freiRecht

Bundesdatenschutzgesetz

Bundesdatenschutzgesetz

Teil 1: Gemeinsame Bestimmungen

Kapitel 1: Anwendungsbereich und Begriffsbestimmungen

┬ž 1 Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt f├╝r die Verarbeitung personenbezogener Daten durch

1.
├Âffentliche Stellen des Bundes,
2.
├Âffentliche Stellen der L├Ąnder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a)
Bundesrecht ausf├╝hren oder
b)
als Organe der Rechtspflege t├Ątig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

²F├╝r nicht├Âffentliche Stellen gilt dieses Gesetz f├╝r die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch nat├╝rliche Personen erfolgt zur Aus├╝bung ausschlie├člich pers├Ânlicher oder famili├Ąrer T├Ątigkeiten.

(2) Andere Rechtsvorschriften des Bundes ├╝ber den Datenschutz gehen den Vorschriften dieses Gesetzes vor. ²Regeln sie einen Sachverhalt, f├╝r den dieses Gesetz gilt, nicht oder nicht abschlie├čend, finden die Vorschriften dieses Gesetzes Anwendung. ³Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unber├╝hrt.

(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.

(4) Dieses Gesetz findet Anwendung auf ├Âffentliche Stellen. ²Auf nicht├Âffentliche Stellen findet es Anwendung, sofern

1.
der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
2.
die Verarbeitung personenbezogener Daten im Rahmen der T├Ątigkeiten einer inl├Ąndischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3.
der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europ├Ąischen Union oder in einem anderen Vertragsstaat des Abkommens ├╝ber den Europ├Ąischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europ├Ąischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat├╝rlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S.┬á1; L┬á314 vom 22.11.2016, S.┬á72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung f├Ąllt.
Sofern dieses Gesetz nicht gem├Ą├č Satz 2 Anwendung findet, gelten f├╝r den Verantwortlichen oder Auftragsverarbeiter nur die ┬ž┬ž 8 bis 21, 39 bis 44.

(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europ├Ąischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

(6) Bei Verarbeitungen zu Zwecken gem├Ą├č Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens ├╝ber den Europ├Ąischen Wirtschaftsraum den Mitgliedstaaten der Europ├Ąischen Union gleich. ²Andere Staaten gelten insoweit als Drittstaaten.

(7) Bei Verarbeitungen zu Zwecken gem├Ą├č Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europ├Ąischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat├╝rlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust├Ąndigen Beh├Ârden zum Zwecke der Verh├╝tung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europ├Ąischen Union gleich. ²Andere Staaten gelten insoweit als Drittstaaten.

(8) F├╝r Verarbeitungen personenbezogener Daten durch ├Âffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.

┬ž 2 Begriffsbestimmungen

(1) ├ľffentliche Stellen des Bundes sind die Beh├Ârden, die Organe der Rechtspflege und andere ├Âffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren K├Ârperschaften, der Anstalten und Stiftungen des ├Âffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(2) ├ľffentliche Stellen der L├Ąnder sind die Beh├Ârden, die Organe der Rechtspflege und andere ├Âffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des ├Âffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(3) Vereinigungen des privaten Rechts von ├Âffentlichen Stellen des Bundes und der L├Ąnder, die Aufgaben der ├Âffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht├Âffentlicher Stellen als ├Âffentliche Stellen des Bundes, wenn

1.
sie ├╝ber den Bereich eines Landes hinaus t├Ątig werden oder
2.
dem Bund die absolute Mehrheit der Anteile geh├Ârt oder die absolute Mehrheit der Stimmen zusteht.
²Andernfalls gelten sie als ├Âffentliche Stellen der L├Ąnder.

(4) Nicht├Âffentliche Stellen sind nat├╝rliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Abs├Ątze 1 bis 3 fallen. ²Nimmt eine nicht├Âffentliche Stelle hoheitliche Aufgaben der ├Âffentlichen Verwaltung wahr, ist sie insoweit ├Âffentliche Stelle im Sinne dieses Gesetzes.

(5) ├ľffentliche Stellen des Bundes gelten als nicht├Âffentliche Stellen im Sinne dieses Gesetzes, soweit sie als ├Âffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. ²Als nicht├Âffentliche Stellen im Sinne dieses Gesetzes gelten auch ├Âffentliche Stellen der L├Ąnder, soweit sie als ├Âffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausf├╝hren und der Datenschutz nicht durch Landesgesetz geregelt ist.

Kapitel 2: Rechtsgrundlagen der Verarbeitung personenbezogener Daten

┬ž 3 Verarbeitung personenbezogener Daten durch ├Âffentliche Stellen

Die Verarbeitung personenbezogener Daten durch eine ├Âffentliche Stelle ist zul├Ąssig, wenn sie zur Erf├╝llung der in der Zust├Ąndigkeit des Verantwortlichen liegenden Aufgabe oder in Aus├╝bung ├Âffentlicher Gewalt, die dem Verantwortlichen ├╝bertragen wurde, erforderlich ist.

┬ž 4 Video├╝berwachung ├Âffentlich zug├Ąnglicher R├Ąume

(1) Die Beobachtung ├Âffentlich zug├Ąnglicher R├Ąume mit optisch-elektronischen Einrichtungen (Video├╝berwachung) ist nur zul├Ąssig, soweit sie

1.
zur Aufgabenerf├╝llung ├Âffentlicher Stellen,
2.
zur Wahrnehmung des Hausrechts oder
3.
zur Wahrnehmung berechtigter Interessen f├╝r konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzw├╝rdige Interessen der betroffenen Personen ├╝berwiegen. Bei der Video├╝berwachung von
1.
├Âffentlich zug├Ąnglichen gro├čfl├Ąchigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergn├╝gungsst├Ątten, Einkaufszentren oder Parkpl├Ątzen, oder
2.
Fahrzeugen und ├Âffentlich zug├Ąnglichen gro├čfl├Ąchigen Einrichtungen des ├Âffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufh├Ąltigen Personen als ein besonders wichtiges Interesse.

(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Ma├čnahmen zum fr├╝hestm├Âglichen Zeitpunkt erkennbar zu machen.

(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zul├Ąssig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzw├╝rdige Interessen der betroffenen Personen ├╝berwiegen. ²Absatz 1 Satz 2 gilt entsprechend. ³F├╝r einen anderen Zweck d├╝rfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren f├╝r die staatliche und ├Âffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Video├╝berwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person ├╝ber die Verarbeitung gem├Ą├č den Artikeln 13 und 14 der Verordnung (EU) 2016/679. ²┬ž 32 gilt entsprechend.

(5) Die Daten sind unverz├╝glich zu l├Âschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzw├╝rdige Interessen der betroffenen Personen einer weiteren Speicherung entgegenstehen.

Kapitel 3: Datenschutzbeauftragte ├Âffentlicher Stellen

┬ž 5 Benennung

(1) ├ľffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. ²Dies gilt auch f├╝r ├Âffentliche Stellen nach ┬ž 2 Absatz 5, die am Wettbewerb teilnehmen.

(2) F├╝r mehrere ├Âffentliche Stellen kann unter Ber├╝cksichtigung ihrer Organisationsstruktur und ihrer Gr├Â├če eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden.

(3) Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens benannt, das sie oder er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner F├Ąhigkeit zur Erf├╝llung der in ┬ž 7 genannten Aufgaben.

(4) Die oder der Datenschutzbeauftragte kann Besch├Ąftigte oder Besch├Ąftigter der ├Âffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erf├╝llen.

(5) Die ├Âffentliche Stelle ver├Âffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Bundesbeauftragten f├╝r den Datenschutz und die Informationsfreiheit mit.

┬ž 6 Stellung

(1) Die ├Âffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgem├Ą├č und fr├╝hzeitig in alle mit dem Schutz personenbezogener Daten zusammenh├Ąngenden Fragen eingebunden wird.

(2) Die ├Âffentliche Stelle unterst├╝tzt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erf├╝llung ihrer oder seiner Aufgaben gem├Ą├č ┬ž 7, indem sie die f├╝r die Erf├╝llung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorg├Ąngen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verf├╝gung stellt.

(3) Die ├Âffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erf├╝llung ihrer oder seiner Aufgaben keine Anweisungen bez├╝glich der Aus├╝bung dieser Aufgaben erh├Ąlt. ²Die oder der Datenschutzbeauftragte berichtet unmittelbar der h├Âchsten Leitungsebene der ├Âffentlichen Stelle. ³Die oder der Datenschutzbeauftragte darf von der ├Âffentlichen Stelle wegen der Erf├╝llung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden.

(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des ┬ž 626 des B├╝rgerlichen Gesetzbuchs zul├Ąssig. ²Die K├╝ndigung des Arbeitsverh├Ąltnisses ist unzul├Ąssig, es sei denn, dass Tatsachen vorliegen, welche die ├Âffentliche Stelle zur K├╝ndigung aus wichtigem Grund ohne Einhaltung einer K├╝ndigungsfrist berechtigen. ³Nach dem Ende der T├Ątigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die K├╝ndigung des Arbeitsverh├Ąltnisses innerhalb eines Jahres unzul├Ąssig, es sei denn, dass die ├Âffentliche Stelle zur K├╝ndigung aus wichtigem Grund ohne Einhaltung einer K├╝ndigungsfrist berechtigt ist.

(5) Betroffene Personen k├Ânnen die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gem├Ą├č der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften ├╝ber den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. ²Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit ├╝ber die Identit├Ąt der betroffenen Person sowie ├╝ber Umst├Ąnde, die R├╝ckschl├╝sse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.

(6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner T├Ątigkeit Kenntnis von Daten erh├Ąlt, f├╝r die der Leitung oder einer bei der ├Âffentlichen Stelle besch├Ąftigten Person aus beruflichen Gr├╝nden ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Besch├Ąftigten zu. ²├ťber die Aus├╝bung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gr├╝nden zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigef├╝hrt werden kann. ³Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

┬ž 7 Aufgaben

(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:

1.
Unterrichtung und Beratung der ├Âffentlichen Stelle und der Besch├Ąftigten, die Verarbeitungen durchf├╝hren, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2.
├ťberwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der ├Âffentlichen Stelle f├╝r den Schutz personenbezogener Daten, einschlie├člich der Zuweisung von Zust├Ąndigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorg├Ąngen beteiligten Besch├Ąftigten und der diesbez├╝glichen ├ťberpr├╝fungen;
3.
Beratung im Zusammenhang mit der Datenschutz-Folgenabsch├Ątzung und ├ťberwachung ihrer Durchf├╝hrung gem├Ą├č ┬ž 67 dieses Gesetzes;
4.
Zusammenarbeit mit der Aufsichtsbeh├Ârde;
5.
T├Ątigkeit als Anlaufstelle f├╝r die Aufsichtsbeh├Ârde in mit der Verarbeitung zusammenh├Ąngenden Fragen, einschlie├člich der vorherigen Konsultation gem├Ą├č ┬ž 69 dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
²Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen T├Ątigkeit.

(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. ²Die ├Âffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt f├╝hren.

(3) Die oder der Datenschutzbeauftragte tr├Ągt bei der Erf├╝llung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorg├Ąngen verbundenen Risiko geb├╝hrend Rechnung, wobei sie oder er die Art, den Umfang, die Umst├Ąnde und die Zwecke der Verarbeitung ber├╝cksichtigt.

Kapitel 4: Die oder der Bundesbeauftragte f├╝r den Datenschutz und die Informationsfreiheit

┬ž 8 Errichtung

(1) Die oder der Bundesbeauftragte f├╝r den Datenschutz und die Informationsfreiheit (Bundesbeauftragte) ist eine oberste Bundesbeh├Ârde. ²Der Dienstsitz ist Bonn.

(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte des Bundes.

(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere Stellen des Bundes ├╝bertragen, soweit hierdurch die Unabh├Ąngigkeit der oder des Bundesbeauftragten nicht beeintr├Ąchtigt wird. ²Diesen Stellen d├╝rfen personenbezogene Daten der Besch├Ąftigten ├╝bermittelt werden, soweit deren Kenntnis zur Erf├╝llung der ├╝bertragenen Aufgaben erforderlich ist.

┬ž 9 Zust├Ąndigkeit

(1) Die oder der Bundesbeauftragte ist zust├Ąndig f├╝r die Aufsicht ├╝ber die ├Âffentlichen Stellen des Bundes, auch soweit sie als ├Âffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, sowie ├╝ber Unternehmen, soweit diese f├╝r die gesch├Ąftsm├Ą├čige Erbringung von Telekommunikationsdienstleistungen Daten von nat├╝rlichen oder juristischen Personen verarbeiten und sich die Zust├Ąndigkeit nicht bereits aus ┬ž 115 Absatz 4 des Telekommunikationsgesetzes ergibt. ²Die Vorschriften dieses Kapitels gelten auch f├╝r Auftragsverarbeiter, soweit sie nicht├Âffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile geh├Ârt oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine ├Âffentliche Stelle des Bundes ist.

(2) Die oder der Bundesbeauftragte ist nicht zust├Ąndig f├╝r die Aufsicht ├╝ber die von den Bundesgerichten im Rahmen ihrer justiziellen T├Ątigkeit vorgenommenen Verarbeitungen.

┬ž 10 Unabh├Ąngigkeit

(1) Die oder der Bundesbeauftragte handelt bei der Erf├╝llung ihrer oder seiner Aufgaben und bei der Aus├╝bung ihrer oder seiner Befugnisse v├Âllig unabh├Ąngig. ²Sie oder er unterliegt weder direkter noch indirekter Beeinflussung von au├čen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen.

(2) Die oder der Bundesbeauftragte unterliegt der Rechnungspr├╝fung durch den Bundesrechnungshof, soweit hierdurch ihre oder seine Unabh├Ąngigkeit nicht beeintr├Ąchtigt wird.

┬ž 11 Ernennung und Amtszeit

(1) Der Deutsche Bundestag w├Ąhlt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der H├Ąlfte der gesetzlichen Zahl seiner Mitglieder. ²Die oder der Gew├Ąhlte ist von der Bundespr├Ąsidentin oder dem Bundespr├Ąsidenten zu ernennen. ³Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Ôü┤Sie oder er muss ├╝ber die f├╝r die Erf├╝llung ihrer oder seiner Aufgaben und Aus├╝bung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verf├╝gen. ÔüÁInsbesondere muss die oder der Bundesbeauftragte ├╝ber durch einschl├Ągige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verf├╝gen und die Bef├Ąhigung zum Richteramt oder h├Âheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespr├Ąsidentin oder dem Bundespr├Ąsidenten folgenden Eid: ÔÇ×Ich schw├Âre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erf├╝llen und Gerechtigkeit gegen jedermann ├╝ben werde. ²So wahr mir Gott helfe. ³ÔÇť Der Eid kann auch ohne religi├Âse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten betr├Ągt f├╝nf Jahre. ²Einmalige Wiederwahl ist zul├Ąssig.

┬ž 12 Amtsverh├Ąltnis

(1) Die oder der Bundesbeauftragte steht nach Ma├čgabe dieses Gesetzes zum Bund in einem ├Âffentlich-rechtlichen Amtsverh├Ąltnis.

(2) Das Amtsverh├Ąltnis beginnt mit der Aush├Ąndigung der Ernennungsurkunde. ²Es endet mit dem Ablauf der Amtszeit oder mit dem R├╝cktritt. ³Die Bundespr├Ąsidentin oder der Bundespr├Ąsident enthebt auf Vorschlag der Pr├Ąsidentin oder des Pr├Ąsidenten des Bundestages die Bundesbeauftragte ihres oder den Bundesbeauftragten seines Amtes, wenn die oder der Bundesbeauftragte eine schwere Verfehlung begangen hat oder die Voraussetzungen f├╝r die Wahrnehmung ihrer oder seiner Aufgaben nicht mehr erf├╝llt. Ôü┤Im Fall der Beendigung des Amtsverh├Ąltnisses oder der Amtsenthebung erh├Ąlt die oder der Bundesbeauftragte eine von der Bundespr├Ąsidentin oder dem Bundespr├Ąsidenten vollzogene Urkunde. ÔüÁEine Amtsenthebung wird mit der Aush├Ąndigung der Urkunde wirksam. ÔüÂEndet das Amtsverh├Ąltnis mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen der Pr├Ąsidentin oder des Pr├Ąsidenten des Bundestages die Gesch├Ąfte bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers f├╝r die Dauer von h├Âchstens sechs Monaten weiterzuf├╝hren.

