Geltende Gesetze und Verordnungen (SGV. NRW.)  mit Stand vom 26.7.2024


Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)


Inhaltsverzeichnis:

Norm�berschrift

Datenschutzgesetz Nordrhein-Westfalen
(DSG NRW)

Vom 17. Mai 2018 (Fn 1)

(Artikel 1 des Gesetzes vom 17. Mai 2018 (GV. NRW. S. 244))

Inhalts�bersicht

Teil 1 Allgemeine Bestimmungen

� 1 Zweck

� 2 Sicherstellung des Datenschutzes

� 3 Zul�ssigkeit der Verarbeitung personenbezogener Daten

� 4 Begriffsbestimmung

� 5 Anwendungsbereich

Teil 2

Durchf�hrungsbestimmungen zur Verordnung (EU) 2016/679

Kapitel 1

Grunds�tze der Verarbeitung personenbezogener Daten

� 6 Automatisierte Abrufverfahren und regelm��ige Daten�bermittlung

� 7 Erhebung personenbezogener Daten bei dritten Personen und nicht-�ffentlichen Stellen

� 8 Verantwortung f�r die Daten�bermittlung

� 9 Zul�ssigkeit der Datenverarbeitung im Hinblick auf die Zweckbindung

� 10 L�schung personenbezogener Daten

Kapitel 2

Rechte der betroffenen Personen

� 11 Beschr�nkung der Informationspflicht bei der Erhebung von personenbezogenen Daten nach Artikel 13 und 14 der Verordnung (EU) 2016/679

� 12 Beschr�nkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679

� 13 Beschr�nkung der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen nach Artikel 34 der Verordnung (EU) 2016/679

� 14 Beschr�nkung des Widerspruchsrechts

Kapitel 3

Vorschriften f�r besondere Verarbeitungssituationen

� 15 Garantien zum Schutz personenbezogener Daten und anderer Grundrechte

Abschnitt 1

Besondere Verarbeitungssituationen im Anwendungsbereich der Verordnung (EU) 2016/679

� 16 Verarbeitung besonderer Kategorien personenbezogener Daten

� 17 Datenverarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken

� 18 Datenverarbeitung im Besch�ftigungskontext

� 19 Verarbeitung zu k�nstlerischen oder literarischen Zwecken

� 20 Video�berwachung

Abschnitt 2

Besondere Verarbeitungssituationen au�erhalb des Anwendungsbereiches der Verordnung (EU) 2016/679

� 21 Anwendbarkeit der Verordnung (EU) 2016/679

� 22 �ffentliche Auszeichnungen und Ehrungen

� 23 Begnadigungsverfahren

Kapitel 4

Pflichten des Verantwortlichen

� 24 Datenschutz-Folgenabsch�tzung

Kapitel 5

Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

� 25 Errichtung und Rechtsstellung

� 26 Zust�ndigkeit

� 27 Aufgaben

� 28 Befugnisse

� 29 Beschwerderecht nach Artikel 77 der Verordnung (EU) 2016/679

� 30 T�tigkeitsbericht, Gutachtert�tigkeit

Kapitel 6

Die oder der beh�rdliche Datenschutzbeauftragte

� 31 Verschwiegenheitspflicht, Zeugnisverweigerungsrecht und Abberufung

Kapitel 7

Straf- und Bu�geldvorschriften

� 32 Geldbu�en

� 33 Ordnungswidrigkeiten

� 34 Straftaten

Teil 3

Umsetzung der Richtlinie (EU) 2016/680

Kapitel 1

Allgemeine Bestimmungen

� 35 Anwendungsbereich

� 36 Begriffsbestimmungen

Kapitel 2

Grunds�tze

� 37 Allgemeine Grunds�tze f�r die Verarbeitung personenbezogener Daten

� 38 Einwilligung

� 39 Verarbeitung zu einem anderen Zweck als dem Erhebungszweck

� 40 Verarbeitung zu wissenschaftlichen oder statistischen Zwecken

� 41 Datengeheimnis

� 42 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

� 43 Unterscheidung zwischen Tatsachen und pers�nlichen Einsch�tzungen

� 44 Verfahren bei �bermittlungen

� 45 Verarbeitung besonderer Kategorien personenbezogener Daten

� 46 Automatisierte Einzelentscheidungen

Kapitel 3

Rechte der betroffenen Personen

� 47 Allgemeine Informationen zu Datenverarbeitungen

� 48 Benachrichtigung betroffener Personen

� 49 Auskunftsrecht

� 50 Rechte auf Berichtigung und L�schung sowie Einschr�nkung der Verarbeitung

� 51 Verfahren

Kapitel 4

Pflichten der Verantwortlichen und Auftragsverarbeiter

� 52 Verarbeitung personenbezogener Daten im Auftrag

� 53 Verzeichnis von Verarbeitungst�tigkeiten

� 54 Berichtigung und L�schung personenbezogener Daten sowie Einschr�nkung der Verarbeitung

� 55 Protokollierung

� 56 Datenschutz-Folgenabsch�tzung

� 57 Konsultation der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit

� 58 Anforderungen an die Sicherheit der Verarbeitung

� 59 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbeh�rde

Kapitel 5

Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

� 60 Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

� 61 Recht auf Beschwerde bei einer Aufsichtsbeh�rde

Kapitel 6

Daten�bermittlungen an Drittstaaten und an internationale Organisationen

� 62 Allgemeine Voraussetzungen

� 63 Daten�bermittlung bei geeigneten Garantien

� 64 Daten�bermittlung ohne geeignete Garantien

� 65 Sonstige Daten�bermittlung an Empf�nger in Drittstaaten

Kapitel 7

Erg�nzende Vorschriften

� 66 Vertrauliche Meldung von Datenschutzverst��en

� 67 Erg�nzende Anwendung der Verordnung (EU) 2016/679

� 68 Schadensersatz

� 69 Straf- und Bu�geldvorschriften

Teil 4

�bergangsvorschrift, Einschr�nkung von Grundrechten, Inkrafttreten, Au�erkrafttreten

� 70 �bergangsvorschrift

� 71 Einschr�nkung von Grundrechten

� 72 Inkrafttreten, Au�erkrafttreten

Teil 1

Allgemeine Bestimmungen

� 1
Zweck

(1) Dieses Gesetz trifft die zur Durchf�hrung der Verordnung (EU) 2016/679 des Europ�ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat�rlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72) notwendigen erg�nzenden Regelungen. Innerhalb der Grenzen der Verordnung (EU) 2016/679 werden spezifische Anforderungen an die Verarbeitung personenbezogener Daten geregelt.

(2) Dieses Gesetz dient ebenfalls der Umsetzung der Richtlinie (EU) 2016/680 des Europ�ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat�rlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust�ndigen Beh�rden zum Zweck der Verh�tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

� 2
Sicherstellung des Datenschutzes

Die obersten Landesbeh�rden, die Gemeinden und Gemeindeverb�nde sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des �ffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform haben jeweils f�r ihren Bereich die Ausf�hrung der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Rechtsvorschriften �ber den Datenschutz sicherzustellen.

� 3
Zul�ssigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch �ffentliche Stellen zul�ssig, wenn sie f�r die Wahrnehmung einer im �ffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Aus�bung �ffentlicher Gewalt erfolgt, die dem Verantwortlichen �bertragen wurde.

(2) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der �bermittlung, der Kenntnisnahme im Rahmen der Aufgabenerf�llung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen m�glich ist. Sind personenbezogene Daten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten nicht oder nur mit unverh�ltnism��igem Aufwand m�glich ist, sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die �bermittlung der Daten, die nicht zur Erf�llung der jeweiligen Aufgaben erforderlich sind, zul�ssig, soweit nicht schutzw�rdige Belange der betroffenen Person oder Dritter �berwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot.

(3) Beh�rdliche Unterlagen �ber die technischen und organisatorischen Ma�nahmen gem�� Artikel 32 der Verordnung (EU) 2016/679 unterliegen nicht dem allgemeinen Informationszugang nach dem Informationsfreiheitsgesetz Nordrhein-Westfalen.

� 4
Begriffsbestimmung

Erg�nzend zu Artikel 4 der Verordnung (EU) 2016/679 bezeichnet der Ausdruck �Anonymisieren� das Ver�ndern personenbezogener Daten dergestalt, dass die Einzelangaben �ber pers�nliche oder sachliche Verh�ltnisse nicht mehr oder nur mit einem unverh�ltnism��igen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren nat�rlichen Person zugeordnet werden k�nnen.

� 5
Anwendungsbereich

(1) Teil 2 dieses Gesetzes gilt f�r die Verarbeitung personenbezogener Daten durch die Beh�rden, Einrichtungen und sonstigen �ffentlichen Stellen des Landes, die Gemeinden und Gemeindeverb�nde sowie f�r die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des �ffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (�ffentliche Stellen). Unbeschadet der Regelung des Satzes 1 gelten Schulen der Gemeinden und Gemeindeverb�nde, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als �ffentliche Stellen im Sinne dieses Gesetzes. Nimmt eine nicht-�ffentliche Stelle hoheitliche Aufgaben einer �ffentlichen Stelle des Landes wahr, gilt sie als �ffentliche Stelle im Sinne des Gesetzes.

(2) �ffentliche Stellen im Sinne dieses Gesetzes sind auch nat�rliche und juristische Personen des privaten Rechts, soweit sie Befugnisse der Verwaltung �bertragen bekommen haben und hoheitliche Aufgaben der �ffentlichen Verwaltung wahrnehmen.

(3) F�r den Landtag gilt Teil 2 dieses Gesetzes, soweit er Verwaltungsaufgaben wahrnimmt.

(4) F�r den Landesrechnungshof und die Staatlichen Rechnungspr�fungs�mter, die Gerichte und die Beh�rden der Staatsanwaltschaft gilt Teil 2 dieses Gesetzes, soweit sie Verwaltungsaufgaben wahrnehmen.

(5) Teil 2 dieses Gesetzes findet mit Ausnahme des Kapitels 3 Abschnitt 1, des Kapitels 5 und des � 32 keine Anwendung, soweit

1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverb�nde ohne eigene Rechtspers�nlichkeit (Eigenbetriebe),

2. �ffentliche Einrichtungen, die entsprechend den Vorschriften �ber Eigenbetriebe gef�hrt werden,

3. Landesbetriebe oder

4.der Aufsicht des Landes oder der Gemeinden oder Gemeindeverb�nden unterstehende juristische Personen des �ffentlichen Rechts, die am Wettbewerb teilnehmen, und die NRW.BANK,

personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Soweit Hochschulen im Sinne des � 1 des Gesetzes �ber die Hochschulen des Landes Nordrhein-Westfalen (Hochschulgesetz � HG) Aufgaben nach � 3 des Gesetzes �ber die Hochschulen des Landes Nordrhein-Westfalen (Hochschulgesetz - HG) wahrnehmen findet Satz 1 keine Anwendung.

Soweit dieses Gesetz nach Ma�gabe von Satz 1 keine Anwendung findet, gelten die Vorschriften f�r nicht-�ffentliche Stellen mit Ausnahme der �� 4, 22, 26 bis 28 Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung entsprechend.

(6) Soweit besondere Rechtsvorschriften auf die Verarbeitung personenbezogener Daten anzuwenden sind, gehen sie den Vorschriften des Teils 2 dieses Gesetzes vor. Regeln Rechtsvorschriften einen Sachverhalt, f�r den dieses Gesetz gilt, nicht oder nicht abschlie�end, finden die Vorschriften dieses Gesetzes insoweit Anwendung.

(7) Die Vorschriften der �� 22-24 und 33 des Gesetzes betreffend das Urheberrecht an Werken der bildenden K�nste und der Fotografie (KunstUrhG) vom 9.1.1907, zuletzt ge�ndert durch Artikel 3 � 31 des Gesetzes vom 16.2.2001 in seiner jeweils geltenden Fassung, bleiben f�r die nach � 5 unter dieses Gesetz fallenden Stellen unber�hrt.

(8) Auf Verarbeitungen, die nicht in den Anwendungsbereich des Unionsrechts fallen, sind die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des Teils 2 dieses Gesetzes entsprechend anzuwenden, soweit nicht dieser Teil oder andere spezielle Rechtsvorschriften abweichende Regelungen enthalten. Dies gilt nicht f�r die in den Abs�tzen 3 und 4 genannten Stellen. Im Fall der entsprechenden Anwendung sind die Vorschriften �ber den gerichtlichen Rechtsschutz nach � 20 des Bundesdatenschutzgesetzes anzuwenden.

(9) F�r Verarbeitungen, die nicht dem Anwendungsbereich von Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 unterfallen, gelten die Artikel 13 und 14 der Verordnung (EU) 2016/679 nicht.

