Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Informationen (Landesdatenschutzgesetz - LDSG -) Vom 9. Februar 2000

§ 1 Gesetzeszweck Zweck dieses Gesetzes ist es, bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen das Recht auf informationelle Selbstbestimmung zu wahren. Dieses Gesetz trifft ergänzende Regelungen zur Durchführung der Verordnung (EU) 2016/679 1 und zur Umsetzung der Richtlinie (EU) 2016/680 2 .

§ 10 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1) Die Pflicht zur Benachrichtigung gemäß Artikel 34 der Verordnung (EU) 2016/679 der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person besteht ergänzend zu den in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit und solange 1. die Information die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes schwere Nachteile bereiten würde, 2. die Information die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde, 3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind oder 4. die Information die Sicherheit von Datenverarbeitungssystemen gefährden würde. (2) § 8 Absatz 2 und Absatz 3 Satz 1 gilt entsprechend.

§ 11 Widerspruchsrecht Das Widerspruchsrecht gemäß Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.

§ 12 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 durch öffentliche Stellen zulässig, wenn sie 1. aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist, 2. zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 3. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder 4. aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Landes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen. (2) Werden auf der Grundlage dieses Unterabschnitts oder einer sonstigen gesetzlichen Regelung im Landesrecht besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet, hat der Verantwortliche durch geeignete technische wie organisatorische Maßnahmen sicherzustellen, dass hierbei die Vorgaben der Verordnung (EU) 2016/679 eingehalten werden und Grundrechte sowie Interessen der betroffenen Person gewahrt werden. (3) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können zu den zu ergreifenden Maßnahmen insbesondere gehören: 1. die Sensibilisierung und Schulung der an Verarbeitungsvorgängen Beteiligten, 2. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern, 3. Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind, 4. die Pseudonymisierung sowie die Verschlüsselung personenbezogener Daten, 5. die Festlegung von besonderen Aussonderungsprüffristen, 6. die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen, 7. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, 8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

§ 13 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (1) Öffentliche Stellen dürfen personenbezogene Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeiten, wenn 1. schutzwürdige Belange der betroffenen Person wegen der Offenkundigkeit der Daten oder wegen der Art ihrer Verwendung schon nicht beeinträchtigt werden oder 2. das öffentliche Interesse an der Verarbeitung die schutzwürdigen Belange der betroffenen Person überwiegt und der Forschungs- oder Statistikzweck nicht oder nur mit unverhältnismäßigem Aufwand auf andere Weise erreicht werden kann. Die übermittelten Daten dürfen nicht für andere Zwecke als für Forschungs- oder Statistikzwecke verarbeitet werden. (2) Ergänzend zu den in § 12 genannten Maßnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete personenbezogene Daten so zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (Anonymisierung), sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis dahin sind die Merkmale zu pseudonymisieren. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert. (3) Auch Empfängern, die den Vorschriften dieses Gesetzes nicht unterliegen, können personenbezogene Daten im Sinne von Absatz 1 Satz 1 übermittelt werden, wenn diese sich verpflichten, die Daten nur für das von ihnen zu bezeichnende Forschungs- oder Statistikvorhaben und nach Maßgabe der Absätze 1, 2 und 4 zu verarbeiten. (4) Die verantwortliche öffentliche Stelle darf personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Personen oder Ereignisse der Zeitgeschichte unerlässlich ist. (5) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als ihre Wahrnehmung die spezifischen Forschungs- oder Statistikzwecke voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen würde.

§ 14 Videoüberwachung öffentlich zugänglicher Räume (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit dies 1. zur Aufgabenerfüllung öffentlicher Stellen oder 2. zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Hierbei dürfen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet werden. Die automatisierte Verarbeitung biometrischer Daten zur Identifizierung natürlicher Personen ist nicht zulässig. (2) Der Umstand der Beobachtung, die Angaben nach Artikel 13 Absatz 1 Buchstabe a bis c der Verordnung (EU) 2016/679 sowie die Möglichkeit, bei der oder dem Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete, zum frühestmöglichen Zeitpunkt wahrnehmbare Maßnahmen erkennbar zu machen. (3) Die weitere Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen. Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die nationale und öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Vollstreckung von Strafen erforderlich ist. Absatz 1 Satz 3 bleibt unberührt. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet oder zu anderen als den in Absatz 1 genannten Zwecken verarbeitet, besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung entsprechend Artikel 13 und 14 der Verordnung (EU) 2016/679 , soweit und solange der Zweck der Verarbeitung hierdurch nicht gefährdet wird. (5) Wenn und soweit die Daten nicht mehr zur Erreichung der Zwecke nach den Absätzen 1 und 3 erforderlich sind oder schutzwürdige Interessen des Betroffenen einer weiteren Speicherung entgegenstehen, sind die Daten zu löschen. Die Löschung erfolgt unverzüglich.

§ 15 Datenverarbeitung im Beschäftigungszusammenhang (1) Öffentliche Stellen dürfen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 von Bewerberinnen und Bewerbern sowie von Beschäftigten vorbehaltlich besonderer gesetzlicher oder tarifvertraglicher Regelungen nur nach Maßgabe des Landesbeamtengesetzes verarbeiten. (2) Daten von Beschäftigten, die im Rahmen der Durchführung technischer und organisatorischer Maßnahmen zur Datensicherheit verarbeitet werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden.

§ 16 Öffentliche Auszeichnungen (1) Zur Vorbereitung und Durchführung öffentlicher Auszeichnungen und Ehrungen dürfen die zuständigen Stellen die dazu erforderlichen Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Kenntnis der betroffenen Person verarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der oder des Betroffenen zulässig. (2) Auf Anforderung der in Absatz 1 Satz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung oder Ehrung erforderlichen Daten übermitteln. (3) Die Absätze 1 und 2 finden keine Anwendung, wenn der verantwortlichen Stelle bekannt ist, dass die betroffene Person keine öffentlichen Auszeichnungen oder Ehrungen wünscht oder der dazu notwendigen Datenverarbeitung widersprochen hat. (4) Die Vorschriften der Verordnung (EU) 2016/679 über die Informationspflicht (Artikel 13 und 14), das Auskunftsrecht (Artikel 15) und die Mitteilungspflicht (Artikel 19) sind nicht entsprechend anzuwenden.

§ 17 Aufgaben und Befugnisse (1) Die oder der Landesbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 der Verordnung (EU) 2016/679 . Sie oder er überwacht die Einhaltung der Vorschriften der Verordnung (EU) 2016/679 , dieses Gesetzes und sonstiger Vorschriften über den Datenschutz bei den öffentlichen Stellen. Sie oder er ist auch Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht-öffentlicher Stellen. (2) Vor der Ausübung der Befugnisse des Artikel 58 Absatz 2 Buchstabe c bis g, und j der Verordnung (EU) 2016/679 gibt die oder der Landesbeauftragte für Datenschutz der öffentlichen Stelle die Gelegenheit zur Stellungnahme zu den für die Entscheidung erheblichen Tatsachen innerhalb einer angemessenen Frist. Gleichzeitig ist auch der zuständigen Rechts- oder Fachaufsichtsbehörde Gelegenheit zur Stellungnahme zu geben. Hiervon kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht. In diesen Fällen ist die Aufsichtsbehörde nach dem Tätigwerden zu unterrichten. § 87 Landesverwaltungsgesetz bleibt unberührt. (3) Die oder der Landesbeauftragte legt verbindliche Kriterien für die Zertifizierung fest und veröffentlicht diese. (4) Die oder der Landesbeauftragte ist über Planungen des Landes zum Aufbau oder zur wesentlichen Änderung von Systemen zur automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.

§ 18 Durchführung von Kontrollen (1) Die öffentlichen Stellen sowie ihre Auftragsverarbeiter im Anwendungsbereich dieses Gesetzes sind verpflichtet, die oder den Landesbeauftragten und ihre oder seine Beschäftigten bei der Erfüllung ihrer oder seiner Aufgaben zu unterstützen. Ihr oder ihm ist dabei insbesondere 1. Auskunft zu erteilen sowie Einsicht in Unterlagen und Dateien zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen; besondere Amts- und Berufsgeheimnisse stehen dem nicht entgegen, 2. Zutritt zu den Dienst- und Geschäftsräumen zu gewähren; das Grundrecht der Unverletzlichkeit der Wohnung nach Artikel 13 Absatz 1 des Grundgesetzes wird insoweit eingeschränkt. (2) Stellt die jeweils zuständige oberste Landesbehörde im Einzelfall fest, dass durch eine mit der Einsicht verbundene Offenlegung personenbezogener Daten die Sicherheit des Bundes oder eines Landes gefährdet wird, dürfen die Rechte nach Absatz 1 nur von der oder dem Landesbeauftragten persönlich oder den von ihr oder ihm schriftlich besonders damit betrauten Beauftragten ausgeübt werden.

§ 19 Geldbußen, Strafvorschrift (1) Gegen Behörden oder sonstige öffentliche Stellen im Sinne von § 2 Absatz 1 und 2 werden keine Geldbußen verhängt. (2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer entgegen den Vorschriften dieses Gesetzes oder einer anderen Rechtsvorschrift über den Schutz personenbezogener Daten personenbezogene Daten, die nicht offenkundig sind, 1. ohne hierzu berechtigt zu sein, verarbeitet oder 2. durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. (3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die oder der Landesbeauftragte. (4) Der Versuch ist strafbar.

§ 2 Anwendungsbereich (1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten bei öffentlichen Stellen des Landes Schleswig-Holstein. Öffentliche Stellen im Sinne dieses Gesetzes sind Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung. (2) Für die Behörden der Staatsanwaltschaft und für den Landesrechnungshof gelten die Abschnitte 1 und 2 dieses Gesetzes nur, soweit sie Verwaltungsaufgaben wahrnehmen. Für die Gerichte gilt Abschnitt 2 Unterabschnitt 4 nicht hinsichtlich ihrer justiziellen Tätigkeit. Der Landesrechnungshof erlässt im Übrigen unter Berücksichtigung seiner verfassungsrechtlichen Stellung sowie der Grundsätze der Verordnung (EU) 2016/679 und dieses Gesetzes eine Datenschutzordnung. (3) Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag beschließt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung sowie der Grundsätze der Verordnung (EU) 2016/679 und dieses Gesetzes eine Datenschutzordnung. (4) Dieses Gesetz findet keine Anwendung, soweit öffentliche Stellen nach Absatz 1 am Wettbewerb teilnehmen und personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Insoweit finden die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes Anwendung. (5) Öffentliche Stellen des Landes, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten als nicht-öffentliche Stellen. (6) Fällt die Verarbeitung personenbezogener Daten nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 oder der Richtlinie (EU) 2016/680 , sind die Vorschriften der Verordnung (EU) 2016/679 entsprechend anzuwenden, es sei denn, dieses Gesetz oder andere spezielle Rechtsvorschriften enthalten abweichende Regelungen. (7) Bei der Erfüllung der Aufgaben nach § 1 des Landesverfassungsschutzgesetzes vom 23. März 1991 (GVOBl. Schl.-H. S. 203), zuletzt geändert durch Gesetz vom 21. Juni 2013 (GVOBl. Schl.-H. S. 254), gilt vorbehaltlich des Landesverfassungsschutzgesetzes : 1. Die Vorschriften der Verordnung (EU) 2016/679 und § 4 Absatz 2 bis 4, §§ 8 bis 11 , § 14 , und Abschnitt 3 dieses Gesetzes finden keine Anwendung, 2. die §§ 5 bis 7 , 16 Absatz 2 , §§ 42 , 46 , 51 Absatz 1 bis 4 und die §§ 52 bis 54 , 62 , 64 und 83 des Bundesdatenschutzgesetzes sind entsprechend anzuwenden.

§ 20 Anwendungsbereich Die Vorschriften dieses Abschnitts gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Dies schließt den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten zuständigen öffentlichen Stellen mit ein. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Sätze 1 bis 3 finden zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs , von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. Soweit dieser Teil Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.

§ 21 Begriffsbestimmungen Es bezeichnen die Begriffe: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann; 2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; 4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; 5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können; 6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; 8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; 10. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden; 11. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden; 12. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten; 13. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; 14. „besondere Kategorien personenbezogener Daten“ a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, b) genetische Daten, c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, d) Gesundheitsdaten und e) Daten zum Sexualleben oder zur sexuellen Orientierung; 15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle; 16. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde; 17. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

§ 22 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten Personenbezogene Daten müssen 1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden, 2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden, 3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen, 4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden, 5. nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und 6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

§ 23 Zulässigkeit der Verarbeitung personenbezogener Daten (1) Die Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. (2) Zu dem Zweck der Verarbeitung personenbezogener Daten gehört auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Aus- und Fortbildungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen. Die Verarbeitung der Daten zu Test- und Prüfungszwecken ist davon nicht erfasst.

§ 24 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie 1. zur Aufgabenerfüllung zwingend erforderlich ist, 2. der Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person dient oder 3. wenn sie sich auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. (2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein 1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle, 2. die Festlegung von besonderen Aussonderungsprüffristen, 3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, 4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle, 5. die von anderen Daten getrennte Verarbeitung, 6. die Pseudonymisierung personenbezogener Daten, 7. die Verschlüsselung personenbezogener Daten oder 8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen. (3) Eine Verarbeitung genetischer und biometrischer Daten ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

§ 25 Verarbeitung zu anderen Zwecken Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

§ 26 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken Personenbezogene Daten dürfen im Rahmen der in § 20 genannten Zwecke zu archivarischen, wissenschaftlichen oder statistischen Zwecken verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien für die Rechtsgüter der betroffenen Personen vorgesehen werden. Solche Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.

§ 27 Einwilligung (1) Soweit die Verarbeitung personenbezogener Daten auf Grundlage einer Rechtsvorschrift, welche die Einwilligung der betroffenen Person vorsieht, erfolgt, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die weitere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen. (4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren. (5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

§ 28 Verarbeitung auf Weisung des Verantwortlichen Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

§ 29 Datengeheimnis Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.

§ 3 Zulässigkeit der Verarbeitung personenbezogener Daten (1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. (2) Zu dem Zweck der Verarbeitung personenbezogener Daten gehört auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren. Dies gilt auch für die Verarbeitung personenbezogener Daten zu Aus- und Fortbildungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person entgegenstehen.

§ 30 Automatisierte Einzelentscheidung (1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist. (2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden. (3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

§ 31 Allgemeine Informationen zu Datenverarbeitungen Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur Verfügung zu stellen über 1. die Zwecke der von ihm vorgenommenen Verarbeitungen, 2. die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, 3. den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten, 4. das Recht, die Landesbeauftragte oder den Landesbeauftragten anzurufen, und 5. die Erreichbarkeit der oder des Landesbeauftragten.

§ 32 Benachrichtigung betroffener Personen (1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten Maßnahmen, vorgesehen oder angeordnet, hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten: 1. die in § 31 genannten Angaben, 2. die Rechtsgrundlage der Verarbeitung, 3. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 4. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten sowie 5. erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden. (2) In den Fällen des Absatzes 1 kann der Verantwortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie andernfalls 1. die Erfüllung der in § 20 genannten Aufgaben, 2. die öffentliche Sicherheit oder 3. Rechtsgüter Dritter gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt. (3) Im Fall der Einschränkung nach Absatz 2 gilt § 33 Absatz 6 entsprechend.