(3) Die Leitende Beamtin oder der Leitende Beamte nimmt die Rechte der oder des Bundesbeauftragten wahr, wenn die oder der Bundesbeauftragte an der Aus├╝bung ihres oder seines Amtes verhindert ist oder wenn ihr oder sein Amtsverh├Ąltnis endet und sie oder er nicht zur Weiterf├╝hrung der Gesch├Ąfte verpflichtet ist. ²┬ž 10 Absatz 1 ist entsprechend anzuwenden.

(4) Die oder der Bundesbeauftragte erh├Ąlt vom Beginn des Kalendermonats an, in dem das Amtsverh├Ąltnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverh├Ąltnis endet, im Fall des Absatzes 2 Satz 6 bis zum Ende des Monats, in dem die Gesch├Ąftsf├╝hrung endet, Amtsbez├╝ge in H├Âhe der Besoldungsgruppe B 11 sowie den Familienzuschlag entsprechend Anlage V des Bundesbesoldungsgesetzes. ²Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. ³Im ├ťbrigen sind ┬ž 12 Absatz 6 sowie die ┬ž┬ž 13 bis 20 und 21a Absatz 5 des Bundesministergesetzes mit den Ma├čgaben anzuwenden, dass an die Stelle der vierj├Ąhrigen Amtszeit in ┬ž 15 Absatz 1 des Bundesministergesetzes eine Amtszeit von f├╝nf Jahren tritt. Ôü┤Abweichend von Satz 3 in Verbindung mit den ┬ž┬ž 15 bis 17 und 21a Absatz 5 des Bundesministergesetzes berechnet sich das Ruhegehalt der oder des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsf├Ąhige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies g├╝nstiger ist und die oder der Bundesbeauftragte sich unmittelbar vor ihrer oder seiner Wahl zur oder zum Bundesbeauftragten als Beamtin oder Beamter oder als Richterin oder Richter mindestens in dem letzten gew├Âhnlich vor Erreichen der Besoldungsgruppe B 11 zu durchlaufenden Amt befunden hat.

┬ž 13 Rechte und Pflichten

(1) Die oder der Bundesbeauftragte sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und ├╝bt w├Ąhrend ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche T├Ątigkeit aus. ²Insbesondere darf die oder der Bundesbeauftragte neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf aus├╝ben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden K├Ârperschaft des Bundes oder eines Landes angeh├Âren. ³Sie oder er darf nicht gegen Entgelt au├čergerichtliche Gutachten abgeben.

(2) Die oder der Bundesbeauftragte hat der Pr├Ąsidentin oder dem Pr├Ąsidenten des Bundestages Mitteilung ├╝ber Geschenke zu machen, die sie oder er in Bezug auf das Amt erh├Ąlt. ²Die Pr├Ąsidentin oder der Pr├Ąsident des Bundestages entscheidet ├╝ber die Verwendung der Geschenke. ³Sie oder er kann Verfahrensvorschriften erlassen.

(3) Die oder der Bundesbeauftragte ist berechtigt, ├╝ber Personen, die ihr oder ihm in ihrer oder seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauftragter Tatsachen anvertraut haben, sowie ├╝ber diese Tatsachen selbst das Zeugnis zu verweigern. ²Dies gilt auch f├╝r die Mitarbeiterinnen und Mitarbeiter der oder des Bundesbeauftragten mit der Ma├čgabe, dass ├╝ber die Aus├╝bung dieses Rechts die oder der Bundesbeauftragte entscheidet. ³Soweit das Zeugnisverweigerungsrecht der oder des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Dokumenten von ihr oder ihm nicht gefordert werden.

(4) Die oder der Bundesbeauftragte ist, auch nach Beendigung ihres oder seines Amtsverh├Ąltnisses, verpflichtet, ├╝ber die ihr oder ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. ²Dies gilt nicht f├╝r Mitteilungen im dienstlichen Verkehr oder ├╝ber Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bed├╝rfen. ³Die oder der Bundesbeauftragte entscheidet nach pflichtgem├Ą├čem Ermessen, ob und inwieweit sie oder er ├╝ber solche Angelegenheiten vor Gericht oder au├čergerichtlich aussagt oder Erkl├Ąrungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Bundesbeauftragten erforderlich. Ôü┤Unber├╝hrt bleibt die gesetzlich begr├╝ndete Pflicht, Straftaten anzuzeigen und bei einer Gef├Ąhrdung der freiheitlichen demokratischen Grundordnung f├╝r deren Erhaltung einzutreten. ÔüÁF├╝r die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Mitarbeiterinnen und Mitarbeiter gelten die ┬ž┬ž 93, 97 und 105 Absatz 1, ┬ž 111 Absatz 5 in Verbindung mit ┬ž 105 Absatz 1 sowie ┬ž 116 Absatz 1 der Abgabenordnung nicht. ÔüÂSatz 5 findet keine Anwendung, soweit die Finanzbeh├Ârden die Kenntnis f├╝r die Durchf├╝hrung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenh├Ąngenden Steuerverfahrens ben├Âtigen, an deren Verfolgung ein zwingendes ├Âffentliches Interesse besteht, oder soweit es sich um vors├Ątzlich falsche Angaben der oder des Auskunftspflichtigen oder der f├╝r sie oder ihn t├Ątigen Personen handelt. ÔüĚStellt die oder der Bundesbeauftragte einen Datenschutzversto├č fest, ist sie oder er befugt, diesen anzuzeigen und die betroffene Person hier├╝ber zu informieren.

(5) Die oder der Bundesbeauftragte darf als Zeugin oder Zeuge aussagen, es sei denn, die Aussage w├╝rde

1.
dem Wohl des Bundes oder eines Landes Nachteile bereiten, insbesondere Nachteile f├╝r die Sicherheit der Bundesrepublik Deutschland oder ihre Beziehungen zu anderen Staaten, oder
2.
Grundrechte verletzen.
²Betrifft die Aussage laufende oder abgeschlossene Vorg├Ąnge, die dem Kernbereich exekutiver Eigenverantwortung der Bundesregierung zuzurechnen sind oder sein k├Ânnten, darf die oder der Bundesbeauftragte nur im Benehmen mit der Bundesregierung aussagen. ³┬ž 28 des Bundesverfassungsgerichtsgesetzes bleibt unber├╝hrt.

(6) Die Abs├Ątze 3 und 4 Satz 5 bis 7 gelten entsprechend f├╝r die ├Âffentlichen Stellen, die f├╝r die Kontrolle der Einhaltung der Vorschriften ├╝ber den Datenschutz in den L├Ąndern zust├Ąndig sind.

┬ž 14 Aufgaben

(1) Die oder der Bundesbeauftragte hat neben den in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben,

1.
die Anwendung dieses Gesetzes und sonstiger Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu ├╝berwachen und durchzusetzen,
2.
die ├ľffentlichkeit f├╝r die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie dar├╝ber aufzukl├Ąren, wobei spezifische Ma├čnahmen f├╝r Kinder besondere Beachtung finden,
3.
den Deutschen Bundestag und den Bundesrat, die Bundesregierung und andere Einrichtungen und Gremien ├╝ber legislative und administrative Ma├čnahmen zum Schutz der Rechte und Freiheiten nat├╝rlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,
4.
die Verantwortlichen und die Auftragsverarbeiter f├╝r die ihnen aus diesem Gesetz und sonstigen Vorschriften ├╝ber den Datenschutz, einschlie├člich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,
5.
auf Anfrage jeder betroffenen Person Informationen ├╝ber die Aus├╝bung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verf├╝gung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbeh├Ârden in anderen Mitgliedstaaten zusammenzuarbeiten,
6.
sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gem├Ą├č Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdef├╝hrer innerhalb einer angemessenen Frist ├╝ber den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbeh├Ârde notwendig ist,
7.
mit anderen Aufsichtsbeh├Ârden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gew├Ąhrleisten,
8.
Untersuchungen ├╝ber die Anwendung dieses Gesetzes und sonstiger Vorschriften ├╝ber den Datenschutz, einschlie├člich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuf├╝hren, auch auf der Grundlage von Informationen einer anderen Aufsichtsbeh├Ârde oder einer anderen Beh├Ârde,
9.
ma├čgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Gesch├Ąftspraktiken,
10.
Beratung in Bezug auf die in ┬ž 69 genannten Verarbeitungsvorg├Ąnge zu leisten und
11.
Beitr├Ąge zur T├Ątigkeit des Europ├Ąischen Datenschutzausschusses zu leisten.
²Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Bundesbeauftragte zudem die Aufgabe nach ┬ž 60 wahr.

(2) Zur Erf├╝llung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Bundesbeauftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Deutschen Bundestag oder einen seiner Aussch├╝sse, den Bundesrat, die Bundesregierung, sonstige Einrichtungen und Stellen sowie an die ├ľffentlichkeit richten. ²Auf Ersuchen des Deutschen Bundestages, eines seiner Aussch├╝sse oder der Bundesregierung geht die oder der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorg├Ąnge des Datenschutzes bei den ├Âffentlichen Stellen des Bundes nach.

(3) Die oder der Bundesbeauftragte erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Ma├čnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgef├╝llt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(4) Die Erf├╝llung der Aufgaben der oder des Bundesbeauftragten ist f├╝r die betroffene Person unentgeltlich. ²Bei offenkundig unbegr├╝ndeten oder, insbesondere im Fall von h├Ąufiger Wiederholung, exzessiven Anfragen kann die oder der Bundesbeauftragte eine angemessene Geb├╝hr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage t├Ątig zu werden. ³In diesem Fall tr├Ągt die oder der Bundesbeauftragte die Beweislast f├╝r den offenkundig unbegr├╝ndeten oder exzessiven Charakter der Anfrage.

┬ž 15 T├Ątigkeitsbericht

Die oder der Bundesbeauftragte erstellt einen Jahresbericht ├╝ber ihre oder seine T├Ątigkeit, der eine Liste der Arten der gemeldeten Verst├Â├če und der Arten der getroffenen Ma├čnahmen, einschlie├člich der verh├Ąngten Sanktionen und der Ma├čnahmen nach Artikel 58 Absatz 2 der Verordnung (EU) 2016/679, enthalten kann. ²Die oder der Bundesbeauftragte ├╝bermittelt den Bericht dem Deutschen Bundestag, dem Bundesrat und der Bundesregierung und macht ihn der ├ľffentlichkeit, der Europ├Ąischen Kommission und dem Europ├Ąischen Datenschutzausschuss zug├Ąnglich.

┬ž 16 Befugnisse

(1) Die oder der Bundesbeauftragte nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gem├Ą├č Artikel 58 der Verordnung (EU) 2016/679 wahr. ²Kommt die oder der Bundesbeauftragte zu dem Ergebnis, dass Verst├Â├če gegen die Vorschriften ├╝ber den Datenschutz oder sonstige M├Ąngel bei der Verarbeitung personenbezogener Daten vorliegen, teilt sie oder er dies der zust├Ąndigen Rechts- oder Fachaufsichtsbeh├Ârde mit und gibt dieser vor der Aus├╝bung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 gegen├╝ber dem Verantwortlichen Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist. ³Von der Einr├Ąumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im ├Âffentlichen Interesse notwendig erscheint oder ihr ein zwingendes ├Âffentliches Interesse entgegensteht. Ôü┤Die Stellungnahme soll auch eine Darstellung der Ma├čnahmen enthalten, die aufgrund der Mitteilung der oder des Bundesbeauftragten getroffen worden sind.

(2) Stellt die oder der Bundesbeauftragte bei Datenverarbeitungen durch ├Âffentliche Stellen des Bundes zu Zwecken au├čerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 Verst├Â├če gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften ├╝ber den Datenschutz oder sonstige M├Ąngel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegen├╝ber der zust├Ąndigen obersten Bundesbeh├Ârde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. ²Die oder der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte M├Ąngel handelt. ³Die Stellungnahme soll auch eine Darstellung der Ma├čnahmen enthalten, die aufgrund der Beanstandung der oder des Bundesbeauftragten getroffen worden sind. Ôü┤Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorg├Ąnge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften ├╝ber den Datenschutz versto├čen.

(3) Die Befugnisse der oder des Bundesbeauftragten erstrecken sich auch auf

1.
von ihrer oder seiner Aufsicht unterliegenden Stellen erlangte personenbezogene Daten ├╝ber den Inhalt und die n├Ąheren Umst├Ąnde des Brief-, Post- und Fernmeldeverkehrs und
2.
personenbezogene Daten, die einem besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach ┬ž 30 der Abgabenordnung, unterliegen.
²Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschr├Ąnkt.

(4) Die ├Âffentlichen Stellen des Bundes sind verpflichtet, der oder dem Bundesbeauftragten und ihren oder seinen Beauftragten

1.
jederzeit Zugang zu den Grundst├╝cken und Dienstr├Ąumen, einschlie├člich aller Datenverarbeitungsanlagen und -ger├Ąte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erf├╝llung ihrer oder seiner Aufgaben notwendig sind, zu gew├Ąhren und
2.
alle Informationen, die f├╝r die Erf├╝llung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.
²F├╝r nicht├Âffentliche Stellen besteht die Verpflichtung des Satzes 1 Nummer 1 nur w├Ąhrend der ├╝blichen Betriebs- und Gesch├Ąftszeiten.

(5) Die oder der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den ├Âffentlichen Stellen, die f├╝r die Kontrolle der Einhaltung der Vorschriften ├╝ber den Datenschutz in den L├Ąndern zust├Ąndig sind, sowie mit den Aufsichtsbeh├Ârden nach ┬ž 40 hin. ²┬ž 40 Absatz 3 Satz 1 zweiter Halbsatz gilt entsprechend.

Kapitel 5: Vertretung im Europ├Ąischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbeh├Ârden des Bundes und der L├Ąnder in Angelegenheiten der Europ├Ąischen Union

┬ž 17 Vertretung im Europ├Ąischen Datenschutzausschuss, zentrale Anlaufstelle

(1) Gemeinsamer Vertreter im Europ├Ąischen Datenschutzausschuss und zentrale Anlaufstelle ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). ²Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters w├Ąhlt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbeh├Ârde eines Landes (Stellvertreter). ³Die Wahl erfolgt f├╝r f├╝nf Jahre. Ôü┤Mit dem Ausscheiden aus dem Amt als Leiterin oder Leiter der Aufsichtsbeh├Ârde eines Landes endet zugleich die Funktion als Stellvertreter. ÔüÁWiederwahl ist zul├Ąssig.

(2) Der gemeinsame Vertreter ├╝bertr├Ągt in Angelegenheiten, die die Wahrnehmung einer Aufgabe betreffen, f├╝r welche die L├Ąnder allein das Recht zur Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbeh├Ârden betreffen, dem Stellvertreter auf dessen Verlangen die Verhandlungsf├╝hrung und das Stimmrecht im Europ├Ąischen Datenschutzausschuss.

┬ž 18 Verfahren der Zusammenarbeit der Aufsichtsbeh├Ârden des Bundes und der L├Ąnder

(1) Die oder der Bundesbeauftragte und die Aufsichtsbeh├Ârden der L├Ąnder (Aufsichtsbeh├Ârden des Bundes und der L├Ąnder) arbeiten in Angelegenheiten der Europ├Ąischen Union mit dem Ziel einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 zusammen. ²Vor der ├ťbermittlung eines gemeinsamen Standpunktes an die Aufsichtsbeh├Ârden der anderen Mitgliedstaaten, die Europ├Ąische Kommission oder den Europ├Ąischen Datenschutzausschuss geben sich die Aufsichtsbeh├Ârden des Bundes und der L├Ąnder fr├╝hzeitig Gelegenheit zur Stellungnahme. ³Zu diesem Zweck tauschen sie untereinander alle zweckdienlichen Informationen aus. Ôü┤Die Aufsichtsbeh├Ârden des Bundes und der L├Ąnder beteiligen die nach den Artikeln 85 und 91 der Verordnung (EU) 2016/679 eingerichteten spezifischen Aufsichtsbeh├Ârden, sofern diese von der Angelegenheit betroffen sind.