Teil 2

Durchf�hrungsbestimmungen zur Verordnung (EU) 2016/679

Kapitel 1

Grunds�tze der Verarbeitung personenbezogener Daten

� 6
Automatisierte Abrufverfahren und regelm��ige Daten�bermittlung

(1) Die Einrichtung eines automatisierten Verfahrens, das die �bermittlung gespeicherter personenbezogener Daten an andere �ffentliche Stellen erm�glicht, ist zul�ssig, soweit die Verarbeitung der Daten zur Erf�llung von Zwecken nach Artikel 6 Absatz 1 Buchstabe c oder e der Verordnung (EU) 2016/679 erfolgt und eine Rechtsvorschrift dies zul�sst. Die Zul�ssigkeit des einzelnen Abrufs bestimmt sich nach den Vorschriften der Verordnung (EU) 2016/679 und dieses Gesetzes.

(2) Die obersten Landesbeh�rden werden erm�chtigt, f�r die Beh�rden und Einrichtungen ihres Gesch�ftsbereichs sowie f�r die der Rechtsaufsicht des Landes unterliegenden sonstigen �ffentlichen Stellen die Einrichtung automatisierter Abrufverfahren durch Rechtsverordnung zuzulassen. Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter Ber�cksichtigung des informationellen Selbstbestimmungsrechts des betroffenen Personenkreises und der Aufgaben der beteiligten Stellen angemessen ist. Die Datenempf�nger, die Datenart und der Zweck des Abrufs sind festzulegen. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist fr�hzeitig zu unterrichten.

(3) Die Abs�tze 1 und 2 gelten nicht f�r Datenbest�nde, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Ver�ffentlichung zul�ssig w�re.

(4) F�r die Einrichtung automatisierter Abrufverfahren innerhalb einer �ffentlichen Stelle gelten Absatz 2 Satz 2 bis 4 sowie Absatz 3 entsprechend.

(5) F�r die Zulassung regelm��iger Daten�bermittlungen sind die Abs�tze 1 bis 4 entsprechend anzuwenden.

� 7
Erhebung personenbezogener Daten bei dritten Personen und nicht-�ffentlichen Stellen

Werden personenbezogene Daten bei einer dritten Person oder einer nicht-�ffentlichen Stelle erhoben, so hat die oder der Erhebende diese auf Verlangen �ber den Erhebungszweck zu informieren, soweit dadurch schutzw�rdige Belange der betroffenen Person nicht beeintr�chtigt werden. Werden die Daten aufgrund einer Rechtsvorschrift erhoben, die sie zur Auskunft verpflichtet, ist die dritte Person beziehungsweise die nicht-�ffentliche Stelle auf diese Vorschrift, anderenfalls auf die Freiwilligkeit ihrer Angaben, hinzuweisen.

� 8
Verantwortung f�r die Daten�bermittlung

(1) Die Verantwortung f�r die Zul�ssigkeit einer �bermittlung personenbezogener Daten tr�gt die �bermittelnde Stelle. Erfolgt die �bermittlung aufgrund eines Ersuchens einer �ffentlichen Stelle, tr�gt diese die Verantwortung. Die �bermittelnde Stelle hat dann lediglich zu pr�fen, ob das �bermittlungsersuchen im Rahmen der Aufgaben des Empf�ngers liegt. Die Rechtm��igkeit des Ersuchens pr�ft sie nur, wenn hierzu im Einzelfall Anlass besteht. Die ersuchende Stelle hat in dem Ersuchen die f�r diese Pr�fung erforderlichen Angaben zu machen. Erfolgt die �bermittlung durch automatisierten Abruf, tr�gt die Verantwortung f�r die Rechtm��igkeit des Abrufs der Empf�nger.

(2) Die �bermittlung personenbezogener Daten durch �ffentliche Stellen an nicht�ffentliche Stellen ist zul�ssig, wenn

1. sie zur Erf�llung der in der Zust�ndigkeit der �bermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach � 3 und � 9 zulassen w�rden,

2. der Dritte, an den die Daten �bermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu �bermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzw�rdiges Interesse an dem Ausschluss der �bermittlung hat oder

3. es zur Geltendmachung, Aus�bung oder Verteidigung rechtlicher Anspr�che erforderlich ist

4. und der Dritte sich gegen�ber der �bermittelnden �ffentlichen Stelle verpflichtet hat, die Daten nur f�r den Zweck zu verarbeiten, zu dessen Erf�llung sie ihm �bermittelt werden.

Eine Verarbeitung f�r andere Zwecke ist zul�ssig, wenn eine �bermittlung nach Satz 1 zul�ssig w�re und die �bermittelnde Stelle zugestimmt hat.

(3) Die �bermittlung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zul�ssig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach � 16 vorliegen.

(4) Bei �bermittlung personenbezogener Daten an nicht�ffentliche Stellen ist auf die Voraussetzungen in Absatz 2 und 3 hinzuweisen.

� 9
Zul�ssigkeit der Datenverarbeitung im Hinblick auf die Zweckbindung

(1) Personenbezogene Daten d�rfen durch �ffentliche Stellen auch zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungspr�fung oder zur Durchf�hrung von Organisationsuntersuchungen verarbeitet werden. Dies gilt auch f�r die Verarbeitung zu Ausbildungs- und Pr�fungszwecken, sofern berechtigte Interessen der betroffenen Person an der Geheimhaltung der Daten nicht offensichtlich �berwiegen.

(2) Eine Verarbeitung personenbezogener Daten zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben worden sind, ist zul�ssig, wenn

1. sie zur Abwehr erheblicher Nachteile f�r das Gemeinwohl oder einer Gefahr f�r die �ffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit erforderlich ist,

2. sie zur Abwehr einer schwerwiegenden Beeintr�chtigung der Rechte einer anderen Person erforderlich ist,

3. sich bei der rechtm��igen Aufgabenerf�llung Anhaltspunkte f�r Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der f�r die Verfolgung oder Vollstreckung zust�ndigen Beh�rden geboten erscheint,

4. die �berpr�fung der Angaben der betroffenen Person aufgrund tats�chlicher Anhaltspunkte f�r deren Unrichtigkeit erforderlich ist,

5. sie zur Wahrung eines rechtlichen Interesses eines Dritten erforderlich ist und das sch�tzenswerte Geheimhaltungsinteresse der betroffenen Person nicht �berwiegt oder

6. sie im �ffentlichen Interesse, insbesondere zur Durchsetzung �ffentlich-rechtlicher Geldforderungen, liegt oder zur Wahrung berechtigter Interessen eines Dritten erforderlich ist und die betroffene Person in diesen F�llen der Datenverarbeitung nicht widersprochen hat.

(3) Eine Information der betroffenen Person �ber die Datenverarbeitung nach Absatz 2 erfolgt nicht, soweit und solange hierdurch der Zweck der Verarbeitung gef�hrdet w�rde.

(4) Ferner ist eine Zweck�nderung zul�ssig, wenn

1. die Einholung der Einwilligung der betroffenen Person nicht m�glich ist oder mit unverh�ltnism��ig hohem Aufwand verbunden w�re, aber offensichtlich ist, dass die Datenverarbeitung in ihrem Interesse liegt und sie in Kenntnis des anderen Zweckes ihre Einwilligung erteilen w�rde,

2. die Bearbeitung eines von der betroffenen Person gestellten Antrags ohne die Zweck�nderung der Daten nicht m�glich ist,

3. die Daten aus allgemein zug�nglichen Quellen entnommen werden k�nnen oder die datenverarbeitende Stelle sie ver�ffentlichen darf, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Ver�ffentlichung der gespeicherten Daten offensichtlich �berwiegt

(5) Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der verantwortlichen Stelle von der zur Verschwiegenheit verpflichteten Person in Aus�bung ihrer Berufs- oder Amtspflicht �bermittelt worden, finden die Abs�tze 2 und 4 keine Anwendung.

(6) Die �bermittlung personenbezogener Daten an Stellen der �ffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung der Vorschriften �ber die Daten�bermittlung an �ffentliche Stellen zul�ssig, sofern sichergestellt ist, dass bei dem Empf�nger ausreichende Datenschutzma�nahmen getroffen sind.

� 10
L�schung personenbezogener Daten

(1) Sofern �ffentliche Stellen verpflichtet sind, einem �ffentlichen Archiv Unterlagen zur �bernahme anzubieten, ist eine L�schung personenbezogener Daten erst zul�ssig, nachdem die Unterlagen dem �ffentlichen Archiv angeboten und als nicht archivw�rdig bewertet worden sind oder die Verpflichtung zur weiteren Aufbewahrung nach � 4 Absatz 5 Satz 1 des Archivgesetzes Nordrhein-Westfalen vom 16. M�rz 2010 (GV. NRW. S. 188) in der jeweils geltenden Fassung, entfallen ist.

(2) Ist eine L�schung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverh�ltnism��ig hohem Aufwand m�glich und ist das Interesse der betroffenen Person an der L�schung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur L�schung personenbezogener Daten gem�� Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 erg�nzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer L�schung die Einschr�nkung der Verarbeitung gem�� Artikel 18 der Verordnung (EU) 2016/679. Die S�tze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtm��ig verarbeitet wurden.

Kapitel 2

Rechte der betroffenen Personen

� 11
Beschr�nkung der Informationspflicht bei der Erhebung von personenbezogenen Daten nach Artikel 13 und 14 der Verordnung (EU) 2016/679

(1) Bei der Verarbeitung personenbezogener Daten entf�llt die Informationspflicht des Verantwortlichen nach Artikel 13 Absatz 3 und Artikel 14 Abs�tze 1, 2 und 4 der Verordnung (EU) 2016/679, soweit und solange

1. die Information die Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Verst��en, die �ffentliche Sicherheit oder den Schutz des Wohles des Bundes oder eines Landes gef�hrdet,

2. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind oder

3. die Information die Geltendmachung, Aus�bung oder Verteidigung zivilrechtlicher Anspr�che beeintr�chtigen w�rde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person �berwiegen.

(2) Bezieht sich die Informationspflicht auf die �bermittlung personenbezogener Daten an Beh�rden der Staatsanwaltschaft, an Polizeidienststellen, an Beh�rden der Finanzverwaltung, soweit sie personenbezogene Daten f�r Zwecke der Verh�tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten speichern, an Verfassungsschutzbeh�rden, an den Bundesnachrichtendienst, an den Milit�rischen Abschirmdienst und, soweit die Sicherheit des Bundes ber�hrt wird, andere Beh�rden des Bundesministeriums der Verteidigung, ist die Erteilung der Information nur mit Zustimmung dieser Stellen zul�ssig. Gleiches gilt f�r die �bermittlung personenbezogener Daten von diesen Beh�rden.

� 12
Beschr�nkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679

(1) Soweit der Verantwortliche gro�e Mengen von Informationen �ber die betroffene Person verarbeitet, kann er bei einem Auskunftsersuchen verlangen, dass die betroffene Person pr�zisiert, auf welche Information oder welche Verarbeitungsvorg�nge sich ihr Auskunftsersuchen bezieht. Das Auskunftsrecht setzt voraus, dass die betreffende Person Angaben macht, die das Auffinden der Daten mit angemessenem Aufwand erm�glicht.

(2) Die Auskunftserteilung kann abgelehnt werden, soweit und solange

1. dies zur Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Verst��en notwendig ist,

2. die Auskunft die �ffentliche Sicherheit gef�hrden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten w�rde oder

3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind.

Die betroffene Person kann keine Auskunft �ber die Verarbeitung sie betreffender personenbezogener Daten nach Artikel 15 der Verordnung (EU) 2016/679 verlangen, soweit die Daten ausschlie�lich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Ma�nahmen ausgeschlossen ist.

(3) Bezieht sich die Auskunftserteilung auf die �bermittlung personenbezogener Daten an Beh�rden der Staatsanwaltschaft, an Polizeidienststellen, an Beh�rden der Finanzverwaltung, soweit sie personenbezogene Daten f�r Zwecke der Verh�tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten speichern, an Verfassungsschutzbeh�rden, an den Bundesnachrichtendienst, an den Milit�rischen Abschirmdienst und, soweit die Sicherheit des Bundes ber�hrt wird, andere Beh�rden des Bundesministeriums der Verteidigung, ist die Auskunft nur mit Zustimmung dieser Stellen zul�ssig. Gleiches gilt f�r die �bermittlung personenbezogener Daten von diesen Beh�rden.

(4) Die Ablehnung der Auskunftserteilung bedarf keiner Begr�ndung, soweit durch die Begr�ndung der Zweck der Verweigerung gef�hrdet w�rde. Die Ablehnungsgr�nde sind aktenkundig zu machen.

� 13
Beschr�nkung der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener
Daten betroffenen Personen nach Artikel 34 der Verordnung (EU) 2016/679

Der Verantwortliche kann von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person absehen, soweit und solange

1. die Informationen die �ffentliche Sicherheit gef�hrden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten w�rde,

2. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind oder

3. die Information die Sicherheit von IT-Systemen gef�hrden w�rde.

� 14
Beschr�nkung des Widerspruchsrechts

Das Recht auf Widerspruch gem�� Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 gegen�ber einer �ffentlichen Stelle besteht nicht, soweit an der Verarbeitung ein zwingendes �ffentliches Interesse besteht, das die Interessen der betroffenen Person �berwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.