§ 33 Auskunftsrecht (1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über 1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören, 2. die verfügbaren Informationen über die Herkunft der Daten, 3. die Zwecke der Verarbeitung und deren Rechtsgrundlage, 4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen, 5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, 6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen, 7. das Recht nach § 36 , die Landesbeauftragte oder den Landesbeauftragten anzurufen, sowie 8. Angaben zur Erreichbarkeit der oder des Landesbeauftragten. (2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. (3) Die betroffene Person soll die Art der personenbezogenen Daten, über die Auskunft verlangt wird, näher bezeichnen. Von der Auskunftserteilung kann abgesehen werden, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht. (4) Der Verantwortliche kann unter den Voraussetzungen des § 32 Absatz 2 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschränken. (5) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 32 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde. (6) Wird die betroffene Person nach Absatz 5 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Landesbeauftragte oder den Landesbeauftragten ausüben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 36 die Landesbeauftragte oder den Landesbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Landesbeauftragten zu erteilen. Stellt die oberste Landesbehörde im Einzelfall fest, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde, dürfen die Rechte nach Absatz 5 nur von der oder dem Landesbeauftragten für Datenschutz persönlich oder den von ihr oder ihm schriftlich besonders damit Beauftragten ausgeübt werden. Die oder der Landesbeauftragte hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Landesbeauftragten an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschränken könnte. Die oder der Landesbeauftragte hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten. (7) Der Verantwortliche hat die sachlichen oder rechtlichen Gründe für die Entscheidung zu dokumentieren.

§ 34 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung (1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist. (2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen. (3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn 1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde, 2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 20 dienen, weiter aufbewahrt werden müssen oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand. (4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist. (5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er der Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken. (6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 32 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde. (7) § 33 Absatz 6 und 7 findet entsprechende Anwendung.

§ 35 Verfahren für die Ausübung der Rechte der betroffenen Person (1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet besonderer Formvorschriften soll er bei der Beantwortung von Anträgen die für den Antrag gewählte Form verwenden. (2) Bei Anträgen hat der Verantwortliche die betroffene Person unbeschadet des § 33 Absatz 5 und des § 34 Absatz 6 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren wurde. (3) Die Erteilung von Informationen nach § 31 , die Benachrichtigungen nach den §§ 32 und 42 und die Bearbeitung von Anträgen nach den §§ 33 und 34 erfolgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 33 und 34 kann der Verantwortliche entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können. (4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den §§ 33 oder 34 gestellt hat, kann er von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.

§ 36 Anrufung der oder des Landesbeauftragten (1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Landesbeauftragte oder den Landesbeauftragten wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch öffentliche Stellen zu den in § 20 genannten Zwecken in ihren Rechten verletzt worden zu sein. Dies gilt nicht für die Verarbeitung von personenbezogenen Daten durch Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben. Die oder der Landesbeauftragte hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 37 hinzuweisen. (2) Die oder der Landesbeauftragte hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer Aufsichtsbehörde in einem anderen Mitgliedstaat der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde des anderen Staates weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.

§ 37 Rechtsschutz gegen Entscheidungen der oder des Landesbeauftragten oder bei deren oder dessen Untätigkeit (1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Landesbeauftragten vorgehen. (2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Landesbeauftragte mit einer Beschwerde nach § 36 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

§ 38 Auftragsverarbeitung (1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen. (2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird. (3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen. (4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters. (5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter 1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren; 2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; 3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten; 4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht; 5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 52 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt; 6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt; 7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; 8. alle gemäß § 40 erforderlichen Maßnahmen ergreift und 9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 40 bis 43 und § 45 genannten Pflichten unterstützt. (6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen. (7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

§ 39 Gemeinsam Verantwortliche Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen.

§ 4 Zulässigkeit der Verarbeitung personenbezogener Daten zu anderen Zwecken (1) Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist im Rahmen der Aufgabenerfüllung des Verantwortlichen zulässig, wenn 1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit erforderlich ist, 2. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist, 3. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist, 4. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre und offensichtlich ist, dass die Datenverarbeitung in ihrem Interesse liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde, 5. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, oder 6. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen. (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach Abschnitt 2 Unterabschnitt 3 dieses Gesetzes oder nach einer anderen Rechtsvorschrift, die die Verarbeitung besonderer Kategorien von Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 gestattet, vorliegen. (3) Die Verarbeitung personenbezogener Daten, die einem Berufsgeheimnis unterliegen, zu einem anderen Zweck, als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 1 oder 2 vorliegen und die zur Verschwiegenheit verpflichtete Person oder Stelle zuvor zugestimmt hat. (4) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten zulässig, soweit nicht schutzwürdige Belange der betroffenen Person oder anderer Personen überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig. (5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden.

§ 40 Anforderungen an die Sicherheit der Datenverarbeitung (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass 1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und 2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. (3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken: 1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), 2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle), 3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle), 4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle), 5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle), 6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle), 7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle), 8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle), 9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit), 10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit), 11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität), 12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden. (4) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung von dem Verantwortlichen oder einer von ihm beauftragten Person freizugeben. Das Testverfahren ist zu dokumentieren. (5) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung durch die öffentlichen Stellen. Die oder der Landesbeauftragte für Datenschutz ist anzuhören. (6) Ein automatisiertes Verfahren, bei dem mehrere Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung festlegen (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. (7) Für Verfahren nach Absatz 6 kann die zuständige oberste Landesbehörde Regelungen nach dieser Vorschrift auch durch Verordnung festlegen und eine zentrale Stelle bestimmen, der die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens übertragen wird. (8) Absatz 6 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

§ 41 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Landesbeauftragten (1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Landesbeauftragten zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Landesbeauftragte oder den Landesbeauftragten nicht innerhalb von 72 Stunden, ist die Verzögerung zu begründen. (2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden. (3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten: 1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat, 2. den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann, 3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und 4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen. (5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen. (6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln. (7) Eine Meldung nach Absatz 1 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden. (8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.

§ 42 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten (1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen. (2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 41 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten. (3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn 1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden; 2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht, oder 3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Landesbeauftragte förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat. (5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 32 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen. (6) Eine Benachrichtigung nach Absatz 1 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

§ 43 Durchführung einer Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen. (2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden. (3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen. (4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten: 1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, 2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck, 3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und 4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen. (5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.

§ 44 Zusammenarbeit mit der oder dem Landesbeauftragten Der Verantwortliche hat mit der oder dem Landesbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben zusammenzuarbeiten.

§ 45 Anhörung der oder des Landesbeauftragten (1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Landesbeauftragte oder den Landesbeauftragten anzuhören, wenn 1. aus einer Datenschutz-Folgenabschätzung nach § 43 hervorgeht, dass die Verarbeitung eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde, oder 2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat. Die oder der Landesbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen. (2) Der oder dem Landesbeauftragten sind im Fall des Absatzes 1 vorzulegen: 1. die nach § 43 durchgeführte Datenschutz-Folgenabschätzung, 2. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, 3. Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung, 4. Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien und 5. Name und Kontaktdaten der oder des Datenschutzbeauftragten. Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können. (3) Falls die oder der Landesbeauftragte der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Landesbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren. (4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Landesbeauftragten im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.

§ 46 Verzeichnis von Verarbeitungstätigkeiten (1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten: 1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten, 2. die Zwecke der Verarbeitung, 3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen, 4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, 5. gegebenenfalls die Verwendung von Profiling, 6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation, 7. Angaben über die Rechtsgrundlage der Verarbeitung, 8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und 9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 40 . (2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat: 1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls der oder des Datenschutzbeauftragten, 2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und 3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 40 . (3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen. (4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Landesbeauftragten zur Verfügung zu stellen.

§ 47 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist. (2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

§ 48 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien: 1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben, 2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden, 3. verurteilte Straftäter, 4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und 5. andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

§ 49 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen Der Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persönlichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persönlichen Einschätzung beruhenden Beurteilung zugrunde liegen.

§ 5 Übermittlung personenbezogener Daten (1) Für die Zulässigkeit der Übermittlung personenbezogener Daten ist die übermittelnde Stelle verantwortlich. Die ersuchende Stelle hat die für diese Prüfung erforderlichen Angaben zu machen. (2) Erfolgt die Übermittlung personenbezogener Daten auf Ersuchen einer öffentlichen Stelle, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. Die übermittelnde Stelle hat dann lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu ein konkreter Anlass besteht. (3) Bei einer Übermittlung personenbezogener Daten an eine nicht-öffentliche Stelle ist diese durch die übermittelnde Stelle zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihr übermittelt werden. (4) Auch wenn die Voraussetzungen des § 4 dieses Gesetzes nicht erfüllt sind, ist die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen zulässig, wenn von diesen ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und schutzwürdige Belange der betroffenen Person nicht beeinträchtigt sind. (5) Erfolgt die Übermittlung durch automatisierten Abruf, trägt die Verantwortung für die Rechtmäßigkeit des Abrufs die abrufende Stelle.

§ 50 Verfahren bei Übermittlungen (1) Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen. (2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden. (3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.

§ 51 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung (1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind. (2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist. (3) § 34 Absatz 3 bis 5 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen. (4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen hat der Verantwortliche für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

§ 52 Protokollierung (1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren: 1. Erhebung, 2. Veränderung, 3. Abfrage, 4. Offenlegung einschließlich Übermittlung, 5. Kombination und 6. Löschung. (2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen. (3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten und die betroffene Person sowie für die Eigenüberwachung und für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten verwendet werden. Die Protokolle dürfen für Straf- und Ordnungswidrigkeitenverfahren verwendet werden, wenn dies durch Rechtsvorschrift geregelt ist. (4) Soweit durch Gesetz nichts anderes geregelt ist, sind die Protokolldaten am Ende des auf deren Generierung folgenden Jahres zu löschen. (5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Landesbeauftragten auf Anforderung zur Verfügung zu stellen. (6) Für vor dem 6. Mai 2016 eingerichtete automatisierte Verarbeitungssysteme kann bis zum 6. Mai 2023 von Absatz 1 und 2 abgewichen werden, soweit die Umsetzung mit einem unverhältnismäßigen Aufwand verbunden wäre.

§ 53 Vertrauliche Meldung von Verstößen Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.

§ 54 Allgemeine Voraussetzungen (1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn 1. die Stelle oder internationale Organisation für die in § 20 genannten Zwecke zuständig ist und 2. die Europäische Kommission gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat. (2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert. (3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaates genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaates, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten. (4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu berücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.

§ 55 Datenübermittlung bei geeigneten Garantien (1) Liegt entgegen § 54 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 54 auch dann zulässig, wenn 1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder 2. der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen. (2) Der Verantwortliche hat Übermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Landesbeauftragten auf Anforderung zur Verfügung zu stellen. (3) Der Verantwortliche hat die Landesbeauftragte oder den Landesbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.

§ 56 Datenübermittlung ohne geeignete Garantien (1) Liegt entgegen § 54 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des § 55 Absatz 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 54 auch dann zulässig, wenn die Übermittlung erforderlich ist 1. zum Schutz lebenswichtiger Interessen einer natürlichen Person, 2. zur Wahrung berechtigter Interessen der betroffenen Person, 3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates, 4. im Einzelfall für die in § 20 genannten Zwecke oder 5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 20 genannten Zwecken. (2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen. (3) Für Übermittlungen nach Absatz 1 gilt § 55 Absatz 2 und 3 entsprechend.

§ 57 Sonstige Datenübermittlung an Empfänger in Drittstaaten (1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 54 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und 1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen, 2. die Übermittlung an die in § 54 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und 3. der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist. (2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 54 Absatz 1 Nummer 1 genannten Stellen unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist. (3) Für Übermittlungen nach Absatz 1 gilt § 55 Absatz 2 und 3 entsprechend. (4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten ohne seine Zustimmung nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind. (5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.

§ 58 Benennung (1) Öffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. (2) Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden. (3) Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens benannt, das sie oder er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner Fähigkeit zur Erfüllung der in § 60 genannten Aufgaben. (4) Die oder der Datenschutzbeauftragte kann Beschäftigte oder Beschäftigter der öffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. (5) Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Landesbeauftragten mit.

§ 59 Stellung (1) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. (2) Die öffentliche Stelle unterstützt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 60 , indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt. (3) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Die oder der Datenschutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. Die oder der Datenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden. (4) Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird. (5) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

§ 6 Verfahren bei der Löschung personenbezogener Daten Soweit öffentliche Stellen nach einer Rechtsvorschrift verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung personenbezogener Daten erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden sind und dieses die Übernahme der Unterlagen als nicht archivwürdig abgelehnt oder die Unterlagen nicht innerhalb einer durch Rechtsvorschrift bestimmten Frist übernommen hat.

§ 60 Aufgaben (1) Der oder dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: 1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften; 2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen; 3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 43 dieses Gesetzes; 4. Zusammenarbeit mit der Aufsichtsbehörde; 5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 45 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen. Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit. (2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

§ 61 Zuständigkeit (1) Die oder der Landesbeauftragte ist zuständig für die Aufsicht über die in § 20 Absatz 1 genannten Stellen. (2) Die oder der Landesbeauftragte ist nicht zuständig für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

§ 62 Aufgaben (1) Die oder der Landesbeauftragte hat neben den in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben, 1. die Anwendung dieses Gesetzes und sonstiger zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften zu überwachen und durchzusetzen; 2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären, wobei spezifische Maßnahmen für Kinder besondere Beachtung finden; 3. den Landtag, die Landesregierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten; 4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften entstehenden Pflichten zu sensibilisieren; 5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten; 6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist; 7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten; 8. Untersuchungen über die Anwendung dieses Gesetzes und sonstiger zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde; 9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken; 10. Beratung in Bezug auf die in § 45 genannten Verarbeitungsvorgänge zu leisten und 11. Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten. Die oder der Landesbeauftragte nimmt zudem die Aufgabe nach § 36 wahr. (2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Landesbeauftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Landtag oder einen seiner Ausschüsse, die Landesregierung, sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit richten. Auf Ersuchen des Landtages, eines seiner Ausschüsse oder der Landesregierung geht die oder der Landesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den in § 20 Absatz 1 genannten Stellen nach. (3) Die oder der Landesbeauftragte erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. (4) Die Erfüllung der Aufgaben der oder des Landesbeauftragten ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die oder der Landesbeauftragte eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Landesbeauftragte die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

§ 63 Tätigkeitsbericht Die oder der Landesbeauftragte erstellt einen Jahresbericht über ihre oder seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen enthalten kann. Die oder der Landesbeauftragte übermittelt den Bericht dem Landtag und der Landesregierung und macht ihn der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich.

