Gesetz- und Verordnungsblatt (GV. NRW.)
Ausgabe 2000 Nr. 30 vom 30.5.2000 Seite 451 bis 460
Gesetz zur Änderung des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW) |
---|
Normkopf Norm Normfuß |
Gesetz zur Änderung des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW)
20061
Gesetz
zur Änderung des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW)
Vom 9. Mai 2000
Der Landtag hat das folgende Gesetz beschlossen, das hiermit verkündet wird:
Artikel 1
Änderung des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW)
Das Gesetz zum Schutz personenbezogener Daten (Datenschutzgesetz Nordrhein-Westfalen - DSG NW -) vom 15. März 1988 (GV. NRW. S. 160), zuletzt geändert durch Gesetz vom 22. November 1994 (GV. NRW. S. 1064), wird wie folgt geändert:
1. Das Inhaltsverzeichnis wird wie folgt geändert:
a) Nach § 4 wird eingefügt:
„§ 4 a Verbunddateien“
b) Bei § 5 werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
c) Bei § 8 wird das Wort „Dateibeschreibung“ durch das Wort „Verfahrensverzeichnis“ ersetzt.
d) Nach § 10 wird eingefügt:
„§ 10 a Datenschutzaudit“
e) In der Überschrift zu § 17 werden die Worte „Stellen außerhalb des Geltungsbereichs des Grundgesetzes“ durch die Worte „ausländische Stellen“ ersetzt.
f) In der Überschrift des Dritten Abschnitts werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
g) In der Überschrift zu § 18 werden die Worte „Einsicht in Akten“ durch das Wort „Einsichtnahme“ ersetzt.
h) § 22 wird um die Worte „und Befugnisse“ ergänzt.
i) Bei § 23 wird das Wort „Dateienregister“ durch das Wort „(entfällt)“ ersetzt.
j) Bei § 25 werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
k) Bei § 26 werden die Worte „Durchführung der Kontrolle“ durch das Wort „(entfällt)“ ersetzt.
l) Bei § 27 wird das Wort „Tätigkeitsberichte“ durch das Wort „Datenschutzbericht“ ersetzt.
m) Nach § 29 wird eingefügt:
„§ 29 a Mobile personenbezogene Datenverarbeitungssysteme“
n) Nach § 29 wird eingefügt:
„§ 29 b Optisch-elektronische Überwachung“
o) Nach § 32 wird eingefügt:
„§ 32 a Behördliche Datenschutzbeauftragte“.
2. § 2 Abs. 1 wird wie folgt neu gefasst:
„(1) Dieses Gesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen (öffentliche Stellen), soweit diese personenbezogene Daten verarbeiten. Für den Landtag und für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Zweiten Teils dieses Gesetzes. Für den Landesrechnungshof und die Staatlichen Rechnungsprüfungsämter gelten der Dritte Abschnitt des Ersten Teils und der Zweite Teil sowie die §§ 8 und 32 a nur, soweit sie Verwaltungsaufgaben wahrnehmen. Für die Ausübung des Gnadenrechts findet das Gesetz keine Anwendung.“
3. § 3 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „Betroffener“ durch die Worte „betroffene Person“ ersetzt.
b) In Absatz 2 Satz 2 Nr. 1 werden die Worte „den Betroffenen“ durch die Worte „die betroffene Person“ ersetzt.
c) In Absatz 2 Satz 2 Nummer 4 wird das Wort „datenverarbeitende“ durch das Wort „verantwortliche“ ersetzt.
d) Absatz 3 wird durch die folgenden Absätze 3 und 4 ersetzt:
„(3) Verantwortliche Stelle ist die Stelle im Sinne des § 2 Abs. 1, die personenbezogene Daten in eigener Verantwortung selbst verarbeitet oder in ihrem Auftrag von einer anderen Stelle verarbeiten lässt.
(4) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im übrigen Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag verarbeiten.“
e) Der bisherige Absatz 4 wird Absatz 5 und wie folgt neu gefasst:
„(5) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft.“
f) Der bisherige Absatz 5 wird Absatz 6 und erhält die Fassung:
„(6) Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist.“
g) Nach Absatz 6 werden folgende Absätze 7 und 8 angefügt:
„(7) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(8) Pseudonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Daten verarbeitende Stelle darf keinen Zugriff auf die Zuordnungsfunktion haben; diese ist an dritter Stelle zu verwahren.“
4. § 4 wird wie folgt neu gefasst:
„§ 4
Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
a) dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder
b) die betroffene Person eingewilligt hat.
Die Einwilligung ist die widerrufliche, freiwillige und eindeutige Willenserklärung der betroffenen Person, einer bestimmten Datenverarbeitung zuzustimmen. Sie bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die betroffene Person auf die Einwilligung schriftlich besonders hinzuweisen. Sie ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung über die Empfänger der Daten aufzuklären; sie ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann. Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass
1. sie nur durch eine eindeutige und bewusste Handlung der handelnden Person erfolgen kann,
2. sie nicht unerkennbar verändert werden kann,
3. ihr Urheber erkannt werden kann,
4. die Einwilligung bei der verarbeitenden Stelle protokolliert wird und
5. der betroffenen Person jederzeit Auskunft über den Inhalt ihrer Einwilligung gegeben werden kann.
(2) Die Planung, Gestaltung und Auswahl informationstechnischer Produkte und Verfahren haben sich an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und weiterzuverarbeiten (Datenvermeidung). Produkte und Verfahren, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren (Datenschutzaudit) festgestellt wurde, sollen vorrangig berücksichtigt werden.
(3) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben ist nur zulässig, wenn sie in einer Rechtsvorschrift geregelt ist, die den Zweck der Verarbeitung bestimmt sowie angemessene Garantien zum Schutz des Rechtes auf informationelle Selbstbestimmung vorsieht. Darüber hinaus ist die Verarbeitung dieser Daten zulässig, wenn
1. die betroffene Person eingewilligt hat,
2. sie ausschließlich im Interesse der betroffenen Person liegt,
3. sie sich auf Daten bezieht, die die betroffene Person selbst öffentlich gemacht hat,
4. sie
a) auf der Grundlage der §§ 15, 28 und 29,
b) zur Geltendmachung rechtlicher Ansprüche vor Gericht oder
c) für die Abwehr von Gefahren für die öffentliche Sicherheit, für Zwecke der Strafrechtspflege oder zum Schutz vergleichbarer Rechtsgüter
erforderlich ist.
