| LDSG |
|
außer Kraft!
Landesdatenschutzgesetz - LDSG -
Schleswig-Holsteinisches Gesetz
zum Schutz personenbezogener Informationen
Vom 30. Oktober 1991
GS Schl.-H. II, Gl.Nr. 204-2
zuletzt geändert am 13. März 1996
GVOBl. Schl.-H. S. 300
Inhaltsübersicht
Abschnitt I: Allgemeine Grundsätze
§ 1 Gesetzeszweck
§ 2 Begriffsbestimmungen
§ 3 Anwendungsbereich
§ 4 Verarbeitung personenbezogener Daten im Auftrag
§ 5 Allgemeine Regelungen über die Zulässigkeit der Datenverarbeitung
§ 6 Datengeheimnis
§ 7 Technische und organisatorische Maßnahmen
§ 8 Dateibeschreibung, Geräteverzeichnis
Abschnitt II: Zulässigkeit der
Datenverarbeitung
§ 9 Zweckbindung
§ 10 Erheben
§ 11 Speichern
§ 12 Datenübermittlung innerhalb des öffentlichen Bereichs
§ 13 Datenübermittlung an öffentlich-rechtliche Religionsgemeinschaften
§ 14 Automatisierte Übermittlungsverfahren
§ 15 Datenübermittlung an Stellen außerhalb des öffentlichen Rechts
§ 16 Datenübermittlung an ausländische Stellen
Abschnitt III: Rechte der Betroffenen
§ 17 Rechte der Betroffenen
§ 18 Auskunft an Betroffene
§ 19 Berichtigung, Sperrung, Löschung
§ 20 Nachberichtspflicht
§ 21 Schadensersatz
Abschnitt IV: Die oder der Landesbeauftragte für den
Datenschutz
§ 22 Berufung und Rechtsstellung
§ 23 Aufgaben
§ 24 Dateienübersicht
§ 25 Beanstandungen
§ 26 Anrufung der oder des Landesbeauftragten für den Datenschutz
§ 27 Durchführung der Kontrolle
Abschnitt V: Besondere Regelungen
§ 28 Datenverarbeitung für wissenschaftliche Zwecke
§ 29 Öffentliche Auszeichnungen
§ 29a Besondere Dokumentationsstelle
§ 30 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
§ 31 Fernmessen und Fernwirken
§ 32 Video-Überwachung und -Aufzeichnung
Abschnitt VI: Übergangs- und
Schlußvorschriften
§ 33 Straftaten
§ 34 Ordnungswidrigkeiten
§ 35 Übergangsvorschriften
§ 36 Inkrafttreten
Der Landtag hat folgendes Gesetz beschlossen:
Abschnitt I
Allgemeine Grundsätze
§ 1 Gesetzeszweck
Dieses Gesetz regelt die Verarbeitung personenbezogener Informationen (Daten)
durch öffentliche Stellen, um das Recht der Betroffenen zu gewährleisten,
grundsätzlich selbst über die Preisgabe und Verwendung ihrer Daten zu
bestimmen (informationelles Selbstbestimmungsrecht).
§ 2 Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffene
oder Betroffener).
(2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln,
Nutzen, Sperren, Anonymisieren sowie Löschen personenbezogener Daten. Im
einzelnen ist
1. Erheben das Beschaffen von Daten,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf
Datenträgern,
3. Verändern das inhaltliche Umgestalten gespeicherter Daten,
4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, daß die
Daten durch die datenverarbeitende Stelle weitergegeben
werden oder daß Dritte Kenntnis nehmen oder zum Abruf bereitgehaltene Daten
abrufen,
5. Nutzen jede sonstige Verwendung von Daten,
6. Sperren das Untersagen weiterer Verarbeitung gespeicherter Daten,
7. Anonymisieren das Verändern von Daten in der Weise, daß Einzelangaben über
persönliche oder sachliche Verhältnisse durch die
datenverarbeitende Stelle nicht mehr einer bestimmten oder bestimmbaren
natürlichen Person zugeordnet werden können,
8. Löschen das Unkenntlichmachen gespeicherter Daten, ungeachtet der dabei
angewendeten Verfahren.
(3) Datenverarbeitende Stelle ist jede öffentliche Stelle im Sinne von § 3
Abs. 1, die personenbezogene Daten für sich selbst verarbeitet oder durch
andere verarbeiten läßt.
(4) Dritte sind Personen oder Stellen außerhalb der datenverarbeitenden Stelle,
ausgenommen Betroffene und diejenigen Personen oder Stellen, die im Auftrag für
die datenverarbeitende Stelle im Geltungsbereich des Grundgesetzes tätig
werden.
(5) Eine Datei ist
1. eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet
werden kann (automatisierte Datei), oder
2. eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen
geordnet und ausgewertet werden kann (nichtautomatisierte Datei).
(6) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende
Unterlage; dazu zählen auch Bild- und Tonträger. Nicht hierunter zählen
Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und
alsbald vernichtet werden; diese Unterlagen sind gegen den Zugriff Unbefugter zu
schützen.
§ 3 Anwendungsbereich
(1) Die Vorschriften dieses Gesetzes gelten für Behörden und sonstige
öffentliche Stellen der im Landesverwaltungsgesetz genannten Träger der
öffentlichen Verwaltung (öffentliche Stellen), auch wenn diese Bundesrecht
ausführen.
(2) Für öffentlich-rechtliche, der Aufsicht des Landes unterstehende
Unternehmen mit eigener Rechtspersönlichkeit, die am Wettbewerb teilnehmen,
gilt von diesem Gesetz nur Abschnitt V. Im übrigen gelten für sie die
Vorschriften des Bundesdatenschutzgesetzes für nichtöffentliche Stellen.
(3) Absatz 2 gilt nicht für die Datenzentrale Schleswig-Holstein.
(4) Für Begnadigungsverfahren findet dieses Gesetz keine Anwendung.
(5) Für öffentlich-rechtliche Rundfunkanstalten gilt das Recht des jeweiligen
Sitzlandes.
(6) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten
regeln, gehen sie den Vorschriften dieses Gesetzes vor.
§ 4 Verarbeitung personenbezogener Daten im Auftrag
(1) Läßt eine datenverarbeitende Stelle personenbezogene Daten in ihrem
Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses
Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte
der Betroffenen sind ihr gegenüber geltend zu machen.
(2) Die datenverarbeitende Stelle hat dafür Sorge zutragen, daß
personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat
Auftragnehmende unter besonderer Berücksichtigung ihrer Eignung für die
Gewährleistung der nach § 7 notwendigen technischen und organisatorischen
Maßnahmen sorgfältig auszuwählen; dabei sind die erhöhten Anforderungen bei
der Verarbeitung von Daten, die besonderen Amts- oder Berufsgeheimnissen
unterliegen, zu beachten.