§ 64 Befugnisse (1) Stellt die oder der Landesbeauftragte bei der Datenverarbeitung durch die in § 20 genannten Stellen Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, beanstandet sie oder er dies gegenüber der zuständigen Stelle und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Landesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten getroffen worden sind. Die oder der Landesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen. (2) Die Befugnisse der oder des Landesbeauftragten erstrecken sich auch auf 1. in § 20 Absatz 1 genannten Stellen erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs und 2. personenbezogene Daten, die einem besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung , unterliegen. Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. (3) Die in § 20 Absatz 1 genannten Stellen sind verpflichtet, der oder dem Landesbeauftragten und ihren oder seinen Beauftragten 1. jederzeit Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren und 2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen. (4) Artikel 58 Absatz 2 Buchstabe a bis e der Verordnung (EU) 2016/679 gilt entsprechend.

§ 65 Gegenseitige Amtshilfe (1) Die oder der Landesbeauftragte hat den Datenschutzaufsichtsbehörden in anderen Mitgliedstaaten der Europäischen Union Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitliche Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme von Nachprüfungen und Untersuchungen. (2) Die oder der Landesbeauftragte hat alle geeigneten Maßnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen. (3) Die oder der Landesbeauftragte darf Amtshilfeersuchen nur ablehnen, wenn 1. sie oder er für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie oder er durchführen soll, nicht zuständig ist oder 2. ein Eingehen auf das Ersuchen gegen Rechtsvorschriften verstoßen würde. (4) Die oder der Landesbeauftragte hat die ersuchende Aufsichtsbehörde des anderen Staates über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie oder er hat im Fall des Absatzes 3 die Gründe für die Ablehnung des Ersuchens zu erläutern. (5) Die oder der Landesbeauftragte soll die Informationen, um die sie oder er von der Aufsichtsbehörde des anderen Staates ersucht wurde, elektronisch und in einem standardisierten Format übermitteln. (6) Die oder der Landesbeauftragte hat Amtshilfeersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbehörde des anderen Staates die Erstattung entstandener Ausgaben vereinbart hat. (7) Ein Amtshilfeersuchen der oder des Landesbeauftragten hat alle erforderlichen Informationen zu enthalten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.

§ 66 Schadensersatz und Entschädigung (1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist. (2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen. (3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, haftet jeder Verantwortliche beziehungsweise sein Rechtsträger. (4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. (5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.

§ 67 Strafvorschriften Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach § 20 Satz 1, 3 oder 4 findet § 19 entsprechende Anwendung.

§ 68 Ordnungswidrigkeiten (1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind, verarbeitet. (2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

§ 7 Automatisierte Verfahren (1) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung von dem Verantwortlichen oder einer von ihm beauftragten Person freizugeben. Das Testverfahren ist zu dokumentieren. (2) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung durch die öffentlichen Stellen. Die oder der Landesbeauftragte für Datenschutz ist anzuhören. (3) Ein automatisiertes Verfahren, das mehreren Verantwortlichen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. (4) Für Verfahren nach Absatz 3 kann die zuständige oberste Landesbehörde durch Verordnung Regelungen im Sinne von Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 festlegen und eine zentrale Stelle bestimmen, der die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens übertragen wird. (5) Absatz 3 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

§ 8 Beschränkung der Informationspflicht (1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 oder Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 13 Absatz 4 oder Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn 1. die Erteilung der Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikel 23 Absatz 1 Buchstabe a bis f der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen, 2. die Erteilung der Information die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes schwere Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen oder 3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind. (2) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten an und von Staatsanwaltschaften, Polizeidienststellen und andere für die Verfolgung von Straftaten zuständige Stellen, Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden im Geschäftsbereich des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (3) Der Verantwortliche dokumentiert, aus welchen Gründen er von einer Information abgesehen hat. Entfällt die Pflicht zur Information nach Absatz 1, setzt der Verantwortliche eine angemessene Frist zur Überprüfung, ob die Voraussetzungen des Absatzes 1 noch vorliegen, es sei denn, der Hinderungsgrund ist dauerhaft. Liegen die Voraussetzung des Absatz 1 im Zeitpunkt der Überprüfung noch vor, ist eine neue Prüffrist festzusetzen. Besteht kein Hinderungsgrund mehr, holt der Verantwortliche die Information der betroffenen Person nach. (4) Die Gerichte erfüllen im Rahmen ihrer justiziellen Tätigkeit die ihnen obliegende Informationspflicht im Sinne des Absatzes 1 gegenüber am Verfahren nicht beteiligten Dritten durch ein Verfahren gemäß § 31 .

§ 9 Beschränkung der Auskunftspflicht (1) Das Recht der betroffenen Person auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, wenn die betroffene Person nach § 8 Absatz 1 und 2 nicht zu informieren ist. (2) Die betroffene Person kann keine Auskunft über personenbezogene Daten verlangen, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden und bei denen die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie deren Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. (3) Die Ablehnung der Auskunft bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. Wird der betroffenen Person keine Auskunft erteilt, ist sie auf ihr Verlangen der oder dem Landesbeauftragten zu erteilen. Stellt die jeweils zuständige oberste Landesbehörde im Einzelfall fest, dass durch die hiermit verbundene Offenlegung die Sicherheit des Bundes oder eines Landes gefährdet wird, dürfen die Rechte nach Absatz 1 nur von der oder dem Landesbeauftragten persönlich oder den von ihr oder ihm schriftlich besonders damit betrauten Beauftragten ausgeübt werden. Die wesentlichen Gründe der Ablehnung nach Satz 1 sind aktenkundig zu machen. Die Mitteilung der oder des Landesbeauftragten an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand der Daten verarbeitenden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. (4) Sind die Daten in Akten enthalten, kann der betroffenen Person anstelle einer Auskunft auch Akteneinsicht gewährt werden.

§ 39 Aufgaben des Unabhängigen Landeszentrums für Datenschutz (1) Das Unabhängige Landeszentrum für Datenschutz überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen, auf die dieses Gesetz Anwendung findet. Die Gerichte und der Landesrechnungshof unterliegen seiner Kontrolle, soweit sie nicht in richterlicher Unabhängigkeit tätig werden. (2) Das Unabhängige Landeszentrum für Datenschutz ist die zuständige Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes über nichtöffentliche Stellen im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes. (3) Das Unabhängige Landeszentrum für Datenschutz berät die obersten Landesbehörden sowie die sonstigen öffentlichen Stellen in Fragen des Datenschutzes, der Datensicherheit und der damit zusammenhängenden Datenverarbeitungstechniken sowie deren Sozialverträglichkeit. Zu diesem Zweck können Empfehlungen zur Verbesserung des Datenschutzes gegeben werden. Auf Anforderungen des Landtages, des Petitionsausschusses des Landtages oder einer obersten Landesbehörde soll das Unabhängige Landeszentrum für Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenbereich unmittelbar betreffen, nachgehen. (4) Auf Anforderung des Landtages, einzelner Fraktionen des Landtages oder der Landesregierung hat das Unabhängige Landeszentrum für Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Es legt dem Landtag jährlich einen Tätigkeitsbericht vor. (5) Für die Erfüllung der Aufgaben ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen.

§ 3 Anwendungsbereich (1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind 1. Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung, 2. Vereinigungen des privaten Rechts, soweit sie Aufgaben der öffentlichen Verwaltung wahrnehmen und an der Vereinigung einem oder mehreren der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. (2) Soweit öffentlich-rechtliche, der Aufsicht des Landes unterstehende Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen, gilt für sie von diesem Gesetz nur § 23 ; im übrigen gelten für sie die Vorschriften des Bundesdatenschutzgesetzes für nichtöffentliche Stellen. (3) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.

§ 30 Schadensersatz (1) Entsteht der oder dem Betroffenen durch eine unzulässige oder unrichtige Verarbeitung ihrer oder seiner personenbezogenen Daten in einem automatisierten Verfahren ein Schaden, so ist ihr oder ihm der Träger jeder für die Verarbeitung verantwortlichen Stelle unabhängig von einem Verschulden zum Schadensersatz verpflichtet. (2) In Fällen einer schweren Verletzung des Persönlichkeitsrechts kann die oder der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. (3) Die ersatzpflichtige Stelle haftet jeder oder jedem Betroffenen für jedes schädigende Ereignis bis zu einem Betrag von 125.000 Euro. Mehrere Ersatzpflichtige haften gesamtschuldnerisch. (4) Auf das Mitverschulden der oder des Betroffenen und die Verjährung des Entschädigungsanspruchs sind die §§ 254 , 839 Abs. 3 , §§ 195 und 199 des Bürgerlichen Gesetzbuches entsprechend anzuwenden. (5) Die Geltendmachung weitergehender Schadensersatzansprüche aufgrund anderer Vorschriften bleibt unberührt.

§ 23 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen (1) Öffentliche Stellen dürfen Daten der Beschäftigten vorbehaltlich besonderer gesetzlicher oder tarifvertraglicher Regelungen nur nach Maßgabe der §§ 85 bis 92 des Landesbeamtengesetzes verarbeiten. (2) Daten von Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach den §§ 5 und 6 gespeichert oder in einem automatisierten Verfahren gewonnen werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden.

§ 35 Wahl und Amtszeit der oder des Landesbeauftragten für Datenschutz (1) Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von fünf Jahren. Die Wiederwahl ist nur einmal zulässig. (2) Vorschlagsberechtigt sind die Fraktionen des Schleswig-Holsteinischen Landtages. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt die oder der Landesbeauftragte für Datenschutz das Amt bis zur Neuwahl weiter. (3) Der Landtag kann die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit einer Mehrheit von zwei Dritteln seiner Mitglieder abwählen.

§ 36 Rechtsstellung der oder des Landesbeauftragten für Datenschutz (1) Die Ministerpräsidentin oder der Ministerpräsident ernennt die Landesbeauftragte oder den Landesbeauftragten zur Beamtin oder zum Beamten auf Zeit. (2) Die oder der Landesbeauftragte für Datenschutz kann jederzeit die Entlassung verlangen. (3) Die Ministerpräsidentin oder der Ministerpräsident ist Dienstvorgesetzte oder Dienstvorgesetzter der oder des Landesbeauftragten für Datenschutz. Die oder der Landesbeauftragte für Datenschutz untersteht der Dienstaufsicht nur, soweit nicht seine Unabhängigkeit bei der Aufgabenwahrnehmung beeinträchtigt wird. (4) Der Landtag und seine Ausschüsse können die Anwesenheit der oder des Landesbeauftragten für Datenschutz in ihren Sitzungen verlangen. (5) Die oder der Landesbeauftragte für Datenschutz ist Dienstvorgesetzte oder Dienstvorgesetzter und oberste Dienstbehörde der in der Anstalt beschäftigten Beamtinnen und Beamten. (6) Die oder der Landesbeauftragte für Datenschutz bestellt eine Mitarbeiterin zur Stellvertreterin oder einen Mitarbeiter zum Stellvertreter und ernennt die Beamtinnen oder Beamten der Anstalt.

§ 37 Satzung Der Vorstand ist zum Erlass und zur Änderung der Satzung befugt.

§ 38 Beirat Der Vorstand kann einen Beirat berufen, der den Vorstand der Anstalt berät. Das Nähere regelt die Satzung.

§ 39 Aufgaben des Unabhängigen Landeszentrums für Datenschutz (1) Das Unabhängige Landeszentrum für Datenschutz nimmt die ihm zugewiesenen Aufgaben in Unabhängigkeit wahr und ist nur dem Gesetz unterworfen. Die §§ 50 bis 52 des Landesverwaltungsgesetzes sind nicht anzuwenden; im Übrigen sind die Rechtsvorschriften, die für die der Aufsicht des Landes unterstehenden rechtsfähigen Anstalten des öffentlichen Rechts gelten, anzuwenden. (2) Das Unabhängige Landeszentrum für Datenschutz überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen, auf die dieses Gesetz Anwendung findet. Die Gerichte und der Landesrechnungshof unterliegen seiner Kontrolle, soweit sie nicht in richterlicher Unabhängigkeit tätig werden. (3) Das Unabhängige Landeszentrum für Datenschutz ist die zuständige Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes über nichtöffentliche Stellen im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes. (4) Das Unabhängige Landeszentrum für Datenschutz berät die obersten Landesbehörden sowie die sonstigen öffentlichen Stellen in Fragen des Datenschutzes, der Datensicherheit und der damit zusammenhängenden Datenverarbeitungstechniken sowie deren Sozialverträglichkeit. Zu diesem Zweck können Empfehlungen zur Verbesserung des Datenschutzes gegeben werden. Auf Anforderungen des Landtages, des Petitionsausschusses des Landtages oder einer obersten Landesbehörde soll das Unabhängige Landeszentrum für Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenbereich unmittelbar betreffen, nachgehen. (5) Auf Anforderung des Landtages, einzelner Fraktionen des Landtages oder der Landesregierung hat das Unabhängige Landeszentrum für Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Es legt dem Landtag jährlich einen Tätigkeitsbericht vor. (6) Für die Erfüllung der Aufgaben ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen.

§ 10 Behördliche Datenschutzbeauftragte (1) Die datenverarbeitende Stelle kann schriftlich eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. Mehrere datenverarbeitende Stellen können gemeinsam eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. (2) Die oder der behördliche Datenschutzbeauftragte muss die erforderliche Sachkunde und Zuverlässigkeit besitzen. Sie oder er darf durch die Bestellung keinem Konflikt mit anderen dienstlichen Aufgaben ausgesetzt sein. (3) Die oder der behördliche Datenschutzbeauftragte ist unmittelbar der Leiterin oder dem Leiter der datenverarbeitenden Stelle zu unterstellen. Sie oder er ist bei der Ausübung des Amtes weisungsfrei und darf wegen der Wahrnehmung des Amtes nicht benachteiligt werden. Sie oder er ist zur Erfüllung der Aufgaben des Amtes im erforderlichen Umfang freizustellen und mit den notwendigen Mitteln auszustatten. Beschäftigte und Betroffene können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an sie oder ihn wenden. Die oder der behördliche Datenschutzbeauftragte darf zur Aufgabenerfüllung Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen. Dies gilt nicht, soweit das Steuergeheimnis dem entgegensteht. Im übrigen gilt § 41 Abs. 1 entsprechend. (4) Die oder der behördliche Datenschutzbeauftragte überwacht und unterstützt die Einhaltung der datenschutzrechtlichen Vorschriften bei der datenverarbeitenden Stelle. Sie oder er hat insbesondere 1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Datenverarbeitungsmaßnahmen hinzuwirken, 2. die Beschäftigten der datenverarbeitenden Stellen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen, 3. die datenverarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten zu beraten und bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren auf die Einhaltung der einschlägigen Vorschriften hinzuwirken, 4. das Verzeichnis nach § 7 Abs. 1 zu führen und zur Einsicht bereitzuhalten, 5. die Vorabkontrolle nach § 9 Abs. 1 durchzuführen. In Zweifelsfällen hat sie oder er das Unabhängige Landeszentrum für Datenschutz zu hören.