Kapitel 3

Vorschriften f�r besondere Verarbeitungssituationen

� 15
Garantien zum Schutz personenbezogener Daten und anderer Grundrechte

Werden besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet, sind vom Verantwortlichen angemessene und spezifische Ma�nahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen vorzusehen. Unter Ber�cksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst�nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken f�r die Rechte und Freiheiten nat�rlicher Personen sind das:

1. technische und organisatorische Ma�nahmen, um sicherzustellen, dass die Verarbeitung gem�� der Verordnung (EU) 2016/679 erfolgt,

2. Ma�nahmen, die gew�hrleisten, dass nachtr�glich �berpr�ft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, ver�ndert oder entfernt worden sind,

3. die Sensibilisierung der an Verarbeitungsvorg�ngen Beteiligten,

4. die Beschr�nkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,

5. die Anonymisierung und wenn sie nicht m�glich ist die Pseudonymisierung personenbezogener Daten,

6. die Verschl�sselung personenbezogener Daten,

7. die Sicherstellung der F�higkeit, Vertraulichkeit, Integrit�t, Verf�gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschlie�lich der F�higkeit, die Verf�gbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverz�glich wiederherzustellen,

8. die Einrichtung eines Verfahrens zur regelm��igen �berpr�fung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma�nahmen zur Gew�hrleistung der Sicherheit der Verarbeitung oder

9. spezifische Verfahrensregelungen, die im Falle einer �bermittlung oder Verarbeitung f�r andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

Abschnitt 1

Besondere Verarbeitungssituationen im Anwendungsbereich der Verordnung (EU) 2016/679

� 16
Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist zul�ssig, soweit

1. sie zur Abwehr von Gefahren f�r die �ffentliche Sicherheit erforderlich ist,

2. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen, von Bu�geldentscheidungen, Ma�regeln der Besserung und Sicherung, Erziehungsma�regeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Anordnung von Einziehungsentscheidungen erforderlich ist,

3. sie zum Zwecke der Gesundheitsvorsorge, zur medizinischen Diagnostik, zur Gew�hrleistung und �berwachung der Gesundheit oder Mitteilung von Gesundheitswarnungen, zur Pr�vention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren oder zur Verwaltung von Leistungen der Gesundheitsversorgung erforderlich ist, sofern die Verarbeitung dieser Daten durch �rztliches oder sonstiges Personal erfolgt, das einer entsprechenden Geheimhaltungspflicht unterliegt oder

4. sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszu�ben und den diesbez�glichen Pflichten nachzukommen.

(2) Im Falle des Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 hat die Einwilligung in die Verarbeitung genetischer oder biometrischer Daten oder von Gesundheitsdaten schriftlich zu erfolgen.

� 17
Datenverarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken

(1) Die Verarbeitung personenbezogener Daten ist aufgrund von Artikel 6 Absatz 1 Satz 1 Buchstabe e) der Verordnung (EU) 2016/679 sowie besonderer Kategorien personenbezogener Daten aufgrund von Artikel 9 Absatz 2 Buchstabe j) der Verordnung (EU) 2016/679, auch ohne Einwilligung f�r wissenschaftliche oder historische Forschungszwecke oder f�r statistische Zwecke zul�ssig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und schutzw�rdige Belange der betroffenen Person nicht �berwiegen.

(2) Der Verantwortliche sieht angemessene und spezifische Ma�nahmen zur Wahrung der Interessen der betroffenen Person gem�� � 15 vor. Erg�nzend zu den in � 15 genannten Ma�nahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck m�glich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen.

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck m�glich ist. Zuvor sind die Merkmale gesondert zu speichern, mit denen Einzelangaben �ber pers�nliche oder sachliche Verh�ltnisse einer bestimmten oder bestimmbaren Person zugeordnet werden k�nnen. Sie d�rfen mit den Einzelangaben nur zusammengef�hrt werden, soweit der Forschungszweck dies erfordert. Sie sind zu l�schen, sobald der Forschungs- oder Statistikzweck dies erlaubt.

(4) Die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeiteten personenbezogenen Daten einschlie�lich solcher im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 d�rfen nach Ma�gabe von Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 nur ver�ffentlicht werden, wenn

1. die betroffene Person in die Ver�ffentlichung eingewilligt hat oder

2. dies f�r die Darstellung von Forschungsergebnissen oder solchen �ber Ereignisse der Zeitgeschichte erforderlich ist und das �ffentliche Interesse die schutzw�rdigen Belange der betroffenen Person erheblich �berwiegt.

(5) Anspr�che auf Auskunft gem�� Artikel 15 der Verordnung (EU) 2016/679, auf Berichtigung gem�� Artikel 16 der Verordnung (EU) 2016/679, auf Einschr�nkung der Bearbeitung gem�� Artikel 18 der Verordnung (EU) 2016/679 und auf Widerspruch gem�� Artikel 21 der Verordnung (EU) 2016/679 bestehen nicht, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unm�glich macht oder ernsthaft beeintr�chtigt und die Beschr�nkung dieser Rechte f�r die Erf�llung dieser Zwecke notwendig ist.

� 18
Datenverarbeitung im Besch�ftigungskontext

(1) Personenbezogene Daten von Bewerberinnen und Bewerbern sowie Besch�ftigten d�rfen nur verarbeitet werden, wenn dies zur Eingehung, Durchf�hrung, Beendigung oder Abwicklung des Besch�ftigungsverh�ltnisses oder zur Durchf�hrung organisatorischer, personeller und sozialer Ma�nahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht oder die oder der Besch�ftigte eingewilligt hat. Eine �bermittlung der Daten von Bewerberinnen und Bewerbern und Besch�ftigten an Personen und Stellen au�erhalb des �ffentlichen Bereichs ist nur zul�ssig, wenn der Empf�nger ein rechtliches Interesse darlegt, der Dienstverkehr es erfordert oder die betroffene Person eingewilligt hat. Die Daten�bermittlung an einen k�nftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zul�ssig.

(2) Erfolgt die Verarbeitung personenbezogener Daten von Besch�ftigten auf der Grundlage einer Einwilligung, so sind f�r die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Besch�ftigungsverh�ltnis bestehende Abh�ngigkeit der besch�ftigten Person sowie die Umst�nde, unter denen die Einwilligung erteilt worden ist, zu ber�cksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn f�r die besch�ftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und besch�ftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umst�nde eine andere Form angemessen ist. Der Arbeitgeber hat die besch�ftigte Person �ber den Zweck der Datenverarbeitung und �ber ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzukl�ren.

(3) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 f�r Zwecke des Besch�ftigungsverh�ltnisses zul�ssig, wenn sie zur Aus�bung von Rechten oder zur Erf�llung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzw�rdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung �berwiegt. Absatz 2 gilt auch f�r die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdr�cklich auf diese Daten beziehen.

(4) Personenbezogene Daten von Bewerberinnen und Bewerbern f�r

1. den Polizeivollzugsdienst oder

2. ein Arbeits-, Ausbildungs- oder Praktikantenverh�ltnis in Polizeibeh�rden

d�rfen zum Zwecke der �berpr�fung der Einstellungsvoraussetzungen an Polizei- und Verfassungsschutzbeh�rden �bermittelt werden. Die Daten d�rfen in den Vorgangsverwaltungs- und Informationssystemen der Polizei- und der Verfassungsschutzbeh�rden verarbeitet werden. Eine Einwilligung der Bewerberinnen und Bewerber hierzu ist nicht notwendig.

(5) Die beamtenrechtlichen Vorschriften �ber die F�hrung von Personalakten gem�� � 50 des Beamtenstatusgesetzes vom 17. Juni 2008 (BGBl. I S. 1010) in der jeweils geltenden Fassung sowie �� 83 bis 92 des Landesbeamtengesetzes vom 14. Juni 2016 (GV. NRW. S. 310,

 ber. S. 642) in der jeweils geltenden Fassung, sind f�r alle nicht beamteten Besch�ftigten einer �ffentlichen Stelle entsprechend anzuwenden, soweit nicht die Besonderheiten des Tarif- und Arbeitsrechts hinsichtlich der Aufnahme und Entfernung von bestimmten Vorg�ngen und Vermerken eine abweichende Behandlung erfordern.

(6) Die Weiterverarbeitung der bei �rztlichen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Besch�ftigungsverh�ltnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der betroffenen Person zul�ssig. Die Einstellungsbeh�rde darf vom untersuchenden Arzt in der Regel nur die �bermittlung des Ergebnisses der Eignungsuntersuchung und der dabei festgestellten Risikofaktoren verlangen.

(7) Personenbezogene Daten, die vor der Eingehung eines Besch�ftigungsverh�ltnisses erhoben wurden, sind unverz�glich zu l�schen, sobald feststeht, dass ein Dienst- oder Arbeitsverh�ltnis nicht zustande kommt, es sei denn, dass die betroffene Person in die weitere Speicherung eingewilligt hat oder dass Fristen f�r die Geltendmachung von Anspr�chen nach dem Allgemeinen Gleichbehandlungsgesetz vom 14. August 2006 (BGBl. I S. 1897) in der jeweils geltenden Fassung abzuwarten sind. Nach Beendigung eines Besch�ftigungsverh�ltnisses sind personenbezogene Daten zu l�schen, wenn diese Daten nicht mehr ben�tigt werden, es sei denn, dass Rechtsvorschriften der L�schung entgegenstehen.

(8) Die Ergebnisse medizinischer oder psychologischer Untersuchungen und Tests der Besch�ftigten d�rfen automatisiert nur verarbeitet werden, wenn dies dem Schutz der Besch�ftigten dient.

(9) Soweit Daten der Besch�ftigten im Rahmen der Durchf�hrung von technischen und organisatorischen Ma�nahmen nach Artikel 32 der Verordnung (EU) 2016/679 gespeichert werden, d�rfen sie nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.

(10) Beurteilungen d�rfen nicht allein auf Informationen gest�tzt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden.

(11) Leitstellen und Befehlsstellen der in Satz 4 genannten Einrichtungen und Organisationen d�rfen zur Bestimmung des geografischen Standorts personenbezogene Daten der von ihnen gesteuerten Einsatzkr�fte mittels elektronischer Einrichtungen durch eine Funktion des Digitalfunks f�r Beh�rden und Organisationen mit Sicherheitsaufgaben (BOS-Digitalfunk) oder durch andere technische Mittel ohne Einwilligung der betroffenen Person verarbeiten, soweit dies aus dienstlichen Gr�nden zur Sicherheit oder zur Koordinierung der Einsatzkr�fte erforderlich ist. Standortdaten d�rfen ausschlie�lich zu den in Satz 1 festgelegten Zwecken verarbeitet werden. Die Daten sind unverz�glich zu l�schen, wenn sie zur Erreichung des Zwecks der Speicherung nicht mehr erforderlich sind. Die S�tze 1 und 2 gelten f�r Einsatzkr�fte der Berechtigten des � 4 Absatz 1 Nummern 1.1, 1.5, 1.6, 1.7 bis 1.9 der BOS-Funkrichtlinie vom 7. September 2009 (GMBl. 2009, S. 803) in der jeweils geltenden Fassung soweit es sich hierbei um kommunale Beh�rden oder um Landesbeh�rden handelt.

(12) Die Beteiligungsrechte der Interessenvertretungen der Besch�ftigten bleiben unber�hrt.

� 19
Verarbeitung zu k�nstlerischen oder literarischen Zwecken

(1) Werden personenbezogene Daten zu k�nstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Absatz 2 genannten Rechte zu. Im �brigen gelten f�r Verarbeitungen im Sinne des Satzes 1 Kapitel I, Artikel 5 Absatz 1 Buchstabe f, Artikel 24 und 32, Kapitel VIII, X und XI  der Verordnung (EU) 2016/679. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Ma�gabe, dass nur f�r unzureichende Ma�nahmen nach Artikel 5 Absatz 1 Buchstabe f, Artikel 24 und 32 der Verordnung (EU) 2016/679 gehaftet wird.

(2) F�hrt die k�nstlerische oder literarische Verarbeitung personenbezogener Daten zur Verbreitung von Gegendarstellungen, zu Verpflichtungserkl�rungen, gerichtlichen Entscheidungen oder Widerrufen, sind diese zu den gespeicherten Daten zu nehmen, dort f�r dieselbe Zeitdauer aufzubewahren wie die Daten selbst und bei einer �bermittlung der Daten gemeinsam mit diesen zu �bermitteln.

� 20
Video�berwachung

(1) Die Verarbeitung personenbezogener Daten in �ffentlich zug�nglichen Bereichen mittels optisch-elektronischer Einrichtungen (Video�berwachung) durch �ffentliche Stellen ist zul�ssig, wenn dies

1. zur Wahrnehmung des Hausrechts,

2. zum Schutz des Lebens, der Gesundheit, des Eigentums oder Besitzes oder

3. zur Kontrolle von Zugangsberechtigungen

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzw�rdige Interessen der betroffenen Personen �berwiegen.

(2) Der Umstand der Video�berwachung, die Angaben nach Artikel 13 Absatz 1 Buchstabe a bis c der Verordnung (EU) 2016/679 sowie die M�glichkeit, bei der oder dem Verantwortlichen die weiteren Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Ma�nahmen zum fr�hestm�glichen Zeitpunkt erkennbar zu machen.

