{"id":"bgbl1-2017-44-2","kind":"bgbl1","year":2017,"number":44,"date":"2017-07-05T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2017/44#page=5","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2017-44-2/","document_url":"https://media.offenegesetze.de/bgbl1/2017/bgbl1_2017_44.pdf#page=5","order":2,"title":"Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)","law_date":"2017-06-30T00:00:00Z","page":2097,"pdf_page":5,"num_pages":36,"content":["Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2097\nGesetz\nzur Anpassung des Datenschutzrechts an die\nVerordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680\n(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)\nVom 30. Juni 2017\nDer Bundestag hat mit Zustimmung des Bundes- § 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden\nrates das folgende Gesetz beschlossen: des Bundes und der Länder\n§ 19 Zuständigkeiten\nArtikel 1\nKapitel 6\nBundesdatenschutzgesetz\nRechtsbehelfe\n(BDSG)\n§ 20 Gerichtlicher Rechtsschutz\nInhaltsübersicht\n§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entschei-\nTeil 1 dung bei angenommener Rechtswidrigkeit eines Be-\nschlusses der Europäischen Kommission\nGemeinsame Bestimmungen\nKapitel 1 Teil 2\nAnwendungsbereich Durchführungsbestimmungen\nund Begriffsbestimmungen für Verarbeitungen zu Zwecken\n§ 1 Anwendungsbereich des Gesetzes gemäß Artikel 2 der Verordnung (EU) 2016/679\n§ 2 Begriffsbestimmungen Kapitel 1\nKapitel 2 Rechtsgrundlagen der\nVerarbeitung personenbezogener Daten\nRechtsgrundlagen der\nVerarbeitung personenbezogener Daten Abschnitt 1\n§ 3 Verarbeitung personenbezogener Daten durch öffentliche Verarbeitung besonderer\nStellen Kategorien personenbezogener\n§ 4 Videoüberwachung öffentlich zugänglicher Räume Daten und Verarbeitung zu anderen Zwecken\nKapitel 3 § 22 Verarbeitung besonderer Kategorien personenbezogener\nDaten\nDatenschutzbeauftragte öffentlicher Stellen § 23 Verarbeitung zu anderen Zwecken durch öffentliche\n§ 5 Benennung Stellen\n§ 6 Stellung § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche\nStellen\n§ 7 Aufgaben\n§ 25 Datenübermittlungen durch öffentliche Stellen\nKapitel 4\nAbschnitt 2\nDie oder der\nBundesbeauftragte für Besondere Verarbeitungssituationen\nden Datenschutz und die Informationsfreiheit\n§ 26 Datenverarbeitung für Zwecke des Beschäftigungsver-\n§ 8 Errichtung hältnisses\n§ 9 Zuständigkeit § 27 Datenverarbeitung zu wissenschaftlichen oder histori-\n§ 10 Unabhängigkeit schen Forschungszwecken und zu statistischen Zwecken\n§ 11 Ernennung und Amtszeit § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden\nArchivzwecken\n§ 12 Amtsverhältnis\n§ 29 Rechte der betroffenen Person und aufsichtsbehördliche\n§ 13 Rechte und Pflichten\nBefugnisse im Fall von Geheimhaltungspflichten\n§ 14 Aufgaben\n§ 30 Verbraucherkredite\n§ 15 Tätigkeitsbericht\n§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Boni-\n§ 16 Befugnisse tätsauskünften\nKapitel 5\nKapitel 2\nVertretung im\nEuropäischen Datenschutzausschuss, Rechte der betroffenen Person\nzentrale Anlaufstelle, Zusammenarbeit der § 32 Informationspflicht bei Erhebung von personenbezoge-\nAufsichtsbehörden des Bundes und der Länder nen Daten bei der betroffenen Person\nin Angelegenheiten der Europäischen Union\n§ 33 Informationspflicht, wenn die personenbezogenen Daten\n§ 17 Vertretung im Europäischen Datenschutzausschuss, nicht bei der betroffenen Person erhoben wurden\nzentrale Anlaufstelle § 34 Auskunftsrecht der betroffenen Person","2098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n§ 35 Recht auf Löschung § 57 Auskunftsrecht\n§ 36 Widerspruchsrecht § 58 Rechte auf Berichtigung und Löschung sowie Einschrän-\n§ 37 Automatisierte Entscheidungen im Einzelfall einschließ- kung der Verarbeitung\nlich Profiling § 59 Verfahren für die Ausübung der Rechte der betroffenen\nPerson\nKapitel 3 § 60 Anrufung der oder des Bundesbeauftragten\n§ 61 Rechtsschutz gegen Entscheidungen der oder des\nPflichten der Bundesbeauftragten oder bei deren oder dessen Untätig-\nVe r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r keit\n§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen\n§ 39 Akkreditierung Kapitel 4\nPflichten der\nKapitel 4 Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r\nAufsichtsbehörde § 62 Auftragsverarbeitung\nfür die Datenverarbeitung § 63 Gemeinsam Verantwortliche\ndurch nichtöffentliche Stellen\n§ 64 Anforderungen an die Sicherheit der Datenverarbeitung\n§ 40 Aufsichtsbehörden der Länder § 65 Meldung von Verletzungen des Schutzes personenbezo-\ngener Daten an die oder den Bundesbeauftragten\nKapitel 5 § 66 Benachrichtigung betroffener Personen bei Verletzungen\ndes Schutzes personenbezogener Daten\nSanktionen § 67 Durchführung einer Datenschutz-Folgenabschätzung\n§ 41 Anwendung der Vorschriften über das Bußgeld- und § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten\nStrafverfahren § 69 Anhörung der oder des Bundesbeauftragten\n§ 42 Strafvorschriften § 70 Verzeichnis von Verarbeitungstätigkeiten\n§ 43 Bußgeldvorschriften § 71 Datenschutz durch Technikgestaltung und datenschutz-\nfreundliche Voreinstellungen\nKapitel 6 § 72 Unterscheidung zwischen verschiedenen Kategorien be-\ntroffener Personen\nRechtsbehelfe § 73 Unterscheidung zwischen Tatsachen und persönlichen\nEinschätzungen\n§ 44 Klagen gegen den Verantwortlichen oder Auftragsver-\narbeiter § 74 Verfahren bei Übermittlungen\n§ 75 Berichtigung und Löschung personenbezogener Daten\nsowie Einschränkung der Verarbeitung\nTeil 3\n§ 76 Protokollierung\nBestimmungen für § 77 Vertrauliche Meldung von Verstößen\nVerarbeitungen zu Zwecken\ngemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680\nKapitel 5\nKapitel 1 Datenübermittlungen\nAnwendungsbereich, an Drittstaaten und an\nBegriffsbestimmungen internationale Organisationen\nund allgemeine Grundsätze für die\nVer a r b e i t un g p e r s o ne n be z o g e ne r D at e n § 78 Allgemeine Voraussetzungen\n§ 79 Datenübermittlung bei geeigneten Garantien\n§ 45 Anwendungsbereich § 80 Datenübermittlung ohne geeignete Garantien\n§ 46 Begriffsbestimmungen § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten\n§ 47 Allgemeine Grundsätze für die Verarbeitung personen-\nbezogener Daten Kapitel 6\nKapitel 2 Zusammenarbeit der Aufsichtsbehörden\nRechtsgrundlagen der § 82 Gegenseitige Amtshilfe\nVer a r b e i t un g p e r s o ne n be z o g e ne r D at e n\nKapitel 7\n§ 48 Verarbeitung besonderer Kategorien personenbezogener\nDaten Haftung und Sanktionen\n§ 49 Verarbeitung zu anderen Zwecken\n§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und § 83 Schadensersatz und Entschädigung\nstatistischen Zwecken § 84 Strafvorschriften\n§ 51 Einwilligung\n§ 52 Verarbeitung auf Weisung des Verantwortlichen Teil 4\n§ 53 Datengeheimnis Besondere Bestimmungen für\n§ 54 Automatisierte Einzelentscheidung Verarbeitungen im Rahmen von nicht in die\nAnwendungsbereiche der Verordnung (EU) 2016/679\nKapitel 3 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten\nRechte der betroffenen Person § 85 Verarbeitung personenbezogener Daten im Rahmen von\nnicht in die Anwendungsbereiche der Verordnung (EU)\n§ 55 Allgemeine Informationen zu Datenverarbeitungen 2016/679 und der Richtlinie (EU) 2016/680 fallenden\n§ 56 Benachrichtigung betroffener Personen Tätigkeiten","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2099\nTe i l 1 Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung\nfindet, gelten für den Verantwortlichen oder Auftrags-\nGemeinsame Bestimmungen\nverarbeiter nur die §§ 8 bis 21, 39 bis 44.\nKapitel 1 (5) Die Vorschriften dieses Gesetzes finden keine An-\nwendung, soweit das Recht der Europäischen Union,\nAnwendungsbereich und Begriffsbestimmungen im Besonderen die Verordnung (EU) 2016/679 in der\njeweils geltenden Fassung, unmittelbar gilt.\n§1\n(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2\nAnwendungsbereich des Gesetzes\nder Verordnung (EU) 2016/679 stehen die Vertrags-\n(1) Dieses Gesetz gilt für die Verarbeitung personen- staaten des Abkommens über den Europäischen Wirt-\nbezogener Daten durch schaftsraum und die Schweiz den Mitgliedstaaten der\n1. öffentliche Stellen des Bundes, Europäischen Union gleich. Andere Staaten gelten\ninsoweit als Drittstaaten.\n2. öffentliche Stellen der Länder, soweit der Daten-\nschutz nicht durch Landesgesetz geregelt ist und (7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1\nsoweit sie Absatz 1 der Richtlinie (EU) 2016/680 des Euro-\na) Bundesrecht ausführen oder päischen Parlaments und des Rates vom 27. April 2016\nzum Schutz natürlicher Personen bei der Verarbeitung\nb) als Organe der Rechtspflege tätig werden und personenbezogener Daten durch die zuständigen Be-\nes sich nicht um Verwaltungsangelegenheiten hörden zum Zwecke der Verhütung, Ermittlung, Aufde-\nhandelt. ckung oder Verfolgung von Straftaten oder der Straf-\nFür nichtöffentliche Stellen gilt dieses Gesetz für die vollstreckung sowie zum freien Datenverkehr und zur\nganz oder teilweise automatisierte Verarbeitung perso- Aufhebung des Rahmenbeschlusses 2008/977/JI des\nnenbezogener Daten sowie die nicht automatisierte Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei\nVerarbeitung personenbezogener Daten, die in einem der Umsetzung, Anwendung und Entwicklung des\nDateisystem gespeichert sind oder gespeichert werden Schengen-Besitzstands assoziierten Staaten den Mit-\nsollen, es sei denn, die Verarbeitung durch natürliche gliedstaaten der Europäischen Union gleich. Andere\nPersonen erfolgt zur Ausübung ausschließlich persön- Staaten gelten insoweit als Drittstaaten.\nlicher oder familiärer Tätigkeiten.\n(8) Für Verarbeitungen personenbezogener Daten\n(2) Andere Rechtsvorschriften des Bundes über den durch öffentliche Stellen im Rahmen von nicht in die\nDatenschutz gehen den Vorschriften dieses Gesetzes Anwendungsbereiche der Verordnung (EU) 2016/679\nvor. Regeln sie einen Sachverhalt, für den dieses und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten\nGesetz gilt, nicht oder nicht abschließend, finden die finden die Verordnung (EU) 2016/679 und die Teile 1\nVorschriften dieses Gesetzes Anwendung. Die Ver- und 2 dieses Gesetzes entsprechend Anwendung, so-\npflichtung zur Wahrung gesetzlicher Geheimhaltungs- weit nicht in diesem Gesetz oder einem anderen Gesetz\npflichten oder von Berufs- oder besonderen Amtsge- Abweichendes geregelt ist.\nheimnissen, die nicht auf gesetzlichen Vorschriften be-\nruhen, bleibt unberührt. §2\n(3) Die Vorschriften dieses Gesetzes gehen denen\nBegriffsbestimmungen\ndes Verwaltungsverfahrensgesetzes vor, soweit bei\nder Ermittlung des Sachverhalts personenbezogene (1) Öffentliche Stellen des Bundes sind die Behör-\nDaten verarbeitet werden. den, die Organe der Rechtspflege und andere öffent-\n(4) Dieses Gesetz findet Anwendung auf öffentliche lich-rechtlich organisierte Einrichtungen des Bundes,\nStellen. Auf nichtöffentliche Stellen findet es Anwen- der bundesunmittelbaren Körperschaften, der Anstal-\ndung, sofern ten und Stiftungen des öffentlichen Rechts sowie deren\nVereinigungen ungeachtet ihrer Rechtsform.\n1. der Verantwortliche oder Auftragsverarbeiter perso-\nnenbezogene Daten im Inland verarbeitet, (2) Öffentliche Stellen der Länder sind die Behörden,\ndie Organe der Rechtspflege und andere öffentlich-\n2. die Verarbeitung personenbezogener Daten im Rah-\nrechtlich organisierte Einrichtungen eines Landes, einer\nmen der Tätigkeiten einer inländischen Niederlas-\nGemeinde, eines Gemeindeverbandes oder sonstiger\nsung des Verantwortlichen oder Auftragsverarbeiters\nder Aufsicht des Landes unterstehender juristischer\nerfolgt oder\nPersonen des öffentlichen Rechts sowie deren Vereini-\n3. der Verantwortliche oder Auftragsverarbeiter zwar gungen ungeachtet ihrer Rechtsform.\nkeine Niederlassung in einem Mitgliedstaat der\nEuropäischen Union oder in einem anderen Ver- (3) Vereinigungen des privaten Rechts von öffent-\ntragsstaat des Abkommens über den Europäischen lichen Stellen des Bundes und der Länder, die Aufga-\nWirtschaftsraum hat, er aber in den Anwendungs- ben der öffentlichen Verwaltung wahrnehmen, gelten\nbereich der Verordnung (EU) 2016/679 des Euro- ungeachtet der Beteiligung nichtöffentlicher Stellen als\npäischen Parlaments und des Rates vom 27. April öffentliche Stellen des Bundes, wenn\n2016 zum Schutz natürlicher Personen bei der 1. sie über den Bereich eines Landes hinaus tätig\nVerarbeitung personenbezogener Daten, zum freien werden oder\nDatenverkehr und zur Aufhebung der Richtlinie\n2. dem Bund die absolute Mehrheit der Anteile gehört\n95/46/EG (Datenschutz-Grundverordnung) (ABl.\noder die absolute Mehrheit der Stimmen zusteht.\nL 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016,\nS. 72) fällt. Andernfalls gelten sie als öffentliche Stellen der Länder.","2100 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n(4) Nichtöffentliche Stellen sind natürliche und juris- gilt entsprechend. Für einen anderen Zweck dürfen sie\ntische Personen, Gesellschaften und andere Personen- nur weiterverarbeitet werden, soweit dies zur Abwehr\nvereinigungen des privaten Rechts, soweit sie nicht von Gefahren für die staatliche und öffentliche Sicher-\nunter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffent- heit sowie zur Verfolgung von Straftaten erforderlich ist.\nliche Stelle hoheitliche Aufgaben der öffentlichen Ver- (4) Werden durch Videoüberwachung erhobene Da-\nwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne ten einer bestimmten Person zugeordnet, so besteht\ndieses Gesetzes. die Pflicht zur Information der betroffenen Person über\n(5) Öffentliche Stellen des Bundes gelten als nicht- die Verarbeitung gemäß den Artikeln 13 und 14 der Ver-\nöffentliche Stellen im Sinne dieses Gesetzes, soweit sie ordnung (EU) 2016/679. § 32 gilt entsprechend.\nals öffentlich-rechtliche Unternehmen am Wettbewerb (5) Die Daten sind unverzüglich zu löschen, wenn sie\nteilnehmen. Als nichtöffentliche Stellen im Sinne dieses zur Erreichung des Zwecks nicht mehr erforderlich sind\nGesetzes gelten auch öffentliche Stellen der Länder, oder schutzwürdige Interessen der Betroffenen einer\nsoweit sie als öffentlich-rechtliche Unternehmen am weiteren Speicherung entgegenstehen.\nWettbewerb teilnehmen, Bundesrecht ausführen und\nder Datenschutz nicht durch Landesgesetz geregelt ist. Kapitel 3\nKapitel 2 Datenschutzbeauftragte öffentlicher Stellen\nRechtsgrundlagen der §5\nVerarbeitung personenbezogener Daten\nBenennung\n§3 (1) Öffentliche Stellen benennen eine Datenschutz-\nbeauftragte oder einen Datenschutzbeauftragten. Dies\nVerarbeitung\ngilt auch für öffentliche Stellen nach § 2 Absatz 5, die\npersonenbezogener Daten durch öffentliche Stellen\nam Wettbewerb teilnehmen.\nDie Verarbeitung personenbezogener Daten durch\n(2) Für mehrere öffentliche Stellen kann unter Be-\neine öffentliche Stelle ist zulässig, wenn sie zur Erfül-\nrücksichtigung ihrer Organisationsstruktur und ihrer\nlung der in der Zuständigkeit des Verantwortlichen lie-\nGröße eine gemeinsame Datenschutzbeauftragte oder\ngenden Aufgabe oder in Ausübung öffentlicher Gewalt,\nein gemeinsamer Datenschutzbeauftragter benannt\ndie dem Verantwortlichen übertragen wurde, erforder-\nwerden.\nlich ist.\n(3) Die oder der Datenschutzbeauftragte wird auf der\n§4 Grundlage ihrer oder seiner beruflichen Qualifikation\nund insbesondere ihres oder seines Fachwissens be-\nVideoüberwachung öffentlich zugänglicher Räume nannt, das sie oder er auf dem Gebiet des Daten-\n(1) Die Beobachtung öffentlich zugänglicher Räume schutzrechts und der Datenschutzpraxis besitzt, sowie\nmit optisch-elektronischen Einrichtungen (Videoüber- auf der Grundlage ihrer oder seiner Fähigkeit zur Erfül-\nwachung) ist nur zulässig, soweit sie lung der in § 7 genannten Aufgaben.\n1. zur Aufgabenerfüllung öffentlicher Stellen, (4) Die oder der Datenschutzbeauftragte kann Be-\n2. zur Wahrnehmung des Hausrechts oder schäftigte oder Beschäftigter der öffentlichen Stelle\nsein oder ihre oder seine Aufgaben auf der Grundlage\n3. zur Wahrnehmung berechtigter Interessen für kon- eines Dienstleistungsvertrags erfüllen.\nkret festgelegte Zwecke\n(5) Die öffentliche Stelle veröffentlicht die Kontakt-\nerforderlich ist und keine Anhaltspunkte bestehen, dass daten der oder des Datenschutzbeauftragten und teilt\nschutzwürdige Interessen der Betroffenen überwiegen. diese Daten der oder dem Bundesbeauftragten für den\nBei der Videoüberwachung von Datenschutz und die Informationsfreiheit mit.\n1. öffentlich zugänglichen großflächigen Anlagen, wie\ninsbesondere Sport-, Versammlungs- und Vergnü- §6\ngungsstätten, Einkaufszentren oder Parkplätzen, Stellung\noder\n(1) Die öffentliche Stelle stellt sicher, dass die oder\n2. Fahrzeugen und öffentlich zugänglichen großflächi- der Datenschutzbeauftragte ordnungsgemäß und früh-\ngen Einrichtungen des öffentlichen Schienen-, zeitig in alle mit dem Schutz personenbezogener Daten\nSchiffs- und Busverkehrs zusammenhängenden Fragen eingebunden wird.\ngilt der Schutz von Leben, Gesundheit oder Freiheit von (2) Die öffentliche Stelle unterstützt die Daten-\ndort aufhältigen Personen als ein besonders wichtiges schutzbeauftragte oder den Datenschutzbeauftragten\nInteresse. bei der Erfüllung ihrer oder seiner Aufgaben gemäß\n(2) Der Umstand der Beobachtung und der Name § 7, indem sie die für die Erfüllung dieser Aufgaben er-\nund die Kontaktdaten des Verantwortlichen sind durch forderlichen Ressourcen und den Zugang zu personen-\ngeeignete Maßnahmen zum frühestmöglichen Zeit- bezogenen Daten und Verarbeitungsvorgängen sowie\npunkt erkennbar zu machen. die zur Erhaltung ihres oder seines Fachwissens erfor-\n(3) Die Speicherung oder Verwendung von nach derlichen Ressourcen zur Verfügung stellt.\nAbsatz 1 erhobenen Daten ist zulässig, wenn sie zum (3) Die öffentliche Stelle stellt sicher, dass die oder\nErreichen des verfolgten Zwecks erforderlich ist und der Datenschutzbeauftragte bei der Erfüllung ihrer oder\nkeine Anhaltspunkte bestehen, dass schutzwürdige seiner Aufgaben keine Anweisungen bezüglich der Aus-\nInteressen der Betroffenen überwiegen. Absatz 1 Satz 2 übung dieser Aufgaben erhält. Die oder der Daten-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2101\nschutzbeauftragte berichtet unmittelbar der höchsten der Schulung der an den Verarbeitungsvorgängen\nLeitungsebene der öffentlichen Stelle. Die oder der Da- beteiligten Beschäftigten und der diesbezüglichen\ntenschutzbeauftragte darf von der öffentlichen Stelle Überprüfungen;\nwegen der Erfüllung ihrer oder seiner Aufgaben nicht\n3. Beratung im Zusammenhang mit der Datenschutz-\nabberufen oder benachteiligt werden.\nFolgenabschätzung und Überwachung ihrer Durch-\n(4) Die Abberufung der oder des Datenschutzbeauf- führung gemäß § 67 dieses Gesetzes;\ntragten ist nur in entsprechender Anwendung des § 626\n4. Zusammenarbeit mit der Aufsichtsbehörde;\ndes Bürgerlichen Gesetzbuchs zulässig. Die Kündigung\ndes Arbeitsverhältnisses ist unzulässig, es sei denn, 5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in\ndass Tatsachen vorliegen, welche die öffentliche Stelle mit der Verarbeitung zusammenhängenden Fragen,\nzur Kündigung aus wichtigem Grund ohne Einhaltung einschließlich der vorherigen Konsultation gemäß\neiner Kündigungsfrist berechtigen. Nach dem Ende § 69 dieses Gesetzes, und gegebenenfalls Beratung\nder Tätigkeit als Datenschutzbeauftragte oder als Da- zu allen sonstigen Fragen.\ntenschutzbeauftragter ist die Kündigung des Arbeits- Im Fall einer oder eines bei einem Gericht bestellten\nverhältnisses innerhalb eines Jahres unzulässig, es sei Datenschutzbeauftragten beziehen sich diese Aufga-\ndenn, dass die öffentliche Stelle zur Kündigung aus ben nicht auf das Handeln des Gerichts im Rahmen\nwichtigem Grund ohne Einhaltung einer Kündigungs- seiner justiziellen Tätigkeit.\nfrist berechtigt ist.\n(2) Die oder der Datenschutzbeauftragte kann an-\n(5) Betroffene Personen können die Datenschutzbe-\ndere Aufgaben und Pflichten wahrnehmen. Die öffent-\nauftragte oder den Datenschutzbeauftragten zu allen\nliche Stelle stellt sicher, dass derartige Aufgaben und\nmit der Verarbeitung ihrer personenbezogenen Daten\nPflichten nicht zu einem Interessenkonflikt führen.\nund mit der Wahrnehmung ihrer Rechte gemäß der Ver-\nordnung (EU) 2016/679, diesem Gesetz sowie anderen (3) Die oder der Datenschutzbeauftragte trägt bei\nRechtsvorschriften über den Datenschutz im Zusam- der Erfüllung ihrer oder seiner Aufgaben dem mit den\nmenhang stehenden Fragen zu Rate ziehen. Die oder Verarbeitungsvorgängen verbundenen Risiko gebüh-\nder Datenschutzbeauftragte ist zur Verschwiegenheit rend Rechnung, wobei sie oder er die Art, den Umfang,\nüber die Identität der betroffenen Person sowie über die Umstände und die Zwecke der Verarbeitung be-\nUmstände, die Rückschlüsse auf die betroffene Person rücksichtigt.\nzulassen, verpflichtet, soweit sie oder er nicht davon\ndurch die betroffene Person befreit wird. Kapitel 4\n(6) Wenn die oder der Datenschutzbeauftragte bei Die oder der Bundesbeauftragte für\nihrer oder seiner Tätigkeit Kenntnis von Daten erhält,\nden Datenschutz und die Informationsfreiheit\nfür die der Leitung oder einer bei der öffentlichen Stelle\nbeschäftigten Person aus beruflichen Gründen ein\nZeugnisverweigerungsrecht zusteht, steht dieses Recht §8\nauch der oder dem Datenschutzbeauftragten und den Errichtung\nihr oder ihm unterstellten Beschäftigten zu. Über die\n(1) Die oder der Bundesbeauftragte für den Daten-\nAusübung dieses Rechts entscheidet die Person, der\nschutz und die Informationsfreiheit (Bundesbeauftragte)\ndas Zeugnisverweigerungsrecht aus beruflichen Grün-\nist eine oberste Bundesbehörde. Der Dienstsitz ist\nden zusteht, es sei denn, dass diese Entscheidung\nBonn.\nin absehbarer Zeit nicht herbeigeführt werden kann.\nSoweit das Zeugnisverweigerungsrecht der oder des (2) Die Beamtinnen und Beamten der oder des\nDatenschutzbeauftragten reicht, unterliegen ihre oder Bundesbeauftragten sind Beamtinnen und Beamte\nseine Akten und andere Dokumente einem Beschlag- des Bundes.\nnahmeverbot. (3) Die oder der Bundesbeauftragte kann Aufgaben\nder Personalverwaltung und Personalwirtschaft auf an-\n§7 dere Stellen des Bundes übertragen, soweit hierdurch\nAufgaben die Unabhängigkeit der oder des Bundesbeauftragten\n(1) Der oder dem Datenschutzbeauftragten obliegen nicht beeinträchtigt wird. Diesen Stellen dürfen perso-\nneben den in der Verordnung (EU) 2016/679 genannten nenbezogene Daten der Beschäftigten übermittelt\nAufgaben zumindest folgende Aufgaben: werden, soweit deren Kenntnis zur Erfüllung der über-\ntragenen Aufgaben erforderlich ist.