§ 11 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist zulässig, wenn 1. die oder der Betroffene eingewilligt hat, 2. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt, 3. sie zur rechtmäßigen Erfüllung der durch Rechtsvorschrift zugewiesenen Aufgaben der datenverarbeitenden Stelle erforderlich ist oder 4. sie zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist. (2) Die Verarbeitung personenbezogener Daten, die allgemein zugänglichen Quellen entnommen werden können, sowie von Daten, die die Betroffenen selbst zur Veröffentlichung bestimmt haben, ist über die Fälle von Absatz 1 hinaus zulässig, soweit schutzwürdige Belange der Betroffenen nicht beeinträchtigt sind. (3) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist nur zulässig, soweit 1. die oder der Betroffene eingewilligt hat, 2. die Voraussetzungen des § 17 Abs. 5 oder der §§ 22 bis 24 vorliegen, 3. andere Rechtsvorschriften sie erlauben, 4. sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, 5. sie sich auf Daten bezieht, die die oder der Betroffene selbst öffentlich gemacht hat, 6. sie zur Geltendmachung rechtlicher Ansprüche vor Gericht erforderlich ist oder 7. sie für die Abwehr von Gefahren für Leben, Gesundheit, persönliche Freiheit oder vergleichbare Rechtsgüter erforderlich ist. Satz 1 gilt entsprechend für Daten über strafbare Handlungen und Entscheidungen in Strafsachen. (4) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist. Sind personenbezogene Daten in Akten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, zulässig, soweit nicht schutzwürdige Belange der oder des Betroffenen überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot. (5) Die Absätze 3 und 4 finden keine Anwendung, wenn die Datenverarbeitung 1. durch die Verfassungsschutzbehörde zur Erfüllung ihrer Aufgaben erfolgt, 2. der Gefahrenabwehr dient, 3. der Strafverfolgung dient oder 4. der Steuerfahndung dient. Absatz 3 Satz 1 findet keine Anwendung, wenn die Datenverarbeitung der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder der Verwaltung von Gesundheitsdiensten dient und die Verarbeitung der Daten durch ärztliches Personal oder sonstige Personen, die einer der ärztlichen Schweigepflicht entsprechenden Geheimhaltungspflicht unterliegen, erfolgt. (6) Pseudonymisierte Daten dürfen nur von solchen Stellen verarbeitet werden, die keinen Zugriff auf die Zuordnungsfunktion haben. Die Übermittlung pseudonymisierter Daten ist zulässig, wenn die Zuordnungsfunktion im alleinigen Zugriff der übermittelnden Stelle verbleibt.

§ 12 Form der Einwilligung (1) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. In den Fällen des § 11 Abs. 3 muss sich die Einwilligung ausdrücklich auf die dort aufgeführten Daten beziehen. Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die oder der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. (2) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der oder des Betroffenen beruht. Die oder der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung aufzuklären. Dabei ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass die Einwilligung verweigert und mit Wirkung für die Zukunft widerrufen werden kann. (3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass 1. sie nur durch eine eindeutige und bewusste Handlung der oder des Betroffenen erfolgen kann, 2. sie unversehrt und authentisch ist, 3. die Identität der Urheberin oder des Urhebers erkannt werden kann und 4. die Einwilligung bei der verarbeitenden Stelle protokolliert wird.

§ 13 Erhebung, Zweckbindung (1) Personenbezogene Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben. Ohne Kenntnis der Betroffenen dürfen personenbezogene Daten nur erhoben werden, wenn die Voraussetzungen von Absatz 3 Nr. 1, 2 oder 4 vorliegen. Die Herkunft der Daten und der Zweck der Erhebung sind zu dokumentieren. (2) Personenbezogene Daten dürfen nur für den Zweck weiterverarbeitet werden, für den sie rechtmäßig erhoben worden sind. Daten, von denen die öffentliche Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für die Zwecke weiterverarbeitet werden, für die sie erstmals rechtmäßig gespeichert worden sind. (3) Die Verarbeitung für andere Zwecke ist ohne Einwilligung der oder des Betroffenen nur zulässig, wenn 1. eine Rechtsvorschrift dies erlaubt, 2. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit, persönliche Freiheit oder sonstiger schwerwiegender Beeinträchtigungen der Rechte einzelner dies gebietet, 3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder 4. die Einholung der Einwilligung nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre und offensichtlich ist, dass die Verarbeitung im Interesse der oder des Betroffenen liegt und sie oder er in Kenntnis des anderen Zwecks die Einwilligung erteilen würde. (4) Daten im Sinne von § 11 Abs. 3 Satz 1 dürfen ohne Einwilligung der oder des Betroffenen für andere Zwecke nur verarbeitet werden, wenn die Voraussetzungen des Absatzes 3 Nr. 1 oder 2 vorliegen. Dies gilt nicht in den Fällen des § 11 Abs. 5 . (5) Die Verarbeitung der Daten zur Ausübung von Aufsichts- und Kontrollbefugnissen sowie zur Rechnungsprüfung gilt nicht als Verarbeitung für andere Zwecke. Daten, die zu einem anderen Zweck erhoben oder erstmalig gespeichert wurden, sind für Ausbildungs- und Prüfungszwecke in anonymisierter oder pseudonymisierter Form zu verarbeiten. Lassen sich die in Satz 2 genannten Zwecke durch anonymisierte oder pseudonymisierte Datenverarbeitung nicht erreichen, so ist die Zweckänderung zulässig, soweit berechtigte Interessen der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen. (6) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verwendet werden. (7) Werden Daten innerhalb einer datenverarbeitenden Stelle zu einem anderen Zweck als dem nach Absatz 2 weiterverarbeitet, so ist dies zu dokumentieren.

§ 14 Datenübermittlung an andere öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn die Voraussetzungen der §§ 11 und 13 Abs. 2 bis 6 vorliegen. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Soll die Übermittlung auf Ersuchen einer Stelle erfolgen, so hat diese die hierfür erforderlichen Angaben zu machen, insbesondere die Rechtsgrundlage für die Übermittlung anzugeben. Die übermittelnde Stelle prüft die Schlüssigkeit der Anfrage. Bestehen im Einzelfall Zweifel, so prüft sie auch die Rechtmäßigkeit des Ersuchens. (3) Die übermittelnde Stelle protokolliert die Empfänger, den Zeitpunkt der Übermittlung, die jeweils übermittelten Daten und den Zweck der Übermittlung. Die Protokolldatenbestände sind ein Jahr zu speichern.

§ 15 Datenübermittlung an nichtöffentliche Stellen (1) Die Übermittlung personenbezogener Daten an nichtöffentliche Stellen ist zulässig, wenn 1. von diesen ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind oder 2. die Voraussetzungen der §§ 11 und 13 Abs. 2 bis 6 vorliegen. (2) Die übermittelnde Stelle hat die empfangende Stelle zu verpflichten, die Daten nur zu dem Zweck zu verwenden, zu dem sie ihr übermittelt wurden. § 14 Abs. 3 gilt entsprechend, sofern nicht durch Rechtsvorschrift Abweichendes geregelt ist.

§ 17 Verarbeitung personenbezogener Daten im Auftrag, Wartung (1) Lässt eine datenverarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Die Weitergabe der Daten von der datenverarbeitenden Stelle an die Auftragnehmenden gilt nicht als Übermittlung im Sinne von § 2 Abs. 2 Nr. 3 . (2) Werden bei automatisierter Datenverarbeitung Verantwortlichkeiten auf eine zentrale Stelle übertragen, gilt § 8 Abs. 2 entsprechend. Die zentrale Stelle übernimmt für das automatisierte Verfahren die Verantwortung nach Absatz 1 Satz 1. (3) Die datenverarbeitende Stelle hat dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Sie hat Auftragnehmende unter besonderer Berücksichtigung ihrer Eignung für die Gewährleistung der nach den §§ 5 und 6 notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Aufträge, ergänzende Weisungen zu technischen und organisatorischen Maßnahmen und die etwaige Zulässigkeit von Unterauftragsverhältnissen sind schriftlich festzulegen. (4) Sofern die Vorschriften dieses Gesetzes auf Auftragnehmende keine Anwendung finden, hat die datenverarbeitende Stelle diese zu verpflichten, jederzeit von ihr veranlasste Kontrollen zu ermöglichen. (5) Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der datenverarbeitenden Stelle gelten die Absätze 1 bis 3 entsprechend. (6) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der datenverarbeitenden Stelle ist die Übermittlung personenbezogener Daten zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet, 1. die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind und 2. nach Erledigung des Auftrags die ihnen von der datenverarbeitenden Stelle überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen. Die Absätze 1 bis 4 gelten entsprechend.

§ 18 Mobile personenbezogene Datenverarbeitungssysteme (1) Mobile personenbezogene Speicher- und Verarbeitungsmedien zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle Daten der Betroffenen automatisiert austauschen können (mobile Datenverarbeitungssysteme), dürfen nur mit der Einwilligung der oder des Betroffenen oder aufgrund einer Rechtsvorschrift eingesetzt werden. (2) Für die Betroffenen muss jederzeit erkennbar sein, 1. ob Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst stattfinden, 2. welche personenbezogenen Daten der oder des Betroffenen verarbeitet werden und 3. welcher Verarbeitungsvorgang im einzelnen abläuft oder angestoßen wird. (3) Die Betroffenen sind bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihnen nach den §§ 26 ff. zustehenden Rechte aufzuklären.

§ 20 Video-Überwachung und -Aufzeichnung (1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Belange Betroffener nicht überwiegen. (2) Der Umstand der Beobachtung und die dafür verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) Die Speicherung oder weitere Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über die Speicherung oder Verarbeitung entsprechend § 26 zu unterrichten. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

§ 21 Veröffentlichung von Daten im Internet (1) Die Veröffentlichung personenbezogener Daten im Internet ist nur zulässig, wenn diese Form der Veröffentlichung durch eine Rechtsvorschrift erlaubt ist oder wenn die oder der Betroffene in diese Form der Veröffentlichung eingewilligt hat. Sollen Daten nach § 11 Abs. 2 oder Daten von Mandatsträgern und öffentlich tätigen Personen im Rahmen eines Dienst- oder Arbeitsverhältnisses veröffentlicht werden, ist dies abweichend von Satz 1 zulässig, wenn sich die Daten auf das Mandat oder das Dienst- oder Arbeitsverhältnis beziehen und die schutzwürdigen Belange der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen. (2) Die Veröffentlichung ist zu befristen; sie darf einen Zeitraum von fünf Jahren nicht überschreiten. Mit Ablauf der Frist ist die Veröffentlichung aus dem Internet zu entfernen. Wiederholungsveröffentlichungen sind zulässig. Bei der Veröffentlichung ist ein Datum zu bestimmen, an dem die Veröffentlichung aus dem Internet entfernt wird.

§ 22 Datenverarbeitung für wissenschaftliche Zwecke (1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken durch öffentliche Stellen und die Übermittlung personenbezogener Daten durch öffentliche Stellen an Dritte, die die Daten zu wissenschaftlichen Zwecken verarbeiten wollen (Datenverarbeitung für wissenschaftliche Zwecke), soll in anonymisierter Form erfolgen. Ist eine Anonymisierung nicht möglich, sollen die Daten pseudonymisiert werden. § 11 Abs. 6 gilt entsprechend. (2) Steht bei der übermittelnden Stelle zur Erfassung der Daten, zur Anonymisierung oder Pseudonymisierung nicht ausreichend Personal zur Verfügung, so können die mit der Forschung befassten Personen diese Aufgaben wahrnehmen, wenn sie zuvor zur Verschwiegenheit verpflichtet worden sind. (3) Ist weder eine Anonymisierung noch eine Pseudonymisierung möglich, ist die Datenverarbeitung für wissenschaftliche Zwecke zulässig, wenn 1. die oder der Betroffene in die Datenverarbeitung eingewilligt hat, 2. es sich nicht um Daten nach § 11 Abs. 3 handelt und schutzwürdige Belange der oder des Betroffenen wegen der Art der Daten oder wegen der Art der Verwendung für das jeweilige Forschungsvorhaben nicht beeinträchtigt sind oder 3. die Genehmigung der für die datenverarbeitende Stelle zuständigen obersten Aufsichtsbehörde vorliegt. (4) Die Genehmigung nach Absatz 3 Nr. 3 wird erteilt, wenn das öffentliche Interesse an der Durchführung des jeweiligen Forschungsvorhabens die schutzwürdigen Belange der oder des Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Die Genehmigung muss den Forschungszweck, die Art der zu verarbeitenden Daten, den Kreis der Betroffenen sowie bei Übermittlungen den Empfängerkreis bezeichnen und ist dem Unabhängigen Landeszentrum für Datenschutz mitzuteilen. (5) Sobald der Forschungszweck es gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Nach Maßgabe der Absätze 1 bis 3 dürfen die personenbezogenen Daten auch für einen anderen als den ursprünglichen Forschungszweck weiterverarbeitet werden. (6) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. die oder der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Personen der Zeitgeschichte unerlässlich ist. (7) Die übermittelnde Stelle hat empfangende Stellen, auf die dieses Gesetz keine Anwendung findet, zu verpflichten, die Vorschriften der Absätze 5 und 6 einzuhalten und jederzeit Kontrollen durch das Unabhängige Landeszentrum für Datenschutz zu ermöglichen.

§ 25 ( aufgehoben )

§ 26 Aufklärung, Benachrichtigung (1) Werden personenbezogene Daten bei den Betroffenen mit ihrer Kenntnis erhoben, so sind sie in geeigneter Weise aufzuklären über 1. die datenverarbeitende Stelle, 2. den Zweck der Datenverarbeitung, 3. die Rechtsvorschrift, die die Datenverarbeitung gestattet; liegt eine solche nicht vor, die Freiwilligkeit der Datenangabe, 4. die Folgen einer Nichtbeantwortung, wenn die Angaben für die Gewährung einer Leistung erforderlich sind, 5. ihre Rechte nach diesem Gesetz, 6. den Empfängerkreis bei beabsichtigten Übermittlungen sowie 7. die Auftragnehmenden bei beabsichtigter Datenverarbeitung im Auftrag. Die Pflicht zur Aufklärung nach Satz 1 entfällt, wenn den Betroffenen die Informationen bereits vorliegen. (2) Absatz 1 gilt nicht für 1. die Verfassungsschutzbehörden, 2. die Behörden der Staatsanwaltschaft, 3. die Behörden der Polizei, 4. die Gefahrenabwehrbehörden und 5. die Landesfinanzverwaltungen. (3) Werden die Daten ohne Kenntnis der Betroffenen erhoben, so sind diese in angemessener Weise über die verarbeiteten Daten und über die in Absatz 1 Satz 1 und Satz 2 Nr. 1 und 3 bis 5 genannten Umstände zu unterrichten. Eine Pflicht zur Aufklärung besteht nicht, wenn die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Sollen die Daten übermittelt werden, so hat die Benachrichtigung spätestens zeitgleich mit der Übermittlung zu erfolgen. Satz 1 und 3 finden keine Anwendung, wenn die Betroffenen auf andere Weise Kenntnis von der Verarbeitung ihrer Daten erlangt haben.