Aufträge, ergänzende Weisungen zu technischen und organisatorischen Maßnahmen
und die etwaige Zulässigkeit von Unterauftragsverhältnissen sind schriftlich
festzulegen.
(3) Sofern die Vorschriften dieses Gesetzes auf Auftragnehmende keine Anwendung
finden, hat die datenverarbeitende Stelle diese zu verpflichten, jederzeit von
ihr veranlaßte Kontrollen zu ermöglichen.
(4) Öffentliche Stellen sowie öffentlich-rechtliche Unternehmen dürfen
personenbezogene Daten als Auftragnehmende nur im Rahmen der Weisungen der
Auftraggebenden verarbeiten.
§ 5 Allgemeine Regelungen über die Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung von Daten ist nur zulässig, wenn
1. die oder der Betroffene eingewilligt hat oder
2. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt.
(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer
Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit
anderen Erklärungen schriftlich erteilt werden, ist die oder der Betroffene auf
die Einwilligungserklärung schriftlich besonders hinzuweisen.
(3) Die oder der Betroffene ist in geeigneter Weise über die Bedeutung der
Einwilligung, insbesondere über den Verwendungszweck der Daten und bei
beabsichtigter Übermittlung auch über den Empfängerkreis der Daten
aufzuklären. Dabei ist unter Darlegung der Rechtsfolgen darauf hinzuweisen,
daß die Einwilligung verweigert und mit Wirkung für die Zukunft widerrufen
werden kann.
§ 6 Datengeheimnis
Den Personen, die bei öffentlichen Stellen oder bei den von ihnen Beauftragten
dienstlichen Zugang zu personenenbezogenen Daten haben, ist es untersagt, solche
Daten zu einem anderen als dem zu jeweiligen rechtmäßigen Aufgabenerfüllung
gehörenden Zweck zu verarbeiten oder zu offenbaren; dies gilt auch nach
Beendigung ihrer Tätigkeit. Diese Personen sind über die bei ihrer Tätigkeit
zu beachtenden Vorschriften über den Datenschutz zu unterrichten und bei
automatisierter Verarbeitung in geeigneter Weise zu schulen.
§ 7 Technische und organisatorische Maßnahmen
(1) Die öffentlichen Stellen haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich und angemessen sind, um die Ausführung
der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den
Datenschutz zu gewährleisten.
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu
treffen, die je nach Art der zu schützenden personenbezogenen Daten und ihrer
Verwendung geeignet sind,
1. Unbefugten den Zugang zu den Datenverarbeitungsanlagen zu verwehren
(Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert,
gelöscht oder entwendet werden können (Datenträgerkontrolle),
3. die unbefugte Speicherung sowie die unbefugte Kenntnisnahme, Veränderung
oder Löschung gespeicherter personenbezogener Daten zu verhindern
(Speicherkontrolle),
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung durch Unbefugte benutzt werden (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf ihrer Zugriffsberechtigung unterliegende
personenbezogene Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an wen wann
und welche personenbezogenen Daten übermittelt worden sind
(Übermittlungskontrolle); bei automatisierten Übermittlungsverfahren sind
zumindest geeignete Stichprobenkontrollen vorzusehen,
7. zu gewährleisten, daß überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme
eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet
werden, nur entsprechend den Weisungen des oder der Auftraggebenden verarbeitet
werden können (Auftragskontrolle) und
9. zu gewährleisten, daß bei der Übertragung personenbezogener Daten sowie
beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert,
verändert, gelöscht oder entwendet werden können (Transportkontrolle).
(3) Werden personenbezogene Daten in nichtautomatisierten Dateien oder in Akten
verarbeitet, sind die Maßnahmen nach Absatz 1 zu treffen, um insbesondere die
nach Absatz 2 Nr. 1, 2, 6 und 9 erforderlichen Kontrollen zu gewährleisten.
(4) Die Landesregierung regelt durch Verordnung die Einzelheiten einer
ordnungsgemäßen automatisierten Datenverarbeitung durch öffentliche Stellen.
Dabei sind insbesondere die in Absatz 2 genannten Maßnahmen nach dem
Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen
fortzuschreiben und Anforderungen an Verfahren sowie die Dokumentation und deren
Aufbewahrungsfristen festzulegen. Die oder der Landesbeauftragte für den
Datenschutz ist zu beteiligen.
§ 8 Dateibeschreibung, Geräteverzeichnis
(1) Die datenverarbeitende Stelle ist verpflichtet, für die in einer Datei
gespeicherten Daten eine Dateibeschreibung zu erstellen.
Sie enthält folgende Angaben
1. die Bezeichnung der Datei,
2. die Bezeichnung der Daten,
3. die Rechtsgrundlage und den Zweck der Speicherung,
4. den Kreis der Betroffenen,
5. die regelmäßige Herkunft der Daten sowie den möglichen Empfängerkreis,
6. die Fristen für die Sperrung und Löschung der Daten.
Dies gilt nicht für Dateien, die bei automatisierter Verarbeitung
ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt
werden. Die Dateibeschreibung ist bei Aufnahmen der Verarbeitung der oder dem
Landesbeauftragten für den Datenschutz zu übersenden. Änderungen sind ihr
oder ihm umgehend mitzuteilen.
(2) Bei automatisierter Verarbeitung ist die datenverarbeitende Stelle
verpflichtet, in einem Verzeichnis zu dokumentieren:
1. den Standort, Typ und die Art der Geräte, mit denen die Daten verarbeitet
werden,
2. die Herstellerfirma der Geräte,
3. das verwendete Betriebssystem,
4. die verwendeten Programme,
5. die technischen und organisatorischen Maßnahmen nach § 7.
Soweit die Verarbeitung im Auftrag erfolgt, kann das Geräteverzeichnis beim
Auftragnehmer geführt werden.
(3) Die datenverarbeitenden Stellen und die öffentlichen Stellen, die im
Auftrag für andere öffentliche Stellen personenbezogene Daten verarbeiten,
haben die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu
überwachen.
Abschnitt II
Zulässigkeit der Datenverarbeitung
§ 9 Zweckbindung
(1) Personenbezogene Daten dürfen nur für den Zweck weiterverarbeitet werden,
für den sie erhoben worden sind. Daten, von denen die öffentliche Stelle ohne
Erhebung Kenntnis erlangt hat, dürfen nur für die Zwecke weiterverarbeitet
werden, für die sie erstmals gespeichert worden sind.
(2) Die Verarbeitung für andere Zwecke ist ohne Einwilligung der oder des
Betroffenen nur zulässig, wenn
1. eine Rechtsvorschrift dies erlaubt oder im Einzelfall zwingend voraussetzt,
2. die Abwehr erheblicher Nachteile für das Allgemeinwohl der von Gefahren für
Leben, Gesundheit oder persönliche Freiheit dies gebietet,
3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für
Straftaten oder Ordnungswidrigkeiten ergeben, zu deren Verfolgung die
Unterrichtung der zuständigen Behörde geboten ist,
4. offensichtlich ist, daß die Verarbeitung im Interesse der oder des
Betroffenen liegt und sie oder er in Kenntnis des anderen Zwecks die
Einwilligung erteilen würde oder
5. die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen sind oder
die öffentliche Stelle sie veröffentlichen dürfte und kein Grund zu der
Annahme besteht, daß schutzwürdige Belange der oder des Betroffenen
beeinträchtigt werden.
(3) Für personenbezogene Daten, die
1. von der oder dem Betroffenen freiwillig für einen bestimmten Zweck zur
Verfügung gestellt wurden und die von der öffentlichen Stelle
nur mit ihrer oder seiner Einwilligung erhoben werden dürften,
2. im Rahmen eines Vertragsverhältnisses offenbart werden oder
3. einem besonderen Amts- oder Berufsgeheimnis unterliegen und von der zur
Verschwiegenheit verpflichteten Person in Ausübung ihrer Amts- oder
Berufspflicht der datenverarbeitenden Stelle übermittelt worden sind, findet
Absatz 2 Nr. 2 bis 4 keine Anwendung.
(4) Die Verarbeitung der Daten zur Ausübung von Aufsichts- und
Kontrollbefugnissen sowie zur Rechnungsprüfung gilt nicht als Verarbeitung für
andere Zwecke. Die Verarbeitung zu Ausbildungs- und Prüfungszwecken ist
zulässig, soweit berechtigte Interessen der oder des Betroffenen an der
Geheimhaltung der Daten nicht überwiegen.
(5) Personenbezogene Daten, die ausschließlich zu Zwecken der
Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des
ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden,
dürfen nicht für andere Zwecke verwendet werden.
§ 10 Erheben
(1) Personenbezogene Daten dürfen nur erhoben werden, wenn ihre Kenntnis zur
rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist
und die Daten ohne Verstoß gegen Rechtsvorschriften offenbart werden können.
(2) Grundsätzlich sind personenbezogene Daten bei Betroffenen mit ihrer
Kenntnis zu erheben. Betroffene sind in geeigneter Weise über den Zweck der
Datenerhebung, die beabsichtigte Art der Weiterverarbeitung und bei
beabsichtigten Übermittlungen auch über den Empfängerkreis aufzuklären.
Werden die Daten aufgrund einer durch Rechtsvorschrift festgelegten
Auskunftspflicht erhoben, so sind Betroffene auf die Rechtsgrundlage, sonst auf
die Freiwilligkeit der Angaben hinzuweisen. Sind die Angaben für die Gewährung
einer Leistung erforderlich, so sind Betroffene über die möglichen Folgen
einer Nichtbeantwortung aufzuklären.
(3) Werden personenbezogene Daten mit Einwilligung der Betroffenen bei anderen
Personen sowie nichtöffentlichen Stellen erhoben, so sind diese auf Verlangen
über den Verwendungszweck aufzuklären.
(4) Ohne Kenntnis der Betroffenen dürfen personenbezogene Daten nur erhoben
werden, wenn die Voraussetzungen des § 9 Abs. 2 Nr. 1, 2 oder 4 vorliegen.
Sobald die rechtmäßige Erfüllung der Aufgaben dadurch nicht gefährdet wird
und soweit Rechtsvorschriften nicht entgegenstehen, sind Betroffene über die
Erhebung, die Rechtsgrundlage und den Zweck der Erhebung sowie bei
Übermittlungen auch über den Empfängerkreis der Daten aufzuklären.
§ 11 Speichern
(1) Das Speichern personenbezogener Daten ist zulässig, wenn sie rechtmäßig
erhoben wurden. Daten, von denen die öffentliche Stelle ohne Erhebung Kenntnis
erlangt hat, dürfen gespeichert werden, wenn es zur rechtmäßigen
Aufgabenerfüllung der öffentlichen Stelle erforderlich ist. Mit der
Speicherung ist sicherzustellen, daß die Herkunft der Daten nachvollziehbar
ist..
(2) Sollen personenbezogene Daten ausschließlich in automatisierten Dateien
gespeichert werden, ist sicherzustellen, daß
1. die Programme oder Merkmale, mit denen alle gespeicherten Daten lesbar
gemacht werden können, verfügbar sind,
2. jederzeit die Herkunft der Daten und der Zweck ihrer Speicherung festgestellt
werden kann und
3. die Sperrungs- und Löschungsfristen festgestellt werden können.
§ 12 Datenübermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist
zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben der
übermittelnden oder der empfangenden Stelle erforderlich ist und die
Voraussetzungen des § 9 erfüllt sind.
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden
dürfen, weitere personenbezogene Daten der oder des Betroffenen oder von
Dritten in Akten so verbunden, daß eine Trennung nicht oder nur mit
unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten
zulässig, soweit kein Grund zu der Annahme besteht, daß dadurch schutzwürdige
Belange der oder des Betroffenen oder von Dritten beeinträchtigt werden. Die
weitere Verarbeitung dieser Daten durch die empfangende Stelle ist unzulässig.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die
übermittelnde Stelle. Erfolgt die Übermittlung zur Erfüllung von Aufgaben der
empfangenden Stelle, so trägt auch diese die Verantwortung für die
Rechtmäßigkeit der Übermittlung und hat sicherzustellen, daß die
Erforderlichkeit nachgeprüft werden kann. Die übermittelnde Stelle hat in
diesem Fall die Zuständigkeit der empfangenden Stelle und die Schlüssigkeit
der Anfrage zu überprüfen. Bestehen im Einzelfall Zweifel an der
Schlüssigkeit, so hat sie darüber hinaus die Erforderlichkeit zu überprüfen.
Die empfangende Stelle hat der übermittelnden Stelle die für ihre Prüfung
erforderlichen Angaben zu machen.
(4) Werden Daten innerhalb einer datenverarbeitenden Stelle zu einem anderen
Zweck weitergegeben, als dem nach § 9 Abs. 1, so ist dieses zu dokumentieren.
§ 13 Datenübermittlung an öffentlich-rechtliche Religionsgesellschaften
Für die Übermittlung personenbezogener Daten an Stellen der
öffentlich-rechtlichen Religionsgesellschaften gilt § 12 entsprechend. Sie ist
nur zulässig, wenn sichergestellt ist, daß bei der empfangenden Stelle
ausreichende Maßnahmen zum Schutz personenbezogener Daten getroffen sind. Diese
Feststellung trifft die Innenministerin oder der Innenminister für die
einzelnen öffentlich-rechtlichen Religionsgesellschaften im Benehmen mit der
oder dem Landesbeauftragten für den Datenschutz.
§ 14 Automatisierte Übermittlungsverfahren
(1) Automatisierte Verfahren, die eine Übermittlung personenbezogener Daten
ohne vorherige Prüfung des Einzelfalles durch die übermittelnde Stelle
ermöglichen (automatisierte Übermittlungsverfahren), dürfen nur eingerichtet
werden, wenn
1. die Einrichtung unter Berücksichtigung des informationellen
Selbstbestimmungsrechts der Betroffenen angemessen ist,
2. technisch sichergestellt ist, daß dem berechtigten Empfängerkreis nur die
zur Erfüllung seiner Aufgaben erforderlichen Daten übermittelt werden können
und
3. bei der übermittelnden und bei der empfangenden Stelle angemessene
Maßnahmen zur Kontrolle der rechtmäßigen Verarbeitung der Daten getroffen
sind, wobei die Möglichkeit bestehen muß, die Rechtmäßigkeit von einzelnen
Übermittlungen zumindest durch geeignete Stichproben zu kontrollieren.
Die Voraussetzungen und Einzelheiten für die Einrichtung und Kontrolle
automatisierter Übermittlungsverfahren regelt die Landesregierung in jedem
Einzelfall durch Verordnung. Von der Einrichtung automatisierter
Übermittlungsverfahren ist die oder der Landesbeauftragte für den Datenschutz
zu unterrichten.
(2) Automatisierte Übermittlungsverfahren an Stellen außerhalb des
öffentlichen Bereichs dürfen nur eingerichtet werden, wenn sichergestellt ist,
daß die Betroffenen über den möglichen Empfängerkreis aufgeklärt werden und
über die Aufnahme bestimmter Daten zu ihrer Person in den Datenbestand des
Übermittlungsverfahrens frei entscheiden können.
(3) Die Absätze 1 und 2 gelten nicht für Daten, die jedermann ohne oder nach
besonderer Zulassung zur Nutzung offenstehen oder deren Veröffentlichung
zulässig wäre.
§ 15 Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an Stellen außerhalb des
öffentlichen Bereichs ist zulässig, wenn
1. die Verarbeitungsvoraussetzungen des § 9 vorliegen oder
2. von diesen ein rechtliches Interesses an der Kenntnis der zu übermittelnden
Daten glaubhaft gemacht wird und kein Grund zu der Annahme besteht, daß
schutzwürdige Belange der oder des Betroffenen überwiegen. Besondere Amts-
oder Berufsgeheimnisse bleiben unberührt.
(2) Die übermittelnde Stelle hat die empfangende Stelle zu verpflichten, die
Daten nur zu dem Zweck zu verwenden, zu dem sie ihr übermittelt wurden.
§ 16 Datenübermittlung an ausländische Stellen
Eine Übermittlung personenbezogener Daten an ausländische Stellen sowie an
über- und zwischenstaatliche Stellen ist nach Maßgabe der diese Übermittlung
regelnden Gesetze zulässig. Darüber hinaus ist eine Übermittlung auch
zulässig, wenn die Verarbeitungsvoraussetzungen des § 9 vorliegen und die
zuständige oberste Aufsichtsbehörde festgestellt hat, daß für die
empfangende Stelle bei automatisierter Verarbeitung gleichwertige
Datenschutzregelungen gelten. Die Übermittlung unterbleibt, wenn Grund zu der
Annahme besteht, daß dadurch gegen den Zweck eines Gesetzes im Geltungsbereich
des Grundgesetzes verstoßen würde.
Abschnitt III
Rechte der Betroffenen
§ 17 Rechte der Betroffenen
(1) Betroffene haben nach Maßgabe dieses Gesetzes ein Recht auf
1. Auskunft über die zu ihrer Person gespeicherten Daten (§ 18),
2. Berichtigung und Ergänzung, Löschung oder Sperrung der zu ihrer Person
gespeicherten Daten (§ 19),
3. Schadensersatz (§ 21),
4. Anrufung der oder des Landesbeauftragten für den Datenschutz (§ 26).
(2) Die in Absatz 1 genannten Rechte der Betroffenen können nicht durch
Rechtsgeschäft ausgeschlossen oder beschränkt werden.
§ 18 Auskunft an Betroffene
(1) Den Betroffenen ist von der datenverarbeitenden Stelle auf Antrag
gebührenfrei Auskunft zu erteilen über
1. die zu ihrer Person gespeicherten Daten
2. den Zweck und die Rechtsgrundlage der Speicherung und
3. die Herkunft der Daten und den Empfängerkreis von Übermittlungen sowie die
Teilnehmenden an automatisierten Übermittlungsverfahren,auch soweit diese
Angaben nicht suchfähig unter ihrer Person geführt werden, aber mit
vertretbarem Aufwand festgestellt werden können. Die Betroffenen sollen die Art
der personenbezogenen Daten, über die Auskunft verlangt wird, näher
bezeichnen. Satz 1 gilt nicht, wenn in zeitlicher Nähe eine Auskunft bereits
erteilt wurde und die gespeicherten Daten sich nicht geändert haben.
(2) Für gesperrte personenbezogene Daten, die nur deshalb nicht gespeichert
sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden
dürfen, gilt die Verpflichtung zur Auskunftserteilung nur, wenn Betroffene ein
berechtigtes Interesse an diesen Daten darlegen.
(3) Sind personenbezogene Daten in Akten oder nichtautomatisierten Dateien
gespeichert, kann Betroffenen auch Einsicht in die jeweiligen sie betreffenden
Akten oder Dateien gewährt werden. Die Einsichtnahme darf nicht erfolgen,
soweit die personenbezogenen Daten der Betroffenen mit personenbezogenen Daten
Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart
verbunden sind, daß ihre Trennung nicht oder nur mit unverhältnismäßig
großem Aufwand möglich ist. In diesem Fall ist den Betroffenen Auskunft zu
erteilen. Rechtsvorschriften über die Akteneinsicht im Verwaltungsverfahren
bleiben unberührt.
(4) Die Auskunftserteilung oder die Gewährung von Akteneinsicht unterbleibt,
soweit eine Prüfung ergibt, daß
1. dadurch die Erfüllung der Aufgaben der datenverarbeitenden Stelle, einer
übermittelnden Stelle oder einer empfangenden Stelle gefährdet würde,
2. dadurch die öffentliche Sicherheit gefährdet oder sonst dem Wohle des
Bundes oder eines Landes Nachteile entstehen würden oder
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer
Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person
geheimgehalten werden müssen.
(5) In den Fällen des Absatzes 4 sind die Betroffenen unter Mitteilung der
wesentlichen Gründe für die Auskunftsverweigerung darauf hinzuweisen, daß sie
sich an die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz
wenden können. Eine Begründung erfolgt nicht, wenn dadurch der mit der
Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die Gründe für die
Entscheidung nach Satz 2 sind aufzuzeichnen.
§ 19 Berichtigung, Sperrung, Löschung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Dabei
muß nachvollziehbar bleiben, in welchem Zeitraum und aus welchem Grund die
Daten unrichtig waren. Die Daten sind zu ergänzen, wenn der Zweck der
Speicherung oder ein berechtigtes Interesse der oder des Betroffenen dies
erfordert.
(2) Personenbezogene Daten sind zu sperren, wenn
1. ihre Richtigkeit von der oder dem Betroffenen bestritten wird und sich weder
Richtigkeit noch die Unrichtigkeit nachweisen läßt;
2. sie nach Absatz 1 zu berücksichtigen oder zu ergänzen sind, solange dieses
noch nicht geschehen ist;
3. in den Fällen des Absatzes 3 die oder der Betroffene anstelle der Löschung
die Sperrung verlangt oder danach eine Löschung nicht in Betracht kommt.
Gesperrte Daten sind grundsätzlich gesondert aufzubewahren. Ist dies mit
vertretbarem Aufwand nicht möglich, so sind sie zu kennzeichnen. Sie dürfen
über die Speicherung hinaus ohne Einwilligung der oder des Betroffenen nicht
mehr weiterverarbeitet werden, es sei denn, daß Rechtsvorschriften die
Verarbeitung zulassen oder die Nutzung durch die datenverarbeitende Stelle zur
Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden
Interesse der datenverarbeitenden Stelle oder von Dritten liegenden Gründen
unerläßlich ist. Die Gründe für die Nutzung gesperrter Daten sind zu
dokumentieren.
(3) Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig
ist. Soweit Rechtsvorschriften nicht entgegenstehen, sind personenbezogene Daten
zu löschen, wenn ihre Kenntnis für die datenverarbeitende Stelle zur
Aufgabenerfüllung nicht mehr erforderlich ist und kein Grund zu der Annahme
besteht, daß dadurch schutzwürdige Belange der oder des Betroffenen
beeinträchtigt werden. Die Erforderlichkeit richtet sich grundsätzlich nach
den für die datenverarbeitende Stelle aufgestellten allgemeinen Regelungen
über die Aufbewahrung von Daten. Sind personenbezogene Daten in Akten
gespeichert, ist die Löschung nach Satz 2 nur durchzuführen, wenn die gesamte
Akte zur Aufgabenerfüllung nicht mehr erforderlich ist.
§ 20 Nachberichtspflicht
Von der Berichtigung oder der Ergänzung nach § 19 Abs. 1, der Sperrung nach §
19 Abs. 2 Nr. 1 und 2 oder der Löschung nach § 19 Abs. 3 Satz 1 sind
unverzüglich die Stellen zu unterrichten, denen die Daten übermittelt wurden.
Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen
Aufwand erfordern würde und kein Grund zu der Annahme besteht, daß dadurch
schutzwürdige Belange der oder des Betroffenen beeinträchtigt werden.
§ 21 Schadensersatz
(1) Entsteht der oder dem Betroffenen durch eine unzulässige oder unrichtige
automatisierte Verarbeitung ihrer oder seiner personenbezogener Daten ein
Schaden, so ist ihr oder ihm der Träger jeder öffentlichen Stelle, die diese
Daten für sich selbst verarbeitet oder verarbeiten läßt, unabhängig von
einem Verschulden zum Schadensersatz verpflichtet.
(2) In Fällen einer schweren Verletzung des Persönlichkeitsrechts kann die
oder der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist,
eine billige Entschädigung in Geld verlangen.
(3) Die ersatzpflichtige Stelle haftet jeder oder jedem Betroffenen für jedes
schädigende Ereignis bis zu einem Betrag von 250.000 Deutsche Mark. Mehrere
Ersatzpflichtige haften gesamtschuldnerisch.
(4) Auf das Mitverschulden der oder des Betroffenen und die Verjährung des
Entschädigungsanspruchs sind die §§ 254, 839 Abs. 3 und § 852 des
Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(5) Sind nach Absatz 1 mehrere zum Schadensersatz verpflichtet, so hängen
Pflicht und Umfang zum Ersatz im Verhältnis der Ersatzpflichtigen untereinander
von den Umständen, insbesondere davon ab, wie weit der Schaden überwiegend von
der einen oder anderen datenverarbeitenden Stelle verursacht worden ist.
(6) Absatz 5 gilt entsprechend, wenn neben den nach Absatz 1 Ersatzpflichtigen
andere für den Schaden kraft Gesetzes verantwortlich sind.
(7) Die Geltendmachung weitergehender Schadensersatzansprüche aufgrund anderer
Vorschriften bleibt unberührt.
Abschnitt IV
Die oder der Landesbeauftragte für den Datenschutz
§ 22 Berufung und Rechtsstellung
(1) Das Amt der oder des Landesbeauftragten für den Datenschutz wird bei der
Präsidentin oder dem Präsidenten des Schleswig-Holsteinischen Landtages
eingerichtet.
(2) Der Landtag wählt ohne Aussprache die Landesbeauftragte oder den
Landesbeauftragten für den Datenschutz mit mehr als der Hälfte seiner
Mitglieder für die Dauer von sechs Jahren. Die Wiederwahl ist nur einmal
zulässig. Vorschlagsberechtigt sind die Fraktionen des Schleswig-Holsteinischen
Landtages. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt die
oder der Landesbeauftragte für den Datenschutz das Amt bis zur Neuwahl weiter.
(3) Die Präsidentin oder der Präsident des Schleswig-Holsteinischen Landtages
ernennt die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz
zur Beamtin oder zum Beamten auf Zeit.
(4) Die oder der Landesbeauftragte für den Datenschutz bestellt eine
Mitarbeiterin zur Stellvertreterin oder einen Mitarbeiter zum Stellvertreter.
Die Stellvertreterin oder der Stellvertreter führt die Geschäfte, wenn die
oder der Landesbeauftragte für den Datenschutz an der Ausübung des Amtes
verhindert ist.
(5) Vor Ablauf der Amtszeit kann die oder der Landesbeauftragte für den
Datenschutz nur mit einer Mehrheit von zwei Dritteln der Mitglieder des
Landtages abberufen werden. Die oder der Landesbeauftragte für den Datenschutz
kann jederzeit die Entlassung verlangen.
(6) Die oder der Landesbeauftragte für den Datenschutz ist in der Ausübung des
Amtes unabhängig und nur dem Gesetz unterworfen. Sie oder er untersteht der
Dienstaufsicht der Präsidentin oder des Präsidenten des
Schleswig-Holsteinischen Landtages. Für die Erfüllung der Aufgabe ist die
notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel
sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen.
(7) Die Mitarbeiterinnen und Mitarbeiter werden auf Vorschlag der oder des
Landesbeauftragten für den Datenschutz ernannt. Sie können nur im Einvernehmen
mit ihr oder ihm versetzt oder abgeordnet werden. Ihre Dienstvorgesetzte oder
ihr Dienstvorgesetzter ist die oder der Landesbeauftragte für den Datenschutz,
an deren oder dessen Weisungen sie ausschließlich gebunden sind.
(8) Die oder der Landesbeauftragte für den Datenschutz ist oberste
Dienstbehörde im Sinne von § 96 Strafprozeßordnung. Sie oder er
trifft die Entscheidungen über Aussagegenehmigungen für sich und die
Mitarbeiterinnen und Mitarbeiter in eigener Verantwortung.
§ 23 Aufgaben
(1) Die oder der Landesbeauftragte für den Datenschutz überwacht die
Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den
Datenschutz bei den öffentlichen Stellen, auf die dieses Gesetz Anwendung
findet. Sie oder er berät die obersten Landesbehörden sowie die sonstigen
öffentlichen Stellen in Fragen des Datenschutzes und der damit
zusammenhängenden Datenverarbeitungstechniken sowie deren
Sozialverträglichkeit. Zu diesem Zweck können Empfehlungen zur Verbesserung
des Datenschutzes gegeben werden. Die Gerichte und der Landesrechnungshof
unterliegen der Kontrolle der oder des Landesbeauftragten für den Datenschutz,
soweit sie nicht in richterlicher Unabhängigkeit tätig werden.
(2) Auf Anforderung des Landtages, des Eingabenausschusses des Landtages oder
einer obersten Landesbehörde soll die oder der Landesbeauftragte für den
Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die ihren oder
seinen Aufgabenbereich unmittelbar betreffen, nachgehen. Die oder der
Landesbeauftragte für den Datenschutz kann sich jederzeit an den Landtag
wenden.
(3) Auf Anforderung des Landtages, einzelner Fraktionen des Landtages oder der
Landesregierung hat die oder der Landesbeauftragte für den Datenschutz
Gutachten zu erstellen und Berichte zu erstatten. Sie oder er legt dem Landtag
jährlich einen Tätigkeitsbericht vor.
§ 24 Dateienübersicht
(1) Die oder der Landesbeauftragte für den Datenschutz hält aufgrund der
Meldungen nach § 8 Abs. 1 eine Übersicht über die von öffentlichen Stellen
in Dateien verarbeiteten personenbezogenen Daten vor. Die Übersicht kann jede
Person einsehen.
(2) Die oder der Landesbeauftragte für den Datenschutz hat die
Dateienübersicht mindestens alle fünf Jahre in geeigneter Weise zu
veröffentlichen. Sie oder er kann die Veröffentlichung durch allgemeine
Informationen zur Datenverarbeitung bei öffentlichen Stellen ergänzen.
(3) Die Einsichtnahme nach Absatz 1 Satz 2 und die Veröffentlichung nach Absatz
2 unterbleiben, wenn die zuständige oberste Aufsichtsbehörde geltend macht,
daß hierdurch die Aufgabenerfüllung der Sicherheits- oder
Strafverfolgungsbehörden gefährdet wäre.
§ 25 Beanstandungen
(1) Stellt die oder der Landesbeauftragte für den Datenschutz Verstöße gegen
die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder
sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so fordert
sie oder er die öffentliche Stelle zur Mängelbeseitigung auf.
(2) Bei erheblichen Verstößen oder sonstigen erheblichen Mängeln beanstandet
die oder der Landesbeauftragte für den Datenschutz diese gegenüber der
datenverarbeitenden Stelle und fordert zur Stellungnahme innerhalb einer von ihr
oder ihm zu bestimmenden Frist auf. Gleichzeitig unterrichtet sie oder er die
zuständige Aufsichtsbehörde.
(3) Mit der Beanstandung soll sie oder er Vorschläge zur Beseitigung der
Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.
(4) Die nach Absatz 2 abzugebende Stellungnahme soll auch eine Darstellung der
Maßnahmen enthalten, die aufgrund der Beanstandung der oder des
Landesbeauftragten für den Datenschutz getroffen worden sind. Eine Abschrift
der Stellungnahme ist der zuständigen Aufsichtsbehörde zuzuleiten.
(5) Die oder der Landesbeauftragte für den Datenschutz kann mit Kenntnis der
datenverarbeitenden Stelle nach pflichtgemäßem Ermessen die Betroffene oder
den Betroffenen von Verstößen gegen die Vorschriften dieses Gesetzes oder
andere Datenschutzvorschriften unterrichten.
§ 26 Anrufung der oder des Landesbeauftragten für den Datenschutz
Jede oder jeder hat das Recht, sich unmittelbar an die Landesbeauftragte oder
den Landesbeauftragten für den Datenschutz zu wenden, wenn sie oder er geltend
macht, bei der Verarbeitung ihrer oder seiner personenbezogenen Daten durch eine
der Kontrolle der oder des Landesbeauftragten unterliegende Stelle in ihren oder
seinen Rechten verletzt zu sein. Dies gilt auch für Beschäftigte der Behörden
und sonstigen öffentlichen Stellen, ohne daß der Dienstweg einzuhalten ist.
§ 27 Durchführung der Kontrolle
(1) Die öffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den
Landesbeauftragten für den Datenschutz und ihre oder seine Beauftragten bei der
Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere
1. Auskunft zu ihren Fragen zu erteilen sowie Einsicht in alle Unterlagen und
Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener
Daten stehen, namentlich in die gespeicherten Daten und in die
Datenverarbeitungsprogramme; besondere Amts- und Berufsgeheimnisse stehen dem
nicht entgegen,
2. jederzeit Zutritt in alle Diensträume zu gewähren.
(2) Stellt die jeweils zuständige oberste Landesbehörde im Einzelfall fest,
daß durch eine mit der Einsicht verbundene Bekanntgabe personenbezogener Daten
die Sicherheit des Bundes oder eines Landes gefährdet wird, dürfen die Rechte
nach Absatz 1 nur von der oder dem Landesbeauftragten für den Datenschutz
persönlich oder den von ihr oder ihm schriftlich besonders damit betrauten
Beauftragten ausgeübt werden.
Abschnitt V
Besondere Regelungen
§ 28 Datenverarbeitung für wissenschaftliche Zwecke
(1) Öffentliche Stellen dürfen personenbezogene Daten zu wissenschaftlichen
Zwecken nur mit Einwilligung der oder des Betroffenen nutzen.
(2) Ohne Einwilligung der oder des Betroffenen dürfen personenbezogene Daten zu
wissenschaftlichen Zwecken genutzt werden, wenn
1. schutzwürdige Belange der oder des Betroffenen wegen der Art der Daten oder
wegen der Art der Verwendung für das jeweilige Forschungsvorhaben nicht
beeinträchtigt werden oder
2. die zuständige oberste Aufsichtsbehörde feststellt, daß das öffentliche
Interesse an der Durchführung des jeweiligen Forschungsvorhabens die
schutzwürdigen Belange der oder des Betroffenen erheblich überwiegt und der
Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann. Satz 1 gilt auch für gesperrte Daten, soweit sie
nicht nach § 19 Abs. 2 Nr. 1 bis 3, 1. Alternative gesperrt sind.
(3) Personenbezogene Daten, die
1. von der oder dem Betroffenen freiwillig für einen bestimmten Zweck zur
Verfügung gestellt wurden und die von der öffentlichen Stelle nur mit ihrer
oder seiner Einwilligung erhoben werden dürften,
2. im Rahmen eines Vertragsverhältnisses offenbart werden oder
3. einem besonderen Amts- oder Berufsgeheimnis unterliegen, dürfen nicht gegen
den Willen der oder des Betroffenen für wissenschaftliche Forschung verwendet
werden.
(4) Unter den Voraussetzungen des Absatzes 2 ist die Übermittlung
personenbezogener Daten für wissenschaftliche Zwecke nur mit Genehmigung der
für die übermittelnde Stelle zuständigen obersten Aufsichtsbehörde
zulässig. Die Genehmigung muß den Empfängerkreis, die Art der zu
übermittelnden Daten, den Kreis der Betroffenen und den Forschungszweck
bezeichnen und ist der oder dem Landesbeauftragten für den Datenschutz
mitzuteilen.
(5) Sobald der Forschungszweck es gestattet, sind die Merkmale, mit deren Hilfe
ein Bezug auf eine bestimmte natürliche Person hergestellt werden kann,
gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies
gestattet.
(6) Die übermittelten personenbezogenen Daten dürfen ohne Einwilligung der
oder des Betroffenen nicht weiter übermittelt oder für einen anderen als den
ursprünglichen Forschungszweck verarbeitet werden.
(7) Die wissenschaftliche Forschung betreibenden Stellen dürfen
personenbezogene Daten nur veröffentlichen, wenn
1. die oder der Betroffene eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen über Personen der
Zeitgeschichte unerläßlich ist.
(8) Die übermittelnde Stelle hat empfangende Stellen, auf die dieses Gesetz
keine Anwendung findet, zu verpflichten, die Vorschriften der Absätze 5 bis 7
einzuhalten und jederzeit Kontrollen durch die oder den Landesbeauftragten für
den Datenschutz zu ermöglichen.
§ 29 Öffentliche Auszeichnungen
(1) Zur Vorbereitung öffentlicher Auszeichnungen dürfen die
Ministerpräsidentin oder der Ministerpräsident, die Innenministerin oder der
Innenminister sowie die von der Ministerpräsidentin oder dem
Ministerpräsidenten besonders beauftragten Stellen die dazu erforderlichen
personenbezogenen Daten auch ohne Kenntnis der Betroffenen erheben und
weiterverarbeiten. Eine Verarbeitung dieser Daten für andere Zwecke ist nur mit
Einwilligung der Betroffenen zulässig.
(2) Auf Anforderung der in Absatz 1 genannten Stellen dürfen andere
öffentliche Stellen die zur Vorbereitung der Auszeichnung erforderlichen Daten
übermitteln.
(3) § 18 findet keine Anwendung.
§ 29a Besondere Dokumentationsstelle
(1) Die Ministerpräsidentin oder der Ministerpräsident oder eine von ihr oder
von ihm besonders beauftragte Stelle (Dokumentationsstelle) kann zum Zweck der
Aufklärung oder Warnung die Betätigungen von Sekten oder sektenähnlichen
Vereinigungen einschließlich der mit ihnen rechtlich, wirtschaftlich oder in
ihrer religiösen oder weltanschaulichen Zielsetzungen verbundenen
Organisationen oder Vereinigungen in Schleswig-Holstein dokumentieren und über
sie informieren, sofern tatsächliche Anhaltspunkte den Verdacht begründen,
daß von deren Wirken Gefahren für die Menschenwürde, die freie Entfaltung der
Persönlichkeit, das Leben, die Gesundheit oder das Eigentum ausgehen,
insbesondere daß Personen in ihrer Willensfreiheit eingeschränkt werden.
(2) Soweit ein begründeter Verdacht im Sinne des Absatz 1 besteht, kann die
Dokumentationsstelle über Personen, die in einer derartigen Sekte, Vereinigung
oder Organisation aktiv mitwirken, bei anderen öffentlichen Stellen vorhandene
oder öffentlich zugängliche personenbezogene Daten erheben und
weiterverarbeiten. Hiervon ausgenommen sind die in § 9 Abs. 3 Nr. 3
bezeichneten Daten sowie Daten, für die besondere Verwendungsvorschriften in
anderen Gesetzen bestehen.
(3) Die Speicherung der erhobenen personenbezogenen Daten ist spätestens nach
zwei Jahren auf ihre Erforderlichkeit zu prüfen. Spätestens fünf Jahre nach
der letzten Tätigkeit im Sinne von Absatz 2 sind die personenbezogenen Daten zu
löschen.
(4) An Stellen außerhalb des öffentlichen Bereichs dürfen personenbezogene
Daten übermittelt werden, wenn
1. a) es zur Erfüllung der Aufgabe nach Absatz 1 erforderlich ist oder
b) ein Dritter ein rechtliches Interesse daran hat
und
2. kein Grund zu der Annahme besteht, daß schutzwürdige Belange der oder des
Betroffenen überwiegen.