(3) Die Verarbeitung der nach Absatz 1 erhobenen Daten zu einem anderen Zweck ist nur zul�ssig, soweit dies zur Abwehr von Gefahren f�r die �ffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von Rechtsanspr�chen gegen�ber betroffenen Personen erforderlich ist und keine Anhaltspunkte daf�r bestehen, dass schutzw�rdige Interessen betroffener Personen �berwiegen.

(4) Die nach Absatz 1 erhobenen Daten sind unverz�glich zu l�schen. Dies gilt nicht, sofern die Daten zur Abwehr von Gefahren f�r die �ffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von Rechtsanspr�chen gegen�ber der betroffenen Person erforderlich sind.

Abschnitt 2

Besondere Verarbeitungssituationen au�erhalb des Anwendungsbereiches der Verordnung (EU) 2016/679

� 21
Anwendbarkeit der Verordnung (EU) 2016/679

Auf die Regelungen dieses Abschnitts findet abweichend von der Regelung in � 5 Absatz 8 die Verordnung (EU) 2016/679 grunds�tzlich keine entsprechende Anwendung, soweit nicht die Vorschriften dieses Abschnitts die Anwendung einzelner Vorschriften vorsehen.

� 22
�ffentliche Auszeichnungen und Ehrungen

(1) Zur Vorbereitung �ffentlicher Auszeichnungen und Ehrungen d�rfen die zust�ndigen Stellen die dazu erforderlichen Daten einschlie�lich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Kenntnis der betroffenen Person verarbeiten. Eine Verarbeitung dieser Daten f�r andere Zwecke ist nur mit Einwilligung der betroffenen Person zul�ssig.

(2) Auf Anforderung der in Absatz 1 genannten Stellen d�rfen andere �ffentliche Stellen die zur Vorbereitung der Auszeichnung oder Ehrung erforderlichen Daten �bermitteln.

(3) Die Abs�tze 1 und 2 finden keine Anwendung, wenn der datenverarbeitenden Stelle bekannt ist, dass die betroffene Person ihrer �ffentlichen Auszeichnung oder Ehrung oder der mit ihr verbundenen Datenverarbeitung widersprochen hat.

(4) In Verfahren der Entscheidung �ber �ffentliche Auszeichnungen und Ehrungen finden nur Artikel 5 bis 7, Kapitel IV mit Ausnahme der Artikel 33 und 34 sowie Kapitel VI der Verordnung (EU) 2016/679 entsprechende Anwendung.

� 23
Begnadigungsverfahren

(1) In Begnadigungsverfahren ist die Verarbeitung personenbezogener Daten einschlie�lich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zul�ssig, soweit sie zur Aus�bung des Gnadenrechts durch die zust�ndigen Stellen erforderlich ist. Die Datenverarbeitung unterliegt nicht der Kontrolle durch die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit.

(2) In Begnadigungsverfahren finden nur Artikel 5 bis 7 sowie Kapitel IV mit Ausnahme der Artikel 33 und 34 der Verordnung (EU) 2016/679 entsprechende Anwendung.

Kapitel 4

Pflichten des Verantwortlichen

� 24
Datenschutz-Folgenabsch�tzung

(1) Eine Datenschutz-Folgenabsch�tzung nach Artikel 35 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 soll nicht durchgef�hrt werden, soweit diese f�r eine Verarbeitung, die im Wesentlichen unver�ndert �bernommen wird, bereits von der fachlich zust�ndigen obersten Landesbeh�rde oder von einer durch diese erm�chtigten �ffentlichen Stelle durchgef�hrt wurde.

(2) Die obersten Landesbeh�rden k�nnen den �ffentlichen Stellen ihres Gesch�ftsbereichs die Ergebnisse der von ihnen oder durch von ihnen erm�chtigten Beh�rden durchgef�hrten Datenschutz-Folgenabsch�tzungen zur Verf�gung stellen, soweit die Information nicht die Sicherheit von IT-Systemen gef�hrden w�rde.

(3) Entwickelt eine �ffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch �ffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 bei diesem Verfahren vorliegen, die Folgenabsch�tzung nach den Artikeln 35 und 36 der Verordnung (EU) 2016/679 durchf�hren. Soweit das Verfahren von �ffentlichen Stellen im Wesentlichen unver�ndert �bernommen wird, kann eine weitere Folgenabsch�tzung durch die �bernehmenden �ffentlichen Stellen unterbleiben.

Kapitel 5

Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

� 25
Errichtung und Rechtsstellung

(1) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist Aufsichtsbeh�rde im Sinne des Artikels 51 der Verordnung (EU) 2016/679. Der Landtag w�hlt auf Vorschlag der Landesregierung die Leiterin oder den Leiter der Aufsichtsbeh�rde f�r den Datenschutz mit mehr als der H�lfte der gesetzlichen Zahl seiner Mitglieder. Die Leiterin oder der Leiter der Aufsichtsbeh�rde f�r den Datenschutz ist zugleich die oder der Landesbeauftragte f�r Informationsfreiheit. Sie oder er muss die Bef�higung zum Richteramt oder zu der Laufbahngruppe 2, zweites Einstiegsamt haben und die zur Erf�llung ihrer oder seiner Aufgaben erforderliche Fachkunde und Erfahrung gem�� Artikel 53 Absatz 2 der Verordnung (EU) 2016/679 besitzen. Die Amts- und Funktionsbezeichnung lautet �Die Landesbeauftragte f�r Datenschutz und Informationsfreiheit� oder �Der Landesbeauftragte f�r Datenschutz und Informationsfreiheit�.

(2) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist eine von der Landesregierung unabh�ngige Landesbeh�rde. Die Beh�rde hat ihren Sitz in D�sseldorf. Sie oder er ist oberste Dienstbeh�rde und trifft Entscheidungen nach � 37 des Beamtenstatusgesetzes vom 17. Juni 2008 (BGBl. I S. 1010) in der jeweils geltenden Fassung f�r sich und ihre oder seine Bediensteten in eigener Verantwortung. Die Bediensteten unterstehen nur ihren oder seinen Weisungen.

(3) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit wird jeweils f�r die Dauer von acht Jahren in ein Beamtenverh�ltnis auf Zeit berufen. Die einmalige Wiederwahl ist zul�ssig. Nach Ende der Amtszeit bleibt sie oder er bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers im Amt. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit bestellt eine Mitarbeiterin zur Stellvertreterin oder einen Mitarbeiter zum Stellvertreter. Diese oder dieser f�hrt die Gesch�fte im Verhinderungsfall.

(4) F�r die beamtenrechtlichen Angelegenheiten der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit in Person ist das f�r Inneres zust�ndige Ministerium mit der Ma�gabe zust�ndig, dass die Wahrnehmung der Zust�ndigkeit die Unabh�ngigkeit der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit nicht beeintr�chtigt.

(5) Das Amtsverh�ltnis beginnt mit Aush�ndigung der Ernennungsurkunde. Das Amtsverh�ltnis endet neben den in Artikel 53 Absatz 3 der Verordnung (EU) 2016/679 genannten Gr�nde mit dem R�cktritt der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit. �ber eine Amtsenthebung wegen schwerer Verfehlung der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit in Person entscheiden die Richterdienstgerichte. Auf das Verfahren vor den Richterdienstgerichten sind die Vorschriften des Landesrichter- und Staatsanw�ltegesetzes vom 8. Dezember 2015 (GV. NRW. S. 812) in der jeweils geltenden Fassung anzuwenden. Die nach diesen Vorschriften zustehenden Befugnisse der verfahrenseinleitenden Stelle �bt die Pr�sidentin oder der Pr�sident des Landtags aus. Die nicht st�ndigen Beisitzerinnen und Beisitzer des Richterdienstgerichts m�ssen Mitglieder der Verwaltungsgerichtsbarkeit sein.

(6) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit wird im Einzelplan des Landtags in einem eigenen Kapitel ausgewiesen. � 28 Absatz 3 und � 29 Absatz 3 der Landeshaushaltsordnung in der Fassung der Bekanntmachung vom 26. April 1999 (GV. NRW. S. 158) in der jeweils geltenden Fassung gelten entsprechend. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit unterliegt der Rechnungspr�fung durch den Landesrechnungshof, soweit hierdurch ihre oder seine Unabh�ngigkeit nicht beeintr�chtigt wird.

(7) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist f�r alle beamten- und disziplinarrechtlichen Entscheidungen sowie f�r alle arbeitsrechtlichen Entscheidungen ihren oder seinen Besch�ftigten gegen�ber zust�ndig. Ihre Einbeziehung in den Personalaustausch in der Landesverwaltung wird gew�hrleistet. N�heres zur Personalgewinnung und zur Personalverwaltung kann die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit mit dem f�r Inneres zust�ndigen Ministerium vereinbaren.

(8) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit kann sich jederzeit an den Landtag wenden.

� 26
Zust�ndigkeit

Als Aufsichtsbeh�rde �berwacht die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit die Einhaltung der datenschutzrechtlichen Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679, dieses Gesetzes und anderer Rechtsvorschriften �ber den Datenschutz bei den �ffentlichen Stellen. F�r nicht-�ffentliche Stellen und solche im Sinne von � 5 Absatz 5 ist sie oder er Aufsichtsbeh�rde nach � 40 des Bundesdatenschutzgesetzes.

� 27
Aufgaben

(1) Neben den sonstigen in Artikel 57 der Verordnung (EU) 2016/679 genannten Aufgaben ber�t und informiert die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit die �ffentlichen Stellen in Belangen des Datenschutzes.

(2) Die �ffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit bei der Erf�llung ihrer oder seiner Aufgaben und Befugnisse nach Ma�gabe von Artikel 57 und 58 der Verordnung (EU) 2016/679 zu unterst�tzen und Amtshilfe zu leisten. Der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit ist jederzeit Zutritt zu allen Dienstr�umen und Zugriff auf elektronische Dienste zu gew�hren. Gesetzliche Geheimhaltungsvorschriften k�nnen einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden.

(3) Abweichend von Absatz 2 bestehen die Untersuchungsbefugnisse der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit gem�� Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 gegen�ber den in � 203 Absatz 1 und 3 sowie Absatz 4 Satz 1 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern nicht, soweit die Inanspruchnahme der Befugnisse zu einem Versto� gegen die Geheimhaltungspflichten dieser Personen f�hren w�rde.

(4) Sofern die Bereitstellung der geforderten Informationen die Aufgabenerf�llung des Verantwortlichen wesentlich gef�hrden w�rde, ist die Gef�hrdung der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit schriftlich anzuzeigen und zu begr�nden. Stellt die jeweils zust�ndige oberste Landesbeh�rde im Einzelfall fest, dass die Sicherheit des Bundes oder eines Landes dies gebietet, k�nnen die Befugnisse der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit nur von dieser oder diesem pers�nlich ausge�bt werden. In diesem Fall m�ssen personenbezogene Daten einer betroffenen Person, der von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihr oder ihm gegen�ber nicht offenbart werden.

(5) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist fr�hzeitig �ber Planungen zur Entwicklung, zum Aufbau oder zur wesentlichen Ver�nderung automatisierter Datenverarbeitungs- und Informationssysteme zu unterrichten, sofern in dem jeweiligen System personenbezogene Daten verarbeitet werden sollen. Entsprechendes gilt f�r Entw�rfe f�r Rechts- oder Verwaltungsvorschriften des Landes, wenn sie eine Verarbeitung personenbezogener Daten vorsehen.

� 28
Befugnisse

(1) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihr oder ihm durch Beschwerden, Anfragen, Hinweise und Beratungsw�nsche bekannt werden, zu verarbeiten, soweit dies zur Erf�llung ihrer oder seiner Aufgaben erforderlich ist. Sie oder er darf im Rahmen von Kontrollma�nahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgem��em Ermessen abgesehen werden.

(2) Kommt die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verst��e gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften �ber den Datenschutz oder sonstige M�ngel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

1. bei der Landesverwaltung der zust�ndigen obersten Landesbeh�rde, beim Landesrechnungshof der Pr�sidentin oder dem Pr�sidenten,

2. bei der Kommunalverwaltung der jeweils verantwortlichen Gemeinde oder dem verantwortlichen Gemeindeverband,

3. bei den wissenschaftlichen Hochschulen und Fachhochschulen der Hochschulpr�sidentin oder dem Hochschulpr�sidenten oder der Rektorin oder dem Rektor, bei �ffentlichen Schulen der Leitung der Schule oder

4. bei den sonstigen K�rperschaften, Anstalten und Stiftungen des �ffentlichen Rechts dem Vorstand oder dem sonst vertretungsberechtigten Organ

beanstanden und kann vor Aus�bung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den F�llen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit gleichzeitig auch die zust�ndige Aufsichtsbeh�rde. Von der Einr�umung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im �ffentlichen Interesse notwendig erscheint oder ihr ein zwingendes �ffentliches Interesse entgegensteht.

(3) Die Stellungnahme nach Absatz 2 Satz 1 soll auch eine Darstellung der Ma�nahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 2 Nummer 2 bis 4 genannten Stellen leiten der zust�ndigen Rechts- oder Fachaufsichtsbeh�rde eine Abschrift ihrer Stellungnahme an die oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit unverz�glich zu.