(4) Soweit gesetzlich unter Wahrung der berechtigten Interessen der betroffenen Person nichts anderes bestimmt ist, dürfen Entscheidungen, die für die betroffene Person eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten zum Zweck der Bewertung einzelner Persönlichkeitsmerkmale gestützt werden, ohne dass der betroffenen Person die Geltendmachung der eigenen Interessen möglich gemacht worden ist.
(5) Wenn die betroffene Person schriftlich begründet, dass der im Übrigen rechtmäßigen Verarbeitung ihrer Daten oder einer bestimmten Datenverarbeitungsform ein schutzwürdiges besonderes persönliches Interesse entgegensteht, erfolgt die Verarbeitung ihrer personenbezogenen Daten nur, wenn eine Abwägung im Einzelfall ergibt, dass das Interesse der datenverarbeitenden Stelle gegenüber dem Interesse der betroffenen Person überwiegt. Die betroffene Person ist über das Ergebnis zu unterrichten.
(6) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist. Sind personenbezogene Daten in Akten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgaben erforderlich sind, zulässig, soweit nicht schutzwürdige Belange der betroffenen Person oder Dritter überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot.“
5. Nach § 4 wird folgender § 4 a eingefügt:
„§ 4 a
Verbunddateien
(1) Die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, in und aus denen mehrere öffentliche Stellen personenbezogene Daten verarbeiten sollen, ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. Die beteiligten Stellen haben die Datenart, die Aufgaben jeder beteiligten Stelle, den Zweck und den Umfang ihrer Verarbeitungsbefugnis sowie diejenige Stelle festzulegen, welche die datenschutzrechtliche Verantwortung gegenüber den betroffenen Personen trägt. Der Landesbeauftragte für den Datenschutz ist vorab zu unterrichten.
(2) Innerhalb einer öffentlichen Stelle bedarf die Einrichtung gemeinsamer oder verbundener automatisierter Verfahren, mit denen personenbezogene Daten aus unterschiedlichen Aufgabengebieten verarbeitet werden sollen, der Zulassung durch die Leitung der Stelle. Für die Zulässigkeit gelten Absatz 1 Sätze 1 und 2 entsprechend.“
6. § 5 wird wie folgt geändert:
a) In der Überschrift werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
b) Satz 1 wird wie folgt geändert:
aa) In Nummer 1 werden die Worte „Einsicht in Akten „ durch das Wort „Einsichtnahme“ ersetzt.
bb) Nach Nummer 1 werden als Nummern 2 und 3 eingefügt:
„2. Widerspruch aus besonderem Grund (§ 4 Abs. 5),
3. Unterrichtung (§§ 12 Abs. 2, 13 Abs. 2 Satz 2, 16 Abs. 1 Satz 2),“.
cc) Die bisherigen Nummern 2 bis 4 werden Nummern 4 bis 6.
dd) Die bisherige Nummer 5 wird Nummer 7 und
erhält die Fassung:
„7. Auskunft aus dem beim zuständigen behördlichen Datenschutzbeauftragten
geführten Verfahrensverzeichnis (§ 8).“
c) In Satz 2 werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
7. In § 7 werden vor den Worten „haben jeweils für ihren Bereich“ die Worte „ungeachtet ihrer Rechtsform“ eingefügt.
8. § 8 wird wie folgt neu gefasst:
„§ 8
Verfahrensverzeichnis
(1) Jede datenverarbeitende Stelle, die für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten verantwortlich ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:
1. Name und Anschrift der datenverarbeitenden Stelle,
2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,
3. die Art der gespeicherten Daten,
4. den Kreis der Betroffenen,
5. die Art regelmäßig zu übermittelnder Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,
6. die zugriffsberechtigten Personen oder Personengruppen,
7. die technischen und organisatorischen Maßnahmen nach § 10,
8. die Technik des Verfahrens, einschließlich der eingesetzten Hard- und Software,
9. Fristen für die Sperrung und Löschung nach § 19 Abs. 2 und Abs. 3,
10. eine beabsichtigte Datenübermittlung an Drittstaaten nach § 17 Abs. 2 und Abs. 3,
11. die begründeten Ergebnisse der Vorabkontrollen nach § 10 Abs. 3 Satz 1.
(2) Die Angaben des Verfahrensverzeichnisses können bei der datenverarbeitenden Stelle von jeder Person eingesehen werden; dies gilt für die Angaben zu Nummer 7, 8 und 11 nur, soweit dadurch die Sicherheit des technischen Verfahrens nicht beeinträchtigt wird. Satz 1 gilt nicht für
1. Verfahren nach dem Verfassungsschutzgesetz Nordrhein-Westfalen,
2. Verfahren, die der Gefahrenabwehr oder der Strafrechtspflege dienen,
3. Verfahren der Steuerfahndung,
soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt. Die Gründe dafür sind aktenkundig zu machen und die antragstellende Person ist darauf hinzuweisen, dass sie sich an den Landesbeauftragten für den Datenschutz wenden kann. Dem Landesbeauftragten für den Datenschutz ist auf sein Verlangen Einsicht zu gewähren.“
9. § 9 wird wie folgt geändert:
a) In Absatz 2 Satz 1 wird das Wort „Minister“ durch das Wort „Ministerien“ ersetzt.
b) Nach Satz 2 wird folgender Satz 3 eingefügt:
„Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.“
c) In Absatz 5, 2. Halbsatz werden die Worte „den Betroffenen“ durch die Worte „die betroffene Person“ ersetzt.
d) In Absatz 7 Satz 1 wird das Wort „Betroffenen“ durch die Worte „betroffenen Personen“ ersetzt.
e) In Absatz 7 Satz 2 werden nach den Worten „§ 4“ die Worte „Abs. 1“ eingefügt und das Wort „gelten“ durch das Wort „gilt“ ersetzt.