§ 30 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
(1) Öffentliche Stellen dürfen Daten ihrer Beschäftigten vorbehaltlich
besonderer gesetzlicher oder tarifrechtlicher Regelungen nur nach Maßgabe der
§§ 106 bis 106 h des Landesbeamtengesetzes verarbeiten.
(2) Personenbezogene Daten, die erhoben wurden, bevor ein Dienst- oder
Arbeitsverhältnis eingegangen worden ist, sind zu löschen, sobald feststeht,
daß ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Besteht Grund zu
der Annahme, daß durch die Löschung schutzwürdige Belange der oder des
Betroffenen beeinträchtigt werden, ist sie oder er zu benachrichtigen. Wenn die
oder der Betroffene der weiteren Speicherung nicht widerspricht, kann von der
Löschung der personenbezogenen Daten abgesehen werden.
(3) Daten von Beschäftigten, die im Rahmen der Durchführung der technischen
und organisatorischen Maßnahmen nach § 7 oder § 14 gespeichert oder in einem
automatisierten Verfahren gewonnen werden, dürfen nicht zu Zwecken der
Verhaltens- oder Leistungskontrolle ausgewertet werden.
§ 31 Fernmessen und Fernwirken
(1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmeßdienste)
in Wohnungen oder Geschäftsräumen nur vornehmen, wenn die oder der Betroffene
zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des
Einsatzes unterrichtet worden ist und nach der Unterrichtung schriftlich
eingewilligt hat. Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu
dienen soll, in Wohnungen oder Geschäftsräumen andere Wirkungen auszulösen
(Fernwirkdienste). Die Einrichtung von Fernmeß- und Fernwirkdiensten ist nur
zulässig, wenn die oder der Betroffene erkennen kann, wann ein Dienst in
Anspruch genommen wird und welcher Art dieser Dienst ist. Die oder der
Betroffene kann ihre oder seine Einwilligung jederzeit widerrufen, soweit dies
mit der Zweckbestimmung des Dienstes vereinbar ist. Das Abschalten eines
Dienstes gilt im Zweifel als Widerruf der Einwilligung.
(2) Eine Leistung, der Abschluß oder die Abwicklung eines
Vertragsverhältnisses dürfen nicht von der Einwilligung der oder des
Betroffenen nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft
die oder der Betroffene ihre oder seine Einwilligung, so dürfen ihr oder ihm
keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen.
(3) Soweit im Rahmen von Fernmeß- oder Fernwirkdiensten personenbezogene Daten
erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet
werden. Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr
erforderlich sind.
§ 32 Video-Überwachung und -Aufzeichnung
(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen
öffentlich zugängliche Räume beobachten (Video-Überwachung), soweit dies zur
Erfüllung ihrer Aufgaben oder zur Wahrnehmung eines Hausrechts erforderlich ist
und schutzwürdige Belange Betroffener nicht überwiegen. Das Bildmaterial darf
gespeichert werden (Video-Aufzeichnung), wenn die Tatsache der Aufzeichnung für
die Betroffenen durch geeignete Maßnahmen erkennbar gemacht ist.
(2) Werden durch Video-Aufzeichnung gewonnene personenbezogene Daten verändert,
übermittelt oder sonst genutzt, ist die oder der Betroffene zu benachrichtigen.
(3) Besondere Rechtsvorschriften bleiben unberührt.
Abschnitt VI
Übergangs- und Schlußvorschriften
§ 33 Straftaten
(1) Wer gegen Entgelt oder in der Absicht, sich oder andere zu bereichern oder
andere zu schädigen, entgegen den Vorschriften dieses Gesetzes personenbezogene
Daten, die nicht offenkundig sind,
1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf
bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen
ihre Weitergabe an sich oder andere veranlaßt,wird mit Freiheitsstrafe bis zu
zwei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer unter den in
Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche
Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen
zusammenführt und dadurch die betroffene Person wieder bestimmbar macht. Der
Versuch ist strafbar.
(2) Absatz 1 findet nur Anwendung, soweit die Tat nicht nach anderen
Vorschriften mit Strafe bedroht ist.
§ 34 Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes
personenbezogene Daten, die nicht offenkundig sind,
1. erhebt, speichert, zweckwidrig verwendet, verändert, weitergibt, zum Abruf
bereithält oder löscht,
2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen
ihre Weitergabe an sich oder andere veranlaßt.Ordnungswidrig handelt auch, wer
unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche
oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen
Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar
macht.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu einhunderttausend
Deutschen Mark geahndet werden.
§ 35 Übergangsvorschriften
(1) Eine nach § 5 Abs. 1 unzulässige Verarbeitung personenbezogener Daten, die
bisher zulässig war und zur rechtmäßigen Erfüllung von Aufgaben
öffentlicher Stellen erforderlich ist, bleibt bis zur Anpassung der
entsprechenden besonderen Rechtsvorschriften, längstens bis zum 31. Dezember
1993 weiterhin zulässig.
(2) Auf personenbezogene Daten, die vor Inkrafttreten dieses Gesetzes in Akten
gespeichert waren, ist § 19 nur anzuwenden, wenn die datenverarbeitende Stelle
bei der Erfüllung ihrer laufenden Aufgaben oder aufgrund eines
Überprüfungsersuchens der oder des Betroffenen feststellt, daß die
Voraussetzungen für eine Berichtigung oder Ergänzung, Sperrung oder Löschung
gegeben sind.
§ 36 Inkrafttreten
(1) Dieses Gesetz tritt am 1. Januar 1992 in Kraft.
(2) Mit dem Inkrafttreten dieses Gesetzes treten das Gesetz zum Schutz vor
Mißbrauch personenbezogener Daten bei der Datenverarbeitung vom 1. Juni 1978
(GVOBl. Schl.-H. S. 156), zuletzt geändert durch Gesetz vom 14. Dezember 1988
(GVOBl. Schl.-H. S. 214)*), die Landesdatenschutzregisterverordnung vom 20. Juli
1978 (GVOBl. Schl.-H. S. 239)**) und die Landesverordnung zur Regelung der
Registerveröffentlichung und -einsichtnahme vom 28. Juli 1978 (GVOBl. Schl.-H.
S. 241)***) außer Kraft.
_______
*) GS Schl.-H. II, Gl.Nr. 204-1
**) GS Schl.-H. II, Gl.Nr. 204-1-1
***) GS Schl.-H. II, Gl.Nr. 204-1-2