Directive (EU) 2016/680, the Federal Commissioner shall also perform the task pursuant to Section 60.
(2) To carry out the task listed in subsection 1, first sentence, no. 3, the Federal Commissioner may, on request or at its own initiative, make recommendations to the German Bundestag or one of its committees, the Bundesrat, the Federal Government, other institutions and bodies and the public concerning all matters related to the protection of personal data. At the request of the German Bundestag, one of its committees or of the Federal Government, the Federal Commissioner shall also investigate data protection matters and incidents at public bodies of the Federation.
(3) The Federal Commissioner shall facilitate the submission of complaints referred to in subsection 1, first sentence, no. 6 by measures such as providing a complaint sub- mission form which can also be completed electronically, without excluding other means of communication.
(4) The performance of the duties of the Federal Commissioner shall be free of charge for the data subject. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the Federal Commissioner may charge a reasonable fee based on administrative costs, or refuse to act on the request. The Federal Commissioner shall bear the burden of demonstrating the manifestly unfounded or exces- sive character of the request.
Section 15
Activity reports
The Federal Commissioner shall produce an annual activity report which may contain a list of the types of violations reported and the types of measures taken, including penal- ties and measures taken in accordance with Article 58 (2) of Regulation (EU) 2016/679. The Federal Commissioner shall submit this report to the German Bundestag, the Bun-
- 16 -
desrat and the Federal Government and shall make it available to the public, the Europe- an Commission and the European Data Protection Board.
Section 16
Powers
(1) The Federal Commissioner shall have, within the scope of Regulation (EU) 2016/679, the powers referred to in Article 58 of Regulation (EU) 2016/679. If the Federal Commissioner concludes that data protection legislation has been violated or that there are other problems with the processing of personal data, he or she shall inform the com- petent authority for legal or technical matters and, before exercising the powers referred to in Article 58 (2) (b) to (g), (i) and (j) of Regulation (EU) 2016/679, shall give this authority the opportunity to provide its opinion to the controller within a reasonable period. The op- portunity to provide an opinion may be dispensed with if an immediate decision seems necessary due to imminent danger or in the public interest, or if it would conflict with com- pelling public interests. The opinion should also include a description of the measures taken on the basis of the information from the Federal Commissioner.
(2) If the Federal Commissioner finds that, in data processing for purposes beyond the scope of Regulation (EU) 2016/679, public bodies of the Federation have violated this Act or other data protection legislation or there are other insufficiencies with their pro- cessing or use of personal data, the Federal Commissioner shall lodge a complaint with the competent supreme federal authority and shall require this authority to respond within a period to be determined by the Federal Commissioner. The Federal Commissioner may dispense with a complaint or a response, especially if the problems involved are insignifi- cant or have been remedied in the meantime. The response should also describe the measures taken as a result of the Federal Commissioner’s complaint. The Federal Com- missioner may also warn a controller that intended processing operations are likely to vio- late provisions of this Act and other data protection provisions which apply to the data processing in question.
(3) The powers of the Federal Commissioner shall also extend to
1. personal data obtained by public bodies of the Federation concerning the contents of and specific circumstances relating to postal communications and telecommunica- tions, and
2. personal data subject to professional or special official secrecy, especially tax secrecy under Section 30 of the German Fiscal Code.
The fundamental right to privacy of correspondence, posts and telecommunications in Article 10 of the Basic Law shall be limited accordingly.
(4) The public bodies of the Federation shall be obligated to provide the Federal Commissioner and his or her assistants with the following:
1. access to all official premises at all times, including to any data processing equipment and means, and to all personal data and all information necessary to perform their tasks; and
2. all information necessary to perform their tasks.
(5) The Federal Commissioner shall work to cooperate with the public bodies re- sponsible for monitoring compliance with data protection provisions in the Länder and with
- 17 -
the supervisory authorities under Section 40. Section 40 (3), first sentence, second half- sentence, shall apply accordingly.
Chapter 5
Representation on the European Data Protection Board, single contact point, cooperation among the federal supervisory authorities and those of
the Länder concerning European Union matters
Section 17
Representation on the European Data Protection Board, single contact point
(1) The Federal Commissioner shall serve as the joint representative on the Europe- an Data Protection Board and single contact point (joint representative). The Bundesrat shall elect the head of the supervisory authority of a Land to serve as the joint representa- tive’s deputy (deputy). The term shall be five years. When the head of the supervisory authority of a Land leaves office, his or her function as deputy shall end at the same time. The deputy may be re-elected.
(2) At the deputy’s request, the joint representative shall delegate to him or her the leadership of negotiations and the voting right in the European Data Protection Board in matters dealing with the performance of a task for which the Länder alone have the right to legislate, or which affect the establishment or procedures of Land authorities.
Section 18
Procedures for cooperation among the federal and Länder supervisory authorities
(1) The Federal Commissioner and the supervisory authorities of the Länder (super- visory authorities of the Federation and the Länder) shall work together in European Union matters with the aim of consistently applying Regulation (EU) 2016/679 and Directive (EU) 2016/680. Before submitting a common position to the supervisory authorities of the other Member States, the European Commission or the European Data Protection Board, the supervisory authorities of the Federation and the Länder shall give each other the oppor- tunity to comment at an early stage. For this purpose, they shall share all relevant infor- mation. The supervisory authorities of the Federation and the Länder shall consult the specific supervisory authorities established under Articles 85 and 91 of Regulation (EU) 2016/679 if these authorities are affected by the matter.
(2) If the supervisory authorities of the Federation and the Länder fail to achieve agreement on a common position, the lead supervisory authority, or, in the absence of a lead authority, the joint representative and his or her deputy, shall present a recommenda- tion for a common position. If the joint representative and his or her deputy fail to agree on a recommendation for a common position, the deputy shall determine the recommenda- tion for a common position in matters dealing with the performance of a task for which the Länder alone have the right to legislate, or which affect the establishment or procedures of Land authorities. For matters other than those referred to in the second sentence in which the joint representative and deputy fail to agree, the joint representative shall determine the common position. The negotiations shall be based on the position recommended pur- suant to the first to third sentences unless the supervisory authorities of the Federation
- 18 -
and the Länder adopt a different position with a simple majority. The Federation and each Land each have one vote. Abstentions shall not be counted.
(3) The joint representative and his or her deputy shall be bound by the common po- sition pursuant to subsections 1 and 2 and shall determine by mutual agreement the con- duct of negotiations according to this common position. Should they fail to reach agree- ment, the deputy shall decide the further conduct of negotiations for the matters referred to in Section 18 (2), second sentence. For other matters, the joint representative shall have the deciding vote.
Section 19
Responsibilities
(1) The lead supervisory authority of a Land in the one-stop-shop mechanism pursu- ant to Chapter VII of Regulation (EU) 2016/679 shall be the supervisory authority of the Land in which the controller or processor has its main establishment, as referred to in Arti- cle 4 no. 16 of Regulation (EU) 2016/679 or its single establishment in the European Un- ion, as referred to in Article 56 (1) of Regulation (EU) 2016/679. Article 56 (1) in conjunc- tion with Article 4 no. 16 of Regulation (EU) 2016/679 shall apply accordingly within the Federal Commissioner’s area of responsibility. If there is no agreement on determining the lead supervisory authority, the procedure described in Section 18 (2) shall be applied ac- cordingly.
(2) The supervisory authority with which a data subject has lodged a complaint shall forward the complaint to the lead supervisory authority referred to in subsection 1; in the absence of such a lead supervisory authority, the complaint shall be forwarded to the su- pervisory authority of a Land in which the controller or processor has an establishment. If a complaint is lodged with a supervisory authority which is not responsible for the matter, this authority shall forward the complaint to the supervisory authority where the applicant resides, if it is not possible to forward the complaint as referred to in the first sentence. The receiving supervisory authority shall be regarded as the supervisory authority accord- ing to Chapter VII of Regulation (EU) 2016/679 with whom the complaint was lodged, and shall fulfil the obligations referred to in Article 60 (7) to (9) and Article 65 (6) of Regulation (EU) 2016/679.
Chapter 6
Legal remedies
Section 20
Judicial remedy
(1) Recourse to the administrative courts shall be provided for disputes between nat- ural or legal persons and a supervisory authority of the Federation or a Land concerning rights according to Article 78 (1) and (2) of Regulation (EU) 2016/679 and Section 61. The first sentence shall not apply to administrative fine proceedings.
(2) The Code of Administrative Court Procedure shall be applied in compliance with subsections 3 to 7.
- 19 -
(3) For proceedings pursuant to subsection 1, first sentence, the administrative court in whose district the supervisory authority is located shall be locally competent.
(4) In proceedings pursuant to subsection 1, first sentence, the supervisory authority shall be competent to take part.
(5) Parties to proceedings pursuant to subsection 1, first sentence, shall be
1. the natural or legal person as plaintiff or applicant, and
2. the supervisory authority as defendant or respondent.
Section 63 nos. 3 and 4 of the Code of Administrative Court Procedure shall remain unaf- fected.
(6) No preliminary proceedings shall take place.
(7) With respect to an authority or its legal entity, the supervisory authority shall not order immediate execution in accordance with Section 80 (2), first sentence, no. 4 of the Code of Administrative Court Procedure.
Section 21
Application of the supervisory authority for a court decision if it believes that an adequacy decision by the European Commission violates the law
(1) If a supervisory authority believes that an adequacy decision of the European Commission or a decision on the recognition of standard protection clauses or on the general validity of approved codes of conduct, on the validity of which a decision of the supervisory authority depends, violates the law, the supervisory authority shall suspend its procedure and lodge an application for a court decision.
(2) Recourse to the administrative courts shall be provided for proceedings pursuant to subsection 1. The Code of Administrative Court Procedure shall be applied in compli- ance with subsections 3 to 6.
(3) The Federal Administrative Court shall decide in the first and last instance on an application by the supervisory authority pursuant to subsection 1.
(4) In proceedings pursuant to subsection 1, the supervisory authority shall be com- petent to take part. The supervisory authority shall be a party to proceedings pursuant to subsection 1 as applicant; Section 63 nos. 3 and 4 of the Code of Administrative Court Procedure shall remain unaffected. The Federal Administrative Court may give the Euro- pean Commission the opportunity to comment within a period of time to be determined.
(5) If a proceeding to review the validity of a European Commission decision pursu- ant to subsection 1 is pending at the European Court of Justice, the Federal Administra- tive Court may order its proceeding to be suspended until the proceeding at the European Court of Justice has been concluded.
(6) In proceedings pursuant to subsection 1, Section 47 (5), first sentence and (6) of the Code of Administrative Court Procedure shall apply accordingly. If the Federal Admin- istrative Court finds that the European Commission’s decision pursuant to subsection 1 is valid, it shall state this in its decision. Otherwise it shall refer the question as to the validity of the decision in accordance with Article 267 of the Treaty on the Functioning of the Eu- ropean Union to the European Court of Justice.