(2) Soweit die Aufsichtsbeh├Ârden des Bundes und der L├Ąnder kein Einvernehmen ├╝ber den gemeinsamen Standpunkt erzielen, legen die federf├╝hrende Beh├Ârde oder in Ermangelung einer solchen der gemeinsame Vertreter und sein Stellvertreter einen Vorschlag f├╝r einen gemeinsamen Standpunkt vor. ²Einigen sich der gemeinsame Vertreter und sein Stellvertreter nicht auf einen Vorschlag f├╝r einen gemeinsamen Standpunkt, legt in Angelegenheiten, die die Wahrnehmung von Aufgaben betreffen, f├╝r welche die L├Ąnder allein das Recht der Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbeh├Ârden betreffen, der Stellvertreter den Vorschlag f├╝r einen gemeinsamen Standpunkt fest. ³In den ├╝brigen F├Ąllen fehlenden Einvernehmens nach Satz 2 legt der gemeinsame Vertreter den Standpunkt fest. Ôü┤Der nach den S├Ątzen 1 bis 3 vorgeschlagene Standpunkt ist den Verhandlungen zu Grunde zu legen, wenn nicht die Aufsichtsbeh├Ârden von Bund und L├Ąndern einen anderen Standpunkt mit einfacher Mehrheit beschlie├čen. ÔüÁDer Bund und jedes Land haben jeweils eine Stimme. ÔüÂEnthaltungen werden nicht gez├Ąhlt.

(3) Der gemeinsame Vertreter und dessen Stellvertreter sind an den gemeinsamen Standpunkt nach den Abs├Ątzen 1 und 2 gebunden und legen unter Beachtung dieses Standpunktes einvernehmlich die jeweilige Verhandlungsf├╝hrung fest. ²Sollte ein Einvernehmen nicht erreicht werden, entscheidet in den in ┬ž 18 Absatz 2 Satz 2 genannten Angelegenheiten der Stellvertreter ├╝ber die weitere Verhandlungsf├╝hrung. ³In den ├╝brigen F├Ąllen gibt die Stimme des gemeinsamen Vertreters den Ausschlag.

┬ž 19 Zust├Ąndigkeiten

(1) Federf├╝hrende Aufsichtsbeh├Ârde eines Landes im Verfahren der Zusammenarbeit und Koh├Ąrenz nach Kapitel VII der Verordnung (EU) 2016/679 ist die Aufsichtsbeh├Ârde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung im Sinne des Artikels 4 Nummer 16 der Verordnung (EU) 2016/679 oder seine einzige Niederlassung in der Europ├Ąischen Union im Sinne des Artikels 56 Absatz 1 der Verordnung (EU) 2016/679 hat. ²Im Zust├Ąndigkeitsbereich der oder des Bundesbeauftragten gilt Artikel 56 Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechend. ³Besteht ├╝ber die Federf├╝hrung kein Einvernehmen, findet f├╝r die Festlegung der federf├╝hrenden Aufsichtsbeh├Ârde das Verfahren des ┬ž 18 Absatz 2 entsprechende Anwendung.

(2) Die Aufsichtsbeh├Ârde, bei der eine betroffene Person Beschwerde eingereicht hat, gibt die Beschwerde an die federf├╝hrende Aufsichtsbeh├Ârde nach Absatz 1, in Ermangelung einer solchen an die Aufsichtsbeh├Ârde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. ²Wird eine Beschwerde bei einer sachlich unzust├Ąndigen Aufsichtsbeh├Ârde eingereicht, gibt diese, sofern eine Abgabe nach Satz 1 nicht in Betracht kommt, die Beschwerde an die Aufsichtsbeh├Ârde am Wohnsitz des Beschwerdef├╝hrers ab. ³Die empfangende Aufsichtsbeh├Ârde gilt als die Aufsichtsbeh├Ârde nach Ma├čgabe des Kapitels VII der Verordnung (EU) 2016/679, bei der die Beschwerde eingereicht worden ist, und kommt den Verpflichtungen aus Artikel 60 Absatz 7 bis 9 und Artikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach. Ôü┤Im Zust├Ąndigkeitsbereich der oder des Bundesbeauftragten gibt die Aufsichtsbeh├Ârde, bei der eine Beschwerde eingereicht wurde, diese, sofern eine Abgabe nach Absatz 1 nicht in Betracht kommt, an den Bundesbeauftragten oder die Bundesbeauftragte ab.

Kapitel 6: Rechtsbehelfe

┬ž 20 Gerichtlicher Rechtsschutz

(1) F├╝r Streitigkeiten zwischen einer nat├╝rlichen oder einer juristischen Person und einer Aufsichtsbeh├Ârde des Bundes oder eines Landes ├╝ber Rechte gem├Ą├č Artikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679 sowie ┬ž 61 ist der Verwaltungsrechtsweg gegeben. ²Satz 1 gilt nicht f├╝r Bu├čgeldverfahren.

(2) Die Verwaltungsgerichtsordnung ist nach Ma├čgabe der Abs├Ątze 3 bis 7 anzuwenden.

(3) F├╝r Verfahren nach Absatz 1 Satz 1 ist das Verwaltungsgericht ├Ârtlich zust├Ąndig, in dessen Bezirk die Aufsichtsbeh├Ârde ihren Sitz hat.

(4) In Verfahren nach Absatz 1 Satz 1 ist die Aufsichtsbeh├Ârde beteiligungsf├Ąhig.

(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 sind

1.
die nat├╝rliche oder juristische Person als Kl├Ągerin oder Antragstellerin und
2.
die Aufsichtsbeh├Ârde als Beklagte oder Antragsgegnerin.
²┬ž 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unber├╝hrt.

(6) Ein Vorverfahren findet nicht statt.

(7) Die Aufsichtsbeh├Ârde darf gegen├╝ber einer Beh├Ârde oder deren Rechtstr├Ąger nicht die sofortige Vollziehung gem├Ą├č ┬ž 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.

┬ž 21 Antrag der Aufsichtsbeh├Ârde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europ├Ąischen Kommission

(1) H├Ąlt eine Aufsichtsbeh├Ârde einen Angemessenheitsbeschluss der Europ├Ąischen Kommission, einen Beschluss ├╝ber die Anerkennung von Standardschutzklauseln oder ├╝ber die Allgemeing├╝ltigkeit von genehmigten Verhaltensregeln, auf dessen G├╝ltigkeit es f├╝r eine Entscheidung der Aufsichtsbeh├Ârde ankommt, f├╝r rechtswidrig, so hat die Aufsichtsbeh├Ârde ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen.

(2) F├╝r Verfahren nach Absatz 1 ist der Verwaltungsrechtsweg gegeben. ²Die Verwaltungsgerichtsordnung ist nach Ma├čgabe der Abs├Ątze 3 bis 6 anzuwenden.

(3) ├ťber einen Antrag der Aufsichtsbeh├Ârde nach Absatz 1 entscheidet im ersten und letzten Rechtszug das Bundesverwaltungsgericht.

(4) In Verfahren nach Absatz 1 ist die Aufsichtsbeh├Ârde beteiligungsf├Ąhig. ²An einem Verfahren nach Absatz 1 ist die Aufsichtsbeh├Ârde als Antragstellerin beteiligt; ┬ž 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unber├╝hrt. ³Das Bundesverwaltungsgericht kann der Europ├Ąischen Kommission Gelegenheit zur ├äu├čerung binnen einer zu bestimmenden Frist geben.

(5) Ist ein Verfahren zur ├ťberpr├╝fung der G├╝ltigkeit eines Beschlusses der Europ├Ąischen Kommission nach Absatz 1 bei dem Gerichtshof der Europ├Ąischen Union anh├Ąngig, so kann das Bundesverwaltungsgericht anordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europ├Ąischen Union auszusetzen sei.

(6) In Verfahren nach Absatz 1 ist ┬ž 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsordnung entsprechend anzuwenden. ²Kommt das Bundesverwaltungsgericht zu der ├ťberzeugung, dass der Beschluss der Europ├Ąischen Kommission nach Absatz 1 g├╝ltig ist, so stellt es dies in seiner Entscheidung fest. ³Andernfalls legt es die Frage nach der G├╝ltigkeit des Beschlusses gem├Ą├č Artikel 267 des Vertrags ├╝ber die Arbeitsweise der Europ├Ąischen Union dem Gerichtshof der Europ├Ąischen Union zur Entscheidung vor.

Teil 2: Durchf├╝hrungsbestimmungen f├╝r Verarbeitungen zu Zwecken gem├Ą├č Artikel 2 der Verordnung (EU) 2016/679

Kapitel 1: Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Abschnitt 1: Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken

┬ž 22 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zul├Ąssig

1.
durch ├Âffentliche und nicht├Âffentliche Stellen, wenn sie
a)
erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszu├╝ben und den diesbez├╝glichen Pflichten nachzukommen,
b)
zum Zweck der Gesundheitsvorsorge, f├╝r die Beurteilung der Arbeitsf├Ąhigkeit des Besch├Ąftigten, f├╝r die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder f├╝r die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angeh├Ârigen eines Gesundheitsberufs erforderlich ist und diese Daten von ├Ąrztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
c)
aus Gr├╝nden des ├Âffentlichen Interesses im Bereich der ├Âffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenz├╝berschreitenden Gesundheitsgefahren oder zur Gew├Ąhrleistung hoher Qualit├Ąts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; erg├Ąnzend zu den in Absatz 2 genannten Ma├čnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten, oder
d)
aus Gr├╝nden eines erheblichen ├Âffentlichen Interesses zwingend erforderlich ist,

2.
durch ├Âffentliche Stellen, wenn sie
a)
zur Abwehr einer erheblichen Gefahr f├╝r die ├Âffentliche Sicherheit erforderlich ist,
b)
zur Abwehr erheblicher Nachteile f├╝r das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
c)
aus zwingenden Gr├╝nden der Verteidigung oder der Erf├╝llung ├╝ber- oder zwischenstaatlicher Verpflichtungen einer ├Âffentlichen Stelle des Bundes auf dem Gebiet der Krisenbew├Ąltigung oder Konfliktverhinderung oder f├╝r humanit├Ąre Ma├čnahmen erforderlich ist

und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den F├Ąllen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person ├╝berwiegen.

(2) In den F├Ąllen des Absatzes 1 sind angemessene und spezifische Ma├čnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. ²Unter Ber├╝cksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst├Ąnde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken f├╝r die Rechte und Freiheiten nat├╝rlicher Personen k├Ânnen dazu insbesondere geh├Âren:

1.
technisch organisatorische Ma├čnahmen, um sicherzustellen, dass die Verarbeitung gem├Ą├č der Verordnung (EU) 2016/679 erfolgt,
2.
Ma├čnahmen, die gew├Ąhrleisten, dass nachtr├Ąglich ├╝berpr├╝ft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, ver├Ąndert oder entfernt worden sind,
3.
Sensibilisierung der an Verarbeitungsvorg├Ąngen Beteiligten,
4.
Benennung einer oder eines Datenschutzbeauftragten,
5.
Beschr├Ąnkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6.
Pseudonymisierung personenbezogener Daten,
7.
Verschl├╝sselung personenbezogener Daten,
8.
Sicherstellung der F├Ąhigkeit, Vertraulichkeit, Integrit├Ąt, Verf├╝gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschlie├člich der F├Ąhigkeit, die Verf├╝gbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9.
zur Gew├Ąhrleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelm├Ą├čigen ├ťberpr├╝fung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma├čnahmen oder
10.
spezifische Verfahrensregelungen, die im Fall einer ├ťbermittlung oder Verarbeitung f├╝r andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

┬ž 23 Verarbeitung zu anderen Zwecken durch ├Âffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch ├Âffentliche Stellen im Rahmen ihrer Aufgabenerf├╝llung ist zul├Ąssig, wenn

1.
offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern w├╝rde,
2.
Angaben der betroffenen Person ├╝berpr├╝ft werden m├╝ssen, weil tats├Ąchliche Anhaltspunkte f├╝r deren Unrichtigkeit bestehen,
3.
sie zur Abwehr erheblicher Nachteile f├╝r das Gemeinwohl oder einer Gefahr f├╝r die ├Âffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist,
4.
sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Ma├čnahmen im Sinne des ┬ž 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsma├čregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbu├čen erforderlich ist,
5.
sie zur Abwehr einer schwerwiegenden Beeintr├Ąchtigung der Rechte einer anderen Person erforderlich ist oder
6.
sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungspr├╝fung oder der Durchf├╝hrung von Organisationsuntersuchungen des Verantwortlichen dient; dies gilt auch f├╝r die Verarbeitung zu Ausbildungs- und Pr├╝fungszwecken durch den Verantwortlichen, soweit schutzw├╝rdige Interessen der betroffenen Person dem nicht entgegenstehen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zul├Ąssig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach ┬ž 22 vorliegen.

┬ž 24 Verarbeitung zu anderen Zwecken durch nicht├Âffentliche Stellen

(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht├Âffentliche Stellen ist zul├Ąssig, wenn

1.
sie zur Abwehr von Gefahren f├╝r die staatliche oder ├Âffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder
2.
sie zur Geltendmachung, Aus├╝bung oder Verteidigung zivilrechtlicher Anspr├╝che erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung ├╝berwiegen.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zul├Ąssig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach ┬ž 22 vorliegen.

┬ž 25 Daten├╝bermittlungen durch ├Âffentliche Stellen

(1) Die ├ťbermittlung personenbezogener Daten durch ├Âffentliche Stellen an ├Âffentliche Stellen ist zul├Ąssig, wenn sie zur Erf├╝llung der in der Zust├Ąndigkeit der ├╝bermittelnden Stelle oder des Dritten, an den die Daten ├╝bermittelt werden, liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach ┬ž 23 zulassen w├╝rden. ²Der Dritte, an den die Daten ├╝bermittelt werden, darf diese nur f├╝r den Zweck verarbeiten, zu dessen Erf├╝llung sie ihm ├╝bermittelt werden. ³Eine Verarbeitung f├╝r andere Zwecke ist unter den Voraussetzungen des ┬ž 23 zul├Ąssig.

(2) Die ├ťbermittlung personenbezogener Daten durch ├Âffentliche Stellen an nicht├Âffentliche Stellen ist zul├Ąssig, wenn

1.
sie zur Erf├╝llung der in der Zust├Ąndigkeit der ├╝bermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach ┬ž 23 zulassen w├╝rden,
2.
der Dritte, an den die Daten ├╝bermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu ├╝bermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzw├╝rdiges Interesse an dem Ausschluss der ├ťbermittlung hat oder
3.
es zur Geltendmachung, Aus├╝bung oder Verteidigung rechtlicher Anspr├╝che erforderlich ist
und der Dritte sich gegen├╝ber der ├╝bermittelnden ├Âffentlichen Stelle verpflichtet hat, die Daten nur f├╝r den Zweck zu verarbeiten, zu dessen Erf├╝llung sie ihm ├╝bermittelt werden. ²Eine Verarbeitung f├╝r andere Zwecke ist zul├Ąssig, wenn eine ├ťbermittlung nach Satz 1 zul├Ąssig w├Ąre und die ├╝bermittelnde Stelle zugestimmt hat.

(3) Die ├ťbermittlung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zul├Ąssig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach ┬ž 22 vorliegen.

Abschnitt 2: Besondere Verarbeitungssituationen

┬ž 26 Datenverarbeitung f├╝r Zwecke des Besch├Ąftigungsverh├Ąltnisses

(1) Personenbezogene Daten von Besch├Ąftigten d├╝rfen f├╝r Zwecke des Besch├Ąftigungsverh├Ąltnisses verarbeitet werden, wenn dies f├╝r die Entscheidung ├╝ber die Begr├╝ndung eines Besch├Ąftigungsverh├Ąltnisses oder nach Begr├╝ndung des Besch├Ąftigungsverh├Ąltnisses f├╝r dessen Durchf├╝hrung oder Beendigung oder zur Aus├╝bung oder Erf├╝llung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Besch├Ąftigten erforderlich ist. ²Zur Aufdeckung von Straftaten d├╝rfen personenbezogene Daten von Besch├Ąftigten nur dann verarbeitet werden, wenn zu dokumentierende tats├Ąchliche Anhaltspunkte den Verdacht begr├╝nden, dass die betroffene Person im Besch├Ąftigungsverh├Ąltnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzw├╝rdige Interesse der oder des Besch├Ąftigten an dem Ausschluss der Verarbeitung nicht ├╝berwiegt, insbesondere Art und Ausma├č im Hinblick auf den Anlass nicht unverh├Ąltnism├Ą├čig sind.