� 29
Beschwerderecht nach Artikel 77 der Verordnung (EU) 2016/679

Jeder kann sich gem�� Artikel 77 der Verordnung (EU) 2016/679 an die oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit mit dem Vorbringen wenden, bei der Verarbeitung personenbezogener Daten in seinen Rechten verletzt worden zu sein. Durch die Anrufung der oder des Landesbeauftragten d�rfen der betroffenen Person keine Nachteile entstehen. Bei der Aus�bung des Beschwerderechts durch Besch�ftigte �ffentlicher Stellen muss der Dienstweg nicht eingehalten werden.

� 30
T�tigkeitsbericht, Gutachtert�tigkeit

(1) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit kann ihren oder seinen nach Ma�gabe von Artikel 59 der Verordnung (EU) 2016/679 zu erstellenden Jahresbericht in jedem zweiten Kalenderjahr um eine Darstellung ihrer oder seiner T�tigkeiten auf dem Gebiet der Informationsfreiheit erg�nzen. Der Bericht zur Informationsfreiheit ist inhaltlich klar von dem nach Artikel 59 der Verordnung (EU) 2016/679 zu erstellenden T�tigkeitsbericht zu trennen. Eine gemeinsame Ver�ffentlichung ist zul�ssig. Der Bericht ist dem Landtag sowie der Landesregierung vorzulegen. Die Landesregierung nimmt hierzu gegen�ber dem Landtag schriftlich Stellung.

(2) Der Landtag kann die oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit mit der Erstattung von Gutachten in Datenschutzfragen betrauen.

Kapitel 6

Die oder der beh�rdliche Datenschutzbeauftragte

� 31
Verschwiegenheitspflicht, Zeugnisverweigerungsrecht und Abberufung

(1) Bei Bedarf kann eine Stelle auch mehrere beh�rdliche Datenschutzbeauftragte sowie mehrere Vertreterinnen und Vertreter benennen.

(2) Betroffene Personen k�nnen die beh�rdliche Datenschutzbeauftragte oder den beh�rdlichen Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogen Daten und mit der Wahrnehmung ihrer Rechte gem�� der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Rechtsvorschriften �ber den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Die oder der beh�rdliche Datenschutzbeauftragte ist zur Verschwiegenheit �ber die Identit�t der betroffenen Person sowie �ber Umst�nde, die R�ckschl�sse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit ist.

(3) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner T�tigkeit Kenntnis von Daten erh�lt, f�r die der Leitung oder einer bei der �ffentlichen Stelle besch�ftigten Person aus beruflichen Gr�nden ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Besch�ftigten zu. �ber die Aus�bung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gr�nden zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigef�hrt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

(4) Die Abberufung der oder des beh�rdlichen Datenschutzbeauftragten ist nur in entsprechender Anwendung des � 626 des B�rgerlichen Gesetzbuchs zul�ssig. Die K�ndigung des Arbeitsverh�ltnisses ist unzul�ssig, es sei denn, dass Tatsachen vorliegen, welche die �ffentliche Stelle zur K�ndigung aus wichtigem Grund ohne Einhaltung einer K�ndigungsfrist berechtigen. Nach dem Ende der T�tigkeit als beh�rdliche Datenschutzbeauftragte oder beh�rdlicher Datenschutzbeauftragter ist die K�ndigung des Arbeitsverh�ltnisses innerhalb eines Jahres unzul�ssig. Dies gilt nicht, wenn die �ffentliche Stelle zur K�ndigung aus wichtigem Grund ohne Einhaltung einer K�ndigungsfrist berechtigt ist.

Kapitel 7

Straf- und Bu�geldvorschriften

� 32
Geldbu�en

Geldbu�en nach Artikel 83 der Verordnung (EU) 2016/679 d�rfen nur gegen �ffentliche Stellen im Sinne des � 5 Absatz 5 Nummer 1 bis 4 verh�ngt werden.

� 33
Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes oder einer anderen Rechtsvorschrift des Landes Nordrhein-Westfalen gesch�tzte personenbezogene Daten, die nicht offenkundig sind,

1. erhebt, speichert, verwendet, ver�ndert, �bermittelt, weitergibt, zum Abruf bereit h�lt, den Personenbezug herstellt oder l�scht oder

2. abruft, einsieht, sich verschafft oder durch Vort�uschung falscher Tatsachen ihre �bermittlung oder Weitergabe an sich oder andere veranlasst.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben �ber pers�nliche oder sachliche Verh�ltnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenf�hrt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Die Ordnungswidrigkeit kann mit einer Geldbu�e bis zu f�nfzigtausend Euro geahndet werden.

(3) Verwaltungsbeh�rde im Sinne von � 36 Absatz 1 Nummer 1 des Gesetzes �ber Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602) in der jeweils geltenden Fassung ist die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit.

(4) Gegen �ffentliche Stellen im Sinne von � 5 Absatz 1 werden Geldbu�en nach Absatz 2 oder einer anderen Rechtsvorschrift �ber den Schutz personenbezogener Daten nicht verh�ngt.

� 34
Straftaten

(1) Wer in Aus�bung seiner T�tigkeit f�r eine �ffentliche Stelle einen der in � 33 Absatz 1 genannten Verst��e gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu sch�digen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter sowie die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit.

(3) Absatz 1 findet nur Anwendung, soweit die Tat nicht nach anderen Vorschriften mit Strafe bedroht ist.

Teil 3
Umsetzung der Richtlinie (EU) 2016/680

Kapitel 1

Allgemeine Bestimmungen

� 35
Anwendungsbereich

(1) Die Vorschriften dieses Teils gelten f�r die Verarbeitung personenbezogener Daten durch

1. die Beh�rden der Polizei,

2. die Gerichte in Strafsachen und die Staatsanwaltschaften,

3. die Strafvollstreckungs- und Justizvollzugsbeh�rden,

4. die Beh�rden des Ma�regelvollzugs und

5. die Beh�rden der Finanzverwaltung

im Rahmen ihrer Aufgabenwahrnehmung zur Verh�tung, Ermittlung, Aufdeckung, Verfolgung und Ahndung von Straftaten oder Ordnungswidrigkeiten und der Strafvollstreckung. Die Verh�tung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor sowie die Abwehr von Gefahren f�r die �ffentliche Sicherheit oder Ordnung.

(2) F�r Ordnungsbeh�rden gelten die Vorschriften dieses Teils, soweit sie Ordnungswidrigkeiten verfolgen, ahnden sowie Sanktionen vollstrecken.

(3) Soweit besondere Rechtsvorschriften auf die Verarbeitung personenbezogener Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.

� 36
Begriffsbestimmungen

Es bezeichnen die Begriffe:

1. �personenbezogene Daten� alle Informationen, die sich auf eine identifizierte oder identifizierbare nat�rliche Person (betroffene Person) beziehen; als identifizierbar wird eine nat�rliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit�t dieser Person sind, identifiziert werden kann,

2. �Verarbeitung� jeden mit oder ohne Hilfe automatisierter Verfahren ausgef�hrten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Ver�nderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch �bermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verkn�pfung, die Einschr�nkung, das L�schen oder die Vernichtung,

3. �Einschr�nkung der Verarbeitung� die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre k�nftige Verarbeitung einzuschr�nken,

4. �Profiling� jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte pers�nliche Aspekte, die sich auf eine nat�rliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der pers�nlichen Vorlieben, der Interessen, der Zuverl�ssigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser nat�rlichen Person zu analysieren oder vorherzusagen,

5. �Pseudonymisierung� die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zus�tzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden k�nnen, sofern diese zus�tzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Ma�nahmen unterliegen, die gew�hrleisten, dass die Daten keiner betroffenen Person zugewiesen werden,

6. �Anonymisierung� das Ver�ndern personenbezogener Daten derart, dass die Einzelangaben �ber pers�nliche oder sachliche Verh�ltnisse nicht mehr oder nur mit einem unverh�ltnism��ig gro�en Aufwand an Zeit, Kosten, Arbeitskraft einer bestimmten oder bestimmbaren nat�rlichen Person zugeordnet werden k�nnen,

7. �Dateisystem� jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zug�nglich sind, unabh�ngig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet gef�hrt wird,

8. �zust�ndige Beh�rde�

a) eine staatliche Stelle, die f�r die Verh�tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschlie�lich des Schutzes vor und der Abwehr von Gefahren f�r die �ffentliche Sicherheit oder Ordnung, zust�ndig ist, oder

b) eine andere Stelle oder Einrichtung, der durch das nationale Recht die Aus�bung �ffentlicher Gewalt und hoheitlicher Befugnisse zur Verh�tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zur Strafvollstreckung, einschlie�lich des Schutzes vor und der Abwehr von Gefahren f�r die �ffentliche Sicherheit oder Ordnung, �bertragen wurde,

9. �Verantwortlicher� die zust�ndige Beh�rde, die allein oder gemeinsam mit anderen �ber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet,

10. �Auftragsverarbeiter� eine nat�rliche oder juristische Person, Beh�rde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet,

11. �Empf�nger� eine nat�rliche oder juristische Person, Beh�rde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabh�ngig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Beh�rden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empf�nger; die Verarbeitung dieser Daten durch die genannten Beh�rden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gem�� den Zwecken der Verarbeitung,

12. �Verletzung des Schutzes personenbezogener Daten� eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtm��igen Vernichtung, zum Verlust, zur Ver�nderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten gef�hrt hat, die verarbeitet wurden,

13. �genetische Daten� personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer nat�rlichen Person, die eindeutige Informationen �ber die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden,

14. �biometrische Daten� mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer nat�rlichen Person, die die eindeutige Identifizierung dieser nat�rlichen Person erm�glichen oder best�tigen, insbesondere Gesichtsbilder oder daktyloskopische Daten,

15. �Gesundheitsdaten� personenbezogene Daten, die sich auf die k�rperliche oder geistige Gesundheit einer nat�rlichen Person, einschlie�lich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen �ber deren Gesundheitszustand hervorgehen,

16. �Aufsichtsbeh�rde� ist die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit gem�� � 60 dieses Gesetzes,

17. �internationale Organisation� eine v�lkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene �bereinkunft oder auf der Grundlage einer solchen �bereinkunft geschaffen wurde,

18. �besondere Kategorien personenbezogener Daten�

a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi�se oder weltanschauliche �berzeugung oder die Gewerkschaftszugeh�rigkeit hervorgehen,

b) genetische Daten,

c) biometrische Daten zur eindeutigen Identifizierung einer nat�rlichen Person,

d) Gesundheitsdaten und

e) Daten zum Sexualleben oder zur sexuellen Orientierung,

19. �Einwilligung� jede freiwillig f�r den bestimmten Fall, in informierter Weise und unmissverst�ndlich abgegebene Willensbekundung in Form einer Erkl�rung oder einer sonstigen eindeutigen best�tigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,

20. ��ffentliche Stellen� sind die Beh�rden, die Organe der Rechtspflege und andere �ffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des �ffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

Kapitel 2

Grunds�tze

� 37
Allgemeine Grunds�tze f�r die Verarbeitung personenbezogener Daten

Personenbezogene Daten m�ssen

1. auf rechtm��ige Weise und nach Treu und Glauben verarbeitet werden,

2. f�r festgelegte, eindeutige und rechtm��ige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,

3. dem Verarbeitungszweck entsprechen, f�r das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung darf nicht au�er Verh�ltnis zu diesem Zweck stehen,

4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Ma�nahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverz�glich gel�scht oder berichtigt werden,

5. nicht l�nger als es f�r die Zwecke, f�r die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen erm�glicht, und

6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew�hrleistet; hierzu geh�rt auch ein durch geeignete technische und organisatorische Ma�nahmen zu gew�hrleistender Schutz vor unbefugter oder unrechtm��iger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerst�rung oder unbeabsichtigter Sch�digung.

� 38
Einwilligung

(1) Soweit die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen k�nnen.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erkl�rung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verst�ndlicher und leicht zug�nglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtm��igkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht ber�hrt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.

(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, m�ssen die Umst�nde der Erteilung ber�cksichtigt werden. Die betroffene Person ist in geeigneter Weise �ber die Bedeutung der Einwilligung, insbesondere �ber den Verwendungszweck der Daten, und bei einer beabsichtigten �bermittlung �ber die Empf�nger der Daten aufzukl�ren. Ist dies nach den Umst�nden des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch �ber die Folgen der Verweigerung der Einwilligung zu belehren.

(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdr�cklich auf diese Daten beziehen.

� 39
Verarbeitung zu einem anderen Zweck als dem Erhebungszweck

Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben worden sind, ist zul�ssig, wenn es sich bei dem anderen Zweck um einen solchen in � 35 genannten Zweck handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten und die Verarbeitung zu diesem Zweck erforderlich und verh�ltnism��ig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in � 35 nicht genannten Zweck, ist zul�ssig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

� 40
Verarbeitung zu wissenschaftlichen oder statistischen Zwecken

Personenbezogene Daten d�rfen im Rahmen der in � 35 genannten Zwecke in wissenschaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein �ffentliches Interesse besteht und geeignete Garantien f�r die Rechtsg�ter der betroffenen Personen vorgesehen sind. Solche Garantien k�nnen in einer so zeitnah wie m�glich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer r�umlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.