- 20 -
P a r t 2
I m p l e m e n t i n g p r o v i s i o n s f o r p r o c e s s i n g f o r p u r - p o s e s i n a c c o r d a n c e w i t h A r t i c l e 2 o f R e g u l a t i o n
( E U ) 2 0 1 6 / 6 7 9
Chapter 1
Legal basis for processing personal data
S u b - c h a p t e r 1
P r o c e s s i n g o f s p e c i a l c a t e g o r i e s o f p e r s o n a l d a t a a n d p r o c e s s i n g f o r o t h e r p u r p o s e s
Section 22
Processing of special categories of personal data
(1) By derogation from Article 9 (1) of Regulation (EU) 2016/679, the processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 shall be permitted
1. by public and private bodies if
a) processing is necessary to exercise the rights derived from the right of social se- curity and social protection and to meet the related obligations;
b) processing is necessary for the purposes of preventive medicine, for the assess- ment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care sys- tems and services or pursuant to the data subject’s contract with a health profes- sional and if these data are processed by health professionals or other persons subject to the obligation of professional secrecy or under their supervision; or
c) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medi- cal devices; in addition to the measures referred to in subsection 2, in particular occupational and criminal law provisions to ensure professional secrecy shall be complied with;
2. by public bodies if
a) processing is urgently necessary for reasons of substantial public interest;
b) processing is necessary to prevent a substantial threat to public security;
c) processing is urgently necessary to prevent substantial harm to the common good or to safeguard substantial concerns of the common good; or
- 21 -
d) processing is necessary for urgent reasons of defence or to fulfil supra- or inter- governmental obligations of a public body of the Federation in the field of crisis management or conflict prevention or for humanitarian measures;
and as far as the interests of the controller in data processing in the cases of no. 2 outweigh the interests of the data subject.
(2) In the cases of subsection 1, appropriate and specific measures shall be taken to safeguard the interests of the data subject. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, these measures may include in particular the following:
1. technical organizational measures to ensure that processing complies with Regulation (EU) 2016/679;
2. measures to ensure that it is subsequently possible to verify and establish whether and by whom personal data were input, altered or removed;
3. measures to increase awareness of staff involved in processing operations;
4. designation of a data protection officer;
5. restrictions on access to personal data within the controller and by processors;
6. the pseudonymization of personal data;
7. the encryption of personal data;
8. measures to ensure the ability, confidentiality, integrity, availability and resilience of processing systems and services related to the processing of personal data, including the ability to rapidly restore availability and access in the event of a physical or tech- nical incident;
9. a process for regularly testing, assessing and evaluating the effectiveness of tech- nical and organizational measures for ensuring the security of the processing;
10. specific rules of procedure to ensure compliance with this Act and with Regulation (EU) 2016/679 in the event of transfer or processing for other purposes.
Section 23
Processing for other purposes by public bodies
(1) Public bodies shall be permitted to process personal data for a purpose other than the one for which the data were collected where such processing is necessary for them to perform their duties and if
1. it is obviously in the interest of the data subject and there is no reason to assume that the data subject would refuse consent if he or she were aware of the other purpose;
2. it is necessary to check information provided by the data subject because there is reason to believe that this information is incorrect;
3. processing is necessary to prevent substantial harm to the common good or a threat to public security, defence or national security; to safeguard substantial concerns of the common good; or to ensure tax and customs revenues;
- 22 -
4. processing is necessary to prosecute criminal or administrative offences, to carry out or enforce punishment or measures as referred to in Section 11 (1) no. 8 of the Crim- inal Code or educational or disciplinary measures as referred to in the Juvenile Court Act or to enforce fines;
5. processing is necessary to prevent serious harm to the rights of another person; or
6. processing is necessary to exercise powers of supervision and monitoring, to conduct audits or organizational analyses of the controller; this shall also apply to processing for training and examination purposes by the controller, as long as it does not conflict with the legitimate interests of the data subject.
(2) The processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 for a purpose other than the one for which the data were collected shall be permitted if the conditions of subsection 1 are met and an exception pursuant to Article 9 (2) of Regulation (EU) 2016/679 or pursuant to Section 22 applies.
Section 24
Processing for other purposes by private bodies
(1) Private bodies shall be permitted to process personal data for a purpose other than the one for which the data were collected if
1. processing is necessary to prevent threats to state or public security or to prosecute criminal offences; or
2. processing is necessary for the establishment, exercise or defence of legal claims,
unless the data subject has an overriding interest in not having the data processed.
(2) The processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 for a purpose other than the one for which the data were collected shall be permitted if the conditions of subsection 1 are met and an exception pursuant to Article 9 (2) of Regulation (EU) 2016/679 or pursuant to Section 22 applies.
Section 25
Transfer of data by public bodies
(1) The transfer of personal data by public bodies to public bodies shall be permitted if it is necessary for the transferring body or the third party to whom the data are trans- ferred to perform their duties and the conditions are met which would permit processing pursuant to Section 23. The third party to whom the data are transferred shall process the transferred data only for the purpose for which they were transferred. Processing for other purposes shall be permitted only if the conditions of Section 23 are met.
(2) Public bodies shall be permitted to transfer personal data to private bodies if
1. transfer is necessary for the transferring body to perform its duties and the conditions are met which would permit processing pursuant to Section 23;
2. the third party to whom the data are transferred credibly presents a legitimate interest in knowledge of the data to be transferred and the data subject does not have a legit- imate interest in not having the data transferred; or
- 23 -
3. processing is necessary for the establishment, exercise or defence of legal claims;
and the third party has promised the public body transferring the data that it will process them only for the purpose for which they were transferred. Processing for other purposes shall be permitted if transfer pursuant to the first sentence would be permitted and the transferring body has consented to the transfer.
(3) The transfer of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 shall be permitted if the conditions of subsection 1 or 2 are met and an exception pursuant to Article 9 (2) of Regulation (EU) 2016/679 or pursuant to Section 22 applies.
S u b - c h a p t e r 2
S p e c i a l p r o c e s s i n g s i t u a t i o n s
Section 26
Data processing for employment-related purposes
(1) Personal data of employees may be processed for employment-related purposes where necessary for hiring decisions or, after hiring, for carrying out or terminating the employment contract or to exercise or satisfy rights and obligations of employees’ repre- sentation laid down by law or by collective agreements or other agreements between the employer and staff council. Employees’ personal data may be processed to detect crimes only if there is a documented reason to believe the data subject has committed a crime while employed, the processing of such data is necessary to investigate the crime and is not outweighed by the data subject’s legitimate interest in not processing the data, and in particular the type and extent are not disproportionate to the reason.
(2) If personal data of employees are processed on the basis of consent, then the employee’s level of dependence in the employment relationship and the circumstances under which consent was given shall be taken into account in assessing whether such consent was freely given. Consent may be freely given in particular if it is associated with a legal or economic advantage for the employee, or if the employer and employee are pursuing the same interests. Consent shall be given in written form, unless a different form is appropriate because of special circumstances. The employer shall inform the em- ployee in text form of the purpose of data processing and of the employee’s right to with- draw consent pursuant to Article 7 (3) of Regulation (EU) 2016/679.
(3) By derogation from Article 9 (1) of Regulation (EU) 2016/679, the processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 for employment-related purposes shall be permitted if it is necessary to exercise rights or comply with legal obligations derived from labour law, social security and social protection law, and there is no reason to believe that the data subject has an overriding legitimate interest in not processing the data. Subsection 2 shall also apply to consent to the processing of special categories of personal data; consent must explicitly refer to these data. Section 22 (2) shall apply accordingly.
(4) The processing of personal data, including special categories of personal data of employees for employment-related purposes, shall be permitted on the basis of collective agreements. The negotiating partners shall comply with Article 88 (2) of Regulation (EU) 2016/679.
- 24 -
(5) The controller must take appropriate measures to ensure compliance in particular with the principles for processing personal data described in Article 5 of Regulation (EU) 2016/679.
(6) The rights of participation of staff councils shall remain unaffected.
(7) Subsections 1 to 6 shall also apply when personal data, including special catego- ries of personal data, of employees are processed without forming or being intended to form part of a filing system.
(8) For the purposes of this Act, employees are
1. dependently employed workers, including temporary workers contracted to the bor- rowing employer;
2. persons employed for occupational training purposes;
3. participants in benefits to take part in working life, in assessments of occupational aptitude or work trials (persons undergoing rehabilitation);
4. persons employed in accredited workshops for persons with disabilities;
5. volunteers working pursuant to the Youth Volunteer Service Act or the Federal Volun- teer Service Act;
6. persons who should be regarded as equivalent to dependently employed workers because of their economic dependence; these include persons working at home and their equivalents;
7. federal civil servants, federal judges, military personnel and persons in the alternative civilian service.
Applicants for employment and persons whose employment has been terminated shall be regarded as employees.
Section 27
Data processing for purposes of scientific or historical research and for statistical purposes
(1) By derogation from Article 9 (1) of Regulation (EU) 2016/679, the processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 shall be permitted also without consent for scientific or historical research pur- poses or statistical purposes, if such processing is necessary for these purposes and the interests of the controller in processing substantially outweigh those of the data subject in not processing the data. The controller shall take appropriate and specific measures to safeguard the interests of the data subject in accordance with Section 22 (2), second sen- tence.
(2) The rights of data subjects provided in Articles 15, 16, 18 and 21 of Regulation (EU) 2016/679 shall be limited to the extent that these rights are likely to render impossi- ble or seriously impair the achievement of the research or statistical purposes, and such limits are necessary for the fulfilment of the research or statistical purposes. Further, the right of access according to Article 15 of Regulation (EU) 2016/679 shall not apply if the data are necessary for purposes of scientific research and the provision of information would involve disproportionate effort.
- 25 -
(3) In addition to the measures listed in Section 22 (2), special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 processed for scientific or historical research purposes or statistical purposes shall be rendered anonymous as soon as the research or statistical purpose allows, unless this conflicts with legitimate interests of the data subject. Until such time, the characteristics enabling information concerning personal or material circumstances to be attributed to an identified or identifiable individual shall be stored separately. They may be combined with the information only to the extent required by the research or statistical purpose.
(4) The controller may publish personal data only if the data subject has provided consent or if doing so is indispensable for the presentation of research findings on con- temporary events.
Section 28
Data processing for archiving purposes in the public interest
(1) By derogation from Article 9 (1) of Regulation (EU) 2016/679, the processing of special categories of personal data as referred to in Article 9 (1) of Regulation (EU) 2016/679 shall be permitted if necessary for archiving purposes in the public interest. The controller shall take appropriate and specific measures to safeguard the interests of the data subject in accordance with Section 22 (2), second sentence.
(2) The right of access according to Article 15 of Regulation (EU) 2016/679 shall not apply if the archival material is not identified with the person’s name or no information is given which would enable the archival material to be found with reasonable administrative effort.
(3) The right of the data subject to rectification according to Article 16 of Regulation (EU) 2016/679 shall not apply if the personal data are processed for archiving purposes in the public interest. If the data subject disputes the accuracy of the personal data, he or she shall have the opportunity to present his or her version. The responsible archive shall be obligated to add this version to the files.