(2) Erfolgt die Verarbeitung personenbezogener Daten von Besch├Ąftigten auf der Grundlage einer Einwilligung, so sind f├╝r die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Besch├Ąftigungsverh├Ąltnis bestehende Abh├Ąngigkeit der besch├Ąftigten Person sowie die Umst├Ąnde, unter denen die Einwilligung erteilt worden ist, zu ber├╝cksichtigen. ²Freiwilligkeit kann insbesondere vorliegen, wenn f├╝r die besch├Ąftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und besch├Ąftigte Person gleichgelagerte Interessen verfolgen. ³Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umst├Ąnde eine andere Form angemessen ist. Ôü┤Der Arbeitgeber hat die besch├Ąftigte Person ├╝ber den Zweck der Datenverarbeitung und ├╝ber ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzukl├Ąren.

(3) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 f├╝r Zwecke des Besch├Ąftigungsverh├Ąltnisses zul├Ąssig, wenn sie zur Aus├╝bung von Rechten oder zur Erf├╝llung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzw├╝rdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung ├╝berwiegt. ²Absatz 2 gilt auch f├╝r die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdr├╝cklich auf diese Daten beziehen. ³┬ž 22 Absatz 2 gilt entsprechend.

(4) Die Verarbeitung personenbezogener Daten, einschlie├člich besonderer Kategorien personenbezogener Daten von Besch├Ąftigten f├╝r Zwecke des Besch├Ąftigungsverh├Ąltnisses, ist auf der Grundlage von Kollektivvereinbarungen zul├Ąssig. ²Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.

(5) Der Verantwortliche muss geeignete Ma├čnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grunds├Ątze f├╝r die Verarbeitung personenbezogener Daten eingehalten werden.

(6) Die Beteiligungsrechte der Interessenvertretungen der Besch├Ąftigten bleiben unber├╝hrt.

(7) Die Abs├Ątze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschlie├člich besonderer Kategorien personenbezogener Daten, von Besch├Ąftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(8) Besch├Ąftigte im Sinne dieses Gesetzes sind:

1.
Arbeitnehmerinnen und Arbeitnehmer, einschlie├člich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verh├Ąltnis zum Entleiher,
2.
zu ihrer Berufsbildung Besch├Ąftigte,
3.
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abkl├Ąrungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
4.
in anerkannten Werkst├Ątten f├╝r behinderte Menschen Besch├Ąftigte,
5.
Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
6.
Personen, die wegen ihrer wirtschaftlichen Unselbst├Ąndigkeit als arbeitnehmer├Ąhnliche Personen anzusehen sind; zu diesen geh├Âren auch die in Heimarbeit Besch├Ąftigten und die ihnen Gleichgestellten,
7.
Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
²Bewerberinnen und Bewerber f├╝r ein Besch├Ąftigungsverh├Ąltnis sowie Personen, deren Besch├Ąftigungsverh├Ąltnis beendet ist, gelten als Besch├Ąftigte.

┬ž 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung f├╝r wissenschaftliche oder historische Forschungszwecke oder f├╝r statistische Zwecke zul├Ąssig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich ├╝berwiegen. ²Der Verantwortliche sieht angemessene und spezifische Ma├čnahmen zur Wahrung der Interessen der betroffenen Person gem├Ą├č ┬ž 22 Absatz 2 Satz 2 vor.

(2) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschr├Ąnkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unm├Âglich machen oder ernsthaft beintr├Ąchtigen und die Beschr├Ąnkung f├╝r die Erf├╝llung der Forschungs- oder Statistikzwecke notwendig ist. ²Das Recht auf Auskunft gem├Ą├č Artikel 15 der Verordnung (EU) 2016/679 besteht dar├╝ber hinaus nicht, wenn die Daten f├╝r Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverh├Ąltnism├Ą├čigen Aufwand erfordern w├╝rde.

(3) Erg├Ąnzend zu den in ┬ž 22 Absatz 2 genannten Ma├čnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck m├Âglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. ²Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben ├╝ber pers├Ânliche oder sachliche Verh├Ąltnisse einer bestimmten oder bestimmbaren Person zugeordnet werden k├Ânnen. ³Sie d├╝rfen mit den Einzelangaben nur zusammengef├╝hrt werden, soweit der Forschungs- oder Statistikzweck dies erfordert.

(4) Der Verantwortliche darf personenbezogene Daten nur ver├Âffentlichen, wenn die betroffene Person eingewilligt hat oder dies f├╝r die Darstellung von Forschungsergebnissen ├╝ber Ereignisse der Zeitgeschichte unerl├Ąsslich ist.

┬ž 28 Datenverarbeitung zu im ├Âffentlichen Interesse liegenden Archivzwecken

(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zul├Ąssig, wenn sie f├╝r im ├Âffentlichen Interesse liegende Archivzwecke erforderlich ist. ²Der Verantwortliche sieht angemessene und spezifische Ma├čnahmen zur Wahrung der Interessen der betroffenen Person gem├Ą├č ┬ž 22 Absatz 2 Satz 2 vor.

(2) Das Recht auf Auskunft der betroffenen Person gem├Ą├č Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts mit vertretbarem Verwaltungsaufwand erm├Âglichen.

(3) Das Recht auf Berichtigung der betroffenen Person gem├Ą├č Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im ├Âffentlichen Interesse verarbeitet werden. ²Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die M├Âglichkeit einer Gegendarstellung einzur├Ąumen. ³Das zust├Ąndige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzuf├╝gen.

(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, den Artikeln 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im ├Âffentlichen Interesse liegenden Archivzwecke unm├Âglich machen oder ernsthaft beeintr├Ąchtigen und die Ausnahmen f├╝r die Erf├╝llung dieser Zwecke erforderlich sind.

┬ž 29 Rechte der betroffenen Person und aufsichtsbeh├Ârdliche Befugnisse im Fall von Geheimhaltungspflichten

(1) Die Pflicht zur Information der betroffenen Person gem├Ą├č Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht erg├Ąnzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit durch ihre Erf├╝llung Informationen offenbart w├╝rden, die ihrem Wesen nach, insbesondere wegen der ├╝berwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m├╝ssen. ²Das Recht auf Auskunft der betroffenen Person gem├Ą├č Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart w├╝rden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der ├╝berwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m├╝ssen. ³Die Pflicht zur Benachrichtigung gem├Ą├č Artikel 34 der Verordnung (EU) 2016/679 besteht erg├Ąnzend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart w├╝rden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der ├╝berwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m├╝ssen. Ôü┤Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach Artikel 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Ber├╝cksichtigung drohender Sch├Ąden, gegen├╝ber dem Geheimhaltungsinteresse ├╝berwiegen.

(2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverh├Ąltnisses an einen Berufsgeheimnistr├Ąger ├╝bermittelt, so besteht die Pflicht der ├╝bermittelnden Stelle zur Information der betroffenen Person gem├Ą├č Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der betroffenen Person an der Informationserteilung ├╝berwiegt.

(3) Gegen├╝ber den in ┬ž 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbeh├Ârden gem├Ą├č Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Versto├č gegen die Geheimhaltungspflichten dieser Personen f├╝hren w├╝rde. ²Erlangt eine Aufsichtsbeh├Ârde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch f├╝r die Aufsichtsbeh├Ârde.

┬ž 30 Verbraucherkredite

(1) Eine Stelle, die gesch├Ąftsm├Ą├čig personenbezogene Daten, die zur Bewertung der Kreditw├╝rdigkeit von Verbrauchern genutzt werden d├╝rfen, zum Zweck der ├ťbermittlung erhebt, speichert oder ver├Ąndert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europ├Ąischen Union genauso zu behandeln wie Auskunftsverlangen inl├Ąndischer Darlehensgeber.

(2) Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags ├╝ber eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 1 ablehnt, hat den Verbraucher unverz├╝glich hier├╝ber sowie ├╝ber die erhaltene Auskunft zu unterrichten. ²Die Unterrichtung unterbleibt, soweit hierdurch die ├Âffentliche Sicherheit oder Ordnung gef├Ąhrdet w├╝rde. ³┬ž 37 bleibt unber├╝hrt.

┬ž 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonit├Ątsausk├╝nften

(1) Die Verwendung eines Wahrscheinlichkeitswerts ├╝ber ein bestimmtes zuk├╝nftiges Verhalten einer nat├╝rlichen Person zum Zweck der Entscheidung ├╝ber die Begr├╝ndung, Durchf├╝hrung oder Beendigung eines Vertragsverh├Ąltnisses mit dieser Person (Scoring) ist nur zul├Ąssig, wenn

1.
die Vorschriften des Datenschutzrechts eingehalten wurden,
2.
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar f├╝r die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3.
f├╝r die Berechnung des Wahrscheinlichkeitswerts nicht ausschlie├člich Anschriftendaten genutzt wurden und
4.
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts ├╝ber die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.

(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts ├╝ber die Zahlungsf├Ąhig- und Zahlungswilligkeit einer nat├╝rlichen Person ist im Fall der Einbeziehung von Informationen ├╝ber Forderungen nur zul├Ąssig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen ├╝ber eine geschuldete Leistung, die trotz F├Ąlligkeit nicht erbracht worden ist, ber├╝cksichtigt werden,

1.
die durch ein rechtskr├Ąftiges oder f├╝r vorl├Ąufig vollstreckbar erkl├Ąrtes Urteil festgestellt worden sind oder f├╝r die ein Schuldtitel nach ┬ž 794 der Zivilprozessordnung vorliegt,
2.
die nach ┬ž 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Pr├╝fungstermin bestritten worden sind,
3.
die der Schuldner ausdr├╝cklich anerkannt hat,
4.
bei denen
a)
der Schuldner nach Eintritt der F├Ąlligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b)
die erste Mahnung mindestens vier Wochen zur├╝ckliegt,
c)
der Schuldner zuvor, jedoch fr├╝hestens bei der ersten Mahnung, ├╝ber eine m├Âgliche Ber├╝cksichtigung durch eine Auskunftei unterrichtet worden ist und
d)
der Schuldner die Forderung nicht bestritten hat oder

5.
deren zugrunde liegendes Vertragsverh├Ąltnis aufgrund von Zahlungsr├╝ckst├Ąnden fristlos gek├╝ndigt werden kann und bei denen der Schuldner zuvor ├╝ber eine m├Âgliche Ber├╝cksichtigung durch eine Auskunftei unterrichtet worden ist.
²Die Zul├Ąssigkeit der Verarbeitung, einschlie├člich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonit├Ątsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unber├╝hrt.

Kapitel 2: Rechte der betroffenen Person

┬ž 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Die Pflicht zur Information der betroffenen Person gem├Ą├č Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht erg├Ąnzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information ├╝ber die beabsichtigte Weiterverarbeitung

1.
eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem urspr├╝nglichen Erhebungszweck gem├Ą├č der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umst├Ąnden des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist,
2.
im Fall einer ├Âffentlichen Stelle die ordnungsgem├Ą├če Erf├╝llung der in der Zust├Ąndigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gef├Ąhrden w├╝rde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person ├╝berwiegen,
3.
die ├Âffentliche Sicherheit oder Ordnung gef├Ąhrden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten w├╝rde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person ├╝berwiegen,
4.
die Geltendmachung, Aus├╝bung oder Verteidigung rechtlicher Anspr├╝che beeintr├Ąchtigen w├╝rde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person ├╝berwiegen oder
5.
eine vertrauliche ├ťbermittlung von Daten an ├Âffentliche Stellen gef├Ąhrden w├╝rde.

(2) Unterbleibt eine Information der betroffenen Person nach Ma├čgabe des Absatzes 1, ergreift der Verantwortliche geeignete Ma├čnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschlie├člich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen f├╝r die ├ľffentlichkeit in pr├Ąziser, transparenter, verst├Ąndlicher und leicht zug├Ąnglicher Form in einer klaren und einfachen Sprache. ²Der Verantwortliche h├Ąlt schriftlich fest, aus welchen Gr├╝nden er von einer Information abgesehen hat. ³Die S├Ątze 1 und 2 finden in den F├Ąllen des Absatzes 1 Nummer 4 und 5 keine Anwendung.

(3) Unterbleibt die Benachrichtigung in den F├Ąllen des Absatzes 1 wegen eines vor├╝bergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Ber├╝cksichtigung der spezifischen Umst├Ąnde der Verarbeitung innerhalb einer angemessenen Frist nach Fortfall des Hinderungsgrundes, sp├Ątestens jedoch innerhalb von zwei Wochen, nach.

┬ž 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

(1) Die Pflicht zur Information der betroffenen Person gem├Ą├č Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679 besteht erg├Ąnzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 und der in ┬ž 29 Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die Erteilung der Information

1.: im Fall einer ├Âffentlichen Stelle a)die ordnungsgem├Ą├če Erf├╝llung der in der Zust├Ąndigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gef├Ąhrden w├╝rde oderb)die ├Âffentliche Sicherheit oder Ordnung gef├Ąhrden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten w├╝rde

und deswegen das Interesse der betroffenen Person an der Informationserteilung zur├╝cktreten muss,

2.: im Fall einer nicht├Âffentlichen Stelle a)die Geltendmachung, Aus├╝bung oder Verteidigung zivilrechtlicher Anspr├╝che beeintr├Ąchtigen w├╝rde oder die Verarbeitung Daten aus zivilrechtlichen Vertr├Ągen beinhaltet und der Verh├╝tung von Sch├Ąden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung ├╝berwiegt, oderb)die zust├Ąndige ├Âffentliche Stelle gegen├╝ber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die ├Âffentliche Sicherheit oder Ordnung gef├Ąhrden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten w├╝rde; im Fall der Datenverarbeitung f├╝r Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz.

(2) Unterbleibt eine Information der betroffenen Person nach Ma├čgabe des Absatzes 1, ergreift der Verantwortliche geeignete Ma├čnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschlie├člich der Bereitstellung der in Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen f├╝r die ├ľffentlichkeit in pr├Ąziser, transparenter, verst├Ąndlicher und leicht zug├Ąnglicher Form in einer klaren und einfachen Sprache. ²Der Verantwortliche h├Ąlt schriftlich fest, aus welchen Gr├╝nden er von einer Information abgesehen hat.

(3) Bezieht sich die Informationserteilung auf die ├ťbermittlung personenbezogener Daten durch ├Âffentliche Stellen an Verfassungsschutzbeh├Ârden, den Bundesnachrichtendienst, den Milit├Ąrischen Abschirmdienst und, soweit die Sicherheit des Bundes ber├╝hrt wird, andere Beh├Ârden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zul├Ąssig.

┬ž 34 Auskunftsrecht der betroffenen Person

(1) Das Recht auf Auskunft der betroffenen Person gem├Ą├č Artikel 15 der Verordnung (EU) 2016/679 besteht erg├Ąnzend zu den in ┬ž 27 Absatz 2, ┬ž 28 Absatz 2 und ┬ž 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, wenn

1.
die betroffene Person nach ┬ž 33 Absatz 1 Nummer 1, 2 Buchstabe b oder Absatz 3 nicht zu informieren ist, oder
2.
die Daten
a)
nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsm├Ą├čiger Aufbewahrungsvorschriften nicht gel├Âscht werden d├╝rfen, oder
b)
ausschlie├člich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen

und die Auskunftserteilung einen unverh├Ąltnism├Ą├čigen Aufwand erfordern w├╝rde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Ma├čnahmen ausgeschlossen ist.

(2) Die Gr├╝nde der Auskunftsverweigerung sind zu dokumentieren. ²Die Ablehnung der Auskunftserteilung ist gegen├╝ber der betroffenen Person zu begr├╝nden, soweit nicht durch die Mitteilung der tats├Ąchlichen und rechtlichen Gr├╝nde, auf die die Entscheidung gest├╝tzt wird, der mit der Auskunftsverweigerung verfolgte Zweck gef├Ąhrdet w├╝rde. ³Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten d├╝rfen nur f├╝r diesen Zweck sowie f├╝r Zwecke der Datenschutzkontrolle verarbeitet werden; f├╝r andere Zwecke ist die Verarbeitung nach Ma├čgabe des Artikels 18 der Verordnung (EU) 2016/679 einzuschr├Ąnken.