10. § 10 wird wie folgt neu gefasst:
„§ 10
Technische und organisatorische Maßnahmen
(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen.
(2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass
1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).
(3) Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines zu dokumentierenden Sicherheitskonzepts zu ermitteln, zu dessen Bestandteilen die Vorabkontrolle hinsichtlich möglicher Gefahren für das in § 1 geschützte Recht auf informationelle Selbstbestimmung gehört, die vor der Entscheidung über den Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens durchzuführen ist. Das Verfahren darf nur eingesetzt werden, wenn diese Gefahren nicht bestehen oder durch Maßnahmen nach Absatz 1 und 2 verhindert werden können. Das Ergebnis der Vorabkontrolle ist aufzuzeichnen. Die Wirksamkeit der Maßnahmen ist unter Berücksichtigung sich verändernder Rahmenbedingungen und Entwicklungen der Technik zu überprüfen. Die sich daraus ergebenden notwendigen Anpassungen sind zeitnah umzusetzen.
(4) Der Landesrechnungshof kann von der zu prüfenden Stelle verlangen, dass für ein konkretes Prüfungsverfahren die notwendigen Maßnahmen nach den Absätzen 1 bis 3 zeitnah geschaffen werden.“
11. Nach § 10 wird folgender § 10 a eingefügt:
„§ 10 a
Datenschutzaudit
Die öffentlichen Stellen können zur Verbesserung von Datenschutz und Datensicherheit sowie zum Erreichen größtmöglicher Datensparsamkeit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. Sie können auch bereits geprüfte und bewertete Datenschutzkonzepte und Programme zum Einsatz bringen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.“
12. § 11 wird wie folgt geändert:
a) In Absatz 1 Satz 2 wird das Wort „speichernde“ durch das Wort „verantwortliche“ ersetzt.
b) Nach Absatz 3 wird folgender Absatz 4 eingefügt:
„(4) Externe Personen und Stellen, die mit der Wartung und Systembetreuung von Einrichtungen zur automatisierten Datenverarbeitung beauftragt sind, unterliegen den Regelungen der Datenverarbeitung im Auftrag. Sie müssen die notwendige fachliche Qualifikation und Zuverlässigkeit aufweisen. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidlich ist. Dies gilt auch für die Kenntnisnahme von Daten, die Berufs- oder besonderen Amtsgeheimnissen unterliegen. Der Auftragnehmer hat dem Auftraggeber zuzuordnende personenbezogene Daten unverzüglich nach Erledigung des Auftrages zu löschen. Die Dokumentation der Maßnahmen ist zum Zweck der Datenschutzkontrolle drei Jahre aufzubewahren.“
13. § 12 wird wie folgt geändert:
a) Absatz 1 erhält die Fassung:
„(1) Das Erheben personenbezogener Daten ist nur insoweit zulässig, als ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. Durch die Art und Weise der Erhebung darf das allgemeine Persönlichkeitsrecht der betroffenen Person nicht beeinträchtigt werden. Personenbezogene Daten sind bei der betroffenen Person mit ihrer Kenntnis zu erheben; bei anderen Stellen oder Personen dürfen sie ohne ihre Kenntnis nur unter den Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstaben a und c bis g oder i erhoben werden. „
b) Absatz 2 erhält folgende Fassung:
„(2) Werden Daten bei der betroffenen Person erhoben, so ist sie über den Verwendungszweck und eine etwaige beabsichtigte Übermittlung aufzuklären. Werden Daten aufgrund einer Rechtsvorschrift erhoben, so ist die betroffene Person in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für die Gewährung von Rechtsvorteilen sind, ist die betroffene Person hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Werden Daten ohne Kenntnis der betroffenen Person erstmals erhoben, so ist sie bei Beginn der Speicherung oder im Fall einer vorgesehenen Übermittlung bei der ersten Übermittlung davon zu benachrichtigen, wenn die Erfüllung der Aufgaben dadurch nicht wesentlich beeinträchtigt wird. Satz 4 gilt nicht, wenn die betroffene Person auf andere Weise Kenntnis erhält, die Übermittlung durch Gesetz oder eine andere Rechtsvorschrift ausdrücklich vorgesehen ist oder die Daten für Zwecke von Statistiken, die durch Gesetz oder eine andere Rechtsvorschrift vorgeschrieben sind, verarbeitet werden. Mitzuteilen ist, welche Daten von welcher Stelle zu welchem Zweck auf welcher Rechtsgrundlage erhoben oder an wen sie übermittelt worden sind.“
14. § 13 wird wie folgt geändert:
a) In Absatz 2 Satz 1 Buchstabe b), c), e) und f) sind die Worte „der Betroffene“, „des Betroffenen“ durch die Worte „die betroffene Person“, „der betroffenen Person“ zu ersetzen; in Buchstabe e) darüber hinaus die Worte „seinem“ durch „ihrem“, „er“ durch „sie“ und „seine“ durch „ihre“.
b) In Absatz 2 Satz 1 Buchstabe g) wird am Ende das Wort „oder“ gestrichen und durch ein Komma ersetzt.
c) Nach Absatz 2 Satz 1 Buchstabe h) wird der Punkt durch das Wort „oder“ ersetzt und folgender Buchstabe i) angefügt:
„i) zur Durchsetzung öffentlich-rechtlicher Geldforderungen ein rechtliches Interesse an der Kenntnis der zu verarbeitenden Daten vorliegt und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an der Geheimhaltung überwiegt.“
d) Nach Absatz 2 Satz 1 wird folgender Satz 2 eingefügt:
„Die betroffene Person ist außer im Fall des Buchstaben b) davon in geeigneter Weise zu unterrichten, sofern nicht die Aufgabenerfüllung wesentlich beeinträchtigt wird.“
e) In dem bisherigen Satz 2 des Absatzes 2 werden die Worte „datenverarbeitenden“ und „bis h“ durch die Worte „verantwortlichen“ und „bis i“ ersetzt.
f) In Absatz 3 werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
15. § 14 Abs. 2 entfällt.
Absatz 3 wird Absatz 2.
Absatz 4 wird Absatz 3.
Absatz 5 wird Absatz 4,
in Absatz 4 werden die Worte „Absätze 1 bis 4“ durch die Worte „Absätze 1 bis 3“ ersetzt.
16. § 16 wird wie folgt geändert:
a) Absatz 1 Satz 1 Buchstabe b) erhält folgende Fassung:
„b) die Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstaben a, b, d, f oder i vorliegen,“.
b) In Absatz 1 Satz 1 Buchstabe c) werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
c) In Absatz 1 Satz 1 Buchstabe d) werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ ersetzt.
d) In Absatz 1 wird nach Satz 1 folgender Satz 2 eingefügt:
„Bei Übermittlungen nach Satz 1 Buchstabe b , soweit sie unter den Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstabe i erfolgen, sowie in den Fällen des Satzes 1 Buchstabe c wird die betroffene Person vor der Mitteilung gehört, es sei denn, es ist zu besorgen, dass dadurch die Verfolgung des Interesses vereitelt oder wesentlich erschwert würde, und eine Abwägung ergibt, dass dieses Interesse das Interesse der betroffenen Person an ihrer vorherigen Anhörung überwiegt; ist die Anhörung unterblieben, wird die betroffene Person nachträglich unterrichtet.“
Satz 2 wird Satz 3.
e) In Absatz 1 Satz 3 wird nach den Worten „In den“ das Wort „übrigen“ eingefügt, die Worte „Buchstabe d“ entfallen; die Worte „der Betroffene“ werden durch die Worte „die betroffene Person“ ersetzt; der Punkt wird durch ein Komma ersetzt und es wird folgender Halbsatz angefügt:
„sofern nicht die Aufgabenerfüllung wesentlich beeinträchtigt wird.“
f) Absatz 2 wird um folgenden Satz 2 ergänzt:
„Hierauf ist er bei der Übermittlung hinzuweisen.“
17. § 17 erhält folgende Fassung:
„§ 17
Übermittlung an ausländische Stellen
(1) Die Zulässigkeit der Übermittlung an öffentliche und nicht-öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes richtet sich nach den §§ 14 und 16. Die Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Vor der Entscheidung über die Angemessenheit des Datenschutzniveaus ist der Landesbeauftragte für den Datenschutz zu hören.
(2) Fehlt es an einem angemessenen Datenschutzniveau, so ist die Übermittlung nur zulässig, wenn
1. die betroffene Person in die Übermittlung eingewilligt hat,
2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung eines rechtlichen Interesses erforderlich ist,
3. die Übermittlung zur Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist,
4. die Übermittlung aus einem für die Öffentlichkeit bestimmten Register erfolgt oder
5. die Übermittlung genehmigt wird, wenn die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes der informationellen Selbstbestimmung bietet. Die für die Genehmigungserteilung zuständige Stelle oder zuständigen Stellen bestimmt die Landesregierungdurch Rechtsverordnung.
(3) Die empfangende Stelle ist darauf hinzuweisen, dass die Daten nur zu den Zwecken verarbeitet werden dürfen, für die sie übermittelt wurden.“
18. Nach dem „Dritten Abschnitt“ wird die Überschrift „Rechte des Betroffenen“ durch die Überschrift „Rechte der betroffenen Person“ ersetzt.
19. § 18 wird wie folgt geändert:
a) In der Überschrift werden die Worte „Einsicht in Akten“ durch „Einsichtnahme“ ersetzt.
b) In Absatz 1 Satz 1 sind die Worte „Dem Betroffenen“ durch die Worte „Der betroffenen Person“ und in Nummer 1 das Wort „seiner“ durch das Wort „ihrer“ und das Wort „gespeicherten“ durch das Wort „verarbeiteten“ zu ersetzen; das Wort „speichernden“ wird durch das Wort „verantwortlichen“ ersetzt.
c) In Absatz 1 Satz 1 Nummer 2 wird das Wort „Speicherung“ durch das Wort „Verarbeitung“ ersetzt und das Wort „sowie“ gestrichen und durch ein Komma ersetzt.
d) In Absatz 1 Satz 1 wird nach Nummer 3 der Punkt durch das Wort „sowie“ ersetzt und folgende Nummer 4 eingefügt:
„4. die allgemeinen technischen Bedingungen der automatisierten Verarbeitung der zur eigenen Person verarbeiteten Daten.“
e) In Absatz 1 Satz 2 werden die Worte „nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder“ gestrichen.
f) Absatz 2 wird wie folgt neu gefasst:
„(2) Auskunft oder Einsichtnahme sind zu gewähren, soweit die betroffene Person Angaben macht, die das Auffinden der Daten mit angemessenem Aufwand ermöglichen. Auskunftserteilungen und Einsichtnahme sind gebührenfrei, die Erstattung von Auslagen kann verlangt werden.“
g) In Absatz 3 wird das Wort „Akteneinsicht“ durch das Wort „Einsichtnahme“ ersetzt. In Absatz 3 Buchstabe a) wird das Wort „speichernden“ durch das Wort „verantwortlichen“ ersetzt und vor dem Wort „gefährden“ das Wort „erheblich“ eingefügt.
h) In Absatz 3 Buchstabe c) werden die Worte „ihrem Wesen nach, namentlich“ gestrichen. Das Komma hinter „Person“ entfällt.
i) In Absatz 5 Satz 1 wird das Wort „Akteneinsicht“ durch das Wort „Einsichtnahme“ ersetzt.
j) In Absatz 6 werden das Wort „Akteneinsicht“ durch das Wort „Einsichtnahme“ und die Worte „der Betroffene“ durch die Worte „die betroffene Person“ sowie das Wort „er“ durch das Wort „sie“ ersetzt.
20. § 19 wird wie folgt geändert:
a) In Absatz 1 Satz 2 werden die Worte „in nicht automatisierten Dateien oder in Akten“ gestrichen.
b) In Absatz 2 Satz 1 werden in Buchstabe a) die Worte „vom Betroffenen“ durch die Worte „von der betroffenen Person“, in Buchstabe b) die Worte „der Betroffene“ durch die Worte „die betroffene Person“ und in Buchstabe c) die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
c) Absatz 2 Satz 2 erhält folgende Fassung:
„In den Fällen nach Satz 1 Buchstaben c und d sind die Gründe aufzuzeichnen.“
d) In Absatz 2 Satz 4 werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ und das Wort „speichernden“ durch das Wort „verantwortlichen“ ersetzt.
e) In Absatz 3 Satz 2 entfällt vor den Worten „ist die Löschung“ das Komma und es werden die Worte eingefügt „und ist die nach § 4 Abs. 6 vorgesehene Abtrennung nicht möglich,“. In Satz 2 werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ ersetzt, in Satz 3 werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
f) In Absatz 5 Satz 1 werden vor den Worten „die Stellen zu unterrichten“ die Worte „die betroffene Person und“ eingefügt, in Satz 2 werden die Worte „für den Betroffenen“ durch die Worte „für die betroffene Person“ ersetzt.
21. § 20 wird wie folgt geändert:
a) Absatz 1 erhält folgende Fassung:
„(1) Wird der betroffenen Person durch eine nach den Vorschriften dieses Gesetzes oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt, so ist ihr der Träger der verantwortlichen Stelle zum Schadensersatz verpflichtet. In schweren Fällen kann die betroffene Person auch wegen des Schadens, der nicht Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen.“
b) Nach Absatz 1 wird folgender Absatz 2 eingefügt:
„(2) Ist der Schaden durch Verarbeitung der Daten in einer automatisierten Datei entstanden, besteht die Entschädigungspflicht unabhängig von einem Verschulden der verantwortlichen Stelle. In diesem Fall haftet der Ersatzpflichtige gegenüber der betroffenen Person für jedes schädigende Ereignis bis zu einem Betrag von 500.000 Deutsche Mark oder 250.000 Euro. Im Übrigen setzt die Verpflichtung zum Schadensersatz Verschulden voraus. Der verantwortlichen Stelle obliegt in Fällen des Satzes 3 die Beweislast, dass sie die unzulässige oder unrichtige Verarbeitung der Daten nicht zu vertreten hat. Mehrere Ersatzpflichtige haften als Gesamtschuldner.“
c) Der bisherige Absatz 2 wird Absatz 3; die Worte „den Betroffenen“ werden durch die Worte „die betroffene Person“ ersetzt.
d) Der bisherige Absatz 3 wird Absatz 4.
22. § 21 wird wie folgt geändert:
a) Absatz 1 wird um folgenden Satz 3 ergänzt:
„Die Amts- und Funktionsbezeichnung ,Der Landesbeauftragte für den Datenschutz‘ wird in männlicher oder weiblicher Form geführt.“
b) Absatz 2 wird wie folgt neu gefasst:
„(2) Der Landesbeauftragte für den Datenschutz wird jeweils für die Dauer von acht Jahren in ein Beamtenverhältnis auf Zeit berufen. Nach Ende der Amtszeit bleibt er bis zur Ernennung eines Nachfolgers im Amt. Die Wiederwahl ist zulässig. Der Landesbeauftragte für den Datenschutz ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Der Landesbeauftragte für den Datenschutz bestellt eine Mitarbeiterin oder einen Mitarbeiter zur Stellvertreterin oder zum Stellvertreter. Diese oder dieser führt die Geschäfte im Verhinderungsfall.“
c) In Absatz 3 entfällt Satz 2.
23. § 22 wird wie folgt geändert:
a) Die Überschrift wird durch die Worte „und Befugnisse“ ergänzt.
b) Die Absätze 1 bis 4 werden durch die folgenden Absätze 1 bis 5 ersetzt:
„(1) Der Landesbeauftragte für den Datenschutz überwacht die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. Den Stellen kann der Landesbeauftragte für den Datenschutz auch Empfehlungen zur Verbesserung des Datenschutzes geben, insbesondere die Landesregierung und einzelne Ministerien, Gemeinden und Gemeindeverbände sowie die übrigen öffentlichen Stellen in Fragen des Datenschutzes beraten.
(2) Die öffentlichen Stellen sind verpflichtet, den Landesbeauftragten für den Datenschutz bei der Aufgabenerfüllung zu unterstützen und Amtshilfe zu leisten. Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder Einsichtsverlangen nicht entgegengehalten werden. Dem Landesbeauftragten für den Datenschutz sind insbesondere
1. Auskunft über die Fragen zu erteilen sowie Einsicht in alle Datenverarbeitungsvorgänge, Dokumentationen und Aufzeichnungen zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich auch in die gespeicherten Daten,
2. jederzeit Zutritt zu allen Diensträumen und Zugriff auf elektronische Dienste zu gewähren und
3. Kopien von Unterlagen, von automatisierten Dateien, von deren Verfahren und von organisatorischen Regelungen zur Mitnahme zur Verfügung zu stellen, soweit nicht die Aufgabenerfüllung der verantwortlichen Stelle wesentlich gefährdet wird. Die Gefährdung ist schriftlich zu begründen.
Die Rechte nach Satz 3 dürfen nur vom Landesbeauftragten für den Datenschutz persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. In diesem Fall müssen personenbezogene Daten einer betroffenen Person, der von der datenverarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihm gegenüber nicht offenbart werden.
(3) Der Landesbeauftragte für den Datenschutz ist frühzeitig über Planungen zur Entwicklung, zum Aufbau oder zur wesentlichen Veränderung automatisierter Datenverarbeitungs- und Informationssysteme zu unterrichten, sofern in dem jeweiligen System personenbezogene Daten verarbeitet werden sollen. Dasselbe gilt bei Entwürfen für Rechts- oder Verwaltungsvorschriften des Landes, wenn sie eine Verarbeitung personenbezogener Daten vorsehen.
(4) Der Landtag und die Landesregierung können den Landesbeauftragten für den Datenschutz mit der Erstattung von Gutachten und Stellungnahmen oder der Durchführung von Untersuchungen in Datenschutzfragen betrauen.
(5) Der Landesbeauftragte für den Datenschutz ist befugt, personenbezogene Daten, die ihm durch Beschwerden, Anfragen, Hinweise und Beratungswünsche bekannt werden, zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Er darf im Rahmen von Kontrollmaßnahmen personenbezogene Daten auch ohne Kenntnis der betroffenen Person erheben. Von einer Benachrichtigung der betroffenen Person kann nach pflichtgemäßem Ermessen abgesehen werden. Die nach den Sätzen 1 und 2 erhobenen und verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden.“
c) Der bisherige Absatz 5 wird Absatz 6 und erhält die Fassung:
„(6) Der Landesbeauftragte für den Datenschutz arbeitet mit den Behörden und sonstigen Stellen zusammen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in der Europäischen Union, im Bund und in den Ländern zuständig sind. Aufsichtsbehörde im Sinne des § 38 Bundesdatenschutzgesetz ist der Landesbeauftragte für den Datenschutz. Insofern untersteht er der Aufsicht des Innenministeriums. Führt er die Weisungen nicht aus, kann ihn das Innenministerium erneut anweisen. Kommt er der neuerlichen Weisung nicht binnen einer Woche nach, steht zur Prüfung der Rechtmäßigkeit der Weisung der Rechtsweg vor dem Verwaltungsgericht offen. Kommt der Landesbeauftragte für den Datenschutz der Weisung auch nach Bestätigung ihrer Rechtmäßigkeit durch das Verwaltungsgericht nicht nach, kann das Innenministerium den Vertreter anweisen; entgegenstehende Weisungen des Landesbeauftragten für den Datenschutz sind unbeachtlich. Das Innenministerium und der Landesbeauftragte für den Datenschutz werden ermächtigt, Regelungen zum weiteren Verfahren der Aufsicht im nicht-öffentlichen Bereich zu vereinbaren.“
24. § 23 wird aufgehoben.
25. § 24 Abs. 1 Satz 1 Nr. 1 wird wie folgt ergänzt:
„beim Landesrechnungshof gegenüber der Präsidentin oder dem Präsidenten,“
26. § 25 wird wie folgt geändert:
a) In der Überschrift werden die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
b) Absatz 1 erhält folgende Fassung:
„(1) Wer der Ansicht ist, dass gegen Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften verstoßen worden ist oder ein solcher Verstoß bevorsteht, hat das Recht, sich unmittelbar an den Landesbeauftragten für den Datenschutz zu wenden; dies gilt auch für Bedienstete öffentlicher Stellen, ohne dass der Dienstweg eingehalten werden muss.“
27. § 26 wird aufgehoben.
28. § 27 erhält folgende Fassung:
„§ 27
Datenschutzbericht
Der Landesbeauftragte für den Datenschutz legt dem Landtag und der Landesregierung jeweils für zwei Kalenderjahre einen Bericht über seine Tätigkeit vor (Datenschutzbericht). Die Landesregierung nimmt hierzu gegenüber dem Landtag schriftlich Stellung. Der Landesbeauftragte für den Datenschutz berät und informiert mit dem Bericht und auf andere Weise die Bürger sowie die Öffentlichkeit zu Fragen des Datenschutzes.“
29. § 28 wird wie folgt neu gefasst:
„§ 28
Datenverarbeitung für wissenschaftliche Zwecke
(1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken soll in anonymisierter Form erfolgen. Stehen einer Anonymisierung wissenschaftliche Gründe entgegen, dürfen die Daten auch verarbeitet werden, wenn sie pseudonymisiert werden und der mit der Forschung befasste Personenkreis oder die empfangende Stelle oder Person keinen Zugriff auf die Zuordnungsfunktion hat. Datenerfassung, Anonymisierung oder Pseudonymisierung kann auch durch die mit der Forschung befassten Personen erfolgen, wenn sie zuvor nach dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet worden sind und unter der Aufsicht der übermittelnden Stelle stehen.
(2) Ist eine Anonymisierung oder Pseudonymisierung nicht möglich, so dürfen personenbezogene Daten für ein bestimmtes Forschungsvorhaben verarbeitet werden, wenn
1. die betroffene Person eingewilligt hat,
2. schutzwürdige Belange der betroffenen Person wegen der Art der Daten oder der Art der Verwendung nicht beeinträchtigt werden oder
3. der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßig großem Aufwand erreicht werden kann und das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der betroffenen Person überwiegt.
(3) Sobald es der Forschungszweck gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Die Merkmale, mit deren Hilfe ein Personenbezug wiederhergestellt werden kann, sind gesondert zu speichern; sie müssen gelöscht werden, sobald der Forschungszweck dies zulässt. Sollen personenbezogene Daten für einen anderen als den ursprünglichen Forschungszweck verarbeitet werden, ist dies nur nach Maßgabe der Absätze 1 und 2 zulässig.
(4) Die zu wissenschaftlichen Zwecken verarbeiteten Daten dürfen nur veröffentlicht werden, wenn
1. die betroffene Person eingewilligt hat oder
2. das öffentliche Interesse an der Darstellung des Forschungsergebnisses die schutzwürdigen Belange der betroffenen Person erheblich überwiegt.
(5) Soweit öffentliche Stellen personenbezogene Daten übermitteln, haben sie diejenigen empfangenden Stellen, auf die dieses Gesetz keine Anwendung findet, darauf zu verpflichten, die Vorschriften der Absätze 1 bis 4 einzuhalten und jederzeit Kontrollen durch den Landesbeauftragten für den Datenschutz zu ermöglichen. Bei einer Datenübermittlung an Stellen außerhalb des Geltungsbereichs dieses Gesetzes hat die übermittelnde Stelle die für den Empfänger zuständige Datenschutzkontrollbehörde zu unterrichten.“
30. § 29 wird wie folgt geändert:
a) In Absatz 1 Satz 2 werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ und in Satz 3 die Worte „des Betroffenen“ durch die Worte „der betroffenen Person“ ersetzt.
b) Nach Absatz 1 wird folgender Absatz 2 eingefügt:
„(2) Die beamtenrechtlichen Vorschriften über die Führung von Personalakten (§§ 102 ff. Landesbeamtengesetz) sind für alle nicht beamteten Beschäftigten einer öffentlichen Stelle entsprechend anzuwenden, soweit nicht die Besonderheiten des Tarif- und Arbeitsrechts hinsichtlich der Aufnahme und Entfernung von bestimmten Vorgängen und Vermerken eine abweichende Behandlung erfordern.“
c) Der bisherige Absatz 2 wird Absatz 3. In Satz 1 werden die Worte „des Bewerbers“ durch die Worte „der betroffenen Person“ ersetzt.
d) Der bisherige Absatz 3 wird Absatz 4. In Satz 1 werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ ersetzt.
e) Der bisherige Absatz 4 wird Absatz 5. Die Worte „des“ werden jeweils durch die Worte „der“ ersetzt.
f) Der bisherige Absatz 5 wird Absatz 6.Die Worte „Abs. 2“ werden gestrichen.
g) Der bisherige Absatz 6 wird Absatz 7.
31. Nach § 29 werden folgende §§ 29 a und 29 b eingefügt:
„§ 29 a
Mobile personenbezogene Datenverarbeitungssysteme
(1) Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden und die über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle Daten automatisiert austauschen können (mobile Datenverarbeitungssysteme, z. B. Chipkarten), dürfen nur mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden.
(2) Für die Betroffenen muss jederzeit erkennbar sein,
1. ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst stattfinden,
2. welche personenbezogenen Daten der betroffenen Person verarbeitet werden und
3. welcher Verarbeitungsvorgang im Einzelnen abläuft oder angestoßen wird.
Den Betroffenen müssen die Informationen nach Nummer 2 und 3 auf ihren Wunsch auch schriftlich in Papierform mitgeteilt werden.
(3) Die Betroffenen sind bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihnen nach § 5 zustehenden Rechte aufzuklären. Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, dass diese in angemessenem Umfang zur Verfügung stehen.“
„§ 29 b
Optisch-elektronische Überwachung
(1) Die nicht mit einer Speicherung verbundene Beobachtung öffentlich zugänglicher Bereiche mit optisch-elektronischen Einrichtungen ist zulässig, soweit dies der Wahrnehmung des Hausrechts dient und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen betroffener Personen überwiegen. Die Tatsache der Beobachtung ist, soweit nicht offenkundig, den Betroffenen durch geeignete Maßnahmen erkennbar zu machen.
(2) Die Speicherung von nach Absatz 1 Satz 1 erhobenen Daten ist nur bei einer konkreten Gefahr zu Beweiszwecken zulässig, wenn dies zum Erreichen der verfolgten Zwecke unverzichtbar ist. Die Daten sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind; dies ist in angemessenen Zeitabständen zu prüfen.
(3) Werden die gespeicherten Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese jeweils davon zu benachrichtigen. Von einer Benachrichtigung kann abgesehen werden, solange das öffentliche Interesse an einer Strafverfolgung das Benachrichtigungsrecht der betroffenen Person erheblich überwiegt.“
32. § 30 wird wie folgt geändert:
a) In Absatz 1 Satz 1, 2, 3 und 4 werden die Worte „der Betroffene“ / „Der Betroffene“ durch die Worte „die betroffene Person“ / „ Die betroffene Person“ ersetzt sowie in Satz 4 das Wort „seine“ durch das Wort „ihre“ .
b) In Absatz 2 Satz 1 werden die Worte „der Betroffene“ durch die Worte „die betroffene Person“ ersetzt. In Absatz 2 Satz 2 werden die Worte „er seine“ durch die Worte „sie ihre“ und das Wort „ihm“ durch das Wort „ihr“ ersetzt.
33. Nach § 32 wird folgender § 32 a eingefügt:
„§ 32 a
Behördliche Datenschutzbeauftragte
(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter zu bestellen. Der Beauftragte muss die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Mehrere Stellen können gemeinsam einen Beauftragten für den Datenschutz bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bei Bedarf kann eine Stelle auch mehrere Beauftragte sowie mehrere Vertreter bestellen. Der Beauftragte unterstützt die Stelle bei der Sicherstellung des Datenschutzes. Er berät die datenverarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten und überwacht bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren die Einhaltung der einschlägigen Vorschriften. Er ist bei der Erarbeitung behördeninterner Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten frühzeitig zu beteiligen und hat die Einhaltung der datenschutzrechtlichen Vorschriften zu überwachen, die mit der Verarbeitung personenbezogener Daten befassten Personen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen und die Vorabkontrolle durchzuführen. Satz 5 findet auch Anwendung auf die Tätigkeit von Personalvertretungen, soweit bei diesen personenbezogene Daten verarbeitet werden.
(2) Der Beauftragte ist in seiner Eigenschaft als behördlicher Datenschutzbeauftragter der Leitung der öffentlichen Stelle unmittelbar zu unterstellen und in dieser Funktion weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Während seiner Tätigkeit darf er mit keiner Aufgabe betraut sein, deren Wahrnehmung zu Interessenkollision führen könnte.
(3) Die verantwortliche Stelle ist verpflichtet, dem Beauftragten die Beschreibung aller automatisiert geführten Verfahren, in denen personenbezogene Daten verarbeitet werden, mit den nach § 8 Abs. 1 vorgesehenen Angaben vorzulegen. Der Beauftragte führt das Verfahrensverzeichnis. Er gewährt jeder Person unentgeltlich nach Maßgabe des § 8 Abs. 2 Einsicht in das Verfahrensverzeichnis. Das Einsichtsrecht in die Verfahrensverzeichnisse, die bei den in § 2 Abs. 2 Satz 1 genannten Stellen geführt werden, kann verwehrt werden, soweit damit Betriebs- oder Geschäftsgeheimnisse offenbart würden. Wird keine Einsicht gewährt, ist in geeigneter Weise Auskunft zu erteilen; die Gründe für die Verweigerung der Einsichtnahme sind aktenkundig zu machen und die einsichtverlangende Person ist darauf hinzuweisen, dass sie sich an den Landesbeauftragten für den Datenschutz wenden kann. Dem Landesbeauftragten für den Datenschutz ist auf sein Verlangen Einsicht in das Verfahrensverzeichnis zu gewähren.