(4) The rights provided in Article 18 (1) (a), (b) and (d) and in Articles 20 and 21 of Regulation (EU) 2016/679 shall not apply as far as these rights are likely to render impos- sible or seriously impair the achievement of the archiving purposes in the public interest, and the exceptions are necessary to fulfil those purposes.
Section 29
Rights of the data subject and powers of the supervisory authorities in the case of secrecy obligations
(1) In addition to the exceptions in Article 14 (5) of Regulation (EU) 2016/679, the ob- ligation to provide information to the data subject according to Article 14 (1) to (4) of Regu- lation (EU) 2016/679 shall not apply as far as meeting this obligation would disclose in- formation which by its nature must be kept secret, in particular because of overriding legit- imate interests of a third party. The right of access according to Article 15 of Regulation (EU) 2016/679 shall not apply as far as access would disclose information which by law or by its nature must be kept secret, in particular because of overriding legitimate interests of a third party. In addition to the exception in Article 34 (3) of Regulation (EU) 2016/679, the obligation to inform the data subject of a personal data breach according to Article 34 of Regulation (EU) 2016/679 shall not apply as far as meeting this obligation would disclose information which by law or by its nature must be kept secret, in particular because of
- 26 -
overriding legitimate interests of a third party. By derogation from the exception pursuant to the third sentence, the data subject pursuant to Article 34 of Regulation (EU) 2016/679 shall be informed if the interests of the data subject outweigh the interest in secrecy, in particular taking into account the threat of damage.
(2) If in the context of a client-lawyer relationship the data of third persons are trans- ferred to persons subject to a legal obligation of professional secrecy, the transferring body shall not be obligated to inform the data subject according to Article 13 (3) of Regu- lation (EU) 2016/679 unless the data subject has an overriding interest in being informed.
(3) The supervisory authorities shall not have the investigative powers according to Article 58 (1) (e) and (f) of Regulation (EU) 2016/679 with regard to the persons listed in Section 203 (1), (2a) and (3) of the Criminal Code or their processors as far as exercising these powers would violate these persons’ obligations to secrecy. If in the context of an investigation a supervisory authority becomes aware of data subject to an obligation of secrecy as referred to in the first sentence, the obligation of secrecy shall also apply to the supervisory authority.
Section 30
Consumer loans
(1) Any body which for the purpose of transfer commercially collects, stores or modi- fies personal data which may be used to evaluate the creditworthiness of consumers shall treat requests for information from lenders in other European Union Member States the same way it treats information requests from domestic lenders.
(2) Anyone who refuses to conclude a consumer loan contract or a contract concern- ing financial assistance for payment with a consumer as the result of information provided by a body as referred to in subsection 1 shall immediately notify the consumer of this re- fusal and the information received. Such notification shall not be made if doing so would endanger public security or order. Section 37 shall remain unaffected.
Section 31
Protection of commercial transactions in the case of scoring and credit reports
(1) For the purpose of deciding on the creation, execution or termination of a con- tractual relationship with a natural person, the use of a probability value for certain future action by this person (scoring) shall be permitted only if
1. the provisions of data protection law have been followed;
2. the data used to calculate the probability value are demonstrably essential for calcu- lating the probability of the action on the basis of a scientifically recognized mathe- matic-statistical procedure;
3. other data in addition to address data are used to calculated the probability value; and
4. if address data are used, the data subject was notified ahead of time of the planned use of these data; this notification shall be documented.
(2) The use of a probability value calculated by credit reporting agencies to deter- mine a natural person’s ability and willingness to pay shall be permitted in the case of in- cluding information on claims only as far as the conditions of subsection 1 are met and
- 27 -
only claims concerning a performance owed which has not been rendered on time are considered
1. which have been established by a final decision or a decision declared enforceable for the time being, or if an executory title has been issued under Section 794 of the Code of Civil Procedures,
2. which have been established under Section 178 of the Insolvency Act and have not been disputed by the debtor at the verification meeting,
3. which the debtor has explicitly acknowledged,
4. for which
a) the debtor has received at least two written reminders after the due date of the claim,
b) at least four weeks have elapsed since the first reminder,
c) the debtor was previously informed, at least in the first reminder, of possible con- sideration by a credit reporting agency and
d) the debtor has not disputed the claim, or
5. the contractual relationship on which the claim is based can be terminated without prior notice for payment in arrears and the debtor has been informed of possible con- sideration by a credit reporting agency.
The lawfulness of processing, including the calculation of probability values, other data relevant for credit reports pursuant to general data protection law shall remain unaffected.
Chapter 2
Rights of the data subject
Section 32
Information to be provided where personal data are collected from the data subject
(1) In addition to the exception in Article 13 (4) of Regulation (EU) 2016/679, the ob- ligation to provide information to the data subject according to Article 13 (3) of Regulation (EU) 2016/679 shall not apply if providing information about the planned further use
1. concerns the further processing of data stored in analogue form, for which the control- ler directly contacts the data subject through the further processing; the purpose is compatible with the original purpose for which the data were collected in accordance with Regulation (EU) 2016/679; the communication with the data subject does not take place in digital form; and the interest of the data subject in receiving the infor- mation can be regarded as minimal, given the circumstances of the individual case, in particular with regard to the context in which the data were collected;
2. would, in the case of a public body, endanger the proper performance of tasks as referred to in Article 23 (1) (a) to (e) of Regulation (EU) 2016/679 for which the con-
- 28 -
troller is responsible, and the controller’s interests in not providing the information outweigh the interests of the data subject;
3. would endanger public security or order or would otherwise be detrimental to the wel- fare of the Federation or a Land, and the controller’s interests in not providing the in- formation outweigh the interests of the data subject;
4. would interfere with the establishment, exercise or defence of legal claims, and the controller’s interests in not providing the information outweigh the interests of the data subject; or
5. would endanger a confidential transfer of data to public bodies.
(2) If information is not provided to the data subject pursuant to subsection 1, the controller shall take appropriate measures to protect the legitimate interests of the data subject, including providing the information referred to in Article 13 (1) and (2) of Regula- tion (EU) 2016/679 for the public in precise, transparent, understandable and easily ac- cessible form in clear and simple language. The controller shall set down in writing the reasons for not providing information. The first and second sentences shall not apply in the cases of subsection 1 nos. 4 and 5.
(3) If notification is not provided in the cases of subsection 1 because of a temporary obstacle, the controller shall meet the obligation to provide information, while taking into account the specific circumstances of processing, within an appropriate period after the obstacle has ceased to exist, but no later than two weeks.
Section 33
Information to be provided where personal data have not been obtained from the data subject
(1) In addition to the exception in Article 14 (5) of Regulation (EU) 2016/679 and in Section 29 (1), first sentence, the obligation to provide information to the data subject ac- cording to Article 14 (1), (2) and (4) of Regulation (EU) 2016/679 shall not apply if provid- ing information
1. in the case of a public body
a) would endanger the proper performance of tasks as referred to in Article 23 (1) (a) to (e) of Regulation (EU) 2016/679 for which the controller is responsible, or
b) would threaten the public security or order or otherwise be detrimental to the Federation or a Land,
and therefore the data subject’s interest in receiving the information must not take prece- dence;
2. in the case of a private body
a) would interfere with the establishment, exercise or defence of legal claims, or processing includes data from contracts under private law and is intended to pre- vent harm from criminal offences, unless the data subject has an overriding legit- imate interest in receiving the information; or
b) the responsible public body has determined with respect to the controller that dis- closing the data would endanger public security or order or would otherwise be
- 29 -
detrimental to the welfare of the Federation or a Land; in the case of data pro- cessing for purposes of law enforcement, no determination pursuant to the first half-sentence shall be required.
(2) If information is not provided to the data subject pursuant to subsection 1, the controller shall take appropriate measures to protect the legitimate interests of the data subject, including providing the information referred to in Article 14 (1) and (2) of Regula- tion (EU) 2016/679 for the public in precise, transparent, understandable and easily ac- cessible form in clear and simple language. The controller shall set down in writing the reasons for not providing information.
(3) If the provision of information relates to the transfer by public bodies of personal data to the authorities for the protection of the Constitution, the Federal Intelligence Ser- vice, the Military Counterintelligence Service and, as far as the security of the Federation is affected, other authorities of the Federal Ministry of Defence, such provision shall be permitted only with the approval of these bodies.
Section 34
Right of access by the data subject
(1) In addition to the exceptions in Section 27 (2), 28 (2) and 29 (1), second sen- tence, the data subject’s right of access according to Article 15 of Regulation (EU) 2016/679 shall not apply if
1. the data subject shall not be informed pursuant to Section 33 (1) no. 1, no. 2 (b) or (3), or
2. the data
a) were recorded only because they may not be erased due to legal or statutory provisions on retention, or
b) only serve purposes of monitoring data protection or safeguarding data,
and providing information would require a disproportionate effort, and appropriate technical and organizational measures make processing for other purposes impossi- ble.
(2) The reasons for the refusal to provide information shall be documented. The data subject shall be informed of the reasons for refusing to provide information, unless provid- ing the reasons in law and in fact on which the decision is based would undermine the intended purpose of refusing to provide the information. Data stored for the purpose of providing information to the data subject and preparing such provision may be processed only for this purpose and for purposes of data protection monitoring; processing for other purposes shall be restricted according to Article 18 of Regulation (EU) 2016/679.
(3) If a public body of the Federation does not provide information to a data subject, such information shall be provided to the Federal Commissioner at the request of the data subject, unless the responsible supreme federal authority determines in the individual case that doing so would endanger the security of the Federation or a Land. The notifica- tion from the Federal Commissioner to the data subject with the results of the data protec- tion assessment shall not permit any conclusions to be drawn concerning the information held by the controller unless the latter agrees to the provision of more extensive infor- mation.
- 30 -
(4) The data subject shall have the right to information about personal data pro- cessed by a public body neither in automated nor in non-automated form and stored in a filing system only if the data subject provides information enabling the data to be located and if the effort required is not disproportionate to the data subject’s interest in the infor- mation.
Section 35
Right to erasure
(1) If in the case of non-automated data processing erasure would be impossible or would involve a disproportionate effort due to the specific mode of storage and if the data subject’s interest in erasure can be regarded as minimal, the data subject shall not have the right to erasure and the controller shall not be obligated to erase personal data in ac- cordance with Article 17 (1) of Regulation (EU) 2016/679 in addition to the exceptions given in Article 17 (3) of Regulation (EU) 2016/679. In this case, restriction of processing in accordance with Article 18 of Regulation (EU) 2016/679 shall apply in place of erasure. The first and second sentences shall not apply if the personal data were processed unlaw- fully.
(2) In addition to Article 18 (1) (b) and (c) of Regulation (EU) 2016/679, subsection 1, first and second sentences shall apply accordingly in the case of Article 17 (1) (a) and (d) of Regulation (EU) 2016/679 as long and as far as the controller has reason to believe that erasure would adversely affect legitimate interests of the data subject. The controller shall inform the data subject of the restriction of processing if doing so is not impossible or would not involve a disproportionate effort.