§ 27 Auskunft an Betroffene (1) Den Betroffenen ist von der datenverarbeitenden Stelle auf Antrag Auskunft zu erteilen über 1. die zu ihrer Person gespeicherten Daten, 2. den Zweck und die Rechtsgrundlage der Speicherung, 3. die Herkunft der Daten ( § 13 Abs. 1 Satz 3 ) und die Empfänger von Übermittlungen ( § 14 Abs. 3 , § 15 Abs. 2 Satz 2 ), 4. die Auftragnehmenden bei Datenverarbeitung im Auftrag, 5. die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den gesetzlichen Bestimmungen entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind, sowie 6. die Funktionsweise von automatisierten Verfahren. Die Betroffenen sollen die Art der personenbezogenen Daten, über die Auskunft verlangt wird, näher bezeichnen. (2) Den Betroffenen kann statt der Auskunft Einsicht in die zu ihrer Person gespeicherten Daten gewährt werden. Die Einsicht wird nicht gewährt, soweit diese mit personenbezogenen Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Rechtsvorschriften über die Akteneinsicht im Verwaltungsverfahren bleiben unberührt. (3) Die Auskunftserteilung oder die Gewährung von Einsicht unterbleibt, soweit eine Prüfung ergibt, dass 1. dadurch die Erfüllung der Aufgaben der datenverarbeitenden Stelle, einer übermittelnden Stelle oder einer empfangenden Stelle gefährdet würde, 2. dadurch die öffentliche Sicherheit gefährdet würde oder sonst dem Wohle des Bundes oder eines Landes schwere Nachteile entstehen würden oder 3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person geheimgehalten werden müssen. (4) Werden Auskunft oder Einsicht nicht gewährt, ist die oder der Betroffene unter Mitteilung der wesentlichen Gründe darauf hinzuweisen, dass sie oder er sich an das Unabhängige Landeszentrum für Datenschutz wenden kann. Eine Begründung für die Auskunftsverweigerung erfolgt nicht, soweit dadurch der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

§ 27 a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten Stellt eine datenverarbeitende Stelle fest, dass bei ihr gespeicherte personenbezogene Daten im Sinne von § 11 Abs. 3 Satz 1 unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich den Betroffenen sowie dem Unabhängigen Landeszentrum für Datenschutz mitzuteilen. § 42 a Satz 2 bis 4 und 6 des Bundesdatenschutzgesetzes gilt entsprechend. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle eine Veröffentlichung auf der Internetseite des Unabhängigen Landeszentrums für Datenschutz.

§ 28 Berichtigung, Löschung, Sperrung (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. (2) Personenbezogene Daten sind zu löschen, wenn 1. ihre Verarbeitung unzulässig ist oder 2. ihre Kenntnis für die datenverarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist. Die datenverarbeitende Stelle legt in allgemeinen Regelungen über die Aufbewahrung von Daten den Zeitraum fest, innerhalb dessen die Daten als zur Aufgabenerfüllung erforderlich gelten. Sind personenbezogene Daten in Akten untrennbar im Sinne von § 11 Abs. 4 Satz 2 gespeichert, ist die Löschung nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist. (3) Personenbezogene Daten sind zu sperren, wenn 1. ihre Richtigkeit von der oder dem Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit nachweisen lässt, 2. sie zur Aufgabenerfüllung nicht mehr erforderlich sind, Rechtsvorschriften jedoch die weitere Aufbewahrung anordnen, 3. die oder der Betroffene anstelle der Löschung die Sperrung verlangt, 4. die Löschung die Betroffene oder den Betroffenen in der Verfolgung ihrer oder seiner Rechte oder in sonstigen schutzwürdigen Belangen beeinträchtigen würde oder 5. eine Löschung gemäß Absatz 2 Satz 3 nicht erfolgt. (4) Gesperrte Daten dürfen über die Speicherung hinaus ohne Einwilligung der oder des Betroffenen nicht mehr weiterverarbeitet werden, es sei denn, dass Rechtsvorschriften die Verarbeitung zulassen oder die Verarbeitung durch die datenverarbeitende Stelle zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der datenverarbeitenden Stelle oder von Dritten liegenden Gründen unerlässlich ist. Die Gründe für die Verarbeitung gesperrter Daten sind zu dokumentieren. (5) Von der Berichtigung, Sperrung oder Löschung nach Absatz 2 Nr. 1 sind unverzüglich die Stellen zu unterrichten, denen die Daten übermittelt wurden. Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden.

§ 3 Anwendungsbereich (1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung. (2) Abweichend von Absatz 1 gelten nur die Vorschriften der §§ 23 und 39 bis 43 , soweit 1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe), 2. öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, 3. Landesbetriebe oder 4. der Aufsicht des Landes oder der Gemeinden unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im Übrigen sind die für nichtöffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme seines § 38 anzuwenden. (3) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor.

§ 32 Errichtung und Rechtsform (1) Das Land Schleswig-Holstein errichtet unter dem Namen "Unabhängiges Landeszentrum für Datenschutz" eine rechtsfähige Anstalt des öffentlichen Rechts. Sitz der Anstalt ist die Landeshauptstadt Kiel. (2) Die Anstalt besitzt Dienstherrnfähigkeit und führt das Landessiegel.

§ 39 Aufgaben des Unabhängigen Landeszentrums für Datenschutz (1) Das Unabhängige Landeszentrum für Datenschutz nimmt die ihm zugewiesenen Aufgaben in Unabhängigkeit wahr und ist nur dem Gesetz unterworfen. Die §§ 50 bis 52 des Landesverwaltungsgesetzes sind nicht anzuwenden; im Übrigen sind die Rechtsvorschriften, die für die der Aufsicht des Landes unterstehenden rechtsfähigen Anstalten des öffentlichen Rechts gelten, anzuwenden. (2) Das Unabhängige Landeszentrum für Datenschutz überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen, auf die dieses Gesetz Anwendung findet. Die Gerichte und der Landesrechnungshof unterliegen seiner Kontrolle, soweit sie nicht in richterlicher Unabhängigkeit tätig werden. (3) Das Unabhängige Landeszentrum für Datenschutz ist die zuständige Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes über nichtöffentliche Stellen im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes. (4) Das Unabhängige Landeszentrum für Datenschutz berät die obersten Landesbehörden sowie die sonstigen öffentlichen Stellen in Fragen des Datenschutzes, der Datensicherheit und der damit zusammenhängenden Datenverarbeitungstechniken sowie deren Sozialverträglichkeit. Zu diesem Zweck können Empfehlungen zur Verbesserung des Datenschutzes gegeben werden. Auf Anforderungen des Landtages, des Petitionsausschusses des Landtages oder einer obersten Landesbehörde soll das Unabhängige Landeszentrum für Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenbereich unmittelbar betreffen, nachgehen. (5) Auf Anforderung des Landtages, einzelner Fraktionen des Landtages oder der Landesregierung hat das Unabhängige Landeszentrum für Datenschutz Gutachten zu erstellen und Berichte zu erstatten. Es legt dem Landtag alle zwei Jahre einen Tätigkeitsbericht vor. (6) Für die Erfüllung der Aufgaben ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen.

§ 43 Serviceaufgaben (1) Das Unabhängige Landeszentrum für Datenschutz berät und informiert die Bürgerinnen und Bürger über alle Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte sowie über geeignete technische Maßnahmen zum Selbstdatenschutz. (2) Öffentliche Stellen können ihre technischen und organisatorischen Maßnahmen bei der Verarbeitung personenbezogener Daten sowie die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. (3) Das Unabhängige Landeszentrum für Datenschutz führt Fortbildungsveranstaltungen zu den Themen Datenschutz und Datensicherheit durch. Es berät nichtöffentliche Stellen auf Anfrage in Fragen von Datenschutz und Datensicherheit. (4) Das Unabhängige Landeszentrum für Datenschutz kann für die Wahrnehmung der Aufgaben nach den Absätzen 1 bis 3 sowie nach § 9 Abs. 1 Entgelte erheben.

§ 44 Ordnungswidrigkeiten (1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind, 1. erhebt, speichert, zweckwidrig verarbeitet, verändert, übermittelt, zum Abruf bereithält oder löscht, 2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder andere veranlasst. (2) Ordnungswidrig handelt auch, 1. wer anonymisierte oder pseudonymisierte Daten mit anderen Informationen zusammenführt und dadurch die Betroffene oder den Betroffenen wieder bestimmbar macht, 2. wer sich bei pseudonymisierten Daten entgegen den Vorschriften dieses Gesetzes Zugriff auf die Zuordnungsfunktion verschafft oder 3. wer es vollständig unterlässt, technischorganisatorische Maßnahmen nach § 5 Abs. 1 zu treffen. (3) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

§ 45 Übergangsregelungen Am 26. Januar 2012 eingesetzte automatisierte Verfahren müssen bis zum Ablauf des 31. Dezember 2013 den § 6 Abs. 4 Satz 3 , § 8 Abs. 4 und §§ 14 und 15 entsprechen.

§ 46 Inkrafttreten, Außerkrafttreten (1) Dieses Gesetz tritt am 1. Juli 2000 in Kraft. (2) Gleichzeitig treten 1. das Landesdatenschutzgesetz vom 30. Oktober 1991 (GVOBl. Schl.-H. S. 555), zuletzt geändert durch Gesetz vom 25. November 1999 (GVOBl. Schl.-H. S. 414), 2. das Gesetz zur Errichtung des Unabhängigen Landeszentrums für Datenschutz vom 25. November 1999 (GVOBl. Schl.-H. S. 414) und 3. die Landesverordnung über die zuständige Aufsichtsbehörde nach dem Bundesdatenschutzgesetz vom 8. Dezember 1992 (GVOBl. Schl.-H. S 533), geändert gemäß Verordnung vom 24. Oktober 1996 (GVOBl. Schl.-H. S. 652), außer Kraft.

§ 5 Allgemeine Maßnahmen zur Datensicherheit (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Sinne von § 3 Abs. 3 ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Sie müssen gewährleisten, dass 1. Verfahren und Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können (Verfügbarkeit), 2. Daten unversehrt, vollständig, zurechenbar und aktuell bleiben (Integrität), 3. nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit), 4. die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz), 5. personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nicht-Verkettbarkeit) und 6. Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte nach den §§ 26 bis 30 wirksam ermöglichen (Intervenierbarkeit). (2) Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen hinsichtlich einer wirksamen Umsetzung der getroffenen Maßnahmen nach Absatz 1 zu testen und durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben. (3) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen. Das Unabhängige Landeszentrum für Datenschutz ist anzuhören.

§ 6 Besondere Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren (1) Automatisierte Verfahren sind so zu gestalten, dass eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist. (2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren. (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten entschlüsseln kann. In Fällen, in denen eine Verschlüsselung aus technischen Gründen nicht möglich ist, ist die Verarbeitung personenbezogener Daten ohne Verschlüsselung nach konkreten, dem Schutzbedarf der personenbezogenen Daten angemessenen Verfahrensregelungen zulässig. (4) Werden personenbezogene Daten ausschließlich automatisiert gespeichert, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldaten müssen zusammen mit den gespeicherten personenbezogenen Daten sichtbar gemacht werden können und für den gleichen Zeitraum aufbewahrt werden. (5) Die datenverarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen.

§ 7 Verfahrensverzeichnis, Meldung (1) Die datenverarbeitende Stelle erstellt für jedes von ihr betriebene automatisierte Verfahren ein Verfahrensverzeichnis. Dieses Verzeichnis kann auch von einer Stelle für andere geführt werden. Es enthält Angaben über 1. Name und Anschrift der datenverarbeitenden Stelle, 2. Zweckbestimmung und Rechtsgrundlage des Verfahrens, 3. den Kreis der Betroffenen, 4. die Kategorien der verarbeiteten Daten und deren Aufbewahrungs- oder Löschfristen 5. die Personen und Stellen, die Daten erhalten oder erhalten dürfen einschließlich der Auftragnehmenden, 6. geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union, 7. die datenschutzrechtliche Beurteilung der oder des behördlichen Datenschutzbeauftragten, soweit eine solche vorliegt, 8. eine allgemeine Beschreibung der nach den §§ 5 und 6 zur Einhaltung der Datensicherheit getroffenen Maßnahmen. (2) Absatz 1 gilt nicht für Register, die zur Information der Öffentlichkeit bestimmt sind oder die allen Personen, die mindestens ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen stehen, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. (3) Die datenverarbeitenden Stellen, die keine behördliche Datenschutzbeauftragte oder keinen behördlichen Datenschutzbeauftragten nach § 10 bestellt haben, melden dem Unabhängigen Landeszentrum für Datenschutz den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens. Ausgenommen sind die in den Absätzen 2 und 4 genannten Verfahren. Die meldepflichtigen Stellen haben spätestens bei der ersten Einspeicherung die Angaben nach Absatz 1 mitzuteilen. Bei Verfahren, die von öffentlichen Stellen entwickelt worden sind, können diese Stellen mit der Abgabe der Meldung beauftragt werden. (4) Das Unabhängige Landeszentrum für Datenschutz führt ein Verzeichnis der Meldungen nach Absatz 3. Es enthält die Angaben nach Absatz 1. Das Verzeichnis kann von jeder Person eingesehen werden. Das Unabhängige Landeszentrum für Datenschutz veröffentlicht das Verzeichnis auf seiner Internetseite. Die Sätze 3 und 4 gelten nicht für Verfahren, die 1. nach dem Landesverfassungsschutzgesetz geführt werden, 2. der Gefahrenabwehr dienen, 3. der Strafverfolgung dienen oder 4. der Steuerfahndung dienen. (5) Bei Bestellung einer oder eines behördlichen Datenschutzbeauftragten nach § 10 kann das Verfahrensverzeichnis von jeder Person bei der datenverarbeitenden Stelle eingesehen werden. Die datenverarbeitende Stelle kann das Verfahrensverzeichnis auf ihrer Internetseite veröffentlichen. Die Ausnahmen von der Einsichtnahme und Veröffentlichung nach Absatz 4 Satz 5 gelten entsprechend.

§ 8 Gemeinsame Verfahren und Abrufverfahren (1) Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. (2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens kontrolliert werden kann. Hierzu kann die Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens von der Verantwortung für die gespeicherten Daten abgetrennt und auf eine zentrale Stelle übertragen werden. Die zentrale Stelle sowie Einzelheiten über Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung werden durch Verordnung der für das Verfahren zuständigen obersten Landesbehörde bestimmt. (3) Bei Verfahren nach Absatz 1 ist das Verfahrensverzeichnis nach § 7 Abs. 1 um die Feststellung zu ergänzen, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. Die Betroffenen können die ihnen nach Abschnitt V dieses Gesetzes zustehenden Rechte gegenüber jeder der beteiligten Stellen geltend machen. Diese leiten die Anliegen der Betroffenen an die nach Satz 1 als verantwortlich festgestellte Stelle weiter. (4) Werden bei gemeinsamen Verfahren personenbezogene Daten übermittelt, sind die Empfänger, der Zeitpunkt der Übermittlung, die jeweils übermittelten Daten und der Zweck der Übermittlung zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern. (5) Bei Abrufverfahren trägt die Verantwortung für die Zulässigkeit des einzelnen Abrufs die abrufende Stelle. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Zulässigkeit der Übermittlung personenbezogener Daten festgestellt und überprüft werden kann. (6) Die Absätze 1 bis 5 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

§ 3 Anwendungsbereich (1) Dieses Gesetz gilt für öffentliche Stellen. Öffentliche Stellen im Sinne dieses Gesetzes sind Behörden und sonstige öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der öffentlichen Verwaltung. (2) Abweichend von Absatz 1 gelten nur die Vorschriften der §§ 23 und 39 bis 43 , soweit 1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe), 2. öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, 3. Landesbetriebe oder 4. der Aufsicht des Landes oder der Gemeinden unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im Übrigen sind die für nichtöffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme seines § 38 anzuwenden. (3) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor. (4) Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte sowie die Landtagsverwaltung unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie in Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung und der Grundsätze dieses Gesetzes eine Datenschutzordnung.

§ 35 Wahl und Amtszeit der oder des Landesbeauftragten für Datenschutz (1) Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von fünf Jahren. Die Wiederwahl ist zulässig. (2) Vorschlagsberechtigt sind die Fraktionen des Schleswig-Holsteinischen Landtages. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt die oder der Landesbeauftragte für Datenschutz das Amt bis zur Neuwahl weiter. (3) Der Landtag kann die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit einer Mehrheit von zwei Dritteln seiner Mitglieder abwählen.

§ 24 Öffentliche Auszeichnungen (1) Zur Vorbereitung öffentlicher Auszeichnungen dürfen die Ministerpräsidentin oder der Ministerpräsident, das Ministerium für Inneres und für Bundesangelegenheiten sowie die von der Ministerpräsidentin oder dem Ministerpräsidenten besonders beauftragten Stellen die dazu erforderlichen personenbezogenen Daten auch ohne Kenntnis der Betroffenen erheben und weiterverarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der Betroffenen zulässig. (2) Auf Anforderung der in Absatz 1 Satz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung erforderlichen Daten übermitteln. (3) § 27 findet keine Anwendung.

§ 1 Gesetzeszweck Zweck dieses Gesetzes ist es, bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen das Recht auf informationelle Selbstbestimmung zu wahren.

§ 10 Behördliche Datenschutzbeauftragte (1) Die datenverarbeitende Stelle kann schriftlich eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. Mehrere datenverarbeitende Stellen können gemeinsam eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. (2) Die oder der behördliche Datenschutzbeauftragte muss die erforderliche Sachkunde und Zuverlässigkeit besitzen. Sie oder er darf durch die Bestellung keinem Konflikt mit anderen dienstlichen Aufgaben ausgesetzt sein. (3) Die oder der behördliche Datenschutzbeauftragte ist unmittelbar der Leiterin oder dem Leiter der datenverarbeitenden Stelle zu unterstellen. Sie oder er ist bei der Ausübung des Amtes weisungsfrei und darf wegen der Wahrnehmung des Amtes nicht benachteiligt werden. Sie oder er ist zur Erfüllung der Aufgaben des Amtes im erforderlichen Umfang freizustellen und mit den notwendigen Mitteln auszustatten. Beschäftigte und Betroffene können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an sie oder ihn wenden. Die oder der behördliche Datenschutzbeauftragte darf zur Aufgabenerfüllung Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen. Dies gilt nicht, soweit besondere Amts- und Berufsgeheimnisse dem entgegenstehen. Im übrigen gilt § 41 Abs. 1 entsprechend. (4) Die oder der behördliche Datenschutzbeauftragte überwacht und unterstützt die Einhaltung der datenschutzrechtlichen Vorschriften bei der datenverarbeitenden Stelle. Sie oder er hat insbesondere 1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Datenverarbeitungsmaßnahmen hinzuwirken, 2. die Beschäftigten der datenverarbeitenden Stellen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen, 3. die datenverarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten zu beraten und bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren auf die Einhaltung der einschlägigen Vorschriften hinzuwirken, 4. das Verzeichnis nach § 7 Abs. 1 zu führen und zur Einsicht bereitzuhalten, 5. die Vorabkontrolle nach § 9 Abs. 1 durchzuführen. In Zweifelsfällen hat sie oder er das Unabhängige Landeszentrum für Datenschutz zu hören.

§ 11 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist zulässig, wenn 1. die oder der Betroffene eingewilligt hat, 2. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt, 3. sie zur rechtmäßigen Erfüllung der durch Rechtsvorschrift zugewiesenen Aufgaben der datenverarbeitenden Stelle erforderlich ist oder 4. sie zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist. (2) Die Verarbeitung personenbezogener Daten, die allgemein zugänglichen Quellen entnommen werden können, sowie von Daten, die die Betroffenen selbst zur Veröffentlichung bestimmt haben, ist über die Fälle von Absatz 1 hinaus zulässig, soweit schutzwürdige Belange der Betroffenen nicht beeinträchtigt sind. (3) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist nur zulässig, soweit 1. die oder der Betroffene eingewilligt hat, 2. die Voraussetzungen des § 17 Abs. 5 oder der §§ 22 bis 25 vorliegen, 3. andere Rechtsvorschriften sie erlauben, 4. sie ausschließlich im Interesse der oder des Betroffenen liegt, 5. sie sich auf Daten bezieht, die die oder der Betroffene selbst öffentlich gemacht hat, 6. sie zur Geltendmachung rechtlicher Ansprüche vor Gericht erforderlich ist oder 7. sie für die Abwehr von Gefahren für Leben, Gesundheit, persönliche Freiheit oder vergleichbare Rechtsgüter erforderlich ist. Satz 1 gilt entsprechend für Daten über strafbare Handlungen und Entscheidungen in Strafsachen. (4) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist. Sind personenbezogene Daten in Akten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, zulässig, soweit nicht schutzwürdige Belange der oder des Betroffenen überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot. (5) Die Absätze 3 und 4 finden keine Anwendung, wenn die Datenverarbeitung 1. durch die Verfassungsschutzbehörde zur Erfüllung ihrer Aufgaben erfolgt, 2. der Gefahrenabwehr dient, 3. der Strafverfolgung dient oder 4. der Steuerfahndung dient. Absatz 3 Satz 1 findet keine Anwendung, wenn die Datenverarbeitung der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder der Verwaltung von Gesundheitsdiensten dient und die Verarbeitung der Daten durch ärztliches Personal oder sonstige Personen, die einer der ärztlichen Schweigepflicht entsprechenden Geheimhaltungspflicht unterliegen, erfolgt. (6) Pseudonymisierte Daten dürfen nur von solchen Stellen verarbeitet werden, die keinen Zugriff auf die Zuordnungsfunktion haben. Die Übermittlung pseudonymisierter Daten ist zulässig, wenn die Zuordnungsfunktion im alleinigen Zugriff der übermittelnden Stelle verbleibt.

§ 12 Form der Einwilligung (1) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. In den Fällen des § 11 Abs. 3 muss sich die Einwilligung ausdrücklich auf die dort aufgeführten Daten beziehen. Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die oder der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. (2) Die oder der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung aufzuklären. Dabei ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass die Einwilligung verweigert und mit Wirkung für die Zukunft widerrufen werden kann. (3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass 1. sie nur durch eine eindeutige und bewusste Handlung der oder des Betroffenen erfolgen kann, 2. sie nicht unerkennbar verändert werden kann, 3. ihre Urheberin oder ihr Urheber erkannt werden kann und 4. die Einwilligung bei der verarbeitenden Stelle protokolliert wird.

§ 13 Erhebung, Zweckbindung (1) Personenbezogene Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben. Ohne Kenntnis der Betroffenen dürfen personenbezogene Daten nur erhoben werden, wenn die Voraussetzungen von Absatz 3 Nr. 1, 2 oder 4 vorliegen. Die Herkunft der Daten ist zu dokumentieren. (2) Personenbezogene Daten dürfen nur für den Zweck weiterverarbeitet werden, für den sie rechtmäßig erhoben worden sind. Daten, von denen die öffentliche Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für die Zwecke weiterverarbeitet werden, für die sie erstmals rechtmäßig gespeichert worden sind. (3) Die Verarbeitung für andere Zwecke ist ohne Einwilligung der oder des Betroffenen nur zulässig, wenn 1. eine Rechtsvorschrift dies erlaubt, 2. die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit, persönliche Freiheit oder sonstiger schwerwiegender Beeinträchtigungen der Rechte einzelner dies gebietet, 3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben oder 4. die Einholung der Einwilligung nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre und offensichtlich ist, dass die Verarbeitung im Interesse der oder des Betroffenen liegt und sie oder er in Kenntnis des anderen Zwecks die Einwilligung erteilen würde. (4) Daten im Sinne von § 11 Abs. 3 Satz 1 dürfen ohne Einwilligung der oder des Betroffenen für andere Zwecke nur verarbeitet werden, wenn die Voraussetzungen des Absatzes 3 Nr. 1 oder 2 vorliegen. Dies gilt nicht in den Fällen des § 11 Abs. 5 . (5) Die Verarbeitung der Daten zur Ausübung von Aufsichts- und Kontrollbefugnissen sowie zur Rechnungsprüfung gilt nicht als Verarbeitung für andere Zwecke. Daten, die zu einem anderen Zweck erhoben oder erstmalig gespeichert wurden, sind für Ausbildungs- und Prüfungszwecke in anonymisierter oder pseudonymisierter Form zu verarbeiten. Lassen sich die in Satz 2 genannten Zwecke durch anonymisierte oder pseudonymisierte Datenverarbeitung nicht erreichen, so ist die Zweckänderung zulässig, soweit berechtigte Interessen der oder des Betroffenen an der Geheimhaltung der Daten nicht überwiegen. (6) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verwendet werden. (7) Werden Daten innerhalb einer datenverarbeitenden Stelle zu einem anderen Zweck als dem nach Absatz 2 weiterverarbeitet, so ist dies zu dokumentieren.

§ 14 Datenübermittlung an andere öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn die Voraussetzungen der §§ 11 und 13 Abs. 2 bis 6 vorliegen. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Soll die Übermittlung auf Ersuchen einer Stelle erfolgen, so hat diese die hierfür erforderlichen Angaben zu machen, insbesondere die Rechtsgrundlage für die Übermittlung anzugeben. Die übermittelnde Stelle prüft die Schlüssigkeit der Anfrage. Bestehen im Einzelfall Zweifel, so prüft sie auch die Rechtmäßigkeit des Ersuchens.

§ 15 Datenübermittlung an nichtöffentliche Stellen (1) Die Übermittlung personenbezogener Daten an nichtöffentliche Stellen ist zulässig, wenn 1. von diesen ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft gemacht wird und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind oder 2. die Voraussetzungen der §§ 11 und 13 Abs. 2 bis 6 vorliegen. (2) Die übermittelnde Stelle hat die empfangende Stelle zu verpflichten, die Daten nur zu dem Zweck zu verwenden, zu dem sie ihr übermittelt wurden.

§ 16 Datenübermittlung an ausländische Stellen (1) Die Zulässigkeit der Übermittlung an öffentliche und nichtöffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes richtet sich nach den §§ 14 und 15 . (2) Die Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn 1. die oder der Betroffene eingewilligt hat, 2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist, 3. die Übermittlung zur Wahrung lebenswichtiger Interessen der oder des Betroffenen erforderlich ist, 4. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt oder 5. die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes der Grundrechte bietet. (3) Vor der Entscheidung über die Angemessenheit des Datenschutzniveaus und einer Entscheidung nach Absatz 2 Nr. 5 ist das Unabhängige Landeszentrum für Datenschutz zu hören. (4) Die empfangende Stelle ist darauf hinzuweisen, dass die Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt wurden.

§ 17 Verarbeitung personenbezogener Daten im Auftrag, Wartung (1) Lässt eine datenverarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Die Weitergabe der Daten von der datenverarbeitenden Stelle an die Auftragnehmenden gilt nicht als Übermittlung im Sinne von § 2 Abs. 2 Nr. 3 . (2) Die datenverarbeitende Stelle hat dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Sie hat Auftragnehmende unter besonderer Berücksichtigung ihrer Eignung für die Gewährleistung der nach den §§ 5 und 6 notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Aufträge, ergänzende Weisungen zu technischen und organisatorischen Maßnahmen und die etwaige Zulässigkeit von Unterauftragsverhältnissen sind schriftlich festzulegen. (3) Sofern die Vorschriften dieses Gesetzes auf Auftragnehmende keine Anwendung finden, hat die datenverarbeitende Stelle diese zu verpflichten, jederzeit von ihr veranlasste Kontrollen zu ermöglichen. (4) Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der datenverarbeitenden Stelle gelten die Absätze 1 bis 3 entsprechend. (5) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der datenverarbeitenden Stelle ist die Übermittlung personenbezogener Daten zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet, 1. die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind und 2. nach Erledigung des Auftrags die ihnen von der datenverarbeitenden Stelle überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen. Die Absätze 1 bis 3 gelten entsprechend.

§ 18 Mobile personenbezogene Datenverarbeitungssysteme (1) Mobile personenbezogene Speicher- und Verarbeitungsmedien zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle Daten der Betroffenen automatisiert austauschen können (mobile Datenverarbeitungssysteme, z.B. Chipkarten), dürfen nur mit der Einwilligung der oder des Betroffenen oder aufgrund einer Rechtsvorschrift eingesetzt werden. (2) Für die Betroffenen muss jederzeit erkennbar sein, 1. ob Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst stattfinden, 2. welche personenbezogenen Daten der oder des Betroffenen verarbeitet werden und 3. welcher Verarbeitungsvorgang im einzelnen abläuft oder angestoßen wird. (3) Die Betroffenen sind bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihnen nach den §§ 26 ff. zustehenden Rechte aufzuklären.

§ 19 Automatisierte Einzelentscheidungen Entscheidungen, die zu einer tatsächlichen oder rechtlichen Beschwer der Betroffenen führen, dürfen nicht ausschließlich auf die Ergebnisse automatisierter Verfahren, die einzelne Aspekte der Person der Betroffenen bewerten, gestützt werden. Ergebnisse automatisierter Verfahren dürfen abweichend von Satz 1 für Entscheidungen verwendet werden, wenn 1. ein Gesetz dies vorsieht oder 2. der oder dem Betroffenen vor der Entscheidung ermöglicht wird, ihre oder seine besonderen persönlichen Interessen geltend zu machen.

§ 2 Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffene oder Betroffener). (2) Datenverarbeitung ist die Verwendung personenbezogener Daten. Dabei ist 1. Erheben das Beschaffen von Daten, 2. Speichern das Aufbewahren von Daten auf Datenträgern, 3. Übermitteln das Weitergeben von Daten an Dritte oder der Abruf von zum Abruf bereitgehaltenen Daten durch Dritte, 4. Sperren das Untersagen weiterer Verarbeitung gespeicherter Daten, 5. Löschen das Unkenntlichmachen gespeicherter Daten, 6. Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, 7. Pseudonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, 8. Verschlüsseln das Verändern personenbezogener Daten derart, dass ohne Nutzung des Geheimnisses die Kenntnisnahme vom Inhalt der Daten nicht oder nur mit einem unverhältnismäßigen Aufwand möglich ist. (3) Datenverarbeitende Stelle ist jede öffentliche Stelle im Sinne von § 3 Abs. 1 , die personenbezogene Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt. (4) Empfänger ist jede natürliche oder juristische Person, öffentliche oder nicht-öffentliche Stelle, die Daten erhält. (5) Dritte oder Dritter ist jede natürliche oder juristische Person und öffentliche oder nichtöffentliche Stelle außer 1. der datenverarbeitenden Stelle selbst, 2. der betroffenen Person, 3. der Auftragsdatenverarbeiterin oder dem Auftragsdatenverarbeiter und 4. den Personen, die unter der unmittelbaren Verantwortung der datenverarbeitenden Stelle oder der Auftragsdatenverarbeiterin oder des Auftragsdatenverarbeiters befugt sind, die Daten zu verarbeiten.