� 41
Datengeheimnis

Denjenigen Personen, die bei �ffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es auch nach Beendigung ihrer T�tigkeit untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtm��igen Aufgabenerf�llung geh�renden Zweck zu verarbeiten oder zu offenbaren.

� 42
Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie m�glich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:

1. Personen, gegen die ein begr�ndeter Verdacht besteht, dass sie eine Straftat begangen haben,

2. Personen, gegen die ein begr�ndeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,

3. verurteilte Straft�ter,

4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein k�nnten, und

5. andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

� 43
Unterscheidung zwischen Tatsachen und pers�nlichen Einsch�tzungen

Der Verantwortliche hat bei der Verarbeitung so weit wie m�glich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf pers�nlichen Einsch�tzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung m�glich und angemessen ist, Beurteilungen, die auf pers�nlichen Einsch�tzungen beruhen, als solche kenntlich machen. Es muss au�erdem feststellbar sein, welche Stelle die Unterlagen f�hrt, die der auf einer pers�nlichen Einsch�tzung beruhenden Beurteilung zugrunde liegen.

� 44
Verfahren bei �bermittlungen

(1) Der Verantwortliche hat angemessene Ma�nahmen zu ergreifen, um zu gew�hrleisten, dass personenbezogene Daten, die unrichtig, unvollst�ndig oder nicht mehr aktuell sind, nicht �bermittelt oder sonst zur Verf�gung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand m�glich ist, die Qualit�t der Daten vor ihrer �bermittlung oder Bereitstellung zu �berpr�fen. Bei jeder �bermittlung personenbezogener Daten hat er zudem, soweit dies m�glich und angemessen ist, Informationen beizuf�gen, die es dem Empf�nger gestatten, die Richtigkeit, die Vollst�ndigkeit und die Zuverl�ssigkeit der Daten sowie deren Aktualit�t zu beurteilen.

(2) Gelten f�r die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Daten�bermittlungen die �bermittelnde Stelle den Empf�nger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann durch eine entsprechende Markierung der Daten erf�llt werden.

(3) Die �bermittelnde Stelle darf auf Empf�nger in anderen Mitgliedstaaten der Europ�ischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags �ber die Arbeitsweise der Europ�ischen Union 2012/C 326/01 (ABl. C 326 vom 26.10.2012, S. 1) errichtet wurden, keine Bedingungen anwenden, die nicht auch f�r entsprechende innerstaatliche Daten�bermittlungen gelten.

� 45
Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zul�ssig, wenn sie zur Aufgabenerf�llung unbedingt erforderlich ist.

(2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien f�r die Rechtsg�ter der betroffenen Personen vorzusehen. Geeignete Garantien k�nnen insbesondere solche des � 15 sein.

� 46
Automatisierte Einzelentscheidungen

(1) Entscheidungen, die f�r die betroffene Person mit einer nachteiligen Rechtsfolge verbunden sind oder sie erheblich beeintr�chtigen, d�rfen nicht ausschlie�lich auf eine automatische Verarbeitung, einschlie�lich Profiling, gest�tzt werden, es sei denn eine Rechtsvorschrift l�sst dies ausdr�cklich zu.

(2) Unbeschadet der allgemeinen Anforderungen an die Verarbeitung besonderer Kategorien personenbezogener Daten d�rfen diese bei Entscheidungen nach Absatz 1 nur verarbeitet werden, wenn geeignete Ma�nahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

(3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

Kapitel 3

Rechte der betroffenen Personen

� 47
Allgemeine Informationen zu Datenverarbeitungen

Der Verantwortliche hat in allgemeiner Form und f�r jedermann zug�nglich Informationen zur Verf�gung zu stellen �ber

1. die Zwecke der von ihm vorgenommenen Verarbeitungen,

2. die im Hinblick auf die Verarbeitung der personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, L�schung und Einschr�nkung der Verarbeitung,

3. die Kontaktdaten des Verantwortlichen und die Kontaktdaten des beh�rdlichen Datenschutzbeauftragten,

4. das Recht nach � 60, die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit anzurufen, und

5. die Erreichbarkeit der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit.

� 48
Benachrichtigung betroffener Personen

(1) Ist die Benachrichtigung betroffener Personen �ber die Verarbeitung sie betreffender personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten Ma�nahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten:

1. die in � 47 genannten Angaben,

2. die Rechtsgrundlage der Verarbeitung,

3. die f�r die Daten geltende Speicherdauer oder, falls dies nicht m�glich ist, die Kriterien f�r die Festlegung dieser Dauer,

4. gegebenenfalls die Kategorien von Empf�ngern der personenbezogenen Daten sowie

5. erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.

(2) In den F�llen des Absatzes 1 kann der Verantwortliche die Benachrichtigung soweit und solange aufschieben, einschr�nken oder unterlassen, wie es

1. die Erf�llung der in � 35 genannten Aufgaben,

2. die �ffentliche Sicherheit oder Ordnung,

3. Rechtsg�ter Dritter,

4.die Vermeidung von Nachteilen f�r das Wohl des Bundes oder des Landes sowie

5. die Gew�hrleistung, dass beh�rdliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,

erfordern, wenn das Interesse des Verantwortlichen an der Nichterteilung der Information das Informationsinteresse der betroffenen Person �berwiegt.

(3) Bezieht sich die Benachrichtigung auf die �bermittlung personenbezogener Daten an Verfassungsschutzbeh�rden, den Bundesnachrichtendienst, den Milit�rischen Abschirmdienst

 oder, soweit die Sicherheit des Bundes ber�hrt ist, andere Beh�rden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zul�ssig.

(4) Im Fall des Absatzes 2 gilt � 49 Absatz 8 entsprechend.

� 49
Auskunftsrecht

(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft dar�ber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben dar�ber hinaus das Recht, Informationen zu erhalten �ber

1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie geh�ren,

2. die verf�gbaren Informationen �ber die Herkunft der Daten,

3. die Zwecke der Verarbeitung und deren Rechtsgrundlage,

4. die Empf�nger oder die Kategorien von Empf�ngern, gegen�ber denen die Daten offengelegt worden sind, insbesondere bei Empf�ngern in Drittstaaten oder bei internationalen Organisationen,

5. die f�r die Daten geltende Speicherdauer oder, falls dies nicht m�glich ist, die Kriterien f�r die Festlegung dieser Dauer,

6. das Bestehen eines Rechts auf Berichtigung, L�schung oder Einschr�nkung der Verarbeitung der Daten durch den Verantwortlichen,

7. das Recht nach � 60, die Landesbeauftrage oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit anzurufen, sowie

8. Angaben zur Erreichbarkeit der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit.

(2) Die betroffene Person kann keine Auskunft �ber die Verarbeitung sie betreffender personenbezogener Daten nach Absatz 1 verlangen, soweit die Daten ausschlie�lich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Ma�nahmen ausgeschlossen ist.

(3) Soweit der Verantwortliche gro�e Mengen von Informationen �ber die betroffene Person verarbeitet, kann er bei einem Auskunftsersuchen verlangen, dass die betroffene Person pr�zisiert, auf welche Information oder welche Verarbeitungsvorg�nge sich ihr Auskunftsersuchen bezieht.

(4) Der Verantwortliche kann unter den Voraussetzungen des � 48 Absatz 2 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 ganz oder teilweise einschr�nken.

(5) Bezieht sich die Auskunftserteilung auf die �bermittlung personenbezogener Daten an Verfassungsschutzbeh�rden, den Bundesnachrichtendienst, den Milit�rischen Abschirmdienst oder, soweit die Sicherheit des Bundes ber�hrt ist, andere Beh�rden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zul�ssig.

(6) Der Verantwortliche hat die betroffene Person �ber das Absehen von oder die Einschr�nkung einer Auskunft unverz�glich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Information eine Gef�hrdung im Sinne des � 48 Absatz 2 mit sich bringt. Die Unterrichtung nach Satz 1 ist zu begr�nden, es sei denn, dass die Mitteilung der Gr�nde den mit dem Absehen von oder der Einschr�nkung der Auskunft verfolgten Zweck gef�hrdet.

(7) Wird die betroffene Person nach Absatz 6 �ber das Absehen von oder die Einschr�nkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch �ber die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit aus�ben. Der Verantwortliche hat die betroffene Person dar�ber zu unterrichten, dass sie gem�� � 60 die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit anrufen, ihr Auskunftsrecht �ber sie oder ihn aus�ben oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit zu erteilen, soweit nicht die zust�ndige oberste Landesbeh�rde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gef�hrdet w�rde. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit hat die betroffene Person dar�ber zu unterrichten, dass alle erforderlichen Pr�fungen erfolgt sind oder eine �berpr�fung durch ihn stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verst��e festgestellt wurden. Die Mitteilung der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit an die betroffene Person darf keine R�ckschl�sse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschr�nken k�nnte. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit hat die betroffene Person ebenfalls �ber ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.

(8) Der Verantwortliche hat die sachlichen oder rechtlichen Gr�nde f�r die Entscheidung zu dokumentieren.

� 50
Rechte auf Berichtigung und L�schung sowie Einschr�nkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverz�glich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschr�nkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschr�nkung wieder aufhebt. Die betroffene Person kann zudem die Vervollst�ndigung unvollst�ndiger personenbezogener Daten verlangen, wenn dies unter Ber�cksichtigung der Verarbeitungszwecke angemessen ist.

(2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverz�glich die L�schung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzul�ssig ist, deren Kenntnis f�r die Aufgabenerf�llung nicht mehr erforderlich ist oder die Daten zur Erf�llung einer rechtlichen Verpflichtung gel�scht werden m�ssen.

(3) Anstatt die personenbezogenen Daten zu l�schen, kann der Verantwortliche deren Verarbeitung einschr�nken, wenn

1. Grund zu der Annahme besteht, dass eine L�schung schutzw�rdige Interessen einer betroffenen dritten Person beeintr�chtigen w�rde,

2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des � 35 dienen, weiter aufbewahrt werden m�ssen oder

3. eine L�schung wegen der besonderen Art der Speicherung nicht oder nur mit unverh�ltnism��igem Aufwand m�glich ist.

In ihrer Verarbeitung nach Satz 1 eingeschr�nkte Daten d�rfen nur zu dem Zweck verarbeitet werden, der ihrer L�schung entgegenstand.

(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschr�nkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung f�r andere Zwecke nicht ohne weitere Pr�fung m�glich ist.

(5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er einer Stelle, die ihm die personenbezogenen Daten zuvor �bermittelt hat, die Berichtigung mitzuteilen. In F�llen der Berichtigung, L�schung oder Einschr�nkung der Verarbeitung nach den Abs�tzen 1 bis 3 hat der Verantwortliche Empf�ngern, denen die Daten �bermittelt wurden, diese Ma�nahmen mitzuteilen. Der Empf�nger hat die Daten zu berichtigen, zu l�schen oder ihre Verarbeitung einzuschr�nken.

(6) Der Verantwortliche hat die betroffene Person �ber ein Absehen von der Berichtigung oder L�schung personenbezogener Daten oder �ber die an deren Stelle tretende Einschr�nkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Information eine Gef�hrdung im Sinne des � 48 Absatz 2 mit sich bringen w�rde. Die Unterrichtung nach Satz 1 ist zu begr�nden, es sei denn, dass die Mitteilung der Gr�nde den mit dem Absehen von der Unterrichtung verfolgten Zweck gef�hrdet.

(7) � 49 Absatz 7 und 8 finden entsprechende Anwendung.

� 51
Verfahren

(1) Der Verantwortliche hat mit den betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in pr�ziser, verst�ndlicher und leicht zug�nglicher Form zu kommunizieren. Unbeschadet besonderer Formvorschriften soll er bei der Beantwortung von Antr�gen grunds�tzlich die f�r den Antrag gew�hlte Form verwenden.

(2) Bei Antr�gen hat der Verantwortliche die betroffene Person unverz�glich, unbeschadet des � 49 Absatz 6 und des � 50 Absatz 6, schriftlich dar�ber in Kenntnis zu setzen, wie verfahren wurde.

(3) Die Erteilung von Informationen nach � 47, die Benachrichtigungen nach � 50 und den Vorschriften �ber die Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten und die Bearbeitung von Antr�gen nach den �� 49 und 50 erfolgen unentgeltlich. Bei offenkundig unbegr�ndeten oder exzessiven Antr�gen nach den �� 49 und 50 kann der Verantwortliche entweder eine angemessene Geb�hr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags t�tig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegr�ndeten oder exzessiven Charakter des Antrags belegen k�nnen.

(4) Hat der Verantwortliche begr�ndete Zweifel an der Identit�t einer betroffenen Person, die einen Antrag nach den �� 49 oder 50 gestellt hat, kann er von ihr zus�tzliche Informationen anfordern, die zur Best�tigung ihrer Identit�t erforderlich sind.