(3) Wird der betroffenen Person durch eine ├Âffentliche Stelle des Bundes keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die jeweils zust├Ąndige oberste Bundesbeh├Ârde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gef├Ąhrdet w├╝rde. ²Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person ├╝ber das Ergebnis der datenschutzrechtlichen Pr├╝fung darf keine R├╝ckschl├╝sse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.

(4) Das Recht der betroffenen Person auf Auskunft ├╝ber personenbezogene Daten, die durch eine ├Âffentliche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem gespeichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten erm├Âglichen, und der f├╝r die Erteilung der Auskunft erforderliche Aufwand nicht au├čer Verh├Ąltnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.

┬ž 35 Recht auf L├Âschung

(1) Ist eine L├Âschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverh├Ąltnism├Ą├čig hohem Aufwand m├Âglich und ist das Interesse der betroffenen Person an der L├Âschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur L├Âschung personenbezogener Daten gem├Ą├č Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 erg├Ąnzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. ²In diesem Fall tritt an die Stelle einer L├Âschung die Einschr├Ąnkung der Verarbeitung gem├Ą├č Artikel 18 der Verordnung (EU) 2016/679. ³Die S├Ątze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtm├Ą├čig verarbeitet wurden.

(2) Erg├Ąnzend zu Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine L├Âschung schutzw├╝rdige Interessen der betroffenen Person beeintr├Ąchtigt w├╝rden. ²Der Verantwortliche unterrichtet die betroffene Person ├╝ber die Einschr├Ąnkung der Verarbeitung, sofern sich die Unterrichtung nicht als unm├Âglich erweist oder einen unverh├Ąltnism├Ą├čigen Aufwand erfordern w├╝rde.

(3) Erg├Ąnzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer L├Âschung satzungsgem├Ą├če oder vertragliche Aufbewahrungsfristen entgegenstehen.

┬ž 36 Widerspruchsrecht

Das Recht auf Widerspruch gem├Ą├č Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 gegen├╝ber einer ├Âffentlichen Stelle besteht nicht, soweit an der Verarbeitung ein zwingendes ├Âffentliches Interesse besteht, das die Interessen der betroffenen Person ├╝berwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.

┬ž 37 Automatisierte Entscheidungen im Einzelfall einschlie├člich Profiling

(1) Das Recht gem├Ą├č Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, keiner ausschlie├člich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht ├╝ber die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und

1.
dem Begehren der betroffenen Person stattgegeben wurde oder
2.
die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen f├╝r Heilbehandlungen beruht und der Verantwortliche f├╝r den Fall, dass dem Antrag nicht vollumf├Ąnglich stattgegeben wird, angemessene Ma├čnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung z├Ąhlt; der Verantwortliche informiert die betroffene Person ├╝ber diese Rechte sp├Ątestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumf├Ąnglich stattgegeben wird.

(2) Entscheidungen nach Absatz 1 d├╝rfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 beruhen. ²Der Verantwortliche sieht angemessene und spezifische Ma├čnahmen zur Wahrung der Interessen der betroffenen Person gem├Ą├č ┬ž 22 Absatz 2 Satz 2 vor.

Kapitel 3: Pflichten der Verantwortlichen und Auftragsverarbeiter

┬ž 38 Datenschutzbeauftragte nicht├Âffentlicher Stellen

(1) Erg├Ąnzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen st├Ąndig mit der automatisierten Verarbeitung personenbezogener Daten besch├Ąftigen. ²Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabsch├Ątzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten gesch├Ąftsm├Ą├čig zum Zweck der ├ťbermittlung, der anonymisierten ├ťbermittlung oder f├╝r Zwecke der Markt- oder Meinungsforschung, haben sie unabh├Ąngig von der Anzahl der mit der Verarbeitung besch├Ąftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) ┬ž 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, ┬ž 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

┬ž 39 Akkreditierung

Die Erteilung der Befugnis, als Zertifizierungsstelle gem├Ą├č Artikel 43 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 t├Ątig zu werden, erfolgt durch die f├╝r die datenschutzrechtliche Aufsicht ├╝ber die Zertifizierungsstelle zust├Ąndige Aufsichtsbeh├Ârde des Bundes oder der L├Ąnder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle. ²┬ž 2 Absatz 3 Satz 2, ┬ž 4 Absatz 3 und ┬ž 10 Absatz 1 Satz 1 Nummer 3 des Akkreditierungsstellengesetzes finden mit der Ma├čgabe Anwendung, dass der Datenschutz als ein dem Anwendungsbereich des ┬ž 1 Absatz 2 Satz 2 unterfallender Bereich gilt.

Kapitel 4: Aufsichtsbeh├Ârde f├╝r die Datenverarbeitung durch nicht├Âffentliche Stellen

┬ž 40 Aufsichtsbeh├Ârden der L├Ąnder

(1) Die nach Landesrecht zust├Ąndigen Beh├Ârden ├╝berwachen im Anwendungsbereich der Verordnung (EU) 2016/679 bei den nicht├Âffentlichen Stellen die Anwendung der Vorschriften ├╝ber den Datenschutz.

(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere inl├Ąndische Niederlassungen, findet f├╝r die Bestimmung der zust├Ąndigen Aufsichtsbeh├Ârde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechende Anwendung. ²Wenn sich mehrere Beh├Ârden f├╝r zust├Ąndig oder f├╝r unzust├Ąndig halten oder wenn die Zust├Ąndigkeit aus anderen Gr├╝nden zweifelhaft ist, treffen die Aufsichtsbeh├Ârden die Entscheidung gemeinsam nach Ma├čgabe des ┬ž 18 Absatz 2. ┬ž 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.

(3) Die Aufsichtsbeh├Ârde darf die von ihr gespeicherten Daten nur f├╝r Zwecke der Aufsicht verarbeiten; hierbei darf sie Daten an andere Aufsichtsbeh├Ârden ├╝bermitteln. ²Eine Verarbeitung zu einem anderen Zweck ist ├╝ber Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus zul├Ąssig, wenn

1.
offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern w├╝rde,
2.
sie zur Abwehr erheblicher Nachteile f├╝r das Gemeinwohl oder einer Gefahr f├╝r die ├Âffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist oder
3.
sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Ma├čnahmen im Sinne des ┬ž 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsma├čregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbu├čen erforderlich ist.
³Stellt die Aufsichtsbeh├Ârde einen Versto├č gegen die Vorschriften ├╝ber den Datenschutz fest, so ist sie befugt, die betroffenen Personen hier├╝ber zu unterrichten, den Versto├č anderen f├╝r die Verfolgung oder Ahndung zust├Ąndigen Stellen anzuzeigen sowie bei schwerwiegenden Verst├Â├čen die Gewerbeaufsichtsbeh├Ârde zur Durchf├╝hrung gewerberechtlicher Ma├čnahmen zu unterrichten. Ôü┤┬ž 13 Absatz 4 Satz 4 bis 7 gilt entsprechend.

(4) Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbeh├Ârde auf Verlangen die f├╝r die Erf├╝llung ihrer Aufgaben erforderlichen Ausk├╝nfte zu erteilen. ²Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in ┬ž 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angeh├Ârigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz ├╝ber Ordnungswidrigkeiten aussetzen w├╝rde. ³Der Auskunftspflichtige ist darauf hinzuweisen.

(5) Die von einer Aufsichtsbeh├Ârde mit der ├ťberwachung der Einhaltung der Vorschriften ├╝ber den Datenschutz beauftragten Personen sind befugt, zur Erf├╝llung ihrer Aufgaben Grundst├╝cke und Gesch├Ąftsr├Ąume der Stelle zu betreten und Zugang zu allen Datenverarbeitungsanlagen und -ger├Ąten zu erhalten. ²Die Stelle ist insoweit zur Duldung verpflichtet. ³┬ž 16 Absatz 4 gilt entsprechend.

(6) Die Aufsichtsbeh├Ârden beraten und unterst├╝tzen die Datenschutzbeauftragten mit R├╝cksicht auf deren typische Bed├╝rfnisse. ²Sie k├Ânnen die Abberufung der oder des Datenschutzbeauftragten verlangen, wenn sie oder er die zur Erf├╝llung ihrer oder seiner Aufgaben erforderliche Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.

(7) Die Anwendung der Gewerbeordnung bleibt unber├╝hrt.

Kapitel 5: Sanktionen

┬ž 41 Anwendung der Vorschriften ├╝ber das Bu├čgeld- und Strafverfahren

(1) F├╝r Verst├Â├če nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes ├╝ber Ordnungswidrigkeiten sinngem├Ą├č. ²Die ┬ž┬ž 17, 35 und 36 des Gesetzes ├╝ber Ordnungswidrigkeiten finden keine Anwendung. ³┬ž 68 des Gesetzes ├╝ber Ordnungswidrigkeiten findet mit der Ma├čgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbu├če den Betrag von einhunderttausend Euro ├╝bersteigt.

(2) F├╝r Verfahren wegen eines Versto├čes nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes ├╝ber Ordnungswidrigkeiten und der allgemeinen Gesetze ├╝ber das Strafverfahren, namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. ²Die ┬ž┬ž 56 bis 58, 87, 88, 99 und 100 des Gesetzes ├╝ber Ordnungswidrigkeiten finden keine Anwendung. ³┬ž 69 Absatz 4 Satz 2 des Gesetzes ├╝ber Ordnungswidrigkeiten findet mit der Ma├čgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der Aufsichtsbeh├Ârde, die den Bu├čgeldbescheid erlassen hat, einstellen kann.

┬ž 42 Strafvorschriften

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zug├Ąngliche personenbezogene Daten einer gro├čen Zahl von Personen, ohne hierzu berechtigt zu sein,

1.
einem Dritten ├╝bermittelt oder
2.
auf andere Art und Weise zug├Ąnglich macht
und hierbei gewerbsm├Ą├čig handelt.

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zug├Ąnglich sind,

1.
ohne hierzu berechtigt zu sein, verarbeitet oder
2.
durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu sch├Ądigen.

(3) Die Tat wird nur auf Antrag verfolgt. ²Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbeh├Ârde.

(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in ┬ž 52 Absatz 1 der Strafprozessordnung bezeichneten Angeh├Ârigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

┬ž 43 Bu├čgeldvorschriften

(1) Ordnungswidrig handelt, wer vors├Ątzlich oder fahrl├Ąssig

1.
entgegen ┬ž 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder
2.
entgegen ┬ž 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollst├Ąndig oder nicht rechtzeitig unterrichtet.

(2) Die Ordnungswidrigkeit kann mit einer Geldbu├če bis zu f├╝nfzigtausend Euro geahndet werden.

(3) Gegen Beh├Ârden und sonstige ├Âffentliche Stellen im Sinne des ┬ž 2 Absatz 1 werden keine Geldbu├čen verh├Ąngt.

(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz ├╝ber Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in ┬ž 52 Absatz 1 der Strafprozessordnung bezeichneten Angeh├Ârigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

Kapitel 6: Rechtsbehelfe

┬ž 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter

(1) Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Versto├čes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person k├Ânnen bei dem Gericht des Ortes erhoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet. ²Klagen nach Satz 1 k├Ânnen auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren gew├Âhnlichen Aufenthaltsort hat.

(2) Absatz 1 gilt nicht f├╝r Klagen gegen Beh├Ârden, die in Aus├╝bung ihrer hoheitlichen Befugnisse t├Ątig geworden sind.

(3) Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt, gilt dieser auch als bevollm├Ąchtigt, Zustellungen in zivilgerichtlichen Verfahren nach Absatz 1 entgegenzunehmen. ²┬ž 184 der Zivilprozessordnung bleibt unber├╝hrt.

Teil 3: Bestimmungen f├╝r Verarbeitungen zu Zwecken gem├Ą├č Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

Kapitel 1: Anwendungsbereich, Begriffsbestimmungen und allgemeine Grunds├Ątze f├╝r die Verarbeitung personenbezogener Daten

┬ž 45 Anwendungsbereich

Die Vorschriften dieses Teils gelten f├╝r die Verarbeitung personenbezogener Daten durch die f├╝r die Verh├╝tung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zust├Ąndigen ├Âffentlichen Stellen, soweit sie Daten zum Zweck der Erf├╝llung dieser Aufgaben verarbeiten. ²Die ├Âffentlichen Stellen gelten dabei als Verantwortliche. ³Die Verh├╝tung von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren f├╝r die ├Âffentliche Sicherheit. Ôü┤Die S├Ątze 1 und 2 finden zudem Anwendung auf diejenigen ├Âffentlichen Stellen, die f├╝r die Vollstreckung von Strafen, von Ma├čnahmen im Sinne des ┬ž 11 Absatz 1 Nummer 8 des Strafgesetzbuchs, von Erziehungsma├čregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbu├čen zust├Ąndig sind. ÔüÁSoweit dieser Teil Vorschriften f├╝r Auftragsverarbeiter enth├Ąlt, gilt er auch f├╝r diese.

┬ž 46 Begriffsbestimmungen

Es bezeichnen die Begriffe:
1.
ÔÇ×personenbezogene DatenÔÇť alle Informationen, die sich auf eine identifizierte oder identifizierbare nat├╝rliche Person (betroffene Person) beziehen; als identifizierbar wird eine nat├╝rliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit├Ąt dieser Person sind, identifiziert werden kann;
2.
ÔÇ×VerarbeitungÔÇť jeden mit oder ohne Hilfe automatisierter Verfahren ausgef├╝hrten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Ver├Ąnderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch ├ťbermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verkn├╝pfung, die Einschr├Ąnkung, das L├Âschen oder die Vernichtung;
3.
ÔÇ×Einschr├Ąnkung der VerarbeitungÔÇť die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre k├╝nftige Verarbeitung einzuschr├Ąnken;
4.
ÔÇ×ProfilingÔÇť jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte pers├Ânliche Aspekte, die sich auf eine nat├╝rliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der pers├Ânlichen Vorlieben, der Interessen, der Zuverl├Ąssigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser nat├╝rlichen Person zu analysieren oder vorherzusagen;
5.
ÔÇ×PseudonymisierungÔÇť die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zus├Ątzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden k├Ânnen, sofern diese zus├Ątzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Ma├čnahmen unterliegen, die gew├Ąhrleisten, dass die Daten keiner betroffenen Person zugewiesen werden k├Ânnen;
6.
ÔÇ×DateisystemÔÇť jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zug├Ąnglich sind, unabh├Ąngig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet gef├╝hrt wird;
7.
ÔÇ×VerantwortlicherÔÇť die nat├╝rliche oder juristische Person, Beh├Ârde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen ├╝ber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
8.
ÔÇ×AuftragsverarbeiterÔÇť eine nat├╝rliche oder juristische Person, Beh├Ârde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9.
ÔÇ×Empf├ĄngerÔÇť eine nat├╝rliche oder juristische Person, Beh├Ârde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabh├Ąngig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Beh├Ârden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empf├Ąnger; die Verarbeitung dieser Daten durch die genannten Beh├Ârden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gem├Ą├č den Zwecken der Verarbeitung;
10.
ÔÇ×Verletzung des Schutzes personenbezogener DatenÔÇť eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtm├Ą├čigen Vernichtung, zum Verlust, zur Ver├Ąnderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten gef├╝hrt hat, die verarbeitet wurden;
11.
ÔÇ×genetische DatenÔÇť personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer nat├╝rlichen Person, die eindeutige Informationen ├╝ber die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;
12.
ÔÇ×biometrische DatenÔÇť mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer nat├╝rlichen Person, die die eindeutige Identifizierung dieser nat├╝rlichen Person erm├Âglichen oder best├Ątigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
13.
ÔÇ×GesundheitsdatenÔÇť personenbezogene Daten, die sich auf die k├Ârperliche oder geistige Gesundheit einer nat├╝rlichen Person, einschlie├člich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen ├╝ber deren Gesundheitszustand hervorgehen;
14.
ÔÇ×besondere Kategorien personenbezogener DatenÔÇť
a)
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi├Âse oder weltanschauliche ├ťberzeugungen oder die Gewerkschaftszugeh├Ârigkeit hervorgehen,
b)
genetische Daten,
c)
biometrische Daten zur eindeutigen Identifizierung einer nat├╝rlichen Person,
d)
Gesundheitsdaten und
e)
Daten zum Sexualleben oder zur sexuellen Orientierung;

15.
ÔÇ×Aufsichtsbeh├ÂrdeÔÇť eine von einem Mitgliedstaat gem├Ą├č Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabh├Ąngige staatliche Stelle;
16.
ÔÇ×internationale OrganisationÔÇť eine v├Âlkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene ├ťbereinkunft oder auf der Grundlage einer solchen ├ťbereinkunft geschaffen wurde;
17.
ÔÇ×EinwilligungÔÇť jede freiwillig f├╝r den bestimmten Fall, in informierter Weise und unmissverst├Ąndlich abgegebene Willensbekundung in Form einer Erkl├Ąrung oder einer sonstigen eindeutigen best├Ątigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

┬ž 47 Allgemeine Grunds├Ątze f├╝r die Verarbeitung personenbezogener Daten

Personenbezogene Daten m├╝ssen
1.
auf rechtm├Ą├čige Weise und nach Treu und Glauben verarbeitet werden,
2.
f├╝r festgelegte, eindeutige und rechtm├Ą├čige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
3.
dem Verarbeitungszweck entsprechen, f├╝r das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht au├čer Verh├Ąltnis zu diesem Zweck stehen,
4.
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Ma├čnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverz├╝glich gel├Âscht oder berichtigt werden,
5.
nicht l├Ąnger als es f├╝r die Zwecke, f├╝r die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen erm├Âglicht, und
6.
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew├Ąhrleistet; hierzu geh├Ârt auch ein durch geeignete technische und organisatorische Ma├čnahmen zu gew├Ąhrleistender Schutz vor unbefugter oder unrechtm├Ą├čiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerst├Ârung oder unbeabsichtigter Sch├Ądigung.