(3) In addition to Article 17 (3) (b) of Regulation (EU) 2016/679, subsection 1 shall apply accordingly in the case of Article 17 (1) (a) of Regulation (EU) 2016/679 if erasure would conflict with retention periods set by statute or contract.
Section 36
Right to object
The right to object according to Article 21 (1) of Regulation (EU) 2016/679 with regard to a public body shall not apply if there is an urgent public interest in the processing which outweighs the interests of the data subject or if processing is required by law.
Section 37
Automated individual decision-making, including profiling
(1) In addition to the exceptions given in Article 22 (2) (a) and (c) of Regulation (EU) 2016/679, the right according to Article 22 (1) of Regulation (EU) 2016/679 not to be sub- ject to a decision based solely on automated processing shall not apply if the decision is made in the context of providing services pursuant to an insurance contract and
1. the request of the data subject was fulfilled, or
2. the decision is based on the application of binding rules of remuneration for therapeu- tic treatment and the controller takes suitable measures, in the event that the request is not granted in full, to safeguard the data subject's legitimate interests, at least the
- 31 -
right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision; the controller shall inform the data subject of these rights no later than the notification indicating that the data subject’s request will not be granted in full.
(2) Decisions pursuant to subsection 1 may be based on the processing of health da- ta as referred to in Article 4 no. 15 of Regulation (EU) 2016/679. The controller shall take appropriate and specific measures to safeguard the interests of the data subject in ac- cordance with Section 22 (2), second sentence.
Chapter 3
Obligations of controllers and processors
Section 38
Data protection officers of private bodies
(1) In addition to Article 37 (1) (b) and (c) of Regulation (EU) 2016/679, the controller and processor shall designate a data protection officer if they constantly employ as a rule at least ten persons dealing with the automated processing of personal data. If the control- ler or processor undertake processing subject to a data protection impact assessment pursuant to Article 35 of Regulation (EU) 2016/679, or if they commercially process per- sonal data for the purpose of transfer, of anonymized transfer or for purposes of market or opinion research, they shall designate a data protection officer regardless of the number of persons employed in processing.
(2) Section 6 (4), (5), second sentence, and (6) shall apply, Section 6 (4) however shall apply only if designating a data protection officer is mandatory.
Section 39
Accreditation
The power to act as a certification body in accordance with Article 43 (1), first sen- tence of Regulation (EU) 2016/679 shall be granted by the supervisory authority of the Federation or the Länder responsible for data protection supervision of the certification body on the basis of accreditation by the German accreditation body. Section 2 (3), sec- ond sentence, Section 4 (3) and Section 10 (1), first sentence, no. 3 of the Accreditation Body Act shall apply on the condition that data protection falls within the scope of Section 1 (2), second sentence.
- 32 -
Chapter 4
Supervisory authorities for data processing by private bodies
Section 40
Supervisory authorities of the Länder
(1) The authorities pursuant to Land law shall monitor the application by private bod- ies of data protection legislation within the scope of Regulation (EU) 2016/679.
(2) If the controller or processor has more than one establishment in Germany, Arti- cle 4 no. 16 of Regulation (EU) 2016/679 shall apply accordingly in determining which supervisory authority is competent. If more than one authority considers itself competent or not competent, or when the competence is unclear for other reasons, the supervisory authorities shall make a joint decision in accordance with Section 18 (2). Section 3 (3) and (4) of the Administrative Procedure Act shall apply accordingly.
(3) The supervisory authority may process the data it has stored only for purposes of supervision; to this end, it may transfer data to other supervisory authorities. Processing for another purpose shall be permitted in addition to Article 6 (4) of Regulation (EU) 2016/679 if
1. it is obviously in the interest of the data subject and there is no reason to assume that the data subject would refuse consent if he or she were aware of the other purpose;
2. processing is necessary to prevent substantial harm to the common good or a threat to public security or to safeguard substantial concerns of the common good; or
3. processing is necessary to prosecute crimes or administrative offences, to carry out or enforce punishment or measures as referred to in Section 11 (1) no. 8 of the Crim- inal Code or educational or disciplinary measures as referred to in the Juvenile Court Act or to enforce fines.
If the supervisory authority determines that data protection legislation has been violated, it shall have the power to inform the data subjects concerned, to report the violation to other bodies responsible for prosecution or punishment and, in the case of serious violations, to notify the trade supervisory authority to take measures under trade and industry law. Sec- tion 13 (4), fourth to seventh sentences shall apply accordingly.
(4) The bodies subject to monitoring and the persons responsible for their manage- ment shall provide a supervisory authority on request with the information necessary to perform their tasks. The person required to provide information may refuse to answer those questions which would expose him- or herself or a relative as referred to in Section 383 (1) nos. 1 to 3 of the Code of Civil Procedure to the risk of criminal prosecution or proceedings under the Administrative Offences Act. The person required to provide infor- mation shall be informed accordingly.
(5) Persons assigned by the supervisory authority to monitor compliance with data protection legislation shall be authorized, as needed to perform their tasks, to enter the property and premises of the body and to have access to all data processing equipment and means. The body shall be obligated to tolerate such access. Section 16 (4) shall ap- ply accordingly.
(6) The supervisory authorities shall advise and support the data protection officers to meet their typical needs. They may demand the dismissal of a data protection officer if
- 33 -
he or she does not have the expert knowledge needed to perform his or her tasks or if there is a serious conflict of interests as referred to in Article 38 (6) of Regulation (EU) 2016/679.
(7) The application of the Trade Regulation Code shall remain unaffected.
Chapter 5
Penalties
Section 41
Application of provisions concerning criminal proceedings and proceedings to im- pose administrative fines
(1) Unless this Act provides otherwise, the provisions of the Administrative Offences Act shall apply accordingly to violations pursuant to Article 83 (4) to (6) of Regulation (EU) 2016/679. Sections 17, 35 and 36 of the Administrative Offences Act shall not apply. Sec- tion 68 of the Administrative Offences Act shall apply on the condition that the regional court shall decide if the administrative fine exceeds the amount of one hundred thousand euros.
(2) Unless this Act provides otherwise, the provisions of the Administrative Offences Act and the general laws on criminal procedures, namely the Code of Criminal Procedure and the Judicature Act, shall apply accordingly in proceedings for violations pursuant to Article 83 (4) to (6) of Regulation (EU) 2016/679. Sections 56 to 58, 87, 88, 99 and 100 of the Administrative Offences Act shall not apply. Section 69 (4), second sentence of the Administrative Offences Act shall apply on the condition that the public prosecutor’s office may stop the proceedings only with the approval of the supervisory authority which issued the administrative decision imposing a fine.
Section 42
Penal provisions
(1) The following actions done deliberately and without authorization with regard to the personal data of a large number of people which are not publicly accessible shall be punishable with imprisonment of up to three years or a fine:
1. transferring the data to a third party or
2. otherwise making them accessible
for commercial purposes.
(2) The following actions done with regard to personal data which are not publicly accessible shall be punishable with imprisonment of up to two years or a fine:
1. processing without authorization, or
2. fraudulently acquiring
- 34 -
and doing so in return for payment or with the intention of enriching oneself or someone else or harming someone.
(3) Such offences shall be prosecuted only if a complaint is filed. The data subject, the controller, the Federal Commissioner and the supervisory authority shall be entitled to file complaints.
(4) A notification pursuant to Article 33 of Regulation (EU) 2016/679 or a communi- cation pursuant to Article 34 (1) of Regulation (EU) 2016/679 may be used in criminal pro- ceedings against the person required to provide a notification or a communication or rela- tives as referred to in Section 52 (1) of the Code of Criminal Procedure only with the con- sent of the person required to provide a notification or a communication.
Section 43
Provisions on administrative fines
(1) Intentionally or negligently engaging in the following shall be deemed an adminis- trative offence:
1. in violation of Section 30 (1) failing to treat a request for information properly, or
2. in violation of Section 30 (2), first sentence, failing to inform a consumer or doing so incorrectly, incompletely or too late.
(2) An administrative offence may be punished by a fine of up to fifty thousand euros.
(3) Authorities and other public bodies as referred to in Section 2 (1) shall not be subject to any administrative fines.
(4) A notification pursuant to Article 33 of Regulation (EU) 2016/679 or a communi- cation pursuant to Article 34 (1) of Regulation (EU) 2016/679 may be used in proceedings pursuant to the Administrative Offences Act against the person required to provide a noti- fication or a communication or relatives as referred to in Section 52 (1) of the Code of Criminal Procedure only with the consent of the person required to provide a notification or a communication.
Chapter 6
Legal remedies
Section 44
Proceedings against a controller or processor
(1) Proceedings against a controller or a processor for a violation of data protection law within the scope of Regulation (EU) 2016/679 or the rights of the data subject con- tained therein may be brought by a data subject before the court in the place where the controller or processor has an establishment. Proceedings pursuant to the first sentence may also be brought before the court in the place where the data subject has his or her habitual residence.
- 35 -
(2) Subsection 1 shall not apply to proceedings against public authorities acting in the exercise of their sovereign powers.
(3) If the controller or processor has designated a representative pursuant to Article 27 (1) of Regulation (EU) 2016/679, this representative shall also be an authorized recipi- ent in civil law proceedings pursuant to subsection 1. Section 184 of the Code of Civil Procedure shall remain unaffected.
P a r t 3
I m p l e m e n t i n g p r o v i s i o n s f o r p r o c e s s i n g f o r p u r - p o s e s i n a c c o r d a n c e w i t h A r t i c l e 1 ( 1 ) o f D i r e c t i v e
( E U ) 2 0 1 6 / 6 8 0
Chapter 1
Scope, definitions and general principles for processing personal data
Section 45
Scope
The provisions of this Part shall apply to the processing of personal data by public bodies competent for the prevention, investigation, detection or prosecution of criminal or administrative offences or the execution of criminal or administrative penalties, as far as they process data for the purpose of carrying out these tasks. The public bodies shall be regarded in that case as controllers. The prevention of criminal offences as referred to in the first sentence shall include protection against and prevention of threats to public secu- rity. The first and second sentences shall also apply to those public bodies responsible for executing penalties, measures as referred to in Section 11 (1) no. 8 of the Criminal Code, educational or disciplinary measures as referred to in the Juvenile Court Act or fines. As far as this Part contains provisions for processors, it shall also apply to them.