(4) Bedienstete der öffentlichen Stellen können sich jederzeit in Angelegenheiten des Datenschutzes unmittelbar an den Beauftragten wenden. Der Beauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet, soweit er von der betroffenen Person davon nicht befreit wurde.“
34. In § 33 Abs. 1 werden nach dem Wort „Vorschriften“ die Worte „über den Datenschutz in diesem Gesetz oder in anderen Rechtsvorschriften des Landes Nordrhein-Westfalen“ eingefügt; die Worte „dieses Gesetzes“ entfallen.
35. § 34 wird wie folgt geändert:
a) In Absatz 1 werden nach dem Wort „Vorschriften“ die Worte „über den Datenschutz in diesem Gesetz oder in anderen Rechtsvorschriften des Landes Nordrhein-Westfalen“ eingefügt; die Worte „dieses Gesetzes“ entfallen.
b) In Absatz 2 werden nach den Worten „Deutschen Mark“ die Worte „oder Fünfzigtausend Euro“ eingefügt.
c) Absatz 3 erhält die Fassung:
„(3) Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten ist für die Verfolgung und Ahndung von Ordnungswidrigkeiten
a) nach den Absätzen 1 und 2 die Bezirksregierung,
b) nach § 44 des Bundesdatenschutzgesetzes der Landesbeauftragte für den Datenschutz.“
36. § 35 wird wie folgt geändert:
a) Als Absatz 1 wird eingefügt:
„(1) Verarbeitungen personenbezogener Daten, die zum Zeitpunkt des In-Kraft-Tretens dieses Gesetzes bereits begonnen wurden, sind innerhalb von drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.“
b) Der bisherige Absatz 1 entfällt.
c) Absatz 2 erhält die Fassung:
„(2) Für Behörden des Justizvollzuges gilt § 18 mit der Maßgabe, dass die betroffene Person Auskunft oder Akteneinsicht erhält, soweit sie zur Wahrnehmung ihrer Rechte oder berechtigten Interessen auf die Kenntnis gespeicherter Daten angewiesen ist. § 185 des Strafvollzugsgesetzes bleibt unberührt.“
d) In Absatz 3 Satz 1 werden die Worte „§ 23 Abs. 1“ durch die Worte „§ 32 a Abs. 3“ ersetzt. Folgender Satz 2 wird angefügt:
„Im Übrigen wird die Dateienregisterverordnung vom 11. April 1989 (GV. NRW. S. 226) aufgehoben.“
Artikel 2
Neubekanntmachungsbefugnis
Das Innenministerium wird ermächtigt, das Datenschutzgesetz Nordrhein-Westfalen in der sich aus Artikel 1 dieses Gesetzes ergebenden Fassung mit der Abkürzung „DSG NRW“ neu bekannt zu machen und dabei Unstimmigkeiten des Wortlauts einschließlich der Verweisungen sowie der Rechtschreibung zu berichtigen.
Artikel 3
Änderung des Polizeigesetzes
Das Polizeigesetz des Landes Nordrhein-Westfalen (PolG NRW) in der Fassung vom 24. Februar 1990 (GV. NRW. S. 70) wird wie folgt geändert:
Nach § 15 wird als § 15 a eingefügt:
„§ 15 a
Datenerhebung durch den offenen Einsatz optisch-technischer Mittel
(1) Zur Verhütung von Straftaten kann die Polizei einzelne öffentlich zugängliche Orte, an denen wiederholt Straftaten begangen wurden, mittels Bildübertragung beobachten, solange Tatsachen die Annahme rechtfertigen, dass dort weitere Straftaten begangen werden. Die Beobachtung ist, falls nicht offenkundig, durch geeignete Maßnahmen erkennbar zu machen.
(2) Ergibt sich durch die Beobachtung der Verdacht einer begonnenen oder unmittelbar bevorstehenden Straftat, können die übertragenen Bilder aufgezeichnet werden. Die Aufzeichnungen dürfen nur zur Verfolgung von Straftaten verwendet werden. Soweit sie für diesen Zweck nicht oder nicht mehr benötigt werden, sind sie unverzüglich zu löschen.
(3) Werden die aufgezeichneten Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese jeweils davon zu benachrichtigen. Von der Benachrichtigung kann abgesehen werden, solange das öffentliche Interesse an der Strafverfolgung das Benachrichtigungsrecht der betroffenen Person erheblich überwiegt.
(4) Straftaten im Sinne dieser Vorschrift sind solche von erheblicher Bedeutung im Sinne von § 8 Abs. 3 dieses Gesetzes sowie die im Sinne der §§ 224, 244 Abs. 1 Nr. 1 StGB.
Artikel 4
Aufhebung der Verordnung über Zuständigkeiten nach dem Bundesdatenschutzgesetz
Die Verordnung über Zuständigkeiten nach dem Bundesdatenschutzgesetz vom 29. September 1992 (GV. NRW. S. 369) wird aufgehoben.
Artikel 5
In-Kraft-Treten
Dieses Gesetz tritt am Tage nach der Verkündung in Kraft. Die Pflicht zur Dokumentation der Berichtigung von Daten nach § 19 Abs. 1 DSG NRW entsteht für Berichtigungen, die nach In-Kraft-Treten des Gesetzes vorzunehmen sind.
Düsseldorf, den 9. Mai 2000
Die Landesregierung
Nordrhein-Westfalen
Der Ministerpräsident
Wolfgang C l e m e n t
(L. S.)
Der Finanzminister
Peer S t e i n b r ü c k
Der Innenminister
Dr. Fritz B e h r e n s
Der Justizminister
Jochen D i e c k m a n n
Der Minister
für Wirtschaft und Mittelstand,
Technologie und Verkehr
Ernst S c h w a n h o l d
Die Ministerin
für Arbeit, Soziales
und Stadtentwicklung,
Kultur und Sport
Ilse B r u s i s
Die Ministerin
für Schule und Weiterbildung,
Wissenschaft und Forschung
Gabriele B e h l e r
Der Minister
für Bauen und Wohnen
Dr. Michael V e s p e r
Die Ministerin
für Umwelt, Raumordnung
und Landwirtschaft
Bärbel H ö h n
Die Ministerin
für Frauen, Jugend,
Familie und Gesundheit
Birgit F i s c h e r
GV. NRW. 2000 S. 452