Kapitel 2: Rechtsgrundlagen der Verarbeitung personenbezogener Daten

┬ž 48 Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zul├Ąssig, wenn sie zur Aufgabenerf├╝llung unbedingt erforderlich ist.

(2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien f├╝r die Rechtsg├╝ter der betroffenen Personen vorzusehen. Geeignete Garantien k├Ânnen insbesondere sein

1.
spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
2.
die Festlegung von besonderen Aussonderungspr├╝ffristen,
3.
die Sensibilisierung der an Verarbeitungsvorg├Ąngen Beteiligten,
4.
die Beschr├Ąnkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,
5.
die von anderen Daten getrennte Verarbeitung,
6.
die Pseudonymisierung personenbezogener Daten,
7.
die Verschl├╝sselung personenbezogener Daten oder
8.
spezifische Verfahrensregelungen, die im Fall einer ├ťbermittlung oder Verarbeitung f├╝r andere Zwecke die Rechtm├Ą├čigkeit der Verarbeitung sicherstellen.

┬ž 49 Verarbeitung zu anderen Zwecken

Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zul├Ąssig, wenn es sich bei dem anderen Zweck um einen der in ┬ž 45 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verh├Ąltnism├Ą├čig ist. ²Die Verarbeitung personenbezogener Daten zu einem anderen, in ┬ž 45 nicht genannten Zweck ist zul├Ąssig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

┬ž 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

Personenbezogene Daten d├╝rfen im Rahmen der in ┬ž 45 genannten Zwecke in archivarischer, wissenschaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein ├Âffentliches Interesse besteht und geeignete Garantien f├╝r die Rechtsg├╝ter der betroffenen Personen vorgesehen werden. ²Solche Garantien k├Ânnen in einer so zeitnah wie m├Âglich erfolgenden Anonymisierung der personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte oder in ihrer r├Ąumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung bestehen.

┬ž 51 Einwilligung

(1) Soweit die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen k├Ânnen.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erkl├Ąrung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verst├Ąndlicher und leicht zug├Ąnglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ²Durch den Widerruf der Einwilligung wird die Rechtm├Ą├čigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht ber├╝hrt. ³Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.

(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. ²Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, m├╝ssen die Umst├Ąnde der Erteilung ber├╝cksichtigt werden. ³Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ôü┤Ist dies nach den Umst├Ąnden des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch ├╝ber die Folgen der Verweigerung der Einwilligung zu belehren.

(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdr├╝cklich auf diese Daten beziehen.

┬ž 52 Verarbeitung auf Weisung des Verantwortlichen

Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschlie├člich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

┬ž 53 Datengeheimnis

Mit Datenverarbeitung befasste Personen d├╝rfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). ²Sie sind bei der Aufnahme ihrer T├Ątigkeit auf das Datengeheimnis zu verpflichten. ³Das Datengeheimnis besteht auch nach der Beendigung ihrer T├Ątigkeit fort.

┬ž 54 Automatisierte Einzelentscheidung

(1) Eine ausschlie├člich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge f├╝r die betroffene Person verbunden ist oder sie erheblich beeintr├Ąchtigt, ist nur zul├Ąssig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

(2) Entscheidungen nach Absatz 1 d├╝rfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Ma├čnahmen zum Schutz der Rechtsg├╝ter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.

(3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

Kapitel 3: Rechte der betroffenen Person

┬ž 55 Allgemeine Informationen zu Datenverarbeitungen

Der Verantwortliche hat in allgemeiner Form und f├╝r jedermann zug├Ąnglich Informationen zur Verf├╝gung zu stellen ├╝ber
1.
die Zwecke der von ihm vorgenommenen Verarbeitungen,
2.
die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, L├Âschung und Einschr├Ąnkung der Verarbeitung,
3.
den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten,
4.
das Recht, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, und
5.
die Erreichbarkeit der oder des Bundesbeauftragten.

┬ž 56 Benachrichtigung betroffener Personen

(1) Ist die Benachrichtigung betroffener Personen ├╝ber die Verarbeitung sie betreffender personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten Ma├čnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten:

1.
die in ┬ž 55 genannten Angaben,
2.
die Rechtsgrundlage der Verarbeitung,
3.
die f├╝r die Daten geltende Speicherdauer oder, falls dies nicht m├Âglich ist, die Kriterien f├╝r die Festlegung dieser Dauer,
4.
gegebenenfalls die Kategorien von Empf├Ąngern der personenbezogenen Daten sowie
5.
erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden.

(2) In den F├Ąllen des Absatzes 1 kann der Verantwortliche die Benachrichtigung insoweit und solange aufschieben, einschr├Ąnken oder unterlassen, wie andernfalls

1.
die Erf├╝llung der in ┬ž 45 genannten Aufgaben,
2.
die ├Âffentliche Sicherheit oder
3.
Rechtsg├╝ter Dritter
gef├Ąhrdet w├╝rden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person ├╝berwiegt.

(3) Bezieht sich die Benachrichtigung auf die ├ťbermittlung personenbezogener Daten an Verfassungsschutzbeh├Ârden, den Bundesnachrichtendienst, den Milit├Ąrischen Abschirmdienst und, soweit die Sicherheit des Bundes ber├╝hrt wird, andere Beh├Ârden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zul├Ąssig.

(4) Im Fall der Einschr├Ąnkung nach Absatz 2 gilt ┬ž 57 Absatz 7 entsprechend.

┬ž 57 Auskunftsrecht

(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft dar├╝ber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben dar├╝ber hinaus das Recht, Informationen zu erhalten ├╝ber

1.
die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie geh├Âren,
2.
die verf├╝gbaren Informationen ├╝ber die Herkunft der Daten,
3.
die Zwecke der Verarbeitung und deren Rechtsgrundlage,
4.
die Empf├Ąnger oder die Kategorien von Empf├Ąngern, gegen├╝ber denen die Daten offengelegt worden sind, insbesondere bei Empf├Ąngern in Drittstaaten oder bei internationalen Organisationen,
5.
die f├╝r die Daten geltende Speicherdauer oder, falls dies nicht m├Âglich ist, die Kriterien f├╝r die Festlegung dieser Dauer,
6.
das Bestehen eines Rechts auf Berichtigung, L├Âschung oder Einschr├Ąnkung der Verarbeitung der Daten durch den Verantwortlichen,
7.
das Recht nach ┬ž 60, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, sowie
8.
Angaben zur Erreichbarkeit der oder des Bundesbeauftragten.

(2) Absatz 1 gilt nicht f├╝r personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gel├Âscht werden d├╝rfen oder die ausschlie├člich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverh├Ąltnism├Ą├čigen Aufwand erfordern w├╝rde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Ma├čnahmen ausgeschlossen ist.

(3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten erm├Âglichen, und deshalb der f├╝r die Erteilung der Auskunft erforderliche Aufwand au├čer Verh├Ąltnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.

(4) Der Verantwortliche kann unter den Voraussetzungen des ┬ž 56 Absatz 2 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollst├Ąndig einschr├Ąnken.

(5) Bezieht sich die Auskunftserteilung auf die ├ťbermittlung personenbezogener Daten an Verfassungsschutzbeh├Ârden, den Bundesnachrichtendienst, den Milit├Ąrischen Abschirmdienst und, soweit die Sicherheit des Bundes ber├╝hrt wird, andere Beh├Ârden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zul├Ąssig.

(6) Der Verantwortliche hat die betroffene Person ├╝ber das Absehen von oder die Einschr├Ąnkung einer Auskunft unverz├╝glich schriftlich zu unterrichten. ²Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gef├Ąhrdung im Sinne des ┬ž 56 Absatz 2 mit sich bringen w├╝rde. ³Die Unterrichtung nach Satz 1 ist zu begr├╝nden, es sei denn, dass die Mitteilung der Gr├╝nde den mit dem Absehen von oder der Einschr├Ąnkung der Auskunft verfolgten Zweck gef├Ąhrden w├╝rde.

(7) Wird die betroffene Person nach Absatz 6 ├╝ber das Absehen von oder die Einschr├Ąnkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch ├╝ber die Bundesbeauftragte oder den Bundesbeauftragten aus├╝ben. ²Der Verantwortliche hat die betroffene Person ├╝ber diese M├Âglichkeit sowie dar├╝ber zu unterrichten, dass sie gem├Ą├č ┬ž 60 die Bundesbeauftragte oder den Bundesbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen kann. ³Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die zust├Ąndige oberste Bundesbeh├Ârde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gef├Ąhrdet w├╝rde. Ôü┤Die oder der Bundesbeauftragte hat die betroffene Person zumindest dar├╝ber zu unterrichten, dass alle erforderlichen Pr├╝fungen erfolgt sind oder eine ├ťberpr├╝fung durch sie stattgefunden hat. ÔüÁDiese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verst├Â├če festgestellt wurden. ÔüÂDie Mitteilung der oder des Bundesbeauftragten an die betroffene Person darf keine R├╝ckschl├╝sse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. ÔüĚDer Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschr├Ąnken k├Ânnte. ÔüŞDie oder der Bundesbeauftragte hat zudem die betroffene Person ├╝ber ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten.

(8) Der Verantwortliche hat die sachlichen oder rechtlichen Gr├╝nde f├╝r die Entscheidung zu dokumentieren.

┬ž 58 Rechte auf Berichtigung und L├Âschung sowie Einschr├Ąnkung der Verarbeitung

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverz├╝glich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. ²Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. ³Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschr├Ąnkung der Verarbeitung. Ôü┤In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschr├Ąnkung wieder aufhebt. ÔüÁDie betroffene Person kann zudem die Vervollst├Ąndigung unvollst├Ąndiger personenbezogener Daten verlangen, wenn dies unter Ber├╝cksichtigung der Verarbeitungszwecke angemessen ist.

(2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverz├╝glich die L├Âschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzul├Ąssig ist, deren Kenntnis f├╝r die Aufgabenerf├╝llung nicht mehr erforderlich ist oder diese zur Erf├╝llung einer rechtlichen Verpflichtung gel├Âscht werden m├╝ssen.

(3) Anstatt die personenbezogenen Daten zu l├Âschen, kann der Verantwortliche deren Verarbeitung einschr├Ąnken, wenn

1.
Grund zu der Annahme besteht, dass eine L├Âschung schutzw├╝rdige Interessen einer betroffenen Person beeintr├Ąchtigen w├╝rde,
2.
die Daten zu Beweiszwecken in Verfahren, die Zwecken des ┬ž 45 dienen, weiter aufbewahrt werden m├╝ssen oder
3.
eine L├Âschung wegen der besonderen Art der Speicherung nicht oder nur mit unverh├Ąltnism├Ą├čigem Aufwand m├Âglich ist.
²In ihrer Verarbeitung nach Satz 1 eingeschr├Ąnkte Daten d├╝rfen nur zu dem Zweck verarbeitet werden, der ihrer L├Âschung entgegenstand.

(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschr├Ąnkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung f├╝r andere Zwecke nicht ohne weitere Pr├╝fung m├Âglich ist.

(5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er einer Stelle, die ihm die personenbezogenen Daten zuvor ├╝bermittelt hat, die Berichtigung mitzuteilen. ²In F├Ąllen der Berichtigung, L├Âschung oder Einschr├Ąnkung der Verarbeitung nach den Abs├Ątzen 1 bis 3 hat der Verantwortliche Empf├Ąngern, denen die Daten ├╝bermittelt wurden, diese Ma├čnahmen mitzuteilen. ³Der Empf├Ąnger hat die Daten zu berichtigen, zu l├Âschen oder ihre Verarbeitung einzuschr├Ąnken.

(6) Der Verantwortliche hat die betroffene Person ├╝ber ein Absehen von der Berichtigung oder L├Âschung personenbezogener Daten oder ├╝ber die an deren Stelle tretende Einschr├Ąnkung der Verarbeitung schriftlich zu unterrichten. ²Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gef├Ąhrdung im Sinne des ┬ž 56 Absatz 2 mit sich bringen w├╝rde. ³Die Unterrichtung nach Satz 1 ist zu begr├╝nden, es sei denn, dass die Mitteilung der Gr├╝nde den mit dem Absehen von der Unterrichtung verfolgten Zweck gef├Ąhrden w├╝rde.

(7) ┬ž 57 Absatz 7 und 8 findet entsprechende Anwendung.

┬ž 59 Verfahren f├╝r die Aus├╝bung der Rechte der betroffenen Person

(1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in pr├Ąziser, verst├Ąndlicher und leicht zug├Ąnglicher Form zu kommunizieren. ²Unbeschadet besonderer Formvorschriften soll er bei der Beantwortung von Antr├Ągen grunds├Ątzlich die f├╝r den Antrag gew├Ąhlte Form verwenden.

(2) Bei Antr├Ągen hat der Verantwortliche die betroffene Person unbeschadet des ┬ž 57 Absatz 6 und des ┬ž 58 Absatz 6 unverz├╝glich schriftlich dar├╝ber in Kenntnis zu setzen, wie verfahren wurde.

(3) Die Erteilung von Informationen nach ┬ž 55, die Benachrichtigungen nach den ┬ž┬ž 56 und 66 und die Bearbeitung von Antr├Ągen nach den ┬ž┬ž 57 und 58 erfolgen unentgeltlich. ²Bei offenkundig unbegr├╝ndeten oder exzessiven Antr├Ągen nach den ┬ž┬ž 57 und 58 kann der Verantwortliche entweder eine angemessene Geb├╝hr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags t├Ątig zu werden. ³In diesem Fall muss der Verantwortliche den offenkundig unbegr├╝ndeten oder exzessiven Charakter des Antrags belegen k├Ânnen.

(4) Hat der Verantwortliche begr├╝ndete Zweifel an der Identit├Ąt einer betroffenen Person, die einen Antrag nach den ┬ž┬ž 57 oder 58 gestellt hat, kann er von ihr zus├Ątzliche Informationen anfordern, die zur Best├Ątigung ihrer Identit├Ąt erforderlich sind.

┬ž 60 Anrufung der oder des Bundesbeauftragten

(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Bundesbeauftragte oder den Bundesbeauftragten wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch ├Âffentliche Stellen zu den in ┬ž 45 genannten Zwecken in ihren Rechten verletzt worden zu sein. ²Dies gilt nicht f├╝r die Verarbeitung von personenbezogenen Daten durch Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen T├Ątigkeit verarbeitet haben. ³Die oder der Bundesbeauftragte hat die betroffene Person ├╝ber den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die M├Âglichkeit gerichtlichen Rechtsschutzes nach ┬ž 61 hinzuweisen.