\n1. Unterrichtung und Beratung der öffentlichen Stelle\nund der Beschäftigten, die Verarbeitungen durchfüh-\n§9\nren, hinsichtlich ihrer Pflichten nach diesem Gesetz\nund sonstigen Vorschriften über den Datenschutz, Zuständigkeit\neinschließlich der zur Umsetzung der Richtlinie (EU) (1) Die oder der Bundesbeauftragte ist zuständig für\n2016/680 erlassenen Rechtsvorschriften; die Aufsicht über die öffentlichen Stellen des Bundes,\n2. Überwachung der Einhaltung dieses Gesetzes und auch soweit sie als öffentlich-rechtliche Unternehmen\nsonstiger Vorschriften über den Datenschutz, ein- am Wettbewerb teilnehmen. Die Vorschriften dieses\nschließlich der zur Umsetzung der Richtlinie (EU) Kapitels gelten auch für Auftragsverarbeiter, soweit sie\n2016/680 erlassenen Rechtsvorschriften, sowie der nichtöffentliche Stellen sind, bei denen dem Bund die\nStrategien der öffentlichen Stelle für den Schutz Mehrheit der Anteile gehört oder die Mehrheit der\npersonenbezogener Daten, einschließlich der Zuwei- Stimmen zusteht und der Auftraggeber eine öffentliche\nsung von Zuständigkeiten, der Sensibilisierung und Stelle des Bundes ist.","2102 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n(2) Die oder der Bundesbeauftragte ist nicht zustän- hat oder die Voraussetzungen für die Wahrnehmung\ndig für die Aufsicht über die von den Bundesgerichten ihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fall\nim Rahmen ihrer justiziellen Tätigkeit vorgenommenen der Beendigung des Amtsverhältnisses oder der Amts-\nVerarbeitungen. enthebung erhält die oder der Bundesbeauftragte eine\nvon der Bundespräsidentin oder dem Bundespräsiden-\n§ 10 ten vollzogene Urkunde. Eine Amtsenthebung wird mit\nUnabhängigkeit der Aushändigung der Urkunde wirksam. Endet das\nAmtsverhältnis mit Ablauf der Amtszeit, ist die oder\n(1) Die oder der Bundesbeauftragte handelt bei der der Bundesbeauftragte verpflichtet, auf Ersuchen der\nErfüllung ihrer oder seiner Aufgaben und bei der Aus- Präsidentin oder des Präsidenten des Bundestages\nübung ihrer oder seiner Befugnisse völlig unabhängig. die Geschäfte bis zur Ernennung einer Nachfolgerin\nSie oder er unterliegt weder direkter noch indirekter Be- oder eines Nachfolgers für die Dauer von höchstens\neinflussung von außen und ersucht weder um Weisung sechs Monaten weiterzuführen.\nnoch nimmt sie oder er Weisungen entgegen.\n(3) Die Leitende Beamtin oder der Leitende Beamte\n(2) Die oder der Bundesbeauftragte unterliegt der\nnimmt die Rechte der oder des Bundesbeauftragten\nRechnungsprüfung durch den Bundesrechnungshof,\nwahr, wenn die oder der Bundesbeauftragte an der\nsoweit hierdurch ihre oder seine Unabhängigkeit nicht\nAusübung ihres oder seines Amtes verhindert ist oder\nbeeinträchtigt wird.\nwenn ihr oder sein Amtsverhältnis endet und sie oder er\nnicht zur Weiterführung der Geschäfte verpflichtet ist.\n§ 11\n§ 10 Absatz 1 ist entsprechend anzuwenden.\nErnennung und Amtszeit\n(4) Die oder der Bundesbeauftragte erhält vom Be-\n(1) Der Deutsche Bundestag wählt ohne Aussprache ginn des Kalendermonats an, in dem das Amtsverhält-\nauf Vorschlag der Bundesregierung die Bundesbeauf- nis beginnt, bis zum Schluss des Kalendermonats, in\ntragte oder den Bundesbeauftragten mit mehr als der dem das Amtsverhältnis endet, im Fall des Absatzes 2\nHälfte der gesetzlichen Zahl seiner Mitglieder. Die oder Satz 6 bis zum Ende des Monats, in dem die Ge-\nder Gewählte ist von der Bundespräsidentin oder dem schäftsführung endet, Amtsbezüge in Höhe der Besol-\nBundespräsidenten zu ernennen. Die oder der Bundes- dungsgruppe B 11 sowie den Familienzuschlag ent-\nbeauftragte muss bei ihrer oder seiner Wahl das 35. Le- sprechend Anlage V des Bundesbesoldungsgesetzes.\nbensjahr vollendet haben. Sie oder er muss über die für Das Bundesreisekostengesetz und das Bundesum-\ndie Erfüllung ihrer oder seiner Aufgaben und Ausübung zugskostengesetz sind entsprechend anzuwenden. Im\nihrer oder seiner Befugnisse erforderliche Qualifikation, Übrigen sind § 12 Absatz 6 sowie die §§ 13 bis 20\nErfahrung und Sachkunde insbesondere im Bereich des und 21a Absatz 5 des Bundesministergesetzes mit\nSchutzes personenbezogener Daten verfügen. Insbe- den Maßgaben anzuwenden, dass an die Stelle der\nsondere muss die oder der Bundesbeauftragte über vierjährigen Amtszeit in § 15 Absatz 1 des Bundes-\ndurch einschlägige Berufserfahrung erworbene Kennt- ministergesetzes eine Amtszeit von fünf Jahren tritt.\nnisse des Datenschutzrechts verfügen und die Befähi- Abweichend von Satz 3 in Verbindung mit den §§ 15\ngung zum Richteramt oder höheren Verwaltungsdienst bis 17 und 21a Absatz 5 des Bundesministergesetzes\nhaben. berechnet sich das Ruhegehalt der oder des Bundes-\n(2) Die oder der Bundesbeauftragte leistet vor der beauftragten unter Hinzurechnung der Amtszeit als\nBundespräsidentin oder dem Bundespräsidenten fol- ruhegehaltsfähige Dienstzeit in entsprechender Anwen-\ngenden Eid: „Ich schwöre, dass ich meine Kraft dem dung des Beamtenversorgungsgesetzes, wenn dies\nWohle des deutschen Volkes widmen, seinen Nutzen günstiger ist und die oder der Bundesbeauftragte sich\nmehren, Schaden von ihm wenden, das Grundgesetz unmittelbar vor ihrer oder seiner Wahl zur oder zum\nund die Gesetze des Bundes wahren und verteidigen, Bundesbeauftragten als Beamtin oder Beamter oder\nmeine Pflichten gewissenhaft erfüllen und Gerechtigkeit als Richterin oder Richter mindestens in dem letzten\ngegen jedermann üben werde. So wahr mir Gott helfe.“ gewöhnlich vor Erreichen der Besoldungsgruppe B 11\nDer Eid kann auch ohne religiöse Beteuerung geleistet zu durchlaufenden Amt befunden hat.\nwerden.\n(3) Die Amtszeit der oder des Bundesbeauftragten § 13\nbeträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.\nRechte und Pflichten\n§ 12 (1) Die oder der Bundesbeauftragte sieht von allen\nAmtsverhältnis mit den Aufgaben ihres oder seines Amtes nicht zu\nvereinbarenden Handlungen ab und übt während ihrer\n(1) Die oder der Bundesbeauftragte steht nach Maß- oder seiner Amtszeit keine andere mit ihrem oder\ngabe dieses Gesetzes zum Bund in einem öffentlich- seinem Amt nicht zu vereinbarende entgeltliche oder\nrechtlichen Amtsverhältnis. unentgeltliche Tätigkeit aus. Insbesondere darf die oder\n(2) Das Amtsverhältnis beginnt mit der Aushändi- der Bundesbeauftragte neben ihrem oder seinem Amt\ngung der Ernennungsurkunde. Es endet mit dem Ab- kein anderes besoldetes Amt, kein Gewerbe und keinen\nlauf der Amtszeit oder mit dem Rücktritt. Die Bundes- Beruf ausüben und weder der Leitung oder dem Auf-\npräsidentin oder der Bundespräsident enthebt auf sichtsrat oder Verwaltungsrat eines auf Erwerb gerich-\nVorschlag der Präsidentin oder des Präsidenten des teten Unternehmens noch einer Regierung oder einer\nBundestages die Bundesbeauftragte ihres oder den gesetzgebenden Körperschaft des Bundes oder eines\nBundesbeauftragten seines Amtes, wenn die oder der Landes angehören. Sie oder er darf nicht gegen Entgelt\nBundesbeauftragte eine schwere Verfehlung begangen außergerichtliche Gutachten abgeben.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2103\n(2) Die oder der Bundesbeauftragte hat der Präsi- im Benehmen mit der Bundesregierung aussagen. § 28\ndentin oder dem Präsidenten des Bundestages Mittei- des Bundesverfassungsgerichtsgesetzes bleibt unbe-\nlung über Geschenke zu machen, die sie oder er in rührt.\nBezug auf das Amt erhält. Die Präsidentin oder der (6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entspre-\nPräsident des Bundestages entscheidet über die Ver- chend für die öffentlichen Stellen, die für die Kontrolle\nwendung der Geschenke. Sie oder er kann Verfahrens- der Einhaltung der Vorschriften über den Datenschutz\nvorschriften erlassen. in den Ländern zuständig sind.\n(3) Die oder der Bundesbeauftragte ist berechtigt,\nüber Personen, die ihr oder ihm in ihrer oder seiner § 14\nEigenschaft als Bundesbeauftragte oder Bundesbeauf- Aufgaben\ntragter Tatsachen anvertraut haben, sowie über diese\nTatsachen selbst das Zeugnis zu verweigern. Dies gilt (1) Die oder der Bundesbeauftragte hat neben den in\nauch für die Mitarbeiterinnen und Mitarbeiter der oder der Verordnung (EU) 2016/679 genannten Aufgaben die\ndes Bundesbeauftragten mit der Maßgabe, dass über Aufgaben,\ndie Ausübung dieses Rechts die oder der Bundesbe- 1. die Anwendung dieses Gesetzes und sonstiger\nauftragte entscheidet. Soweit das Zeugnisverweige- Vorschriften über den Datenschutz, einschließlich\nrungsrecht der oder des Bundesbeauftragten reicht, der zur Umsetzung der Richtlinie (EU) 2016/680 er-\ndarf die Vorlegung oder Auslieferung von Akten oder lassenen Rechtsvorschriften, zu überwachen und\nanderen Dokumenten von ihr oder ihm nicht gefordert durchzusetzen,\nwerden. 2. die Öffentlichkeit für die Risiken, Vorschriften,\n(4) Die oder der Bundesbeauftragte ist, auch nach Garantien und Rechte im Zusammenhang mit der\nBeendigung ihres oder seines Amtsverhältnisses, ver- Verarbeitung personenbezogener Daten zu sensibi-\npflichtet, über die ihr oder ihm amtlich bekanntgewor- lisieren und sie darüber aufzuklären, wobei spezifi-\ndenen Angelegenheiten Verschwiegenheit zu bewah- sche Maßnahmen für Kinder besondere Beachtung\nren. Dies gilt nicht für Mitteilungen im dienstlichen Ver- finden,\nkehr oder über Tatsachen, die offenkundig sind oder 3. den Deutschen Bundestag und den Bundesrat, die\nihrer Bedeutung nach keiner Geheimhaltung bedürfen. Bundesregierung und andere Einrichtungen und\nDie oder der Bundesbeauftragte entscheidet nach Gremien über legislative und administrative Maß-\npflichtgemäßem Ermessen, ob und inwieweit sie oder nahmen zum Schutz der Rechte und Freiheiten\ner über solche Angelegenheiten vor Gericht oder außer- natürlicher Personen in Bezug auf die Verarbeitung\ngerichtlich aussagt oder Erklärungen abgibt; wenn sie personenbezogener Daten zu beraten,\noder er nicht mehr im Amt ist, ist die Genehmigung der\n4. die Verantwortlichen und die Auftragsverarbeiter\noder des amtierenden Bundesbeauftragten erforderlich.\nfür die ihnen aus diesem Gesetz und sonstigen Vor-\nUnberührt bleibt die gesetzlich begründete Pflicht,\nschriften über den Datenschutz, einschließlich den\nStraftaten anzuzeigen und bei einer Gefährdung der\nzur Umsetzung der Richtlinie (EU) 2016/680 erlas-\nfreiheitlichen demokratischen Grundordnung für deren\nsenen Rechtsvorschriften, entstehenden Pflichten\nErhaltung einzutreten. Für die Bundesbeauftragte oder\nzu sensibilisieren,\nden Bundesbeauftragten und ihre oder seine Mitarbei-\nterinnen und Mitarbeiter gelten die §§ 93, 97 und 105 5. auf Anfrage jeder betroffenen Person Informationen\nAbsatz 1, § 111 Absatz 5 in Verbindung mit § 105 über die Ausübung ihrer Rechte aufgrund dieses\nAbsatz 1 sowie § 116 Absatz 1 der Abgabenordnung Gesetzes und sonstiger Vorschriften über den\nnicht. Satz 5 findet keine Anwendung, soweit die Datenschutz, einschließlich der zur Umsetzung der\nFinanzbehörden die Kenntnis für die Durchführung Richtlinie (EU) 2016/680 erlassenen Rechtsvor-\neines Verfahrens wegen einer Steuerstraftat sowie schriften, zur Verfügung zu stellen und gegebenen-\neines damit zusammenhängenden Steuerverfahrens falls zu diesem Zweck mit den Aufsichtsbehörden\nbenötigen, an deren Verfolgung ein zwingendes öffent- in anderen Mitgliedstaaten zusammenzuarbeiten,\nliches Interesse besteht, oder soweit es sich um vor- 6. sich mit Beschwerden einer betroffenen Person\nsätzlich falsche Angaben der oder des Auskunftspflich- oder Beschwerden einer Stelle, einer Organisation\ntigen oder der für sie oder ihn tätigen Personen handelt. oder eines Verbandes gemäß Artikel 55 der Richt-\nStellt die oder der Bundesbeauftragte einen Daten- linie (EU) 2016/680 zu befassen, den Gegenstand\nschutzverstoß fest, ist sie oder er befugt, diesen an- der Beschwerde in angemessenem Umfang zu\nzuzeigen und die betroffene Person hierüber zu infor- untersuchen und den Beschwerdeführer innerhalb\nmieren. einer angemessenen Frist über den Fortgang und\n(5) Die oder der Bundesbeauftragte darf als Zeugin das Ergebnis der Untersuchung zu unterrichten,\noder Zeuge aussagen, es sei denn, die Aussage würde insbesondere, wenn eine weitere Untersuchung\noder Koordinierung mit einer anderen Aufsichts-\n1. dem Wohl des Bundes oder eines Landes Nachteile\nbehörde notwendig ist,\nbereiten, insbesondere Nachteile für die Sicherheit\nder Bundesrepublik Deutschland oder ihre Bezie- 7. mit anderen Aufsichtsbehörden zusammenzuarbei-\nhungen zu anderen Staaten, oder ten, auch durch Informationsaustausch, und ihnen\nAmtshilfe zu leisten, um die einheitliche Anwen-\n2. Grundrechte verletzen. dung und Durchsetzung dieses Gesetzes und\nBetrifft die Aussage laufende oder abgeschlossene Vor- sonstiger Vorschriften über den Datenschutz, ein-\ngänge, die dem Kernbereich exekutiver Eigenverant- schließlich der zur Umsetzung der Richtlinie (EU)\nwortung der Bundesregierung zuzurechnen sind oder 2016/680 erlassenen Rechtsvorschriften, zu ge-\nsein könnten, darf die oder der Bundesbeauftragte nur währleisten,","2104 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n8. Untersuchungen über die Anwendung dieses Ge- § 16\nsetzes und sonstiger Vorschriften über den Daten- Befugnisse\nschutz, einschließlich der zur Umsetzung der Richt-\nlinie (EU) 2016/680 erlassenen Rechtsvorschriften, (1) Die oder der Bundesbeauftragte nimmt im An-\ndurchzuführen, auch auf der Grundlage von Infor- wendungsbereich der Verordnung (EU) 2016/679 die\nmationen einer anderen Aufsichtsbehörde oder Befugnisse gemäß Artikel 58 der Verordnung (EU)\neiner anderen Behörde, 2016/679 wahr. Kommt die oder der Bundesbeauf-\ntragte zu dem Ergebnis, dass Verstöße gegen die Vor-\n9. maßgebliche Entwicklungen zu verfolgen, soweit schriften über den Datenschutz oder sonstige Mängel\nsie sich auf den Schutz personenbezogener Daten bei der Verarbeitung personenbezogener Daten vorlie-\nauswirken, insbesondere die Entwicklung der Infor- gen, teilt sie oder er dies der zuständigen Rechts- oder\nmations- und Kommunikationstechnologie und der Fachaufsichtsbehörde mit und gibt dieser vor der Aus-\nGeschäftspraktiken, übung der Befugnisse des Artikels 58 Absatz 2 Buch-\n10. Beratung in Bezug auf die in § 69 genannten Ver- stabe b bis g, i und j der Verordnung (EU) 2016/679\narbeitungsvorgänge zu leisten und gegenüber dem Verantwortlichen Gelegenheit zur Stel-\nlungnahme innerhalb einer angemessenen Frist. Von\n11. Beiträge zur Tätigkeit des Europäischen Daten- der Einräumung der Gelegenheit zur Stellungnahme\nschutzausschusses zu leisten. kann abgesehen werden, wenn eine sofortige Entschei-\nIm Anwendungsbereich der Richtlinie (EU) 2016/680 dung wegen Gefahr im Verzug oder im öffentlichen\nnimmt die oder der Bundesbeauftragte zudem die Auf- Interesse notwendig erscheint oder ihr ein zwingendes\ngabe nach § 60 wahr. öffentliches Interesse entgegensteht. Die Stellung-\nnahme soll auch eine Darstellung der Maßnahmen ent-\n(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 halten, die aufgrund der Mitteilung der oder des\ngenannten Aufgabe kann die oder der Bundesbe- Bundesbeauftragten getroffen worden sind.\nauftragte zu allen Fragen, die im Zusammenhang mit\ndem Schutz personenbezogener Daten stehen, von (2) Stellt die oder der Bundesbeauftragte bei Daten-\nsich aus oder auf Anfrage Stellungnahmen an den verarbeitungen durch öffentliche Stellen des Bundes zu\nDeutschen Bundestag oder einen seiner Ausschüsse, Zwecken außerhalb des Anwendungsbereichs der Ver-\nden Bundesrat, die Bundesregierung, sonstige Einrich- ordnung (EU) 2016/679 Verstöße gegen die Vorschriften\ntungen und Stellen sowie an die Öffentlichkeit richten. dieses Gesetzes oder gegen andere Vorschriften über\nAuf Ersuchen des Deutschen Bundestages, eines den Datenschutz oder sonstige Mängel bei der Verar-\nseiner Ausschüsse oder der Bundesregierung geht beitung oder Nutzung personenbezogener Daten fest,\ndie oder der Bundesbeauftragte ferner Hinweisen auf so beanstandet sie oder er dies gegenüber der zustän-\nAngelegenheiten und Vorgänge des Datenschutzes bei digen obersten Bundesbehörde und fordert diese zur\nden öffentlichen Stellen des Bundes nach. Stellungnahme innerhalb einer von ihr oder ihm zu be-\nstimmenden Frist auf. Die oder der Bundesbeauftragte\n(3) Die oder der Bundesbeauftragte erleichtert das kann von einer Beanstandung absehen oder auf eine\nEinreichen der in Absatz 1 Satz 1 Nummer 6 genannten Stellungnahme verzichten, insbesondere wenn es sich\nBeschwerden durch Maßnahmen wie etwa die Bereit- um unerhebliche oder inzwischen beseitigte Mängel\nstellung eines Beschwerdeformulars, das auch elektro- handelt. Die Stellungnahme soll auch eine Darstellung\nnisch ausgefüllt werden kann, ohne dass andere Kom- der Maßnahmen enthalten, die aufgrund der Beanstan-\nmunikationsmittel ausgeschlossen werden. dung der oder des Bundesbeauftragten getroffen wor-\n(4) Die Erfüllung der Aufgaben der oder des Bundes- den sind. Die oder der Bundesbeauftragte kann den\nbeauftragten ist für die betroffene Person unentgeltlich. Verantwortlichen auch davor warnen, dass beabsich-\nBei offenkundig unbegründeten oder, insbesondere im tigte Verarbeitungsvorgänge voraussichtlich gegen in\nFall von häufiger Wiederholung, exzessiven Anfragen diesem Gesetz enthaltene und andere auf die jeweilige\nkann die oder der Bundesbeauftragte eine angemes- Datenverarbeitung anzuwendende Vorschriften über\nsene Gebühr auf der Grundlage der Verwaltungskosten den Datenschutz verstoßen.\nverlangen oder sich weigern, aufgrund der Anfrage tätig (3) Die Befugnisse der oder des Bundesbeauftragten\nzu werden. In diesem Fall trägt die oder der Bundes- erstrecken sich auch auf\nbeauftragte die Beweislast für den offenkundig unbe-\ngründeten oder exzessiven Charakter der Anfrage. 1. von öffentlichen Stellen des Bundes erlangte perso-\nnenbezogene Daten über den Inhalt und die näheren\nUmstände des Brief-, Post- und Fernmeldeverkehrs\n§ 15\nund\nTätigkeitsbericht 2. personenbezogene Daten, die einem besonderen\nDie oder der Bundesbeauftragte erstellt einen Jah- Amtsgeheimnis, insbesondere dem Steuergeheimnis\nresbericht über ihre oder seine Tätigkeit, der eine Liste nach § 30 der Abgabenordnung, unterliegen.\nder Arten der gemeldeten Verstöße und der Arten der Das Grundrecht des Brief-, Post- und Fernmelde-\ngetroffenen Maßnahmen, einschließlich der verhängten geheimnisses des Artikels 10 des Grundgesetzes wird\nSanktionen und der Maßnahmen nach Artikel 58 Ab- insoweit eingeschränkt.\nsatz 2 der Verordnung (EU) 2016/679, enthalten kann.\nDie oder der Bundesbeauftragte übermittelt den Bericht (4) Die öffentlichen Stellen des Bundes sind ver-\ndem Deutschen Bundestag, dem Bundesrat und der pflichtet, der oder dem Bundesbeauftragten und ihren\nBundesregierung und macht ihn der Öffentlichkeit, der oder seinen Beauftragten\nEuropäischen Kommission und dem Europäischen 1. jederzeit Zugang zu den Grundstücken und Dienst-\nDatenschutzausschuss zugänglich. räumen, einschließlich aller Datenverarbeitungsan-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2105\nlagen und -geräte, sowie zu allen personenbezoge- (2) Soweit die Aufsichtsbehörden des Bundes und\nnen Daten und Informationen, die zur Erfüllung ihrer der Länder kein Einvernehmen über den gemeinsamen\noder seiner Aufgaben notwendig sind, zu gewähren Standpunkt erzielen, legen die federführende Behörde\nund oder in Ermangelung einer solchen der gemeinsame\n2. alle Informationen, die für die Erfüllung ihrer oder Vertreter und sein Stellvertreter einen Vorschlag für\nseiner Aufgaben erforderlich sind, bereitzustellen. einen gemeinsamen Standpunkt vor. Einigen sich der\ngemeinsame Vertreter und sein Stellvertreter nicht auf\n(5) Die oder der Bundesbeauftragte wirkt auf die einen Vorschlag für einen gemeinsamen Standpunkt,\nZusammenarbeit mit den öffentlichen Stellen, die für legt in Angelegenheiten, die die Wahrnehmung von Auf-\ndie Kontrolle der Einhaltung der Vorschriften über den gaben betreffen, für welche die Länder allein das Recht\nDatenschutz in den Ländern zuständig sind, sowie mit der Gesetzgebung haben, oder welche die Einrichtung\nden Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3 oder das Verfahren von Landesbehörden betreffen, der\nSatz 1 zweiter Halbsatz gilt entsprechend. Stellvertreter den Vorschlag für einen gemeinsamen\nStandpunkt fest. In den übrigen Fällen fehlenden Ein-\nKapitel 5 vernehmens nach Satz 2 legt der gemeinsame Vertreter\nVertretung im den Standpunkt fest. Der nach den Sätzen 1 bis 3 vor-\nEuropäischen Datenschutzausschuss, geschlagene Standpunkt ist den Verhandlungen zu\nGrunde zu legen, wenn nicht die Aufsichtsbehörden\nzentrale Anlaufstelle, Zusammenarbeit der\nvon Bund und Ländern einen anderen Standpunkt mit\nAufsichtsbehörden des Bundes und der Länder einfacher Mehrheit beschließen. Der Bund und jedes\nin Angelegenheiten der Europäischen Union Land haben jeweils eine Stimme. Enthaltungen werden\nnicht gezählt.\n§ 17\n(3) Der gemeinsame Vertreter und dessen Stellver-\nVertretung im Europäischen\ntreter sind an den gemeinsamen Standpunkt nach den\nDatenschutzausschuss, zentrale Anlaufstelle\nAbsätzen 1 und 2 gebunden und legen unter Beach-\n(1) Gemeinsamer Vertreter im Europäischen Daten- tung dieses Standpunktes einvernehmlich die jeweilige\nschutzausschuss und zentrale Anlaufstelle ist die oder Verhandlungsführung fest. Sollte ein Einvernehmen\nder Bundesbeauftragte (gemeinsamer Vertreter). Als nicht erreicht werden, entscheidet in den in § 18 Ab-\nStellvertreterin oder Stellvertreter des gemeinsamen satz 2 Satz 2 genannten Angelegenheiten der Stell-\nVertreters wählt der Bundesrat eine Leiterin oder einen vertreter über die weitere Verhandlungsführung. In den\nLeiter der Aufsichtsbehörde eines Landes (Stellvertre- übrigen Fällen gibt die Stimme des gemeinsamen Ver-\nter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausschei- treters den Ausschlag.\nden aus dem Amt als Leiterin oder Leiter der Aufsichts-\nbehörde eines Landes endet zugleich die Funktion als § 19\nStellvertreter. Wiederwahl ist zulässig.\n(2) Der gemeinsame Vertreter überträgt in Ange- Zuständigkeiten\nlegenheiten, die die Wahrnehmung einer Aufgabe (1) Federführende Aufsichtsbehörde eines Landes\nbetreffen, für welche die Länder allein das Recht zur im Verfahren der Zusammenarbeit und Kohärenz nach\nGesetzgebung haben, oder welche die Einrichtung oder Kapitel VII der Verordnung (EU) 2016/679 ist die Auf-\ndas Verfahren von Landesbehörden betreffen, dem sichtsbehörde des Landes, in dem der Verantwortliche\nStellvertreter auf dessen Verlangen die Verhandlungs- oder der Auftragsverarbeiter seine Hauptniederlassung\nführung und das Stimmrecht im Europäischen Daten- im Sinne des Artikels 4 Nummer 16 der Verordnung (EU)\nschutzausschuss. 2016/679 oder seine einzige Niederlassung in der\nEuropäischen Union im Sinne des Artikels 56 Absatz 1\n§ 18 der Verordnung (EU) 2016/679 hat. Im Zuständigkeits-\nVerfahren der Zusammenarbeit der bereich der oder des Bundesbeauftragten gilt Artikel 56\nAufsichtsbehörden des Bundes und der Länder Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der\nVerordnung (EU) 2016/679 entsprechend. Besteht über\n(1) Die oder der Bundesbeauftragte und die Auf-\ndie Federführung kein Einvernehmen, findet für die\nsichtsbehörden der Länder (Aufsichtsbehörden des\nFestlegung der federführenden Aufsichtsbehörde das\nBundes und der Länder) arbeiten in Angelegenheiten\nVerfahren des § 18 Absatz 2 entsprechende Anwen-\nder Europäischen Union mit dem Ziel einer einheitlichen\ndung.\nAnwendung der Verordnung (EU) 2016/679 und der\nRichtlinie (EU) 2016/680 zusammen. Vor der Übermitt- (2) Die Aufsichtsbehörde, bei der eine betroffene\nlung eines gemeinsamen Standpunktes an die Auf- Person Beschwerde eingereicht hat, gibt die Be-\nsichtsbehörden der anderen Mitgliedstaaten, die Euro- schwerde an die federführende Aufsichtsbehörde nach\npäische Kommission oder den Europäischen Daten- Absatz 1, in Ermangelung einer solchen an die Auf-\nschutzausschuss geben sich die Aufsichtsbehörden sichtsbehörde eines Landes ab, in dem der Verantwort-\ndes Bundes und der Länder frühzeitig Gelegenheit zur liche oder der Auftragsverarbeiter eine Niederlassung\nStellungnahme. Zu diesem Zweck tauschen sie unter- hat. Wird eine Beschwerde bei einer sachlich unzustän-\neinander alle zweckdienlichen Informationen aus. Die digen Aufsichtsbehörde eingereicht, gibt diese, sofern\nAufsichtsbehörden des Bundes und der Länder betei- eine Abgabe nach Satz 1 nicht in Betracht kommt, die\nligen die nach den Artikeln 85 und 91 der Verordnung Beschwerde an die Aufsichtsbehörde am Wohnsitz des\n(EU) 2016/679 eingerichteten spezifischen Aufsichtsbe- Beschwerdeführers ab. Die empfangende Aufsichtsbe-\nhörden, sofern diese von der Angelegenheit betroffen hörde gilt als die Aufsichtsbehörde nach Maßgabe des\nsind. Kapitels VII der Verordnung (EU) 2016/679, bei der die","2106 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\nBeschwerde eingereicht worden ist, und kommt den richt kann der Europäischen Kommission Gelegenheit\nVerpflichtungen aus Artikel 60 Absatz 7 bis 9 und zur Äußerung binnen einer zu bestimmenden Frist\nArtikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach. geben.