Kapitel 4

Pflichten der Verantwortlichen und Auftragsverarbeiter

� 52
Verarbeitung personenbezogener Daten im Auftrag

(1) Bei der Verarbeitung personenbezogener Daten im Auftrag finden Artikel 28 Absatz 1 bis 4, 9 und 10, sowie Artikel 29 der Verordnung (EU) 2016/679 entsprechende Anwendung. Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche f�r die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften �ber den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, L�schung, Einschr�nkung der Verarbeitung und Schadensersatz sind in diesem Fall gegen�ber dem Verantwortlichen geltend zu machen.

(2) Artikel 28 Absatz 1 bis 4, 9 und 10, sowie Artikel 29 der Verordnung (EU) 2016/679 sind auch dann entsprechend anzuwenden, wenn die Pr�fung oder Wartung von automatisierten Verfahren oder Datenverarbeitungsanlagen durch andere Personen oder Stellen im Auftrag vorgenommen wird. Diese Personen m�ssen die notwendige fachliche Qualifikation und Zuverl�ssigkeit aufweisen. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidlich ist. Dies gilt auch f�r die Kenntnisnahme von Daten, die Berufs- oder besonderen Amtsgeheimnissen unterliegen. Der Auftragnehmer hat dem Auftraggeber zuzuordnende personenbezogene Daten unverz�glich nach Erledigung des Auftrags zu l�schen. Die Dokumentation der Ma�nahme ist zum Zweck der Datenschutzkontrolle drei Jahre aufzubewahren.

� 53
Verzeichnis von Verarbeitungst�tigkeiten

Der Verantwortliche und der Auftragsverarbeiter sowie gegebenenfalls deren Vertreter haben ein Verzeichnis ihrer Verarbeitungst�tigkeiten zu f�hren. Artikel 30 Absatz 1 bis 4 der Verordnung (EU) 2016/679 gilt entsprechend mit der Ma�gabe, dass in die Verzeichnisse nach Artikel 30 Absatz 1 der Verordnung (EU) 2016/679 erg�nzend Angaben �ber die Rechtsgrundlage der Verarbeitung, einschlie�lich der �bermittlungen, f�r die die personenbezogenen Daten bestimmt sind, sowie gegebenenfalls die Verwendung von Profiling aufzunehmen sind.

� 54
Berichtigung und L�schung personenbezogener Daten sowie Einschr�nkung der Verarbeitung

(1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.

(2) Der Verantwortliche hat personenbezogene Daten unverz�glich zu l�schen, wenn ihre Verarbeitung unzul�ssig ist, sie zur Erf�llung einer rechtlichen Verpflichtung gel�scht werden m�ssen oder ihre Kenntnis f�r seine Aufgabenerf�llung nicht mehr erforderlich ist.

(3) � 50 Absatz 3 bis 5 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtm��ig �bermittelt worden, ist dies dem Empf�nger mitzuteilen.

(4) Unbeschadet in Rechtsvorschriften festgesetzter H�chstspeicher- oder L�schungsfristen hat der Verantwortliche f�r die L�schung von personenbezogenen Daten oder eine regelm��ige �berpr�fung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

� 55
Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorg�nge zu protokollieren:

1. Erhebung,

2.Ver�nderung,

3. Abfrage,

4. Offenlegung einschlie�lich �bermittlung,

5. Kombination und

6. L�schung.

(2) Die Protokolle �ber Abfragen und Offenlegungen m�ssen es erm�glichen, die Begr�ndung, das Datum und die Uhrzeit dieser Vorg�nge und so weit wie m�glich die Identit�t der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identit�t des Empf�ngers der Daten festzustellen.

(3) Die Protokolle d�rfen ausschlie�lich f�r die �berpr�fung der Rechtm��igkeit der Datenverarbeitung durch die beh�rdliche Datenschutzbeauftragte oder den beh�rdlichen Datenschutzbeauftragten, die Landesbeauftragte f�r Datenschutz und Informationsfreiheit oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit und die betroffene Person sowie f�r die Eigen�berwachung, f�r die Gew�hrleistung der Integrit�t und Sicherheit der personenbezogenen Daten und f�r Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu l�schen.

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit auf Anforderung zur Verf�gung zu stellen.

� 56
Datenschutz-Folgenabsch�tzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst�nde und der Zwecke der Verarbeitung voraussichtlich eine hohes Risiko f�r die Rechte und Freiheiten betroffener Personen zur Folge, hat der Verantwortliche vorab eine Absch�tzung der Folgen der vorgesehenen Verarbeitungsvorg�nge f�r den Schutz personenbezogener Daten durchzuf�hren.

(2) F�r die Untersuchung mehrerer �hnlicher Verarbeitungsvorg�nge mit �hnlich hohen Risiken kann eine gemeinsame Datenschutz-Folgenabsch�tzung vorgenommen werden.

(3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchf�hrung der Folgenabsch�tzung zu beteiligen.

(4) Die Folgenabsch�tzung hat den berechtigten Interessen der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest die in Artikel 35 Absatz 7 der Verordnung (EU) 2016/679 genannten Anforderungen zu beachten.

(5) Erforderlichenfalls f�hrt der Verantwortliche eine �berpr�fung durch, um zu bewerten, ob die Verarbeitung gem�� der Datenschutz-Folgenabsch�tzung durchgef�hrt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorg�ngen verbundenen Risikos �nderungen eingetreten sind.

� 57
Konsultation der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit

(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Landesbeauftragte oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit zu konsultieren, wenn

1. aus einer Datenschutz-Folgenabsch�tzung nach � 56 hervorgeht, dass die Verarbeitung ein hohes Risiko f�r die Rechtsg�ter der betroffenen Personen zur Folge hat, wenn der Verantwortliche oder Auftragsverarbeiter keine Abhilfema�nahmen zur Eind�mmung des Risikos trifft, oder

2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko f�r die Rechtsg�ter der betroffenen Personen zur Folge hat.

Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit kann eine Liste der Verarbeitungsvorg�nge erstellen, die der Pflicht zur Anh�rung nach Satz 1 unterliegen.

(2) Der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit sind im Fall des Absatzes 1 vorzulegen:

1. die nach � 56 durchgef�hrte Datenschutz-Folgenabsch�tzung,

2. gegebenenfalls Angaben zu den jeweiligen Zust�ndigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,

3. Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,

4. Angaben zu den zum Schutz der Rechtsg�ter der betroffenen Personen vorgesehenen Ma�nahmen und Garantien und

5. Name und Kontaktdaten der oder des Datenschutzbeauftragten.

Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu �bermitteln, die sie oder er ben�tigt, um die Rechtm��igkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbez�glichen Garantien bewerten zu k�nnen.

(3) Falls die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verst��t, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfema�nahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anh�rung schriftliche Empfehlungen unterbreiten, welche Ma�nahmen noch ergriffen werden sollten. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit kann diese Frist um einen Monat verl�ngern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anh�rung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter �ber die Fristverl�ngerung zu informieren. Die Frist nach Satz 1 beginnt erst, sobald die in Absatz 2 Satz 1 benannten, vorzulegenden Pflichtunterlagen vollst�ndig eingereicht wurden. Auch wird die Frist solange gehemmt, bis der Verantwortliche alle Unterlagen, die nach Absatz 2 Satz 2 angefordert wurden, eingereicht hat.

(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung f�r die Aufgabenerf�llung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anh�rung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist, beginnen. In diesem Fall sind die Empfehlungen der oder des Landesbeauftragten f�r Datenschutz und Informationsfreiheit im Nachhinein zu ber�cksichtigen. Art und Weise der Verarbeitung sind gegebenenfalls anzupassen.

(5) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit ist bei der Ausarbeitung eines Vorschlags einer zu erlassenden Gesetzgebungsma�nahme oder von auf solchen Gesetzgebungsma�nahmen beruhenden Regelungsma�nahmen, die die Verarbeitung im Anwendungsbereich des � 35 betreffen, zu konsultieren.

� 58
Anforderungen an die Sicherheit der Verarbeitung

(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Ber�cksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umst�nde und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren f�r die Rechtsg�ter der betroffenen Personen die erforderlichen technischen und organisatorischen Ma�nahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gew�hrleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschl�gigen Technischen Richtlinien und Empfehlungen des Bundesamtes f�r Sicherheit in der Informationstechnik zu ber�cksichtigen.

(2) Die in Absatz 1 genannten Ma�nahmen k�nnen unter anderem die Pseudonymisierung und Verschl�sselung personenbezogener Daten umfassen, soweit ihr Aufwand in einem angemessenen Verh�ltnis zu dem angestrebten Schutzzweck steht. Die Ma�nahmen nach Absatz 1 sollen dazu f�hren, dass

1. die Vertraulichkeit, Integrit�t, Verf�gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und

2. die Verf�gbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden k�nnen.

(3) Im Fall einer Verarbeitung personenbezogener Daten haben der Verantwortliche und der Auftragsverarbeiter auf Grundlage einer Risikobewertung Ma�nahmen zu ergreifen, die geeignet sind zu gew�hrleisten, dass

1. nur Befugte personenbezogene Daten zur Kenntnis nehmen k�nnen (Vertraulichkeit),

2. personenbezogene Daten w�hrend der Verarbeitung unversehrt, vollst�ndig und aktuell bleiben (Integrit�t),

3. personenbezogene Daten zeitgerecht zur Verf�gung stehen und ordnungsgem�� verarbeitet werden k�nnen (Verf�gbarkeit),

4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden k�nnen (Authentizit�t) und

5. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollst�ndig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden k�nnen (Transparenz).

(4) Zur Umsetzung von Absatz 2 sind insbesondere

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),

2. zu verhindern, dass Datentr�ger unbefugt gelesen, kopiert, ver�ndert oder entfernt werden k�nnen (Datentr�gerkontrolle),

3. die unbefugte Eingabe sowie die unbefugte Kenntnisnahme, Ver�nderung oder L�schung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),

4. zu verhindern, dass automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Daten�bertragung von Unbefugten genutzt werden k�nnen (Benutzerkontrolle),

5. zu gew�hrleisten, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschlie�lich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen k�nnen (Zugriffskontrolle),

6. zu gew�hrleisten, dass �berpr�ft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Daten�bertragung �bermittelt oder zur Verf�gung gestellt wurden oder werden k�nnen (�bertragungskontrolle),

7. zu gew�hrleisten, dass nachtr�glich �berpr�ft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),

8. zu gew�hrleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden k�nnen (Auftragskontrolle),

9. zu verhindern, dass bei der �bermittlung personenbezogener Daten sowie beim Transport von Datentr�gern die Daten unbefugt gelesen, kopiert, ver�ndert oder gel�scht werden k�nnen (Transportkontrolle),

10. die innerbeh�rdliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),

11. zu gew�hrleisten, dass personenbezogene Daten gegen Zerst�rung oder Verlust gesch�tzt sind (Verf�gbarkeitskontrolle),

12. zu gew�hrleisten, dass eingesetzte Systeme im St�rungsfall wiederhergestellt werden k�nnen (Wiederherstellung),

13. zu gew�hrleisten, dass alle Funktionen des Systems zur Verf�gung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverl�ssigkeit),

14.zu gew�hrleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems besch�digt werden k�nnen (Datenintegrit�t) und

15. zu gew�hrleisten, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden k�nnen (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschl�sselungsverfahren erreicht werden.

� 59
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbeh�rde

Das Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbeh�rde nach Artikel 33 der Verordnung (EU) 2016/679 findet entsprechende Anwendung. Soweit die Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betrifft, die von dem oder an den Verantwortlichen eines anderen Mitgliedstaats �bermittelt wurden, sind die in Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 genannten Informationen dem Verantwortlichen des Mitgliedstaats unverz�glich zu �bermitteln. Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen die meldepflichtige Person oder einen ihrer in � 54 Absatz 1 der Strafprozessordnung bezeichneten Angeh�rigen nur mit Zustimmung verwendet werden.

Kapitel 5

Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

� 60
Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit

(1) Die Aufsicht �ber die Einhaltung und �berwachung der Vorschriften dieses Teils sowie anderer Vorschriften �ber den Datenschutz bei der Verarbeitung personenbezogener Daten zu Zwecken des � 35 obliegt der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit. Artikel 51 bis 55 der Verordnung (EU) 2016/679 und die zu ihrer Durchf�hrung erlassenen Vorschriften dieses Gesetzes finden entsprechende Anwendung.

(2) Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit nimmt die Aufgaben nach Artikel 57 Absatz 1 Buchstaben a bis i, l und t, Absatz 2 bis 4 der Verordnung (EU) 2016/679 entsprechend wahr. �bt sie oder er f�r die betroffene Person deren Rechte aus, hat sie oder er die Rechtm��igkeit der Verarbeitung zu �berpr�fen. Die betroffene Person ist innerhalb einer angemessenen Frist �ber das Ergebnis dieser �berpr�fung oder �ber die Gr�nde zu unterrichten, aus denen die �berpr�fung nicht vorgenommen wurde.

(3) Im �brigen stehen der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit die Befugnisse nach Artikel 58 Absatz 1 Buchstabe e, Absatz 2 Buchstabe a, d und f, Absatz 3 Buchstabe a und b, Absatz 4 und 5 der Verordnung (EU) 2016/679 entsprechend zu.