(2) Die oder der Bundesbeauftragte hat eine bei ihr oder ihm eingelegte Beschwerde ├╝ber eine Verarbeitung, die in die Zust├Ąndigkeit einer Aufsichtsbeh├Ârde in einem anderen Mitgliedstaat der Europ├Ąischen Union f├Ąllt, unverz├╝glich an die zust├Ąndige Aufsichtsbeh├Ârde des anderen Staates weiterzuleiten. ²Sie oder er hat in diesem Fall die betroffene Person ├╝ber die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterst├╝tzung zu leisten.

┬ž 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Unt├Ątigkeit

(1) Jede nat├╝rliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Bundesbeauftragten vorgehen.

(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Bundesbeauftragte mit einer Beschwerde nach ┬ž 60 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde ├╝ber den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

Kapitel 4: Pflichten der Verantwortlichen und Auftragsverarbeiter

┬ž 62 Auftragsverarbeitung

(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche f├╝r die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften ├╝ber den Datenschutz zu sorgen. ²Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, L├Âschung, Einschr├Ąnkung der Verarbeitung und Schadensersatz sind in diesem Fall gegen├╝ber dem Verantwortlichen geltend zu machen.

(2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Ma├čnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gew├Ąhrleistet wird.

(3) Auftragsverarbeiter d├╝rfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. ²Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen ├╝ber jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. ³Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.

(4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch f├╝r ihn gelten, soweit diese Pflichten f├╝r den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. ²Erf├╝llt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegen├╝ber dem Verantwortlichen f├╝r die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter

1.
nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverz├╝glich zu informieren;
2.
gew├Ąhrleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
3.
den Verantwortlichen mit geeigneten Mitteln dabei unterst├╝tzt, die Einhaltung der Bestimmungen ├╝ber die Rechte der betroffenen Person zu gew├Ąhrleisten;
4.
alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zur├╝ckgibt oder l├Âscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;
5.
dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gem├Ą├č ┬ž 76 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verf├╝gung stellt;
6.
├ťberpr├╝fungen, die von dem Verantwortlichen oder einem von diesem beauftragten Pr├╝fer durchgef├╝hrt werden, erm├Âglicht und dazu beitr├Ągt;
7.
die in den Abs├Ątzen 3 und 4 aufgef├╝hrten Bedingungen f├╝r die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einh├Ąlt;
8.
alle gem├Ą├č ┬ž 64 erforderlichen Ma├čnahmen ergreift und
9.
unter Ber├╝cksichtigung der Art der Verarbeitung und der ihm zur Verf├╝gung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den ┬ž┬ž 64 bis 67 und ┬ž 69 genannten Pflichten unterst├╝tzt.

(6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.

(7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Versto├č gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

┬ž 63 Gemeinsam Verantwortliche

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. ²Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. ³Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegen├╝ber wem betroffene Personen ihre Rechte wahrnehmen k├Ânnen. Ôü┤Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegen├╝ber jedem der gemeinsam Verantwortlichen geltend zu machen.

┬ž 64 Anforderungen an die Sicherheit der Datenverarbeitung

(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Ber├╝cksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umst├Ąnde und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren f├╝r die Rechtsg├╝ter der betroffenen Personen die erforderlichen technischen und organisatorischen Ma├čnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gew├Ąhrleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. ²Der Verantwortliche hat hierbei die einschl├Ągigen Technischen Richtlinien und Empfehlungen des Bundesamtes f├╝r Sicherheit in der Informationstechnik zu ber├╝cksichtigen.

(2) Die in Absatz 1 genannten Ma├čnahmen k├Ânnen unter anderem die Pseudonymisierung und Verschl├╝sselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke m├Âglich sind. Die Ma├čnahmen nach Absatz 1 sollen dazu f├╝hren, dass

1.
die Vertraulichkeit, Integrit├Ąt, Verf├╝gbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
2.
die Verf├╝gbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden k├Ânnen.

(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Ma├čnahmen zu ergreifen, die Folgendes bezwecken:

1.
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgef├╝hrt wird, f├╝r Unbefugte (Zugangskontrolle),
2.
Verhinderung des unbefugten Lesens, Kopierens, Ver├Ąnderns oder L├Âschens von Datentr├Ągern (Datentr├Ągerkontrolle),
3.
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Ver├Ąnderung und L├Âschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4.
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Daten├╝bertragung durch Unbefugte (Benutzerkontrolle),
5.
Gew├Ąhrleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschlie├člich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6.
Gew├Ąhrleistung, dass ├╝berpr├╝ft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Daten├╝bertragung ├╝bermittelt oder zur Verf├╝gung gestellt wurden oder werden k├Ânnen (├ťbertragungskontrolle),
7.
Gew├Ąhrleistung, dass nachtr├Ąglich ├╝berpr├╝ft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder ver├Ąndert worden sind (Eingabekontrolle),
8.
Gew├Ąhrleistung, dass bei der ├ťbermittlung personenbezogener Daten sowie beim Transport von Datentr├Ągern die Vertraulichkeit und Integrit├Ąt der Daten gesch├╝tzt werden (Transportkontrolle),
9.
Gew├Ąhrleistung, dass eingesetzte Systeme im St├Ârungsfall wiederhergestellt werden k├Ânnen (Wiederherstellbarkeit),
10.
Gew├Ąhrleistung, dass alle Funktionen des Systems zur Verf├╝gung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverl├Ąssigkeit),
11.
Gew├Ąhrleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems besch├Ądigt werden k├Ânnen (Datenintegrit├Ąt),
12.
Gew├Ąhrleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden k├Ânnen (Auftragskontrolle),
13.
Gew├Ąhrleistung, dass personenbezogene Daten gegen Zerst├Ârung oder Verlust gesch├╝tzt sind (Verf├╝gbarkeitskontrolle),
14.
Gew├Ąhrleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden k├Ânnen (Trennbarkeit).
²Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschl├╝sselungsverfahren erreicht werden.

┬ž 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten

(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverz├╝glich und m├Âglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftragten zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr f├╝r die Rechtsg├╝ter nat├╝rlicher Personen mit sich gebracht hat. ²Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftragten nicht innerhalb von 72 Stunden, so ist die Verz├Âgerung zu begr├╝nden.

(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverz├╝glich dem Verantwortlichen zu melden.

(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:

1.
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit m├Âglich, Angaben zu den Kategorien und der ungef├Ąhren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungef├Ąhren Anzahl der betroffenen personenbezogenen Datens├Ątze zu enthalten hat,
2.
den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,
3.
eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
4.
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Ma├čnahmen zur Behandlung der Verletzung und der getroffenen Ma├čnahmen zur Abmilderung ihrer m├Âglichen nachteiligen Auswirkungen.

(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung ├╝bermittelt werden k├Ânnen, hat der Verantwortliche sie unverz├╝glich nachzureichen, sobald sie ihm vorliegen.

(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. ²Die Dokumentation hat alle mit den Vorf├Ąllen zusammenh├Ąngenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfema├čnahmen zu umfassen.

(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europ├Ąischen Union ├╝bermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverz├╝glich zu ├╝bermitteln.

(7) ┬ž 42 Absatz 4 findet entsprechende Anwendung.

(8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen ├╝ber Verletzungen des Schutzes personenbezogener Daten bleiben unber├╝hrt.

┬ž 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr f├╝r Rechtsg├╝ter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverz├╝glich ├╝ber den Vorfall zu benachrichtigen.

(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in ┬ž 65 Absatz 3 Nummer 2 bis 4 genannten Informationen und Ma├čnahmen zu enthalten.

(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn

1.
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere f├╝r Vorkehrungen wie Verschl├╝sselungen, durch die die Daten f├╝r unbefugte Personen unzug├Ąnglich gemacht wurden;
2.
der Verantwortliche durch im Anschluss an die Verletzung getroffene Ma├čnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht, oder
3.
dies mit einem unverh├Ąltnism├Ą├čigen Aufwand verbunden w├Ąre; in diesem Fall hat stattdessen eine ├Âffentliche Bekanntmachung oder eine ├Ąhnliche Ma├čnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffenen Personen ├╝ber eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Bundesbeauftragte f├Ârmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erf├╝llt sind. ²Hierbei hat sie oder er die Wahrscheinlichkeit zu ber├╝cksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat.

(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in ┬ž 56 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschr├Ąnkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 ├╝berwiegen.

(6) ┬ž 42 Absatz 4 findet entsprechende Anwendung.

┬ž 67 Durchf├╝hrung einer Datenschutz-Folgenabsch├Ątzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst├Ąnde und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr f├╝r die Rechtsg├╝ter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Absch├Ątzung der Folgen der vorgesehenen Verarbeitungsvorg├Ąnge f├╝r die betroffenen Personen durchzuf├╝hren.

(2) F├╝r die Untersuchung mehrerer ├Ąhnlicher Verarbeitungsvorg├Ąnge mit ├Ąhnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabsch├Ątzung vorgenommen werden.

(3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchf├╝hrung der Folgenabsch├Ątzung zu beteiligen.

(4) Die Folgenabsch├Ątzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:

1.
eine systematische Beschreibung der geplanten Verarbeitungsvorg├Ąnge und der Zwecke der Verarbeitung,
2.
eine Bewertung der Notwendigkeit und Verh├Ąltnism├Ą├čigkeit der Verarbeitungsvorg├Ąnge in Bezug auf deren Zweck,
3.
eine Bewertung der Gefahren f├╝r die Rechtsg├╝ter der betroffenen Personen und
4.
die Ma├čnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschlie├člich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.

(5) Soweit erforderlich, hat der Verantwortliche eine ├ťberpr├╝fung durchzuf├╝hren, ob die Verarbeitung den Ma├čgaben folgt, die sich aus der Folgenabsch├Ątzung ergeben haben.

┬ž 68 Zusammenarbeit mit der oder dem Bundesbeauftragten

Der Verantwortliche hat mit der oder dem Bundesbeauftragten bei der Erf├╝llung ihrer oder seiner Aufgaben zusammenzuarbeiten.

┬ž 69 Anh├Ârung der oder des Bundesbeauftragten

(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Bundesbeauftragte oder den Bundesbeauftragten anzuh├Âren, wenn

1.
aus einer Datenschutz-Folgenabsch├Ątzung nach ┬ž 67 hervorgeht, dass die Verarbeitung eine erhebliche Gefahr f├╝r die Rechtsg├╝ter der betroffenen Personen zur Folge h├Ątte, wenn der Verantwortliche keine Abhilfema├čnahmen treffen w├╝rde, oder
2.
die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr f├╝r die Rechtsg├╝ter der betroffenen Personen zur Folge hat.
²Die oder der Bundesbeauftragte kann eine Liste der Verarbeitungsvorg├Ąnge erstellen, die der Pflicht zur Anh├Ârung nach Satz 1 unterliegen.

(2) Der oder dem Bundesbeauftragten sind im Fall des Absatzes 1 vorzulegen:

1.
die nach ┬ž 67 durchgef├╝hrte Datenschutz-Folgenabsch├Ątzung,
2.
gegebenenfalls Angaben zu den jeweiligen Zust├Ąndigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
3.
Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,
4.
Angaben zu den zum Schutz der Rechtsg├╝ter der betroffenen Personen vorgesehenen Ma├čnahmen und Garantien und
5.
Name und Kontaktdaten der oder des Datenschutzbeauftragten.
²Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu ├╝bermitteln, die sie oder er ben├Âtigt, um die Rechtm├Ą├čigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbez├╝glichen Garantien bewerten zu k├Ânnen.

(3) Falls die oder der Bundesbeauftragte der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben versto├čen w├╝rde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfema├čnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anh├Ârung schriftliche Empfehlungen unterbreiten, welche Ma├čnahmen noch ergriffen werden sollten. ²Die oder der Bundesbeauftragte kann diese Frist um einen Monat verl├Ąngern, wenn die geplante Verarbeitung besonders komplex ist. ³Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anh├Ârung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter ├╝ber die Fristverl├Ąngerung zu informieren.

(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung f├╝r die Aufgabenerf├╝llung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anh├Ârung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist beginnen. ²In diesem Fall sind die Empfehlungen der oder des Bundesbeauftragten im Nachhinein zu ber├╝cksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.

┬ž 70 Verzeichnis von Verarbeitungst├Ątigkeiten

(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungst├Ątigkeiten zu f├╝hren, die in seine Zust├Ąndigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:

1.
den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,
2.
die Zwecke der Verarbeitung,
3.
die Kategorien von Empf├Ąngern, gegen├╝ber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
4.
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
5.
gegebenenfalls die Verwendung von Profiling,
6.
gegebenenfalls die Kategorien von ├ťbermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
7.
Angaben ├╝ber die Rechtsgrundlage der Verarbeitung,
8.
die vorgesehenen Fristen f├╝r die L├Âschung oder die ├ťberpr├╝fung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
9.
eine allgemeine Beschreibung der technischen und organisatorischen Ma├čnahmen gem├Ą├č ┬ž 64.

(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu f├╝hren, die er im Auftrag eines Verantwortlichen durchf├╝hrt, das Folgendes zu enthalten hat:

1.
den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter t├Ątig ist, sowie gegebenenfalls der oder des Datenschutzbeauftragten,
2.
gegebenenfalls ├ťbermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und
3.
eine allgemeine Beschreibung der technischen und organisatorischen Ma├čnahmen gem├Ą├č ┬ž 64.

(3) Die in den Abs├Ątzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu f├╝hren.

(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Bundesbeauftragten zur Verf├╝gung zu stellen.

┬ž 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

(1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel f├╝r die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrunds├Ątze wie etwa die Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen gesch├╝tzt werden. ²Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umst├Ąnde und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren f├╝r die Rechtsg├╝ter der betroffenen Personen zu ber├╝cksichtigen. ³Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie m├Âglich zu verarbeiten. Ôü┤Personenbezogene Daten sind zum fr├╝hestm├Âglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck m├Âglich ist.

(2) Der Verantwortliche hat geeignete technische und organisatorische Ma├čnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grunds├Ątzlich nur solche personenbezogenen Daten verarbeitet werden k├Ânnen, deren Verarbeitung f├╝r den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. ²Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zug├Ąnglichkeit. ³Die Ma├čnahmen m├╝ssen insbesondere gew├Ąhrleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zug├Ąnglich gemacht werden k├Ânnen.

┬ž 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie m├Âglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:
1.
Personen, gegen die ein begr├╝ndeter Verdacht besteht, dass sie eine Straftat begangen haben,
2.
Personen, gegen die ein begr├╝ndeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,
3.
verurteilte Straft├Ąter,
4.
Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein k├Ânnten, und
5.
andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.

┬ž 73 Unterscheidung zwischen Tatsachen und pers├Ânlichen Einsch├Ątzungen

Der Verantwortliche hat bei der Verarbeitung so weit wie m├Âglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf pers├Ânlichen Einsch├Ątzungen beruhen. ²Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung m├Âglich und angemessen ist, Beurteilungen, die auf pers├Ânlichen Einsch├Ątzungen beruhen, als solche kenntlich machen. ³Es muss au├čerdem feststellbar sein, welche Stelle die Unterlagen f├╝hrt, die der auf einer pers├Ânlichen Einsch├Ątzung beruhenden Beurteilung zugrunde liegen.

┬ž 74 Verfahren bei ├ťbermittlungen

(1) Der Verantwortliche hat angemessene Ma├čnahmen zu ergreifen, um zu gew├Ąhrleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht ├╝bermittelt oder sonst zur Verf├╝gung gestellt werden. ²Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand m├Âglich ist, die Qualit├Ąt der Daten vor ihrer ├ťbermittlung oder Bereitstellung zu ├╝berpr├╝fen. ³Bei jeder ├ťbermittlung personenbezogener Daten hat er zudem, soweit dies m├Âglich und angemessen ist, Informationen beizuf├╝gen, die es dem Empf├Ąnger gestatten, die Richtigkeit, die Vollst├Ąndigkeit und die Zuverl├Ąssigkeit der Daten sowie deren Aktualit├Ąt zu beurteilen.

(2) Gelten f├╝r die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Daten├╝bermittlungen die ├╝bermittelnde Stelle den Empf├Ąnger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. ²Die Hinweispflicht kann dadurch erf├╝llt werden, dass die Daten entsprechend markiert werden.

(3) Die ├╝bermittelnde Stelle darf auf Empf├Ąnger in anderen Mitgliedstaaten der Europ├Ąischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags ├╝ber die Arbeitsweise der Europ├Ąischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch f├╝r entsprechende innerstaatliche Daten├╝bermittlungen gelten.