\n(5) Ist ein Verfahren zur Überprüfung der Gültigkeit\nKapitel 6 eines Beschlusses der Europäischen Kommission nach\nRechtsbehelfe Absatz 1 bei dem Gerichtshof der Europäischen Union\nanhängig, so kann das Bundesverwaltungsgericht an-\n§ 20 ordnen, dass die Verhandlung bis zur Erledigung des\nVerfahrens vor dem Gerichtshof der Europäischen\nGerichtlicher Rechtsschutz\nUnion auszusetzen sei.\n(1) Für Streitigkeiten zwischen einer natürlichen oder\n(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5\neiner juristischen Person und einer Aufsichtsbehörde\nSatz 1 und Absatz 6 der Verwaltungsgerichtsordnung\ndes Bundes oder eines Landes über Rechte gemäß Ar-\nentsprechend anzuwenden. Kommt das Bundesverwal-\ntikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679\ntungsgericht zu der Überzeugung, dass der Beschluss\nsowie § 61 ist der Verwaltungsrechtsweg gegeben.\nder Europäischen Kommission nach Absatz 1 gültig ist,\nSatz 1 gilt nicht für Bußgeldverfahren.\nso stellt es dies in seiner Entscheidung fest. Andernfalls\n(2) Die Verwaltungsgerichtsordnung ist nach Maß- legt es die Frage nach der Gültigkeit des Beschlusses\ngabe der Absätze 3 bis 7 anzuwenden. gemäß Artikel 267 des Vertrags über die Arbeitsweise\n(3) Für Verfahren nach Absatz 1 Satz 1 ist das Ver- der Europäischen Union dem Gerichtshof der Euro-\nwaltungsgericht örtlich zuständig, in dessen Bezirk die päischen Union zur Entscheidung vor.\nAufsichtsbehörde ihren Sitz hat.\n(4) In Verfahren nach Absatz 1 Satz 1 ist die Auf- Te i l 2\nsichtsbehörde beteiligungsfähig. Durchführungsbestimmungen\n(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 f ü r Ver a r b ei t u n g e n zu\nsind Zwecken gemäß Artikel 2\n1. die natürliche oder juristische Person als Klägerin d e r Ve ro rd n u n g ( E U ) 2 0 1 6 / 6 7 9\noder Antragstellerin und\n2. die Aufsichtsbehörde als Beklagte oder Antrags- Kapitel 1\ngegnerin. Rechtsgrundlagen der\n§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung Verarbeitung personenbezogener Daten\nbleibt unberührt.\n(6) Ein Vorverfahren findet nicht statt. Abschnitt 1\n(7) Die Aufsichtsbehörde darf gegenüber einer Be- Ve r a r b e i t u n g\nhörde oder deren Rechtsträger nicht die sofortige Voll- besonderer Kategorien\nziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der personenbezogener Daten und\nVerwaltungsgerichtsordnung anordnen. Ve r a r b e i t u n g z u a n d e re n Z w e c k e n\n§ 21 § 22\nAntrag der Aufsichtsbehörde Verarbeitung besonderer\nauf gerichtliche Entscheidung bei Kategorien personenbezogener Daten\nangenommener Rechtswidrigkeit eines (1) Abweichend von Artikel 9 Absatz 1 der Verord-\nBeschlusses der Europäischen Kommission nung (EU) 2016/679 ist die Verarbeitung besonderer\n(1) Hält eine Aufsichtsbehörde einen Angemessen- Kategorien personenbezogener Daten im Sinne des\nheitsbeschluss der Europäischen Kommission, einen Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-\nBeschluss über die Anerkennung von Standardschutz- lässig\nklauseln oder über die Allgemeingültigkeit von geneh- 1. durch öffentliche und nichtöffentliche Stellen, wenn\nmigten Verhaltensregeln, auf dessen Gültigkeit es für sie\neine Entscheidung der Aufsichtsbehörde ankommt, für\na) erforderlich ist, um die aus dem Recht der sozia-\nrechtswidrig, so hat die Aufsichtsbehörde ihr Verfahren\nlen Sicherheit und des Sozialschutzes erwach-\nauszusetzen und einen Antrag auf gerichtliche Ent-\nsenden Rechte auszuüben und den diesbezüg-\nscheidung zu stellen.\nlichen Pflichten nachzukommen,\n(2) Für Verfahren nach Absatz 1 ist der Verwaltungs-\nrechtsweg gegeben. Die Verwaltungsgerichtsordnung b) zum Zweck der Gesundheitsvorsorge, für die Be-\nist nach Maßgabe der Absätze 3 bis 6 anzuwenden. urteilung der Arbeitsfähigkeit des Beschäftigten,\nfür die medizinische Diagnostik, die Versorgung\n(3) Über einen Antrag der Aufsichtsbehörde nach oder Behandlung im Gesundheits- oder Sozialbe-\nAbsatz 1 entscheidet im ersten und letzten Rechtszug reich oder für die Verwaltung von Systemen und\ndas Bundesverwaltungsgericht. Diensten im Gesundheits- und Sozialbereich oder\n(4) In Verfahren nach Absatz 1 ist die Aufsichtsbe- aufgrund eines Vertrags der betroffenen Person\nhörde beteiligungsfähig. An einem Verfahren nach Ab- mit einem Angehörigen eines Gesundheitsberufs\nsatz 1 ist die Aufsichtsbehörde als Antragstellerin be- erforderlich ist und diese Daten von ärztlichem\nteiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichts- Personal oder durch sonstige Personen, die einer\nordnung bleibt unberührt. Das Bundesverwaltungsge- entsprechenden Geheimhaltungspflicht unterlie-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2107\ngen, oder unter deren Verantwortung verarbeitet tung personenbezogener Daten, einschließlich der\nwerden, oder Fähigkeit, die Verfügbarkeit und den Zugang bei\neinem physischen oder technischen Zwischenfall\nc) aus Gründen des öffentlichen Interesses im Be-\nrasch wiederherzustellen,\nreich der öffentlichen Gesundheit, wie des Schut-\nzes vor schwerwiegenden grenzüberschreitenden 9. zur Gewährleistung der Sicherheit der Verarbeitung\nGesundheitsgefahren oder zur Gewährleistung ho- die Einrichtung eines Verfahrens zur regelmäßigen\nher Qualitäts- und Sicherheitsstandards bei der Überprüfung, Bewertung und Evaluierung der Wirk-\nGesundheitsversorgung und bei Arzneimitteln und samkeit der technischen und organisatorischen\nMedizinprodukten erforderlich ist; ergänzend zu Maßnahmen oder\nden in Absatz 2 genannten Maßnahmen sind ins-\nbesondere die berufsrechtlichen und strafrecht- 10. spezifische Verfahrensregelungen, die im Fall einer\nlichen Vorgaben zur Wahrung des Berufsgeheim- Übermittlung oder Verarbeitung für andere Zwecke\nnisses einzuhalten, die Einhaltung der Vorgaben dieses Gesetzes sowie\nder Verordnung (EU) 2016/679 sicherstellen.\n2. durch öffentliche Stellen, wenn sie\na) aus Gründen eines erheblichen öffentlichen Inte- § 23\nresses zwingend erforderlich ist,\nVerarbeitung zu\nb) zur Abwehr einer erheblichen Gefahr für die anderen Zwecken durch öffentliche Stellen\nöffentliche Sicherheit erforderlich ist,\n(1) Die Verarbeitung personenbezogener Daten zu\nc) zur Abwehr erheblicher Nachteile für das Gemein- einem anderen Zweck als zu demjenigen, zu dem die\nwohl oder zur Wahrung erheblicher Belange des Daten erhoben wurden, durch öffentliche Stellen im\nGemeinwohls zwingend erforderlich ist oder Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn\nd) aus zwingenden Gründen der Verteidigung oder 1. offensichtlich ist, dass sie im Interesse der betroffe-\nder Erfüllung über- oder zwischenstaatlicher Ver- nen Person liegt und kein Grund zu der Annahme\npflichtungen einer öffentlichen Stelle des Bundes besteht, dass sie in Kenntnis des anderen Zwecks\nauf dem Gebiet der Krisenbewältigung oder Kon- ihre Einwilligung verweigern würde,\nfliktverhinderung oder für humanitäre Maßnah-\nmen erforderlich ist 2. Angaben der betroffenen Person überprüft werden\nmüssen, weil tatsächliche Anhaltspunkte für deren\nund soweit die Interessen des Verantwortlichen an Unrichtigkeit bestehen,\nder Datenverarbeitung in den Fällen der Nummer 2\ndie Interessen der betroffenen Person überwiegen. 3. sie zur Abwehr erheblicher Nachteile für das Ge-\nmeinwohl oder einer Gefahr für die öffentliche Si-\n(2) In den Fällen des Absatzes 1 sind angemessene\ncherheit, die Verteidigung oder die nationale Sicher-\nund spezifische Maßnahmen zur Wahrung der Interes-\nheit, zur Wahrung erheblicher Belange des Gemein-\nsen der betroffenen Person vorzusehen. Unter Berück-\nwohls oder zur Sicherung des Steuer- und Zollauf-\nsichtigung des Stands der Technik, der Implementie-\nkommens erforderlich ist,\nrungskosten und der Art, des Umfangs, der Umstände\nund der Zwecke der Verarbeitung sowie der unter- 4. sie zur Verfolgung von Straftaten oder Ordnungswid-\nschiedlichen Eintrittswahrscheinlichkeit und Schwere rigkeiten, zur Vollstreckung oder zum Vollzug von\nder mit der Verarbeitung verbundenen Risiken für die Strafen oder Maßnahmen im Sinne des § 11 Absatz 1\nRechte und Freiheiten natürlicher Personen können Nummer 8 des Strafgesetzbuchs oder von Erzie-\ndazu insbesondere gehören: hungsmaßregeln oder Zuchtmitteln im Sinne des\nJugendgerichtsgesetzes oder zur Vollstreckung von\n1. technisch organisatorische Maßnahmen, um sicher-\nGeldbußen erforderlich ist,\nzustellen, dass die Verarbeitung gemäß der Verord-\nnung (EU) 2016/679 erfolgt, 5. sie zur Abwehr einer schwerwiegenden Beeinträch-\n2. Maßnahmen, die gewährleisten, dass nachträglich tigung der Rechte einer anderen Person erforderlich\nüberprüft und festgestellt werden kann, ob und ist oder\nvon wem personenbezogene Daten eingegeben, 6. sie der Wahrnehmung von Aufsichts- und Kontrollbe-\nverändert oder entfernt worden sind, fugnissen, der Rechnungsprüfung oder der Durch-\n3. Sensibilisierung der an Verarbeitungsvorgängen führung von Organisationsuntersuchungen des Ver-\nBeteiligten, antwortlichen dient; dies gilt auch für die Verarbei-\ntung zu Ausbildungs- und Prüfungszwecken durch\n4. Benennung einer oder eines Datenschutzbeauftrag- den Verantwortlichen, soweit schutzwürdige Interes-\nten, sen der betroffenen Person dem nicht entgegen-\n5. Beschränkung des Zugangs zu den personenbezo- stehen.\ngenen Daten innerhalb der verantwortlichen Stelle (2) Die Verarbeitung besonderer Kategorien perso-\nund von Auftragsverarbeitern, nenbezogener Daten im Sinne des Artikels 9 Absatz 1\n6. Pseudonymisierung personenbezogener Daten, der Verordnung (EU) 2016/679 zu einem anderen\nZweck als zu demjenigen, zu dem die Daten erhoben\n7. Verschlüsselung personenbezogener Daten,\nwurden, ist zulässig, wenn die Voraussetzungen des\n8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integri- Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9\ntät, Verfügbarkeit und Belastbarkeit der Systeme Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22\nund Dienste im Zusammenhang mit der Verarbei- vorliegen.","2108 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n§ 24 nahmetatbestand nach Artikel 9 Absatz 2 der Verord-\nVerarbeitung zu nung (EU) 2016/679 oder nach § 22 vorliegen.\nanderen Zwecken durch nichtöffentliche Stellen\nAbschnitt 2\n(1) Die Verarbeitung personenbezogener Daten zu\neinem anderen Zweck als zu demjenigen, zu dem die B e s o n d e r e Ve r a r b e i t u n g s s i t u a t i o n e n\nDaten erhoben wurden, durch nichtöffentliche Stellen\nist zulässig, wenn § 26\n1. sie zur Abwehr von Gefahren für die staatliche oder\nDatenverarbeitung für\nöffentliche Sicherheit oder zur Verfolgung von Straf-\nZwecke des Beschäftigungsverhältnisses\ntaten erforderlich ist oder\n2. sie zur Geltendmachung, Ausübung oder Verteidi- (1) Personenbezogene Daten von Beschäftigten dür-\ngung zivilrechtlicher Ansprüche erforderlich ist, fen für Zwecke des Beschäftigungsverhältnisses verar-\nbeitet werden, wenn dies für die Entscheidung über die\nsofern nicht die Interessen der betroffenen Person an Begründung eines Beschäftigungsverhältnisses oder\ndem Ausschluss der Verarbeitung überwiegen. nach Begründung des Beschäftigungsverhältnisses für\n(2) Die Verarbeitung besonderer Kategorien perso- dessen Durchführung oder Beendigung oder zur Aus-\nnenbezogener Daten im Sinne des Artikels 9 Absatz 1 übung oder Erfüllung der sich aus einem Gesetz oder\nder Verordnung (EU) 2016/679 zu einem anderen einem Tarifvertrag, einer Betriebs- oder Dienstvereinba-\nZweck als zu demjenigen, zu dem die Daten erhoben rung (Kollektivvereinbarung) ergebenden Rechte und\nwurden, ist zulässig, wenn die Voraussetzungen des Pflichten der Interessenvertretung der Beschäftigten er-\nAbsatzes 1 und ein Ausnahmetatbestand nach Artikel 9 forderlich ist. Zur Aufdeckung von Straftaten dürfen\nAbsatz 2 der Verordnung (EU) 2016/679 oder nach § 22 personenbezogene Daten von Beschäftigten nur dann\nvorliegen. verarbeitet werden, wenn zu dokumentierende tatsäch-\nliche Anhaltspunkte den Verdacht begründen, dass die\n§ 25 betroffene Person im Beschäftigungsverhältnis eine\nStraftat begangen hat, die Verarbeitung zur Aufdeckung\nDatenübermittlungen durch öffentliche Stellen\nerforderlich ist und das schutzwürdige Interesse der\n(1) Die Übermittlung personenbezogener Daten oder des Beschäftigten an dem Ausschluss der Verar-\ndurch öffentliche Stellen an öffentliche Stellen ist zu- beitung nicht überwiegt, insbesondere Art und Ausmaß\nlässig, wenn sie zur Erfüllung der in der Zuständigkeit im Hinblick auf den Anlass nicht unverhältnismäßig\nder übermittelnden Stelle oder des Dritten, an den die sind.\nDaten übermittelt werden, liegenden Aufgaben erfor-\nderlich ist und die Voraussetzungen vorliegen, die eine (2) Erfolgt die Verarbeitung personenbezogener Da-\nVerarbeitung nach § 23 zulassen würden. Der Dritte, an ten von Beschäftigten auf der Grundlage einer Einwil-\nden die Daten übermittelt werden, darf diese nur für ligung, so sind für die Beurteilung der Freiwilligkeit\nden Zweck verarbeiten, zu dessen Erfüllung sie ihm der Einwilligung insbesondere die im Beschäftigungs-\nübermittelt werden. Eine Verarbeitung für andere Zwe- verhältnis bestehende Abhängigkeit der beschäftigten\ncke ist unter den Voraussetzungen des § 23 zulässig. Person sowie die Umstände, unter denen die Einwilli-\ngung erteilt worden ist, zu berücksichtigen. Freiwillig-\n(2) Die Übermittlung personenbezogener Daten keit kann insbesondere vorliegen, wenn für die be-\ndurch öffentliche Stellen an nichtöffentliche Stellen ist schäftigte Person ein rechtlicher oder wirtschaftlicher\nzulässig, wenn Vorteil erreicht wird oder Arbeitgeber und beschäftigte\n1. sie zur Erfüllung der in der Zuständigkeit der über- Person gleichgelagerte Interessen verfolgen. Die Ein-\nmittelnden Stelle liegenden Aufgaben erforderlich ist willigung bedarf der Schriftform, soweit nicht wegen\nund die Voraussetzungen vorliegen, die eine Verar- besonderer Umstände eine andere Form angemessen\nbeitung nach § 23 zulassen würden, ist. Der Arbeitgeber hat die beschäftigte Person über\nden Zweck der Datenverarbeitung und über ihr Wider-\n2. der Dritte, an den die Daten übermittelt werden, ein\nrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU)\nberechtigtes Interesse an der Kenntnis der zu über-\n2016/679 in Textform aufzuklären.\nmittelnden Daten glaubhaft darlegt und die betrof-\nfene Person kein schutzwürdiges Interesse an dem (3) Abweichend von Artikel 9 Absatz 1 der Verord-\nAusschluss der Übermittlung hat oder nung (EU) 2016/679 ist die Verarbeitung besonderer\n3. es zur Geltendmachung, Ausübung oder Verteidi- Kategorien personenbezogener Daten im Sinne des\ngung rechtlicher Ansprüche erforderlich ist Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für\nZwecke des Beschäftigungsverhältnisses zulässig,\nund der Dritte sich gegenüber der übermittelnden wenn sie zur Ausübung von Rechten oder zur Erfüllung\nöffentlichen Stelle verpflichtet hat, die Daten nur für rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht\nden Zweck zu verarbeiten, zu dessen Erfüllung sie ihm der sozialen Sicherheit und des Sozialschutzes erfor-\nübermittelt werden. Eine Verarbeitung für andere Zwe- derlich ist und kein Grund zu der Annahme besteht,\ncke ist zulässig, wenn eine Übermittlung nach Satz 1 dass das schutzwürdige Interesse der betroffenen\nzulässig wäre und die übermittelnde Stelle zugestimmt Person an dem Ausschluss der Verarbeitung überwiegt.\nhat. Absatz 2 gilt auch für die Einwilligung in die Verar-\n(3) Die Übermittlung besonderer Kategorien perso- beitung besonderer Kategorien personenbezogener\nnenbezogener Daten im Sinne des Artikels 9 Absatz 1 Daten; die Einwilligung muss sich dabei ausdrücklich\nder Verordnung (EU) 2016/679 ist zulässig, wenn die auf diese Daten beziehen. § 22 Absatz 2 gilt entspre-\nVoraussetzungen des Absatzes 1 oder 2 und ein Aus- chend.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2109\n(4) Die Verarbeitung personenbezogener Daten, ein- Interessen der betroffenen Person gemäß § 22 Ab-\nschließlich besonderer Kategorien personenbezogener satz 2 Satz 2 vor.\nDaten von Beschäftigten für Zwecke des Beschäfti-\n(2) Die in den Artikeln 15, 16, 18 und 21 der Verord-\ngungsverhältnisses, ist auf der Grundlage von Kollek-\nnung (EU) 2016/679 vorgesehenen Rechte der betroffe-\ntivvereinbarungen zulässig. Dabei haben die Verhand-\nnen Person sind insoweit beschränkt, als diese Rechte\nlungspartner Artikel 88 Absatz 2 der Verordnung (EU)\nvoraussichtlich die Verwirklichung der Forschungs-\n2016/679 zu beachten.\noder Statistikzwecke unmöglich machen oder ernsthaft\n(5) Der Verantwortliche muss geeignete Maßnahmen beinträchtigen und die Beschränkung für die Erfüllung\nergreifen, um sicherzustellen, dass insbesondere die in der Forschungs- oder Statistikzwecke notwendig ist.\nArtikel 5 der Verordnung (EU) 2016/679 dargelegten Das Recht auf Auskunft gemäß Artikel 15 der Verord-\nGrundsätze für die Verarbeitung personenbezogener nung (EU) 2016/679 besteht darüber hinaus nicht, wenn\nDaten eingehalten werden. die Daten für Zwecke der wissenschaftlichen For-\n(6) Die Beteiligungsrechte der Interessenvertretun- schung erforderlich sind und die Auskunftserteilung\ngen der Beschäftigten bleiben unberührt. einen unverhältnismäßigen Aufwand erfordern würde.\n(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn (3) Ergänzend zu den in § 22 Absatz 2 genannten\npersonenbezogene Daten, einschließlich besonderer Maßnahmen sind zu wissenschaftlichen oder histori-\nKategorien personenbezogener Daten, von Beschäftig- schen Forschungszwecken oder zu statistischen Zwe-\nten verarbeitet werden, ohne dass sie in einem Datei- cken verarbeitete besondere Kategorien personen-\nsystem gespeichert sind oder gespeichert werden bezogener Daten im Sinne des Artikels 9 Absatz 1 der\nsollen. Verordnung (EU) 2016/679 zu anonymisieren, sobald\ndies nach dem Forschungs- oder Statistikzweck mög-\n(8) Beschäftigte im Sinne dieses Gesetzes sind: lich ist, es sei denn, berechtigte Interessen der betrof-\n1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich fenen Person stehen dem entgegen. Bis dahin sind die\nder Leiharbeitnehmerinnen und Leiharbeitnehmer im Merkmale gesondert zu speichern, mit denen Einzel-\nVerhältnis zum Entleiher, angaben über persönliche oder sachliche Verhältnisse\n2. zu ihrer Berufsbildung Beschäftigte, einer bestimmten oder bestimmbaren Person zugeord-\nnet werden können. Sie dürfen mit den Einzelangaben\n3. Teilnehmerinnen und Teilnehmer an Leistungen zur nur zusammengeführt werden, soweit der Forschungs-\nTeilhabe am Arbeitsleben sowie an Abklärungen der oder Statistikzweck dies erfordert.\nberuflichen Eignung oder Arbeitserprobung (Rehabi-\nlitandinnen und Rehabilitanden), (4) Der Verantwortliche darf personenbezogene Da-\nten nur veröffentlichen, wenn die betroffene Person\n4. in anerkannten Werkstätten für behinderte Men- eingewilligt hat oder dies für die Darstellung von For-\nschen Beschäftigte, schungsergebnissen über Ereignisse der Zeitge-\n5. Freiwillige, die einen Dienst nach dem Jugendfrei- schichte unerlässlich ist.\nwilligendienstegesetz oder dem Bundesfreiwilligen-\ndienstgesetz leisten, § 28\n6. Personen, die wegen ihrer wirtschaftlichen Unselb- Datenverarbeitung zu\nständigkeit als arbeitnehmerähnliche Personen an- im öffentlichen Interesse liegenden Archivzwecken\nzusehen sind; zu diesen gehören auch die in Heim-\narbeit Beschäftigten und die ihnen Gleichgestellten, (1) Abweichend von Artikel 9 Absatz 1 der Verord-\nnung (EU) 2016/679 ist die Verarbeitung besonderer\n7. Beamtinnen und Beamte des Bundes, Richterinnen Kategorien personenbezogener Daten im Sinne des\nund Richter des Bundes, Soldatinnen und Soldaten Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-\nsowie Zivildienstleistende. lässig, wenn sie für im öffentlichen Interesse liegende\nBewerberinnen und Bewerber für ein Beschäftigungs- Archivzwecke erforderlich ist. Der Verantwortliche sieht\nverhältnis sowie Personen, deren Beschäftigungsver- angemessene und spezifische Maßnahmen zur Wah-\nhältnis beendet ist, gelten als Beschäftigte. rung der Interessen der betroffenen Person gemäß\n§ 22 Absatz 2 Satz 2 vor.\n§ 27 (2) Das Recht auf Auskunft der betroffenen Person\nDatenverarbeitung zu gemäß Artikel 15 der Verordnung (EU) 2016/679 be-\nwissenschaftlichen oder historischen steht nicht, wenn das Archivgut nicht durch den Namen\nForschungszwecken und zu statistischen Zwecken der Person erschlossen ist oder keine Angaben ge-\nmacht werden, die das Auffinden des betreffenden\n(1) Abweichend von Artikel 9 Absatz 1 der Verord-\nArchivguts mit vertretbarem Verwaltungsaufwand er-\nnung (EU) 2016/679 ist die Verarbeitung besonderer\nmöglichen.\nKategorien personenbezogener Daten im Sinne des\nArtikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch (3) Das Recht auf Berichtigung der betroffenen Per-\nohne Einwilligung für wissenschaftliche oder histori- son gemäß Artikel 16 der Verordnung (EU) 2016/679\nsche Forschungszwecke oder für statistische Zwecke besteht nicht, wenn die personenbezogenen Daten zu\nzulässig, wenn die Verarbeitung zu diesen Zwecken er- Archivzwecken im öffentlichen Interesse verarbeitet\nforderlich ist und die Interessen des Verantwortlichen werden. Bestreitet die betroffene Person die Richtigkeit\nan der Verarbeitung die Interessen der betroffenen der personenbezogenen Daten, ist ihr die Möglichkeit\nPerson an einem Ausschluss der Verarbeitung erheb- einer Gegendarstellung einzuräumen. Das zuständige\nlich überwiegen. Der Verantwortliche sieht angemes- Archiv ist verpflichtet, die Gegendarstellung den Unter-\nsene und spezifische Maßnahmen zur Wahrung der lagen hinzuzufügen.","2110 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, von Verbrauchern genutzt werden dürfen, zum Zweck\nden Artikeln 20 und 21 der Verordnung (EU) 2016/679 der Übermittlung erhebt, speichert oder verändert, hat\nvorgesehenen Rechte bestehen nicht, soweit diese Auskunftsverlangen von Darlehensgebern aus anderen\nRechte voraussichtlich die Verwirklichung der im öffent- Mitgliedstaaten der Europäischen Union genauso zu\nlichen Interesse liegenden Archivzwecke unmöglich ma- behandeln wie Auskunftsverlangen inländischer Darle-\nchen oder ernsthaft beeinträchtigen und die Ausnahmen hensgeber.\nfür die Erfüllung dieser Zwecke erforderlich sind. (2) Wer den Abschluss eines Verbraucherdarlehens-\nvertrags oder eines Vertrags über eine entgeltliche\n§ 29 Finanzierungshilfe mit einem Verbraucher infolge einer\nRechte der betroffenen Auskunft einer Stelle im Sinne des Absatzes 1 ablehnt,\nPerson und aufsichtsbehördliche hat den Verbraucher unverzüglich hierüber sowie über\nBefugnisse im Fall von Geheimhaltungspflichten die erhaltene Auskunft zu unterrichten. Die Unterrich-\n(1) Die Pflicht zur Information der betroffenen Person tung unterbleibt, soweit hierdurch die öffentliche\ngemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) Sicherheit oder Ordnung gefährdet würde. § 37 bleibt\n2016/679 besteht ergänzend zu den in Artikel 14 Ab- unberührt.\nsatz 5 der Verordnung (EU) 2016/679 genannten Aus-\nnahmen nicht, soweit durch ihre Erfüllung Informatio- § 31\nnen offenbart würden, die ihrem Wesen nach, insbe- Schutz des Wirtschaftsverkehrs\nsondere wegen der überwiegenden berechtigten Inte- bei Scoring und Bonitätsauskünften\nressen eines Dritten, geheim gehalten werden müssen.\n(1) Die Verwendung eines Wahrscheinlichkeitswerts\nDas Recht auf Auskunft der betroffenen Person gemäß\nüber ein bestimmtes zukünftiges Verhalten einer natür-\nArtikel 15 der Verordnung (EU) 2016/679 besteht nicht,\nlichen Person zum Zweck der Entscheidung über die\nsoweit durch die Auskunft Informationen offenbart wür-\nBegründung, Durchführung oder Beendigung eines Ver-\nden, die nach einer Rechtsvorschrift oder ihrem Wesen\ntragsverhältnisses mit dieser Person (Scoring) ist nur\nnach, insbesondere wegen der überwiegenden berech-\nzulässig, wenn\ntigten Interessen eines Dritten, geheim gehalten werden\nmüssen. Die Pflicht zur Benachrichtigung gemäß Arti- 1. die Vorschriften des Datenschutzrechts eingehalten\nkel 34 der Verordnung (EU) 2016/679 besteht ergän- wurden,\nzend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2. die zur Berechnung des Wahrscheinlichkeitswerts\n2016/679 genannten Ausnahme nicht, soweit durch die genutzten Daten unter Zugrundelegung eines wis-\nBenachrichtigung Informationen offenbart würden, die senschaftlich anerkannten mathematisch-statisti-\nnach einer Rechtsvorschrift oder ihrem Wesen nach, schen Verfahrens nachweisbar für die Berechnung\ninsbesondere wegen der überwiegenden berechtigten der Wahrscheinlichkeit des bestimmten Verhaltens\nInteressen eines Dritten, geheim gehalten werden müs- erheblich sind,\nsen. Abweichend von der Ausnahme nach Satz 3 ist\ndie betroffene Person nach Artikel 34 der Verordnung 3. für die Berechnung des Wahrscheinlichkeitswerts\n(EU) 2016/679 zu benachrichtigen, wenn die Interessen nicht ausschließlich Anschriftendaten genutzt wur-\nder betroffenen Person, insbesondere unter Berück- den und\nsichtigung drohender Schäden, gegenüber dem Ge- 4. im Fall der Nutzung von Anschriftendaten die betrof-\nheimhaltungsinteresse überwiegen. fene Person vor Berechnung des Wahrscheinlich-\n(2) Werden Daten Dritter im Zuge der Aufnahme oder keitswerts über die vorgesehene Nutzung dieser\nim Rahmen eines Mandatsverhältnisses an einen Be- Daten unterrichtet worden ist; die Unterrichtung ist\nrufsgeheimnisträger übermittelt, so besteht die Pflicht zu dokumentieren.\nder übermittelnden Stelle zur Information der betroffe- (2) Die Verwendung eines von Auskunfteien ermittel-\nnen Person gemäß Artikel 13 Absatz 3 der Verordnung ten Wahrscheinlichkeitswerts über die Zahlungsfähig-\n(EU) 2016/679 nicht, sofern nicht das Interesse der be- und Zahlungswilligkeit einer natürlichen Person ist im\ntroffenen Person an der Informationserteilung überwiegt. Fall der Einbeziehung von Informationen über Forde-\n(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des rungen nur zulässig, soweit die Voraussetzungen nach\nStrafgesetzbuchs genannten Personen oder deren Auf- Absatz 1 vorliegen und nur solche Forderungen über\ntragsverarbeitern bestehen die Untersuchungsbefug- eine geschuldete Leistung, die trotz Fälligkeit nicht er-\nnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 bracht worden ist, berücksichtigt werden,\nBuchstabe e und f der Verordnung (EU) 2016/679 nicht, 1. die durch ein rechtskräftiges oder für vorläufig voll-\nsoweit die Inanspruchnahme der Befugnisse zu einem streckbar erklärtes Urteil festgestellt worden sind\nVerstoß gegen die Geheimhaltungspflichten dieser oder für die ein Schuldtitel nach § 794 der Zivil-\nPersonen führen würde. Erlangt eine Aufsichtsbehörde prozessordnung vorliegt,\nim Rahmen einer Untersuchung Kenntnis von Daten,\ndie einer Geheimhaltungspflicht im Sinne des Satzes 1 2. die nach § 178 der Insolvenzordnung festgestellt\nunterliegen, gilt die Geheimhaltungspflicht auch für die und nicht vom Schuldner im Prüfungstermin bestrit-\nAufsichtsbehörde. ten worden sind,\n3. die der Schuldner ausdrücklich anerkannt hat,\n§ 30 4. bei denen\nVerbraucherkredite a) der Schuldner nach Eintritt der Fälligkeit der For-\n(1) Eine Stelle, die geschäftsmäßig personenbezo- derung mindestens zweimal schriftlich gemahnt\ngene Daten, die zur Bewertung der Kreditwürdigkeit worden ist,","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2111\nb) die erste Mahnung mindestens vier Wochen zu- 5. eine vertrauliche Übermittlung von Daten an öffent-\nrückliegt, liche Stellen gefährden würde.\nc) der Schuldner zuvor, jedoch frühestens bei der (2) Unterbleibt eine Information der betroffenen Per-\nersten Mahnung, über eine mögliche Berücksich- son nach Maßgabe des Absatzes 1, ergreift der Ver-\ntigung durch eine Auskunftei unterrichtet worden antwortliche geeignete Maßnahmen zum Schutz der\nist und berechtigten Interessen der betroffenen Person, ein-\nd) der Schuldner die Forderung nicht bestritten hat schließlich der Bereitstellung der in Artikel 13 Absatz 1\noder und 2 der Verordnung (EU) 2016/679 genannten Infor-\nmationen für die Öffentlichkeit in präziser, transparen-\n5. deren zugrunde liegendes Vertragsverhältnis auf- ter, verständlicher und leicht zugänglicher Form in einer\ngrund von Zahlungsrückständen fristlos gekündigt klaren und einfachen Sprache. Der Verantwortliche\nwerden kann und bei denen der Schuldner zuvor hält schriftlich fest, aus welchen Gründen er von einer\nüber eine mögliche Berücksichtigung durch eine Information abgesehen hat. Die Sätze 1 und 2 finden in\nAuskunftei unterrichtet worden ist. den Fällen des Absatzes 1 Nummer 4 und 5 keine An-\nDie Zulässigkeit der Verarbeitung, einschließlich der wendung.\nErmittlung von Wahrscheinlichkeitswerten, von anderen (3) Unterbleibt die Benachrichtigung in den Fällen\nbonitätsrelevanten Daten nach allgemeinem Daten- des Absatzes 1 wegen eines vorübergehenden Hinde-\nschutzrecht bleibt unberührt. rungsgrundes, kommt der Verantwortliche der Infor-\nmationspflicht unter Berücksichtigung der spezifischen\nKapitel 2 Umstände der Verarbeitung innerhalb einer angemes-\nsenen Frist nach Fortfall des Hinderungsgrundes, spä-\nRechte der betroffenen Person\ntestens jedoch innerhalb von zwei Wochen, nach.\n§ 32\n§ 33\nInformationspflicht bei\nErhebung von personenbezogenen Informationspflicht, wenn\nDaten bei der betroffenen Person die personenbezogenen Daten nicht\nbei der betroffenen Person erhoben wurden\n(1) Die Pflicht zur Information der betroffenen Per-\nson gemäß Artikel 13 Absatz 3 der Verordnung (EU) (1) Die Pflicht zur Information der betroffenen Person\n2016/679 besteht ergänzend zu der in Artikel 13 Ab- gemäß Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU)\nsatz 4 der Verordnung (EU) 2016/679 genannten Aus- 2016/679 besteht ergänzend zu den in Artikel 14 Ab-\nnahme dann nicht, wenn die Erteilung der Information satz 5 der Verordnung (EU) 2016/679 und der in § 29\nüber die beabsichtigte Weiterverarbeitung Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die\nErteilung der Information\n1. eine Weiterverarbeitung analog gespeicherter Daten\nbetrifft, bei der sich der Verantwortliche durch die 1. im Fall einer öffentlichen Stelle\nWeiterverarbeitung unmittelbar an die betroffene\na) die ordnungsgemäße Erfüllung der in der Zustän-\nPerson wendet, der Zweck mit dem ursprüng-\ndigkeit des Verantwortlichen liegenden Aufgaben\nlichen Erhebungszweck gemäß der Verordnung (EU)\nim Sinne des Artikels 23 Absatz 1 Buchstabe a\n2016/679 vereinbar ist, die Kommunikation mit der\nbis e der Verordnung (EU) 2016/679 gefährden\nbetroffenen Person nicht in digitaler Form erfolgt\nwürde oder\nund das Interesse der betroffenen Person an der\nInformationserteilung nach den Umständen des Ein- b) die öffentliche Sicherheit oder Ordnung gefähr-\nzelfalls, insbesondere mit Blick auf den Zusammen- den oder sonst dem Wohl des Bundes oder eines\nhang, in dem die Daten erhoben wurden, als gering Landes Nachteile bereiten würde\nanzusehen ist,\nund deswegen das Interesse der betroffenen Person an\n2. im Fall einer öffentlichen Stelle die ordnungsge- der Informationserteilung zurücktreten muss,\nmäße Erfüllung der in der Zuständigkeit des Verant-\nwortlichen liegenden Aufgaben im Sinne des Arti- 2. im Fall einer nichtöffentlichen Stelle\nkels 23 Absatz 1 Buchstabe a bis e der Verordnung a) die Geltendmachung, Ausübung oder Verteidi-\n(EU) 2016/679 gefährden würde und die Interessen gung zivilrechtlicher Ansprüche beeinträchtigen\ndes Verantwortlichen an der Nichterteilung der Infor- würde oder die Verarbeitung Daten aus zivilrecht-\nmation die Interessen der betroffenen Person über- lichen Verträgen beinhaltet und der Verhütung\nwiegen, von Schäden durch Straftaten dient, sofern nicht\n3. die öffentliche Sicherheit oder Ordnung gefährden das berechtigte Interesse der betroffenen Person\noder sonst dem Wohl des Bundes oder eines Landes an der Informationserteilung überwiegt, oder\nNachteile bereiten würde und die Interessen des Ver-\nb) die zuständige öffentliche Stelle gegenüber dem\nantwortlichen an der Nichterteilung der Information\nVerantwortlichen festgestellt hat, dass das Be-\ndie Interessen der betroffenen Person überwiegen,\nkanntwerden der Daten die öffentliche Sicherheit\n4. die Geltendmachung, Ausübung oder Verteidigung oder Ordnung gefährden oder sonst dem Wohl\nrechtlicher Ansprüche beeinträchtigen würde und des Bundes oder eines Landes Nachteile bereiten\ndie Interessen des Verantwortlichen an der Nicht- würde; im Fall der Datenverarbeitung für Zwecke\nerteilung der Information die Interessen der betroffe- der Strafverfolgung bedarf es keiner Feststellung\nnen Person überwiegen oder nach dem ersten Halbsatz.","2112 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n(2) Unterbleibt eine Information der betroffenen Per- die Sicherheit des Bundes oder eines Landes gefährdet\nson nach Maßgabe des Absatzes 1, ergreift der Ver- würde. Die Mitteilung der oder des Bundesbeauftragten\nantwortliche geeignete Maßnahmen zum Schutz der an die betroffene Person über das Ergebnis der daten-\nberechtigten Interessen der betroffenen Person, ein- schutzrechtlichen Prüfung darf keine Rückschlüsse auf\nschließlich der Bereitstellung der in Artikel 14 Absatz 1 den Erkenntnisstand des Verantwortlichen zulassen,\nund 2 der Verordnung (EU) 2016/679 genannten Infor- sofern dieser nicht einer weitergehenden Auskunft zu-\nmationen für die Öffentlichkeit in präziser, transparen- stimmt.\nter, verständlicher und leicht zugänglicher Form in einer\n(4) Das Recht der betroffenen Person auf Auskunft\nklaren und einfachen Sprache. Der Verantwortliche\nüber personenbezogene Daten, die durch eine öffent-\nhält schriftlich fest, aus welchen Gründen er von einer\nliche Stelle weder automatisiert verarbeitet noch nicht\nInformation abgesehen hat.\nautomatisiert verarbeitet und in einem Dateisystem ge-\n(3) Bezieht sich die Informationserteilung auf die speichert werden, besteht nur, soweit die betroffene\nÜbermittlung personenbezogener Daten durch öffent- Person Angaben macht, die das Auffinden der Daten\nliche Stellen an Verfassungsschutzbehörden, den ermöglichen, und der für die Erteilung der Auskunft er-\nBundesnachrichtendienst, den Militärischen Abschirm- forderliche Aufwand nicht außer Verhältnis zu dem von\ndienst und, soweit die Sicherheit des Bundes berührt der betroffenen Person geltend gemachten Informati-\nwird, andere Behörden des Bundesministeriums der onsinteresse steht.\nVerteidigung, ist sie nur mit Zustimmung dieser Stellen\nzulässig. § 35\nRecht auf Löschung\n§ 34\n(1) Ist eine Löschung im Fall nicht automatisierter\nAuskunftsrecht der betroffenen Person Datenverarbeitung wegen der besonderen Art der Spei-\n(1) Das Recht auf Auskunft der betroffenen Person cherung nicht oder nur mit unverhältnismäßig hohem\ngemäß Artikel 15 der Verordnung (EU) 2016/679 be- Aufwand möglich und ist das Interesse der betroffenen\nsteht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 Person an der Löschung als gering anzusehen, besteht\nund § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, das Recht der betroffenen Person auf und die Pflicht\nwenn des Verantwortlichen zur Löschung personenbezoge-\nner Daten gemäß Artikel 17 Absatz 1 der Verordnung\n1. die betroffene Person nach § 33 Absatz 1 Num- (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3\nmer 1, 2 Buchstabe b oder Absatz 3 nicht zu infor- der Verordnung (EU) 2016/679 genannten Ausnahmen\nmieren ist, oder nicht. In diesem Fall tritt an die Stelle einer Löschung\ndie Einschränkung der Verarbeitung gemäß Artikel 18\n2. die Daten\nder Verordnung (EU) 2016/679. Die Sätze 1 und 2\na) nur deshalb gespeichert sind, weil sie aufgrund finden keine Anwendung, wenn die personenbezoge-\ngesetzlicher oder satzungsmäßiger Aufbewah- nen Daten unrechtmäßig verarbeitet wurden.\nrungsvorschriften nicht gelöscht werden dürfen,\n(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b\noder\nund c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1\nb) ausschließlich Zwecken der Datensicherung oder und 2 entsprechend im Fall des Artikels 17 Absatz 1\nder Datenschutzkontrolle dienen Buchstabe a und d der Verordnung (EU) 2016/679,\nsolange und soweit der Verantwortliche Grund zu der\nund die Auskunftserteilung einen unverhältnismäßi- Annahme hat, dass durch eine Löschung schutzwür-\ngen Aufwand erfordern würde sowie eine Verarbei- dige Interessen der betroffenen Person beeinträchtigt\ntung zu anderen Zwecken durch geeignete techni- würden. Der Verantwortliche unterrichtet die betroffene\nsche und organisatorische Maßnahmen ausge- Person über die Einschränkung der Verarbeitung, so-\nschlossen ist. fern sich die Unterrichtung nicht als unmöglich erweist\n(2) Die Gründe der Auskunftsverweigerung sind zu oder einen unverhältnismäßigen Aufwand erfordern\ndokumentieren. Die Ablehnung der Auskunftserteilung würde.\nist gegenüber der betroffenen Person zu begründen, (3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b\nsoweit nicht durch die Mitteilung der tatsächlichen der Verordnung (EU) 2016/679 gilt Absatz 1 entspre-\nund rechtlichen Gründe, auf die die Entscheidung ge- chend im Fall des Artikels 17 Absatz 1 Buchstabe a\nstützt wird, der mit der Auskunftsverweigerung ver- der Verordnung (EU) 2016/679, wenn einer Löschung\nfolgte Zweck gefährdet würde. Die zum Zweck der Aus- satzungsgemäße oder vertragliche Aufbewahrungs-\nkunftserteilung an die betroffene Person und zu deren fristen entgegenstehen.\nVorbereitung gespeicherten Daten dürfen nur für diesen\nZweck sowie für Zwecke der Datenschutzkontrolle\n§ 36\nverarbeitet werden; für andere Zwecke ist die Verarbei-\ntung nach Maßgabe des Artikels 18 der Verordnung Widerspruchsrecht\n(EU) 2016/679 einzuschränken.\nDas Recht auf Widerspruch gemäß Artikel 21 Ab-\n(3) Wird der betroffenen Person durch eine öffent- satz 1 der Verordnung (EU) 2016/679 gegenüber einer\nliche Stelle des Bundes keine Auskunft erteilt, so ist öffentlichen Stelle besteht nicht, soweit an der Verar-\nsie auf ihr Verlangen der oder dem Bundesbeauftragten beitung ein zwingendes öffentliches Interesse besteht,\nzu erteilen, soweit nicht die jeweils zuständige oberste das die Interessen der betroffenen Person überwiegt,\nBundesbehörde im Einzelfall feststellt, dass dadurch oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2113\n§ 37 § 39\nAutomatisierte Entscheidungen Akkreditierung\nim Einzelfall einschließlich Profiling Die Erteilung der Befugnis, als Zertifizierungsstelle\n(1) Das Recht gemäß Artikel 22 Absatz 1 der Ver- gemäß Artikel 43 Absatz 1 Satz 1 der Verordnung (EU)\nordnung (EU) 2016/679, keiner ausschließlich auf einer 2016/679 tätig zu werden, erfolgt durch die für die\nautomatisierten Verarbeitung beruhenden Entschei- datenschutzrechtliche Aufsicht über die Zertifizierungs-\ndung unterworfen zu werden, besteht über die in stelle zuständige Aufsichtsbehörde des Bundes oder\nArtikel 22 Absatz 2 Buchstabe a und c der Verord- der Länder auf der Grundlage einer Akkreditierung\nnung (EU) 2016/679 genannten Ausnahmen hinaus durch die Deutsche Akkreditierungsstelle. § 2 Absatz 3\nnicht, wenn die Entscheidung im Rahmen der Leis- Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Num-\ntungserbringung nach einem Versicherungsvertrag er- mer 3 des Akkreditierungsstellengesetzes finden mit\ngeht und der Maßgabe Anwendung, dass der Datenschutz als\nein dem Anwendungsbereich des § 1 Absatz 2 Satz 2\n1. dem Begehren der betroffenen Person stattgegeben\nunterfallender Bereich gilt.\nwurde oder\n2. die Entscheidung auf der Anwendung verbindlicher Kapitel 4\nEntgeltregelungen für Heilbehandlungen beruht und\nder Verantwortliche für den Fall, dass dem Antrag Aufsichtsbehörde für die\nnicht vollumfänglich stattgegeben wird, angemes- Datenverarbeitung durch nichtöffentliche Stellen\nsene Maßnahmen zur Wahrung der berechtigten\nInteressen der betroffenen Person trifft, wozu min- § 40\ndestens das Recht auf Erwirkung des Eingreifens Aufsichtsbehörden der Länder\neiner Person seitens des Verantwortlichen, auf Dar-\n(1) Die nach Landesrecht zuständigen Behörden\nlegung des eigenen Standpunktes und auf Anfech-\nüberwachen im Anwendungsbereich der Verordnung\ntung der Entscheidung zählt; der Verantwortliche in-\n(EU) 2016/679 bei den nichtöffentlichen Stellen die An-\nformiert die betroffene Person über diese Rechte\nwendung der Vorschriften über den Datenschutz.\nspätestens zum Zeitpunkt der Mitteilung, aus der\nsich ergibt, dass dem Antrag der betroffenen Person (2) Hat der Verantwortliche oder Auftragsverarbeiter\nnicht vollumfänglich stattgegeben wird. mehrere inländische Niederlassungen, findet für die Be-\nstimmung der zuständigen Aufsichtsbehörde Artikel 4\n(2) Entscheidungen nach Absatz 1 dürfen auf der\nNummer 16 der Verordnung (EU) 2016/679 entspre-\nVerarbeitung von Gesundheitsdaten im Sinne des\nchende Anwendung. Wenn sich mehrere Behörden\nArtikels 4 Nummer 15 der Verordnung (EU) 2016/679\nfür zuständig oder für unzuständig halten oder wenn\nberuhen. Der Verantwortliche sieht angemessene und\ndie Zuständigkeit aus anderen Gründen zweifelhaft ist,\nspezifische Maßnahmen zur Wahrung der Interessen\ntreffen die Aufsichtsbehörden die Entscheidung ge-\nder betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.\nmeinsam nach Maßgabe des § 18 Absatz 2. § 3 Ab-\nsatz 3 und 4 des Verwaltungsverfahrensgesetzes findet\nKapitel 3 entsprechende Anwendung.\nPflichten der (3) Die Aufsichtsbehörde darf die von ihr gespeicher-\nVerantwortlichen und Auftragsverarbeiter ten Daten nur für Zwecke der Aufsicht verarbeiten; hier-\nbei darf sie Daten an andere Aufsichtsbehörden über-\n§ 38 mitteln. Eine Verarbeitung zu einem anderen Zweck ist\nüber Artikel 6 Absatz 4 der Verordnung (EU) 2016/679\nDatenschutzbeauftragte nichtöffentlicher Stellen hinaus zulässig, wenn\n(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b 1. offensichtlich ist, dass sie im Interesse der betroffe-\nund c der Verordnung (EU) 2016/679 benennen der Ver- nen Person liegt und kein Grund zu der Annahme\nantwortliche und der Auftragsverarbeiter eine Daten- besteht, dass sie in Kenntnis des anderen Zwecks\nschutzbeauftragte oder einen Datenschutzbeauftrag- ihre Einwilligung verweigern würde,\nten, soweit sie in der Regel mindestens zehn Personen\nständig mit der automatisierten Verarbeitung personen- 2. sie zur Abwehr erheblicher Nachteile für das Ge-\nbezogener Daten beschäftigen. Nehmen der Verant- meinwohl oder einer Gefahr für die öffentliche\nwortliche oder der Auftragsverarbeiter Verarbeitungen Sicherheit oder zur Wahrung erheblicher Belange\nvor, die einer Datenschutz-Folgenabschätzung nach des Gemeinwohls erforderlich ist oder\nArtikel 35 der Verordnung (EU) 2016/679 unterliegen, 3. sie zur Verfolgung von Straftaten oder Ordnungs-\noder verarbeiten sie personenbezogene Daten ge- widrigkeiten, zur Vollstreckung oder zum Vollzug\nschäftsmäßig zum Zweck der Übermittlung, der anony- von Strafen oder Maßnahmen im Sinne des § 11 Ab-\nmisierten Übermittlung oder für Zwecke der Markt- satz 1 Nummer 8 des Strafgesetzbuchs oder von\noder Meinungsforschung, haben sie unabhängig von Erziehungsmaßregeln oder Zuchtmitteln im Sinne\nder Anzahl der mit der Verarbeitung beschäftigten Per- des Jugendgerichtsgesetzes oder zur Vollstreckung\nsonen eine Datenschutzbeauftragte oder einen Daten- von Geldbußen erforderlich ist.\nschutzbeauftragten zu benennen. Stellt die Aufsichtsbehörde einen Verstoß gegen die\n(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden An- Vorschriften über den Datenschutz fest, so ist sie be-\nwendung, § 6 Absatz 4 jedoch nur, wenn die Benen- fugt, die betroffenen Personen hierüber zu unterrichten,\nnung einer oder eines Datenschutzbeauftragten ver- den Verstoß anderen für die Verfolgung oder Ahndung\npflichtend ist. zuständigen Stellen anzuzeigen sowie bei schwerwie-","2114 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\ngenden Verstößen die Gewerbeaufsichtsbehörde zur Aufsichtsbehörde, die den Bußgeldbescheid erlassen\nDurchführung gewerberechtlicher Maßnahmen zu hat, einstellen kann.\nunterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entspre-\nchend. § 42\n(4) Die der Aufsicht unterliegenden Stellen sowie die Strafvorschriften\nmit deren Leitung beauftragten Personen haben einer\nAufsichtsbehörde auf Verlangen die für die Erfüllung (1) Mit Freiheitsstrafe bis zu drei Jahren oder mit\nihrer Aufgaben erforderlichen Auskünfte zu erteilen. Geldstrafe wird bestraft, wer wissentlich nicht allge-\nDer Auskunftspflichtige kann die Auskunft auf solche mein zugängliche personenbezogene Daten einer gro-\nFragen verweigern, deren Beantwortung ihn selbst oder ßen Zahl von Personen, ohne hierzu berechtigt zu sein,\neinen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivil-\n1. einem Dritten übermittelt oder\nprozessordnung bezeichneten Angehörigen der Gefahr\nstrafgerichtlicher Verfolgung oder eines Verfahrens 2. auf andere Art und Weise zugänglich macht\nnach dem Gesetz über Ordnungswidrigkeiten aus-\nsetzen würde. Der Auskunftspflichtige ist darauf hinzu- und hierbei gewerbsmäßig handelt.\nweisen. (2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit\n(5) Die von einer Aufsichtsbehörde mit der Überwa- Geldstrafe wird bestraft, wer personenbezogene Daten,\nchung der Einhaltung der Vorschriften über den Daten- die nicht allgemein zugänglich sind,\nschutz beauftragten Personen sind befugt, zur Erfül- 1. ohne hierzu berechtigt zu sein, verarbeitet oder\nlung ihrer Aufgaben Grundstücke und Geschäftsräume\nder Stelle zu betreten und Zugang zu allen Datenverar- 2. durch unrichtige Angaben erschleicht\nbeitungsanlagen und -geräten zu erhalten. Die Stelle ist\nund hierbei gegen Entgelt oder in der Absicht handelt,\ninsoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt\nsich oder einen anderen zu bereichern oder einen an-\nentsprechend.\nderen zu schädigen.\n(6) Die Aufsichtsbehörden beraten und unterstützen\ndie Datenschutzbeauftragten mit Rücksicht auf deren (3) Die Tat wird nur auf Antrag verfolgt. Antragsbe-\ntypische Bedürfnisse. Sie können die Abberufung der rechtigt sind die betroffene Person, der Verantwort-\noder des Datenschutzbeauftragten verlangen, wenn liche, die oder der Bundesbeauftragte und die Auf-\nsie oder er die zur Erfüllung ihrer oder seiner Aufgaben sichtsbehörde.\nerforderliche Fachkunde nicht besitzt oder im Fall des (4) Eine Meldung nach Artikel 33 der Verordnung\nArtikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein (EU) 2016/679 oder eine Benachrichtigung nach Arti-\nschwerwiegender Interessenkonflikt vorliegt. kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf\n(7) Die Anwendung der Gewerbeordnung bleibt un- in einem Strafverfahren gegen den Meldepflichtigen\nberührt. oder Benachrichtigenden oder seine in § 52 Absatz 1\nder Strafprozessordnung bezeichneten Angehörigen\nKapitel 5 nur mit Zustimmung des Meldepflichtigen oder Be-\nnachrichtigenden verwendet werden.\nSanktionen\n§ 43\n§ 41\nBußgeldvorschriften\nAnwendung der Vorschriften\nüber das Bußgeld- und Strafverfahren (1) Ordnungswidrig handelt, wer vorsätzlich oder\n(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der fahrlässig\nVerordnung (EU) 2016/679 gelten, soweit dieses Gesetz 1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht\nnichts anderes bestimmt, die Vorschriften des Gesetzes richtig behandelt oder\nüber Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35\nund 36 des Gesetzes über Ordnungswidrigkeiten finden 2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher\nkeine Anwendung. § 68 des Gesetzes über Ordnungs- nicht, nicht richtig, nicht vollständig oder nicht recht-\nwidrigkeiten findet mit der Maßgabe Anwendung, dass zeitig unterrichtet.\ndas Landgericht entscheidet, wenn die festgesetzte (2) Die Ordnungswidrigkeit kann mit einer Geldbuße\nGeldbuße den Betrag von einhunderttausend Euro bis zu fünfzigtausend Euro geahndet werden.\nübersteigt.\n(3) Gegen Behörden und sonstige öffentliche Stellen\n(2) Für Verfahren wegen eines Verstoßes nach Arti-\nim Sinne des § 2 Absatz 1 werden keine Geldbußen\nkel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679\nverhängt.\ngelten, soweit dieses Gesetz nichts anderes bestimmt,\ndie Vorschriften des Gesetzes über Ordnungswidrig- (4) Eine Meldung nach Artikel 33 der Verordnung\nkeiten und der allgemeinen Gesetze über das Strafver- (EU) 2016/679 oder eine Benachrichtigung nach Arti-\nfahren, namentlich der Strafprozessordnung und des kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in\nGerichtsverfassungsgesetzes, entsprechend. Die §§ 56 einem Verfahren nach dem Gesetz über Ordnungswid-\nbis 58, 87, 88, 99 und 100 des Gesetzes über Ord- rigkeiten gegen den Meldepflichtigen oder Benachrich-\nnungswidrigkeiten finden keine Anwendung. § 69 Ab- tigenden oder seine in § 52 Absatz 1 der Strafprozess-\nsatz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten ordnung bezeichneten Angehörigen nur mit Zustim-\nfindet mit der Maßgabe Anwendung, dass die Staats- mung des Meldepflichtigen oder Benachrichtigenden\nanwaltschaft das Verfahren nur mit Zustimmung der verwendet werden.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2115\nKapitel 6 § 46\nRechtsbehelfe Begriffsbestimmungen\nEs bezeichnen die Begriffe:\n§ 44 1. „personenbezogene Daten“ alle Informationen, die\nsich auf eine identifizierte oder identifizierbare\nKlagen gegen den\nnatürliche Person (betroffene Person) beziehen; als\nVerantwortlichen oder Auftragsverarbeiter\nidentifizierbar wird eine natürliche Person ange-\n(1) Klagen der betroffenen Person gegen einen Ver- sehen, die direkt oder indirekt, insbesondere mittels\nantwortlichen oder einen Auftragsverarbeiter wegen Zuordnung zu einer Kennung wie einem Namen,\neines Verstoßes gegen datenschutzrechtliche Bestim- zu einer Kennnummer, zu Standortdaten, zu einer\nmungen im Anwendungsbereich der Verordnung (EU) Online-Kennung oder zu einem oder mehreren be-\n2016/679 oder der darin enthaltenen Rechte der be- sonderen Merkmalen, die Ausdruck der physi-\ntroffenen Person können bei dem Gericht des Ortes er- schen, physiologischen, genetischen, psychischen,\nhoben werden, an dem sich eine Niederlassung des wirtschaftlichen, kulturellen oder sozialen Identität\nVerantwortlichen oder Auftragsverarbeiters befindet. dieser Person sind, identifiziert werden kann;\nKlagen nach Satz 1 können auch bei dem Gericht des 2. „Verarbeitung“ jeden mit oder ohne Hilfe automati-\nOrtes erhoben werden, an dem die betroffene Person sierter Verfahren ausgeführten Vorgang oder jede\nihren gewöhnlichen Aufenthaltsort hat. solche Vorgangsreihe im Zusammenhang mit per-\n(2) Absatz 1 gilt nicht für Klagen gegen Behörden, sonenbezogenen Daten wie das Erheben, das Er-\ndie in Ausübung ihrer hoheitlichen Befugnisse tätig ge- fassen, die Organisation, das Ordnen, die Speiche-\nworden sind. rung, die Anpassung, die Veränderung, das Aus-\nlesen, das Abfragen, die Verwendung, die Offen-\n(3) Hat der Verantwortliche oder Auftragsverarbeiter legung durch Übermittlung, Verbreitung oder eine\neinen Vertreter nach Artikel 27 Absatz 1 der Verordnung andere Form der Bereitstellung, den Abgleich, die\n(EU) 2016/679 benannt, gilt dieser auch als bevoll- Verknüpfung, die Einschränkung, das Löschen oder\nmächtigt, Zustellungen in zivilgerichtlichen Verfahren die Vernichtung;\nnach Absatz 1 entgegenzunehmen. § 184 der Zivilpro-\n3. „Einschränkung der Verarbeitung“ die Markierung\nzessordnung bleibt unberührt.\ngespeicherter personenbezogener Daten mit dem\nZiel, ihre künftige Verarbeitung einzuschränken;\nTe i l 3\n4. „Profiling“ jede Art der automatisierten Verarbeitung\nBestimmungen für personenbezogener Daten, bei der diese Daten ver-\nVe r a r b e i t u n g e n z u Z w e c k e n wendet werden, um bestimmte persönliche Aspek-\nte, die sich auf eine natürliche Person beziehen, zu\ngemäß Artikel 1 Absatz 1\nbewerten, insbesondere um Aspekte der Arbeits-\nder Richtlinie (EU) 2016/680 leistung, der wirtschaftlichen Lage, der Gesundheit,\nder persönlichen Vorlieben, der Interessen, der Zu-\nKapitel 1 verlässigkeit, des Verhaltens, der Aufenthaltsorte\noder der Ortswechsel dieser natürlichen Person zu\nAnwendungsbereich, analysieren oder vorherzusagen;\nBegriffsbestimmungen und\n5. „Pseudonymisierung“ die Verarbeitung personen-\nallgemeine Grundsätze für die bezogener Daten in einer Weise, in der die Daten\nVerarbeitung personenbezogener Daten ohne Hinzuziehung zusätzlicher Informationen nicht\nmehr einer spezifischen betroffenen Person zuge-\n§ 45 ordnet werden können, sofern diese zusätzlichen\nInformationen gesondert aufbewahrt werden und\nAnwendungsbereich technischen und organisatorischen Maßnahmen\nDie Vorschriften dieses Teils gelten für die Verarbei- unterliegen, die gewährleisten, dass die Daten\ntung personenbezogener Daten durch die für die Ver- keiner betroffenen Person zugewiesen werden\nhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahn- können;\ndung von Straftaten oder Ordnungswidrigkeiten zu- 6. „Dateisystem“ jede strukturierte Sammlung perso-\nständigen öffentlichen Stellen, soweit sie Daten zum nenbezogener Daten, die nach bestimmten Krite-\nZweck der Erfüllung dieser Aufgaben verarbeiten. Die rien zugänglich sind, unabhängig davon, ob diese\nöffentlichen Stellen gelten dabei als Verantwortliche. Sammlung zentral, dezentral oder nach funktiona-\nDie Verhütung von Straftaten im Sinne des Satzes 1 len oder geografischen Gesichtspunkten geordnet\numfasst den Schutz vor und die Abwehr von Gefahren geführt wird;\nfür die öffentliche Sicherheit. Die Sätze 1 und 2 finden\n7. „Verantwortlicher“ die natürliche oder juristische\nzudem Anwendung auf diejenigen öffentlichen Stellen,\nPerson, Behörde, Einrichtung oder andere Stelle,\ndie für die Vollstreckung von Strafen, von Maßnahmen\ndie allein oder gemeinsam mit anderen über die\nim Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetz-\nZwecke und Mittel der Verarbeitung von personen-\nbuchs, von Erziehungsmaßregeln oder Zuchtmitteln im\nbezogenen Daten entscheidet;\nSinne des Jugendgerichtsgesetzes und von Geldbußen\nzuständig sind. Soweit dieser Teil Vorschriften für Auf- 8. „Auftragsverarbeiter“ eine natürliche oder juristi-\ntragsverarbeiter enthält, gilt er auch für diese. sche Person, Behörde, Einrichtung oder andere","2116 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\nStelle, die personenbezogene Daten im Auftrag des 17. „Einwilligung“ jede freiwillig für den bestimmten\nVerantwortlichen verarbeitet; Fall, in informierter Weise und unmissverständlich\n9. „Empfänger“ eine natürliche oder juristische Per- abgegebene Willensbekundung in Form einer Erklä-\nson, Behörde, Einrichtung oder andere Stelle, der rung oder einer sonstigen eindeutigen bestätigen-\npersonenbezogene Daten offengelegt werden, un- den Handlung, mit der die betroffene Person zu ver-\nabhängig davon, ob es sich bei ihr um einen Drit- stehen gibt, dass sie mit der Verarbeitung der sie\nten handelt oder nicht; Behörden, die im Rahmen betreffenden personenbezogenen Daten einver-\neines bestimmten Untersuchungsauftrags nach standen ist.\ndem Unionsrecht oder anderen Rechtsvorschriften\npersonenbezogene Daten erhalten, gelten jedoch § 47\nnicht als Empfänger; die Verarbeitung dieser Daten Allgemeine Grundsätze\ndurch die genannten Behörden erfolgt im Einklang für die Verarbeitung personenbezogener Daten\nmit den geltenden Datenschutzvorschriften gemäß Personenbezogene Daten müssen\nden Zwecken der Verarbeitung;\n1. auf rechtmäßige Weise und nach Treu und Glauben\n10. „Verletzung des Schutzes personenbezogener Da- verarbeitet werden,\nten“ eine Verletzung der Sicherheit, die zur unbe-\n2. für festgelegte, eindeutige und rechtmäßige Zwecke\nabsichtigten oder unrechtmäßigen Vernichtung,\nerhoben und nicht in einer mit diesen Zwecken nicht\nzum Verlust, zur Veränderung oder zur unbefugten\nzu vereinbarenden Weise verarbeitet werden,\nOffenlegung von oder zum unbefugten Zugang zu\npersonenbezogenen Daten geführt hat, die verar- 3. dem Verarbeitungszweck entsprechen, für das Errei-\nbeitet wurden; chen des Verarbeitungszwecks erforderlich sein und\nihre Verarbeitung nicht außer Verhältnis zu diesem\n11. „genetische Daten“ personenbezogene Daten zu\nZweck stehen,\nden ererbten oder erworbenen genetischen Eigen-\nschaften einer natürlichen Person, die eindeutige 4. sachlich richtig und erforderlichenfalls auf dem neu-\nInformationen über die Physiologie oder die Ge- esten Stand sein; dabei sind alle angemessenen\nsundheit dieser Person liefern, insbesondere sol- Maßnahmen zu treffen, damit personenbezogene\nche, die aus der Analyse einer biologischen Probe Daten, die im Hinblick auf die Zwecke ihrer Verarbei-\nder Person gewonnen wurden; tung unrichtig sind, unverzüglich gelöscht oder be-\nrichtigt werden,\n12. „biometrische Daten“ mit speziellen technischen\nVerfahren gewonnene personenbezogene Daten 5. nicht länger als es für die Zwecke, für die sie verar-\nzu den physischen, physiologischen oder verhal- beitet werden, erforderlich ist, in einer Form gespei-\ntenstypischen Merkmalen einer natürlichen Person, chert werden, die die Identifizierung der betroffenen\ndie die eindeutige Identifizierung dieser natürlichen Personen ermöglicht, und\nPerson ermöglichen oder bestätigen, insbesondere 6. in einer Weise verarbeitet werden, die eine angemes-\nGesichtsbilder oder daktyloskopische Daten; sene Sicherheit der personenbezogenen Daten ge-\n13. „Gesundheitsdaten“ personenbezogene Daten, die währleistet; hierzu gehört auch ein durch geeignete\nsich auf die körperliche oder geistige Gesundheit technische und organisatorische Maßnahmen zu ge-\neiner natürlichen Person, einschließlich der Erbrin- währleistender Schutz vor unbefugter oder unrecht-\ngung von Gesundheitsdienstleistungen, beziehen mäßiger Verarbeitung, unbeabsichtigtem Verlust,\nund aus denen Informationen über deren Gesund- unbeabsichtigter Zerstörung oder unbeabsichtigter\nheitszustand hervorgehen; Schädigung.\n14. „besondere Kategorien personenbezogener Daten“ Kapitel 2\na) Daten, aus denen die rassische oder ethnische Rechtsgrundlagen der\nHerkunft, politische Meinungen, religiöse oder\nVerarbeitung personenbezogener Daten\nweltanschauliche Überzeugungen oder die Ge-\nwerkschaftszugehörigkeit hervorgehen,\n§ 48\nb) genetische Daten, Verarbeitung besonderer\nc) biometrische Daten zur eindeutigen Identifizie- Kategorien personenbezogener Daten\nrung einer natürlichen Person, (1) Die Verarbeitung besonderer Kategorien perso-\nd) Gesundheitsdaten und nenbezogener Daten ist nur zulässig, wenn sie zur Auf-\ngabenerfüllung unbedingt erforderlich ist.\ne) Daten zum Sexualleben oder zur sexuellen\nOrientierung; (2) Werden besondere Kategorien personenbezoge-\nner Daten verarbeitet, sind geeignete Garantien für\n15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat\ndie Rechtsgüter der betroffenen Personen vorzusehen.\ngemäß Artikel 41 der Richtlinie (EU) 2016/680 ein-\nGeeignete Garantien können insbesondere sein\ngerichtete unabhängige staatliche Stelle;\n1. spezifische Anforderungen an die Datensicherheit\n16. „internationale Organisation“ eine völkerrechtliche oder die Datenschutzkontrolle,\nOrganisation und ihre nachgeordneten Stellen so-\nwie jede sonstige Einrichtung, die durch eine von 2. die Festlegung von besonderen Aussonderungs-\nzwei oder mehr Staaten geschlossene Übereinkunft prüffristen,\noder auf der Grundlage einer solchen Übereinkunft 3. die Sensibilisierung der an Verarbeitungsvorgängen\ngeschaffen wurde; Beteiligten,","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2117\n4. die Beschränkung des Zugangs zu den personen- wurde, müssen die Umstände der Erteilung berücksich-\nbezogenen Daten innerhalb der verantwortlichen tigt werden. Die betroffene Person ist auf den vorge-\nStelle, sehenen Zweck der Verarbeitung hinzuweisen. Ist dies\n5. die von anderen Daten getrennte Verarbeitung, nach den Umständen des Einzelfalles erforderlich oder\nverlangt die betroffene Person dies, ist sie auch über\n6. die Pseudonymisierung personenbezogener Daten, die Folgen der Verweigerung der Einwilligung zu be-\n7. die Verschlüsselung personenbezogener Daten oder lehren.\n8. spezifische Verfahrensregelungen, die im Fall einer (5) Soweit besondere Kategorien personenbezoge-\nÜbermittlung oder Verarbeitung für andere Zwecke ner Daten verarbeitet werden, muss sich die Einwilli-\ndie Rechtmäßigkeit der Verarbeitung sicherstellen. gung ausdrücklich auf diese Daten beziehen.\n§ 49 § 52\nVerarbeitung zu anderen Zwecken Verarbeitung auf Weisung des Verantwortlichen\nEine Verarbeitung personenbezogener Daten zu Jede einem Verantwortlichen oder einem Auftrags-\neinem anderen Zweck als zu demjenigen, zu dem sie verarbeiter unterstellte Person, die Zugang zu perso-\nerhoben wurden, ist zulässig, wenn es sich bei dem nenbezogenen Daten hat, darf diese Daten ausschließ-\nanderen Zweck um einen der in § 45 genannten Zwe- lich auf Weisung des Verantwortlichen verarbeiten, es\ncke handelt, der Verantwortliche befugt ist, Daten zu sei denn, dass sie nach einer Rechtsvorschrift zur Ver-\ndiesem Zweck zu verarbeiten, und die Verarbeitung arbeitung verpflichtet ist.\nzu diesem Zweck erforderlich und verhältnismäßig ist.\nDie Verarbeitung personenbezogener Daten zu einem § 53\nanderen, in § 45 nicht genannten Zweck ist zulässig,\nwenn sie in einer Rechtsvorschrift vorgesehen ist. Datengeheimnis\nMit Datenverarbeitung befasste Personen dürfen\n§ 50 personenbezogene Daten nicht unbefugt verarbeiten\nVerarbeitung zu archivarischen, (Datengeheimnis). Sie sind bei der Aufnahme ihrer\nwissenschaftlichen und statistischen Zwecken Tätigkeit auf das Datengeheimnis zu verpflichten. Das\nDatengeheimnis besteht auch nach der Beendigung\nPersonenbezogene Daten dürfen im Rahmen der in\nihrer Tätigkeit fort.\n§ 45 genannten Zwecke in archivarischer, wissen-\nschaftlicher oder statistischer Form verarbeitet werden,\nwenn hieran ein öffentliches Interesse besteht und § 54\ngeeignete Garantien für die Rechtsgüter der betroffe- Automatisierte Einzelentscheidung\nnen Personen vorgesehen werden. Solche Garantien\n(1) Eine ausschließlich auf einer automatischen Ver-\nkönnen in einer so zeitnah wie möglich erfolgenden\narbeitung beruhende Entscheidung, die mit einer nach-\nAnonymisierung der personenbezogenen Daten, in Vor-\nteiligen Rechtsfolge für die betroffene Person verbun-\nkehrungen gegen ihre unbefugte Kenntnisnahme durch\nden ist oder sie erheblich beeinträchtigt, ist nur zuläs-\nDritte oder in ihrer räumlich und organisatorisch von\nsig, wenn sie in einer Rechtsvorschrift vorgesehen ist.\nden sonstigen Fachaufgaben getrennten Verarbeitung\nbestehen. (2) Entscheidungen nach Absatz 1 dürfen nicht auf\nbesonderen Kategorien personenbezogener Daten be-\n§ 51 ruhen, sofern nicht geeignete Maßnahmen zum Schutz\nder Rechtsgüter sowie der berechtigten Interessen der\nEinwilligung\nbetroffenen Personen getroffen wurden.\n(1) Soweit die Verarbeitung personenbezogener Da-\n(3) Profiling, das zur Folge hat, dass betroffene Per-\nten nach einer Rechtsvorschrift auf der Grundlage einer\nsonen auf der Grundlage von besonderen Kategorien\nEinwilligung erfolgen kann, muss der Verantwortliche\npersonenbezogener Daten diskriminiert werden, ist ver-\ndie Einwilligung der betroffenen Person nachweisen\nboten.\nkönnen.\n(2) Erfolgt die Einwilligung der betroffenen Person Kapitel 3\ndurch eine schriftliche Erklärung, die noch andere\nSachverhalte betrifft, muss das Ersuchen um Einwilli- Rechte der betroffenen Person\ngung in verständlicher und leicht zugänglicher Form in\neiner klaren und einfachen Sprache so erfolgen, dass § 55\nes von den anderen Sachverhalten klar zu unterschei-\nAllgemeine Informationen zu Datenverarbeitungen\nden ist.\nDer Verantwortliche hat in allgemeiner Form und für\n(3) Die betroffene Person hat das Recht, ihre Einwil-\njedermann zugänglich Informationen zur Verfügung zu\nligung jederzeit zu widerrufen. Durch den Widerruf der\nstellen über\nEinwilligung wird die Rechtmäßigkeit der aufgrund der\nEinwilligung bis zum Widerruf erfolgten Verarbeitung 1. die Zwecke der von ihm vorgenommenen Verarbei-\nnicht berührt. Die betroffene Person ist vor Abgabe tungen,\nder Einwilligung hiervon in Kenntnis zu setzen. 2. die im Hinblick auf die Verarbeitung ihrer personen-\n(4) Die Einwilligung ist nur wirksam, wenn sie auf bezogenen Daten bestehenden Rechte der betroffe-\nder freien Entscheidung der betroffenen Person beruht. nen Personen auf Auskunft, Berichtigung, Löschung\nBei der Beurteilung, ob die Einwilligung freiwillig erteilt und Einschränkung der Verarbeitung,","2118 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n3. den Namen und die Kontaktdaten des Verantwort- 4. die Empfänger oder die Kategorien von Empfängern,\nlichen und der oder des Datenschutzbeauftragten, gegenüber denen die Daten offengelegt worden\n4. das Recht, die Bundesbeauftragte oder den Bun- sind, insbesondere bei Empfängern in Drittstaaten\ndesbeauftragten anzurufen, und oder bei internationalen Organisationen,\n5. die für die Daten geltende Speicherdauer oder, falls\n5. die Erreichbarkeit der oder des Bundesbeauftragten.\ndies nicht möglich ist, die Kriterien für die Fest-\nlegung dieser Dauer,\n§ 56\n6. das Bestehen eines Rechts auf Berichtigung,\nBenachrichtigung betroffener Personen Löschung oder Einschränkung der Verarbeitung der\n(1) Ist die Benachrichtigung betroffener Personen Daten durch den Verantwortlichen,\nüber die Verarbeitung sie betreffender personenbezo- 7. das Recht nach § 60, die Bundesbeauftragte oder\ngener Daten in speziellen Rechtsvorschriften, insbe- den Bundesbeauftragten anzurufen, sowie\nsondere bei verdeckten Maßnahmen, vorgesehen oder\nangeordnet, so hat diese Benachrichtigung zumindest 8. Angaben zur Erreichbarkeit der oder des Bundes-\ndie folgenden Angaben zu enthalten: beauftragten.\n1. die in § 55 genannten Angaben, (2) Absatz 1 gilt nicht für personenbezogene Daten,\ndie nur deshalb verarbeitet werden, weil sie aufgrund\n2. die Rechtsgrundlage der Verarbeitung, gesetzlicher Aufbewahrungsvorschriften nicht gelöscht\n3. die für die Daten geltende Speicherdauer oder, falls werden dürfen oder die ausschließlich Zwecken der\ndies nicht möglich ist, die Kriterien für die Fest- Datensicherung oder der Datenschutzkontrolle dienen,\nlegung dieser Dauer, wenn die Auskunftserteilung einen unverhältnismäßi-\ngen Aufwand erfordern würde und eine Verarbeitung\n4. gegebenenfalls die Kategorien von Empfängern der\nzu anderen Zwecken durch geeignete technische und\npersonenbezogenen Daten sowie\norganisatorische Maßnahmen ausgeschlossen ist.\n5. erforderlichenfalls weitere Informationen, insbeson- (3) Von der Auskunftserteilung ist abzusehen, wenn\ndere, wenn die personenbezogenen Daten ohne die betroffene Person keine Angaben macht, die das\nWissen der betroffenen Person erhoben wurden. Auffinden der Daten ermöglichen, und deshalb der für\n(2) In den Fällen des Absatzes 1 kann der Verant- die Erteilung der Auskunft erforderliche Aufwand außer\nwortliche die Benachrichtigung insoweit und solange Verhältnis zu dem von der betroffenen Person geltend\naufschieben, einschränken oder unterlassen, wie an- gemachten Informationsinteresse steht.\ndernfalls (4) Der Verantwortliche kann unter den Vorausset-\n1. die Erfüllung der in § 45 genannten Aufgaben, zungen des § 56 Absatz 2 von der Auskunft nach Ab-\n2. die öffentliche Sicherheit oder satz 1 Satz 1 absehen oder die Auskunftserteilung nach\nAbsatz 1 Satz 2 teilweise oder vollständig einschrän-\n3. Rechtsgüter Dritter ken.\ngefährdet würden, wenn das Interesse an der Vermei- (5) Bezieht sich die Auskunftserteilung auf die Über-\ndung dieser Gefahren das Informationsinteresse der mittlung personenbezogener Daten an Verfassungs-\nbetroffenen Person überwiegt. schutzbehörden, den Bundesnachrichtendienst, den\n(3) Bezieht sich die Benachrichtigung auf die Über- Militärischen Abschirmdienst und, soweit die Sicher-\nmittlung personenbezogener Daten an Verfassungs- heit des Bundes berührt wird, andere Behörden des\nschutzbehörden, den Bundesnachrichtendienst, den Bundesministeriums der Verteidigung, ist sie nur mit\nMilitärischen Abschirmdienst und, soweit die Sicherheit Zustimmung dieser Stellen zulässig.\ndes Bundes berührt wird, andere Behörden des (6) Der Verantwortliche hat die betroffene Person\nBundesministeriums der Verteidigung, ist sie nur mit über das Absehen von oder die Einschränkung einer\nZustimmung dieser Stellen zulässig. Auskunft unverzüglich schriftlich zu unterrichten. Dies\n(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57 gilt nicht, wenn bereits die Erteilung dieser Informa-\nAbsatz 7 entsprechend. tionen eine Gefährdung im Sinne des § 56 Absatz 2\nmit sich bringen würde. Die Unterrichtung nach Satz 1\n§ 57 ist zu begründen, es sei denn, dass die Mitteilung der\nGründe den mit dem Absehen von oder der Einschrän-\nAuskunftsrecht kung der Auskunft verfolgten Zweck gefährden würde.\n(1) Der Verantwortliche hat betroffenen Personen auf (7) Wird die betroffene Person nach Absatz 6 über\nAntrag Auskunft darüber zu erteilen, ob er sie betref- das Absehen von oder die Einschränkung der Auskunft\nfende Daten verarbeitet. Betroffene Personen haben unterrichtet, kann sie ihr Auskunftsrecht auch über die\ndarüber hinaus das Recht, Informationen zu erhalten Bundesbeauftragte oder den Bundesbeauftragten aus-\nüber üben. Der Verantwortliche hat die betroffene Person\n1. die personenbezogenen Daten, die Gegenstand der über diese Möglichkeit sowie darüber zu unterrichten,\nVerarbeitung sind, und die Kategorie, zu der sie ge- dass sie gemäß § 60 die Bundesbeauftragte oder\nhören, den Bundesbeauftragten anrufen oder gerichtlichen\nRechtsschutz suchen kann. Macht die betroffene Per-\n2. die verfügbaren Informationen über die Herkunft der son von ihrem Recht nach Satz 1 Gebrauch, ist die\nDaten, Auskunft auf ihr Verlangen der oder dem Bundesbeauf-\n3. die Zwecke der Verarbeitung und deren Rechts- tragten zu erteilen, soweit nicht die zuständige oberste\ngrundlage, Bundesbehörde im Einzelfall feststellt, dass dadurch","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2119\ndie Sicherheit des Bundes oder eines Landes gefährdet (5) Hat der Verantwortliche eine Berichtigung vorge-\nwürde. Die oder der Bundesbeauftragte hat die betrof- nommen, hat er einer Stelle, die ihm die personenbezo-\nfene Person zumindest darüber zu unterrichten, dass genen Daten zuvor übermittelt hat, die Berichtigung\nalle erforderlichen Prüfungen erfolgt sind oder eine mitzuteilen. In Fällen der Berichtigung, Löschung oder\nÜberprüfung durch sie stattgefunden hat. Diese Mittei- Einschränkung der Verarbeitung nach den Absätzen 1\nlung kann die Information enthalten, ob datenschutz- bis 3 hat der Verantwortliche Empfängern, denen die\nrechtliche Verstöße festgestellt wurden. Die Mitteilung Daten übermittelt wurden, diese Maßnahmen mitzu-\nder oder des Bundesbeauftragten an die betroffene teilen. Der Empfänger hat die Daten zu berichtigen, zu\nPerson darf keine Rückschlüsse auf den Erkenntnis- löschen oder ihre Verarbeitung einzuschränken.\nstand des Verantwortlichen zulassen, sofern dieser\n(6) Der Verantwortliche hat die betroffene Person\nkeiner weitergehenden Auskunft zustimmt. Der Verant-\nüber ein Absehen von der Berichtigung oder Löschung\nwortliche darf die Zustimmung nur insoweit und so-\npersonenbezogener Daten oder über die an deren\nlange verweigern, wie er nach Absatz 4 von einer\nStelle tretende Einschränkung der Verarbeitung schrift-\nAuskunft absehen oder sie einschränken könnte. Die\nlich zu unterrichten. Dies gilt nicht, wenn bereits die\noder der Bundesbeauftragte hat zudem die betroffene\nErteilung dieser Informationen eine Gefährdung im\nPerson über ihr Recht auf gerichtlichen Rechtsschutz\nSinne des § 56 Absatz 2 mit sich bringen würde. Die\nzu unterrichten.\nUnterrichtung nach Satz 1 ist zu begründen, es sei\n(8) Der Verantwortliche hat die sachlichen oder recht- denn, dass die Mitteilung der Gründe den mit dem\nlichen Gründe für die Entscheidung zu dokumentieren. Absehen von der Unterrichtung verfolgten Zweck ge-\nfährden würde.\n§ 58\n(7) § 57 Absatz 7 und 8 findet entsprechende An-\nRechte auf wendung.\nBerichtigung und Löschung\nsowie Einschränkung der Verarbeitung § 59\n(1) Die betroffene Person hat das Recht, von dem\nVerfahren für die\nVerantwortlichen unverzüglich die Berichtigung sie be-\nAusübung der Rechte der betroffenen Person\ntreffender unrichtiger Daten zu verlangen. Insbesondere\nim Fall von Aussagen oder Beurteilungen betrifft die (1) Der Verantwortliche hat mit betroffenen Personen\nFrage der Richtigkeit nicht den Inhalt der Aussage oder unter Verwendung einer klaren und einfachen Sprache\nBeurteilung. Wenn die Richtigkeit oder Unrichtigkeit der in präziser, verständlicher und leicht zugänglicher Form\nDaten nicht festgestellt werden kann, tritt an die Stelle zu kommunizieren. Unbeschadet besonderer Formvor-\nder Berichtigung eine Einschränkung der Verarbeitung. schriften soll er bei der Beantwortung von Anträgen\nIn diesem Fall hat der Verantwortliche die betroffene grundsätzlich die für den Antrag gewählte Form ver-\nPerson zu unterrichten, bevor er die Einschränkung wenden.\nwieder aufhebt. Die betroffene Person kann zudem die (2) Bei Anträgen hat der Verantwortliche die betrof-\nVervollständigung unvollständiger personenbezogener fene Person unbeschadet des § 57 Absatz 6 und des\nDaten verlangen, wenn dies unter Berücksichtigung § 58 Absatz 6 unverzüglich schriftlich darüber in Kennt-\nder Verarbeitungszwecke angemessen ist. nis zu setzen, wie verfahren wurde.\n(2) Die betroffene Person hat das Recht, von dem\n(3) Die Erteilung von Informationen nach § 55, die\nVerantwortlichen unverzüglich die Löschung sie betref-\nBenachrichtigungen nach den §§ 56 und 66 und die\nfender Daten zu verlangen, wenn deren Verarbeitung\nBearbeitung von Anträgen nach den §§ 57 und 58 er-\nunzulässig ist, deren Kenntnis für die Aufgabenerfüllung\nfolgen unentgeltlich. Bei offenkundig unbegründeten\nnicht mehr erforderlich ist oder diese zur Erfüllung einer\noder exzessiven Anträgen nach den §§ 57 und 58 kann\nrechtlichen Verpflichtung gelöscht werden müssen.\nder Verantwortliche entweder eine angemessene Ge-\n(3) Anstatt die personenbezogenen Daten zu löschen, bühr auf der Grundlage der Verwaltungskosten verlan-\nkann der Verantwortliche deren Verarbeitung einschrän- gen oder sich weigern, aufgrund des Antrags tätig zu\nken, wenn werden. In diesem Fall muss der Verantwortliche den\n1. Grund zu der Annahme besteht, dass eine Löschung offenkundig unbegründeten oder exzessiven Charakter\nschutzwürdige Interessen einer betroffenen Person des Antrags belegen können.\nbeeinträchtigen würde, (4) Hat der Verantwortliche begründete Zweifel an\n2. die Daten zu Beweiszwecken in Verfahren, die Zwe- der Identität einer betroffenen Person, die einen Antrag\ncken des § 45 dienen, weiter aufbewahrt werden nach den §§ 57 oder 58 gestellt hat, kann er von ihr\nmüssen oder zusätzliche Informationen anfordern, die zur Bestäti-\n3. eine Löschung wegen der besonderen Art der Spei- gung ihrer Identität erforderlich sind.\ncherung nicht oder nur mit unverhältnismäßigem\nAufwand möglich ist. § 60\nIn ihrer Verarbeitung nach Satz 1 eingeschränkte Daten Anrufung der oder des Bundesbeauftragten\ndürfen nur zu dem Zweck verarbeitet werden, der ihrer (1) Jede betroffene Person kann sich unbeschadet\nLöschung entgegenstand. anderweitiger Rechtsbehelfe mit einer Beschwerde an\n(4) Bei automatisierten Dateisystemen ist technisch die Bundesbeauftragte oder den Bundesbeauftragten\nsicherzustellen, dass eine Einschränkung der Verarbei- wenden, wenn sie der Auffassung ist, bei der Verarbei-\ntung eindeutig erkennbar ist und eine Verarbeitung für tung ihrer personenbezogenen Daten durch öffentliche\nandere Zwecke nicht ohne weitere Prüfung möglich ist. Stellen zu den in § 45 genannten Zwecken in ihren","2120 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\nRechten verletzt worden zu sein. Dies gilt nicht für die ter erteilt, hat der Auftragsverarbeiter den Verantwort-\nVerarbeitung von personenbezogenen Daten durch Ge- lichen über jede beabsichtigte Hinzuziehung oder Er-\nrichte, soweit diese die Daten im Rahmen ihrer justiziel- setzung zu informieren. Der Verantwortliche kann in\nlen Tätigkeit verarbeitet haben. Die oder der Bundes- diesem Fall die Hinzuziehung oder Ersetzung unter-\nbeauftragte hat die betroffene Person über den Stand sagen.\nund das Ergebnis der Beschwerde zu unterrichten und\n(4) Zieht ein Auftragsverarbeiter einen weiteren Auf-\nsie hierbei auf die Möglichkeit gerichtlichen Rechts-\ntragsverarbeiter hinzu, so hat er diesem dieselben Ver-\nschutzes nach § 61 hinzuweisen.\npflichtungen aus seinem Vertrag mit dem Verantwort-\n(2) Die oder der Bundesbeauftragte hat eine bei ihr lichen nach Absatz 5 aufzuerlegen, die auch für ihn\noder ihm eingelegte Beschwerde über eine Verarbei- gelten, soweit diese Pflichten für den weiteren Auf-\ntung, die in die Zuständigkeit einer Aufsichtsbehörde tragsverarbeiter nicht schon aufgrund anderer Vor-\nin einem anderen Mitgliedstaat der Europäischen Union schriften verbindlich sind. Erfüllt ein weiterer Auftrags-\nfällt, unverzüglich an die zuständige Aufsichtsbehörde verarbeiter diese Verpflichtungen nicht, so haftet der\ndes anderen Staates weiterzuleiten. Sie oder er hat in ihn beauftragende Auftragsverarbeiter gegenüber dem\ndiesem Fall die betroffene Person über die Weiterlei- Verantwortlichen für die Einhaltung der Pflichten des\ntung zu unterrichten und ihr auf deren Ersuchen weitere weiteren Auftragsverarbeiters.\nUnterstützung zu leisten.\n(5) Die Verarbeitung durch einen Auftragsverarbeiter\nhat auf der Grundlage eines Vertrags oder eines ande-\n§ 61 ren Rechtsinstruments zu erfolgen, der oder das den\nRechtsschutz Auftragsverarbeiter an den Verantwortlichen bindet\ngegen Entscheidungen und der oder das den Gegenstand, die Dauer, die Art\nder oder des Bundesbeauftragten und den Zweck der Verarbeitung, die Art der personen-\noder bei deren oder dessen Untätigkeit bezogenen Daten, die Kategorien betroffener Personen\nund die Rechte und Pflichten des Verantwortlichen fest-\n(1) Jede natürliche oder juristische Person kann un- legt. Der Vertrag oder das andere Rechtsinstrument\nbeschadet anderer Rechtsbehelfe gerichtlich gegen haben insbesondere vorzusehen, dass der Auftragsver-\neine verbindliche Entscheidung der oder des Bundes- arbeiter\nbeauftragten vorgehen.\n1. nur auf dokumentierte Weisung des Verantwort-\n(2) Absatz 1 gilt entsprechend zugunsten betroffener lichen handelt; ist der Auftragsverarbeiter der Auf-\nPersonen, wenn sich die oder der Bundesbeauftragte fassung, dass eine Weisung rechtswidrig ist, hat er\nmit einer Beschwerde nach § 60 nicht befasst oder den Verantwortlichen unverzüglich zu informieren;\ndie betroffene Person nicht innerhalb von drei Monaten\nnach Einlegung der Beschwerde über den Stand oder 2. gewährleistet, dass die zur Verarbeitung der perso-\ndas Ergebnis der Beschwerde in Kenntnis gesetzt hat. nenbezogenen Daten befugten Personen zur Ver-\ntraulichkeit verpflichtet werden, soweit sie keiner an-\ngemessenen gesetzlichen Verschwiegenheitspflicht\nKapitel 4\nunterliegen;\nPflichten der 3. den Verantwortlichen mit geeigneten Mitteln dabei\nVerantwortlichen und Auftragsverarbeiter unterstützt, die Einhaltung der Bestimmungen über\ndie Rechte der betroffenen Person zu gewährleisten;\n§ 62\n4. alle personenbezogenen Daten nach Abschluss der\nAuftragsverarbeitung Erbringung der Verarbeitungsleistungen nach Wahl\ndes Verantwortlichen zurückgibt oder löscht und be-\n(1) Werden personenbezogene Daten im Auftrag\nstehende Kopien vernichtet, wenn nicht nach einer\neines Verantwortlichen durch andere Personen oder\nRechtsvorschrift eine Verpflichtung zur Speicherung\nStellen verarbeitet, hat der Verantwortliche für die Ein-\nder Daten besteht;\nhaltung der Vorschriften dieses Gesetzes und anderer\nVorschriften über den Datenschutz zu sorgen. Die 5. dem Verantwortlichen alle erforderlichen Informatio-\nRechte der betroffenen Personen auf Auskunft, Berich- nen, insbesondere die gemäß § 76 erstellten Proto-\ntigung, Löschung, Einschränkung der Verarbeitung und kolle, zum Nachweis der Einhaltung seiner Pflichten\nSchadensersatz sind in diesem Fall gegenüber dem zur Verfügung stellt;\nVerantwortlichen geltend zu machen.\n6. Überprüfungen, die von dem Verantwortlichen oder\n(2) Ein Verantwortlicher darf nur solche Auftragsver- einem von diesem beauftragten Prüfer durchgeführt\narbeiter mit der Verarbeitung personenbezogener Daten werden, ermöglicht und dazu beiträgt;\nbeauftragen, die mit geeigneten technischen und orga-\n7. die in den Absätzen 3 und 4 aufgeführten Bedingun-\nnisatorischen Maßnahmen sicherstellen, dass die Ver-\ngen für die Inanspruchnahme der Dienste eines wei-\narbeitung im Einklang mit den gesetzlichen Anforderun-\nteren Auftragsverarbeiters einhält;\ngen erfolgt und der Schutz der Rechte der betroffenen\nPersonen gewährleistet wird. 8. alle gemäß § 64 erforderlichen Maßnahmen ergreift\nund\n(3) Auftragsverarbeiter dürfen ohne vorherige schrift-\nliche Genehmigung des Verantwortlichen keine weite- 9. unter Berücksichtigung der Art der Verarbeitung und\nren Auftragsverarbeiter hinzuziehen. Hat der Verant- der ihm zur Verfügung stehenden Informationen den\nwortliche dem Auftragsverarbeiter eine allgemeine Ge- Verantwortlichen bei der Einhaltung der in den §§ 64\nnehmigung zur Hinzuziehung weiterer Auftragsverarbei- bis 67 und § 69 genannten Pflichten unterstützt.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2121\n(6) Der Vertrag im Sinne des Absatzes 5 ist schrift- 1. Verwehrung des Zugangs zu Verarbeitungsanlagen,\nlich oder elektronisch abzufassen. mit denen die Verarbeitung durchgeführt wird, für\nUnbefugte (Zugangskontrolle),\n(7) Ein Auftragsverarbeiter, der die Zwecke und\nMittel der Verarbeitung unter Verstoß gegen diese Vor- 2. Verhinderung des unbefugten Lesens, Kopierens,\nschrift bestimmt, gilt in Bezug auf diese Verarbeitung Veränderns oder Löschens von Datenträgern (Da-\nals Verantwortlicher. tenträgerkontrolle),\n3. Verhinderung der unbefugten Eingabe von perso-\n§ 63 nenbezogenen Daten sowie der unbefugten Kennt-\nGemeinsam Verantwortliche nisnahme, Veränderung und Löschung von gespei-\ncherten personenbezogenen Daten (Speicherkon-\nLegen zwei oder mehr Verantwortliche gemeinsam trolle),\ndie Zwecke und die Mittel der Verarbeitung fest, gelten\nsie als gemeinsam Verantwortliche. Gemeinsam Verant- 4. Verhinderung der Nutzung automatisierter Verar-\nwortliche haben ihre jeweiligen Aufgaben und daten- beitungssysteme mit Hilfe von Einrichtungen zur\nschutzrechtlichen Verantwortlichkeiten in transparenter Datenübertragung durch Unbefugte (Benutzerkon-\nForm in einer Vereinbarung festzulegen, soweit diese trolle),\nnicht bereits in Rechtsvorschriften festgelegt sind. Aus\n5. Gewährleistung, dass die zur Benutzung eines\nder Vereinbarung muss insbesondere hervorgehen, wer\nautomatisierten Verarbeitungssystems Berechtig-\nwelchen Informationspflichten nachzukommen hat und\nten ausschließlich zu den von ihrer Zugangsberech-\nwie und gegenüber wem betroffene Personen ihre\ntigung umfassten personenbezogenen Daten Zu-\nRechte wahrnehmen können. Eine entsprechende Ver-\ngang haben (Zugriffskontrolle),\neinbarung hindert die betroffene Person nicht, ihre\nRechte gegenüber jedem der gemeinsam Verantwort- 6. Gewährleistung, dass überprüft und festgestellt\nlichen geltend zu machen. werden kann, an welche Stellen personenbezogene\nDaten mit Hilfe von Einrichtungen zur Datenüber-\n§ 64 tragung übermittelt oder zur Verfügung gestellt\nwurden oder werden können (Übertragungskon-\nAnforderungen an die trolle),\nSicherheit der Datenverarbeitung\n7. Gewährleistung, dass nachträglich überprüft und\n(1) Der Verantwortliche und der Auftragsverarbeiter festgestellt werden kann, welche personenbezoge-\nhaben unter Berücksichtigung des Stands der Technik, nen Daten zu welcher Zeit und von wem in auto-\nder Implementierungskosten, der Art, des Umfangs, der matisierte Verarbeitungssysteme eingegeben oder\nUmstände und der Zwecke der Verarbeitung sowie der verändert worden sind (Eingabekontrolle),\nEintrittswahrscheinlichkeit und der Schwere der mit der\nVerarbeitung verbundenen Gefahren für die Rechts- 8. Gewährleistung, dass bei der Übermittlung perso-\ngüter der betroffenen Personen die erforderlichen tech- nenbezogener Daten sowie beim Transport von\nnischen und organisatorischen Maßnahmen zu treffen, Datenträgern die Vertraulichkeit und Integrität der\num bei der Verarbeitung personenbezogener Daten ein Daten geschützt werden (Transportkontrolle),\ndem Risiko angemessenes Schutzniveau zu gewähr-\nleisten, insbesondere im Hinblick auf die Verarbeitung 9. Gewährleistung, dass eingesetzte Systeme im Stö-\nbesonderer Kategorien personenbezogener Daten. Der rungsfall wiederhergestellt werden können (Wieder-\nVerantwortliche hat hierbei die einschlägigen Techni- herstellbarkeit),\nschen Richtlinien und Empfehlungen des Bundesamtes 10. Gewährleistung, dass alle Funktionen des Systems\nfür Sicherheit in der Informationstechnik zu berücksich- zur Verfügung stehen und auftretende Fehlfunk-\ntigen. tionen gemeldet werden (Zuverlässigkeit),\n(2) Die in Absatz 1 genannten Maßnahmen können 11. Gewährleistung, dass gespeicherte personenbezo-\nunter anderem die Pseudonymisierung und Verschlüs- gene Daten nicht durch Fehlfunktionen des Sys-\nselung personenbezogener Daten umfassen, soweit tems beschädigt werden können (Datenintegrität),\nsolche Mittel in Anbetracht der Verarbeitungszwecke\nmöglich sind. Die Maßnahmen nach Absatz 1 sollen 12. Gewährleistung, dass personenbezogene Daten,\ndazu führen, dass die im Auftrag verarbeitet werden, nur entspre-\nchend den Weisungen des Auftraggebers verarbei-\n1. die Vertraulichkeit, Integrität, Verfügbarkeit und Be- tet werden können (Auftragskontrolle),\nlastbarkeit der Systeme und Dienste im Zusammen-\nhang mit der Verarbeitung auf Dauer sichergestellt 13. Gewährleistung, dass personenbezogene Daten\nwerden und gegen Zerstörung oder Verlust geschützt sind (Ver-\nfügbarkeitskontrolle),\n2. die Verfügbarkeit der personenbezogenen Daten\nund der Zugang zu ihnen bei einem physischen oder 14. Gewährleistung, dass zu unterschiedlichen Zwe-\ntechnischen Zwischenfall rasch wiederhergestellt cken erhobene personenbezogene Daten getrennt\nwerden können. verarbeitet werden können (Trennbarkeit).\n(3) Im Fall einer automatisierten Verarbeitung haben Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbeson-\nder Verantwortliche und der Auftragsverarbeiter nach dere durch die Verwendung von dem Stand der Technik\neiner Risikobewertung Maßnahmen zu ergreifen, die entsprechenden Verschlüsselungsverfahren erreicht\nFolgendes bezwecken: werden.","2122 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n§ 65 § 66\nMeldung von Verletzungen Benachrichtigung\ndes Schutzes personenbezogener betroffener Personen bei Verletzungen\nDaten an die oder den Bundesbeauftragten des Schutzes personenbezogener Daten\n(1) Der Verantwortliche hat eine Verletzung des (1) Hat eine Verletzung des Schutzes personenbezo-\nSchutzes personenbezogener Daten unverzüglich und gener Daten voraussichtlich eine erhebliche Gefahr für\nmöglichst innerhalb von 72 Stunden, nachdem sie ihm Rechtsgüter betroffener Personen zur Folge, so hat der\nbekannt geworden ist, der oder dem Bundesbeauftrag- Verantwortliche die betroffenen Personen unverzüglich\nten zu melden, es sei denn, dass die Verletzung voraus- über den Vorfall zu benachrichtigen.\nsichtlich keine Gefahr für die Rechtsgüter natürlicher (2) Die Benachrichtigung nach Absatz 1 hat in klarer\nPersonen mit sich gebracht hat. Erfolgt die Meldung und einfacher Sprache die Art der Verletzung des\nan die Bundesbeauftragte oder den Bundesbeauftrag- Schutzes personenbezogener Daten zu beschreiben\nten nicht innerhalb von 72 Stunden, so ist die Verzöge- und zumindest die in § 65 Absatz 3 Nummer 2 bis 4\nrung zu begründen. genannten Informationen und Maßnahmen zu ent-\n(2) Ein Auftragsverarbeiter hat eine Verletzung des halten.\nSchutzes personenbezogener Daten unverzüglich dem (3) Von der Benachrichtigung nach Absatz 1 kann\nVerantwortlichen zu melden. abgesehen werden, wenn\n(3) Die Meldung nach Absatz 1 hat zumindest fol- 1. der Verantwortliche geeignete technische und orga-\ngende Informationen zu enthalten: nisatorische Sicherheitsvorkehrungen getroffen hat\nund diese Vorkehrungen auf die von der Verletzung\n1. eine Beschreibung der Art der Verletzung des Schut- des Schutzes personenbezogener Daten betroffe-\nzes personenbezogener Daten, die, soweit möglich, nen Daten angewandt wurden; dies gilt insbeson-\nAngaben zu den Kategorien und der ungefähren An- dere für Vorkehrungen wie Verschlüsselungen, durch\nzahl der betroffenen Personen, zu den betroffenen die die Daten für unbefugte Personen unzugänglich\nKategorien personenbezogener Daten und zu der gemacht wurden;\nungefähren Anzahl der betroffenen personenbezo-\ngenen Datensätze zu enthalten hat, 2. der Verantwortliche durch im Anschluss an die Ver-\nletzung getroffene Maßnahmen sichergestellt hat,\n2. den Namen und die Kontaktdaten der oder des Da- dass aller Wahrscheinlichkeit nach keine erheb-\ntenschutzbeauftragten oder einer sonstigen Per- liche Gefahr im Sinne des Absatzes 1 mehr be-\nson oder Stelle, die weitere Informationen erteilen steht, oder\nkann,\n3. dies mit einem unverhältnismäßigen Aufwand ver-\n3. eine Beschreibung der wahrscheinlichen Folgen der bunden wäre; in diesem Fall hat stattdessen eine\nVerletzung und öffentliche Bekanntmachung oder eine ähnliche\nMaßnahme zu erfolgen, durch die die betroffenen\n4. eine Beschreibung der von dem Verantwortlichen Personen vergleichbar wirksam informiert werden.\nergriffenen oder vorgeschlagenen Maßnahmen zur\nBehandlung der Verletzung und der getroffenen (4) Wenn der Verantwortliche die betroffenen Perso-\nMaßnahmen zur Abmilderung ihrer möglichen nach- nen über eine Verletzung des Schutzes personenbezo-\nteiligen Auswirkungen. gener Daten nicht benachrichtigt hat, kann die oder der\nBundesbeauftragte förmlich feststellen, dass ihrer oder\n(4) Wenn die Informationen nach Absatz 3 nicht zu- seiner Auffassung nach die in Absatz 3 genannten\nsammen mit der Meldung übermittelt werden können, Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder\nhat der Verantwortliche sie unverzüglich nachzureichen, er die Wahrscheinlichkeit zu berücksichtigen, dass die\nsobald sie ihm vorliegen. Verletzung eine erhebliche Gefahr im Sinne des Ab-\nsatzes 1 zur Folge hat.\n(5) Der Verantwortliche hat Verletzungen des Schut-\nzes personenbezogener Daten zu dokumentieren. Die (5) Die Benachrichtigung der betroffenen Personen\nDokumentation hat alle mit den Vorfällen zusammen- nach Absatz 1 kann unter den in § 56 Absatz 2 genann-\nhängenden Tatsachen, deren Auswirkungen und die ten Voraussetzungen aufgeschoben, eingeschränkt\nergriffenen Abhilfemaßnahmen zu umfassen. oder unterlassen werden, soweit nicht die Interessen\nder betroffenen Person aufgrund der von der Verletzung\n(6) Soweit von einer Verletzung des Schutzes perso- ausgehenden erheblichen Gefahr im Sinne des Ab-\nnenbezogener Daten personenbezogene Daten betrof- satzes 1 überwiegen.\nfen sind, die von einem oder an einen Verantwortlichen\nin einem anderen Mitgliedstaat der Europäischen Union (6) § 42 Absatz 4 findet entsprechende Anwendung.\nübermittelt wurden, sind die in Absatz 3 genannten\nInformationen dem dortigen Verantwortlichen unver- § 67\nzüglich zu übermitteln.\nDurchführung einer\n(7) § 42 Absatz 4 findet entsprechende Anwendung. Datenschutz-Folgenabschätzung\n(8) Weitere Pflichten des Verantwortlichen zu Be- (1) Hat eine Form der Verarbeitung, insbesondere\nnachrichtigungen über Verletzungen des Schutzes per- bei Verwendung neuer Technologien, aufgrund der Art,\nsonenbezogener Daten bleiben unberührt. des Umfangs, der Umstände und der Zwecke der Ver-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2123\narbeitung voraussichtlich eine erhebliche Gefahr für die 1. die nach § 67 durchgeführte Datenschutz-Folgenab-\nRechtsgüter betroffener Personen zur Folge, so hat der schätzung,\nVerantwortliche vorab eine Abschätzung der Folgen der\n2. gegebenenfalls Angaben zu den jeweiligen Zustän-\nvorgesehenen Verarbeitungsvorgänge für die betroffe-\ndigkeiten des Verantwortlichen, der gemeinsam Ver-\nnen Personen durchzuführen.\nantwortlichen und der an der Verarbeitung beteilig-\n(2) Für die Untersuchung mehrerer ähnlicher Verar- ten Auftragsverarbeiter,\nbeitungsvorgänge mit ähnlich hohem Gefahrenpotential\nkann eine gemeinsame Datenschutz-Folgenabschät- 3. Angaben zu den Zwecken und Mitteln der beabsich-\nzung vorgenommen werden. tigten Verarbeitung,\n(3) Der Verantwortliche hat die Datenschutzbeauf- 4. Angaben zu den zum Schutz der Rechtsgüter der\ntragte oder den Datenschutzbeauftragten an der betroffenen Personen vorgesehenen Maßnahmen\nDurchführung der Folgenabschätzung zu beteiligen. und Garantien und\n(4) Die Folgenabschätzung hat den Rechten der von 5. Name und Kontaktdaten der oder des Datenschutz-\nder Verarbeitung betroffenen Personen Rechnung zu beauftragten.\ntragen und zumindest Folgendes zu enthalten:\nAuf Anforderung sind ihr oder ihm zudem alle sonstigen\n1. eine systematische Beschreibung der geplanten Ver- Informationen zu übermitteln, die sie oder er benötigt,\narbeitungsvorgänge und der Zwecke der Verarbei- um die Rechtmäßigkeit der Verarbeitung sowie insbe-\ntung, sondere die in Bezug auf den Schutz der personenbe-\n2. eine Bewertung der Notwendigkeit und Verhältnis- zogenen Daten der betroffenen Personen bestehenden\nmäßigkeit der Verarbeitungsvorgänge in Bezug auf Gefahren und die diesbezüglichen Garantien bewerten\nderen Zweck, zu können.\n3. eine Bewertung der Gefahren für die Rechtsgüter der (3) Falls die oder der Bundesbeauftragte der Auffas-\nbetroffenen Personen und sung ist, dass die geplante Verarbeitung gegen gesetz-\n4. die Maßnahmen, mit denen bestehenden Gefahren liche Vorgaben verstoßen würde, insbesondere weil der\nabgeholfen werden soll, einschließlich der Garan- Verantwortliche das Risiko nicht ausreichend ermittelt\ntien, der Sicherheitsvorkehrungen und der Verfahren, oder keine ausreichenden Abhilfemaßnahmen getroffen\ndurch die der Schutz personenbezogener Daten hat, kann sie oder er dem Verantwortlichen und gege-\nsichergestellt und die Einhaltung der gesetzlichen benenfalls dem Auftragsverarbeiter innerhalb eines\nVorgaben nachgewiesen werden sollen. Zeitraums von sechs Wochen nach Einleitung der An-\nhörung schriftliche Empfehlungen unterbreiten, welche\n(5) Soweit erforderlich, hat der Verantwortliche eine\nMaßnahmen noch ergriffen werden sollten. Die oder der\nÜberprüfung durchzuführen, ob die Verarbeitung den\nBundesbeauftragte kann diese Frist um einen Monat\nMaßgaben folgt, die sich aus der Folgenabschätzung verlängern, wenn die geplante Verarbeitung besonders\nergeben haben.\nkomplex ist. Sie oder er hat in diesem Fall innerhalb\neines Monats nach Einleitung der Anhörung den Ver-\n§ 68 antwortlichen und gegebenenfalls den Auftragsverar-\nZusammenarbeit mit beiter über die Fristverlängerung zu informieren.\nder oder dem Bundesbeauftragten\n(4) Hat die beabsichtigte Verarbeitung erhebliche\nDer Verantwortliche hat mit der oder dem Bundes- Bedeutung für die Aufgabenerfüllung des Verantwort-\nbeauftragten bei der Erfüllung ihrer oder seiner Aufga- lichen und ist sie daher besonders dringlich, kann er\nben zusammenzuarbeiten. mit der Verarbeitung nach Beginn der Anhörung, aber\nvor Ablauf der in Absatz 3 Satz 1 genannten Frist be-\n§ 69 ginnen. In diesem Fall sind die Empfehlungen der oder\nAnhörung der oder des Bundesbeauftragten des Bundesbeauftragten im Nachhinein zu berück-\nsichtigen und sind die Art und Weise der Verarbeitung\n(1) Der Verantwortliche hat vor der Inbetriebnahme\ndaraufhin gegebenenfalls anzupassen.\nvon neu anzulegenden Dateisystemen die Bundes-\nbeauftragte oder den Bundesbeauftragten anzuhören,\nwenn § 70\n1. aus einer Datenschutz-Folgenabschätzung nach Verzeichnis von Verarbeitungstätigkeiten\n§ 67 hervorgeht, dass die Verarbeitung eine erheb-\n(1) Der Verantwortliche hat ein Verzeichnis aller\nliche Gefahr für die Rechtsgüter der betroffenen Per-\nKategorien von Verarbeitungstätigkeiten zu führen, die\nsonen zur Folge hätte, wenn der Verantwortliche\nin seine Zuständigkeit fallen. Dieses Verzeichnis hat die\nkeine Abhilfemaßnahmen treffen würde, oder\nfolgenden Angaben zu enthalten:\n2. die Form der Verarbeitung, insbesondere bei der Ver-\nwendung neuer Technologien, Mechanismen oder 1. den Namen und die Kontaktdaten des Verantwort-\nVerfahren, eine erhebliche Gefahr für die Rechts- lichen und gegebenenfalls des gemeinsam mit ihm\ngüter der betroffenen Personen zur Folge hat. Verantwortlichen sowie den Namen und die Kontakt-\ndaten der oder des Datenschutzbeauftragten,\nDie oder der Bundesbeauftragte kann eine Liste der\nVerarbeitungsvorgänge erstellen, die der Pflicht zur An- 2. die Zwecke der Verarbeitung,\nhörung nach Satz 1 unterliegen. 3. die Kategorien von Empfängern, gegenüber denen\n(2) Der oder dem Bundesbeauftragten sind im Fall die personenbezogenen Daten offengelegt worden\ndes Absatzes 1 vorzulegen: sind oder noch offengelegt werden sollen,","2124 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n4. eine Beschreibung der Kategorien betroffener Per- stellen, dass durch Voreinstellungen grundsätzlich nur\nsonen und der Kategorien personenbezogener solche personenbezogenen Daten verarbeitet werden\nDaten, können, deren Verarbeitung für den jeweiligen be-\n5. gegebenenfalls die Verwendung von Profiling, stimmten Verarbeitungszweck erforderlich ist. Dies be-\ntrifft die Menge der erhobenen Daten, den Umfang ihrer\n6. gegebenenfalls die Kategorien von Übermittlungen Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.\npersonenbezogener Daten an Stellen in einem Dritt- Die Maßnahmen müssen insbesondere gewährleisten,\nstaat oder an eine internationale Organisation, dass die Daten durch Voreinstellungen nicht automati-\n7. Angaben über die Rechtsgrundlage der Verarbei- siert einer unbestimmten Anzahl von Personen zugäng-\ntung, lich gemacht werden können.\n8. die vorgesehenen Fristen für die Löschung oder die\nÜberprüfung der Erforderlichkeit der Speicherung § 72\nder verschiedenen Kategorien personenbezogener Unterscheidung zwischen\nDaten und verschiedenen Kategorien betroffener Personen\n9. eine allgemeine Beschreibung der technischen und Der Verantwortliche hat bei der Verarbeitung perso-\norganisatorischen Maßnahmen gemäß § 64. nenbezogener Daten so weit wie möglich zwischen\n(2) Der Auftragsverarbeiter hat ein Verzeichnis aller den verschiedenen Kategorien betroffener Personen\nKategorien von Verarbeitungen zu führen, die er im Auf- zu unterscheiden. Dies betrifft insbesondere folgende\ntrag eines Verantwortlichen durchführt, das Folgendes Kategorien:\nzu enthalten hat: 1. Personen, gegen die ein begründeter Verdacht be-\n1. den Namen und die Kontaktdaten des Auftragsver- steht, dass sie eine Straftat begangen haben,\narbeiters, jedes Verantwortlichen, in dessen Auftrag 2. Personen, gegen die ein begründeter Verdacht be-\nder Auftragsverarbeiter tätig ist, sowie gegebenen- steht, dass sie in naher Zukunft eine Straftat bege-\nfalls der oder des Datenschutzbeauftragten, hen werden,\n2. gegebenenfalls Übermittlungen von personenbezo- 3. verurteilte Straftäter,\ngenen Daten an Stellen in einem Drittstaat oder an 4. Opfer einer Straftat oder Personen, bei denen be-\neine internationale Organisation unter Angabe des stimmte Tatsachen darauf hindeuten, dass sie Opfer\nStaates oder der Organisation und einer Straftat sein könnten, und\n3. eine allgemeine Beschreibung der technischen und 5. andere Personen wie insbesondere Zeugen, Hin-\norganisatorischen Maßnahmen gemäß § 64. weisgeber oder Personen, die mit den in den Num-\n(3) Die in den Absätzen 1 und 2 genannten Verzeich- mern 1 bis 4 genannten Personen in Kontakt oder\nnisse sind schriftlich oder elektronisch zu führen. Verbindung stehen.\n(4) Verantwortliche und Auftragsverarbeiter haben\nauf Anforderung ihre Verzeichnisse der oder dem § 73\nBundesbeauftragten zur Verfügung zu stellen. Unterscheidung zwischen\nTatsachen und persönlichen Einschätzungen\n§ 71 Der Verantwortliche hat bei der Verarbeitung so weit\nDatenschutz durch Technikgestaltung wie möglich danach zu unterscheiden, ob personenbe-\nund datenschutzfreundliche Voreinstellungen zogene Daten auf Tatsachen oder auf persönlichen Ein-\n(1) Der Verantwortliche hat sowohl zum Zeitpunkt schätzungen beruhen. Zu diesem Zweck soll er, soweit\nder Festlegung der Mittel für die Verarbeitung als auch dies im Rahmen der jeweiligen Verarbeitung möglich\nzum Zeitpunkt der Verarbeitung selbst angemessene und angemessen ist, Beurteilungen, die auf persön-\nVorkehrungen zu treffen, die geeignet sind, die Daten- lichen Einschätzungen beruhen, als solche kenntlich\nschutzgrundsätze wie etwa die Datensparsamkeit wirk- machen. Es muss außerdem feststellbar sein, welche\nsam umzusetzen, und die sicherstellen, dass die ge- Stelle die Unterlagen führt, die der auf einer persön-\nsetzlichen Anforderungen eingehalten und die Rechte lichen Einschätzung beruhenden Beurteilung zugrunde\nder betroffenen Personen geschützt werden. Er hat liegen.\nhierbei den Stand der Technik, die Implementierungs-\nkosten und die Art, den Umfang, die Umstände und die § 74\nZwecke der Verarbeitung sowie die unterschiedliche Verfahren bei Übermittlungen\nEintrittswahrscheinlichkeit und Schwere der mit der (1) Der Verantwortliche hat angemessene Maßnah-\nVerarbeitung verbundenen Gefahren für die Rechts- men zu ergreifen, um zu gewährleisten, dass personen-\ngüter der betroffenen Personen zu berücksichtigen. bezogene Daten, die unrichtig oder nicht mehr aktuell\nInsbesondere sind die Verarbeitung personenbezoge- sind, nicht übermittelt oder sonst zur Verfügung gestellt\nner Daten und die Auswahl und Gestaltung von Daten- werden. Zu diesem Zweck hat er, soweit dies mit ange-\nverarbeitungssystemen an dem Ziel auszurichten, so messenem Aufwand möglich ist, die Qualität der Daten\nwenig personenbezogene Daten wie möglich zu verar- vor ihrer Übermittlung oder Bereitstellung zu überprü-\nbeiten. Personenbezogene Daten sind zum frühest- fen. Bei jeder Übermittlung personenbezogener Daten\nmöglichen Zeitpunkt zu anonymisieren oder zu pseudo- hat er zudem, soweit dies möglich und angemessen\nnymisieren, soweit dies nach dem Verarbeitungszweck ist, Informationen beizufügen, die es dem Empfänger\nmöglich ist. gestatten, die Richtigkeit, die Vollständigkeit und die\n(2) Der Verantwortliche hat geeignete technische Zuverlässigkeit der Daten sowie deren Aktualität zu be-\nund organisatorische Maßnahmen zu treffen, die sicher- urteilen.","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2125\n(2) Gelten für die Verarbeitung von personenbezoge- für die Eigenüberwachung, für die Gewährleistung der\nnen Daten besondere Bedingungen, so hat bei Daten- Integrität und Sicherheit der personenbezogenen Daten\nübermittlungen die übermittelnde Stelle den Empfänger und für Strafverfahren verwendet werden.\nauf diese Bedingungen und die Pflicht zu ihrer Beach-\n(4) Die Protokolldaten sind am Ende des auf deren\ntung hinzuweisen. Die Hinweispflicht kann dadurch er-\nGenerierung folgenden Jahres zu löschen.\nfüllt werden, dass die Daten entsprechend markiert\nwerden. (5) Der Verantwortliche und der Auftragsverarbeiter\n(3) Die übermittelnde Stelle darf auf Empfänger in haben die Protokolle der oder dem Bundesbeauftragten\nanderen Mitgliedstaaten der Europäischen Union und auf Anforderung zur Verfügung zu stellen.\nauf Einrichtungen und sonstige Stellen, die nach den\nKapiteln 4 und 5 des Titels V des Dritten Teils des Ver- § 77\ntrags über die Arbeitsweise der Europäischen Union Vertrauliche Meldung von Verstößen\nerrichtet wurden, keine Bedingungen anwenden, die\nnicht auch für entsprechende innerstaatliche Daten- Der Verantwortliche hat zu ermöglichen, dass ihm\nübermittlungen gelten. vertrauliche Meldungen über in seinem Verantwor-\ntungsbereich erfolgende Verstöße gegen Datenschutz-\n§ 75 vorschriften zugeleitet werden können.\nBerichtigung und\nLöschung personenbezogener Kapitel 5\nDaten sowie Einschränkung der Verarbeitung Datenübermittlungen an\n(1) Der Verantwortliche hat personenbezogene Da- Drittstaaten und an internationale Organisationen\nten zu berichtigen, wenn sie unrichtig sind.\n(2) Der Verantwortliche hat personenbezogene Da- § 78\nten unverzüglich zu löschen, wenn ihre Verarbeitung\nAllgemeine Voraussetzungen\nunzulässig ist, sie zur Erfüllung einer rechtlichen Ver-\npflichtung gelöscht werden müssen oder ihre Kenntnis (1) Die Übermittlung personenbezogener Daten an\nfür seine Aufgabenerfüllung nicht mehr erforderlich ist. Stellen in Drittstaaten oder an internationale Organisa-\n(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwen- tionen ist bei Vorliegen der übrigen für Datenübermitt-\nden. Sind unrichtige personenbezogene Daten oder lungen geltenden Voraussetzungen zulässig, wenn\npersonenbezogene Daten unrechtmäßig übermittelt 1. die Stelle oder internationale Organisation für die in\nworden, ist auch dies dem Empfänger mitzuteilen. § 45 genannten Zwecke zuständig ist und\n(4) Unbeschadet in Rechtsvorschriften festgesetzter 2. die Europäische Kommission gemäß Artikel 36 Ab-\nHöchstspeicher- oder Löschfristen hat der Verantwort- satz 3 der Richtlinie (EU) 2016/680 einen Angemes-\nliche für die Löschung von personenbezogenen Daten senheitsbeschluss gefasst hat.\noder eine regelmäßige Überprüfung der Notwendigkeit\nihrer Speicherung angemessene Fristen vorzusehen (2) Die Übermittlung personenbezogener Daten hat\nund durch verfahrensrechtliche Vorkehrungen sicherzu- trotz des Vorliegens eines Angemessenheitsbeschlus-\nstellen, dass diese Fristen eingehalten werden. ses im Sinne des Absatzes 1 Nummer 2 und des zu\nberücksichtigenden öffentlichen Interesses an der Da-\n§ 76 tenübermittlung zu unterbleiben, wenn im Einzelfall ein\ndatenschutzrechtlich angemessener und die elementa-\nProtokollierung\nren Menschenrechte wahrender Umgang mit den Daten\n(1) In automatisierten Verarbeitungssystemen haben beim Empfänger nicht hinreichend gesichert ist oder\nVerantwortliche und Auftragsverarbeiter mindestens die sonst überwiegende schutzwürdige Interessen einer\nfolgenden Verarbeitungsvorgänge zu protokollieren: betroffenen Person entgegenstehen. Bei seiner Beurtei-\n1. Erhebung, lung hat der Verantwortliche maßgeblich zu berücksich-\ntigen, ob der Empfänger im Einzelfall einen angemes-\n2. Veränderung,\nsenen Schutz der übermittelten Daten garantiert.\n3. Abfrage,\n(3) Wenn personenbezogene Daten, die aus einem\n4. Offenlegung einschließlich Übermittlung, anderen Mitgliedstaat der Europäischen Union übermit-\n5. Kombination und telt oder zur Verfügung gestellt wurden, nach Absatz 1\n6. Löschung. übermittelt werden sollen, muss diese Übermittlung zu-\nvor von der zuständigen Stelle des anderen Mitglied-\n(2) Die Protokolle über Abfragen und Offenlegungen staats genehmigt werden. Übermittlungen ohne vorhe-\nmüssen es ermöglichen, die Begründung, das Datum rige Genehmigung sind nur dann zulässig, wenn die\nund die Uhrzeit dieser Vorgänge und so weit wie mög- Übermittlung erforderlich ist, um eine unmittelbare und\nlich die Identität der Person, die die personenbezoge- ernsthafte Gefahr für die öffentliche Sicherheit eines\nnen Daten abgefragt oder offengelegt hat, und die Iden- Staates oder für die wesentlichen Interessen eines\ntität des Empfängers der Daten festzustellen. Mitgliedstaats abzuwehren, und die vorherige Geneh-\n(3) Die Protokolle dürfen ausschließlich für die Über- migung nicht rechtzeitig eingeholt werden kann. Im Fall\nprüfung der Rechtmäßigkeit der Datenverarbeitung des Satzes 2 ist die Stelle des anderen Mitgliedstaats,\ndurch die Datenschutzbeauftragte oder den Daten- die für die Erteilung der Genehmigung zuständig ge-\nschutzbeauftragten, die Bundesbeauftragte oder den wesen wäre, unverzüglich über die Übermittlung zu\nBundesbeauftragten und die betroffene Person sowie unterrichten.","2126 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n(4) Der Verantwortliche, der Daten nach Absatz 1 4. im Einzelfall für die in § 45 genannten Zwecke oder\nübermittelt, hat durch geeignete Maßnahmen sicherzu- 5. im Einzelfall zur Geltendmachung, Ausübung oder\nstellen, dass der Empfänger die übermittelten Daten nur Verteidigung von Rechtsansprüchen im Zusammen-\ndann an andere Drittstaaten oder andere internationale hang mit den in § 45 genannten Zwecken.\nOrganisationen weiterübermittelt, wenn der Verantwort-\nliche diese Übermittlung zuvor genehmigt hat. Bei der (2) Der Verantwortliche hat von einer Übermittlung\nEntscheidung über die Erteilung der Genehmigung hat nach Absatz 1 abzusehen, wenn die Grundrechte der\nder Verantwortliche alle maßgeblichen Faktoren zu be- betroffenen Person das öffentliche Interesse an der\nrücksichtigen, insbesondere die Schwere der Straftat, Übermittlung überwiegen.\nden Zweck der ursprünglichen Übermittlung und das (3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-\nin dem Drittstaat oder der internationalen Organisation, satz 2 entsprechend.\nan das oder an die die Daten weiterübermittelt werden\nsollen, bestehende Schutzniveau für personenbezo- § 81\ngene Daten. Eine Genehmigung darf nur dann erfolgen, Sonstige Datenübermittlung\nwenn auch eine direkte Übermittlung an den anderen an Empfänger in Drittstaaten\nDrittstaat oder die andere internationale Organisation\nzulässig wäre. Die Zuständigkeit für die Erteilung der (1) Verantwortliche können bei Vorliegen der übrigen\nGenehmigung kann auch abweichend geregelt werden. für die Datenübermittlung in Drittstaaten geltenden\nVoraussetzungen im besonderen Einzelfall personenbe-\n§ 79 zogene Daten unmittelbar an nicht in § 78 Absatz 1\nNummer 1 genannte Stellen in Drittstaaten übermitteln,\nDatenübermittlung bei geeigneten Garantien wenn die Übermittlung für die Erfüllung ihrer Aufgaben\n(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein unbedingt erforderlich ist und\nBeschluss nach Artikel 36 Absatz 3 der Richtlinie (EU)\n1. im konkreten Fall keine Grundrechte der betroffenen\n2016/680 vor, ist eine Übermittlung bei Vorliegen der\nPerson das öffentliche Interesse an einer Übermitt-\nübrigen Voraussetzungen des § 78 auch dann zulässig,\nlung überwiegen,\nwenn\n2. die Übermittlung an die in § 78 Absatz 1 Nummer 1\n1. in einem rechtsverbindlichen Instrument geeignete\ngenannten Stellen wirkungslos oder ungeeignet\nGarantien für den Schutz personenbezogener Daten\nwäre, insbesondere weil sie nicht rechtzeitig durch-\nvorgesehen sind oder\ngeführt werden kann, und\n2. der Verantwortliche nach Beurteilung aller Umstän-\n3. der Verantwortliche dem Empfänger die Zwecke der\nde, die bei der Übermittlung eine Rolle spielen, zu\nVerarbeitung mitteilt und ihn darauf hinweist, dass\nder Auffassung gelangt ist, dass geeignete Garan-\ndie übermittelten Daten nur in dem Umfang verarbei-\ntien für den Schutz personenbezogener Daten be-\ntet werden dürfen, in dem ihre Verarbeitung für diese\nstehen.\nZwecke erforderlich ist.\n(2) Der Verantwortliche hat Übermittlungen nach Ab-\n(2) Im Fall des Absatzes 1 hat der Verantwortliche\nsatz 1 Nummer 2 zu dokumentieren. Die Dokumenta-\ndie in § 78 Absatz 1 Nummer 1 genannten Stellen un-\ntion hat den Zeitpunkt der Übermittlung, die Identität\nverzüglich über die Übermittlung zu unterrichten, sofern\ndes Empfängers, den Grund der Übermittlung und die\ndies nicht wirkungslos oder ungeeignet ist.\nübermittelten personenbezogenen Daten zu enthalten.\nSie ist der oder dem Bundesbeauftragten auf Anforde- (3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-\nrung zur Verfügung zu stellen. satz 2 und 3 entsprechend.\n(3) Der Verantwortliche hat die Bundesbeauftragte (4) Bei Übermittlungen nach Absatz 1 hat der Ver-\noder den Bundesbeauftragten zumindest jährlich über antwortliche den Empfänger zu verpflichten, die über-\nÜbermittlungen zu unterrichten, die aufgrund einer Be- mittelten personenbezogenen Daten ohne seine Zu-\nurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der stimmung nur für den Zweck zu verarbeiten, für den\nUnterrichtung kann er die Empfänger und die Übermitt- sie übermittelt worden sind.\nlungszwecke angemessen kategorisieren. (5) Abkommen im Bereich der justiziellen Zusam-\nmenarbeit in Strafsachen und der polizeilichen Zusam-\n§ 80 menarbeit bleiben unberührt.\nDatenübermittlung ohne geeignete Garantien\n(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Be- Kapitel 6\nschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) Zusammenarbeit der Aufsichtsbehörden\n2016/680 vor und liegen auch keine geeigneten Garan-\ntien im Sinne des § 79 Absatz 1 vor, ist eine Übermitt- § 82\nlung bei Vorliegen der übrigen Voraussetzungen des\nGegenseitige Amtshilfe\n§ 78 auch dann zulässig, wenn die Übermittlung erfor-\nderlich ist (1) Die oder der Bundesbeauftragte hat den Daten-\n1. zum Schutz lebenswichtiger Interessen einer natür- schutzaufsichtsbehörden in anderen Mitgliedstaaten\nlichen Person, der Europäischen Union Informationen zu übermitteln\nund Amtshilfe zu leisten, soweit dies für eine einheitli-\n2. zur Wahrung berechtigter Interessen der betroffenen che Umsetzung und Anwendung der Richtlinie (EU)\nPerson, 2016/680 erforderlich ist. Die Amtshilfe betrifft insbe-\n3. zur Abwehr einer gegenwärtigen und erheblichen sondere Auskunftsersuchen und aufsichtsbezogene\nGefahr für die öffentliche Sicherheit eines Staates, Maßnahmen, beispielsweise Ersuchen um Konsultation","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2127\noder um Vornahme von Nachprüfungen und Untersu- (4) Hat bei der Entstehung des Schadens ein Ver-\nchungen. schulden der betroffenen Person mitgewirkt, ist § 254\n(2) Die oder der Bundesbeauftragte hat alle geeigne- des Bürgerlichen Gesetzbuchs entsprechend anzu-\nten Maßnahmen zu ergreifen, um Amtshilfeersuchen wenden.\nunverzüglich und spätestens innerhalb eines Monats (5) Auf die Verjährung finden die für unerlaubte\nnach deren Eingang nachzukommen. Handlungen geltenden Verjährungsvorschriften des\n(3) Die oder der Bundesbeauftragte darf Amtshilfe- Bürgerlichen Gesetzbuchs entsprechende Anwendung.\nersuchen nur ablehnen, wenn\n§ 84\n1. sie oder er für den Gegenstand des Ersuchens oder\nfür die Maßnahmen, die sie oder er durchführen soll, Strafvorschriften\nnicht zuständig ist oder Für Verarbeitungen personenbezogener Daten durch\n2. ein Eingehen auf das Ersuchen gegen Rechtsvor- öffentliche Stellen im Rahmen von Tätigkeiten nach\nschriften verstoßen würde. § 45 Satz 1, 3 oder 4 findet § 42 entsprechende An-\nwendung.\n(4) Die oder der Bundesbeauftragte hat die ersu-\nchende Aufsichtsbehörde des anderen Staates über Te i l 4\ndie Ergebnisse oder gegebenenfalls über den Fortgang\nder Maßnahmen zu informieren, die getroffen wurden, Besondere\num dem Amtshilfeersuchen nachzukommen. Sie oder Bestimmungen für\ner hat im Fall des Absatzes 3 die Gründe für die Ableh- Ve r a r b e i t u n g e n i m R a h m e n\nnung des Ersuchens zu erläutern. von nicht in die Anwendungsbereiche\n(5) Die oder der Bundesbeauftragte hat die Informa- d e r Ve ro rd n u n g ( E U ) 2 0 1 6 / 6 7 9\ntionen, um die sie oder er von der Aufsichtsbehörde und der Richtlinie (EU) 2016/680\ndes anderen Staates ersucht wurde, in der Regel elek- fallenden Tätigkeiten\ntronisch und in einem standardisierten Format zu über-\nmitteln. § 85\n(6) Die oder der Bundesbeauftragte hat Amtshilfe- Verarbeitung\nersuchen kostenfrei zu erledigen, soweit sie oder er personenbezogener Daten\nnicht im Einzelfall mit der Aufsichtsbehörde des ande- im Rahmen von nicht in die Anwendungs-\nren Staates die Erstattung entstandener Ausgaben ver- bereiche der Verordnung (EU) 2016/679 und\neinbart hat. der Richtlinie (EU) 2016/680 fallenden Tätigkeiten\n(7) Ein Amtshilfeersuchen der oder des Bundesbe- (1) Die Übermittlung personenbezogener Daten an\nauftragten hat alle erforderlichen Informationen zu ent- einen Drittstaat oder an über- oder zwischenstaatliche\nhalten; hierzu gehören insbesondere der Zweck und die Stellen oder internationale Organisationen im Rahmen\nBegründung des Ersuchens. Die auf das Ersuchen von nicht in die Anwendungsbereiche der Verordnung\nübermittelten Informationen dürfen ausschließlich zu (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen-\ndem Zweck verwendet werden, zu dem sie angefordert den Tätigkeiten ist über die bereits gemäß der Verord-\nwurden. nung (EU) 2016/679 zulässigen Fälle hinaus auch dann\nzulässig, wenn sie zur Erfüllung eigener Aufgaben aus\nKapitel 7 zwingenden Gründen der Verteidigung oder zur Erfül-\nlung über- oder zwischenstaatlicher Verpflichtungen\nHaftung und Sanktionen\neiner öffentlichen Stelle des Bundes auf dem Gebiet\nder Krisenbewältigung oder Konfliktverhinderung oder\n§ 83\nfür humanitäre Maßnahmen erforderlich ist. Der Emp-\nSchadensersatz und Entschädigung fänger ist darauf hinzuweisen, dass die übermittelten\n(1) Hat ein Verantwortlicher einer betroffenen Person Daten nur zu dem Zweck verwendet werden dürfen,\ndurch eine Verarbeitung personenbezogener Daten, die zu dem sie übermittelt wurden.\nnach diesem Gesetz oder nach anderen auf ihre Verar- (2) Für Verarbeitungen im Rahmen von nicht in die\nbeitung anwendbaren Vorschriften rechtswidrig war, Anwendungsbereiche der Verordnung (EU) 2016/679\neinen Schaden zugefügt, ist er oder sein Rechtsträger und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten\nder betroffenen Person zum Schadensersatz verpflich- durch Dienststellen im Geschäftsbereich des Bundes-\ntet. Die Ersatzpflicht entfällt, soweit bei einer nicht ministeriums der Verteidigung gilt § 16 Absatz 4 nicht,\nautomatisierten Verarbeitung der Schaden nicht auf soweit das Bundesministerium der Verteidigung im Ein-\nein Verschulden des Verantwortlichen zurückzuführen zelfall feststellt, dass die Erfüllung der dort genannten\nist. Pflichten die Sicherheit des Bundes gefährden würde.\n(2) Wegen eines Schadens, der nicht Vermögens- (3) Für Verarbeitungen im Rahmen von nicht in die\nschaden ist, kann die betroffene Person eine angemes- Anwendungsbereiche der Verordnung (EU) 2016/679\nsene Entschädigung in Geld verlangen. und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten\n(3) Lässt sich bei einer automatisierten Verarbeitung durch öffentliche Stellen des Bundes besteht keine\npersonenbezogener Daten nicht ermitteln, welche von Informationspflicht gemäß Artikel 13 Absatz 1 und 2\nmehreren beteiligten Verantwortlichen den Schaden der Verordnung (EU) 2016/679, wenn\nverursacht hat, so haftet jeder Verantwortliche bezie- 1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3\nhungsweise sein Rechtsträger. handelt oder","2128 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\n2. durch ihre Erfüllung Informationen offenbart würden, b) Absatz 3 Satz 5 und 6 wird wie folgt gefasst:\ndie nach einer Rechtsvorschrift oder ihrem Wesen „In diesem Fall ist die Verarbeitung der in der\nnach, insbesondere wegen der überwiegenden be- Akte gespeicherten personenbezogenen Daten\nrechtigten Interessen eines Dritten, geheim gehalten einzuschränken und mit einem entsprechenden\nwerden müssen, und deswegen das Interesse der Vermerk zu versehen. Sie dürfen nur für die Inte-\nbetroffenen Person an der Erteilung der Information ressen nach Satz 4 verarbeitet werden oder\nzurücktreten muss. wenn es zur Abwehr einer erheblichen Gefahr\nIst die betroffene Person in den Fällen des Satzes 1 unerlässlich ist.“\nnicht zu informieren, besteht auch kein Recht auf Aus- 6. Dem § 14 Absatz 1 wird folgender Satz angefügt:\nkunft. § 32 Absatz 2 und § 33 Absatz 2 finden keine\n„Das Bundesamt für Verfassungsschutz führt ein\nAnwendung.\nVerzeichnis der geltenden Dateianordnungen.“\nArtikel 2 7. § 22a wird wie folgt geändert:\na) In Absatz 5 wird das Wort „Sperrung“ durch das\nÄnderung des\nWort „Verarbeitungseinschränkung“ ersetzt.\nBundesverfassungsschutzgesetzes\nb) In Absatz 6 Satz 1 Nummer 9 wird die Angabe\nDas Bundesverfassungsschutzgesetz vom 20. De- „nach § 8“ durch die Angabe „entsprechend\nzember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch § 83“ ersetzt.\nArtikel 2 Absatz 1 des Gesetzes vom 16. Juni 2017\n8. § 22b Absatz 7 Satz 1 und 2 wird wie folgt gefasst:\n(BGBl. I S. 1634) geändert worden ist, wird wie folgt\ngeändert: „Das Bundesamt für Verfassungsschutz trifft für die\nDateien die technischen und organisatorischen\n1. § 6 wird wie folgt geändert:\nMaßnahmen entsprechend § 64 des Bundesdaten-\na) In Absatz 2 Satz 4 wird das Wort „sperren“ durch schutzgesetzes. § 6 Absatz 3 Satz 2 bis 5 und\ndie Wörter „die Verarbeitung einschränken“ er- § 26a gelten nur für die vom Bundesamt für Verfas-\nsetzt. sungsschutz eingegebenen Daten sowie dessen\nb) In Absatz 3 Satz 1 wird die Angabe „nach § 9“ Abrufe.“\ndurch die Angabe „entsprechend § 64“ ersetzt. 9. § 25 Satz 3 wird wie folgt gefasst:\n2. § 8 Absatz 1 Satz 1 wird wie folgt gefasst: „Die Vernichtung kann unterbleiben, wenn die Tren-\nnung von anderen Informationen, die zur Erfüllung\n„Das Bundesamt für Verfassungsschutz darf die zur\nder Aufgaben erforderlich sind, nicht oder nur mit\nErfüllung seiner Aufgaben erforderlichen Informa-\nunvertretbarem Aufwand möglich ist; in diesem Fall\ntionen einschließlich personenbezogener Daten\nist die Verarbeitung der Daten einzuschränken.“\nverarbeiten, soweit nicht die anzuwendenden Be-\nstimmungen des Bundesdatenschutzgesetzes oder 10. § 27 wird durch die folgenden §§ 26a und 27 er-\nbesondere Regelungen in diesem Gesetz entge- setzt:\ngenstehen; die Verarbeitung ist auch zulässig, „§ 26a\nwenn der Betroffene eingewilligt hat.“\nUnabhängige Datenschutzkontrolle\n3. In § 8b Absatz 2 Satz 4 werden die Wörter „Erhe- (1) Jedermann kann sich an die Bundesbeauf-\nbung, Verarbeitung und Nutzung“ durch das Wort tragte oder den Bundesbeauftragten für den Daten-\n„Verarbeitung“ ersetzt. schutz und die Informationsfreiheit wenden, wenn\n4. § 12 wird wie folgt geändert: er der Ansicht ist, bei der Verarbeitung seiner per-\nsonenbezogenen Daten durch das Bundesamt\na) In der Überschrift wird das Wort „Sperrung“\nfür Verfassungsschutz in seinen Rechten verletzt\ndurch das Wort „Verarbeitungseinschränkung“\nworden zu sein.\nersetzt.\n(2) Die oder der Bundesbeauftragte für den Da-\nb) Absatz 2 Satz 3 wird wie folgt gefasst: tenschutz und die Informationsfreiheit kontrolliert\n„In diesem Falle ist die Verarbeitung einzu- beim Bundesamt für Verfassungsschutz die Einhal-\nschränken.“ tung der Vorschriften über den Datenschutz. Soweit\ndie Einhaltung von Vorschriften der Kontrolle durch\n5. § 13 wird wie folgt geändert:\ndie G 10-Kommission unterliegt, unterliegt sie nicht\na) Absatz 2 wird wie folgt gefasst: der Kontrolle durch die Bundesbeauftragte oder\n„(2) Das Bundesamt für Verfassungsschutz den Bundesbeauftragten für den Datenschutz und\nhat die Verarbeitung personenbezogener Daten die Informationsfreiheit, es sei denn, die G 10-Kom-\neinzuschränken, wenn es im Einzelfall feststellt, mission ersucht die Bundesbeauftragte oder den\ndass ohne die Einschränkung schutzwürdige In- Bundesbeauftragten für den Datenschutz und die\nteressen des Betroffenen beeinträchtigt würden Informationsfreiheit, die Einhaltung der Vorschriften\nund die Daten für seine künftige Aufgabenerfül- über den Datenschutz bei bestimmten Vorgängen\nlung nicht mehr erforderlich sind. Verarbeitungs- oder in bestimmten Bereichen zu kontrollieren und\neingeschränkte Daten sind mit einem entspre- ausschließlich ihr darüber zu berichten.\nchenden Vermerk zu versehen; sie dürfen nicht (3) Das Bundesamt für Verfassungsschutz ist\nmehr genutzt oder übermittelt werden. Eine Auf- verpflichtet, die Bundesbeauftragte oder den Bun-\nhebung der Einschränkung ist möglich, wenn desbeauftragten für den Datenschutz und die Infor-\nihre Voraussetzungen nachträglich entfallen.“ mationsfreiheit und ihre oder seine schriftlich be-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2129\nsonders Beauftragten bei der Erfüllung ihrer oder 3. In § 10 Absatz 2 Satz 2 werden nach den Wörtern\nseiner Aufgaben zu unterstützen. Den in Satz 1 ge- „frühere Namen,“ die Wörter „das Geburtsdatum,“\nnannten Personen ist dabei insbesondere eingefügt.\n1. Auskunft zu ihren Fragen sowie Einsicht in alle 4. Nach § 12 wird folgender § 12a eingefügt:\nUnterlagen, insbesondere in die gespeicherten „§ 12a\nDaten und in die Datenverarbeitungsprogramme,\nUnabhängige Datenschutzkontrolle\nzu gewähren, die im Zusammenhang mit der\nKontrolle nach Absatz 2 stehen, § 26a des Bundesverfassungsschutzgesetzes ist\nmit der Maßgabe entsprechend anzuwenden, dass\n2. jederzeit Zutritt in alle Diensträume zu gewähren. an die Stelle des Bundesministeriums des Innern\nDies gilt nicht, soweit das Bundesministerium des das Bundesministerium der Verteidigung tritt.“\nInnern im Einzelfall feststellt, dass die Auskunft 5. § 13 wird wie folgt gefasst:\noder Einsicht die Sicherheit des Bundes oder eines\nLandes gefährden würde. „§ 13\nAnwendung des Bundesdatenschutzgesetzes\n(4) Die Absätze 1 bis 3 gelten ohne Beschrän-\nkung auf die Erfüllung der Aufgaben nach § 3. Sie Bei der Erfüllung der Aufgaben nach § 1 Absatz 1\ngelten entsprechend für die Verarbeitung personen- bis 3, den §§ 2 und 14 durch den Militärischen Ab-\nbezogener Daten durch andere Stellen, wenn diese schirmdienst findet das Bundesdatenschutzgesetz\nder Erfüllung der Aufgaben von Verfassungsschutz- wie folgt Anwendung:\nbehörden nach § 3 dient. § 16 Absatz 1 und 4 1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die\ndes Bundesdatenschutzgesetzes findet keine An- §§ 17 bis 21 sowie § 85 finden keine Anwendung,\nwendung.\n2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,\n62, 64, 83, 84 sind entsprechend anzuwenden.“\n§ 27\nAnwendung des Bundesdatenschutzgesetzes Artikel 4\nBei der Erfüllung der Aufgaben nach § 3 durch Änderung des\ndas Bundesamt für Verfassungsschutz findet das BND-Gesetzes\nBundesdatenschutzgesetz wie folgt Anwendung:\nDas BND-Gesetz vom 20. Dezember 1990 (BGBl. I\n1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die S. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzes\n§§ 17 bis 21 sowie § 85 finden keine Anwendung, vom 10. März 2017 (BGBl. I S. 410) geändert worden\nist, wird wie folgt geändert:\n2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,\n62, 64, 83, 84 sind entsprechend anzuwenden.“ 1. In § 1 Absatz 2 Satz 2 werden die Wörter „Erhe-\nbung, Verarbeitung und Nutzung“ durch das Wort\n„Verarbeitung“ ersetzt.\nArtikel 3\n2. § 2 Absatz 1 wird wie folgt geändert:\nÄnderung des\na) Im Satzteil vor Nummer 1 werden die Wörter „er-\nMAD-Gesetzes\nheben, verarbeiten und nutzen“ durch das Wort\nDas MAD-Gesetz vom 20. Dezember 1990 (BGBl. I „verarbeiten“ ersetzt.\nS. 2954, 2977), das zuletzt durch Artikel 6 des Gesetzes b) Folgender Satz wird angefügt:\nvom 27. März 2017 (BGBl. I S. 562) geändert worden\nist, wird wie folgt geändert: „Die Verarbeitung ist auch zulässig, wenn der\nBetroffene eingewilligt hat.“\n1. § 4 Absatz 1 wird wie folgt gefasst:\n3. § 6 wird wie folgt geändert:\n„(1) Der Militärische Abschirmdienst darf die zur a) In der Überschrift werden die Wörter „Erhebung\nErfüllung seiner Aufgaben erforderlichen Informatio- und“ gestrichen.\nnen einschließlich personenbezogener Daten verar-\nbeiten nach § 8 Absatz 2, 4 und 5 des Bundesver- b) In Absatz 1 Satz 1 werden die Wörter „erheben\nfassungsschutzgesetzes, soweit nicht die anzuwen- und“ gestrichen.\ndenden Bestimmungen des Bundesdatenschutz- 4. In § 7 werden die Wörter „Verarbeitung und Nut-\ngesetzes oder besondere Regelungen in diesem zung“ in der Überschrift durch die Wörter „Weitere\nGesetz entgegenstehen; die Verarbeitung ist auch Verarbeitung“ und in Absatz 1 durch die Wörter\nzulässig, wenn der Betroffene eingewilligt hat. Der „weitere Verarbeitung“ ersetzt.\nMilitärische Abschirmdienst ist nicht befugt, perso-\n5. In § 10 Absatz 4 Satz 6 wird das Wort „gesperrt“\nnenbezogene Daten zur Erfüllung seiner Aufgaben\ndurch die Wörter „in ihrer Verarbeitung einge-\nnach § 1 Absatz 2 zu erheben. § 8 Absatz 2 des\nschränkt“ ersetzt.\nBundesverfassungsschutzgesetzes findet mit der\nMaßgabe Anwendung, dass die Zustimmung zur 6. In der Überschrift zu Abschnitt 3 wird das Wort\nDienstanweisung durch das Bundesministerium der „Datenverarbeitung“ durch das Wort „Datenweiter-\nVerteidigung erteilt wird.“ verarbeitung“ ersetzt.\n2. In § 6 Absatz 2 werden die Wörter „zu sperren“ 7. § 20 wird wie folgt geändert:\ndurch die Wörter „ihre Verarbeitung einzuschränken“ a) In der Überschrift wird das Wort „Sperrung“ durch\nersetzt. das Wort „Verarbeitungseinschränkung“ ersetzt.","2130 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\nb) In den Absätzen 1 und 2 Satz 1 werden jeweils 1. Die Inhaltsübersicht wird wie folgt geändert:\ndie Wörter „zu sperren“ durch die Wörter „deren a) Die Angabe zu § 31 wird wie folgt gefasst:\nVerarbeitung einzuschränken“ ersetzt.\n„§ 31 Datenverarbeitung in automatisierten Da-\n8. § 25 wird wie folgt geändert: teien“.\na) In Absatz 5 wird das Wort „Sperrung“ durch das b) Nach der Angabe zu § 36 wird folgende Angabe\nWort „Verarbeitungseinschränkung“ ersetzt. eingefügt:\nb) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „§ 36a Unabhängige Datenschutzkontrolle“.\n„§ 8“ durch die Angabe „§ 83“ ersetzt. 2. In § 19 Absatz 2 Satz 5 werden die Wörter „verarbei-\n9. In § 27 Absatz 2 wird das Wort „Sperrung“ durch tet und genutzt“ durch die Wörter „gespeichert, ge-\ndas Wort „Verarbeitungseinschränkung“ ersetzt. nutzt, verändert, übermittelt und gelöscht“ ersetzt.\n10. In § 28 Satz 2 Nummer 11 wird die Angabe „§ 8“ 3. In § 21 Absatz 5 Satz 1 werden die Wörter „verarbei-\ndurch die Angabe „§ 83“ ersetzt. ten und nutzen“ durch die Wörter „speichern, nut-\nzen, verändern und übermitteln“ ersetzt.\n11. § 32 wird wie folgt gefasst:\n4. In § 22 Absatz 3 Satz 3 werden die Wörter „verarbei-\n„§ 32 tet und genutzt“ durch die Wörter „genutzt, verän-\nUnabhängige Datenschutzkontrolle dert, übermittelt und gelöscht“ ersetzt.\n§ 26a des Bundesverfassungsschutzgesetzes ist 5. Die Überschrift von § 31 wird wie folgt gefasst:\nmit der Maßgabe entsprechend anzuwenden, dass „§ 31\nan die Stelle des Bundesministeriums des Innern\nDatenverarbeitung in automatisierten Dateien“.\ndas Bundeskanzleramt tritt.“\n6. § 36 wird durch die folgenden §§ 36 und 36a ersetzt:\n12. Nach § 32 wird folgender § 32a eingefügt:\n„§ 36\n„§ 32a\nAnwendung des\nAnwendung des Bundesdatenschutzgesetzes Bundesdatenschutzgesetzes,\nBei der Erfüllung der Aufgaben des Bundesnach- Bundesverfassungsschutzgesetzes,\nrichtendienstes nach § 1 Absatz 2 ist das Bundes- MAD-Gesetzes und BND-Gesetzes\ndatenschutzgesetz wie folgt anzuwenden: (1) Die Vorschriften des Bundesdatenschutzge-\n1. von den Teilen 1 und 4 des Bundesdatenschutz- setzes finden wie folgt Anwendung:\ngesetzes 1. § 1 Absatz 8, § 16 Absatz 1 und 4 und die §§ 17\nbis 21 sowie § 85 finden keine Anwendung,\na) finden § 1 Absatz 8, die §§ 4, 16 Absatz 1\nund 4, die §§ 17 bis 21 sowie § 85 keine An- 2. die §§ 42, 46, 51 Absatz 1 und 3, die §§ 52, 53, 54\nwendung, Absatz 1 und 2 sowie die §§ 62, 64, 83 sind ent-\nsprechend anzuwenden.\nb) findet § 14 Absatz 2 mit der Maßgabe Anwen-\ndung, dass sich die oder der Bundesbeauf- (2) Die Vorschriften des Ersten Abschnitts und die\ntragte für den Datenschutz und die Informa- §§ 14 und 23 Nummer 3 des Bundesverfassungs-\ntionsfreiheit nur an die Bundesregierung so- schutzgesetzes auch in Verbindung mit § 12 des\nwie an die für die Kontrolle des Bundesnach- MAD-Gesetzes und § 31 des BND-Gesetzes sowie\nrichtendienstes zuständigen Gremien (Parla- die §§ 1, 8 und § 10 Absatz 2 Satz 2 bis 6 des MAD-\nmentarisches Kontrollgremium, Vertrauens- Gesetzes und § 21 des BND-Gesetzes finden An-\ngremium, G 10-Kommission, Unabhängiges wendung.\nGremium) wenden darf; eine Befassung der\nfür die Kontrolle des Bundesnachrichten- § 36a\ndienstes zuständigen Gremien setzt voraus, Unabhängige Datenschutzkontrolle\ndass sie oder er der Bundesregierung ent- (1) Jede Person kann sich an die Bundesbeauf-\nsprechend § 16 Absatz 2 Satz 1 des Bundes- tragte oder den Bundesbeauftragten für den Daten-\ndatenschutzgesetzes zuvor Gelegenheit ge- schutz und die Informationsfreiheit wenden, wenn\ngeben hat, innerhalb einer von ihr oder ihm sie der Ansicht ist, bei der Verarbeitung ihrer perso-\ngesetzten Frist Stellung zu nehmen; nenbezogenen Daten nach diesem Gesetz durch\n2. von Teil 3 des Bundesdatenschutzgesetzes sind öffentliche oder nichtöffentliche Stellen in ihren\ndie §§ 46, 51 Absatz 1 bis 4 sowie die §§ 52 Rechten verletzt worden zu sein.\nbis 54, 62, 64, 83, 84 entsprechend anzuwen- (2) Die oder der Bundesbeauftragte für den Da-\nden.“ tenschutz und die Informationsfreiheit kontrolliert\nbei den öffentlichen und den nichtöffentlichen Stel-\nArtikel 5 len die Einhaltung der anzuwendenden Vorschriften\nüber den Datenschutz bei der Erfüllung der Aufga-\nÄnderung des\nben dieses Gesetzes. Soweit die Einhaltung von Vor-\nSicherheitsüberprüfungsgesetzes schriften der Kontrolle durch die G 10-Kommission\nDas Sicherheitsüberprüfungsgesetz vom 20. April unterliegt, unterliegt sie nicht der Kontrolle durch die\n1994 (BGBl. I S. 867), das zuletzt durch Artikel 1 des Bundesbeauftragte oder den Bundesbeauftragten\nGesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert für den Datenschutz und die Informationsfreiheit, es\nworden ist, wird wie folgt geändert: sei denn, die G 10-Kommission ersucht die Bundes-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2131\nbeauftragte oder den Bundesbeauftragten für den 4. In § 16 Satz 2 werden die Wörter „und Nutzung“\nDatenschutz und die Informationsfreiheit, sie bei be- gestrichen.\nstimmten Vorgängen oder in bestimmten Bereichen\nzu kontrollieren und ausschließlich ihr darüber zu be- Artikel 7\nrichten. Der Kontrolle durch die Bundesbeauftragte\noder den Bundesbeauftragten für den Datenschutz Änderung des\nund die Informationsfreiheit unterliegen auch nicht Bundesdatenschutzgesetzes\npersonenbezogene Daten in Akten über die Sicher- Das Bundesdatenschutzgesetz in der Fassung der\nheitsüberprüfung, wenn der Betroffene der Kontrolle Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66),\nder auf ihn bezogenen Daten im Einzelfall gegenüber das zuletzt durch Artikel 1 des Gesetzes vom 28. April\nder oder dem Bundesbeauftragten für den Daten- 2017 (BGBl. I S. 968) geändert worden ist, wird wie\nschutz und die Informationsfreiheit widerspricht. folgt geändert:\n(3) Die öffentlichen und nichtöffentlichen Stellen 1. In der Inhaltsübersicht wird nach der Angabe zu\nsind verpflichtet, die Bundesbeauftragte oder den § 42a folgende Angabe eingefügt:\nBundesbeauftragten für den Datenschutz und die In- „§ 42b Antrag der Aufsichtsbehörde auf gericht-\nformationsfreiheit und ihre oder seine schriftlich be- liche Entscheidung bei angenommener\nsonders Beauftragten bei der Erfüllung ihrer oder Rechtswidrigkeit eines Beschlusses der\nseiner Aufgaben zu unterstützen. Den in Satz 1 ge- Europäischen Kommission“.\nnannten Personen ist dabei insbesondere\n2. Nach § 22 Absatz 5 wird folgender Absatz 5a einge-\n1. Auskunft zu ihren Fragen sowie Einsicht in alle fügt:\nUnterlagen, insbesondere in die gespeicherten\nDaten und in die Datenverarbeitungsprogramme, „(5a) Die oder der Bundesbeauftragte kann Auf-\nzu gewähren, die im Zusammenhang mit der Kon- gaben der Personalverwaltung und Personalwirt-\ntrolle nach Absatz 2 stehen, schaft auf andere Stellen des Bundes übertragen,\nsoweit hierdurch die Unabhängigkeit der oder\n2. jederzeit Zutritt in alle Diensträume zu gewähren. des Bundesbeauftragten nicht beeinträchtigt wird.\nDies gilt nicht, soweit die zuständige oberste Bun- Diesen Stellen dürfen personenbezogene Daten der\ndesbehörde im Einzelfall feststellt, dass die Auskunft Beschäftigten übermittelt werden, soweit deren\noder Einsicht die Sicherheit des Bundes oder eines Kenntnis zur Erfüllung der übertragenen Aufgaben\nLandes gefährden würde.“ erforderlich ist.“\n3. Nach § 42a wird folgender § 42b eingefügt:\nArtikel 6 „§ 42b\nÄnderung des Antrag der\nArtikel 10-Gesetzes Aufsichtsbehörde\nauf gerichtliche Entscheidung\nDas Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. I\nbei angenommener Rechtswidrigkeit\nS. 1254, 2298; 2017 I S. 154), das zuletzt durch Artikel 2\neines Beschlusses der Europäischen Kommission\nAbsatz 2 des Gesetzes vom 16. Juni 2017 (BGBl. I\nS. 1634) geändert worden ist, wird wie folgt geändert: (1) Hält eine Aufsichtsbehörde einen Angemes-\nsenheitsbeschluss der Europäischen Kommission,\n1. § 4 wird wie folgt geändert:\neinen Beschluss über die Anerkennung von Stan-\na) Absatz 1 Satz 7 wird wie folgt gefasst: dardschutzklauseln oder über die Allgemeingültig-\n„In diesem Fall ist die Verarbeitung der Daten ein- keit von genehmigten Verhaltensregeln, auf dessen\nzuschränken; sie dürfen nur zu diesen Zwecken Gültigkeit es für eine Entscheidung der Aufsichtsbe-\nverwendet werden.“ hörde ankommt, für rechtswidrig, so hat die Auf-\nsichtsbehörde ihr Verfahren auszusetzen und einen\nb) Absatz 4 wird wie folgt geändert: Antrag auf gerichtliche Entscheidung zu stellen.\naa) Nach dem Wort „dürfen“ werden die Wörter (2) Für Verfahren nach Absatz 1 ist der Verwal-\n„an andere als die nach § 1 Absatz 1 Num- tungsrechtsweg gegeben. Die Verwaltungsgerichts-\nmer 1 berechtigten Stellen“ eingefügt. ordnung ist nach Maßgabe der Absätze 3 bis 6 an-\nbb) Folgender Satz wird angefügt: zuwenden.\n„Bei der Übermittlung an ausländische öffent- (3) Über einen Antrag der Aufsichtsbehörde nach\nliche Stellen sowie an über- und zwischen- Absatz 1 entscheidet im ersten und letzten Rechts-\nstaatliche Stellen ist daneben § 19 Absatz 3 zug das Bundesverwaltungsgericht.\nSatz 2 und 4 des Bundesverfassungsschutz- (4) In Verfahren nach Absatz 1 ist die Aufsichts-\ngesetzes anzuwenden.“ behörde beteiligungsfähig. An einem Verfahren nach\nAbsatz 1 ist die Aufsichtsbehörde als Antragstellerin\n2. § 6 Absatz 1 Satz 7 wird wie folgt gefasst:\nbeteiligt; § 63 Nummer 3 und 4 der Verwaltungsge-\n„In diesem Fall ist die Verarbeitung der Daten einzu- richtsordnung bleibt unberührt. Das Bundesverwal-\nschränken; sie dürfen nur zu diesen Zwecken ver- tungsgericht kann der Europäischen Kommission\nwendet werden.“ Gelegenheit zur Äußerung binnen einer zu bestim-\n3. In § 15 Absatz 5 Satz 2 werden die Wörter „Erhe- menden Frist geben.\nbung, Verarbeitung und Nutzung“ durch das Wort (5) Ist ein Verfahren zur Überprüfung der Gültig-\n„Verarbeitung“ ersetzt. keit eines Beschlusses der Europäischen Kommis-","2132 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017\nsion nach Absatz 1 bei dem Gerichtshof der Euro- päischen Union dem Gerichtshof der Europäischen\npäischen Union anhängig, so kann das Bundesver- Union zur Entscheidung vor.“\nwaltungsgericht anordnen, dass die Verhandlung bis\nzur Erledigung des Verfahrens vor dem Gerichtshof Artikel 8\nder Europäischen Union auszusetzen sei.\nInkrafttreten, Außerkrafttreten\n(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5\nSatz 1 und Absatz 6 der Verwaltungsgerichtsord- (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2\nnung entsprechend anzuwenden. Kommt das Bun- am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Bundes-\ndesverwaltungsgericht zu der Überzeugung, dass datenschutzgesetz in der Fassung der Bekanntma-\nder Beschluss der Europäischen Kommission nach chung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt\nAbsatz 1 gültig ist, so stellt es dies in seiner Ent- durch Artikel 7 dieses Gesetzes geändert worden ist,\nscheidung fest. Andernfalls legt es die Frage nach außer Kraft.\nder Gültigkeit des Beschlusses gemäß Artikel 267 (2) Artikel 7 tritt am Tag nach der Verkündung in\ndes Vertrags über die Arbeitsweise der Euro- Kraft.\nDas vorstehende Gesetz wird hiermit ausgefertigt. Es\nist im Bundesgesetzblatt zu verkünden.\nBerlin, den 30. Juni 2017\nDer Bundespräsident\nSteinmeier\nDie Bundeskanzlerin\nDr. A n g e l a M e r k e l\nDer Bundesminister des Innern\nThomas de Maizière\nDer Bundesminister\nd e r J u s t i z u n d f ü r Ve r b r a u c h e r s c h u t z\nHeiko Maas\nDer Bundesminister für Gesundheit\nHermann Gröhe"]}