§ 20 Video-Überwachung und -Aufzeichnung (1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist und schutzwürdige Belange Betroffener nicht überwiegen. (2) Das Bildmaterial darf gespeichert werden (Video-Aufzeichnung), wenn die Tatsache der Aufzeichnung für die Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist. Die Aufzeichnungen sind spätestens nach sieben Tagen zu löschen, es sei denn, sie dokumentieren Vorkommnisse, zu deren Aufklärung die weitere Speicherung erforderlich ist.

§ 21 Fernmessen und Fernwirken (1) Wer eine Datenverarbeitungs- oder Übertragungseinrichtung zu dem Zweck nutzt, bei einem Betroffenen, insbesondere in der Wohnung oder in den Geschäftsräumen ferngesteuert Messungen vorzunehmen oder andere Wirkungen auszulösen, bedarf dessen Einwilligung. (2) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses darf nicht von der Einwilligung der oder des Betroffenen nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft die oder der Betroffene ihre oder seine Einwilligung, so dürfen ihr oder ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.

§ 22 Datenverarbeitung für wissenschaftliche Zwecke (1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken durch öffentliche Stellen und die Übermittlung personenbezogener Daten durch öffentliche Stellen an Dritte, die die Daten zu wissenschaftlichen Zwecken nutzen wollen (Datenverarbeitung für wissenschaftliche Zwecke), soll in anonymisierter Form erfolgen. Ist eine Anonymisierung nicht möglich, sollen die Daten pseudonymisiert werden. § 11 Abs. 6 gilt entsprechend. (2) Steht bei der übermittelnden Stelle zur Erfassung der Daten, zur Anonymisierung oder Pseudonymisierung nicht ausreichend Personal zur Verfügung, so können die mit der Forschung befassten Personen diese Aufgaben wahrnehmen, wenn sie zuvor zur Verschwiegenheit verpflichtet worden sind. (3) Ist weder eine Anonymisierung noch eine Pseudonymisierung möglich, ist die Datenverarbeitung für wissenschaftliche Zwecke zulässig, wenn 1. die oder der Betroffene in die Datenverarbeitung eingewilligt hat, 2. es sich nicht um Daten nach § 11 Abs. 3 handelt und schutzwürdige Belange der oder des Betroffenen wegen der Art der Daten oder wegen der Art der Verwendung für das jeweilige Forschungsvorhaben nicht beeinträchtigt sind oder 3. die Genehmigung der für die datenverarbeitende Stelle zuständigen obersten Aufsichtsbehörde vorliegt. (4) Die Genehmigung nach Absatz 3 Nr. 3 wird erteilt, wenn das öffentliche Interesse an der Durchführung des jeweiligen Forschungsvorhabens die schutzwürdigen Belange der oder des Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Die Genehmigung muss den Forschungszweck, die Art der zu verarbeitenden Daten, den Kreis der Betroffenen sowie bei Übermittlungen den Empfängerkreis bezeichnen und ist dem Unabhängigen Landeszentrum für Datenschutz mitzuteilen. (5) Sobald der Forschungszweck es gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Nach Maßgabe der Absätze 1 bis 3 dürfen die personenbezogenen Daten auch für einen anderen als den ursprünglichen Forschungszweck weiterverarbeitet werden. (6) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. die oder der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Personen der Zeitgeschichte unerlässlich ist. (7) Die übermittelnde Stelle hat empfangende Stellen, auf die dieses Gesetz keine Anwendung findet, zu verpflichten, die Vorschriften der Absätze 5 und 6 einzuhalten und jederzeit Kontrollen durch das Unabhängige Landeszentrum für Datenschutz zu ermöglichen.

§ 24 Öffentliche Auszeichnungen (1) Zur Vorbereitung öffentlicher Auszeichnungen dürfen die Ministerpräsidentin oder der Ministerpräsident, das Innenministerium sowie die von der Ministerpräsidentin oder dem Ministerpräsidenten besonders beauftragten Stellen die dazu erforderlichen personenbezogenen Daten auch ohne Kenntnis der Betroffenen erheben und weiterverarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der Betroffenen zulässig. (2) Auf Anforderung der in Absatz 1 Satz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung erforderlichen Daten übermitteln. (3) § 27 findet keine Anwendung.

§ 25 Besondere Dokumentationsstelle für Sekten (1) Die Ministerpräsidentin oder der Ministerpräsident oder eine von ihr oder von ihm besonders beauftragte Stelle (Dokumentationsstelle) kann zum Zweck der Aufklärung oder Warnung die Betätigungen von Sekten oder sektenähnlichen Vereinigungen einschließlich der mit ihnen rechtlich, wirtschaftlich oder in ihrer religiösen oder weltanschaulichen Zielsetzung verbundenen Organisationen oder Vereinigungen in Schleswig-Holstein dokumentieren und über sie informieren, sofern tatsächliche Anhaltspunkte den Verdacht begründen, dass von deren Wirken Gefahren für die Menschenwürde, die freie Entfaltung der Persönlichkeit, das Leben, die Gesundheit oder das Eigentum ausgehen, insbesondere dass Personen in ihrer Willensfreiheit eingeschränkt werden. (2) Soweit ein begründeter Verdacht im Sinne des Absatz 1 besteht, kann die Dokumentationsstelle über Personen, die in einer derartigen Sekte, Vereinigung oder Organisation aktiv mitwirken, bei anderen öffentlichen Stellen vorhandene oder öffentlich zugängliche personenbezogene Daten erheben und weiterverarbeiten. Hiervon ausgenommen sind Daten, die besonderen Berufs- oder Amtsgeheimnissen unterliegen, sowie Daten, für die besondere Verwendungsvorschriften in anderen Gesetzen bestehen. (3) Die Speicherung der erhobenen personenbezogenen Daten ist spätestens nach zwei Jahren auf ihre Erforderlichkeit zu prüfen. Spätestens fünf Jahre nach der letzten Tätigkeit im Sinne von Absatz 2 sind die personenbezogenen Daten zu löschen. (4) An Stellen außerhalb des öffentlichen Bereichs dürfen personenbezogene Daten übermittelt werden, wenn 1. es zur Erfüllung der Aufgabe nach Absatz 1 erforderlich ist oder 2. ein Dritter ein rechtliches Interesse daran hat und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt sind.

§ 26 Aufklärung, Benachrichtigung (1) Werden personenbezogene Daten bei den Betroffenen mit ihrer Kenntnis erhoben, so sind sie in geeigneter Weise über die datenverarbeitende Stelle und den Zweck der Datenverarbeitung aufzuklären. Die Betroffenen sind darüber hinaus aufzuklären über 1. die Rechtsvorschrift, die die Datenverarbeitung gestattet; liegt eine solche nicht vor, die Freiwilligkeit der Datenangabe, 2. die Folgen einer Nichtbeantwortung, wenn die Angaben für die Gewährung einer Leistung erforderlich sind, 3. ihre Rechte nach diesem Gesetz, 4. den Empfängerkreis bei beabsichtigten Übermittlungen sowie 5. die Auftragnehmenden bei beabsichtigter Datenverarbeitung im Auftrag, soweit es nach den Umständen des Einzelfalles angemessen erscheint. Die Pflicht zur Benachrichtigung nach den Sätzen 1 und 2 entfällt, wenn den Betroffenen die Informationen bereits vorliegen. (2) Absatz 1 gilt nicht für 1. die Verfassungsschutzbehörden, 2. die Behörden der Staatsanwaltschaft, 3. die Behörden der Polizei, 4. die Gefahrenabwehrbehörden und 5. die Landesfinanzverwaltungen. (3) Werden die Daten ohne Kenntnis der Betroffenen erhoben, so sind diese in angemessener Weise über die verarbeiteten Daten und über die in Absatz 1 Satz 1 und Satz 2 Nr. 1 und 3 bis 5 genannten Umstände zu unterrichten. Eine Pflicht zur Aufklärung besteht nicht, wenn die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Sollen die Daten übermittelt werden, so hat die Benachrichtigung spätestens zeitgleich mit der Übermittlung zu erfolgen. Satz 1 und 3 finden keine Anwendung, wenn die Betroffenen auf andere Weise Kenntnis von der Verarbeitung ihrer Daten erlangt haben.

§ 27 Auskunft an Betroffene (1) Den Betroffenen ist von der datenverarbeitenden Stelle auf Antrag Auskunft zu erteilen über 1. die zu ihrer Person gespeicherten Daten, 2. den Zweck und die Rechtsgrundlage der Speicherung, 3. die Herkunft der Daten und den Empfängerkreis von Übermittlungen, 4. die Auftragnehmenden bei Datenverarbeitung im Auftrag, 5. die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den gesetzlichen Bestimmungen entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind, sowie 6. die Funktionsweise von automatisierten Verfahren. Die Betroffenen sollen die Art der personenbezogenen Daten, über die Auskunft verlangt wird, näher bezeichnen. (2) Den Betroffenen kann statt der Auskunft Einsicht in die zu ihrer Person gespeicherten Daten gewährt werden. Die Einsicht wird nicht gewährt, soweit diese mit personenbezogenen Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Rechtsvorschriften über die Akteneinsicht im Verwaltungsverfahren bleiben unberührt. (3) Die Auskunftserteilung oder die Gewährung von Einsicht unterbleibt, soweit eine Prüfung ergibt, dass 1. dadurch die Erfüllung der Aufgaben der datenverarbeitenden Stelle, einer übermittelnden Stelle oder einer empfangenden Stelle gefährdet würde, 2. dadurch die öffentliche Sicherheit gefährdet würde oder sonst dem Wohle des Bundes oder eines Landes schwere Nachteile entstehen würden oder 3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person geheimgehalten werden müssen. (4) Werden Auskunft oder Einsicht nicht gewährt, ist die oder der Betroffene unter Mitteilung der wesentlichen Gründe darauf hinzuweisen, dass sie oder er sich an das Unabhängige Landeszentrum für Datenschutz wenden kann. Eine Begründung für die Auskunftsverweigerung erfolgt nicht, soweit dadurch der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

§ 28 Berichtigung, Löschung, Sperrung (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. (2) Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die datenverarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist. Die datenverarbeitende Stelle legt in allgemeinen Regelungen über die Aufbewahrung von Daten den Zeitraum fest, innerhalb dessen die Daten als zur Aufgabenerfüllung erforderlich gelten. Sind personenbezogene Daten in Akten untrennbar im Sinne von § 11 Abs. 4 Satz 2 gespeichert, ist die Löschung nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung nicht mehr erforderlich ist. (3) Personenbezogene Daten sind zu sperren, wenn 1. ihre Richtigkeit von der oder dem Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit nachweisen lässt, 2. sie zur Aufgabenerfüllung nicht mehr erforderlich sind, Rechtsvorschriften jedoch die weitere Aufbewahrung anordnen, 3. die oder der Betroffene anstelle der Löschung die Sperrung verlangt, 4. die Löschung die Betroffene oder den Betroffenen in der Verfolgung ihrer oder seiner Rechte oder in sonstigen schutzwürdigen Belangen beeinträchtigen würde oder 5. eine Löschung gemäß Absatz 2 Satz 3 nicht erfolgt. (4) Gesperrte Daten dürfen über die Speicherung hinaus ohne Einwilligung der oder des Betroffenen nicht mehr weiterverarbeitet werden, es sei denn, dass Rechtsvorschriften die Verarbeitung zulassen oder die Nutzung durch die datenverarbeitende Stelle zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der datenverarbeitenden Stelle oder von Dritten liegenden Gründen unerlässlich ist. Die Gründe für die Nutzung gesperrter Daten sind zu dokumentieren. (5) Von der Berichtigung, Sperrung oder Löschung nach Absatz 2 Nr. 1 sind unverzüglich die Stellen zu unterrichten, denen die Daten übermittelt wurden. Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden.

§ 29 Einwand gegen die Verarbeitung (1) Die Betroffenen haben das Recht, schriftlich unter Hinweis auf besondere persönliche Gründe Einwand gegen die Verarbeitung ihrer Daten allgemein oder gegen bestimmte Formen der Verarbeitung zu erheben. Der Einwand ist begründet, wenn ein schutzwürdiges Interesse der oder des Betroffenen das öffentliche Interesse an der Datenverarbeitung im Einzelfall überwiegt. In diesem Fall ist die Datenverarbeitung insgesamt oder in bestimmten Formen unzulässig. (2) Absatz 1 findet keine Anwendung bei Verfahren, die 1. nach dem Landesverfassungsschutzgesetz geführt werden, 2. der Gefahrenabwehr dienen, 3. der Strafverfolgung dienen oder 4. der Steuerfahndung dienen.

§ 31 Unabdingbarkeit Die Rechte der Betroffenen aus diesem Gesetz können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

§ 32 Errichtung und Rechtsform (1) Das Land Schleswig-Holstein errichtet unter dem Namen "Unabhängiges Landeszentrum für Datenschutz" eine rechtsfähige Anstalt des öffentlichen Rechts. Sitz der Anstalt ist die Landeshauptstadt Kiel. (2) Die Anstalt besitzt Dienstherrnfähigkeit und führt das kleine Landessiegel.

§ 33 Trägerschaft, Anstaltslast und Gewährträgerhaftung (1) Träger der Anstalt ist das Land Schleswig-Holstein. (2) Für Verbindlichkeiten der Anstalt haftet der Anstaltsträger Dritten gegenüber, soweit nicht eine Befriedigung aus dem Vermögen der Anstalt möglich ist. (3) Der Anstaltsträger stellt sicher, dass die Anstalt ihre gesetzlichen Aufgaben erfüllen kann.

§ 34 Organ (1) Organ der Anstalt ist der Vorstand. (2) Der Vorstand besteht aus der Leiterin oder dem Leiter der Anstalt. Sie oder er führt die Bezeichnung "Landesbeauftragte für Datenschutz" oder "Landesbeauftragter für Datenschutz". (3) Die Landesbeauftragte oder der Landesbeauftragte für Datenschutz führt die Geschäfte der Anstalt und vertritt sie gerichtlich und außergerichtlich. In ihrem oder seinem Verhinderungsfalle vertritt die oder der stellvertretende Landesbeauftragte für Datenschutz die Anstalt und führt deren Geschäfte.

§ 35 Rechtsstellung der oder des Landesbeauftragten für Datenschutz (1) Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den Landesbeauftragten für Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von fünf Jahren. Die Wiederwahl ist nur einmal zulässig. (2) Vorschlagsberechtigt sind die Fraktionen des Schleswig-Holsteinischen Landtages. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt die oder der Landesbeauftragte für Datenschutz das Amt bis zur Neuwahl weiter. (3) Die Ministerpräsidentin oder der Ministerpräsident ernennt die Landesbeauftragte oder den Landesbeauftragten zur Beamtin oder zum Beamten auf Zeit. (4) Die oder der Landesbeauftragte für Datenschutz kann jederzeit die Entlassung verlangen. (5) Die Ministerpräsidentin oder der Ministerpräsident ist Dienstvorgesetzte oder Dienstvorgesetzter der oder des Landesbeauftragten für Datenschutz. Die oder der Landesbeauftragte für Datenschutz ist Dienstvorgesetzte oder Dienstvorgesetzter und oberste Dienstbehörde der in der Anstalt beschäftigten Beamtinnen und Beamten. (6) Die oder der Landesbeauftragte für Datenschutz bestellt eine Mitarbeiterin zur Stellvertreterin oder einen Mitarbeiter zum Stellvertreter und ernennt die Beamtinnen oder Beamten der Anstalt.