┬ž 75 Berichtigung und L├Âschung personenbezogener Daten sowie Einschr├Ąnkung der Verarbeitung

(1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.

(2) Der Verantwortliche hat personenbezogene Daten unverz├╝glich zu l├Âschen, wenn ihre Verarbeitung unzul├Ąssig ist, sie zur Erf├╝llung einer rechtlichen Verpflichtung gel├Âscht werden m├╝ssen oder ihre Kenntnis f├╝r seine Aufgabenerf├╝llung nicht mehr erforderlich ist.

(3) ┬ž 58 Absatz 3 bis 5 ist entsprechend anzuwenden. ²Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtm├Ą├čig ├╝bermittelt worden, ist auch dies dem Empf├Ąnger mitzuteilen.

(4) Unbeschadet in Rechtsvorschriften festgesetzter H├Âchstspeicher- oder L├Âschfristen hat der Verantwortliche f├╝r die L├Âschung von personenbezogenen Daten oder eine regelm├Ą├čige ├ťberpr├╝fung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

┬ž 76 Protokollierung

(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorg├Ąnge zu protokollieren:

1.
Erhebung,
2.
Ver├Ąnderung,
3.
Abfrage,
4.
Offenlegung einschlie├člich ├ťbermittlung,
5.
Kombination und
6.
L├Âschung.

(2) Die Protokolle ├╝ber Abfragen und Offenlegungen m├╝ssen es erm├Âglichen, die Begr├╝ndung, das Datum und die Uhrzeit dieser Vorg├Ąnge und so weit wie m├Âglich die Identit├Ąt der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identit├Ąt des Empf├Ąngers der Daten festzustellen.

(3) Die Protokolle d├╝rfen ausschlie├člich f├╝r die ├ťberpr├╝fung der Rechtm├Ą├čigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie f├╝r die Eigen├╝berwachung, f├╝r die Gew├Ąhrleistung der Integrit├Ąt und Sicherheit der personenbezogenen Daten und f├╝r Strafverfahren verwendet werden.

(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu l├Âschen.

(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verf├╝gung zu stellen.

┬ž 77 Vertrauliche Meldung von Verst├Â├čen

Der Verantwortliche hat zu erm├Âglichen, dass ihm vertrauliche Meldungen ├╝ber in seinem Verantwortungsbereich erfolgende Verst├Â├če gegen Datenschutzvorschriften zugeleitet werden k├Ânnen.

Kapitel 5: Daten├╝bermittlungen an Drittstaaten und an internationale Organisationen

┬ž 78 Allgemeine Voraussetzungen

(1) Die ├ťbermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der ├╝brigen f├╝r Daten├╝bermittlungen geltenden Voraussetzungen zul├Ąssig, wenn

1.
die Stelle oder internationale Organisation f├╝r die in ┬ž 45 genannten Zwecke zust├Ąndig ist und
2.
die Europ├Ąische Kommission gem├Ą├č Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.

(2) Die ├ťbermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu ber├╝cksichtigenden ├Âffentlichen Interesses an der Daten├╝bermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empf├Ąnger nicht hinreichend gesichert ist oder sonst ├╝berwiegende schutzw├╝rdige Interessen einer betroffenen Person entgegenstehen. ²Bei seiner Beurteilung hat der Verantwortliche ma├čgeblich zu ber├╝cksichtigen, ob der Empf├Ąnger im Einzelfall einen angemessenen Schutz der ├╝bermittelten Daten garantiert.

(3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europ├Ąischen Union ├╝bermittelt oder zur Verf├╝gung gestellt wurden, nach Absatz 1 ├╝bermittelt werden sollen, muss diese ├ťbermittlung zuvor von der zust├Ąndigen Stelle des anderen Mitgliedstaats genehmigt werden. ²├ťbermittlungen ohne vorherige Genehmigung sind nur dann zul├Ąssig, wenn die ├ťbermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr f├╝r die ├Âffentliche Sicherheit eines Staates oder f├╝r die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. ³Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die f├╝r die Erteilung der Genehmigung zust├Ąndig gewesen w├Ąre, unverz├╝glich ├╝ber die ├ťbermittlung zu unterrichten.

(4) Der Verantwortliche, der Daten nach Absatz 1 ├╝bermittelt, hat durch geeignete Ma├čnahmen sicherzustellen, dass der Empf├Ąnger die ├╝bermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiter├╝bermittelt, wenn der Verantwortliche diese ├ťbermittlung zuvor genehmigt hat. ²Bei der Entscheidung ├╝ber die Erteilung der Genehmigung hat der Verantwortliche alle ma├čgeblichen Faktoren zu ber├╝cksichtigen, insbesondere die Schwere der Straftat, den Zweck der urspr├╝nglichen ├ťbermittlung und das in dem Drittstaat oder der internationalen Organisation, an das oder an die die Daten weiter├╝bermittelt werden sollen, bestehende Schutzniveau f├╝r personenbezogene Daten. ³Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte ├ťbermittlung an den anderen Drittstaat oder die andere internationale Organisation zul├Ąssig w├Ąre. Ôü┤Die Zust├Ąndigkeit f├╝r die Erteilung der Genehmigung kann auch abweichend geregelt werden.

┬ž 79 Daten├╝bermittlung bei geeigneten Garantien

(1) Liegt entgegen ┬ž 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine ├ťbermittlung bei Vorliegen der ├╝brigen Voraussetzungen des ┬ž 78 auch dann zul├Ąssig, wenn

1.
in einem rechtsverbindlichen Instrument geeignete Garantien f├╝r den Schutz personenbezogener Daten vorgesehen sind oder
2.
der Verantwortliche nach Beurteilung aller Umst├Ąnde, die bei der ├ťbermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien f├╝r den Schutz personenbezogener Daten bestehen.

(2) Der Verantwortliche hat ├ťbermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. ²Die Dokumentation hat den Zeitpunkt der ├ťbermittlung, die Identit├Ąt des Empf├Ąngers, den Grund der ├ťbermittlung und die ├╝bermittelten personenbezogenen Daten zu enthalten. ³Sie ist der oder dem Bundesbeauftragten auf Anforderung zur Verf├╝gung zu stellen.

(3) Der Verantwortliche hat die Bundesbeauftragte oder den Bundesbeauftragten zumindest j├Ąhrlich ├╝ber ├ťbermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. ²In der Unterrichtung kann er die Empf├Ąnger und die ├ťbermittlungszwecke angemessen kategorisieren.

┬ž 80 Daten├╝bermittlung ohne geeignete Garantien

(1) Liegt entgegen ┬ž 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des ┬ž 79 Absatz 1 vor, ist eine ├ťbermittlung bei Vorliegen der ├╝brigen Voraussetzungen des ┬ž 78 auch dann zul├Ąssig, wenn die ├ťbermittlung erforderlich ist

1.
zum Schutz lebenswichtiger Interessen einer nat├╝rlichen Person,
2.
zur Wahrung berechtigter Interessen der betroffenen Person,
3.
zur Abwehr einer gegenw├Ąrtigen und erheblichen Gefahr f├╝r die ├Âffentliche Sicherheit eines Staates,
4.
im Einzelfall f├╝r die in ┬ž 45 genannten Zwecke oder
5.
im Einzelfall zur Geltendmachung, Aus├╝bung oder Verteidigung von Rechtsanspr├╝chen im Zusammenhang mit den in ┬ž 45 genannten Zwecken.

(2) Der Verantwortliche hat von einer ├ťbermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das ├Âffentliche Interesse an der ├ťbermittlung ├╝berwiegen.

(3) F├╝r ├ťbermittlungen nach Absatz 1 gilt ┬ž 79 Absatz 2 entsprechend.

┬ž 81 Sonstige Daten├╝bermittlung an Empf├Ąnger in Drittstaaten

(1) Verantwortliche k├Ânnen bei Vorliegen der ├╝brigen f├╝r die Daten├╝bermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in ┬ž 78 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten ├╝bermitteln, wenn die ├ťbermittlung f├╝r die Erf├╝llung ihrer Aufgaben unbedingt erforderlich ist und

1.
im konkreten Fall keine Grundrechte der betroffenen Person das ├Âffentliche Interesse an einer ├ťbermittlung ├╝berwiegen,
2.
die ├ťbermittlung an die in ┬ž 78 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet w├Ąre, insbesondere weil sie nicht rechtzeitig durchgef├╝hrt werden kann, und
3.
der Verantwortliche dem Empf├Ąnger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die ├╝bermittelten Daten nur in dem Umfang verarbeitet werden d├╝rfen, in dem ihre Verarbeitung f├╝r diese Zwecke erforderlich ist.

(2) Im Fall des Absatzes 1 hat der Verantwortliche die in ┬ž 78 Absatz 1 Nummer 1 genannten Stellen unverz├╝glich ├╝ber die ├ťbermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.

(3) F├╝r ├ťbermittlungen nach Absatz 1 gilt ┬ž 79 Absatz 2 und 3 entsprechend.

(4) Bei ├ťbermittlungen nach Absatz 1 hat der Verantwortliche den Empf├Ąnger zu verpflichten, die ├╝bermittelten personenbezogenen Daten ohne seine Zustimmung nur f├╝r den Zweck zu verarbeiten, f├╝r den sie ├╝bermittelt worden sind.

(5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unber├╝hrt.

Kapitel 6: Zusammenarbeit der Aufsichtsbeh├Ârden

┬ž 82 Gegenseitige Amtshilfe

(1) Die oder der Bundesbeauftragte hat den Datenschutzaufsichtsbeh├Ârden in anderen Mitgliedstaaten der Europ├Ąischen Union Informationen zu ├╝bermitteln und Amtshilfe zu leisten, soweit dies f├╝r eine einheitliche Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. ²Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene Ma├čnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme von Nachpr├╝fungen und Untersuchungen.

(2) Die oder der Bundesbeauftragte hat alle geeigneten Ma├čnahmen zu ergreifen, um Amtshilfeersuchen unverz├╝glich und sp├Ątestens innerhalb eines Monats nach deren Eingang nachzukommen.

(3) Die oder der Bundesbeauftragte darf Amtshilfeersuchen nur ablehnen, wenn

1.
sie oder er f├╝r den Gegenstand des Ersuchens oder f├╝r die Ma├čnahmen, die sie oder er durchf├╝hren soll, nicht zust├Ąndig ist oder
2.
ein Eingehen auf das Ersuchen gegen Rechtsvorschriften versto├čen w├╝rde.

(4) Die oder der Bundesbeauftragte hat die ersuchende Aufsichtsbeh├Ârde des anderen Staates ├╝ber die Ergebnisse oder gegebenenfalls ├╝ber den Fortgang der Ma├čnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. ²Sie oder er hat im Fall des Absatzes 3 die Gr├╝nde f├╝r die Ablehnung des Ersuchens zu erl├Ąutern.

(5) Die oder der Bundesbeauftragte hat die Informationen, um die sie oder er von der Aufsichtsbeh├Ârde des anderen Staates ersucht wurde, in der Regel elektronisch und in einem standardisierten Format zu ├╝bermitteln.

(6) Die oder der Bundesbeauftragte hat Amtshilfeersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbeh├Ârde des anderen Staates die Erstattung entstandener Ausgaben vereinbart hat.

(7) Ein Amtshilfeersuchen der oder des Bundesbeauftragten hat alle erforderlichen Informationen zu enthalten; hierzu geh├Âren insbesondere der Zweck und die Begr├╝ndung des Ersuchens. ²Die auf das Ersuchen ├╝bermittelten Informationen d├╝rfen ausschlie├člich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.

Kapitel 7: Haftung und Sanktionen

┬ž 83 Schadensersatz und Entsch├Ądigung

(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugef├╝gt, ist er oder sein Rechtstr├Ąger der betroffenen Person zum Schadensersatz verpflichtet. ²Die Ersatzpflicht entf├Ąllt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zur├╝ckzuf├╝hren ist.

(2) Wegen eines Schadens, der nicht Verm├Âgensschaden ist, kann die betroffene Person eine angemessene Entsch├Ądigung in Geld verlangen.

(3) L├Ąsst sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtstr├Ąger.

(4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist ┬ž 254 des B├╝rgerlichen Gesetzbuchs entsprechend anzuwenden.

(5) Auf die Verj├Ąhrung finden die f├╝r unerlaubte Handlungen geltenden Verj├Ąhrungsvorschriften des B├╝rgerlichen Gesetzbuchs entsprechende Anwendung.

┬ž 84 Strafvorschriften

F├╝r Verarbeitungen personenbezogener Daten durch ├Âffentliche Stellen im Rahmen von T├Ątigkeiten nach ┬ž 45 Satz 1, 3 oder 4 findet ┬ž 42 entsprechende Anwendung.

Teil 4: Besondere Bestimmungen f├╝r Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten

┬ž 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungs- bereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten

(1) Die ├ťbermittlung personenbezogener Daten an einen Drittstaat oder an ├╝ber- oder zwischenstaatliche Stellen oder internationale Organisationen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten ist ├╝ber die bereits gem├Ą├č der Verordnung (EU) 2016/679 zul├Ąssigen F├Ąlle hinaus auch dann zul├Ąssig, wenn sie zur Erf├╝llung eigener Aufgaben aus zwingenden Gr├╝nden der Verteidigung oder zur Erf├╝llung ├╝ber- oder zwischenstaatlicher Verpflichtungen einer ├Âffentlichen Stelle des Bundes auf dem Gebiet der Krisenbew├Ąltigung oder Konfliktverhinderung oder f├╝r humanit├Ąre Ma├čnahmen erforderlich ist. ²Der Empf├Ąnger ist darauf hinzuweisen, dass die ├╝bermittelten Daten nur zu dem Zweck verwendet werden d├╝rfen, zu dem sie ├╝bermittelt wurden.

(2) F├╝r Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten durch Dienststellen im Gesch├Ąftsbereich des Bundesministeriums der Verteidigung gilt ┬ž 16 Absatz 4 nicht, soweit das Bundesministerium der Verteidigung im Einzelfall feststellt, dass die Erf├╝llung der dort genannten Pflichten die Sicherheit des Bundes gef├Ąhrden w├╝rde.

(3) F├╝r Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden T├Ątigkeiten durch ├Âffentliche Stellen des Bundes besteht keine Informationspflicht gem├Ą├č Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679, wenn

1.
es sich um F├Ąlle des ┬ž 32 Absatz 1 Nummer 1 bis 3 handelt oder
2.
durch ihre Erf├╝llung Informationen offenbart w├╝rden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der ├╝berwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m├╝ssen, und deswegen das Interesse der betroffenen Person an der Erteilung der Information zur├╝cktreten muss.
²Ist die betroffene Person in den F├Ąllen des Satzes 1 nicht zu informieren, besteht auch kein Recht auf Auskunft. ³┬ž 32 Absatz 2 und ┬ž 33 Absatz 2 finden keine Anwendung.

┬ž 86 Verarbeitung personenbezogener Daten f├╝r Zwecke staatlicher Auszeichnungen und Ehrungen

(1) Zur Vorbereitung und Durchf├╝hrung staatlicher Verfahren bei Auszeichnungen und Ehrungen d├╝rfen sowohl die zust├Ąndigen als auch andere ├Âffentliche und nicht├Âffentliche Stellen die dazu erforderlichen personenbezogenen Daten, einschlie├člich besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679, auch ohne Kenntnis der betroffenen Person verarbeiten. ²F├╝r nicht├Âffentliche Stellen gilt insoweit ┬ž 1 Absatz 8 entsprechend. ³Eine Verarbeitung der personenbezogenen Daten nach Satz 1 f├╝r andere Zwecke ist nur mit Einwilligung der betroffenen Person zul├Ąssig.

(2) Soweit eine Verarbeitung ausschlie├člich f├╝r die in Absatz 1 Satz 1 genannten Zwecke erfolgt, sind die Artikel 13 bis 16, 19 und 21 der Verordnung (EU) 2016/679 nicht anzuwenden.

(3) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sieht der Verantwortliche angemessene und spezifische Ma├čnahmen zur Wahrung der Rechte der betroffenen Person gem├Ą├č ┬ž 22 Absatz 2 vor.

© freiRecht.deQuelle: gesetze-im-internet.de