Section 46
Definitions
For the purposes of this Act
1. ‘personal data’ means any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, di- rectly or indirectly, in particular by reference to an identifier such as a name, an identi- fication number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;
2. ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collec- tion, recording, organization, structuring, storage, adaptation, alteration, retrieval,
- 36 -
consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment, combination, restriction, erasure or destruction;
3. ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;
4. ‘profiling’ means any form of automated processing of personal data involving the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behav- iour, location or movements;
5. ‘pseudonymization’ means the processing of personal data in such a manner that the data can no longer be attributed to a specific data subject without the use of addition- al information, provided that such additional information is kept separately and is sub- ject to technical and organizational measures to ensure that the personal data cannot be attributed to an identified or identifiable natural person;
6. ‘filing system’ means any structured set of personal data which are accessible accord- ing to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
7. ‘controller’ means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;
8. ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;
9. ‘recipient’ means a natural or legal person, public authority, agency or other body to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or other law shall not be regarded as recipients; the pro- cessing of those data by those public authorities shall be in compliance with the ap- plicable data protection rules according to the purposes of the processing;
10. ‘personal data breach’ means a breach of security leading to the accidental or unlaw- ful destruction, loss, alteration, unauthorized disclosure of, or access to, personal da- ta processed;
11. ‘genetic data’ means personal data, relating to the inherited or acquired genetic char- acteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;
12. ‘biometric data’ means personal data resulting from specific technical processing re- lating to the physical, physiological or behavioural characteristics of a natural person which allow or confirm the unique identification of that natural person, in particular fa- cial images or dactyloscopic data;
13. ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal in- formation about his or her health status;
14. ‘special categories of personal data’
a) data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership;
- 37 -
b) genetic data;
c) biometric data for the purpose of uniquely identifying a natural person;
d) data concerning health; and
e) data concerning a natural person’s sex life or sexual orientation;
15. ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 41 of Directive (EU) 2016/680;
16. ‘international organization’ means an organization and its subordinate bodies gov- erned by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries;
17. ‘consent’ means any freely given, specific, informed and unambiguous indication of the data subject's wishes in a particular case by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relat- ing to him or her.
Section 47
General principles for processing personal data
Personal data shall be
18. processed lawfully and fairly;
19. collected for specified, explicit and legitimate purposes and not processed in a man- ner that is incompatible with those purposes;
20. adequate, relevant and not excessive in relation to the purposes for which they are processed;
21. accurate and, where necessary, kept up to date; every reasonable step must be tak- en to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;
22. kept in a form which permits identification of data subjects for no longer than is nec- essary for the purposes for which they are processed;
23. processed in a manner that ensures appropriate security of the personal data, includ- ing protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures.
- 38 -
Chapter 2
Legal basis for processing personal data
Section 48
Processing of special categories of personal data
(1) The processing of special categories of personal data shall be allowed only where strictly necessary for the performance of the controller’s tasks.
(2) If special categories of personal data are processed, appropriate safeguards for the legally protected interests of the data subject shall be implemented. Appropriate safe- guards may be in particular
1. specific requirements for data security or data protection monitoring;
2. special time limits within which data must be reviewed for relevance and erasure;
3. measures to increase awareness of staff involved in processing operations;
4. restrictions on access to personal data within the controller;
5. separate processing of such data;
6. the pseudonymization of personal data;
7. the encryption of personal data; or
8. specific codes of conduct to ensure lawful processing in case of transfer or pro- cessing for other purposes.
Section 49
Processing for other purposes
Processing personal data for a purpose other than the one for which they were col- lected shall be permitted if the other purpose is one of the purposes listed in Section 45, the controller is authorized to process data for this purpose, and processing is necessary and proportionate to this purpose. Processing personal data for another purpose not listed in Section 45 shall be permitted if it is allowed by law.
Section 50
Processing for archiving, scientific and statistical purposes
Personal data may be processed in the context of purposes listed in Section 45 in ar- chival, scientific or statistical form if doing so is in the public interest and appropriate safe- guards for the legally protected interests of data subjects are implemented. Such safe- guards may consist of rendering the personal data anonymous as quickly as possible, taking measures to prevent unauthorized disclosure to third parties, or in processing them organizationally and spatially separate from other tasks.
- 39 -
Section 51
Consent
(1) If personal data may be processed by law on the basis of consent, the controller must be able to present evidence of the data subject’s consent.
(2) If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily acces- sible form, using clear and plain language.
(3) The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. The data subject shall be informed of this before giving consent.
(4) Consent shall be effective only when based on the data subject’s free decision. When assessing whether consent was freely given, the circumstances in which it was giv- en must be taken into account. The data subject shall be informed of the intended pur- pose of the processing. If necessary in the individual case or on request, the data subject shall also be informed of the consequences of withholding consent.
(5) If special categories of personal data are to be processed, the consent must ex- plicitly refer to these data.
Section 52
Processing on instructions from the controller
Any person acting under the authority of the controller or of the processor who has access to personal data shall not process those data except on instructions from the con- troller, unless required to do so by law.
Section 53
Confidentiality
Persons employed in data processing shall not process personal data without author- ization (confidentiality). They shall be obligated when taking up their duties to maintain confidentiality. The obligation of confidentiality shall continue after their employment ends.
Section 54
Automated individual decision
(1) A decision based solely on automated processing which produces an adverse le- gal effect concerning the data subject or significantly affects him or her shall be permitted only when authorized by law.
(2) Decisions referred to in subsection 1 shall not be based on special categories of personal data unless suitable measures to safeguard the data subject's legally protected and legitimate interests are in place.
- 40 -
(3) Profiling that results in discrimination against natural persons on the basis of spe- cial categories of personal data shall be prohibited.
Chapter 3
Rights of the data subject
Section 55
General information on data processing
The controller shall provide general and publicly accessible information on
1. the purposes of the processing,
2. the rights of data subjects with regard to the processing of their personal data to ac- cess, rectification, erasure and restriction of processing,
3. the names and contact details of the controller and the data protection officer,
4. the right to lodge a complaint with the Federal Commissioner, and
5. the contact details of the Federal Commissioner.
Section 56
Notification of data subjects
(1) If special legislation provides for or requires notifying data subjects of the pro- cessing of their personal data, especially in the case of undercover operations, such noti- fication shall include at least the following information:
1. the information listed in Section 55;
2. the legal basis for the processing;
3. the period for which the personal data will be stored, or if that is not possible, the cri- teria used to determine that period;
4. the categories of recipients of the personal data, if any;
5. where necessary, further information, in particular where the personal data were col- lected without the knowledge of the data subject.
(2) In the cases of subsection 1, the controller may postpone, limit or refrain from no- tification if and so long as
1. the performance of the tasks listed in Section 45,
2. public security, or
3. the legally protected interests of third parties
- 41 -
would otherwise be threatened, if the interest in avoiding these threats overrides the inter- est of the data subject in the information.
(3) If the notification relates to the transfer of personal data to the authorities for the protection of the Constitution, the Federal Intelligence Service, the Military Counterintelli- gence Service and, as far as the security of the Federation is affected, other authorities of the Federal Ministry of Defence, such notification shall be permitted only with the approval of these bodies.
(4) Section 57 (7) shall apply accordingly in case of restriction pursuant to subsection 2.
Section 57
Right of access
(1) The controller shall inform data subjects on request whether data concerning them are being processed. Data subjects shall also have the right to information about
1. the personal data being processed and the categories to which they belong;
2. the available information on the origin of the data;
3. the purposes of and legal basis for the processing;
4. the recipients or categories of recipients to whom the data have been disclosed, in particular recipients in third countries or international organizations;
5. the period for which the data will be stored, or if that is not possible, the criteria used to determine that period;
6. the existence of the right to rectification or erasure of data or restriction of processing of data by the controller;
7. the right pursuant to Section 60 to lodge a complaint with the Federal Commissioner, and
8. the contact details of the Federal Commissioner.
(2) Subsection 1 shall not apply to personal data recorded only because they may not be erased due to legal or statutory provisions on retention, or only for purposes of monitoring data protection or safeguarding data, if providing information would require a disproportionate effort, and appropriate technical and organizational measures make pro- cessing for other purposes impossible.
(3) No information shall be provided if the data subject does not provide information enabling the data to be located and if the effort required is therefore disproportionate to the data subject’s interest in the information.
(4) Subject to the conditions of Section 56 (2), the controller may dispense with the provision of information pursuant to subsection 1, first sentence, or restrict, wholly or part- ly, the provision of information pursuant to subsection 1, second sentence.
(5) If the information to be provided relates to the transfer of personal data to the au- thorities for the protection of the Constitution, the Federal Intelligence Service, the Military Counterintelligence Service and, as far as the security of the Federation is affected, other authorities of the Federal Ministry of Defence, such provision shall be permitted only with the approval of these bodies.
(6) The controller shall notify the data subject, without delay, in writing of any refusal or restriction of access. This shall not apply if providing this information would entail a threat as referred to in Section 56 (2). The notification pursuant to the first sentence shall
- 42 -
include the reasons for the refusal or the restriction unless providing the reasons would undermine the intended purpose of the refusal or restriction of access.
(7) If the data subject is notified pursuant to subsection 6 of the refusal or restriction of access, he or she may exercise his or her right of access also via the Federal Commis- sioner. The controller shall inform the data subject of this possibility and that, in accord- ance with Section 60, the data subject may lodge a complaint with the Federal Commis- sioner or seek a judicial remedy. If the data subject exercises his or her right pursuant to the first sentence, the information shall be provided to the Federal Commissioner at the request of the data subject, unless the responsible supreme federal authority determines in the individual case that doing so would threaten the security of the Federation or a Land. The Federal Commissioner shall at least inform the data subject that all necessary checks have been conducted or that the Federal Commissioner has conducted a review. This notification may include information as to whether violations of data protection law were found. The notification from the Federal Commissioner to the data subject shall not permit any conclusions to be drawn concerning the information held by the controller un- less the latter agrees to the provision of more extensive information. The controller may refuse to such provision only as far as and for as long as he or she could dispense with or restrict information pursuant to subsection 4. The Federal Commissioner shall also inform the data subject of his or her right to seek a judicial remedy.
(8) The controller shall document the factual or legal reasons on which the decision is based.
Section 58
Right to rectification and erasure and to restriction of processing
(1) The data subject shall have the right to obtain from the controller without delay the rectification of inaccurate data concerning him or her. In particular in the case of statements or assessments, the question of accuracy is not relevant for the content of the statement or assessment. If the accuracy or inaccuracy of the data cannot be ascertained, the controller shall restrict processing instead of erasing the data. In this case, the control- ler shall inform the data subject before lifting the restriction of processing. The data sub- ject may also ask to have incomplete personal data completed, if doing so is appropriate when taking into account the purposes of processing.
(2) The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without delay where processing such data is unlaw- ful, knowledge of the data is no longer necessary for the performance of tasks, or the data must be erased to comply with a legal obligation.
(3) Instead of erasure, the controller may restrict processing where
1. there is reason to assume that erasure would adversely affect legitimate interests of the data subject,
2. the data must be retained for the purposes of evidence in proceedings serving the purposes of Section 45, or
3. erasure would be impossible or would involve a disproportionate effort due to the specific mode of storage.
Data subject to restricted processing pursuant to the first sentence may be processed only for the purpose which prevented their erasure.
- 43 -
(4) In automated filing systems, technical measures shall ensure that the restriction of processing is clearly recognizable and processing for other purposes is not possible without further examination.
(5) If the controller has rectified inaccurate data, he or she shall communicate the rectification to the body from which he or she received the personal data. In cases of recti- fication, erasure or restriction of processing pursuant to subsections 1 to 3, the controller shall inform recipients to whom the data were transferred about these measures. The re- cipient shall rectify or erase the data or restrict their processing.
(6) The controller shall inform the data subject in writing of any refusal to rectify or erase personal data or restrict its processing. This shall not apply if providing this infor- mation would entail a threat as referred to in Section 56 (2). The information pursuant to the first sentence shall include the reasons for the refusal unless providing the reasons would undermine the intended purpose of the refusal.
(7) Section 57 (7) and (8) shall apply accordingly.
Section 59
Modalities for exercising the rights of the data subject
(1) The controller shall communicate with data subjects in a concise, intelligible and easily accessible form, using clear and plain language. Regardless of special formal re- quirements, when responding to requests, the controller shall provide the information in the same form as the request.
(2) When responding to requests, without prejudice to Section 57 (6) and Section 58 (6) the controller shall inform the data subject in writing about the follow-up to his or her request without delay.
(3) Information provided pursuant to Section 55, any communication made pursuant to Sections 56 and 66, and requests processed pursuant to Sections 57 and 58 shall be free of charge. Where a request pursuant to Sections 57 and 58 is manifestly unfounded or excessive, the controller may charge a reasonable fee based on its administrative costs, or may refuse to act on the request. In this case, the controller must be able to demonstrate the manifestly unfounded or excessive character of the request.
(4) Where the controller has reasonable doubts concerning the identity of a data sub- ject making the request pursuant to Sections 57 or 58, the controller may request the pro- vision of additional information necessary to confirm the identity of the data subject.
Section 60
Right to lodge a complaint with the Federal Commissioner
(1) Without prejudice to any other administrative or judicial remedy, every data sub- ject shall have the right to lodge a complaint with the Federal Commissioner, if the data subject believes that the processing by public bodies of personal data relating to him or her for the purposes listed in Section 45 infringes his or her rights. This shall not apply to the processing of personal data by courts, if they have processed these data in the con- text of their judicial activities. The Federal Commissioner shall inform the data subject of the progress and the outcome of the complaint and of the possibility of a judicial remedy pursuant to Section 61.
- 44 -
(2) If a complaint about processing is lodged with the Federal Commissioner instead of the competent supervisory authority in another Member State of the European Union, the Federal Commissioner shall transmit the complaint to the competent supervisory au- thority without delay. In this case, the Federal Commissioner shall inform the data subject about the transmission of his or her complaint and shall provide further support at the data subject’s request.
Section 61
Legal remedies against decisions of the Federal Commissioner or if he or she fails to take action
(1) Without prejudice to any other legal remedy, every natural or legal person shall have the right to take legal action against a legally binding decision of the Federal Com- missioner.
(2) Subsection 1 shall apply accordingly to data subjects if the Federal Commission- er does not handle a complaint pursuant to Section 60 or does not inform the data subject within three months of the progress or outcome of the complaint.
Chapter 4
Obligations of controllers and processors
Section 62
Processing carried out on behalf of a controller
(1) Where personal data are processed by other persons or bodies on behalf of a controller, the controller shall ensure compliance with the provisions of this Act and other data protection provisions. The data subject shall assert his or her rights to access, rectifi- cation, erasure, restriction of processing and the right to receive compensation against the controller.
(2) A controller may use only processors providing sufficient guarantees to imple- ment appropriate technical and organizational measures in such a manner that the pro- cessing will meet the requirements of the law and ensure the protection of the rights of the data subjects.
(3) Processors shall not engage other processors without prior written authorization by the controller. If the controller has given the processor general authorization to engage other processors, the processor shall inform the controller of any intended changes con- cerning the addition or replacement of other processors. In this case, the controller may object to such changes.
(4) Where a processor engages another processor, the former shall impose on the latter the same data protection obligations as set out in the contract between the controller and the processor as referred to in subsection 5 if these obligations are not already bind- ing for the latter processor because of other legislation. Where that other processor fails to fulfil these obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations.
- 45 -
(5) Processing by a processor shall be governed by a contract or other legal instru- ment that is binding on the processor with regard to the controller and that sets out the subject matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal instrument shall stipulate, in particular, that the processor
1. acts only on instructions from the controller; if the processor believes that an instruc- tion is unlawful, the processor shall inform the controller without delay;
2. ensures that persons authorized to process the personal data have committed them- selves to confidentiality or are under an appropriate statutory obligation of confidenti- ality;
3. assists the controller by any appropriate means to ensure compliance with the provi- sions on the data subject's rights;
4. at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of data processing services, and deletes existing copies unless law requires storage of the personal data;
5. makes available to the controller all information necessary, in particular the logs kept in accordance with Section 76, to demonstrate compliance with these obligations;
6. allows for and contributes to audits conducted by the controller or another auditor mandated by the controller;
7. complies with the conditions referred to in subsections 3 and 4 for engaging another processor;
8. takes all measures required pursuant to Section 64; and
9. assists the controller in ensuring compliance with the obligations pursuant to Sec- tions 64 to 67 and 69 taking into account the nature of processing and the information available to the processor.
(6) The contract referred to in subsection 5 shall be in writing or in an electronic form.
(7) A processor that determines, in violation of this provision, the purposes and means of processing, shall be considered a controller in respect of that processing.
Section 63
Joint controllers
Where two or more controllers jointly determine the purposes and means of pro- cessing, they shall be considered joint controllers. Joint controllers shall determine their respective tasks and responsibilities under data protection law in a transparent manner in an agreement, unless these tasks and responsibilities are already determined by law. In particular, this agreement must indicate which of them must meet which information obli- gations, and how and with respect to whom data subjects may exercise their rights. Such an agreement shall not prevent data subjects from asserting their rights against each of the joint controllers.
- 46 -
Section 64
Requirements for the security of data processing
(1) The controller and the processor, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risk of varying likelihood and severity for the legally protected interests of natu- ral persons, shall implement the necessary technical and organizational measures to en- sure a level of security appropriate to the risk when processing personal data, in particular as regards the processing of special categories of personal data. In doing so, the control- ler shall take into account the relevant Technical Guidelines and recommendations from the Federal Office for Information Security.
(2) The measures referred to in subsection 1 may include pseudonymization and en- cryption of personal data, if such means are possible in view of the purposes of pro- cessing. The measures pursuant to subsection 1 should ensure
1. the ongoing confidentiality, integrity, availability and resilience of processing systems and services in connection with processing; and
2. the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident.
(3) In respect of automated processing, the controller and processor, following an evaluation of the risks, shall implement measures designed to
1. deny unauthorized persons access to processing equipment used for processing (‘equipment access control’);
2. prevent the unauthorized reading, copying, modification or erasure of data media (‘data media control’);
3. prevent the unauthorized input of personal data and the unauthorized inspection, modification or deletion of stored personal data (‘storage control’);
4. prevent the use of automated processing systems by unauthorized persons using data communication equipment (‘user control’);
5. ensure that persons authorized to use an automated processing system have access only to the personal data covered by their access authorization (‘data access con- trol’);
6. ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’);
7. ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the per- sonal data were input (‘input control’);
8. ensure that the confidentiality and integrity of personal data are protected during transfers of personal data or during transport of data media (‘transport control’);
9. ensure that installed systems may, in the case of interruption, be restored (‘recovery’);
10. ensure that all system functions perform and that the appearance of faults in the func- tions is reported (‘reliability’);
- 47 -
11. ensure that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’);
12. ensure that personal data processed on behalf of the controller can only be pro- cessed in compliance with the controller’s instructions (‘processing control’);
13. ensure that personal data are protected against loss and destruction (‘availability con- trol’);
14. ensure that personal data collected for different purposes can be processed separate- ly (‘separability’).
A purpose pursuant to the first sentence, nos. 2 to 5 may be achieved in particular by us- ing state-of-the-art encryption.
Section 65
Notifying the Federal Commissioner of a personal data breach
(1) In the case of a personal data breach, the controller shall notify the Federal Commissioner without delay and, if possible, not later than 72 hours after having become aware of it, of the personal data breach, unless the personal data breach is unlikely to result in a risk to the legally protected interests of natural persons. If the Federal Commis- sioner is not notified within 72 hours, the notification shall be accompanied by reasons for the delay.
(2) A processor shall notify the controller of a personal data breach without delay.
(3) The notification referred to in subsection 1 shall include at least the following in- formation:
1. a description of the nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
2. the name and contact details of the data protection officer or other contact point where more information can be obtained;
3. a description of the likely consequences of the personal data breach; and
4. a description of the measures taken or proposed by the controller to address the per- sonal data breach, including measures to mitigate its possible adverse effects.
(4) If it is not possible to provide the information pursuant to subsection 3 with the notification, the controller shall provide this information as soon as it is available.
(5) The controller shall document any personal data breaches. This documentation shall include all the facts relating to the personal data breach, its effects and the remedial action taken.
(6) If the personal data breach involves personal data that have been transmitted by or to a controller in another Member State of the European Union, the information referred to in subsection 3 shall be communicated to the controller in that Member State without delay.
(7) Section 42 (4) shall apply accordingly.
- 48 -
(8) Additional obligations of the controller regarding notifications of personal data breaches shall remain unaffected.
Section 66
Notifying data subjects affected by a personal data breach
(1) If a personal data breach is likely to result in a substantial risk to the legally pro- tected interests of natural persons, the controller shall notify the data subject of the per- sonal data breach without delay.
(2) The notification of the data subject pursuant to subsection 1 shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in Section 65 (3) nos. 2 to 4.
(3) Notification shall not be required if any of the following conditions are met:
1. the controller has implemented appropriate technical and organizational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorized to access them, such as encryption;
2. the controller has taken subsequent measures which ensure that the substantial risk referred to in subsection 1 is no longer likely to exist;
3. it would involve a disproportionate effort; in this case, a public communication shall be made or a similar measure taken to inform the data subjects in an equally effective manner.
(4) If the controller has not informed the data subjects of a personal data breach, the Federal Commissioner may formally determine that, in his or her opinion, the conditions referred to in subsection 3 have not been met. In doing so, the Federal Commissioner shall consider the likelihood of the personal data breach resulting in a high risk as referred to in subsection 1.
(5) The notification of data subjects pursuant to subsection 1 may be delayed, re- stricted or omitted under the conditions referred to in Section 56 (2) unless the interests of the data subjects outweigh those of the controller owing to the high risk resulting from the personal data breach as referred to in subsection 1.
(6) Section 42 (4) shall apply accordingly.
Section 67
Conducting a data protection impact assessment
(1) Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a substantial risk to the legally protected interests of data subjects, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the data subjects.
(2) A joint assessment may address a set of similar processing operations that pre- sent similar substantial risks.
- 49 -
(3) The controller shall involve the Federal Commissioner in carrying out the impact assessment.
(4) The impact assessment shall take the rights of the data subjects affected by the processing into account and shall contain at least the following:
1. a systematic description of the envisaged processing operations and the purposes of the processing;
2. an assessment of the necessity and proportionality of the processing operations in relation to their purposes;
3. an assessment of the risks to the legally protected interests of the data subjects; and
4. the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demon- strate compliance with the law.
(5) Where necessary, the controller shall carry out a review to assess whether pro- cessing is performed in accordance with the data protection impact assessment.
Section 68
Cooperation with the Federal Commissioner
The controller shall cooperate with the Federal Commissioner in carrying out the lat- ter’s tasks.
Section 69
Prior consultation of the Federal Commissioner
(1) The controller shall consult the supervisory authority prior to processing which will form part of a new filing system if
1. a data protection impact assessment pursuant to Section 67 indicates that the pro- cessing would result in a substantial risk to the legally protected interests of data sub- jects in the absence of measures taken by the controller to mitigate the risk; or
2. the type of processing, in particular, where using new technologies, mechanisms or procedures, involves a substantial risk to the legally protected interests of data sub- jects.
The Federal Commissioner may draw up a list of the processing operations which are subject to prior consultation pursuant to the first sentence.
(2) In the case of subsection 1, the Federal Commissioner shall be presented with
1. the data protection impact assessment carried out pursuant to Section 67;
2. where applicable, information on the respective responsibilities of the controller, joint controllers and processors involved in the processing;
3. information on the purposes and means of the envisaged processing;
- 50 -
4. information on the measures and safeguards intended to protect the legally protected interests of the data subjects; and
5. the name and contact details of the data protection officer.
On request, the Federal Commissioner shall be given any other information he or she requires to assess the lawfulness of the processing and, in particular, the existing risks to the protection of the data subjects’ personal data and the related safeguards.
(3) If the Federal Commissioner believes that the planned processing would violate the law, in particular because the controller has not sufficiently identified the risk or has not taken sufficient measures to mitigate the risk, he or she may provide, within a period of up to six weeks of receipt of the request for consultation, written advice to the controller and, where applicable, to the processor, as to which additional measures should be taken. The Federal Commissioner may extend this period by a month, if the planned processing is especially complex. In this case, the Federal Commissioner shall inform the controller and, where applicable, the processor of the extension within one month of receipt of the request for consultation.
(4) If the envisaged processing has substantial significance for the controller’s per- formance of tasks and is therefore especially urgent, the controller may initiate processing after the consultation has started but before the period referred to in subsection 3, first sentence, has expired. In this case, the recommendations of the Federal Commissioner shall be taken into account after the fact, and the way the processing is carried out shall be adjusted where applicable.
Section 70
Records of processing activities
(1) The controller shall keep a record of all categories of processing activities under its responsibility. This record shall contain all of the following information:
1. the name and contact details of the controller and, where applicable, of the joint con- troller; and the name and contact details of the data protection officer;
2. the purposes of the processing;
3. the categories of recipients to whom the personal data have been or are to be dis- closed;
4. a description of the categories of data subjects and of the categories of personal data;
5. where applicable, the use of profiling;
6. where applicable, the categories of transfers of personal data to bodies in a third country or to an international organization;
7. information about the legal basis for the processing;
8. the envisaged time limits for the erasure or for a review of the need to store the vari- ous categories of personal data; and
9. a general description of the technical and organizational security measures referred to in Section 64.
- 51 -
(2) The processor shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing
1. the name and contact details of the processor, of each controller on behalf of which the processor is acting and, where applicable, the data protection officer;
2. where applicable, transfers of personal data to bodies in a third country or to an inter- national organization, including the identification of that third country or international organization; and
3. a general description of the technical and organizational security measures according to Section 64.
(3) The records referred to in subsections 1 and 2 shall be in writing or in electronic form.
(4) Controllers and processors shall make these records available to the Federal Commissioner on request.
Section 71
Data protection by design and by default
(1) The controller, both at the time the means of processing are determined and at the time of the processing itself, shall take appropriate measures to implement data pro- tection principles, such as data minimization, in an effective manner, to ensure compli- ance with legal requirements and to protect the rights of data subjects. In doing so, the controller shall take into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing, as well as the risks of varying likeli- hood and severity for the legally protected interests of the data subject posed by the pro- cessing. In particular, personal data shall be processed, and processing systems shall be selected and designed in accordance with the aim of processing as few personal data as possible. Personal data shall be rendered anonymous or pseudonymized as early as pos- sible, as far as possible in accordance with the purpose of processing.
(2) The controller shall implement appropriate technical and organizational measures to ensure that, by default, only personal data which are necessary for each specific pur- pose of the processing are processed. That applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, the measures must ensure that by default the data are not made accessible by automated means to an indefinite number of persons.
Section 72
Distinction between different categories of data subjects
When processing personal data, the controller shall, as far as possible, make a clear distinction between different categories of data subjects. This applies in particular to the following categories:
1. persons with regard to whom there are serious grounds for believing that they have committed a criminal offence;
2. persons with regard to whom there are serious grounds for believing that they are about to commit a criminal offence;
- 52 -
3. persons convicted of a criminal offence;
4. victims of a criminal offence or persons with regard to whom certain facts indicate that they could be the victim of a criminal offence; and
5. other persons, such as witnesses, persons who can provide information, or contacts or associates of the persons referred to in nos. 1 to 4.
Section 73
Distinction between facts and personal assessments
In processing, the controller shall distinguish, as far as possible, personal data based on facts from personal data based on personal assessments. To this end, the controller shall identify evaluations based on personal assessments as such, as far as possible and reasonable in the context of the processing in question. It must also be possible to deter- mine which body keeps the records on which an evaluation based on a personal assess- ment is based.
Section 74
Procedures for data transfers
(1) The controller shall take appropriate measures to ensure that personal data which are inaccurate or no longer up to date are not transmitted or otherwise made avail- able. To that end, the controller shall, as far as possible with reasonable effort, verify the quality of the data before they are transmitted or made available. The controller shall also, as far as possible and reasonable, in all transmissions of personal data include the nec- essary information to enable the recipient to assess the degree of accuracy, complete- ness and reliability of the data, and the extent to which they are up to date.
(2) If the processing of personal data is subject to special conditions, in transmis- sions of data the transmitting body shall inform the recipient of these conditions and the requirement to respect them. The obligation of providing information may be met by mark- ing the data accordingly.
(3) The transmitting body shall not apply conditions to recipients in other Member States of the European Union or to agencies, offices and bodies established pursuant to Chapters 4 and 5 of Title V of the Third Part of the Treaty on the Functioning of the Euro- pean Union other than those applicable to similar domestic transmissions.
Section 75
Rectification and erasure of personal data and restriction of processing
(1) The controller shall rectify inaccurate personal data.
(2) The controller shall erase personal data without delay if their processing is unlaw- ful, they must be erased to comply with a legal obligation, or knowledge of the data is no longer necessary for the controller to perform its tasks.
(3) Section 58 (3) to (5) shall apply accordingly. The recipient shall also be informed if inaccurate personal data have been transmitted, or if personal data have been transmit- ted unlawfully.
- 53 -
(4) Without prejudice to any time limits for storing or erasing data defined in law, the controller shall provide for appropriate time limits for the erasure of personal data or for a periodic review of the need for the storage of personal data and shall take procedural measures to ensure that these time limits are observed.
Section 76
Logging
(1) Controllers and processors shall provide for logs to be kept for at least the follow- ing processing operations in automated processing systems:
1. collection,
2. alteration,
3. consultation,
4. disclosure including transfers,
5. combination, and
6. erasure.
(2) The logs of consultation and disclosure must make it possible to ascertain the justification, date and time of such operations and, as far as possible, the identity of the person who consulted or disclosed personal data, and the identity of the recipients of the data.
(3) The logs may be used only by the data protection officer, the Federal Commis- sioner or the data subject to verify the lawfulness of the processing; and for self- monitoring, ensuring the integrity and security of the personal data, and for criminal pro- ceedings.
(4) The log data shall be erased at the end of the year following the year in which they were generated.
(5) The controller and the processor shall make the logs available to the Federal Commissioner on request.
Section 77
Confidential reporting of violations
The controller shall ensure that it is able to receive confidential reports of violations of data protection law which have occurred in its area of responsibility.
- 54 -
Chapter 5
Transfers of data to third countries and to international organizations
Section 78
General requirements
(1) If all other conditions applicable to data transfers are met, the transfer of personal data to bodies in third countries or to international organizations shall be permitted if
1. the body or international organization is responsible for the purposes referred to in Section 45, and
2. the European Commission has adopted an adequacy decision pursuant to Article 36 (3) of Directive (EU) 2016/680.
(2) No transfer of personal data shall be permitted, despite an adequacy decision as referred to in subsection 1 no. 2 and the public interest in the data transfer to be taken into account, if in the individual case it cannot be ensured that the data will be handled appro- priately in terms of data protection law and in accordance with fundamental human rights in the area of responsibility of the recipient, or if a transfer would conflict with other over- riding legitimate interests of a data subject. The controller shall base its assessment on whether the recipient in the individual case guarantees appropriate protection of the trans- ferred data.
(3) If personal data which have been transmitted or made available from another Eu- ropean Union Member State are to be transferred pursuant to subsection 1, the compe- tent body of the other Member State must provide prior authorization of the transfer. Transfers without the prior authorization shall be permitted only if the transfer is necessary to prevent an immediate and serious threat to the public security of a country or to essen- tial interests of a Member State and the prior authorization cannot be obtained in time. In the case of the second sentence, the other Member State’s body responsible for giving prior authorization shall be informed of the transfer without delay.
(4) The controller transferring data pursuant to subsection 1 shall take appropriate measures to ensure that the recipient will transfer the data onward to other third countries or other international organizations only with the prior authorization of the controller. When deciding whether to authorize the transfer, the controller shall take into account all rele- vant factors, including the seriousness of the criminal offence, the purpose for which the personal data were originally transferred and the level of personal data protection in the third country or international organization to which the data are to be transferred onward. The transfer shall be authorized only if a direct transfer to the other third country or inter- national organization would be lawful. The responsibility for issuing authorization may also be otherwise provided for.
Section 79
Data transfers with appropriate safeguards
(1) In the absence of a decision pursuant to Article 36 (3) of Directive (EU) 2016/680, transfers which meet the remaining requirements of Section 78 shall be permitted also if
- 55 -
1. appropriate safeguards with regard to the protection of personal data are provided for in a legally binding instrument; or
2. the controller has assessed all the circumstances surrounding the transfer and con- cludes that appropriate safeguards exist for the protection of personal data.
(2) The controller shall document transfers pursuant to subsection 1 no. 2. The doc- umentation shall include the date and time of the transfer, the identity of the recipient, the reason for the transfer and the personal data transferred. It shall be provided to the Fed- eral Commissioner on request.
(3) The controller shall file a report to the Federal Commissioner at least once a year covering transfers conducted on the basis of an assessment pursuant to subsection 1 no. 2. In this report, the controller may categorize the recipients and the purpose of the trans- fers appropriately.
Section 80
Data transfers without appropriate safeguards
(1) If in derogation from Section 78 (1) no. 2, no decision pursuant to Article 36 (3) of Directive (EU) 2016/680 or appropriate safeguards as referred to in Section 79 (1) exist, transfers which meet the remaining requirements of Section 78 shall be permitted also if they are necessary
1. to protect the vital interests of a natural person;
2. to safeguard legitimate interests of the data subject;
3. to prevent an immediate and serious threat to the public security of a country;
4. in individual cases for the purposes referred to in Section 45; or
5. in an individual case for the establishment, exercise or defence of legal claims relat- ing to the purposes referred to in Section 45.
(2) The controller shall not transfer data pursuant to subsection 1 if the fundamental rights of the data subject override the public interest in the transfer.
(3) Section 79 (2) shall apply accordingly to transfers pursuant to subsection 1.
Section 81
Other data transfers to recipients in third countries
(1) In special individual cases and if all other requirements for data transfers to third countries are met, controllers may transfer personal data directly to recipients in third countries not referred to in Section 78 (1) no. 1 if the transfer is strictly necessary for the performance of their tasks and
1. in the specific case no fundamental rights of the data subject override the public in- terest in the transfer;
2. transfer to the bodies referred to in Section 78 (1) no. 1 would be ineffective or inap- propriate, in particular because the transfer cannot be carried out in time; and
- 56 -
3. the controller informs the recipient of the purposes of processing and instructs the recipient that the transferred data may be processed only to the extent necessary for these purposes.
(2) In the case of subsection 1, the controller shall inform the bodies referred to in Section 78 (1) no. 1 of the transfer without delay, unless this is ineffective or inappropriate.
(3) Section 79 (2) and (3) shall apply accordingly to transfers pursuant to subsection 1.
(4) In the case of transfers pursuant to subsection 1, the transmitting controller shall obligate the recipient to process the transferred personal data without the controller’s con- sent only for the purpose for which they were transferred.
(5) Agreements in the field of judicial cooperation in criminal matters and police co- operation shall remain unaffected.
Chapter 6
Cooperation among supervisory authorities
Section 82
Mutual assistance
(1) The Federal Commissioner shall provide the supervisory authorities in other Eu- ropean Union Member States with information and mutual assistance as far as necessary to implement and apply Directive (EU) 2016/680 in a consistent manner. Mutual assis- tance shall cover, in particular, information requests and supervisory measures, such as requests to carry out consultations, inspections and investigations.
(2) The Federal Commissioner shall take all appropriate measures required to reply to a request for mutual assistance without delay and no later than one month after receiv- ing the request.
(3) The Federal Commissioner may refuse to comply with the request only if
1. he or she is not competent for the subject matter of the request or for the measures he or she is asked to execute; or
2. compliance with the request would violate the law.
(4) The Federal Commissioner shall inform the other state’s requesting supervisory authority of the results or, as the case may be, of the progress of the measures taken in response to the request. In the case of subsection 3, he or she shall provide reasons for refusing to comply with the request.
(5) The Federal Commissioner shall, as a rule, supply the information requested by the other state’s supervisory authority by electronic means and using a standardized for- mat.
(6) The Federal Commissioner shall not charge a fee for action taken pursuant to a request for mutual assistance unless he or she has agreed with the other state’s supervi- sory authority in the individual case on the reimbursement of expenses incurred.
- 57 -
(7) The Federal Commissioner’s requests for assistance shall contain all the neces- sary information, including in particular the purpose of and reasons for the request. Infor- mation exchanged shall be used only for the purpose for which it was requested.
Chapter 7
Liability and penalties
Section 83
Compensation
(1) If a controller has caused a data subject to suffer damage by processing personal data in violation of this Act or other law applicable to this processing, the controller or its legal entity shall be obligated to provide compensation to the data subject. This obligation to provide compensation shall not apply if, in the case of non-automated processing, the damage was not the result of fault by the controller.
(2) The data subject may request appropriate financial compensation for non- material damage.
(3) If, in the case of automated processing of personal data, it is not possible to de- termine which of several controllers caused the damage, each controller or its legal entity shall be liable.
(4) Section 254 of the Civil Code shall apply to contributory negligence on the part of the data subject.
(5) The limitation provisions stipulated for tortious acts in the Civil Code shall apply accordingly with regard to statutory limitation.
Section 84
Penal provisions
Section 42 shall apply accordingly to the processing of personal data by public bodies in the context of activities pursuant to Section 45, first, third or fourth sentences.
- 58 -
P a r t 4
S p e c i a l p r o v i s i o n s f o r p r o c e s s i n g i n t h e c o n t e x t o f a c t i v i t i e s o u t s i d e t h e s c o p e o f R e g u l a t i o n ( E U )
2 0 1 6 / 6 7 9 a n d D i r e c t i v e ( E U ) 2 0 1 6 / 6 8 0
Section 85
Processing of personal data in the context of activities outside the scope of Regula- tion (EU) 2016/679 and Directive (EU) 2016/680
(1) The transfer of personal data to a third country, to supranational or intergovern- mental bodies or to international organizations in the context of activities outside the scope of Regulation (EU) 2016/679 and Directive (EU) 2016/680 shall be permitted in addition to the cases permitted under Regulation (EU) 2016/679 also if the processing is necessary to perform tasks for urgent reasons of defence or to fulfil supra- or intergov- ernmental obligations of a public body of the Federation in the field of crisis management or conflict prevention or for humanitarian measures. The recipient shall be instructed that the transferred data may be used only for the purpose for which they were transferred.
(2) Section 16 (4) shall not apply to processing in the context of activities outside the scope of Regulation (EU) 2016/679 and Directive (EU) 2016/680 by workplaces within the remit of the Federal Ministry of Defence if the Federal Ministry of Defence determines in the individual case that meeting the obligations referred to in that provision would endan- ger the security of the Federation.
(3) Processing by public bodies of the Federation in the context of activities outside the scope of Regulation (EU) 2016/679 and Directive (EU) 2016/680 shall not be subject to the obligation to provide information in accordance with Article 13 (1) and (2) of Regula- tion (EU) 2016/679
1. in the cases referred to in Section 32 (1) nos. 1 to 3, or
2. if meeting this obligation would disclose information which by law or by its nature must be kept secret, in particular because of legitimate interests of a third party which out- weigh the interests of the data subject in obtaining the information.
If the data subject is not to be informed in the cases of the first sentence, no right of ac- cess shall apply. Sections 32 (2) and 33 (2) shall not apply.
Article 2
Amendment of the Act Regulating the Cooperation between the Federation and the Federal States in Matters Relating to the Pro- tection of the Constitution and on the Federal Office for the Pro-
tection of the Constitution
The Act Regulating the Cooperation between the Federation and the Federal States in Matters Relating to the Protection of the Constitution and on the Federal Office for the Protection of the Constitution of 20 December 1990 (Bundesverfassungsschutzgesetz,
- 59 -
BVerfSchG) (Federal Law Gazette I p. 2954, 2970), last amended by Article 2 (1) of the Act of 16 June 2017 (Federal Gazette I, p. 1634), shall be amended as follows:
[…]
Article 3
Amendment of the Military Counterintelligence Service Act
The Military Counterintelligence Service Act of 20 December 1990 (Gesetz über den Militärischen Abschirmdienst, MADG) (Federal Gazette I, p. 2954, 2977), last amended by Article 6 of the Act of 27 March 2017 (Federal Gazette I, p. 562), shall be amended as follows:
[…]
Article 4
Amendment of the Federal Intelligence Service Act
The Federal Intelligence Service Act of 20 December 1990 (BND-Gesetz, BNDG) (Federal Law Gazette I p. 2954, 2979), last amended by Article 3 of the Act of 10 March 2017 (Federal Gazette I, p. 410), shall be amended as follows:
[…]
Article 5
Amendment of the Act on Prerequisites and Procedures for Secu- rity Clearance Checks Undertaken by the Federal Government
The Act on Prerequisites and Procedures for Security Clearance Checks Undertaken by the Federal Government 20 April 1994 (Sicherheitsüberprüfungsgesetz, SÜG) (Federal Law Gazette I p. 867), last amended by Article 1 of the Act of 16 June 2017 (Federal Ga- zette I, p. 1634), shall be amended as follows:
[…]
Article 6
Amendment of the Act to restrict the Privacy of Correspondence, Posts and Telecommunications
The Act to restrict the Privacy of Correspondence, Posts and Telecommunications of 26 June 2001 (Artikel 10-Gesetz, G 10) (Federal Law Gazette I, p. 1254, 2298; 2017 I,
- 60 -
p. 154), last amended by Article 2 (2) of the Act of 16 June 2017 (Federal Gazette I, p. 1634), shall be amended as follows:
Article 7
Amendment of the Federal Data Protection Act
The Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG) in the version published on 14 January 2003 (Federal Law Gazette I, p. 66), last amended by Article 1 of the Act of 28 April 2017 (Federal Law Gazette I, p. 968), shall be amended as follows:
3. In the table of contents, the following text shall be inserted after the reference to Sec- tion 42a:
“Section 42b Application of the supervisory authority for a court decision if it believes that a decision by the Commis- sion violates European law”
4. The following subsection 5a shall be added after Section 22 (5):
“(5a) The Federal Commissioner may delegate human resources administration and management tasks to other federal bodies as long as doing so does not affect the Federal Commissioner’s independence. Personal data of staff members may be transferred to these bodies as needed for them to perform their delegated tasks.”
5. The following Section 42b shall be added after Section 42a:
“Section 42b
Application of the supervisory authority for a court decision if it believes that a deci- sion by the European Commission violates the law
(1) If a supervisory authority believes that an adequacy decision of the European Commission or a decision on the recognition of standard protection clauses or on the general validity of approved codes of conduct, on the validity of which a decision of the supervisory authority depends, violates the law, the supervisory authority shall suspend its procedure and lodge an application for a court decision.
(2) Recourse to the administrative courts shall be provided for proceedings pur- suant to subsection 1. The Code of Administrative Court Procedure shall be applied in compliance with subsections 3 to 6.
(3) The Federal Administrative Court shall decide in the first and last instance on an application by the supervisory authority pursuant to subsection 1.
(4) In proceedings pursuant to subsection 1, the supervisory authority shall be competent to take part. The supervisory authority shall be a party to proceedings pur- suant to subsection 1 as applicant; Section 63 nos. 3 and 4 of the Code of Adminis- trative Court Procedure shall remain unaffected. The Federal Administrative Court may give the European Commission the opportunity to comment within a period of time to be determined.
- 61 -
(5) If a proceeding to review the validity of a European Commission decision pursuant to subsection 1 is pending at the European Court of Justice, the Federal Administrative Court may order its proceeding to be suspended until the proceeding at the European Court of Justice has been concluded.
(6) In proceedings pursuant to subsection 1, Section 47 (5), first sentence and (6) of the Code of Administrative Court Procedure shall apply accordingly. If the Fed- eral Administrative Court finds that the European Commission’s decision pursuant to subsection 1 is valid, it shall state this in its decision. Otherwise it shall refer the ques- tion as to the validity of the decision in accordance with Article 267 of the Treaty on the Functioning of the European Union to the European Court of Justice.”
Article 8
Entry into force and expiry
(1) This Act shall enter into force on 25 May 2018, subject to subsection 2. The Fed- eral Data Protection Act in the version published on 14 January 2003 (Federal Law Ga- zette I, p. 66), last amended by Article 7 of this Act shall expire at the same time.
(2) Article 7 shall enter into force on the day following its promulgation.