§ 36 Satzung Der Vorstand ist zum Erlass und zur Änderung der Satzung befugt.

§ 37 Beirat Der Vorstand kann einen Beirat berufen, der den Vorstand der Anstalt berät. Das Nähere regelt die Satzung.

§ 38 Aufsicht Das Unabhängige Landeszentrum für Datenschutz nimmt die ihm zugewiesenen Aufgaben in Unabhängigkeit wahr. Es unterliegt der Rechtsaufsicht des Innenministeriums nur, soweit es die Datenschutzkontrolle im nichtöffentlichen Bereich durchführt. § 127 der Gemeindeordnung ist nicht anwendbar.

§ 4 Datenvermeidung und Datensparsamkeit, Datenschutzaudit (1) Die datenverarbeitende Stelle hat den Grundsatz der Datenvermeidung und Datensparsamkeit zu beachten. (2) Produkte, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde, sollen vorrangig eingesetzt werden. Die Landesregierung regelt durch Verordnung Inhalt, Ausgestaltung und die Berechtigung zur Durchführung des Verfahrens.

§ 40 Anrufung des Unabhängigen Landeszentrums für Datenschutz Jede oder jeder hat das Recht, sich unmittelbar an das Unabhängige Landeszentrum für Datenschutz zu wenden, wenn sie oder er annimmt, dass bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen datenschutzrechtliche Vorschriften verletzt wurden. Dies gilt auch für Beschäftigte der öffentlichen Stellen, ohne dass der Dienstweg einzuhalten ist.

§ 41 Kontrollaufgaben (1) Die öffentlichen Stellen sind verpflichtet, das Unabhängige Landeszentrum für Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen. Ihm ist dabei insbesondere 1. Auskunft zu erteilen sowie Einsicht in Unterlagen und Dateien zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen; besondere Amts- und Berufsgeheimnisse stehen dem nicht entgegen; 2. Zutritt zu Diensträumen zu gewähren. Das Unabhängige Landeszentrum für Datenschutz darf im Rahmen von Kontrollen personenbezogene Daten auch ohne Kenntnis der Betroffenen erheben. Die Benachrichtigung der Betroffenen richtet sich nach § 42 Abs. 4 . (2) Stellt die jeweils zuständige oberste Landesbehörde im Einzelfall fest, dass durch eine mit der Einsicht verbundene Bekanntgabe personenbezogener Daten die Sicherheit des Bundes oder eines Landes gefährdet wird, dürfen die Rechte nach Absatz 1 nur von der oder dem Landesbeauftragten für Datenschutz persönlich oder den von ihr oder ihm schriftlich besonders damit betrauten Beauftragten ausgeübt werden.

§ 42 Beanstandungen (1) Stellt das Unabhängige Landeszentrum für Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten bei öffentlichen Stellen fest, so fordert es diese zur Mängelbeseitigung auf. (2) Bei erheblichen Verstößen oder sonstigen erheblichen Mängeln spricht das Unabhängige Landeszentrum für Datenschutz gegenüber der öffentlichen Stelle eine Beanstandung aus. Es soll zuvor die öffentliche Stelle zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auffordern und die zuständige Aufsichtsbehörde über die Beanstandung unterrichten. (3) Mit der Feststellung von Mängeln und der Beanstandung sollen Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbunden werden. (4) Die Betroffenen können mit Kenntnis der datenverarbeitenden Stelle nach pflichtgemäßem Ermessen von Verstößen gegen die Vorschriften dieses Gesetzes oder andere Datenschutzvorschriften unterrichtet werden.

§ 43 Serviceaufgaben (1) Das Unabhängige Landeszentrum für Datenschutz berät und informiert die Bürgerinnen und Bürger über alle Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte sowie über geeignete technische Maßnahmen zum Selbstdatenschutz. (2) Öffentliche Stellen können ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. (3) Das Unabhängige Landeszentrum für Datenschutz führt Fortbildungsveranstaltungen zu den Themen Datenschutz und Datensicherheit durch. Es berät nichtöffentliche Stellen auf Anfrage in Fragen von Datenschutz und Datensicherheit. (4) Das Unabhängige Landeszentrum für Datenschutz kann für die Wahrnehmung der Aufgaben nach den Absätzen 1 bis 3 Entgelte erheben.

§ 44 Ordnungswidrigkeiten (1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind, 1. erhebt, speichert, zweckwidrig verarbeitet, verändert, übermittelt, zum Abruf bereithält oder löscht, 2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder andere veranlasst. Ordnungswidrig handelt auch, wer anonymisierte oder pseudonymisierte Daten mit anderen Informationen zusammenführt und dadurch die Betroffene oder den Betroffenen wieder bestimmbar macht oder wer sich bei pseudonymisierten Daten entgegen den Vorschriften dieses Gesetzes Zugriff auf die Zuordnungsfunktion verschafft. (2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.

§ 45 Aufgabenübergang (1) Die am 30. Juni 2000 dem bei dem Präsidenten des Schleswig-Holsteinischen Landtages eingerichteten Landesbeauftragten für den Datenschutz sowie der Datenschutzaufsichtsbehörde im Innenministerium obliegenden Aufgaben gehen am 1. Juli 2000 auf die Anstalt über. (2) Die Dienststelle im Sinne des Mitbestimmungsgesetzes Schleswig-Holstein (MBG Schl.-H.) "Landesbeauftragter für den Datenschutz bei dem Präsidenten des Schleswig-Holsteinischen Landtages" wird aufgelöst.

§ 46 Personalübergang (1) Mit Wirkung vom 1. Juli 2000 gehen die Arbeits- und Ausbildungsverhältnisse der am 30. Juni 2000 beim Landesbeauftragten für den Datenschutz tätigen Arbeitnehmerinnen und Arbeitnehmer sowie der zu ihrer Ausbildung Beschäftigten vom Land Schleswig-Holstein auf das Unabhängige Landeszentrum für Datenschutz über. (2) Für die Beschäftigten nach Absatz 1 gelten die bis zum Zeitpunkt der Errichtung der Anstalt maßgeblichen arbeitsvertraglichen Vereinbarungen und Tarifverträge in der jeweils geltenden Fassung weiter. Es gelten ferner die diese Tarifverträge künftig ändernden und ergänzenden Tarifverträge. Das Recht des Unabhängigen Landeszentrums für Datenschutz, für seine Beschäftigen Tarifverträge abzuschließen, bleibt hiervon unberührt. Bis zum Inkrafttreten neuer Tarifverträge sind für die ab 1. Juli 2000 eingestellten Arbeitnehmerinnen und Arbeitnehmer sowie zu ihrer Ausbildung Beschäftigen die nach Satz 1 und 2 maßgeblichen Tarifverträge anzuwenden. (3) Für die Beschäftigen nach Absatz 1 werden die beim Land Schleswig-Holstein in einem Arbeits- oder Ausbildungsverhältnis zurückgelegten Zeiten einer Beschäftigung so angerechnet, wie wenn sie bei dem Unabhängigen Landeszentrum für Datenschutz zurückgelegt worden wären. (4) Zur Sicherung der Ansprüche auf eine zusätzliche Alters- und Hinterbliebenenversorgung der Beschäftigten stellt die Anstalt sicher, dass die nach der Satzung der Versorgungsanstalt des Bundes und der Länder für eine Beteiligungsvereinbarung geforderten tatsächlichen und rechtlichen Voraussetzungen geschaffen werden. (5) Die Beamtinnen und Beamten des Landes Schleswig-Holstein, die am 30. Juni 2000 beim Landesbeauftragten für den Datenschutz ihren Dienst ausgeübt haben, werden mit Wirkung vom 1. Juli 2000 nach § 36 Abs. 4 in Verbindung mit Abs. 3 des Landesbeamtengesetzes in den Dienst des Unabhängigen Landeszentrums für Datenschutz nach § 32 übernommen.

§ 47 Übergangsregelungen (1) Der bisherige Landesbeauftragte für den Datenschutz wird bis zum Ablauf seiner Wahlzeit im Jahre 2004 Landesbeauftragter für Datenschutz nach diesem Gesetz. Eine erneute Wiederwahl ist ausgeschlossen. (2) Der beim Landesbeauftragten für den Datenschutz gewählte Personalrat bleibt vorbehaltlich der §§ 20 und 21 MBG Schl.-H. über den 30. Juni 2000 bis zum Ablauf seiner regelmäßigen Amtszeit nach § 19 Abs. 1 MBG Schl.-H. bestehen. Die bis zum Ablauf des 30. Juni 2000 abgeschlossenen Dienstvereinbarungen und Vereinbarungen nach § 59 MBG Schl.-H. gelten ab 1. Juli 2000 bis zum Abschluss neuer Dienstvereinbarungen in dem Unabhängigen Landeszentrum für Datenschutz fort. (3) Die beim Landesbeauftragten für den Datenschutz bestellte Gleichstellungsbeauftragte und gewählte Schwerbehindertenvertretung bleiben über den 30. Juni 2000 hinaus bis zur Neubestellung oder Neuwahl im Amt. Die Gleichstellungsbeauftragte der Anstalt ist unverzüglich, spätestens bis zum 31. Juli 2000, zu bestellen. (4) Soweit in diesem Gesetz Beträge in Euro genannt werden, gelten diese bis zum 31. Dezember 2001 auch als Beträge in DM; der Umrechnungskurs beträgt 1 Euro = 1,95583 DM.

§ 48 Inkrafttreten, Außerkrafttreten (1) Dieses Gesetz tritt am 1. Juli 2000 in Kraft. (2) Gleichzeitig treten 1. das Landesdatenschutzgesetz vom 30. Oktober 1991 (GVOBl. Schl.-H. S. 555), zuletzt geändert durch Gesetz vom 25. November 1999 (GVOBl. Schl.-H. S. 414), 2. das Gesetz zur Errichtung des Unabhängigen Landeszentrums für Datenschutz vom 25. November 1999 (GVOBl. Schl.-H. S. 414) und 3. die Landesverordnung über die zuständige Aufsichtsbehörde nach dem Bundesdatenschutzgesetz vom 8. Dezember 1992 (GVOBl. Schl.-H. S 533), geändert gemäß Verordnung vom 24. Oktober 1996 (GVOBl. Schl.-H. S. 652), außer Kraft.

§ 5 Allgemeine Maßnahmen zur Datensicherheit (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Dabei ist insbesondere 1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren, 2. zu verhindern, dass personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können, 3. zu gewährleisten, dass die datenverarbeitende Person, der Zeitpunkt und Umfang der Datenverarbeitung festgestellt werden kann. (2) Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben. (3) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen. Das Unabhängige Landeszentrum für Datenschutz ist anzuhören.

§ 6 Besondere Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren (1) Automatisierte Verfahren sind so zu gestalten, dass eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist. (2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren. (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, dass sie die Daten entschlüsseln kann. (4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldatenbestände sind ein Jahr zu speichern. Es ist sicherzustellen, dass die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind. (5) Die datenverarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen.

§ 7 Verfahrensverzeichnis, Meldung (1) Die datenverarbeitende Stelle erstellt für jedes von ihr betriebene automatisierte Verfahren ein Verfahrensverzeichnis. Dieses Verzeichnis kann auch von einer Stelle für andere geführt werden. Es enthält Angaben über 1. Name und Anschrift der datenverarbeitenden Stelle, 2. Zweckbestimmung und Rechtsgrundlage des Verfahrens, 3. den Kreis der Betroffenen, 4. die Kategorien der verarbeiteten Daten, 5. die Personen und Stellen, die Daten erhalten oder erhalten dürfen einschließlich der Auftragnehmenden, 6. geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union, 7. die datenschutzrechtliche Beurteilung der oder des behördlichen Datenschutzbeauftragten, soweit eine solche vorliegt, 8. eine allgemeine Beschreibung der nach den §§ 5 und 6 zur Einhaltung der Datensicherheit getroffenen Maßnahmen. (2) Absatz 1 gilt nicht für Register, die zur Information der Öffentlichkeit bestimmt sind oder die allen Personen, die mindestens ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen stehen, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. (3) Die datenverarbeitenden Stellen, die keine behördliche Datenschutzbeauftragte oder keinen behördlichen Datenschutzbeauftragten nach § 10 bestellt haben, melden dem Unabhängigen Landeszentrum für Datenschutz den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens. Ausgenommen sind die in den Absätzen 2 und 4 genannten Verfahren. Die meldepflichtigen Stellen haben spätestens bei der ersten Einspeicherung die Angaben nach Absatz 1 mitzuteilen. Bei Verfahren, die von öffentlichen Stellen entwickelt worden sind, können diese Stellen mit der Abgabe der Meldung beauftragt werden. (4) Das Unabhängige Landeszentrum für Datenschutz führt ein Verzeichnis der Meldungen nach Absatz 3. Es enthält die Angaben nach Absatz 1. Das Verzeichnis kann von jeder Person eingesehen werden. Satz 3 gilt nicht für Verfahren, die 1. nach dem Landesverfassungsschutzgesetz geführt werden, 2. der Gefahrenabwehr dienen, 3. der Strafverfolgung dienen oder 4. der Steuerfahndung dienen, soweit die datenverarbeitende Stelle eine Einsichtnahme mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt. (5) Bei Bestellung einer oder eines behördlichen Datenschutzbeauftragten nach § 10 kann das Verfahrensverzeichnis von jeder Person bei der datenverarbeitenden Stelle eingesehen werden. Die Ausnahmen von der Einsichtnahme nach Absatz 4 Satz 4 gelten entsprechend.

§ 8 Gemeinsame Verfahren und Abrufverfahren (1) Ein automatisiertes Verfahren, das mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. (2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens kontrolliert werden kann. Hierzu ist das Verfahrensverzeichnis nach § 7 Abs. 1 um die Feststellung zu ergänzen, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. Die Betroffenen können die ihnen nach Abschnitt V dieses Gesetzes zustehenden Rechte gegenüber jeder der beteiligten Stellen geltend machen. Diese leiten die Anliegen der Betroffenen an die nach Satz 2 als verantwortlich festgestellte Stelle weiter. (3) Werden bei gemeinsamen Verfahren personenbezogene Daten übermittelt, so sind die Empfänger, der Zeitpunkt der Übermittlung und die jeweils übermittelten Daten zu protokollieren. Die Protokolldatenbestände sind ein Jahr zu speichern. (4) Bei Abrufverfahren trägt die Verantwortung für die Zulässigkeit des einzelnen Abrufs die abrufende Stelle. Die speichernde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Zulässigkeit der Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. (5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

§ 9 Vorabkontrolle (1) Vor der Einrichtung oder wesentlichen Änderung 1. eines Verfahrens nach § 8 Abs. 1 oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des § 11 Abs. 3 verarbeitet werden, ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den §§ 5 und 6 ausreichend sind (Vorabkontrolle). (2) Absatz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.