(4) Artikel 59 der Verordnung (EU) 2016/679 gilt entsprechend mit der Ma�gabe, dass der Jahresbericht �ber die T�tigkeit der Aufsichtsbeh�rde auch eine Liste der Arten der verh�ngten Sanktionen enthalten kann.

� 61
Recht auf Beschwerde bei einer Aufsichtsbeh�rde

Artikel 77 der Verordnung (EU) 2016/679 gilt entsprechend. Jeder kann sich gem�� Artikel 77 der Verordnung (EU) 2016/679 an die oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit mit dem Vorbringen wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Durch die Anrufung der oder des Landesbeauftragten d�rfen der betroffenen Person keine Nachteile entstehen. Bei der Aus�bung des Beschwerderechts durch Besch�ftigte �ffentlicher Stellen muss der Dienstweg nicht eingehalten werden. Die oder der Landesbeauftragte f�r Datenschutz und Informationsfreiheit hat eine bei ihr oder ihm eingelegte Beschwerde �ber eine Verarbeitung, die in die Zust�ndigkeit einer anderen Aufsichtsbeh�rde f�llt, unverz�glich an die zust�ndige Aufsichtsbeh�rde weiterzuleiten. In diesem Fall hat sie oder er die betroffene Person �ber die Weiterleitung zu unterrichten und ihr auf ihr Ersuchen weitere Unterst�tzung zu leisten.

Kapitel 6

Daten�bermittlungen an Drittstaaten und an internationale Organisationen

� 62
Allgemeine Voraussetzungen

(1) Die �bermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der �brigen f�r Daten�bermittlungen geltenden Voraussetzungen zul�ssig, wenn

1. die Stelle oder internationale Organisation f�r die in � 35 genannten Zwecke zust�ndig ist und

2. die Europ�ische Kommission gem�� Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.

(2) Die �bermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu ber�cksichtigenden �ffentlichen Interesses an der Daten�bermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empf�nger nicht hinreichend gesichert ist oder sonst �berwiegende schutzw�rdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche ma�geblich zu ber�cksichtigen, ob der Empf�nger im Einzelfall einen angemessenen Schutz der �bermittelten Daten garantiert.

(3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europ�ischen Union �bermittelt oder zur Verf�gung gestellt wurden, nach Absatz 1 �bermittelt werden sollen, muss diese �bermittlung zuvor von der zust�ndigen Stelle des anderen Mitgliedstaats genehmigt werden. �bermittlungen ohne vorherige Genehmigung sind nur dann zul�ssig, wenn die �bermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr f�r die �ffentliche Sicherheit eines Staates oder f�r die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die f�r die Erteilung der Genehmigung zust�ndig gewesen w�re, unverz�glich �ber die �bermittlung zu unterrichten.

(4) Der Verantwortliche, der Daten nach Absatz 1 �bermittelt, hat durch geeignete Ma�nahmen sicherzustellen, dass der Empf�nger die �bermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiter�bermittelt, wenn der Verantwortliche diese �bermittlung zuvor genehmigt hat. Bei der Entscheidung �ber die Erteilung der Genehmigung hat der Verantwortliche alle ma�geblichen Faktoren zu ber�cksichtigen, insbesondere die Schwere der Straftat, den Zweck der urspr�nglichen �bermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiter�bermittelt werden sollen, bestehende Schutzniveau f�r personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte �bermittlung an den anderen Drittstaat oder die andere internationale Organisation zul�ssig w�re. Die Zust�ndigkeit f�r die Erteilung der Genehmigung kann auch abweichend geregelt werden.

� 63
Daten�bermittlung bei geeigneten Garantien

(1) Liegt entgegen � 62 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine �bermittlung bei Vorliegen der �brigen Voraussetzungen des � 59 auch dann zul�ssig, wenn

1. in einem rechtsverbindlichen Instrument geeignete Garantien f�r den Schutz personenbezogener Daten vorgesehen sind oder

2. der Verantwortliche nach Beurteilung aller Umst�nde, die bei der �bermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien f�r den Schutz personenbezogener Daten bestehen.

(2) Der Verantwortliche hat �bermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. Die Dokumentation hat den Zeitpunkt der �bermittlung, die Identit�t des Empf�ngers, den Grund der �bermittlung und die �bermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Landesbeauftragten f�r Datenschutz und Informationsfreiheit auf Anforderung zur Verf�gung zu stellen.

(3) Der Verantwortliche hat die Landesbeauftragte f�r Datenschutz und Informationsfreiheit oder den Landesbeauftragten f�r Datenschutz und Informationsfreiheit zumindest j�hrlich �ber �bermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empf�nger und die �bermittlungszwecke angemessen kategorisieren.

� 64
Daten�bermittlung ohne geeignete Garantien

(1) Liegt entgegen � 62 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des � 63 Absatz 1 vor, ist eine �bermittlung bei Vorliegen der �brigen Voraussetzungen des � 62 auch dann zul�ssig, wenn die  �bermittlung erforderlich ist

1. zum Schutz lebenswichtiger Interessen einer nat�rlichen Person,

2. zur Wahrung berechtigter Interessen der betroffenen Person,

3. zur Abwehr einer gegenw�rtigen und erheblichen Gefahr f�r die �ffentliche Sicherheit eines Staates,

4. im Einzelfall f�r die in � 35 genannten Zwecke oder

5. im Einzelfall zur Geltendmachung, Aus�bung oder Verteidigung von Rechtsanspr�chen im Zusammenhang mit den in � 35 genannten Zwecken.

(2) Der Verantwortliche hat von einer �bermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das �ffentliche Interesse an der �bermittlung �berwiegen.

(3) F�r �bermittlungen nach Absatz 1 gilt � 63 Absatz 2 entsprechend.

� 65
Sonstige Daten�bermittlung an Empf�nger in Drittstaaten

(1) Verantwortliche k�nnen bei Vorliegen der �brigen f�r die Daten�bermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in � 63 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten �bermitteln, wenn die �bermittlung f�r die Erf�llung ihrer Aufgaben unbedingt erforderlich ist und

1. im konkreten Fall keine Grundrechte und Grundfreiheiten der betroffenen Person das �ffentliche Interesse an einer �bermittlung �berwiegen,

2. die �bermittlung an die in � 62 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet w�re, insbesondere weil sie nicht rechtzeitig durchgef�hrt werden kann, und

3. der Verantwortliche dem Empf�nger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die �bermittelten Daten nur in dem Umfang verarbeitet werden d�rfen, in dem ihre Verarbeitung f�r diese Zwecke erforderlich ist.

(2) Im Fall des Absatzes 1 hat der Verantwortliche die in � 62 Absatz 1 Nummer 1 genannten Stellen unverz�glich �ber die �bermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.

(3) F�r �bermittlungen nach Absatz 1 gilt � 63 Absatz 2 und 3 entsprechend.

(4) Bei �bermittlungen nach Absatz 1 hat der Verantwortliche den Empf�nger zu verpflichten, die �bermittelten personenbezogenen Daten ohne seine Zustimmung nur f�r den Zweck zu verarbeiten, f�r den sie �bermittelt worden sind.

(5) Regelungen in bi- oder multilateralen internationalen �bereink�nften mit Dritten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unber�hrt.

Kapitel 7

Erg�nzende Vorschriften

� 66
Vertrauliche Meldung von Datenschutzverst��en

Der Verantwortliche hat zu erm�glichen, dass ihm vertrauliche Meldungen �ber in seinem Verantwortungsbereich erfolgende Verst��e gegen Datenschutzvorschriften zugeleitet werden k�nnen.

� 67
Erg�nzende Anwendung der Verordnung (EU) 2016/679

Die Vorschriften der Verordnung (EU) 2016/679 �ber

1. den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung nach Artikel 25 Absatz 1 und 2,

2. gemeinsam f�r die Verarbeitung Verantwortliche gem�� Artikel 26,

3. die Verarbeitungen unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters nach Artikel 29,

4. die Zusammenarbeit mit der Aufsichtsbeh�rde nach Artikel 31,

5. die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gem�� Artikel 34,

6. die Benennung, Stellung und Aufgaben des beh�rdlichen Datenschutzbeauftragten nach Artikel 37 bis Artikel 39,

7. die gegenseitige Amtshilfe nach Artikel 61 und

8. das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbeh�rde nach Artikel 78 Absatz 1 bis 3

sowie die zu ihrer Durchf�hrung erlassenen Vorschriften des Teils 2 dieses Gesetzes sind auf Datenverarbeitungen im Sinne von � 1 Absatz 2 dieses Gesetzes entsprechend anzuwenden.

� 68
Schadensersatz

(1) Wird der betroffenen Person durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften �ber den Datenschutz unzul�ssige oder unrichtige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugef�gt, ist der Tr�ger der verantwortlichen Stelle ihr zum Schadensersatz verpflichtet. Die Ersatzpflicht entf�llt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zur�ckzuf�hren ist.

(2) Wegen eines Schadens, der nicht Verm�gensschaden ist, kann die betroffene Person eine angemessene Entsch�digung in Geld verlangen.

(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(4) Auf eine schuldhafte Mitverursachung des Schadens durch die betroffene Person sind die �� 254 und 839 Absatz 3 des B�rgerlichen Gesetzbuchs entsprechend anzuwenden. Auf die Verj�hrung finden die f�r unerlaubte Handlungen geltenden Verj�hrungsvorschriften des B�rgerlichen Gesetzbuchs entsprechende Anwendung.

(5) Weitergehende Schadensersatzanspr�che bleiben unber�hrt.

� 69
Straf- und Bu�geldvorschriften

F�r die Verarbeitung personenbezogener Daten durch �ffentliche Stellen im Rahmen von T�tigkeiten nach � 35 finden die �� 33 und 34 entsprechende Anwendung.

Teil 4

�bergangsvorschrift, Einschr�nkung von Grundrechten, Inkrafttreten, Au�erkrafttreten

� 70
�bergangsvorschrift

(1) Mit Inkrafttreten dieses Gesetzes wird das bestehende Amtsverh�ltnis der Landesbeauftragten f�r Datenschutz und Informationsfreiheit in ein solches nach diesem Gesetz �berf�hrt. Ihre statusrechtliche Stellung bleibt unber�hrt.

(2) Abweichend von � 53 gelten bis zum 6. Mai 2023 f�r vor dem 6. Mai 2016 bereits eingef�hrte Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten im Anwendungsbereich von Teil 3 dieses Gesetzes die Vorschriften �ber Verfahrensverzeichnisse und Dokumentationen aus den �� 8 und 10 Absatz 3 des Datenschutzgesetzes Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 9. Juni 2000 (GV. NRW. S. 542) in der bis zum 24. Mai 2018 geltenden Fassung.

(3) Abweichend von � 55 gelten bis zum 6. Mai 2023 f�r vor dem 6. Mai 2016 bereits eingef�hrte Verfahren zur automatisierten Verarbeitung von personenbezogenen Daten im Anwendungsbereich von Teil 3 dieses Gesetzes die Vorschriften �ber Protokollierungen nach � 10 Absatz 2 des Datenschutzgesetzes Nordrhein-Westfalen in der bis zum 24. Mai 2018 geltenden Fassung.

� 71
Einschr�nkung von Grundrechten

Durch dieses Gesetz werden das Grundrecht auf informationelle Selbstbestimmung und das Grundrecht auf Schutz personenbezogener Daten nach Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes in Verbindung mit Artikel 4 Absatz 1 und Artikel 4 Absatz 2 Satz 1 der Verfassung f�r das Land Nordrhein-Westfalen eingeschr�nkt.

� 72
Inkrafttreten, Au�erkrafttreten

Dieses Gesetz tritt am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Datenschutzgesetz Nordrhein-Westfalen in der Fassung der Bekanntmachung vom 9. Juni 2000 au�er Kraft.

Die Landesregierung

Nordrhein-Westfalen

Der Ministerpr�sident

Der Minister der Finanzen

Der Minister des Innern zugleich f�r den Minister der Justiz

Der Minister f�r Wirtschaft, Innovation, Digitalisierung und Energie

Der Minister f�r Arbeit, Gesundheit und Soziales

Die Ministerin f�r Schule und Bildung
zugleich f�r den Minister f�r Kinder, Familie, Fl�chtlinge und Integration

Die Ministerin f�r Heimat, Kommunales, Bau und Gleichstellung

Der Minister f�r Verkehr,
zugleich f�r das Ministerium f�r Umwelt, Landwirtschaft, Natur- und Verbraucherschutz,
insofern mit der Wahrnehmung der Gesch�fte beauftragt

Die Ministerin f�r Kultur und Wissenschaft

Der Minister f�r Bundes- und Europaangelegenheiten sowie Internationales

Hinweis:

Vollzitat, starre Verweisung: �Datenschutzgesetz Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. S. 244, ber. S. 278 und S. 404)�

Fu�noten:

Fn 1

In Kraft getreten am 25. Mai 2018 (GV. NRW. S. 244, ber. S. 278 und S. 404).


Normverlauf ab 2000: