Sie sind auf Seite 1von 36

Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5.

Juli 2017 2097

Gesetz
zur Anpassung des Datenschutzrechts an die
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680
(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Vom 30. Juni 2017

Der Bundestag hat mit Zustimmung des Bundes- § 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden
rates das folgende Gesetz beschlossen: des Bundes und der Länder
§ 19 Zuständigkeiten
Artikel 1
Kapitel 6
Bundesdatenschutzgesetz
Rechtsbehelfe
(BDSG)
§ 20 Gerichtlicher Rechtsschutz
Inhaltsübersicht
§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entschei-
Teil 1 dung bei angenommener Rechtswidrigkeit eines Be-
schlusses der Europäischen Kommission
Gemeinsame Bestimmungen
Kapitel 1 Teil 2
Anwendungsbereich Durchführungsbestimmungen
und Begriffsbestimmungen für Verarbeitungen zu Zwecken
§ 1 Anwendungsbereich des Gesetzes gemäß Artikel 2 der Verordnung (EU) 2016/679
§ 2 Begriffsbestimmungen Kapitel 1

Kapitel 2 Rechtsgrundlagen der


Verarbeitung personenbezogener Daten
Rechtsgrundlagen der
Verarbeitung personenbezogener Daten Abschnitt 1
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Verarbeitung besonderer
Stellen Kategorien personenbezogener
§ 4 Videoüberwachung öffentlich zugänglicher Räume Daten und Verarbeitung zu anderen Zwecken

Kapitel 3 § 22 Verarbeitung besonderer Kategorien personenbezogener


Daten
Datenschutzbeauftragte öffentlicher Stellen § 23 Verarbeitung zu anderen Zwecken durch öffentliche
§ 5 Benennung Stellen
§ 6 Stellung § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche
Stellen
§ 7 Aufgaben
§ 25 Datenübermittlungen durch öffentliche Stellen
Kapitel 4
Abschnitt 2
Die oder der
Bundesbeauftragte für Besondere Verarbeitungssituationen
den Datenschutz und die Informationsfreiheit
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsver-
§ 8 Errichtung hältnisses
§ 9 Zuständigkeit § 27 Datenverarbeitung zu wissenschaftlichen oder histori-
§ 10 Unabhängigkeit schen Forschungszwecken und zu statistischen Zwecken
§ 11 Ernennung und Amtszeit § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden
Archivzwecken
§ 12 Amtsverhältnis
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche
§ 13 Rechte und Pflichten
Befugnisse im Fall von Geheimhaltungspflichten
§ 14 Aufgaben
§ 30 Verbraucherkredite
§ 15 Tätigkeitsbericht
§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Boni-
§ 16 Befugnisse tätsauskünften

Kapitel 5
Kapitel 2
Vertretung im
Europäischen Datenschutzausschuss, Rechte der betroffenen Person
zentrale Anlaufstelle, Zusammenarbeit der § 32 Informationspflicht bei Erhebung von personenbezoge-
Aufsichtsbehörden des Bundes und der Länder nen Daten bei der betroffenen Person
in Angelegenheiten der Europäischen Union
§ 33 Informationspflicht, wenn die personenbezogenen Daten
§ 17 Vertretung im Europäischen Datenschutzausschuss, nicht bei der betroffenen Person erhoben wurden
zentrale Anlaufstelle § 34 Auskunftsrecht der betroffenen Person

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2098 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

§ 35 Recht auf Löschung § 57 Auskunftsrecht


§ 36 Widerspruchsrecht § 58 Rechte auf Berichtigung und Löschung sowie Einschrän-
§ 37 Automatisierte Entscheidungen im Einzelfall einschließ- kung der Verarbeitung
lich Profiling § 59 Verfahren für die Ausübung der Rechte der betroffenen
Person
Kapitel 3 § 60 Anrufung der oder des Bundesbeauftragten
§ 61 Rechtsschutz gegen Entscheidungen der oder des
Pflichten der Bundesbeauftragten oder bei deren oder dessen Untätig-
Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r keit
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
§ 39 Akkreditierung Kapitel 4
Pflichten der
Kapitel 4 Ve r a n t w o r t l i c h e n u n d A u f t r a g s v e r a r b e i t e r
Aufsichtsbehörde § 62 Auftragsverarbeitung
für die Datenverarbeitung § 63 Gemeinsam Verantwortliche
durch nichtöffentliche Stellen
§ 64 Anforderungen an die Sicherheit der Datenverarbeitung
§ 40 Aufsichtsbehörden der Länder § 65 Meldung von Verletzungen des Schutzes personenbezo-
gener Daten an die oder den Bundesbeauftragten
Kapitel 5 § 66 Benachrichtigung betroffener Personen bei Verletzungen
des Schutzes personenbezogener Daten
Sanktionen § 67 Durchführung einer Datenschutz-Folgenabschätzung
§ 41 Anwendung der Vorschriften über das Bußgeld- und § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
Strafverfahren § 69 Anhörung der oder des Bundesbeauftragten
§ 42 Strafvorschriften § 70 Verzeichnis von Verarbeitungstätigkeiten
§ 43 Bußgeldvorschriften § 71 Datenschutz durch Technikgestaltung und datenschutz-
freundliche Voreinstellungen
Kapitel 6 § 72 Unterscheidung zwischen verschiedenen Kategorien be-
troffener Personen
Rechtsbehelfe § 73 Unterscheidung zwischen Tatsachen und persönlichen
Einschätzungen
§ 44 Klagen gegen den Verantwortlichen oder Auftragsver-
arbeiter § 74 Verfahren bei Übermittlungen
§ 75 Berichtigung und Löschung personenbezogener Daten
sowie Einschränkung der Verarbeitung
Teil 3
§ 76 Protokollierung
Bestimmungen für § 77 Vertrauliche Meldung von Verstößen
Verarbeitungen zu Zwecken
gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
Kapitel 5
Kapitel 1 Datenübermittlungen
Anwendungsbereich, an Drittstaaten und an
Begriffsbestimmungen internationale Organisationen
und allgemeine Grundsätze für die
Ver a r b e i t un g p e r s o ne n be z o g e ne r D at e n § 78 Allgemeine Voraussetzungen
§ 79 Datenübermittlung bei geeigneten Garantien
§ 45 Anwendungsbereich § 80 Datenübermittlung ohne geeignete Garantien
§ 46 Begriffsbestimmungen § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
§ 47 Allgemeine Grundsätze für die Verarbeitung personen-
bezogener Daten Kapitel 6

Kapitel 2 Zusammenarbeit der Aufsichtsbehörden

Rechtsgrundlagen der § 82 Gegenseitige Amtshilfe


Ver a r b e i t un g p e r s o ne n be z o g e ne r D at e n
Kapitel 7
§ 48 Verarbeitung besonderer Kategorien personenbezogener
Daten Haftung und Sanktionen
§ 49 Verarbeitung zu anderen Zwecken
§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und § 83 Schadensersatz und Entschädigung
statistischen Zwecken § 84 Strafvorschriften
§ 51 Einwilligung
§ 52 Verarbeitung auf Weisung des Verantwortlichen Teil 4
§ 53 Datengeheimnis Besondere Bestimmungen für
§ 54 Automatisierte Einzelentscheidung Verarbeitungen im Rahmen von nicht in die
Anwendungsbereiche der Verordnung (EU) 2016/679
Kapitel 3 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

Rechte der betroffenen Person § 85 Verarbeitung personenbezogener Daten im Rahmen von


nicht in die Anwendungsbereiche der Verordnung (EU)
§ 55 Allgemeine Informationen zu Datenverarbeitungen 2016/679 und der Richtlinie (EU) 2016/680 fallenden
§ 56 Benachrichtigung betroffener Personen Tätigkeiten

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2099

Te i l 1 Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung


findet, gelten für den Verantwortlichen oder Auftrags-
Gemeinsame Bestimmungen
verarbeiter nur die §§ 8 bis 21, 39 bis 44.
Kapitel 1 (5) Die Vorschriften dieses Gesetzes finden keine An-
wendung, soweit das Recht der Europäischen Union,
Anwendungsbereich und Begriffsbestimmungen im Besonderen die Verordnung (EU) 2016/679 in der
jeweils geltenden Fassung, unmittelbar gilt.
§1
(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2
Anwendungsbereich des Gesetzes
der Verordnung (EU) 2016/679 stehen die Vertrags-
(1) Dieses Gesetz gilt für die Verarbeitung personen- staaten des Abkommens über den Europäischen Wirt-
bezogener Daten durch schaftsraum und die Schweiz den Mitgliedstaaten der
1. öffentliche Stellen des Bundes, Europäischen Union gleich. Andere Staaten gelten
insoweit als Drittstaaten.
2. öffentliche Stellen der Länder, soweit der Daten-
schutz nicht durch Landesgesetz geregelt ist und (7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1
soweit sie Absatz 1 der Richtlinie (EU) 2016/680 des Euro-
a) Bundesrecht ausführen oder päischen Parlaments und des Rates vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung
b) als Organe der Rechtspflege tätig werden und personenbezogener Daten durch die zuständigen Be-
es sich nicht um Verwaltungsangelegenheiten hörden zum Zwecke der Verhütung, Ermittlung, Aufde-
handelt. ckung oder Verfolgung von Straftaten oder der Straf-
Für nichtöffentliche Stellen gilt dieses Gesetz für die vollstreckung sowie zum freien Datenverkehr und zur
ganz oder teilweise automatisierte Verarbeitung perso- Aufhebung des Rahmenbeschlusses 2008/977/JI des
nenbezogener Daten sowie die nicht automatisierte Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei
Verarbeitung personenbezogener Daten, die in einem der Umsetzung, Anwendung und Entwicklung des
Dateisystem gespeichert sind oder gespeichert werden Schengen-Besitzstands assoziierten Staaten den Mit-
sollen, es sei denn, die Verarbeitung durch natürliche gliedstaaten der Europäischen Union gleich. Andere
Personen erfolgt zur Ausübung ausschließlich persön- Staaten gelten insoweit als Drittstaaten.
licher oder familiärer Tätigkeiten.
(8) Für Verarbeitungen personenbezogener Daten
(2) Andere Rechtsvorschriften des Bundes über den durch öffentliche Stellen im Rahmen von nicht in die
Datenschutz gehen den Vorschriften dieses Gesetzes Anwendungsbereiche der Verordnung (EU) 2016/679
vor. Regeln sie einen Sachverhalt, für den dieses und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
Gesetz gilt, nicht oder nicht abschließend, finden die finden die Verordnung (EU) 2016/679 und die Teile 1
Vorschriften dieses Gesetzes Anwendung. Die Ver- und 2 dieses Gesetzes entsprechend Anwendung, so-
pflichtung zur Wahrung gesetzlicher Geheimhaltungs- weit nicht in diesem Gesetz oder einem anderen Gesetz
pflichten oder von Berufs- oder besonderen Amtsge- Abweichendes geregelt ist.
heimnissen, die nicht auf gesetzlichen Vorschriften be-
ruhen, bleibt unberührt. §2
(3) Die Vorschriften dieses Gesetzes gehen denen
Begriffsbestimmungen
des Verwaltungsverfahrensgesetzes vor, soweit bei
der Ermittlung des Sachverhalts personenbezogene (1) Öffentliche Stellen des Bundes sind die Behör-
Daten verarbeitet werden. den, die Organe der Rechtspflege und andere öffent-
(4) Dieses Gesetz findet Anwendung auf öffentliche lich-rechtlich organisierte Einrichtungen des Bundes,
Stellen. Auf nichtöffentliche Stellen findet es Anwen- der bundesunmittelbaren Körperschaften, der Anstal-
dung, sofern ten und Stiftungen des öffentlichen Rechts sowie deren
Vereinigungen ungeachtet ihrer Rechtsform.
1. der Verantwortliche oder Auftragsverarbeiter perso-
nenbezogene Daten im Inland verarbeitet, (2) Öffentliche Stellen der Länder sind die Behörden,
die Organe der Rechtspflege und andere öffentlich-
2. die Verarbeitung personenbezogener Daten im Rah-
rechtlich organisierte Einrichtungen eines Landes, einer
men der Tätigkeiten einer inländischen Niederlas-
Gemeinde, eines Gemeindeverbandes oder sonstiger
sung des Verantwortlichen oder Auftragsverarbeiters
der Aufsicht des Landes unterstehender juristischer
erfolgt oder
Personen des öffentlichen Rechts sowie deren Vereini-
3. der Verantwortliche oder Auftragsverarbeiter zwar gungen ungeachtet ihrer Rechtsform.
keine Niederlassung in einem Mitgliedstaat der
Europäischen Union oder in einem anderen Ver- (3) Vereinigungen des privaten Rechts von öffent-
tragsstaat des Abkommens über den Europäischen lichen Stellen des Bundes und der Länder, die Aufga-
Wirtschaftsraum hat, er aber in den Anwendungs- ben der öffentlichen Verwaltung wahrnehmen, gelten
bereich der Verordnung (EU) 2016/679 des Euro- ungeachtet der Beteiligung nichtöffentlicher Stellen als
päischen Parlaments und des Rates vom 27. April öffentliche Stellen des Bundes, wenn
2016 zum Schutz natürlicher Personen bei der 1. sie über den Bereich eines Landes hinaus tätig
Verarbeitung personenbezogener Daten, zum freien werden oder
Datenverkehr und zur Aufhebung der Richtlinie
2. dem Bund die absolute Mehrheit der Anteile gehört
95/46/EG (Datenschutz-Grundverordnung) (ABl.
oder die absolute Mehrheit der Stimmen zusteht.
L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016,
S. 72) fällt. Andernfalls gelten sie als öffentliche Stellen der Länder.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2100 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

(4) Nichtöffentliche Stellen sind natürliche und juris- gilt entsprechend. Für einen anderen Zweck dürfen sie
tische Personen, Gesellschaften und andere Personen- nur weiterverarbeitet werden, soweit dies zur Abwehr
vereinigungen des privaten Rechts, soweit sie nicht von Gefahren für die staatliche und öffentliche Sicher-
unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffent- heit sowie zur Verfolgung von Straftaten erforderlich ist.
liche Stelle hoheitliche Aufgaben der öffentlichen Ver- (4) Werden durch Videoüberwachung erhobene Da-
waltung wahr, ist sie insoweit öffentliche Stelle im Sinne ten einer bestimmten Person zugeordnet, so besteht
dieses Gesetzes. die Pflicht zur Information der betroffenen Person über
(5) Öffentliche Stellen des Bundes gelten als nicht- die Verarbeitung gemäß den Artikeln 13 und 14 der Ver-
öffentliche Stellen im Sinne dieses Gesetzes, soweit sie ordnung (EU) 2016/679. § 32 gilt entsprechend.
als öffentlich-rechtliche Unternehmen am Wettbewerb (5) Die Daten sind unverzüglich zu löschen, wenn sie
teilnehmen. Als nichtöffentliche Stellen im Sinne dieses zur Erreichung des Zwecks nicht mehr erforderlich sind
Gesetzes gelten auch öffentliche Stellen der Länder, oder schutzwürdige Interessen der Betroffenen einer
soweit sie als öffentlich-rechtliche Unternehmen am weiteren Speicherung entgegenstehen.
Wettbewerb teilnehmen, Bundesrecht ausführen und
der Datenschutz nicht durch Landesgesetz geregelt ist. Kapitel 3
Kapitel 2 Datenschutzbeauftragte öffentlicher Stellen
Rechtsgrundlagen der §5
Verarbeitung personenbezogener Daten
Benennung
§3 (1) Öffentliche Stellen benennen eine Datenschutz-
beauftragte oder einen Datenschutzbeauftragten. Dies
Verarbeitung
gilt auch für öffentliche Stellen nach § 2 Absatz 5, die
personenbezogener Daten durch öffentliche Stellen
am Wettbewerb teilnehmen.
Die Verarbeitung personenbezogener Daten durch
(2) Für mehrere öffentliche Stellen kann unter Be-
eine öffentliche Stelle ist zulässig, wenn sie zur Erfül-
rücksichtigung ihrer Organisationsstruktur und ihrer
lung der in der Zuständigkeit des Verantwortlichen lie-
Größe eine gemeinsame Datenschutzbeauftragte oder
genden Aufgabe oder in Ausübung öffentlicher Gewalt,
ein gemeinsamer Datenschutzbeauftragter benannt
die dem Verantwortlichen übertragen wurde, erforder-
werden.
lich ist.
(3) Die oder der Datenschutzbeauftragte wird auf der
§4 Grundlage ihrer oder seiner beruflichen Qualifikation
und insbesondere ihres oder seines Fachwissens be-
Videoüberwachung öffentlich zugänglicher Räume nannt, das sie oder er auf dem Gebiet des Daten-
(1) Die Beobachtung öffentlich zugänglicher Räume schutzrechts und der Datenschutzpraxis besitzt, sowie
mit optisch-elektronischen Einrichtungen (Videoüber- auf der Grundlage ihrer oder seiner Fähigkeit zur Erfül-
wachung) ist nur zulässig, soweit sie lung der in § 7 genannten Aufgaben.
1. zur Aufgabenerfüllung öffentlicher Stellen, (4) Die oder der Datenschutzbeauftragte kann Be-
2. zur Wahrnehmung des Hausrechts oder schäftigte oder Beschäftigter der öffentlichen Stelle
sein oder ihre oder seine Aufgaben auf der Grundlage
3. zur Wahrnehmung berechtigter Interessen für kon- eines Dienstleistungsvertrags erfüllen.
kret festgelegte Zwecke
(5) Die öffentliche Stelle veröffentlicht die Kontakt-
erforderlich ist und keine Anhaltspunkte bestehen, dass daten der oder des Datenschutzbeauftragten und teilt
schutzwürdige Interessen der Betroffenen überwiegen. diese Daten der oder dem Bundesbeauftragten für den
Bei der Videoüberwachung von Datenschutz und die Informationsfreiheit mit.
1. öffentlich zugänglichen großflächigen Anlagen, wie
insbesondere Sport-, Versammlungs- und Vergnü- §6
gungsstätten, Einkaufszentren oder Parkplätzen, Stellung
oder
(1) Die öffentliche Stelle stellt sicher, dass die oder
2. Fahrzeugen und öffentlich zugänglichen großflächi- der Datenschutzbeauftragte ordnungsgemäß und früh-
gen Einrichtungen des öffentlichen Schienen-, zeitig in alle mit dem Schutz personenbezogener Daten
Schiffs- und Busverkehrs zusammenhängenden Fragen eingebunden wird.
gilt der Schutz von Leben, Gesundheit oder Freiheit von (2) Die öffentliche Stelle unterstützt die Daten-
dort aufhältigen Personen als ein besonders wichtiges schutzbeauftragte oder den Datenschutzbeauftragten
Interesse. bei der Erfüllung ihrer oder seiner Aufgaben gemäß
(2) Der Umstand der Beobachtung und der Name § 7, indem sie die für die Erfüllung dieser Aufgaben er-
und die Kontaktdaten des Verantwortlichen sind durch forderlichen Ressourcen und den Zugang zu personen-
geeignete Maßnahmen zum frühestmöglichen Zeit- bezogenen Daten und Verarbeitungsvorgängen sowie
punkt erkennbar zu machen. die zur Erhaltung ihres oder seines Fachwissens erfor-
(3) Die Speicherung oder Verwendung von nach derlichen Ressourcen zur Verfügung stellt.
Absatz 1 erhobenen Daten ist zulässig, wenn sie zum (3) Die öffentliche Stelle stellt sicher, dass die oder
Erreichen des verfolgten Zwecks erforderlich ist und der Datenschutzbeauftragte bei der Erfüllung ihrer oder
keine Anhaltspunkte bestehen, dass schutzwürdige seiner Aufgaben keine Anweisungen bezüglich der Aus-
Interessen der Betroffenen überwiegen. Absatz 1 Satz 2 übung dieser Aufgaben erhält. Die oder der Daten-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2101

schutzbeauftragte berichtet unmittelbar der höchsten der Schulung der an den Verarbeitungsvorgängen
Leitungsebene der öffentlichen Stelle. Die oder der Da- beteiligten Beschäftigten und der diesbezüglichen
tenschutzbeauftragte darf von der öffentlichen Stelle Überprüfungen;
wegen der Erfüllung ihrer oder seiner Aufgaben nicht
3. Beratung im Zusammenhang mit der Datenschutz-
abberufen oder benachteiligt werden.
Folgenabschätzung und Überwachung ihrer Durch-
(4) Die Abberufung der oder des Datenschutzbeauf- führung gemäß § 67 dieses Gesetzes;
tragten ist nur in entsprechender Anwendung des § 626
4. Zusammenarbeit mit der Aufsichtsbehörde;
des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung
des Arbeitsverhältnisses ist unzulässig, es sei denn, 5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in
dass Tatsachen vorliegen, welche die öffentliche Stelle mit der Verarbeitung zusammenhängenden Fragen,
zur Kündigung aus wichtigem Grund ohne Einhaltung einschließlich der vorherigen Konsultation gemäß
einer Kündigungsfrist berechtigen. Nach dem Ende § 69 dieses Gesetzes, und gegebenenfalls Beratung
der Tätigkeit als Datenschutzbeauftragte oder als Da- zu allen sonstigen Fragen.
tenschutzbeauftragter ist die Kündigung des Arbeits- Im Fall einer oder eines bei einem Gericht bestellten
verhältnisses innerhalb eines Jahres unzulässig, es sei Datenschutzbeauftragten beziehen sich diese Aufga-
denn, dass die öffentliche Stelle zur Kündigung aus ben nicht auf das Handeln des Gerichts im Rahmen
wichtigem Grund ohne Einhaltung einer Kündigungs- seiner justiziellen Tätigkeit.
frist berechtigt ist.
(2) Die oder der Datenschutzbeauftragte kann an-
(5) Betroffene Personen können die Datenschutzbe-
dere Aufgaben und Pflichten wahrnehmen. Die öffent-
auftragte oder den Datenschutzbeauftragten zu allen
liche Stelle stellt sicher, dass derartige Aufgaben und
mit der Verarbeitung ihrer personenbezogenen Daten
Pflichten nicht zu einem Interessenkonflikt führen.
und mit der Wahrnehmung ihrer Rechte gemäß der Ver-
ordnung (EU) 2016/679, diesem Gesetz sowie anderen (3) Die oder der Datenschutzbeauftragte trägt bei
Rechtsvorschriften über den Datenschutz im Zusam- der Erfüllung ihrer oder seiner Aufgaben dem mit den
menhang stehenden Fragen zu Rate ziehen. Die oder Verarbeitungsvorgängen verbundenen Risiko gebüh-
der Datenschutzbeauftragte ist zur Verschwiegenheit rend Rechnung, wobei sie oder er die Art, den Umfang,
über die Identität der betroffenen Person sowie über die Umstände und die Zwecke der Verarbeitung be-
Umstände, die Rückschlüsse auf die betroffene Person rücksichtigt.
zulassen, verpflichtet, soweit sie oder er nicht davon
durch die betroffene Person befreit wird. Kapitel 4
(6) Wenn die oder der Datenschutzbeauftragte bei Die oder der Bundesbeauftragte für
ihrer oder seiner Tätigkeit Kenntnis von Daten erhält,
den Datenschutz und die Informationsfreiheit
für die der Leitung oder einer bei der öffentlichen Stelle
beschäftigten Person aus beruflichen Gründen ein
Zeugnisverweigerungsrecht zusteht, steht dieses Recht §8
auch der oder dem Datenschutzbeauftragten und den Errichtung
ihr oder ihm unterstellten Beschäftigten zu. Über die
(1) Die oder der Bundesbeauftragte für den Daten-
Ausübung dieses Rechts entscheidet die Person, der
schutz und die Informationsfreiheit (Bundesbeauftragte)
das Zeugnisverweigerungsrecht aus beruflichen Grün-
ist eine oberste Bundesbehörde. Der Dienstsitz ist
den zusteht, es sei denn, dass diese Entscheidung
Bonn.
in absehbarer Zeit nicht herbeigeführt werden kann.
Soweit das Zeugnisverweigerungsrecht der oder des (2) Die Beamtinnen und Beamten der oder des
Datenschutzbeauftragten reicht, unterliegen ihre oder Bundesbeauftragten sind Beamtinnen und Beamte
seine Akten und andere Dokumente einem Beschlag- des Bundes.
nahmeverbot. (3) Die oder der Bundesbeauftragte kann Aufgaben
der Personalverwaltung und Personalwirtschaft auf an-
§7 dere Stellen des Bundes übertragen, soweit hierdurch
Aufgaben die Unabhängigkeit der oder des Bundesbeauftragten
(1) Der oder dem Datenschutzbeauftragten obliegen nicht beeinträchtigt wird. Diesen Stellen dürfen perso-
neben den in der Verordnung (EU) 2016/679 genannten nenbezogene Daten der Beschäftigten übermittelt
Aufgaben zumindest folgende Aufgaben: werden, soweit deren Kenntnis zur Erfüllung der über-
tragenen Aufgaben erforderlich ist.
1. Unterrichtung und Beratung der öffentlichen Stelle
und der Beschäftigten, die Verarbeitungen durchfüh-
§9
ren, hinsichtlich ihrer Pflichten nach diesem Gesetz
und sonstigen Vorschriften über den Datenschutz, Zuständigkeit
einschließlich der zur Umsetzung der Richtlinie (EU) (1) Die oder der Bundesbeauftragte ist zuständig für
2016/680 erlassenen Rechtsvorschriften; die Aufsicht über die öffentlichen Stellen des Bundes,
2. Überwachung der Einhaltung dieses Gesetzes und auch soweit sie als öffentlich-rechtliche Unternehmen
sonstiger Vorschriften über den Datenschutz, ein- am Wettbewerb teilnehmen. Die Vorschriften dieses
schließlich der zur Umsetzung der Richtlinie (EU) Kapitels gelten auch für Auftragsverarbeiter, soweit sie
2016/680 erlassenen Rechtsvorschriften, sowie der nichtöffentliche Stellen sind, bei denen dem Bund die
Strategien der öffentlichen Stelle für den Schutz Mehrheit der Anteile gehört oder die Mehrheit der
personenbezogener Daten, einschließlich der Zuwei- Stimmen zusteht und der Auftraggeber eine öffentliche
sung von Zuständigkeiten, der Sensibilisierung und Stelle des Bundes ist.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2102 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

(2) Die oder der Bundesbeauftragte ist nicht zustän- hat oder die Voraussetzungen für die Wahrnehmung
dig für die Aufsicht über die von den Bundesgerichten ihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fall
im Rahmen ihrer justiziellen Tätigkeit vorgenommenen der Beendigung des Amtsverhältnisses oder der Amts-
Verarbeitungen. enthebung erhält die oder der Bundesbeauftragte eine
von der Bundespräsidentin oder dem Bundespräsiden-
§ 10 ten vollzogene Urkunde. Eine Amtsenthebung wird mit
Unabhängigkeit der Aushändigung der Urkunde wirksam. Endet das
Amtsverhältnis mit Ablauf der Amtszeit, ist die oder
(1) Die oder der Bundesbeauftragte handelt bei der der Bundesbeauftragte verpflichtet, auf Ersuchen der
Erfüllung ihrer oder seiner Aufgaben und bei der Aus- Präsidentin oder des Präsidenten des Bundestages
übung ihrer oder seiner Befugnisse völlig unabhängig. die Geschäfte bis zur Ernennung einer Nachfolgerin
Sie oder er unterliegt weder direkter noch indirekter Be- oder eines Nachfolgers für die Dauer von höchstens
einflussung von außen und ersucht weder um Weisung sechs Monaten weiterzuführen.
noch nimmt sie oder er Weisungen entgegen.
(3) Die Leitende Beamtin oder der Leitende Beamte
(2) Die oder der Bundesbeauftragte unterliegt der
nimmt die Rechte der oder des Bundesbeauftragten
Rechnungsprüfung durch den Bundesrechnungshof,
wahr, wenn die oder der Bundesbeauftragte an der
soweit hierdurch ihre oder seine Unabhängigkeit nicht
Ausübung ihres oder seines Amtes verhindert ist oder
beeinträchtigt wird.
wenn ihr oder sein Amtsverhältnis endet und sie oder er
nicht zur Weiterführung der Geschäfte verpflichtet ist.
§ 11
§ 10 Absatz 1 ist entsprechend anzuwenden.
Ernennung und Amtszeit
(4) Die oder der Bundesbeauftragte erhält vom Be-
(1) Der Deutsche Bundestag wählt ohne Aussprache ginn des Kalendermonats an, in dem das Amtsverhält-
auf Vorschlag der Bundesregierung die Bundesbeauf- nis beginnt, bis zum Schluss des Kalendermonats, in
tragte oder den Bundesbeauftragten mit mehr als der dem das Amtsverhältnis endet, im Fall des Absatzes 2
Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder Satz 6 bis zum Ende des Monats, in dem die Ge-
der Gewählte ist von der Bundespräsidentin oder dem schäftsführung endet, Amtsbezüge in Höhe der Besol-
Bundespräsidenten zu ernennen. Die oder der Bundes- dungsgruppe B 11 sowie den Familienzuschlag ent-
beauftragte muss bei ihrer oder seiner Wahl das 35. Le- sprechend Anlage V des Bundesbesoldungsgesetzes.
bensjahr vollendet haben. Sie oder er muss über die für Das Bundesreisekostengesetz und das Bundesum-
die Erfüllung ihrer oder seiner Aufgaben und Ausübung zugskostengesetz sind entsprechend anzuwenden. Im
ihrer oder seiner Befugnisse erforderliche Qualifikation, Übrigen sind § 12 Absatz 6 sowie die §§ 13 bis 20
Erfahrung und Sachkunde insbesondere im Bereich des und 21a Absatz 5 des Bundesministergesetzes mit
Schutzes personenbezogener Daten verfügen. Insbe- den Maßgaben anzuwenden, dass an die Stelle der
sondere muss die oder der Bundesbeauftragte über vierjährigen Amtszeit in § 15 Absatz 1 des Bundes-
durch einschlägige Berufserfahrung erworbene Kennt- ministergesetzes eine Amtszeit von fünf Jahren tritt.
nisse des Datenschutzrechts verfügen und die Befähi- Abweichend von Satz 3 in Verbindung mit den §§ 15
gung zum Richteramt oder höheren Verwaltungsdienst bis 17 und 21a Absatz 5 des Bundesministergesetzes
haben. berechnet sich das Ruhegehalt der oder des Bundes-
(2) Die oder der Bundesbeauftragte leistet vor der beauftragten unter Hinzurechnung der Amtszeit als
Bundespräsidentin oder dem Bundespräsidenten fol- ruhegehaltsfähige Dienstzeit in entsprechender Anwen-
genden Eid: „Ich schwöre, dass ich meine Kraft dem dung des Beamtenversorgungsgesetzes, wenn dies
Wohle des deutschen Volkes widmen, seinen Nutzen günstiger ist und die oder der Bundesbeauftragte sich
mehren, Schaden von ihm wenden, das Grundgesetz unmittelbar vor ihrer oder seiner Wahl zur oder zum
und die Gesetze des Bundes wahren und verteidigen, Bundesbeauftragten als Beamtin oder Beamter oder
meine Pflichten gewissenhaft erfüllen und Gerechtigkeit als Richterin oder Richter mindestens in dem letzten
gegen jedermann üben werde. So wahr mir Gott helfe.“ gewöhnlich vor Erreichen der Besoldungsgruppe B 11
Der Eid kann auch ohne religiöse Beteuerung geleistet zu durchlaufenden Amt befunden hat.
werden.
(3) Die Amtszeit der oder des Bundesbeauftragten § 13
beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
Rechte und Pflichten
§ 12 (1) Die oder der Bundesbeauftragte sieht von allen
Amtsverhältnis mit den Aufgaben ihres oder seines Amtes nicht zu
vereinbarenden Handlungen ab und übt während ihrer
(1) Die oder der Bundesbeauftragte steht nach Maß- oder seiner Amtszeit keine andere mit ihrem oder
gabe dieses Gesetzes zum Bund in einem öffentlich- seinem Amt nicht zu vereinbarende entgeltliche oder
rechtlichen Amtsverhältnis. unentgeltliche Tätigkeit aus. Insbesondere darf die oder
(2) Das Amtsverhältnis beginnt mit der Aushändi- der Bundesbeauftragte neben ihrem oder seinem Amt
gung der Ernennungsurkunde. Es endet mit dem Ab- kein anderes besoldetes Amt, kein Gewerbe und keinen
lauf der Amtszeit oder mit dem Rücktritt. Die Bundes- Beruf ausüben und weder der Leitung oder dem Auf-
präsidentin oder der Bundespräsident enthebt auf sichtsrat oder Verwaltungsrat eines auf Erwerb gerich-
Vorschlag der Präsidentin oder des Präsidenten des teten Unternehmens noch einer Regierung oder einer
Bundestages die Bundesbeauftragte ihres oder den gesetzgebenden Körperschaft des Bundes oder eines
Bundesbeauftragten seines Amtes, wenn die oder der Landes angehören. Sie oder er darf nicht gegen Entgelt
Bundesbeauftragte eine schwere Verfehlung begangen außergerichtliche Gutachten abgeben.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2103

(2) Die oder der Bundesbeauftragte hat der Präsi- im Benehmen mit der Bundesregierung aussagen. § 28
dentin oder dem Präsidenten des Bundestages Mittei- des Bundesverfassungsgerichtsgesetzes bleibt unbe-
lung über Geschenke zu machen, die sie oder er in rührt.
Bezug auf das Amt erhält. Die Präsidentin oder der (6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entspre-
Präsident des Bundestages entscheidet über die Ver- chend für die öffentlichen Stellen, die für die Kontrolle
wendung der Geschenke. Sie oder er kann Verfahrens- der Einhaltung der Vorschriften über den Datenschutz
vorschriften erlassen. in den Ländern zuständig sind.
(3) Die oder der Bundesbeauftragte ist berechtigt,
über Personen, die ihr oder ihm in ihrer oder seiner § 14
Eigenschaft als Bundesbeauftragte oder Bundesbeauf- Aufgaben
tragter Tatsachen anvertraut haben, sowie über diese
Tatsachen selbst das Zeugnis zu verweigern. Dies gilt (1) Die oder der Bundesbeauftragte hat neben den in
auch für die Mitarbeiterinnen und Mitarbeiter der oder der Verordnung (EU) 2016/679 genannten Aufgaben die
des Bundesbeauftragten mit der Maßgabe, dass über Aufgaben,
die Ausübung dieses Rechts die oder der Bundesbe- 1. die Anwendung dieses Gesetzes und sonstiger
auftragte entscheidet. Soweit das Zeugnisverweige- Vorschriften über den Datenschutz, einschließlich
rungsrecht der oder des Bundesbeauftragten reicht, der zur Umsetzung der Richtlinie (EU) 2016/680 er-
darf die Vorlegung oder Auslieferung von Akten oder lassenen Rechtsvorschriften, zu überwachen und
anderen Dokumenten von ihr oder ihm nicht gefordert durchzusetzen,
werden. 2. die Öffentlichkeit für die Risiken, Vorschriften,
(4) Die oder der Bundesbeauftragte ist, auch nach Garantien und Rechte im Zusammenhang mit der
Beendigung ihres oder seines Amtsverhältnisses, ver- Verarbeitung personenbezogener Daten zu sensibi-
pflichtet, über die ihr oder ihm amtlich bekanntgewor- lisieren und sie darüber aufzuklären, wobei spezifi-
denen Angelegenheiten Verschwiegenheit zu bewah- sche Maßnahmen für Kinder besondere Beachtung
ren. Dies gilt nicht für Mitteilungen im dienstlichen Ver- finden,
kehr oder über Tatsachen, die offenkundig sind oder 3. den Deutschen Bundestag und den Bundesrat, die
ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Bundesregierung und andere Einrichtungen und
Die oder der Bundesbeauftragte entscheidet nach Gremien über legislative und administrative Maß-
pflichtgemäßem Ermessen, ob und inwieweit sie oder nahmen zum Schutz der Rechte und Freiheiten
er über solche Angelegenheiten vor Gericht oder außer- natürlicher Personen in Bezug auf die Verarbeitung
gerichtlich aussagt oder Erklärungen abgibt; wenn sie personenbezogener Daten zu beraten,
oder er nicht mehr im Amt ist, ist die Genehmigung der
4. die Verantwortlichen und die Auftragsverarbeiter
oder des amtierenden Bundesbeauftragten erforderlich.
für die ihnen aus diesem Gesetz und sonstigen Vor-
Unberührt bleibt die gesetzlich begründete Pflicht,
schriften über den Datenschutz, einschließlich den
Straftaten anzuzeigen und bei einer Gefährdung der
zur Umsetzung der Richtlinie (EU) 2016/680 erlas-
freiheitlichen demokratischen Grundordnung für deren
senen Rechtsvorschriften, entstehenden Pflichten
Erhaltung einzutreten. Für die Bundesbeauftragte oder
zu sensibilisieren,
den Bundesbeauftragten und ihre oder seine Mitarbei-
terinnen und Mitarbeiter gelten die §§ 93, 97 und 105 5. auf Anfrage jeder betroffenen Person Informationen
Absatz 1, § 111 Absatz 5 in Verbindung mit § 105 über die Ausübung ihrer Rechte aufgrund dieses
Absatz 1 sowie § 116 Absatz 1 der Abgabenordnung Gesetzes und sonstiger Vorschriften über den
nicht. Satz 5 findet keine Anwendung, soweit die Datenschutz, einschließlich der zur Umsetzung der
Finanzbehörden die Kenntnis für die Durchführung Richtlinie (EU) 2016/680 erlassenen Rechtsvor-
eines Verfahrens wegen einer Steuerstraftat sowie schriften, zur Verfügung zu stellen und gegebenen-
eines damit zusammenhängenden Steuerverfahrens falls zu diesem Zweck mit den Aufsichtsbehörden
benötigen, an deren Verfolgung ein zwingendes öffent- in anderen Mitgliedstaaten zusammenzuarbeiten,
liches Interesse besteht, oder soweit es sich um vor- 6. sich mit Beschwerden einer betroffenen Person
sätzlich falsche Angaben der oder des Auskunftspflich- oder Beschwerden einer Stelle, einer Organisation
tigen oder der für sie oder ihn tätigen Personen handelt. oder eines Verbandes gemäß Artikel 55 der Richt-
Stellt die oder der Bundesbeauftragte einen Daten- linie (EU) 2016/680 zu befassen, den Gegenstand
schutzverstoß fest, ist sie oder er befugt, diesen an- der Beschwerde in angemessenem Umfang zu
zuzeigen und die betroffene Person hierüber zu infor- untersuchen und den Beschwerdeführer innerhalb
mieren. einer angemessenen Frist über den Fortgang und
(5) Die oder der Bundesbeauftragte darf als Zeugin das Ergebnis der Untersuchung zu unterrichten,
oder Zeuge aussagen, es sei denn, die Aussage würde insbesondere, wenn eine weitere Untersuchung
oder Koordinierung mit einer anderen Aufsichts-
1. dem Wohl des Bundes oder eines Landes Nachteile
behörde notwendig ist,
bereiten, insbesondere Nachteile für die Sicherheit
der Bundesrepublik Deutschland oder ihre Bezie- 7. mit anderen Aufsichtsbehörden zusammenzuarbei-
hungen zu anderen Staaten, oder ten, auch durch Informationsaustausch, und ihnen
Amtshilfe zu leisten, um die einheitliche Anwen-
2. Grundrechte verletzen. dung und Durchsetzung dieses Gesetzes und
Betrifft die Aussage laufende oder abgeschlossene Vor- sonstiger Vorschriften über den Datenschutz, ein-
gänge, die dem Kernbereich exekutiver Eigenverant- schließlich der zur Umsetzung der Richtlinie (EU)
wortung der Bundesregierung zuzurechnen sind oder 2016/680 erlassenen Rechtsvorschriften, zu ge-
sein könnten, darf die oder der Bundesbeauftragte nur währleisten,

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2104 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

8. Untersuchungen über die Anwendung dieses Ge- § 16


setzes und sonstiger Vorschriften über den Daten- Befugnisse
schutz, einschließlich der zur Umsetzung der Richt-
linie (EU) 2016/680 erlassenen Rechtsvorschriften, (1) Die oder der Bundesbeauftragte nimmt im An-
durchzuführen, auch auf der Grundlage von Infor- wendungsbereich der Verordnung (EU) 2016/679 die
mationen einer anderen Aufsichtsbehörde oder Befugnisse gemäß Artikel 58 der Verordnung (EU)
einer anderen Behörde, 2016/679 wahr. Kommt die oder der Bundesbeauf-
tragte zu dem Ergebnis, dass Verstöße gegen die Vor-
9. maßgebliche Entwicklungen zu verfolgen, soweit schriften über den Datenschutz oder sonstige Mängel
sie sich auf den Schutz personenbezogener Daten bei der Verarbeitung personenbezogener Daten vorlie-
auswirken, insbesondere die Entwicklung der Infor- gen, teilt sie oder er dies der zuständigen Rechts- oder
mations- und Kommunikationstechnologie und der Fachaufsichtsbehörde mit und gibt dieser vor der Aus-
Geschäftspraktiken, übung der Befugnisse des Artikels 58 Absatz 2 Buch-
10. Beratung in Bezug auf die in § 69 genannten Ver- stabe b bis g, i und j der Verordnung (EU) 2016/679
arbeitungsvorgänge zu leisten und gegenüber dem Verantwortlichen Gelegenheit zur Stel-
lungnahme innerhalb einer angemessenen Frist. Von
11. Beiträge zur Tätigkeit des Europäischen Daten- der Einräumung der Gelegenheit zur Stellungnahme
schutzausschusses zu leisten. kann abgesehen werden, wenn eine sofortige Entschei-
Im Anwendungsbereich der Richtlinie (EU) 2016/680 dung wegen Gefahr im Verzug oder im öffentlichen
nimmt die oder der Bundesbeauftragte zudem die Auf- Interesse notwendig erscheint oder ihr ein zwingendes
gabe nach § 60 wahr. öffentliches Interesse entgegensteht. Die Stellung-
nahme soll auch eine Darstellung der Maßnahmen ent-
(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 halten, die aufgrund der Mitteilung der oder des
genannten Aufgabe kann die oder der Bundesbe- Bundesbeauftragten getroffen worden sind.
auftragte zu allen Fragen, die im Zusammenhang mit
dem Schutz personenbezogener Daten stehen, von (2) Stellt die oder der Bundesbeauftragte bei Daten-
sich aus oder auf Anfrage Stellungnahmen an den verarbeitungen durch öffentliche Stellen des Bundes zu
Deutschen Bundestag oder einen seiner Ausschüsse, Zwecken außerhalb des Anwendungsbereichs der Ver-
den Bundesrat, die Bundesregierung, sonstige Einrich- ordnung (EU) 2016/679 Verstöße gegen die Vorschriften
tungen und Stellen sowie an die Öffentlichkeit richten. dieses Gesetzes oder gegen andere Vorschriften über
Auf Ersuchen des Deutschen Bundestages, eines den Datenschutz oder sonstige Mängel bei der Verar-
seiner Ausschüsse oder der Bundesregierung geht beitung oder Nutzung personenbezogener Daten fest,
die oder der Bundesbeauftragte ferner Hinweisen auf so beanstandet sie oder er dies gegenüber der zustän-
Angelegenheiten und Vorgänge des Datenschutzes bei digen obersten Bundesbehörde und fordert diese zur
den öffentlichen Stellen des Bundes nach. Stellungnahme innerhalb einer von ihr oder ihm zu be-
stimmenden Frist auf. Die oder der Bundesbeauftragte
(3) Die oder der Bundesbeauftragte erleichtert das kann von einer Beanstandung absehen oder auf eine
Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Stellungnahme verzichten, insbesondere wenn es sich
Beschwerden durch Maßnahmen wie etwa die Bereit- um unerhebliche oder inzwischen beseitigte Mängel
stellung eines Beschwerdeformulars, das auch elektro- handelt. Die Stellungnahme soll auch eine Darstellung
nisch ausgefüllt werden kann, ohne dass andere Kom- der Maßnahmen enthalten, die aufgrund der Beanstan-
munikationsmittel ausgeschlossen werden. dung der oder des Bundesbeauftragten getroffen wor-
(4) Die Erfüllung der Aufgaben der oder des Bundes- den sind. Die oder der Bundesbeauftragte kann den
beauftragten ist für die betroffene Person unentgeltlich. Verantwortlichen auch davor warnen, dass beabsich-
Bei offenkundig unbegründeten oder, insbesondere im tigte Verarbeitungsvorgänge voraussichtlich gegen in
Fall von häufiger Wiederholung, exzessiven Anfragen diesem Gesetz enthaltene und andere auf die jeweilige
kann die oder der Bundesbeauftragte eine angemes- Datenverarbeitung anzuwendende Vorschriften über
sene Gebühr auf der Grundlage der Verwaltungskosten den Datenschutz verstoßen.
verlangen oder sich weigern, aufgrund der Anfrage tätig (3) Die Befugnisse der oder des Bundesbeauftragten
zu werden. In diesem Fall trägt die oder der Bundes- erstrecken sich auch auf
beauftragte die Beweislast für den offenkundig unbe-
gründeten oder exzessiven Charakter der Anfrage. 1. von öffentlichen Stellen des Bundes erlangte perso-
nenbezogene Daten über den Inhalt und die näheren
Umstände des Brief-, Post- und Fernmeldeverkehrs
§ 15
und
Tätigkeitsbericht 2. personenbezogene Daten, die einem besonderen
Die oder der Bundesbeauftragte erstellt einen Jah- Amtsgeheimnis, insbesondere dem Steuergeheimnis
resbericht über ihre oder seine Tätigkeit, der eine Liste nach § 30 der Abgabenordnung, unterliegen.
der Arten der gemeldeten Verstöße und der Arten der Das Grundrecht des Brief-, Post- und Fernmelde-
getroffenen Maßnahmen, einschließlich der verhängten geheimnisses des Artikels 10 des Grundgesetzes wird
Sanktionen und der Maßnahmen nach Artikel 58 Ab- insoweit eingeschränkt.
satz 2 der Verordnung (EU) 2016/679, enthalten kann.
Die oder der Bundesbeauftragte übermittelt den Bericht (4) Die öffentlichen Stellen des Bundes sind ver-
dem Deutschen Bundestag, dem Bundesrat und der pflichtet, der oder dem Bundesbeauftragten und ihren
Bundesregierung und macht ihn der Öffentlichkeit, der oder seinen Beauftragten
Europäischen Kommission und dem Europäischen 1. jederzeit Zugang zu den Grundstücken und Dienst-
Datenschutzausschuss zugänglich. räumen, einschließlich aller Datenverarbeitungsan-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2105

lagen und -geräte, sowie zu allen personenbezoge- (2) Soweit die Aufsichtsbehörden des Bundes und
nen Daten und Informationen, die zur Erfüllung ihrer der Länder kein Einvernehmen über den gemeinsamen
oder seiner Aufgaben notwendig sind, zu gewähren Standpunkt erzielen, legen die federführende Behörde
und oder in Ermangelung einer solchen der gemeinsame
2. alle Informationen, die für die Erfüllung ihrer oder Vertreter und sein Stellvertreter einen Vorschlag für
seiner Aufgaben erforderlich sind, bereitzustellen. einen gemeinsamen Standpunkt vor. Einigen sich der
gemeinsame Vertreter und sein Stellvertreter nicht auf
(5) Die oder der Bundesbeauftragte wirkt auf die einen Vorschlag für einen gemeinsamen Standpunkt,
Zusammenarbeit mit den öffentlichen Stellen, die für legt in Angelegenheiten, die die Wahrnehmung von Auf-
die Kontrolle der Einhaltung der Vorschriften über den gaben betreffen, für welche die Länder allein das Recht
Datenschutz in den Ländern zuständig sind, sowie mit der Gesetzgebung haben, oder welche die Einrichtung
den Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3 oder das Verfahren von Landesbehörden betreffen, der
Satz 1 zweiter Halbsatz gilt entsprechend. Stellvertreter den Vorschlag für einen gemeinsamen
Standpunkt fest. In den übrigen Fällen fehlenden Ein-
Kapitel 5 vernehmens nach Satz 2 legt der gemeinsame Vertreter
Vertretung im den Standpunkt fest. Der nach den Sätzen 1 bis 3 vor-
Europäischen Datenschutzausschuss, geschlagene Standpunkt ist den Verhandlungen zu
Grunde zu legen, wenn nicht die Aufsichtsbehörden
zentrale Anlaufstelle, Zusammenarbeit der
von Bund und Ländern einen anderen Standpunkt mit
Aufsichtsbehörden des Bundes und der Länder einfacher Mehrheit beschließen. Der Bund und jedes
in Angelegenheiten der Europäischen Union Land haben jeweils eine Stimme. Enthaltungen werden
nicht gezählt.
§ 17
(3) Der gemeinsame Vertreter und dessen Stellver-
Vertretung im Europäischen
treter sind an den gemeinsamen Standpunkt nach den
Datenschutzausschuss, zentrale Anlaufstelle
Absätzen 1 und 2 gebunden und legen unter Beach-
(1) Gemeinsamer Vertreter im Europäischen Daten- tung dieses Standpunktes einvernehmlich die jeweilige
schutzausschuss und zentrale Anlaufstelle ist die oder Verhandlungsführung fest. Sollte ein Einvernehmen
der Bundesbeauftragte (gemeinsamer Vertreter). Als nicht erreicht werden, entscheidet in den in § 18 Ab-
Stellvertreterin oder Stellvertreter des gemeinsamen satz 2 Satz 2 genannten Angelegenheiten der Stell-
Vertreters wählt der Bundesrat eine Leiterin oder einen vertreter über die weitere Verhandlungsführung. In den
Leiter der Aufsichtsbehörde eines Landes (Stellvertre- übrigen Fällen gibt die Stimme des gemeinsamen Ver-
ter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausschei- treters den Ausschlag.
den aus dem Amt als Leiterin oder Leiter der Aufsichts-
behörde eines Landes endet zugleich die Funktion als § 19
Stellvertreter. Wiederwahl ist zulässig.
(2) Der gemeinsame Vertreter überträgt in Ange- Zuständigkeiten
legenheiten, die die Wahrnehmung einer Aufgabe (1) Federführende Aufsichtsbehörde eines Landes
betreffen, für welche die Länder allein das Recht zur im Verfahren der Zusammenarbeit und Kohärenz nach
Gesetzgebung haben, oder welche die Einrichtung oder Kapitel VII der Verordnung (EU) 2016/679 ist die Auf-
das Verfahren von Landesbehörden betreffen, dem sichtsbehörde des Landes, in dem der Verantwortliche
Stellvertreter auf dessen Verlangen die Verhandlungs- oder der Auftragsverarbeiter seine Hauptniederlassung
führung und das Stimmrecht im Europäischen Daten- im Sinne des Artikels 4 Nummer 16 der Verordnung (EU)
schutzausschuss. 2016/679 oder seine einzige Niederlassung in der
Europäischen Union im Sinne des Artikels 56 Absatz 1
§ 18 der Verordnung (EU) 2016/679 hat. Im Zuständigkeits-
Verfahren der Zusammenarbeit der bereich der oder des Bundesbeauftragten gilt Artikel 56
Aufsichtsbehörden des Bundes und der Länder Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der
Verordnung (EU) 2016/679 entsprechend. Besteht über
(1) Die oder der Bundesbeauftragte und die Auf-
die Federführung kein Einvernehmen, findet für die
sichtsbehörden der Länder (Aufsichtsbehörden des
Festlegung der federführenden Aufsichtsbehörde das
Bundes und der Länder) arbeiten in Angelegenheiten
Verfahren des § 18 Absatz 2 entsprechende Anwen-
der Europäischen Union mit dem Ziel einer einheitlichen
dung.
Anwendung der Verordnung (EU) 2016/679 und der
Richtlinie (EU) 2016/680 zusammen. Vor der Übermitt- (2) Die Aufsichtsbehörde, bei der eine betroffene
lung eines gemeinsamen Standpunktes an die Auf- Person Beschwerde eingereicht hat, gibt die Be-
sichtsbehörden der anderen Mitgliedstaaten, die Euro- schwerde an die federführende Aufsichtsbehörde nach
päische Kommission oder den Europäischen Daten- Absatz 1, in Ermangelung einer solchen an die Auf-
schutzausschuss geben sich die Aufsichtsbehörden sichtsbehörde eines Landes ab, in dem der Verantwort-
des Bundes und der Länder frühzeitig Gelegenheit zur liche oder der Auftragsverarbeiter eine Niederlassung
Stellungnahme. Zu diesem Zweck tauschen sie unter- hat. Wird eine Beschwerde bei einer sachlich unzustän-
einander alle zweckdienlichen Informationen aus. Die digen Aufsichtsbehörde eingereicht, gibt diese, sofern
Aufsichtsbehörden des Bundes und der Länder betei- eine Abgabe nach Satz 1 nicht in Betracht kommt, die
ligen die nach den Artikeln 85 und 91 der Verordnung Beschwerde an die Aufsichtsbehörde am Wohnsitz des
(EU) 2016/679 eingerichteten spezifischen Aufsichtsbe- Beschwerdeführers ab. Die empfangende Aufsichtsbe-
hörden, sofern diese von der Angelegenheit betroffen hörde gilt als die Aufsichtsbehörde nach Maßgabe des
sind. Kapitels VII der Verordnung (EU) 2016/679, bei der die

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2106 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

Beschwerde eingereicht worden ist, und kommt den richt kann der Europäischen Kommission Gelegenheit
Verpflichtungen aus Artikel 60 Absatz 7 bis 9 und zur Äußerung binnen einer zu bestimmenden Frist
Artikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach. geben.
(5) Ist ein Verfahren zur Überprüfung der Gültigkeit
Kapitel 6 eines Beschlusses der Europäischen Kommission nach
Rechtsbehelfe Absatz 1 bei dem Gerichtshof der Europäischen Union
anhängig, so kann das Bundesverwaltungsgericht an-
§ 20 ordnen, dass die Verhandlung bis zur Erledigung des
Verfahrens vor dem Gerichtshof der Europäischen
Gerichtlicher Rechtsschutz
Union auszusetzen sei.
(1) Für Streitigkeiten zwischen einer natürlichen oder
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5
einer juristischen Person und einer Aufsichtsbehörde
Satz 1 und Absatz 6 der Verwaltungsgerichtsordnung
des Bundes oder eines Landes über Rechte gemäß Ar-
entsprechend anzuwenden. Kommt das Bundesverwal-
tikel 78 Absatz 1 und 2 der Verordnung (EU) 2016/679
tungsgericht zu der Überzeugung, dass der Beschluss
sowie § 61 ist der Verwaltungsrechtsweg gegeben.
der Europäischen Kommission nach Absatz 1 gültig ist,
Satz 1 gilt nicht für Bußgeldverfahren.
so stellt es dies in seiner Entscheidung fest. Andernfalls
(2) Die Verwaltungsgerichtsordnung ist nach Maß- legt es die Frage nach der Gültigkeit des Beschlusses
gabe der Absätze 3 bis 7 anzuwenden. gemäß Artikel 267 des Vertrags über die Arbeitsweise
(3) Für Verfahren nach Absatz 1 Satz 1 ist das Ver- der Europäischen Union dem Gerichtshof der Euro-
waltungsgericht örtlich zuständig, in dessen Bezirk die päischen Union zur Entscheidung vor.
Aufsichtsbehörde ihren Sitz hat.
(4) In Verfahren nach Absatz 1 Satz 1 ist die Auf- Te i l 2
sichtsbehörde beteiligungsfähig. Durchführungsbestimmungen
(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 f ü r Ver a r b ei t u n g e n zu
sind Zwecken gemäß Artikel 2
1. die natürliche oder juristische Person als Klägerin d e r Ve ro rd n u n g ( E U ) 2 0 1 6 / 6 7 9
oder Antragstellerin und
2. die Aufsichtsbehörde als Beklagte oder Antrags- Kapitel 1
gegnerin. Rechtsgrundlagen der
§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung Verarbeitung personenbezogener Daten
bleibt unberührt.
(6) Ein Vorverfahren findet nicht statt. Abschnitt 1
(7) Die Aufsichtsbehörde darf gegenüber einer Be- Ve r a r b e i t u n g
hörde oder deren Rechtsträger nicht die sofortige Voll- besonderer Kategorien
ziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der personenbezogener Daten und
Verwaltungsgerichtsordnung anordnen. Ve r a r b e i t u n g z u a n d e re n Z w e c k e n

§ 21 § 22
Antrag der Aufsichtsbehörde Verarbeitung besonderer
auf gerichtliche Entscheidung bei Kategorien personenbezogener Daten
angenommener Rechtswidrigkeit eines (1) Abweichend von Artikel 9 Absatz 1 der Verord-
Beschlusses der Europäischen Kommission nung (EU) 2016/679 ist die Verarbeitung besonderer
(1) Hält eine Aufsichtsbehörde einen Angemessen- Kategorien personenbezogener Daten im Sinne des
heitsbeschluss der Europäischen Kommission, einen Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-
Beschluss über die Anerkennung von Standardschutz- lässig
klauseln oder über die Allgemeingültigkeit von geneh- 1. durch öffentliche und nichtöffentliche Stellen, wenn
migten Verhaltensregeln, auf dessen Gültigkeit es für sie
eine Entscheidung der Aufsichtsbehörde ankommt, für
a) erforderlich ist, um die aus dem Recht der sozia-
rechtswidrig, so hat die Aufsichtsbehörde ihr Verfahren
len Sicherheit und des Sozialschutzes erwach-
auszusetzen und einen Antrag auf gerichtliche Ent-
senden Rechte auszuüben und den diesbezüg-
scheidung zu stellen.
lichen Pflichten nachzukommen,
(2) Für Verfahren nach Absatz 1 ist der Verwaltungs-
rechtsweg gegeben. Die Verwaltungsgerichtsordnung b) zum Zweck der Gesundheitsvorsorge, für die Be-
ist nach Maßgabe der Absätze 3 bis 6 anzuwenden. urteilung der Arbeitsfähigkeit des Beschäftigten,
für die medizinische Diagnostik, die Versorgung
(3) Über einen Antrag der Aufsichtsbehörde nach oder Behandlung im Gesundheits- oder Sozialbe-
Absatz 1 entscheidet im ersten und letzten Rechtszug reich oder für die Verwaltung von Systemen und
das Bundesverwaltungsgericht. Diensten im Gesundheits- und Sozialbereich oder
(4) In Verfahren nach Absatz 1 ist die Aufsichtsbe- aufgrund eines Vertrags der betroffenen Person
hörde beteiligungsfähig. An einem Verfahren nach Ab- mit einem Angehörigen eines Gesundheitsberufs
satz 1 ist die Aufsichtsbehörde als Antragstellerin be- erforderlich ist und diese Daten von ärztlichem
teiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichts- Personal oder durch sonstige Personen, die einer
ordnung bleibt unberührt. Das Bundesverwaltungsge- entsprechenden Geheimhaltungspflicht unterlie-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2107

gen, oder unter deren Verantwortung verarbeitet tung personenbezogener Daten, einschließlich der
werden, oder Fähigkeit, die Verfügbarkeit und den Zugang bei
einem physischen oder technischen Zwischenfall
c) aus Gründen des öffentlichen Interesses im Be-
rasch wiederherzustellen,
reich der öffentlichen Gesundheit, wie des Schut-
zes vor schwerwiegenden grenzüberschreitenden 9. zur Gewährleistung der Sicherheit der Verarbeitung
Gesundheitsgefahren oder zur Gewährleistung ho- die Einrichtung eines Verfahrens zur regelmäßigen
her Qualitäts- und Sicherheitsstandards bei der Überprüfung, Bewertung und Evaluierung der Wirk-
Gesundheitsversorgung und bei Arzneimitteln und samkeit der technischen und organisatorischen
Medizinprodukten erforderlich ist; ergänzend zu Maßnahmen oder
den in Absatz 2 genannten Maßnahmen sind ins-
besondere die berufsrechtlichen und strafrecht- 10. spezifische Verfahrensregelungen, die im Fall einer
lichen Vorgaben zur Wahrung des Berufsgeheim- Übermittlung oder Verarbeitung für andere Zwecke
nisses einzuhalten, die Einhaltung der Vorgaben dieses Gesetzes sowie
der Verordnung (EU) 2016/679 sicherstellen.
2. durch öffentliche Stellen, wenn sie
a) aus Gründen eines erheblichen öffentlichen Inte- § 23
resses zwingend erforderlich ist,
Verarbeitung zu
b) zur Abwehr einer erheblichen Gefahr für die anderen Zwecken durch öffentliche Stellen
öffentliche Sicherheit erforderlich ist,
(1) Die Verarbeitung personenbezogener Daten zu
c) zur Abwehr erheblicher Nachteile für das Gemein- einem anderen Zweck als zu demjenigen, zu dem die
wohl oder zur Wahrung erheblicher Belange des Daten erhoben wurden, durch öffentliche Stellen im
Gemeinwohls zwingend erforderlich ist oder Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn
d) aus zwingenden Gründen der Verteidigung oder 1. offensichtlich ist, dass sie im Interesse der betroffe-
der Erfüllung über- oder zwischenstaatlicher Ver- nen Person liegt und kein Grund zu der Annahme
pflichtungen einer öffentlichen Stelle des Bundes besteht, dass sie in Kenntnis des anderen Zwecks
auf dem Gebiet der Krisenbewältigung oder Kon- ihre Einwilligung verweigern würde,
fliktverhinderung oder für humanitäre Maßnah-
men erforderlich ist 2. Angaben der betroffenen Person überprüft werden
müssen, weil tatsächliche Anhaltspunkte für deren
und soweit die Interessen des Verantwortlichen an Unrichtigkeit bestehen,
der Datenverarbeitung in den Fällen der Nummer 2
die Interessen der betroffenen Person überwiegen. 3. sie zur Abwehr erheblicher Nachteile für das Ge-
meinwohl oder einer Gefahr für die öffentliche Si-
(2) In den Fällen des Absatzes 1 sind angemessene
cherheit, die Verteidigung oder die nationale Sicher-
und spezifische Maßnahmen zur Wahrung der Interes-
heit, zur Wahrung erheblicher Belange des Gemein-
sen der betroffenen Person vorzusehen. Unter Berück-
wohls oder zur Sicherung des Steuer- und Zollauf-
sichtigung des Stands der Technik, der Implementie-
kommens erforderlich ist,
rungskosten und der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung sowie der unter- 4. sie zur Verfolgung von Straftaten oder Ordnungswid-
schiedlichen Eintrittswahrscheinlichkeit und Schwere rigkeiten, zur Vollstreckung oder zum Vollzug von
der mit der Verarbeitung verbundenen Risiken für die Strafen oder Maßnahmen im Sinne des § 11 Absatz 1
Rechte und Freiheiten natürlicher Personen können Nummer 8 des Strafgesetzbuchs oder von Erzie-
dazu insbesondere gehören: hungsmaßregeln oder Zuchtmitteln im Sinne des
Jugendgerichtsgesetzes oder zur Vollstreckung von
1. technisch organisatorische Maßnahmen, um sicher-
Geldbußen erforderlich ist,
zustellen, dass die Verarbeitung gemäß der Verord-
nung (EU) 2016/679 erfolgt, 5. sie zur Abwehr einer schwerwiegenden Beeinträch-
2. Maßnahmen, die gewährleisten, dass nachträglich tigung der Rechte einer anderen Person erforderlich
überprüft und festgestellt werden kann, ob und ist oder
von wem personenbezogene Daten eingegeben, 6. sie der Wahrnehmung von Aufsichts- und Kontrollbe-
verändert oder entfernt worden sind, fugnissen, der Rechnungsprüfung oder der Durch-
3. Sensibilisierung der an Verarbeitungsvorgängen führung von Organisationsuntersuchungen des Ver-
Beteiligten, antwortlichen dient; dies gilt auch für die Verarbei-
tung zu Ausbildungs- und Prüfungszwecken durch
4. Benennung einer oder eines Datenschutzbeauftrag- den Verantwortlichen, soweit schutzwürdige Interes-
ten, sen der betroffenen Person dem nicht entgegen-
5. Beschränkung des Zugangs zu den personenbezo- stehen.
genen Daten innerhalb der verantwortlichen Stelle (2) Die Verarbeitung besonderer Kategorien perso-
und von Auftragsverarbeitern, nenbezogener Daten im Sinne des Artikels 9 Absatz 1
6. Pseudonymisierung personenbezogener Daten, der Verordnung (EU) 2016/679 zu einem anderen
Zweck als zu demjenigen, zu dem die Daten erhoben
7. Verschlüsselung personenbezogener Daten,
wurden, ist zulässig, wenn die Voraussetzungen des
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integri- Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9
tät, Verfügbarkeit und Belastbarkeit der Systeme Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22
und Dienste im Zusammenhang mit der Verarbei- vorliegen.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2108 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

§ 24 nahmetatbestand nach Artikel 9 Absatz 2 der Verord-


Verarbeitung zu nung (EU) 2016/679 oder nach § 22 vorliegen.
anderen Zwecken durch nichtöffentliche Stellen
Abschnitt 2
(1) Die Verarbeitung personenbezogener Daten zu
einem anderen Zweck als zu demjenigen, zu dem die B e s o n d e r e Ve r a r b e i t u n g s s i t u a t i o n e n
Daten erhoben wurden, durch nichtöffentliche Stellen
ist zulässig, wenn § 26
1. sie zur Abwehr von Gefahren für die staatliche oder
Datenverarbeitung für
öffentliche Sicherheit oder zur Verfolgung von Straf-
Zwecke des Beschäftigungsverhältnisses
taten erforderlich ist oder
2. sie zur Geltendmachung, Ausübung oder Verteidi- (1) Personenbezogene Daten von Beschäftigten dür-
gung zivilrechtlicher Ansprüche erforderlich ist, fen für Zwecke des Beschäftigungsverhältnisses verar-
beitet werden, wenn dies für die Entscheidung über die
sofern nicht die Interessen der betroffenen Person an Begründung eines Beschäftigungsverhältnisses oder
dem Ausschluss der Verarbeitung überwiegen. nach Begründung des Beschäftigungsverhältnisses für
(2) Die Verarbeitung besonderer Kategorien perso- dessen Durchführung oder Beendigung oder zur Aus-
nenbezogener Daten im Sinne des Artikels 9 Absatz 1 übung oder Erfüllung der sich aus einem Gesetz oder
der Verordnung (EU) 2016/679 zu einem anderen einem Tarifvertrag, einer Betriebs- oder Dienstvereinba-
Zweck als zu demjenigen, zu dem die Daten erhoben rung (Kollektivvereinbarung) ergebenden Rechte und
wurden, ist zulässig, wenn die Voraussetzungen des Pflichten der Interessenvertretung der Beschäftigten er-
Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 forderlich ist. Zur Aufdeckung von Straftaten dürfen
Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 personenbezogene Daten von Beschäftigten nur dann
vorliegen. verarbeitet werden, wenn zu dokumentierende tatsäch-
liche Anhaltspunkte den Verdacht begründen, dass die
§ 25 betroffene Person im Beschäftigungsverhältnis eine
Straftat begangen hat, die Verarbeitung zur Aufdeckung
Datenübermittlungen durch öffentliche Stellen
erforderlich ist und das schutzwürdige Interesse der
(1) Die Übermittlung personenbezogener Daten oder des Beschäftigten an dem Ausschluss der Verar-
durch öffentliche Stellen an öffentliche Stellen ist zu- beitung nicht überwiegt, insbesondere Art und Ausmaß
lässig, wenn sie zur Erfüllung der in der Zuständigkeit im Hinblick auf den Anlass nicht unverhältnismäßig
der übermittelnden Stelle oder des Dritten, an den die sind.
Daten übermittelt werden, liegenden Aufgaben erfor-
derlich ist und die Voraussetzungen vorliegen, die eine (2) Erfolgt die Verarbeitung personenbezogener Da-
Verarbeitung nach § 23 zulassen würden. Der Dritte, an ten von Beschäftigten auf der Grundlage einer Einwil-
den die Daten übermittelt werden, darf diese nur für ligung, so sind für die Beurteilung der Freiwilligkeit
den Zweck verarbeiten, zu dessen Erfüllung sie ihm der Einwilligung insbesondere die im Beschäftigungs-
übermittelt werden. Eine Verarbeitung für andere Zwe- verhältnis bestehende Abhängigkeit der beschäftigten
cke ist unter den Voraussetzungen des § 23 zulässig. Person sowie die Umstände, unter denen die Einwilli-
gung erteilt worden ist, zu berücksichtigen. Freiwillig-
(2) Die Übermittlung personenbezogener Daten keit kann insbesondere vorliegen, wenn für die be-
durch öffentliche Stellen an nichtöffentliche Stellen ist schäftigte Person ein rechtlicher oder wirtschaftlicher
zulässig, wenn Vorteil erreicht wird oder Arbeitgeber und beschäftigte
1. sie zur Erfüllung der in der Zuständigkeit der über- Person gleichgelagerte Interessen verfolgen. Die Ein-
mittelnden Stelle liegenden Aufgaben erforderlich ist willigung bedarf der Schriftform, soweit nicht wegen
und die Voraussetzungen vorliegen, die eine Verar- besonderer Umstände eine andere Form angemessen
beitung nach § 23 zulassen würden, ist. Der Arbeitgeber hat die beschäftigte Person über
den Zweck der Datenverarbeitung und über ihr Wider-
2. der Dritte, an den die Daten übermittelt werden, ein
rufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU)
berechtigtes Interesse an der Kenntnis der zu über-
2016/679 in Textform aufzuklären.
mittelnden Daten glaubhaft darlegt und die betrof-
fene Person kein schutzwürdiges Interesse an dem (3) Abweichend von Artikel 9 Absatz 1 der Verord-
Ausschluss der Übermittlung hat oder nung (EU) 2016/679 ist die Verarbeitung besonderer
3. es zur Geltendmachung, Ausübung oder Verteidi- Kategorien personenbezogener Daten im Sinne des
gung rechtlicher Ansprüche erforderlich ist Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für
Zwecke des Beschäftigungsverhältnisses zulässig,
und der Dritte sich gegenüber der übermittelnden wenn sie zur Ausübung von Rechten oder zur Erfüllung
öffentlichen Stelle verpflichtet hat, die Daten nur für rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht
den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm der sozialen Sicherheit und des Sozialschutzes erfor-
übermittelt werden. Eine Verarbeitung für andere Zwe- derlich ist und kein Grund zu der Annahme besteht,
cke ist zulässig, wenn eine Übermittlung nach Satz 1 dass das schutzwürdige Interesse der betroffenen
zulässig wäre und die übermittelnde Stelle zugestimmt Person an dem Ausschluss der Verarbeitung überwiegt.
hat. Absatz 2 gilt auch für die Einwilligung in die Verar-
(3) Die Übermittlung besonderer Kategorien perso- beitung besonderer Kategorien personenbezogener
nenbezogener Daten im Sinne des Artikels 9 Absatz 1 Daten; die Einwilligung muss sich dabei ausdrücklich
der Verordnung (EU) 2016/679 ist zulässig, wenn die auf diese Daten beziehen. § 22 Absatz 2 gilt entspre-
Voraussetzungen des Absatzes 1 oder 2 und ein Aus- chend.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2109

(4) Die Verarbeitung personenbezogener Daten, ein- Interessen der betroffenen Person gemäß § 22 Ab-
schließlich besonderer Kategorien personenbezogener satz 2 Satz 2 vor.
Daten von Beschäftigten für Zwecke des Beschäfti-
(2) Die in den Artikeln 15, 16, 18 und 21 der Verord-
gungsverhältnisses, ist auf der Grundlage von Kollek-
nung (EU) 2016/679 vorgesehenen Rechte der betroffe-
tivvereinbarungen zulässig. Dabei haben die Verhand-
nen Person sind insoweit beschränkt, als diese Rechte
lungspartner Artikel 88 Absatz 2 der Verordnung (EU)
voraussichtlich die Verwirklichung der Forschungs-
2016/679 zu beachten.
oder Statistikzwecke unmöglich machen oder ernsthaft
(5) Der Verantwortliche muss geeignete Maßnahmen beinträchtigen und die Beschränkung für die Erfüllung
ergreifen, um sicherzustellen, dass insbesondere die in der Forschungs- oder Statistikzwecke notwendig ist.
Artikel 5 der Verordnung (EU) 2016/679 dargelegten Das Recht auf Auskunft gemäß Artikel 15 der Verord-
Grundsätze für die Verarbeitung personenbezogener nung (EU) 2016/679 besteht darüber hinaus nicht, wenn
Daten eingehalten werden. die Daten für Zwecke der wissenschaftlichen For-
(6) Die Beteiligungsrechte der Interessenvertretun- schung erforderlich sind und die Auskunftserteilung
gen der Beschäftigten bleiben unberührt. einen unverhältnismäßigen Aufwand erfordern würde.
(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn (3) Ergänzend zu den in § 22 Absatz 2 genannten
personenbezogene Daten, einschließlich besonderer Maßnahmen sind zu wissenschaftlichen oder histori-
Kategorien personenbezogener Daten, von Beschäftig- schen Forschungszwecken oder zu statistischen Zwe-
ten verarbeitet werden, ohne dass sie in einem Datei- cken verarbeitete besondere Kategorien personen-
system gespeichert sind oder gespeichert werden bezogener Daten im Sinne des Artikels 9 Absatz 1 der
sollen. Verordnung (EU) 2016/679 zu anonymisieren, sobald
dies nach dem Forschungs- oder Statistikzweck mög-
(8) Beschäftigte im Sinne dieses Gesetzes sind: lich ist, es sei denn, berechtigte Interessen der betrof-
1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich fenen Person stehen dem entgegen. Bis dahin sind die
der Leiharbeitnehmerinnen und Leiharbeitnehmer im Merkmale gesondert zu speichern, mit denen Einzel-
Verhältnis zum Entleiher, angaben über persönliche oder sachliche Verhältnisse
2. zu ihrer Berufsbildung Beschäftigte, einer bestimmten oder bestimmbaren Person zugeord-
net werden können. Sie dürfen mit den Einzelangaben
3. Teilnehmerinnen und Teilnehmer an Leistungen zur nur zusammengeführt werden, soweit der Forschungs-
Teilhabe am Arbeitsleben sowie an Abklärungen der oder Statistikzweck dies erfordert.
beruflichen Eignung oder Arbeitserprobung (Rehabi-
litandinnen und Rehabilitanden), (4) Der Verantwortliche darf personenbezogene Da-
ten nur veröffentlichen, wenn die betroffene Person
4. in anerkannten Werkstätten für behinderte Men- eingewilligt hat oder dies für die Darstellung von For-
schen Beschäftigte, schungsergebnissen über Ereignisse der Zeitge-
5. Freiwillige, die einen Dienst nach dem Jugendfrei- schichte unerlässlich ist.
willigendienstegesetz oder dem Bundesfreiwilligen-
dienstgesetz leisten, § 28
6. Personen, die wegen ihrer wirtschaftlichen Unselb- Datenverarbeitung zu
ständigkeit als arbeitnehmerähnliche Personen an- im öffentlichen Interesse liegenden Archivzwecken
zusehen sind; zu diesen gehören auch die in Heim-
arbeit Beschäftigten und die ihnen Gleichgestellten, (1) Abweichend von Artikel 9 Absatz 1 der Verord-
nung (EU) 2016/679 ist die Verarbeitung besonderer
7. Beamtinnen und Beamte des Bundes, Richterinnen Kategorien personenbezogener Daten im Sinne des
und Richter des Bundes, Soldatinnen und Soldaten Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu-
sowie Zivildienstleistende. lässig, wenn sie für im öffentlichen Interesse liegende
Bewerberinnen und Bewerber für ein Beschäftigungs- Archivzwecke erforderlich ist. Der Verantwortliche sieht
verhältnis sowie Personen, deren Beschäftigungsver- angemessene und spezifische Maßnahmen zur Wah-
hältnis beendet ist, gelten als Beschäftigte. rung der Interessen der betroffenen Person gemäß
§ 22 Absatz 2 Satz 2 vor.
§ 27 (2) Das Recht auf Auskunft der betroffenen Person
Datenverarbeitung zu gemäß Artikel 15 der Verordnung (EU) 2016/679 be-
wissenschaftlichen oder historischen steht nicht, wenn das Archivgut nicht durch den Namen
Forschungszwecken und zu statistischen Zwecken der Person erschlossen ist oder keine Angaben ge-
macht werden, die das Auffinden des betreffenden
(1) Abweichend von Artikel 9 Absatz 1 der Verord-
Archivguts mit vertretbarem Verwaltungsaufwand er-
nung (EU) 2016/679 ist die Verarbeitung besonderer
möglichen.
Kategorien personenbezogener Daten im Sinne des
Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch (3) Das Recht auf Berichtigung der betroffenen Per-
ohne Einwilligung für wissenschaftliche oder histori- son gemäß Artikel 16 der Verordnung (EU) 2016/679
sche Forschungszwecke oder für statistische Zwecke besteht nicht, wenn die personenbezogenen Daten zu
zulässig, wenn die Verarbeitung zu diesen Zwecken er- Archivzwecken im öffentlichen Interesse verarbeitet
forderlich ist und die Interessen des Verantwortlichen werden. Bestreitet die betroffene Person die Richtigkeit
an der Verarbeitung die Interessen der betroffenen der personenbezogenen Daten, ist ihr die Möglichkeit
Person an einem Ausschluss der Verarbeitung erheb- einer Gegendarstellung einzuräumen. Das zuständige
lich überwiegen. Der Verantwortliche sieht angemes- Archiv ist verpflichtet, die Gegendarstellung den Unter-
sene und spezifische Maßnahmen zur Wahrung der lagen hinzuzufügen.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2110 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, von Verbrauchern genutzt werden dürfen, zum Zweck
den Artikeln 20 und 21 der Verordnung (EU) 2016/679 der Übermittlung erhebt, speichert oder verändert, hat
vorgesehenen Rechte bestehen nicht, soweit diese Auskunftsverlangen von Darlehensgebern aus anderen
Rechte voraussichtlich die Verwirklichung der im öffent- Mitgliedstaaten der Europäischen Union genauso zu
lichen Interesse liegenden Archivzwecke unmöglich ma- behandeln wie Auskunftsverlangen inländischer Darle-
chen oder ernsthaft beeinträchtigen und die Ausnahmen hensgeber.
für die Erfüllung dieser Zwecke erforderlich sind. (2) Wer den Abschluss eines Verbraucherdarlehens-
vertrags oder eines Vertrags über eine entgeltliche
§ 29 Finanzierungshilfe mit einem Verbraucher infolge einer
Rechte der betroffenen Auskunft einer Stelle im Sinne des Absatzes 1 ablehnt,
Person und aufsichtsbehördliche hat den Verbraucher unverzüglich hierüber sowie über
Befugnisse im Fall von Geheimhaltungspflichten die erhaltene Auskunft zu unterrichten. Die Unterrich-
(1) Die Pflicht zur Information der betroffenen Person tung unterbleibt, soweit hierdurch die öffentliche
gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) Sicherheit oder Ordnung gefährdet würde. § 37 bleibt
2016/679 besteht ergänzend zu den in Artikel 14 Ab- unberührt.
satz 5 der Verordnung (EU) 2016/679 genannten Aus-
nahmen nicht, soweit durch ihre Erfüllung Informatio- § 31
nen offenbart würden, die ihrem Wesen nach, insbe- Schutz des Wirtschaftsverkehrs
sondere wegen der überwiegenden berechtigten Inte- bei Scoring und Bonitätsauskünften
ressen eines Dritten, geheim gehalten werden müssen.
(1) Die Verwendung eines Wahrscheinlichkeitswerts
Das Recht auf Auskunft der betroffenen Person gemäß
über ein bestimmtes zukünftiges Verhalten einer natür-
Artikel 15 der Verordnung (EU) 2016/679 besteht nicht,
lichen Person zum Zweck der Entscheidung über die
soweit durch die Auskunft Informationen offenbart wür-
Begründung, Durchführung oder Beendigung eines Ver-
den, die nach einer Rechtsvorschrift oder ihrem Wesen
tragsverhältnisses mit dieser Person (Scoring) ist nur
nach, insbesondere wegen der überwiegenden berech-
zulässig, wenn
tigten Interessen eines Dritten, geheim gehalten werden
müssen. Die Pflicht zur Benachrichtigung gemäß Arti- 1. die Vorschriften des Datenschutzrechts eingehalten
kel 34 der Verordnung (EU) 2016/679 besteht ergän- wurden,
zend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2. die zur Berechnung des Wahrscheinlichkeitswerts
2016/679 genannten Ausnahme nicht, soweit durch die genutzten Daten unter Zugrundelegung eines wis-
Benachrichtigung Informationen offenbart würden, die senschaftlich anerkannten mathematisch-statisti-
nach einer Rechtsvorschrift oder ihrem Wesen nach, schen Verfahrens nachweisbar für die Berechnung
insbesondere wegen der überwiegenden berechtigten der Wahrscheinlichkeit des bestimmten Verhaltens
Interessen eines Dritten, geheim gehalten werden müs- erheblich sind,
sen. Abweichend von der Ausnahme nach Satz 3 ist
die betroffene Person nach Artikel 34 der Verordnung 3. für die Berechnung des Wahrscheinlichkeitswerts
(EU) 2016/679 zu benachrichtigen, wenn die Interessen nicht ausschließlich Anschriftendaten genutzt wur-
der betroffenen Person, insbesondere unter Berück- den und
sichtigung drohender Schäden, gegenüber dem Ge- 4. im Fall der Nutzung von Anschriftendaten die betrof-
heimhaltungsinteresse überwiegen. fene Person vor Berechnung des Wahrscheinlich-
(2) Werden Daten Dritter im Zuge der Aufnahme oder keitswerts über die vorgesehene Nutzung dieser
im Rahmen eines Mandatsverhältnisses an einen Be- Daten unterrichtet worden ist; die Unterrichtung ist
rufsgeheimnisträger übermittelt, so besteht die Pflicht zu dokumentieren.
der übermittelnden Stelle zur Information der betroffe- (2) Die Verwendung eines von Auskunfteien ermittel-
nen Person gemäß Artikel 13 Absatz 3 der Verordnung ten Wahrscheinlichkeitswerts über die Zahlungsfähig-
(EU) 2016/679 nicht, sofern nicht das Interesse der be- und Zahlungswilligkeit einer natürlichen Person ist im
troffenen Person an der Informationserteilung überwiegt. Fall der Einbeziehung von Informationen über Forde-
(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des rungen nur zulässig, soweit die Voraussetzungen nach
Strafgesetzbuchs genannten Personen oder deren Auf- Absatz 1 vorliegen und nur solche Forderungen über
tragsverarbeitern bestehen die Untersuchungsbefug- eine geschuldete Leistung, die trotz Fälligkeit nicht er-
nisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 bracht worden ist, berücksichtigt werden,
Buchstabe e und f der Verordnung (EU) 2016/679 nicht, 1. die durch ein rechtskräftiges oder für vorläufig voll-
soweit die Inanspruchnahme der Befugnisse zu einem streckbar erklärtes Urteil festgestellt worden sind
Verstoß gegen die Geheimhaltungspflichten dieser oder für die ein Schuldtitel nach § 794 der Zivil-
Personen führen würde. Erlangt eine Aufsichtsbehörde prozessordnung vorliegt,
im Rahmen einer Untersuchung Kenntnis von Daten,
die einer Geheimhaltungspflicht im Sinne des Satzes 1 2. die nach § 178 der Insolvenzordnung festgestellt
unterliegen, gilt die Geheimhaltungspflicht auch für die und nicht vom Schuldner im Prüfungstermin bestrit-
Aufsichtsbehörde. ten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
§ 30 4. bei denen
Verbraucherkredite a) der Schuldner nach Eintritt der Fälligkeit der For-
(1) Eine Stelle, die geschäftsmäßig personenbezo- derung mindestens zweimal schriftlich gemahnt
gene Daten, die zur Bewertung der Kreditwürdigkeit worden ist,

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2111

b) die erste Mahnung mindestens vier Wochen zu- 5. eine vertrauliche Übermittlung von Daten an öffent-
rückliegt, liche Stellen gefährden würde.
c) der Schuldner zuvor, jedoch frühestens bei der (2) Unterbleibt eine Information der betroffenen Per-
ersten Mahnung, über eine mögliche Berücksich- son nach Maßgabe des Absatzes 1, ergreift der Ver-
tigung durch eine Auskunftei unterrichtet worden antwortliche geeignete Maßnahmen zum Schutz der
ist und berechtigten Interessen der betroffenen Person, ein-
d) der Schuldner die Forderung nicht bestritten hat schließlich der Bereitstellung der in Artikel 13 Absatz 1
oder und 2 der Verordnung (EU) 2016/679 genannten Infor-
mationen für die Öffentlichkeit in präziser, transparen-
5. deren zugrunde liegendes Vertragsverhältnis auf- ter, verständlicher und leicht zugänglicher Form in einer
grund von Zahlungsrückständen fristlos gekündigt klaren und einfachen Sprache. Der Verantwortliche
werden kann und bei denen der Schuldner zuvor hält schriftlich fest, aus welchen Gründen er von einer
über eine mögliche Berücksichtigung durch eine Information abgesehen hat. Die Sätze 1 und 2 finden in
Auskunftei unterrichtet worden ist. den Fällen des Absatzes 1 Nummer 4 und 5 keine An-
Die Zulässigkeit der Verarbeitung, einschließlich der wendung.
Ermittlung von Wahrscheinlichkeitswerten, von anderen (3) Unterbleibt die Benachrichtigung in den Fällen
bonitätsrelevanten Daten nach allgemeinem Daten- des Absatzes 1 wegen eines vorübergehenden Hinde-
schutzrecht bleibt unberührt. rungsgrundes, kommt der Verantwortliche der Infor-
mationspflicht unter Berücksichtigung der spezifischen
Kapitel 2 Umstände der Verarbeitung innerhalb einer angemes-
senen Frist nach Fortfall des Hinderungsgrundes, spä-
Rechte der betroffenen Person
testens jedoch innerhalb von zwei Wochen, nach.
§ 32
§ 33
Informationspflicht bei
Erhebung von personenbezogenen Informationspflicht, wenn
Daten bei der betroffenen Person die personenbezogenen Daten nicht
bei der betroffenen Person erhoben wurden
(1) Die Pflicht zur Information der betroffenen Per-
son gemäß Artikel 13 Absatz 3 der Verordnung (EU) (1) Die Pflicht zur Information der betroffenen Person
2016/679 besteht ergänzend zu der in Artikel 13 Ab- gemäß Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU)
satz 4 der Verordnung (EU) 2016/679 genannten Aus- 2016/679 besteht ergänzend zu den in Artikel 14 Ab-
nahme dann nicht, wenn die Erteilung der Information satz 5 der Verordnung (EU) 2016/679 und der in § 29
über die beabsichtigte Weiterverarbeitung Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die
Erteilung der Information
1. eine Weiterverarbeitung analog gespeicherter Daten
betrifft, bei der sich der Verantwortliche durch die 1. im Fall einer öffentlichen Stelle
Weiterverarbeitung unmittelbar an die betroffene
a) die ordnungsgemäße Erfüllung der in der Zustän-
Person wendet, der Zweck mit dem ursprüng-
digkeit des Verantwortlichen liegenden Aufgaben
lichen Erhebungszweck gemäß der Verordnung (EU)
im Sinne des Artikels 23 Absatz 1 Buchstabe a
2016/679 vereinbar ist, die Kommunikation mit der
bis e der Verordnung (EU) 2016/679 gefährden
betroffenen Person nicht in digitaler Form erfolgt
würde oder
und das Interesse der betroffenen Person an der
Informationserteilung nach den Umständen des Ein- b) die öffentliche Sicherheit oder Ordnung gefähr-
zelfalls, insbesondere mit Blick auf den Zusammen- den oder sonst dem Wohl des Bundes oder eines
hang, in dem die Daten erhoben wurden, als gering Landes Nachteile bereiten würde
anzusehen ist,
und deswegen das Interesse der betroffenen Person an
2. im Fall einer öffentlichen Stelle die ordnungsge- der Informationserteilung zurücktreten muss,
mäße Erfüllung der in der Zuständigkeit des Verant-
wortlichen liegenden Aufgaben im Sinne des Arti- 2. im Fall einer nichtöffentlichen Stelle
kels 23 Absatz 1 Buchstabe a bis e der Verordnung a) die Geltendmachung, Ausübung oder Verteidi-
(EU) 2016/679 gefährden würde und die Interessen gung zivilrechtlicher Ansprüche beeinträchtigen
des Verantwortlichen an der Nichterteilung der Infor- würde oder die Verarbeitung Daten aus zivilrecht-
mation die Interessen der betroffenen Person über- lichen Verträgen beinhaltet und der Verhütung
wiegen, von Schäden durch Straftaten dient, sofern nicht
3. die öffentliche Sicherheit oder Ordnung gefährden das berechtigte Interesse der betroffenen Person
oder sonst dem Wohl des Bundes oder eines Landes an der Informationserteilung überwiegt, oder
Nachteile bereiten würde und die Interessen des Ver-
b) die zuständige öffentliche Stelle gegenüber dem
antwortlichen an der Nichterteilung der Information
Verantwortlichen festgestellt hat, dass das Be-
die Interessen der betroffenen Person überwiegen,
kanntwerden der Daten die öffentliche Sicherheit
4. die Geltendmachung, Ausübung oder Verteidigung oder Ordnung gefährden oder sonst dem Wohl
rechtlicher Ansprüche beeinträchtigen würde und des Bundes oder eines Landes Nachteile bereiten
die Interessen des Verantwortlichen an der Nicht- würde; im Fall der Datenverarbeitung für Zwecke
erteilung der Information die Interessen der betroffe- der Strafverfolgung bedarf es keiner Feststellung
nen Person überwiegen oder nach dem ersten Halbsatz.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2112 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

(2) Unterbleibt eine Information der betroffenen Per- die Sicherheit des Bundes oder eines Landes gefährdet
son nach Maßgabe des Absatzes 1, ergreift der Ver- würde. Die Mitteilung der oder des Bundesbeauftragten
antwortliche geeignete Maßnahmen zum Schutz der an die betroffene Person über das Ergebnis der daten-
berechtigten Interessen der betroffenen Person, ein- schutzrechtlichen Prüfung darf keine Rückschlüsse auf
schließlich der Bereitstellung der in Artikel 14 Absatz 1 den Erkenntnisstand des Verantwortlichen zulassen,
und 2 der Verordnung (EU) 2016/679 genannten Infor- sofern dieser nicht einer weitergehenden Auskunft zu-
mationen für die Öffentlichkeit in präziser, transparen- stimmt.
ter, verständlicher und leicht zugänglicher Form in einer
(4) Das Recht der betroffenen Person auf Auskunft
klaren und einfachen Sprache. Der Verantwortliche
über personenbezogene Daten, die durch eine öffent-
hält schriftlich fest, aus welchen Gründen er von einer
liche Stelle weder automatisiert verarbeitet noch nicht
Information abgesehen hat.
automatisiert verarbeitet und in einem Dateisystem ge-
(3) Bezieht sich die Informationserteilung auf die speichert werden, besteht nur, soweit die betroffene
Übermittlung personenbezogener Daten durch öffent- Person Angaben macht, die das Auffinden der Daten
liche Stellen an Verfassungsschutzbehörden, den ermöglichen, und der für die Erteilung der Auskunft er-
Bundesnachrichtendienst, den Militärischen Abschirm- forderliche Aufwand nicht außer Verhältnis zu dem von
dienst und, soweit die Sicherheit des Bundes berührt der betroffenen Person geltend gemachten Informati-
wird, andere Behörden des Bundesministeriums der onsinteresse steht.
Verteidigung, ist sie nur mit Zustimmung dieser Stellen
zulässig. § 35
Recht auf Löschung
§ 34
(1) Ist eine Löschung im Fall nicht automatisierter
Auskunftsrecht der betroffenen Person Datenverarbeitung wegen der besonderen Art der Spei-
(1) Das Recht auf Auskunft der betroffenen Person cherung nicht oder nur mit unverhältnismäßig hohem
gemäß Artikel 15 der Verordnung (EU) 2016/679 be- Aufwand möglich und ist das Interesse der betroffenen
steht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 Person an der Löschung als gering anzusehen, besteht
und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, das Recht der betroffenen Person auf und die Pflicht
wenn des Verantwortlichen zur Löschung personenbezoge-
ner Daten gemäß Artikel 17 Absatz 1 der Verordnung
1. die betroffene Person nach § 33 Absatz 1 Num- (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3
mer 1, 2 Buchstabe b oder Absatz 3 nicht zu infor- der Verordnung (EU) 2016/679 genannten Ausnahmen
mieren ist, oder nicht. In diesem Fall tritt an die Stelle einer Löschung
die Einschränkung der Verarbeitung gemäß Artikel 18
2. die Daten
der Verordnung (EU) 2016/679. Die Sätze 1 und 2
a) nur deshalb gespeichert sind, weil sie aufgrund finden keine Anwendung, wenn die personenbezoge-
gesetzlicher oder satzungsmäßiger Aufbewah- nen Daten unrechtmäßig verarbeitet wurden.
rungsvorschriften nicht gelöscht werden dürfen,
(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b
oder
und c der Verordnung (EU) 2016/679 gilt Absatz 1 Satz 1
b) ausschließlich Zwecken der Datensicherung oder und 2 entsprechend im Fall des Artikels 17 Absatz 1
der Datenschutzkontrolle dienen Buchstabe a und d der Verordnung (EU) 2016/679,
solange und soweit der Verantwortliche Grund zu der
und die Auskunftserteilung einen unverhältnismäßi- Annahme hat, dass durch eine Löschung schutzwür-
gen Aufwand erfordern würde sowie eine Verarbei- dige Interessen der betroffenen Person beeinträchtigt
tung zu anderen Zwecken durch geeignete techni- würden. Der Verantwortliche unterrichtet die betroffene
sche und organisatorische Maßnahmen ausge- Person über die Einschränkung der Verarbeitung, so-
schlossen ist. fern sich die Unterrichtung nicht als unmöglich erweist
(2) Die Gründe der Auskunftsverweigerung sind zu oder einen unverhältnismäßigen Aufwand erfordern
dokumentieren. Die Ablehnung der Auskunftserteilung würde.
ist gegenüber der betroffenen Person zu begründen, (3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b
soweit nicht durch die Mitteilung der tatsächlichen der Verordnung (EU) 2016/679 gilt Absatz 1 entspre-
und rechtlichen Gründe, auf die die Entscheidung ge- chend im Fall des Artikels 17 Absatz 1 Buchstabe a
stützt wird, der mit der Auskunftsverweigerung ver- der Verordnung (EU) 2016/679, wenn einer Löschung
folgte Zweck gefährdet würde. Die zum Zweck der Aus- satzungsgemäße oder vertragliche Aufbewahrungs-
kunftserteilung an die betroffene Person und zu deren fristen entgegenstehen.
Vorbereitung gespeicherten Daten dürfen nur für diesen
Zweck sowie für Zwecke der Datenschutzkontrolle
§ 36
verarbeitet werden; für andere Zwecke ist die Verarbei-
tung nach Maßgabe des Artikels 18 der Verordnung Widerspruchsrecht
(EU) 2016/679 einzuschränken.
Das Recht auf Widerspruch gemäß Artikel 21 Ab-
(3) Wird der betroffenen Person durch eine öffent- satz 1 der Verordnung (EU) 2016/679 gegenüber einer
liche Stelle des Bundes keine Auskunft erteilt, so ist öffentlichen Stelle besteht nicht, soweit an der Verar-
sie auf ihr Verlangen der oder dem Bundesbeauftragten beitung ein zwingendes öffentliches Interesse besteht,
zu erteilen, soweit nicht die jeweils zuständige oberste das die Interessen der betroffenen Person überwiegt,
Bundesbehörde im Einzelfall feststellt, dass dadurch oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2113

§ 37 § 39
Automatisierte Entscheidungen Akkreditierung
im Einzelfall einschließlich Profiling Die Erteilung der Befugnis, als Zertifizierungsstelle
(1) Das Recht gemäß Artikel 22 Absatz 1 der Ver- gemäß Artikel 43 Absatz 1 Satz 1 der Verordnung (EU)
ordnung (EU) 2016/679, keiner ausschließlich auf einer 2016/679 tätig zu werden, erfolgt durch die für die
automatisierten Verarbeitung beruhenden Entschei- datenschutzrechtliche Aufsicht über die Zertifizierungs-
dung unterworfen zu werden, besteht über die in stelle zuständige Aufsichtsbehörde des Bundes oder
Artikel 22 Absatz 2 Buchstabe a und c der Verord- der Länder auf der Grundlage einer Akkreditierung
nung (EU) 2016/679 genannten Ausnahmen hinaus durch die Deutsche Akkreditierungsstelle. § 2 Absatz 3
nicht, wenn die Entscheidung im Rahmen der Leis- Satz 2, § 4 Absatz 3 und § 10 Absatz 1 Satz 1 Num-
tungserbringung nach einem Versicherungsvertrag er- mer 3 des Akkreditierungsstellengesetzes finden mit
geht und der Maßgabe Anwendung, dass der Datenschutz als
ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2
1. dem Begehren der betroffenen Person stattgegeben
unterfallender Bereich gilt.
wurde oder
2. die Entscheidung auf der Anwendung verbindlicher Kapitel 4
Entgeltregelungen für Heilbehandlungen beruht und
der Verantwortliche für den Fall, dass dem Antrag Aufsichtsbehörde für die
nicht vollumfänglich stattgegeben wird, angemes- Datenverarbeitung durch nichtöffentliche Stellen
sene Maßnahmen zur Wahrung der berechtigten
Interessen der betroffenen Person trifft, wozu min- § 40
destens das Recht auf Erwirkung des Eingreifens Aufsichtsbehörden der Länder
einer Person seitens des Verantwortlichen, auf Dar-
(1) Die nach Landesrecht zuständigen Behörden
legung des eigenen Standpunktes und auf Anfech-
überwachen im Anwendungsbereich der Verordnung
tung der Entscheidung zählt; der Verantwortliche in-
(EU) 2016/679 bei den nichtöffentlichen Stellen die An-
formiert die betroffene Person über diese Rechte
wendung der Vorschriften über den Datenschutz.
spätestens zum Zeitpunkt der Mitteilung, aus der
sich ergibt, dass dem Antrag der betroffenen Person (2) Hat der Verantwortliche oder Auftragsverarbeiter
nicht vollumfänglich stattgegeben wird. mehrere inländische Niederlassungen, findet für die Be-
stimmung der zuständigen Aufsichtsbehörde Artikel 4
(2) Entscheidungen nach Absatz 1 dürfen auf der
Nummer 16 der Verordnung (EU) 2016/679 entspre-
Verarbeitung von Gesundheitsdaten im Sinne des
chende Anwendung. Wenn sich mehrere Behörden
Artikels 4 Nummer 15 der Verordnung (EU) 2016/679
für zuständig oder für unzuständig halten oder wenn
beruhen. Der Verantwortliche sieht angemessene und
die Zuständigkeit aus anderen Gründen zweifelhaft ist,
spezifische Maßnahmen zur Wahrung der Interessen
treffen die Aufsichtsbehörden die Entscheidung ge-
der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
meinsam nach Maßgabe des § 18 Absatz 2. § 3 Ab-
satz 3 und 4 des Verwaltungsverfahrensgesetzes findet
Kapitel 3 entsprechende Anwendung.
Pflichten der (3) Die Aufsichtsbehörde darf die von ihr gespeicher-
Verantwortlichen und Auftragsverarbeiter ten Daten nur für Zwecke der Aufsicht verarbeiten; hier-
bei darf sie Daten an andere Aufsichtsbehörden über-
§ 38 mitteln. Eine Verarbeitung zu einem anderen Zweck ist
über Artikel 6 Absatz 4 der Verordnung (EU) 2016/679
Datenschutzbeauftragte nichtöffentlicher Stellen hinaus zulässig, wenn
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b 1. offensichtlich ist, dass sie im Interesse der betroffe-
und c der Verordnung (EU) 2016/679 benennen der Ver- nen Person liegt und kein Grund zu der Annahme
antwortliche und der Auftragsverarbeiter eine Daten- besteht, dass sie in Kenntnis des anderen Zwecks
schutzbeauftragte oder einen Datenschutzbeauftrag- ihre Einwilligung verweigern würde,
ten, soweit sie in der Regel mindestens zehn Personen
ständig mit der automatisierten Verarbeitung personen- 2. sie zur Abwehr erheblicher Nachteile für das Ge-
bezogener Daten beschäftigen. Nehmen der Verant- meinwohl oder einer Gefahr für die öffentliche
wortliche oder der Auftragsverarbeiter Verarbeitungen Sicherheit oder zur Wahrung erheblicher Belange
vor, die einer Datenschutz-Folgenabschätzung nach des Gemeinwohls erforderlich ist oder
Artikel 35 der Verordnung (EU) 2016/679 unterliegen, 3. sie zur Verfolgung von Straftaten oder Ordnungs-
oder verarbeiten sie personenbezogene Daten ge- widrigkeiten, zur Vollstreckung oder zum Vollzug
schäftsmäßig zum Zweck der Übermittlung, der anony- von Strafen oder Maßnahmen im Sinne des § 11 Ab-
misierten Übermittlung oder für Zwecke der Markt- satz 1 Nummer 8 des Strafgesetzbuchs oder von
oder Meinungsforschung, haben sie unabhängig von Erziehungsmaßregeln oder Zuchtmitteln im Sinne
der Anzahl der mit der Verarbeitung beschäftigten Per- des Jugendgerichtsgesetzes oder zur Vollstreckung
sonen eine Datenschutzbeauftragte oder einen Daten- von Geldbußen erforderlich ist.
schutzbeauftragten zu benennen. Stellt die Aufsichtsbehörde einen Verstoß gegen die
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden An- Vorschriften über den Datenschutz fest, so ist sie be-
wendung, § 6 Absatz 4 jedoch nur, wenn die Benen- fugt, die betroffenen Personen hierüber zu unterrichten,
nung einer oder eines Datenschutzbeauftragten ver- den Verstoß anderen für die Verfolgung oder Ahndung
pflichtend ist. zuständigen Stellen anzuzeigen sowie bei schwerwie-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2114 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

genden Verstößen die Gewerbeaufsichtsbehörde zur Aufsichtsbehörde, die den Bußgeldbescheid erlassen
Durchführung gewerberechtlicher Maßnahmen zu hat, einstellen kann.
unterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entspre-
chend. § 42
(4) Die der Aufsicht unterliegenden Stellen sowie die Strafvorschriften
mit deren Leitung beauftragten Personen haben einer
Aufsichtsbehörde auf Verlangen die für die Erfüllung (1) Mit Freiheitsstrafe bis zu drei Jahren oder mit
ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Geldstrafe wird bestraft, wer wissentlich nicht allge-
Der Auskunftspflichtige kann die Auskunft auf solche mein zugängliche personenbezogene Daten einer gro-
Fragen verweigern, deren Beantwortung ihn selbst oder ßen Zahl von Personen, ohne hierzu berechtigt zu sein,
einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivil-
1. einem Dritten übermittelt oder
prozessordnung bezeichneten Angehörigen der Gefahr
strafgerichtlicher Verfolgung oder eines Verfahrens 2. auf andere Art und Weise zugänglich macht
nach dem Gesetz über Ordnungswidrigkeiten aus-
setzen würde. Der Auskunftspflichtige ist darauf hinzu- und hierbei gewerbsmäßig handelt.
weisen. (2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit
(5) Die von einer Aufsichtsbehörde mit der Überwa- Geldstrafe wird bestraft, wer personenbezogene Daten,
chung der Einhaltung der Vorschriften über den Daten- die nicht allgemein zugänglich sind,
schutz beauftragten Personen sind befugt, zur Erfül- 1. ohne hierzu berechtigt zu sein, verarbeitet oder
lung ihrer Aufgaben Grundstücke und Geschäftsräume
der Stelle zu betreten und Zugang zu allen Datenverar- 2. durch unrichtige Angaben erschleicht
beitungsanlagen und -geräten zu erhalten. Die Stelle ist
und hierbei gegen Entgelt oder in der Absicht handelt,
insoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt
sich oder einen anderen zu bereichern oder einen an-
entsprechend.
deren zu schädigen.
(6) Die Aufsichtsbehörden beraten und unterstützen
die Datenschutzbeauftragten mit Rücksicht auf deren (3) Die Tat wird nur auf Antrag verfolgt. Antragsbe-
typische Bedürfnisse. Sie können die Abberufung der rechtigt sind die betroffene Person, der Verantwort-
oder des Datenschutzbeauftragten verlangen, wenn liche, die oder der Bundesbeauftragte und die Auf-
sie oder er die zur Erfüllung ihrer oder seiner Aufgaben sichtsbehörde.
erforderliche Fachkunde nicht besitzt oder im Fall des (4) Eine Meldung nach Artikel 33 der Verordnung
Artikels 38 Absatz 6 der Verordnung (EU) 2016/679 ein (EU) 2016/679 oder eine Benachrichtigung nach Arti-
schwerwiegender Interessenkonflikt vorliegt. kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf
(7) Die Anwendung der Gewerbeordnung bleibt un- in einem Strafverfahren gegen den Meldepflichtigen
berührt. oder Benachrichtigenden oder seine in § 52 Absatz 1
der Strafprozessordnung bezeichneten Angehörigen
Kapitel 5 nur mit Zustimmung des Meldepflichtigen oder Be-
nachrichtigenden verwendet werden.
Sanktionen
§ 43
§ 41
Bußgeldvorschriften
Anwendung der Vorschriften
über das Bußgeld- und Strafverfahren (1) Ordnungswidrig handelt, wer vorsätzlich oder
(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der fahrlässig
Verordnung (EU) 2016/679 gelten, soweit dieses Gesetz 1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht
nichts anderes bestimmt, die Vorschriften des Gesetzes richtig behandelt oder
über Ordnungswidrigkeiten sinngemäß. Die §§ 17, 35
und 36 des Gesetzes über Ordnungswidrigkeiten finden 2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher
keine Anwendung. § 68 des Gesetzes über Ordnungs- nicht, nicht richtig, nicht vollständig oder nicht recht-
widrigkeiten findet mit der Maßgabe Anwendung, dass zeitig unterrichtet.
das Landgericht entscheidet, wenn die festgesetzte (2) Die Ordnungswidrigkeit kann mit einer Geldbuße
Geldbuße den Betrag von einhunderttausend Euro bis zu fünfzigtausend Euro geahndet werden.
übersteigt.
(3) Gegen Behörden und sonstige öffentliche Stellen
(2) Für Verfahren wegen eines Verstoßes nach Arti-
im Sinne des § 2 Absatz 1 werden keine Geldbußen
kel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679
verhängt.
gelten, soweit dieses Gesetz nichts anderes bestimmt,
die Vorschriften des Gesetzes über Ordnungswidrig- (4) Eine Meldung nach Artikel 33 der Verordnung
keiten und der allgemeinen Gesetze über das Strafver- (EU) 2016/679 oder eine Benachrichtigung nach Arti-
fahren, namentlich der Strafprozessordnung und des kel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in
Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 einem Verfahren nach dem Gesetz über Ordnungswid-
bis 58, 87, 88, 99 und 100 des Gesetzes über Ord- rigkeiten gegen den Meldepflichtigen oder Benachrich-
nungswidrigkeiten finden keine Anwendung. § 69 Ab- tigenden oder seine in § 52 Absatz 1 der Strafprozess-
satz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten ordnung bezeichneten Angehörigen nur mit Zustim-
findet mit der Maßgabe Anwendung, dass die Staats- mung des Meldepflichtigen oder Benachrichtigenden
anwaltschaft das Verfahren nur mit Zustimmung der verwendet werden.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2115

Kapitel 6 § 46

Rechtsbehelfe Begriffsbestimmungen
Es bezeichnen die Begriffe:
§ 44 1. „personenbezogene Daten“ alle Informationen, die
sich auf eine identifizierte oder identifizierbare
Klagen gegen den
natürliche Person (betroffene Person) beziehen; als
Verantwortlichen oder Auftragsverarbeiter
identifizierbar wird eine natürliche Person ange-
(1) Klagen der betroffenen Person gegen einen Ver- sehen, die direkt oder indirekt, insbesondere mittels
antwortlichen oder einen Auftragsverarbeiter wegen Zuordnung zu einer Kennung wie einem Namen,
eines Verstoßes gegen datenschutzrechtliche Bestim- zu einer Kennnummer, zu Standortdaten, zu einer
mungen im Anwendungsbereich der Verordnung (EU) Online-Kennung oder zu einem oder mehreren be-
2016/679 oder der darin enthaltenen Rechte der be- sonderen Merkmalen, die Ausdruck der physi-
troffenen Person können bei dem Gericht des Ortes er- schen, physiologischen, genetischen, psychischen,
hoben werden, an dem sich eine Niederlassung des wirtschaftlichen, kulturellen oder sozialen Identität
Verantwortlichen oder Auftragsverarbeiters befindet. dieser Person sind, identifiziert werden kann;
Klagen nach Satz 1 können auch bei dem Gericht des 2. „Verarbeitung“ jeden mit oder ohne Hilfe automati-
Ortes erhoben werden, an dem die betroffene Person sierter Verfahren ausgeführten Vorgang oder jede
ihren gewöhnlichen Aufenthaltsort hat. solche Vorgangsreihe im Zusammenhang mit per-
(2) Absatz 1 gilt nicht für Klagen gegen Behörden, sonenbezogenen Daten wie das Erheben, das Er-
die in Ausübung ihrer hoheitlichen Befugnisse tätig ge- fassen, die Organisation, das Ordnen, die Speiche-
worden sind. rung, die Anpassung, die Veränderung, das Aus-
lesen, das Abfragen, die Verwendung, die Offen-
(3) Hat der Verantwortliche oder Auftragsverarbeiter legung durch Übermittlung, Verbreitung oder eine
einen Vertreter nach Artikel 27 Absatz 1 der Verordnung andere Form der Bereitstellung, den Abgleich, die
(EU) 2016/679 benannt, gilt dieser auch als bevoll- Verknüpfung, die Einschränkung, das Löschen oder
mächtigt, Zustellungen in zivilgerichtlichen Verfahren die Vernichtung;
nach Absatz 1 entgegenzunehmen. § 184 der Zivilpro-
3. „Einschränkung der Verarbeitung“ die Markierung
zessordnung bleibt unberührt.
gespeicherter personenbezogener Daten mit dem
Ziel, ihre künftige Verarbeitung einzuschränken;
Te i l 3
4. „Profiling“ jede Art der automatisierten Verarbeitung
Bestimmungen für personenbezogener Daten, bei der diese Daten ver-
Ve r a r b e i t u n g e n z u Z w e c k e n wendet werden, um bestimmte persönliche Aspek-
te, die sich auf eine natürliche Person beziehen, zu
gemäß Artikel 1 Absatz 1
bewerten, insbesondere um Aspekte der Arbeits-
der Richtlinie (EU) 2016/680 leistung, der wirtschaftlichen Lage, der Gesundheit,
der persönlichen Vorlieben, der Interessen, der Zu-
Kapitel 1 verlässigkeit, des Verhaltens, der Aufenthaltsorte
oder der Ortswechsel dieser natürlichen Person zu
Anwendungsbereich, analysieren oder vorherzusagen;
Begriffsbestimmungen und
5. „Pseudonymisierung“ die Verarbeitung personen-
allgemeine Grundsätze für die bezogener Daten in einer Weise, in der die Daten
Verarbeitung personenbezogener Daten ohne Hinzuziehung zusätzlicher Informationen nicht
mehr einer spezifischen betroffenen Person zuge-
§ 45 ordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und
Anwendungsbereich technischen und organisatorischen Maßnahmen
Die Vorschriften dieses Teils gelten für die Verarbei- unterliegen, die gewährleisten, dass die Daten
tung personenbezogener Daten durch die für die Ver- keiner betroffenen Person zugewiesen werden
hütung, Ermittlung, Aufdeckung, Verfolgung oder Ahn- können;
dung von Straftaten oder Ordnungswidrigkeiten zu- 6. „Dateisystem“ jede strukturierte Sammlung perso-
ständigen öffentlichen Stellen, soweit sie Daten zum nenbezogener Daten, die nach bestimmten Krite-
Zweck der Erfüllung dieser Aufgaben verarbeiten. Die rien zugänglich sind, unabhängig davon, ob diese
öffentlichen Stellen gelten dabei als Verantwortliche. Sammlung zentral, dezentral oder nach funktiona-
Die Verhütung von Straftaten im Sinne des Satzes 1 len oder geografischen Gesichtspunkten geordnet
umfasst den Schutz vor und die Abwehr von Gefahren geführt wird;
für die öffentliche Sicherheit. Die Sätze 1 und 2 finden
7. „Verantwortlicher“ die natürliche oder juristische
zudem Anwendung auf diejenigen öffentlichen Stellen,
Person, Behörde, Einrichtung oder andere Stelle,
die für die Vollstreckung von Strafen, von Maßnahmen
die allein oder gemeinsam mit anderen über die
im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetz-
Zwecke und Mittel der Verarbeitung von personen-
buchs, von Erziehungsmaßregeln oder Zuchtmitteln im
bezogenen Daten entscheidet;
Sinne des Jugendgerichtsgesetzes und von Geldbußen
zuständig sind. Soweit dieser Teil Vorschriften für Auf- 8. „Auftragsverarbeiter“ eine natürliche oder juristi-
tragsverarbeiter enthält, gilt er auch für diese. sche Person, Behörde, Einrichtung oder andere

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2116 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

Stelle, die personenbezogene Daten im Auftrag des 17. „Einwilligung“ jede freiwillig für den bestimmten
Verantwortlichen verarbeitet; Fall, in informierter Weise und unmissverständlich
9. „Empfänger“ eine natürliche oder juristische Per- abgegebene Willensbekundung in Form einer Erklä-
son, Behörde, Einrichtung oder andere Stelle, der rung oder einer sonstigen eindeutigen bestätigen-
personenbezogene Daten offengelegt werden, un- den Handlung, mit der die betroffene Person zu ver-
abhängig davon, ob es sich bei ihr um einen Drit- stehen gibt, dass sie mit der Verarbeitung der sie
ten handelt oder nicht; Behörden, die im Rahmen betreffenden personenbezogenen Daten einver-
eines bestimmten Untersuchungsauftrags nach standen ist.
dem Unionsrecht oder anderen Rechtsvorschriften
personenbezogene Daten erhalten, gelten jedoch § 47
nicht als Empfänger; die Verarbeitung dieser Daten Allgemeine Grundsätze
durch die genannten Behörden erfolgt im Einklang für die Verarbeitung personenbezogener Daten
mit den geltenden Datenschutzvorschriften gemäß Personenbezogene Daten müssen
den Zwecken der Verarbeitung;
1. auf rechtmäßige Weise und nach Treu und Glauben
10. „Verletzung des Schutzes personenbezogener Da- verarbeitet werden,
ten“ eine Verletzung der Sicherheit, die zur unbe-
2. für festgelegte, eindeutige und rechtmäßige Zwecke
absichtigten oder unrechtmäßigen Vernichtung,
erhoben und nicht in einer mit diesen Zwecken nicht
zum Verlust, zur Veränderung oder zur unbefugten
zu vereinbarenden Weise verarbeitet werden,
Offenlegung von oder zum unbefugten Zugang zu
personenbezogenen Daten geführt hat, die verar- 3. dem Verarbeitungszweck entsprechen, für das Errei-
beitet wurden; chen des Verarbeitungszwecks erforderlich sein und
ihre Verarbeitung nicht außer Verhältnis zu diesem
11. „genetische Daten“ personenbezogene Daten zu
Zweck stehen,
den ererbten oder erworbenen genetischen Eigen-
schaften einer natürlichen Person, die eindeutige 4. sachlich richtig und erforderlichenfalls auf dem neu-
Informationen über die Physiologie oder die Ge- esten Stand sein; dabei sind alle angemessenen
sundheit dieser Person liefern, insbesondere sol- Maßnahmen zu treffen, damit personenbezogene
che, die aus der Analyse einer biologischen Probe Daten, die im Hinblick auf die Zwecke ihrer Verarbei-
der Person gewonnen wurden; tung unrichtig sind, unverzüglich gelöscht oder be-
richtigt werden,
12. „biometrische Daten“ mit speziellen technischen
Verfahren gewonnene personenbezogene Daten 5. nicht länger als es für die Zwecke, für die sie verar-
zu den physischen, physiologischen oder verhal- beitet werden, erforderlich ist, in einer Form gespei-
tenstypischen Merkmalen einer natürlichen Person, chert werden, die die Identifizierung der betroffenen
die die eindeutige Identifizierung dieser natürlichen Personen ermöglicht, und
Person ermöglichen oder bestätigen, insbesondere 6. in einer Weise verarbeitet werden, die eine angemes-
Gesichtsbilder oder daktyloskopische Daten; sene Sicherheit der personenbezogenen Daten ge-
13. „Gesundheitsdaten“ personenbezogene Daten, die währleistet; hierzu gehört auch ein durch geeignete
sich auf die körperliche oder geistige Gesundheit technische und organisatorische Maßnahmen zu ge-
einer natürlichen Person, einschließlich der Erbrin- währleistender Schutz vor unbefugter oder unrecht-
gung von Gesundheitsdienstleistungen, beziehen mäßiger Verarbeitung, unbeabsichtigtem Verlust,
und aus denen Informationen über deren Gesund- unbeabsichtigter Zerstörung oder unbeabsichtigter
heitszustand hervorgehen; Schädigung.

14. „besondere Kategorien personenbezogener Daten“ Kapitel 2


a) Daten, aus denen die rassische oder ethnische Rechtsgrundlagen der
Herkunft, politische Meinungen, religiöse oder
Verarbeitung personenbezogener Daten
weltanschauliche Überzeugungen oder die Ge-
werkschaftszugehörigkeit hervorgehen,
§ 48
b) genetische Daten, Verarbeitung besonderer
c) biometrische Daten zur eindeutigen Identifizie- Kategorien personenbezogener Daten
rung einer natürlichen Person, (1) Die Verarbeitung besonderer Kategorien perso-
d) Gesundheitsdaten und nenbezogener Daten ist nur zulässig, wenn sie zur Auf-
gabenerfüllung unbedingt erforderlich ist.
e) Daten zum Sexualleben oder zur sexuellen
Orientierung; (2) Werden besondere Kategorien personenbezoge-
ner Daten verarbeitet, sind geeignete Garantien für
15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat
die Rechtsgüter der betroffenen Personen vorzusehen.
gemäß Artikel 41 der Richtlinie (EU) 2016/680 ein-
Geeignete Garantien können insbesondere sein
gerichtete unabhängige staatliche Stelle;
1. spezifische Anforderungen an die Datensicherheit
16. „internationale Organisation“ eine völkerrechtliche oder die Datenschutzkontrolle,
Organisation und ihre nachgeordneten Stellen so-
wie jede sonstige Einrichtung, die durch eine von 2. die Festlegung von besonderen Aussonderungs-
zwei oder mehr Staaten geschlossene Übereinkunft prüffristen,
oder auf der Grundlage einer solchen Übereinkunft 3. die Sensibilisierung der an Verarbeitungsvorgängen
geschaffen wurde; Beteiligten,

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2117

4. die Beschränkung des Zugangs zu den personen- wurde, müssen die Umstände der Erteilung berücksich-
bezogenen Daten innerhalb der verantwortlichen tigt werden. Die betroffene Person ist auf den vorge-
Stelle, sehenen Zweck der Verarbeitung hinzuweisen. Ist dies
5. die von anderen Daten getrennte Verarbeitung, nach den Umständen des Einzelfalles erforderlich oder
verlangt die betroffene Person dies, ist sie auch über
6. die Pseudonymisierung personenbezogener Daten, die Folgen der Verweigerung der Einwilligung zu be-
7. die Verschlüsselung personenbezogener Daten oder lehren.
8. spezifische Verfahrensregelungen, die im Fall einer (5) Soweit besondere Kategorien personenbezoge-
Übermittlung oder Verarbeitung für andere Zwecke ner Daten verarbeitet werden, muss sich die Einwilli-
die Rechtmäßigkeit der Verarbeitung sicherstellen. gung ausdrücklich auf diese Daten beziehen.

§ 49 § 52
Verarbeitung zu anderen Zwecken Verarbeitung auf Weisung des Verantwortlichen
Eine Verarbeitung personenbezogener Daten zu Jede einem Verantwortlichen oder einem Auftrags-
einem anderen Zweck als zu demjenigen, zu dem sie verarbeiter unterstellte Person, die Zugang zu perso-
erhoben wurden, ist zulässig, wenn es sich bei dem nenbezogenen Daten hat, darf diese Daten ausschließ-
anderen Zweck um einen der in § 45 genannten Zwe- lich auf Weisung des Verantwortlichen verarbeiten, es
cke handelt, der Verantwortliche befugt ist, Daten zu sei denn, dass sie nach einer Rechtsvorschrift zur Ver-
diesem Zweck zu verarbeiten, und die Verarbeitung arbeitung verpflichtet ist.
zu diesem Zweck erforderlich und verhältnismäßig ist.
Die Verarbeitung personenbezogener Daten zu einem § 53
anderen, in § 45 nicht genannten Zweck ist zulässig,
wenn sie in einer Rechtsvorschrift vorgesehen ist. Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen
§ 50 personenbezogene Daten nicht unbefugt verarbeiten
Verarbeitung zu archivarischen, (Datengeheimnis). Sie sind bei der Aufnahme ihrer
wissenschaftlichen und statistischen Zwecken Tätigkeit auf das Datengeheimnis zu verpflichten. Das
Datengeheimnis besteht auch nach der Beendigung
Personenbezogene Daten dürfen im Rahmen der in
ihrer Tätigkeit fort.
§ 45 genannten Zwecke in archivarischer, wissen-
schaftlicher oder statistischer Form verarbeitet werden,
wenn hieran ein öffentliches Interesse besteht und § 54
geeignete Garantien für die Rechtsgüter der betroffe- Automatisierte Einzelentscheidung
nen Personen vorgesehen werden. Solche Garantien
(1) Eine ausschließlich auf einer automatischen Ver-
können in einer so zeitnah wie möglich erfolgenden
arbeitung beruhende Entscheidung, die mit einer nach-
Anonymisierung der personenbezogenen Daten, in Vor-
teiligen Rechtsfolge für die betroffene Person verbun-
kehrungen gegen ihre unbefugte Kenntnisnahme durch
den ist oder sie erheblich beeinträchtigt, ist nur zuläs-
Dritte oder in ihrer räumlich und organisatorisch von
sig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
den sonstigen Fachaufgaben getrennten Verarbeitung
bestehen. (2) Entscheidungen nach Absatz 1 dürfen nicht auf
besonderen Kategorien personenbezogener Daten be-
§ 51 ruhen, sofern nicht geeignete Maßnahmen zum Schutz
der Rechtsgüter sowie der berechtigten Interessen der
Einwilligung
betroffenen Personen getroffen wurden.
(1) Soweit die Verarbeitung personenbezogener Da-
(3) Profiling, das zur Folge hat, dass betroffene Per-
ten nach einer Rechtsvorschrift auf der Grundlage einer
sonen auf der Grundlage von besonderen Kategorien
Einwilligung erfolgen kann, muss der Verantwortliche
personenbezogener Daten diskriminiert werden, ist ver-
die Einwilligung der betroffenen Person nachweisen
boten.
können.
(2) Erfolgt die Einwilligung der betroffenen Person Kapitel 3
durch eine schriftliche Erklärung, die noch andere
Sachverhalte betrifft, muss das Ersuchen um Einwilli- Rechte der betroffenen Person
gung in verständlicher und leicht zugänglicher Form in
einer klaren und einfachen Sprache so erfolgen, dass § 55
es von den anderen Sachverhalten klar zu unterschei-
Allgemeine Informationen zu Datenverarbeitungen
den ist.
Der Verantwortliche hat in allgemeiner Form und für
(3) Die betroffene Person hat das Recht, ihre Einwil-
jedermann zugänglich Informationen zur Verfügung zu
ligung jederzeit zu widerrufen. Durch den Widerruf der
stellen über
Einwilligung wird die Rechtmäßigkeit der aufgrund der
Einwilligung bis zum Widerruf erfolgten Verarbeitung 1. die Zwecke der von ihm vorgenommenen Verarbei-
nicht berührt. Die betroffene Person ist vor Abgabe tungen,
der Einwilligung hiervon in Kenntnis zu setzen. 2. die im Hinblick auf die Verarbeitung ihrer personen-
(4) Die Einwilligung ist nur wirksam, wenn sie auf bezogenen Daten bestehenden Rechte der betroffe-
der freien Entscheidung der betroffenen Person beruht. nen Personen auf Auskunft, Berichtigung, Löschung
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt und Einschränkung der Verarbeitung,

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2118 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

3. den Namen und die Kontaktdaten des Verantwort- 4. die Empfänger oder die Kategorien von Empfängern,
lichen und der oder des Datenschutzbeauftragten, gegenüber denen die Daten offengelegt worden
4. das Recht, die Bundesbeauftragte oder den Bun- sind, insbesondere bei Empfängern in Drittstaaten
desbeauftragten anzurufen, und oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls
5. die Erreichbarkeit der oder des Bundesbeauftragten.
dies nicht möglich ist, die Kriterien für die Fest-
legung dieser Dauer,
§ 56
6. das Bestehen eines Rechts auf Berichtigung,
Benachrichtigung betroffener Personen Löschung oder Einschränkung der Verarbeitung der
(1) Ist die Benachrichtigung betroffener Personen Daten durch den Verantwortlichen,
über die Verarbeitung sie betreffender personenbezo- 7. das Recht nach § 60, die Bundesbeauftragte oder
gener Daten in speziellen Rechtsvorschriften, insbe- den Bundesbeauftragten anzurufen, sowie
sondere bei verdeckten Maßnahmen, vorgesehen oder
angeordnet, so hat diese Benachrichtigung zumindest 8. Angaben zur Erreichbarkeit der oder des Bundes-
die folgenden Angaben zu enthalten: beauftragten.

1. die in § 55 genannten Angaben, (2) Absatz 1 gilt nicht für personenbezogene Daten,
die nur deshalb verarbeitet werden, weil sie aufgrund
2. die Rechtsgrundlage der Verarbeitung, gesetzlicher Aufbewahrungsvorschriften nicht gelöscht
3. die für die Daten geltende Speicherdauer oder, falls werden dürfen oder die ausschließlich Zwecken der
dies nicht möglich ist, die Kriterien für die Fest- Datensicherung oder der Datenschutzkontrolle dienen,
legung dieser Dauer, wenn die Auskunftserteilung einen unverhältnismäßi-
gen Aufwand erfordern würde und eine Verarbeitung
4. gegebenenfalls die Kategorien von Empfängern der
zu anderen Zwecken durch geeignete technische und
personenbezogenen Daten sowie
organisatorische Maßnahmen ausgeschlossen ist.
5. erforderlichenfalls weitere Informationen, insbeson- (3) Von der Auskunftserteilung ist abzusehen, wenn
dere, wenn die personenbezogenen Daten ohne die betroffene Person keine Angaben macht, die das
Wissen der betroffenen Person erhoben wurden. Auffinden der Daten ermöglichen, und deshalb der für
(2) In den Fällen des Absatzes 1 kann der Verant- die Erteilung der Auskunft erforderliche Aufwand außer
wortliche die Benachrichtigung insoweit und solange Verhältnis zu dem von der betroffenen Person geltend
aufschieben, einschränken oder unterlassen, wie an- gemachten Informationsinteresse steht.
dernfalls (4) Der Verantwortliche kann unter den Vorausset-
1. die Erfüllung der in § 45 genannten Aufgaben, zungen des § 56 Absatz 2 von der Auskunft nach Ab-
2. die öffentliche Sicherheit oder satz 1 Satz 1 absehen oder die Auskunftserteilung nach
Absatz 1 Satz 2 teilweise oder vollständig einschrän-
3. Rechtsgüter Dritter ken.
gefährdet würden, wenn das Interesse an der Vermei- (5) Bezieht sich die Auskunftserteilung auf die Über-
dung dieser Gefahren das Informationsinteresse der mittlung personenbezogener Daten an Verfassungs-
betroffenen Person überwiegt. schutzbehörden, den Bundesnachrichtendienst, den
(3) Bezieht sich die Benachrichtigung auf die Über- Militärischen Abschirmdienst und, soweit die Sicher-
mittlung personenbezogener Daten an Verfassungs- heit des Bundes berührt wird, andere Behörden des
schutzbehörden, den Bundesnachrichtendienst, den Bundesministeriums der Verteidigung, ist sie nur mit
Militärischen Abschirmdienst und, soweit die Sicherheit Zustimmung dieser Stellen zulässig.
des Bundes berührt wird, andere Behörden des (6) Der Verantwortliche hat die betroffene Person
Bundesministeriums der Verteidigung, ist sie nur mit über das Absehen von oder die Einschränkung einer
Zustimmung dieser Stellen zulässig. Auskunft unverzüglich schriftlich zu unterrichten. Dies
(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57 gilt nicht, wenn bereits die Erteilung dieser Informa-
Absatz 7 entsprechend. tionen eine Gefährdung im Sinne des § 56 Absatz 2
mit sich bringen würde. Die Unterrichtung nach Satz 1
§ 57 ist zu begründen, es sei denn, dass die Mitteilung der
Gründe den mit dem Absehen von oder der Einschrän-
Auskunftsrecht kung der Auskunft verfolgten Zweck gefährden würde.
(1) Der Verantwortliche hat betroffenen Personen auf (7) Wird die betroffene Person nach Absatz 6 über
Antrag Auskunft darüber zu erteilen, ob er sie betref- das Absehen von oder die Einschränkung der Auskunft
fende Daten verarbeitet. Betroffene Personen haben unterrichtet, kann sie ihr Auskunftsrecht auch über die
darüber hinaus das Recht, Informationen zu erhalten Bundesbeauftragte oder den Bundesbeauftragten aus-
über üben. Der Verantwortliche hat die betroffene Person
1. die personenbezogenen Daten, die Gegenstand der über diese Möglichkeit sowie darüber zu unterrichten,
Verarbeitung sind, und die Kategorie, zu der sie ge- dass sie gemäß § 60 die Bundesbeauftragte oder
hören, den Bundesbeauftragten anrufen oder gerichtlichen
Rechtsschutz suchen kann. Macht die betroffene Per-
2. die verfügbaren Informationen über die Herkunft der son von ihrem Recht nach Satz 1 Gebrauch, ist die
Daten, Auskunft auf ihr Verlangen der oder dem Bundesbeauf-
3. die Zwecke der Verarbeitung und deren Rechts- tragten zu erteilen, soweit nicht die zuständige oberste
grundlage, Bundesbehörde im Einzelfall feststellt, dass dadurch

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2119

die Sicherheit des Bundes oder eines Landes gefährdet (5) Hat der Verantwortliche eine Berichtigung vorge-
würde. Die oder der Bundesbeauftragte hat die betrof- nommen, hat er einer Stelle, die ihm die personenbezo-
fene Person zumindest darüber zu unterrichten, dass genen Daten zuvor übermittelt hat, die Berichtigung
alle erforderlichen Prüfungen erfolgt sind oder eine mitzuteilen. In Fällen der Berichtigung, Löschung oder
Überprüfung durch sie stattgefunden hat. Diese Mittei- Einschränkung der Verarbeitung nach den Absätzen 1
lung kann die Information enthalten, ob datenschutz- bis 3 hat der Verantwortliche Empfängern, denen die
rechtliche Verstöße festgestellt wurden. Die Mitteilung Daten übermittelt wurden, diese Maßnahmen mitzu-
der oder des Bundesbeauftragten an die betroffene teilen. Der Empfänger hat die Daten zu berichtigen, zu
Person darf keine Rückschlüsse auf den Erkenntnis- löschen oder ihre Verarbeitung einzuschränken.
stand des Verantwortlichen zulassen, sofern dieser
(6) Der Verantwortliche hat die betroffene Person
keiner weitergehenden Auskunft zustimmt. Der Verant-
über ein Absehen von der Berichtigung oder Löschung
wortliche darf die Zustimmung nur insoweit und so-
personenbezogener Daten oder über die an deren
lange verweigern, wie er nach Absatz 4 von einer
Stelle tretende Einschränkung der Verarbeitung schrift-
Auskunft absehen oder sie einschränken könnte. Die
lich zu unterrichten. Dies gilt nicht, wenn bereits die
oder der Bundesbeauftragte hat zudem die betroffene
Erteilung dieser Informationen eine Gefährdung im
Person über ihr Recht auf gerichtlichen Rechtsschutz
Sinne des § 56 Absatz 2 mit sich bringen würde. Die
zu unterrichten.
Unterrichtung nach Satz 1 ist zu begründen, es sei
(8) Der Verantwortliche hat die sachlichen oder recht- denn, dass die Mitteilung der Gründe den mit dem
lichen Gründe für die Entscheidung zu dokumentieren. Absehen von der Unterrichtung verfolgten Zweck ge-
fährden würde.
§ 58
(7) § 57 Absatz 7 und 8 findet entsprechende An-
Rechte auf wendung.
Berichtigung und Löschung
sowie Einschränkung der Verarbeitung § 59
(1) Die betroffene Person hat das Recht, von dem
Verfahren für die
Verantwortlichen unverzüglich die Berichtigung sie be-
Ausübung der Rechte der betroffenen Person
treffender unrichtiger Daten zu verlangen. Insbesondere
im Fall von Aussagen oder Beurteilungen betrifft die (1) Der Verantwortliche hat mit betroffenen Personen
Frage der Richtigkeit nicht den Inhalt der Aussage oder unter Verwendung einer klaren und einfachen Sprache
Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der in präziser, verständlicher und leicht zugänglicher Form
Daten nicht festgestellt werden kann, tritt an die Stelle zu kommunizieren. Unbeschadet besonderer Formvor-
der Berichtigung eine Einschränkung der Verarbeitung. schriften soll er bei der Beantwortung von Anträgen
In diesem Fall hat der Verantwortliche die betroffene grundsätzlich die für den Antrag gewählte Form ver-
Person zu unterrichten, bevor er die Einschränkung wenden.
wieder aufhebt. Die betroffene Person kann zudem die (2) Bei Anträgen hat der Verantwortliche die betrof-
Vervollständigung unvollständiger personenbezogener fene Person unbeschadet des § 57 Absatz 6 und des
Daten verlangen, wenn dies unter Berücksichtigung § 58 Absatz 6 unverzüglich schriftlich darüber in Kennt-
der Verarbeitungszwecke angemessen ist. nis zu setzen, wie verfahren wurde.
(2) Die betroffene Person hat das Recht, von dem
(3) Die Erteilung von Informationen nach § 55, die
Verantwortlichen unverzüglich die Löschung sie betref-
Benachrichtigungen nach den §§ 56 und 66 und die
fender Daten zu verlangen, wenn deren Verarbeitung
Bearbeitung von Anträgen nach den §§ 57 und 58 er-
unzulässig ist, deren Kenntnis für die Aufgabenerfüllung
folgen unentgeltlich. Bei offenkundig unbegründeten
nicht mehr erforderlich ist oder diese zur Erfüllung einer
oder exzessiven Anträgen nach den §§ 57 und 58 kann
rechtlichen Verpflichtung gelöscht werden müssen.
der Verantwortliche entweder eine angemessene Ge-
(3) Anstatt die personenbezogenen Daten zu löschen, bühr auf der Grundlage der Verwaltungskosten verlan-
kann der Verantwortliche deren Verarbeitung einschrän- gen oder sich weigern, aufgrund des Antrags tätig zu
ken, wenn werden. In diesem Fall muss der Verantwortliche den
1. Grund zu der Annahme besteht, dass eine Löschung offenkundig unbegründeten oder exzessiven Charakter
schutzwürdige Interessen einer betroffenen Person des Antrags belegen können.
beeinträchtigen würde, (4) Hat der Verantwortliche begründete Zweifel an
2. die Daten zu Beweiszwecken in Verfahren, die Zwe- der Identität einer betroffenen Person, die einen Antrag
cken des § 45 dienen, weiter aufbewahrt werden nach den §§ 57 oder 58 gestellt hat, kann er von ihr
müssen oder zusätzliche Informationen anfordern, die zur Bestäti-
3. eine Löschung wegen der besonderen Art der Spei- gung ihrer Identität erforderlich sind.
cherung nicht oder nur mit unverhältnismäßigem
Aufwand möglich ist. § 60
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten Anrufung der oder des Bundesbeauftragten
dürfen nur zu dem Zweck verarbeitet werden, der ihrer (1) Jede betroffene Person kann sich unbeschadet
Löschung entgegenstand. anderweitiger Rechtsbehelfe mit einer Beschwerde an
(4) Bei automatisierten Dateisystemen ist technisch die Bundesbeauftragte oder den Bundesbeauftragten
sicherzustellen, dass eine Einschränkung der Verarbei- wenden, wenn sie der Auffassung ist, bei der Verarbei-
tung eindeutig erkennbar ist und eine Verarbeitung für tung ihrer personenbezogenen Daten durch öffentliche
andere Zwecke nicht ohne weitere Prüfung möglich ist. Stellen zu den in § 45 genannten Zwecken in ihren

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2120 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

Rechten verletzt worden zu sein. Dies gilt nicht für die ter erteilt, hat der Auftragsverarbeiter den Verantwort-
Verarbeitung von personenbezogenen Daten durch Ge- lichen über jede beabsichtigte Hinzuziehung oder Er-
richte, soweit diese die Daten im Rahmen ihrer justiziel- setzung zu informieren. Der Verantwortliche kann in
len Tätigkeit verarbeitet haben. Die oder der Bundes- diesem Fall die Hinzuziehung oder Ersetzung unter-
beauftragte hat die betroffene Person über den Stand sagen.
und das Ergebnis der Beschwerde zu unterrichten und
(4) Zieht ein Auftragsverarbeiter einen weiteren Auf-
sie hierbei auf die Möglichkeit gerichtlichen Rechts-
tragsverarbeiter hinzu, so hat er diesem dieselben Ver-
schutzes nach § 61 hinzuweisen.
pflichtungen aus seinem Vertrag mit dem Verantwort-
(2) Die oder der Bundesbeauftragte hat eine bei ihr lichen nach Absatz 5 aufzuerlegen, die auch für ihn
oder ihm eingelegte Beschwerde über eine Verarbei- gelten, soweit diese Pflichten für den weiteren Auf-
tung, die in die Zuständigkeit einer Aufsichtsbehörde tragsverarbeiter nicht schon aufgrund anderer Vor-
in einem anderen Mitgliedstaat der Europäischen Union schriften verbindlich sind. Erfüllt ein weiterer Auftrags-
fällt, unverzüglich an die zuständige Aufsichtsbehörde verarbeiter diese Verpflichtungen nicht, so haftet der
des anderen Staates weiterzuleiten. Sie oder er hat in ihn beauftragende Auftragsverarbeiter gegenüber dem
diesem Fall die betroffene Person über die Weiterlei- Verantwortlichen für die Einhaltung der Pflichten des
tung zu unterrichten und ihr auf deren Ersuchen weitere weiteren Auftragsverarbeiters.
Unterstützung zu leisten.
(5) Die Verarbeitung durch einen Auftragsverarbeiter
hat auf der Grundlage eines Vertrags oder eines ande-
§ 61 ren Rechtsinstruments zu erfolgen, der oder das den
Rechtsschutz Auftragsverarbeiter an den Verantwortlichen bindet
gegen Entscheidungen und der oder das den Gegenstand, die Dauer, die Art
der oder des Bundesbeauftragten und den Zweck der Verarbeitung, die Art der personen-
oder bei deren oder dessen Untätigkeit bezogenen Daten, die Kategorien betroffener Personen
und die Rechte und Pflichten des Verantwortlichen fest-
(1) Jede natürliche oder juristische Person kann un- legt. Der Vertrag oder das andere Rechtsinstrument
beschadet anderer Rechtsbehelfe gerichtlich gegen haben insbesondere vorzusehen, dass der Auftragsver-
eine verbindliche Entscheidung der oder des Bundes- arbeiter
beauftragten vorgehen.
1. nur auf dokumentierte Weisung des Verantwort-
(2) Absatz 1 gilt entsprechend zugunsten betroffener lichen handelt; ist der Auftragsverarbeiter der Auf-
Personen, wenn sich die oder der Bundesbeauftragte fassung, dass eine Weisung rechtswidrig ist, hat er
mit einer Beschwerde nach § 60 nicht befasst oder den Verantwortlichen unverzüglich zu informieren;
die betroffene Person nicht innerhalb von drei Monaten
nach Einlegung der Beschwerde über den Stand oder 2. gewährleistet, dass die zur Verarbeitung der perso-
das Ergebnis der Beschwerde in Kenntnis gesetzt hat. nenbezogenen Daten befugten Personen zur Ver-
traulichkeit verpflichtet werden, soweit sie keiner an-
gemessenen gesetzlichen Verschwiegenheitspflicht
Kapitel 4
unterliegen;
Pflichten der 3. den Verantwortlichen mit geeigneten Mitteln dabei
Verantwortlichen und Auftragsverarbeiter unterstützt, die Einhaltung der Bestimmungen über
die Rechte der betroffenen Person zu gewährleisten;
§ 62
4. alle personenbezogenen Daten nach Abschluss der
Auftragsverarbeitung Erbringung der Verarbeitungsleistungen nach Wahl
des Verantwortlichen zurückgibt oder löscht und be-
(1) Werden personenbezogene Daten im Auftrag
stehende Kopien vernichtet, wenn nicht nach einer
eines Verantwortlichen durch andere Personen oder
Rechtsvorschrift eine Verpflichtung zur Speicherung
Stellen verarbeitet, hat der Verantwortliche für die Ein-
der Daten besteht;
haltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz zu sorgen. Die 5. dem Verantwortlichen alle erforderlichen Informatio-
Rechte der betroffenen Personen auf Auskunft, Berich- nen, insbesondere die gemäß § 76 erstellten Proto-
tigung, Löschung, Einschränkung der Verarbeitung und kolle, zum Nachweis der Einhaltung seiner Pflichten
Schadensersatz sind in diesem Fall gegenüber dem zur Verfügung stellt;
Verantwortlichen geltend zu machen.
6. Überprüfungen, die von dem Verantwortlichen oder
(2) Ein Verantwortlicher darf nur solche Auftragsver- einem von diesem beauftragten Prüfer durchgeführt
arbeiter mit der Verarbeitung personenbezogener Daten werden, ermöglicht und dazu beiträgt;
beauftragen, die mit geeigneten technischen und orga-
7. die in den Absätzen 3 und 4 aufgeführten Bedingun-
nisatorischen Maßnahmen sicherstellen, dass die Ver-
gen für die Inanspruchnahme der Dienste eines wei-
arbeitung im Einklang mit den gesetzlichen Anforderun-
teren Auftragsverarbeiters einhält;
gen erfolgt und der Schutz der Rechte der betroffenen
Personen gewährleistet wird. 8. alle gemäß § 64 erforderlichen Maßnahmen ergreift
und
(3) Auftragsverarbeiter dürfen ohne vorherige schrift-
liche Genehmigung des Verantwortlichen keine weite- 9. unter Berücksichtigung der Art der Verarbeitung und
ren Auftragsverarbeiter hinzuziehen. Hat der Verant- der ihm zur Verfügung stehenden Informationen den
wortliche dem Auftragsverarbeiter eine allgemeine Ge- Verantwortlichen bei der Einhaltung der in den §§ 64
nehmigung zur Hinzuziehung weiterer Auftragsverarbei- bis 67 und § 69 genannten Pflichten unterstützt.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2121

(6) Der Vertrag im Sinne des Absatzes 5 ist schrift- 1. Verwehrung des Zugangs zu Verarbeitungsanlagen,
lich oder elektronisch abzufassen. mit denen die Verarbeitung durchgeführt wird, für
Unbefugte (Zugangskontrolle),
(7) Ein Auftragsverarbeiter, der die Zwecke und
Mittel der Verarbeitung unter Verstoß gegen diese Vor- 2. Verhinderung des unbefugten Lesens, Kopierens,
schrift bestimmt, gilt in Bezug auf diese Verarbeitung Veränderns oder Löschens von Datenträgern (Da-
als Verantwortlicher. tenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von perso-
§ 63 nenbezogenen Daten sowie der unbefugten Kennt-
Gemeinsam Verantwortliche nisnahme, Veränderung und Löschung von gespei-
cherten personenbezogenen Daten (Speicherkon-
Legen zwei oder mehr Verantwortliche gemeinsam trolle),
die Zwecke und die Mittel der Verarbeitung fest, gelten
sie als gemeinsam Verantwortliche. Gemeinsam Verant- 4. Verhinderung der Nutzung automatisierter Verar-
wortliche haben ihre jeweiligen Aufgaben und daten- beitungssysteme mit Hilfe von Einrichtungen zur
schutzrechtlichen Verantwortlichkeiten in transparenter Datenübertragung durch Unbefugte (Benutzerkon-
Form in einer Vereinbarung festzulegen, soweit diese trolle),
nicht bereits in Rechtsvorschriften festgelegt sind. Aus
5. Gewährleistung, dass die zur Benutzung eines
der Vereinbarung muss insbesondere hervorgehen, wer
automatisierten Verarbeitungssystems Berechtig-
welchen Informationspflichten nachzukommen hat und
ten ausschließlich zu den von ihrer Zugangsberech-
wie und gegenüber wem betroffene Personen ihre
tigung umfassten personenbezogenen Daten Zu-
Rechte wahrnehmen können. Eine entsprechende Ver-
gang haben (Zugriffskontrolle),
einbarung hindert die betroffene Person nicht, ihre
Rechte gegenüber jedem der gemeinsam Verantwort- 6. Gewährleistung, dass überprüft und festgestellt
lichen geltend zu machen. werden kann, an welche Stellen personenbezogene
Daten mit Hilfe von Einrichtungen zur Datenüber-
§ 64 tragung übermittelt oder zur Verfügung gestellt
wurden oder werden können (Übertragungskon-
Anforderungen an die trolle),
Sicherheit der Datenverarbeitung
7. Gewährleistung, dass nachträglich überprüft und
(1) Der Verantwortliche und der Auftragsverarbeiter festgestellt werden kann, welche personenbezoge-
haben unter Berücksichtigung des Stands der Technik, nen Daten zu welcher Zeit und von wem in auto-
der Implementierungskosten, der Art, des Umfangs, der matisierte Verarbeitungssysteme eingegeben oder
Umstände und der Zwecke der Verarbeitung sowie der verändert worden sind (Eingabekontrolle),
Eintrittswahrscheinlichkeit und der Schwere der mit der
Verarbeitung verbundenen Gefahren für die Rechts- 8. Gewährleistung, dass bei der Übermittlung perso-
güter der betroffenen Personen die erforderlichen tech- nenbezogener Daten sowie beim Transport von
nischen und organisatorischen Maßnahmen zu treffen, Datenträgern die Vertraulichkeit und Integrität der
um bei der Verarbeitung personenbezogener Daten ein Daten geschützt werden (Transportkontrolle),
dem Risiko angemessenes Schutzniveau zu gewähr-
leisten, insbesondere im Hinblick auf die Verarbeitung 9. Gewährleistung, dass eingesetzte Systeme im Stö-
besonderer Kategorien personenbezogener Daten. Der rungsfall wiederhergestellt werden können (Wieder-
Verantwortliche hat hierbei die einschlägigen Techni- herstellbarkeit),
schen Richtlinien und Empfehlungen des Bundesamtes 10. Gewährleistung, dass alle Funktionen des Systems
für Sicherheit in der Informationstechnik zu berücksich- zur Verfügung stehen und auftretende Fehlfunk-
tigen. tionen gemeldet werden (Zuverlässigkeit),
(2) Die in Absatz 1 genannten Maßnahmen können 11. Gewährleistung, dass gespeicherte personenbezo-
unter anderem die Pseudonymisierung und Verschlüs- gene Daten nicht durch Fehlfunktionen des Sys-
selung personenbezogener Daten umfassen, soweit tems beschädigt werden können (Datenintegrität),
solche Mittel in Anbetracht der Verarbeitungszwecke
möglich sind. Die Maßnahmen nach Absatz 1 sollen 12. Gewährleistung, dass personenbezogene Daten,
dazu führen, dass die im Auftrag verarbeitet werden, nur entspre-
chend den Weisungen des Auftraggebers verarbei-
1. die Vertraulichkeit, Integrität, Verfügbarkeit und Be- tet werden können (Auftragskontrolle),
lastbarkeit der Systeme und Dienste im Zusammen-
hang mit der Verarbeitung auf Dauer sichergestellt 13. Gewährleistung, dass personenbezogene Daten
werden und gegen Zerstörung oder Verlust geschützt sind (Ver-
fügbarkeitskontrolle),
2. die Verfügbarkeit der personenbezogenen Daten
und der Zugang zu ihnen bei einem physischen oder 14. Gewährleistung, dass zu unterschiedlichen Zwe-
technischen Zwischenfall rasch wiederhergestellt cken erhobene personenbezogene Daten getrennt
werden können. verarbeitet werden können (Trennbarkeit).
(3) Im Fall einer automatisierten Verarbeitung haben Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbeson-
der Verantwortliche und der Auftragsverarbeiter nach dere durch die Verwendung von dem Stand der Technik
einer Risikobewertung Maßnahmen zu ergreifen, die entsprechenden Verschlüsselungsverfahren erreicht
Folgendes bezwecken: werden.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2122 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

§ 65 § 66

Meldung von Verletzungen Benachrichtigung


des Schutzes personenbezogener betroffener Personen bei Verletzungen
Daten an die oder den Bundesbeauftragten des Schutzes personenbezogener Daten

(1) Der Verantwortliche hat eine Verletzung des (1) Hat eine Verletzung des Schutzes personenbezo-
Schutzes personenbezogener Daten unverzüglich und gener Daten voraussichtlich eine erhebliche Gefahr für
möglichst innerhalb von 72 Stunden, nachdem sie ihm Rechtsgüter betroffener Personen zur Folge, so hat der
bekannt geworden ist, der oder dem Bundesbeauftrag- Verantwortliche die betroffenen Personen unverzüglich
ten zu melden, es sei denn, dass die Verletzung voraus- über den Vorfall zu benachrichtigen.
sichtlich keine Gefahr für die Rechtsgüter natürlicher (2) Die Benachrichtigung nach Absatz 1 hat in klarer
Personen mit sich gebracht hat. Erfolgt die Meldung und einfacher Sprache die Art der Verletzung des
an die Bundesbeauftragte oder den Bundesbeauftrag- Schutzes personenbezogener Daten zu beschreiben
ten nicht innerhalb von 72 Stunden, so ist die Verzöge- und zumindest die in § 65 Absatz 3 Nummer 2 bis 4
rung zu begründen. genannten Informationen und Maßnahmen zu ent-
(2) Ein Auftragsverarbeiter hat eine Verletzung des halten.
Schutzes personenbezogener Daten unverzüglich dem (3) Von der Benachrichtigung nach Absatz 1 kann
Verantwortlichen zu melden. abgesehen werden, wenn
(3) Die Meldung nach Absatz 1 hat zumindest fol- 1. der Verantwortliche geeignete technische und orga-
gende Informationen zu enthalten: nisatorische Sicherheitsvorkehrungen getroffen hat
und diese Vorkehrungen auf die von der Verletzung
1. eine Beschreibung der Art der Verletzung des Schut- des Schutzes personenbezogener Daten betroffe-
zes personenbezogener Daten, die, soweit möglich, nen Daten angewandt wurden; dies gilt insbeson-
Angaben zu den Kategorien und der ungefähren An- dere für Vorkehrungen wie Verschlüsselungen, durch
zahl der betroffenen Personen, zu den betroffenen die die Daten für unbefugte Personen unzugänglich
Kategorien personenbezogener Daten und zu der gemacht wurden;
ungefähren Anzahl der betroffenen personenbezo-
genen Datensätze zu enthalten hat, 2. der Verantwortliche durch im Anschluss an die Ver-
letzung getroffene Maßnahmen sichergestellt hat,
2. den Namen und die Kontaktdaten der oder des Da- dass aller Wahrscheinlichkeit nach keine erheb-
tenschutzbeauftragten oder einer sonstigen Per- liche Gefahr im Sinne des Absatzes 1 mehr be-
son oder Stelle, die weitere Informationen erteilen steht, oder
kann,
3. dies mit einem unverhältnismäßigen Aufwand ver-
3. eine Beschreibung der wahrscheinlichen Folgen der bunden wäre; in diesem Fall hat stattdessen eine
Verletzung und öffentliche Bekanntmachung oder eine ähnliche
Maßnahme zu erfolgen, durch die die betroffenen
4. eine Beschreibung der von dem Verantwortlichen Personen vergleichbar wirksam informiert werden.
ergriffenen oder vorgeschlagenen Maßnahmen zur
Behandlung der Verletzung und der getroffenen (4) Wenn der Verantwortliche die betroffenen Perso-
Maßnahmen zur Abmilderung ihrer möglichen nach- nen über eine Verletzung des Schutzes personenbezo-
teiligen Auswirkungen. gener Daten nicht benachrichtigt hat, kann die oder der
Bundesbeauftragte förmlich feststellen, dass ihrer oder
(4) Wenn die Informationen nach Absatz 3 nicht zu- seiner Auffassung nach die in Absatz 3 genannten
sammen mit der Meldung übermittelt werden können, Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder
hat der Verantwortliche sie unverzüglich nachzureichen, er die Wahrscheinlichkeit zu berücksichtigen, dass die
sobald sie ihm vorliegen. Verletzung eine erhebliche Gefahr im Sinne des Ab-
satzes 1 zur Folge hat.
(5) Der Verantwortliche hat Verletzungen des Schut-
zes personenbezogener Daten zu dokumentieren. Die (5) Die Benachrichtigung der betroffenen Personen
Dokumentation hat alle mit den Vorfällen zusammen- nach Absatz 1 kann unter den in § 56 Absatz 2 genann-
hängenden Tatsachen, deren Auswirkungen und die ten Voraussetzungen aufgeschoben, eingeschränkt
ergriffenen Abhilfemaßnahmen zu umfassen. oder unterlassen werden, soweit nicht die Interessen
der betroffenen Person aufgrund der von der Verletzung
(6) Soweit von einer Verletzung des Schutzes perso- ausgehenden erheblichen Gefahr im Sinne des Ab-
nenbezogener Daten personenbezogene Daten betrof- satzes 1 überwiegen.
fen sind, die von einem oder an einen Verantwortlichen
in einem anderen Mitgliedstaat der Europäischen Union (6) § 42 Absatz 4 findet entsprechende Anwendung.
übermittelt wurden, sind die in Absatz 3 genannten
Informationen dem dortigen Verantwortlichen unver- § 67
züglich zu übermitteln.
Durchführung einer
(7) § 42 Absatz 4 findet entsprechende Anwendung. Datenschutz-Folgenabschätzung
(8) Weitere Pflichten des Verantwortlichen zu Be- (1) Hat eine Form der Verarbeitung, insbesondere
nachrichtigungen über Verletzungen des Schutzes per- bei Verwendung neuer Technologien, aufgrund der Art,
sonenbezogener Daten bleiben unberührt. des Umfangs, der Umstände und der Zwecke der Ver-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2123

arbeitung voraussichtlich eine erhebliche Gefahr für die 1. die nach § 67 durchgeführte Datenschutz-Folgenab-
Rechtsgüter betroffener Personen zur Folge, so hat der schätzung,
Verantwortliche vorab eine Abschätzung der Folgen der
2. gegebenenfalls Angaben zu den jeweiligen Zustän-
vorgesehenen Verarbeitungsvorgänge für die betroffe-
digkeiten des Verantwortlichen, der gemeinsam Ver-
nen Personen durchzuführen.
antwortlichen und der an der Verarbeitung beteilig-
(2) Für die Untersuchung mehrerer ähnlicher Verar- ten Auftragsverarbeiter,
beitungsvorgänge mit ähnlich hohem Gefahrenpotential
kann eine gemeinsame Datenschutz-Folgenabschät- 3. Angaben zu den Zwecken und Mitteln der beabsich-
zung vorgenommen werden. tigten Verarbeitung,
(3) Der Verantwortliche hat die Datenschutzbeauf- 4. Angaben zu den zum Schutz der Rechtsgüter der
tragte oder den Datenschutzbeauftragten an der betroffenen Personen vorgesehenen Maßnahmen
Durchführung der Folgenabschätzung zu beteiligen. und Garantien und
(4) Die Folgenabschätzung hat den Rechten der von 5. Name und Kontaktdaten der oder des Datenschutz-
der Verarbeitung betroffenen Personen Rechnung zu beauftragten.
tragen und zumindest Folgendes zu enthalten:
Auf Anforderung sind ihr oder ihm zudem alle sonstigen
1. eine systematische Beschreibung der geplanten Ver- Informationen zu übermitteln, die sie oder er benötigt,
arbeitungsvorgänge und der Zwecke der Verarbei- um die Rechtmäßigkeit der Verarbeitung sowie insbe-
tung, sondere die in Bezug auf den Schutz der personenbe-
2. eine Bewertung der Notwendigkeit und Verhältnis- zogenen Daten der betroffenen Personen bestehenden
mäßigkeit der Verarbeitungsvorgänge in Bezug auf Gefahren und die diesbezüglichen Garantien bewerten
deren Zweck, zu können.
3. eine Bewertung der Gefahren für die Rechtsgüter der (3) Falls die oder der Bundesbeauftragte der Auffas-
betroffenen Personen und sung ist, dass die geplante Verarbeitung gegen gesetz-
4. die Maßnahmen, mit denen bestehenden Gefahren liche Vorgaben verstoßen würde, insbesondere weil der
abgeholfen werden soll, einschließlich der Garan- Verantwortliche das Risiko nicht ausreichend ermittelt
tien, der Sicherheitsvorkehrungen und der Verfahren, oder keine ausreichenden Abhilfemaßnahmen getroffen
durch die der Schutz personenbezogener Daten hat, kann sie oder er dem Verantwortlichen und gege-
sichergestellt und die Einhaltung der gesetzlichen benenfalls dem Auftragsverarbeiter innerhalb eines
Vorgaben nachgewiesen werden sollen. Zeitraums von sechs Wochen nach Einleitung der An-
hörung schriftliche Empfehlungen unterbreiten, welche
(5) Soweit erforderlich, hat der Verantwortliche eine
Maßnahmen noch ergriffen werden sollten. Die oder der
Überprüfung durchzuführen, ob die Verarbeitung den
Bundesbeauftragte kann diese Frist um einen Monat
Maßgaben folgt, die sich aus der Folgenabschätzung verlängern, wenn die geplante Verarbeitung besonders
ergeben haben.
komplex ist. Sie oder er hat in diesem Fall innerhalb
eines Monats nach Einleitung der Anhörung den Ver-
§ 68 antwortlichen und gegebenenfalls den Auftragsverar-
Zusammenarbeit mit beiter über die Fristverlängerung zu informieren.
der oder dem Bundesbeauftragten
(4) Hat die beabsichtigte Verarbeitung erhebliche
Der Verantwortliche hat mit der oder dem Bundes- Bedeutung für die Aufgabenerfüllung des Verantwort-
beauftragten bei der Erfüllung ihrer oder seiner Aufga- lichen und ist sie daher besonders dringlich, kann er
ben zusammenzuarbeiten. mit der Verarbeitung nach Beginn der Anhörung, aber
vor Ablauf der in Absatz 3 Satz 1 genannten Frist be-
§ 69 ginnen. In diesem Fall sind die Empfehlungen der oder
Anhörung der oder des Bundesbeauftragten des Bundesbeauftragten im Nachhinein zu berück-
sichtigen und sind die Art und Weise der Verarbeitung
(1) Der Verantwortliche hat vor der Inbetriebnahme
daraufhin gegebenenfalls anzupassen.
von neu anzulegenden Dateisystemen die Bundes-
beauftragte oder den Bundesbeauftragten anzuhören,
wenn § 70
1. aus einer Datenschutz-Folgenabschätzung nach Verzeichnis von Verarbeitungstätigkeiten
§ 67 hervorgeht, dass die Verarbeitung eine erheb-
(1) Der Verantwortliche hat ein Verzeichnis aller
liche Gefahr für die Rechtsgüter der betroffenen Per-
Kategorien von Verarbeitungstätigkeiten zu führen, die
sonen zur Folge hätte, wenn der Verantwortliche
in seine Zuständigkeit fallen. Dieses Verzeichnis hat die
keine Abhilfemaßnahmen treffen würde, oder
folgenden Angaben zu enthalten:
2. die Form der Verarbeitung, insbesondere bei der Ver-
wendung neuer Technologien, Mechanismen oder 1. den Namen und die Kontaktdaten des Verantwort-
Verfahren, eine erhebliche Gefahr für die Rechts- lichen und gegebenenfalls des gemeinsam mit ihm
güter der betroffenen Personen zur Folge hat. Verantwortlichen sowie den Namen und die Kontakt-
daten der oder des Datenschutzbeauftragten,
Die oder der Bundesbeauftragte kann eine Liste der
Verarbeitungsvorgänge erstellen, die der Pflicht zur An- 2. die Zwecke der Verarbeitung,
hörung nach Satz 1 unterliegen. 3. die Kategorien von Empfängern, gegenüber denen
(2) Der oder dem Bundesbeauftragten sind im Fall die personenbezogenen Daten offengelegt worden
des Absatzes 1 vorzulegen: sind oder noch offengelegt werden sollen,

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2124 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

4. eine Beschreibung der Kategorien betroffener Per- stellen, dass durch Voreinstellungen grundsätzlich nur
sonen und der Kategorien personenbezogener solche personenbezogenen Daten verarbeitet werden
Daten, können, deren Verarbeitung für den jeweiligen be-
5. gegebenenfalls die Verwendung von Profiling, stimmten Verarbeitungszweck erforderlich ist. Dies be-
trifft die Menge der erhobenen Daten, den Umfang ihrer
6. gegebenenfalls die Kategorien von Übermittlungen Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
personenbezogener Daten an Stellen in einem Dritt- Die Maßnahmen müssen insbesondere gewährleisten,
staat oder an eine internationale Organisation, dass die Daten durch Voreinstellungen nicht automati-
7. Angaben über die Rechtsgrundlage der Verarbei- siert einer unbestimmten Anzahl von Personen zugäng-
tung, lich gemacht werden können.
8. die vorgesehenen Fristen für die Löschung oder die
Überprüfung der Erforderlichkeit der Speicherung § 72
der verschiedenen Kategorien personenbezogener Unterscheidung zwischen
Daten und verschiedenen Kategorien betroffener Personen
9. eine allgemeine Beschreibung der technischen und Der Verantwortliche hat bei der Verarbeitung perso-
organisatorischen Maßnahmen gemäß § 64. nenbezogener Daten so weit wie möglich zwischen
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller den verschiedenen Kategorien betroffener Personen
Kategorien von Verarbeitungen zu führen, die er im Auf- zu unterscheiden. Dies betrifft insbesondere folgende
trag eines Verantwortlichen durchführt, das Folgendes Kategorien:
zu enthalten hat: 1. Personen, gegen die ein begründeter Verdacht be-
1. den Namen und die Kontaktdaten des Auftragsver- steht, dass sie eine Straftat begangen haben,
arbeiters, jedes Verantwortlichen, in dessen Auftrag 2. Personen, gegen die ein begründeter Verdacht be-
der Auftragsverarbeiter tätig ist, sowie gegebenen- steht, dass sie in naher Zukunft eine Straftat bege-
falls der oder des Datenschutzbeauftragten, hen werden,
2. gegebenenfalls Übermittlungen von personenbezo- 3. verurteilte Straftäter,
genen Daten an Stellen in einem Drittstaat oder an 4. Opfer einer Straftat oder Personen, bei denen be-
eine internationale Organisation unter Angabe des stimmte Tatsachen darauf hindeuten, dass sie Opfer
Staates oder der Organisation und einer Straftat sein könnten, und
3. eine allgemeine Beschreibung der technischen und 5. andere Personen wie insbesondere Zeugen, Hin-
organisatorischen Maßnahmen gemäß § 64. weisgeber oder Personen, die mit den in den Num-
(3) Die in den Absätzen 1 und 2 genannten Verzeich- mern 1 bis 4 genannten Personen in Kontakt oder
nisse sind schriftlich oder elektronisch zu führen. Verbindung stehen.
(4) Verantwortliche und Auftragsverarbeiter haben
auf Anforderung ihre Verzeichnisse der oder dem § 73
Bundesbeauftragten zur Verfügung zu stellen. Unterscheidung zwischen
Tatsachen und persönlichen Einschätzungen
§ 71 Der Verantwortliche hat bei der Verarbeitung so weit
Datenschutz durch Technikgestaltung wie möglich danach zu unterscheiden, ob personenbe-
und datenschutzfreundliche Voreinstellungen zogene Daten auf Tatsachen oder auf persönlichen Ein-
(1) Der Verantwortliche hat sowohl zum Zeitpunkt schätzungen beruhen. Zu diesem Zweck soll er, soweit
der Festlegung der Mittel für die Verarbeitung als auch dies im Rahmen der jeweiligen Verarbeitung möglich
zum Zeitpunkt der Verarbeitung selbst angemessene und angemessen ist, Beurteilungen, die auf persön-
Vorkehrungen zu treffen, die geeignet sind, die Daten- lichen Einschätzungen beruhen, als solche kenntlich
schutzgrundsätze wie etwa die Datensparsamkeit wirk- machen. Es muss außerdem feststellbar sein, welche
sam umzusetzen, und die sicherstellen, dass die ge- Stelle die Unterlagen führt, die der auf einer persön-
setzlichen Anforderungen eingehalten und die Rechte lichen Einschätzung beruhenden Beurteilung zugrunde
der betroffenen Personen geschützt werden. Er hat liegen.
hierbei den Stand der Technik, die Implementierungs-
kosten und die Art, den Umfang, die Umstände und die § 74
Zwecke der Verarbeitung sowie die unterschiedliche Verfahren bei Übermittlungen
Eintrittswahrscheinlichkeit und Schwere der mit der (1) Der Verantwortliche hat angemessene Maßnah-
Verarbeitung verbundenen Gefahren für die Rechts- men zu ergreifen, um zu gewährleisten, dass personen-
güter der betroffenen Personen zu berücksichtigen. bezogene Daten, die unrichtig oder nicht mehr aktuell
Insbesondere sind die Verarbeitung personenbezoge- sind, nicht übermittelt oder sonst zur Verfügung gestellt
ner Daten und die Auswahl und Gestaltung von Daten- werden. Zu diesem Zweck hat er, soweit dies mit ange-
verarbeitungssystemen an dem Ziel auszurichten, so messenem Aufwand möglich ist, die Qualität der Daten
wenig personenbezogene Daten wie möglich zu verar- vor ihrer Übermittlung oder Bereitstellung zu überprü-
beiten. Personenbezogene Daten sind zum frühest- fen. Bei jeder Übermittlung personenbezogener Daten
möglichen Zeitpunkt zu anonymisieren oder zu pseudo- hat er zudem, soweit dies möglich und angemessen
nymisieren, soweit dies nach dem Verarbeitungszweck ist, Informationen beizufügen, die es dem Empfänger
möglich ist. gestatten, die Richtigkeit, die Vollständigkeit und die
(2) Der Verantwortliche hat geeignete technische Zuverlässigkeit der Daten sowie deren Aktualität zu be-
und organisatorische Maßnahmen zu treffen, die sicher- urteilen.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2125

(2) Gelten für die Verarbeitung von personenbezoge- für die Eigenüberwachung, für die Gewährleistung der
nen Daten besondere Bedingungen, so hat bei Daten- Integrität und Sicherheit der personenbezogenen Daten
übermittlungen die übermittelnde Stelle den Empfänger und für Strafverfahren verwendet werden.
auf diese Bedingungen und die Pflicht zu ihrer Beach-
(4) Die Protokolldaten sind am Ende des auf deren
tung hinzuweisen. Die Hinweispflicht kann dadurch er-
Generierung folgenden Jahres zu löschen.
füllt werden, dass die Daten entsprechend markiert
werden. (5) Der Verantwortliche und der Auftragsverarbeiter
(3) Die übermittelnde Stelle darf auf Empfänger in haben die Protokolle der oder dem Bundesbeauftragten
anderen Mitgliedstaaten der Europäischen Union und auf Anforderung zur Verfügung zu stellen.
auf Einrichtungen und sonstige Stellen, die nach den
Kapiteln 4 und 5 des Titels V des Dritten Teils des Ver- § 77
trags über die Arbeitsweise der Europäischen Union Vertrauliche Meldung von Verstößen
errichtet wurden, keine Bedingungen anwenden, die
nicht auch für entsprechende innerstaatliche Daten- Der Verantwortliche hat zu ermöglichen, dass ihm
übermittlungen gelten. vertrauliche Meldungen über in seinem Verantwor-
tungsbereich erfolgende Verstöße gegen Datenschutz-
§ 75 vorschriften zugeleitet werden können.
Berichtigung und
Löschung personenbezogener Kapitel 5
Daten sowie Einschränkung der Verarbeitung Datenübermittlungen an
(1) Der Verantwortliche hat personenbezogene Da- Drittstaaten und an internationale Organisationen
ten zu berichtigen, wenn sie unrichtig sind.
(2) Der Verantwortliche hat personenbezogene Da- § 78
ten unverzüglich zu löschen, wenn ihre Verarbeitung
Allgemeine Voraussetzungen
unzulässig ist, sie zur Erfüllung einer rechtlichen Ver-
pflichtung gelöscht werden müssen oder ihre Kenntnis (1) Die Übermittlung personenbezogener Daten an
für seine Aufgabenerfüllung nicht mehr erforderlich ist. Stellen in Drittstaaten oder an internationale Organisa-
(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwen- tionen ist bei Vorliegen der übrigen für Datenübermitt-
den. Sind unrichtige personenbezogene Daten oder lungen geltenden Voraussetzungen zulässig, wenn
personenbezogene Daten unrechtmäßig übermittelt 1. die Stelle oder internationale Organisation für die in
worden, ist auch dies dem Empfänger mitzuteilen. § 45 genannten Zwecke zuständig ist und
(4) Unbeschadet in Rechtsvorschriften festgesetzter 2. die Europäische Kommission gemäß Artikel 36 Ab-
Höchstspeicher- oder Löschfristen hat der Verantwort- satz 3 der Richtlinie (EU) 2016/680 einen Angemes-
liche für die Löschung von personenbezogenen Daten senheitsbeschluss gefasst hat.
oder eine regelmäßige Überprüfung der Notwendigkeit
ihrer Speicherung angemessene Fristen vorzusehen (2) Die Übermittlung personenbezogener Daten hat
und durch verfahrensrechtliche Vorkehrungen sicherzu- trotz des Vorliegens eines Angemessenheitsbeschlus-
stellen, dass diese Fristen eingehalten werden. ses im Sinne des Absatzes 1 Nummer 2 und des zu
berücksichtigenden öffentlichen Interesses an der Da-
§ 76 tenübermittlung zu unterbleiben, wenn im Einzelfall ein
datenschutzrechtlich angemessener und die elementa-
Protokollierung
ren Menschenrechte wahrender Umgang mit den Daten
(1) In automatisierten Verarbeitungssystemen haben beim Empfänger nicht hinreichend gesichert ist oder
Verantwortliche und Auftragsverarbeiter mindestens die sonst überwiegende schutzwürdige Interessen einer
folgenden Verarbeitungsvorgänge zu protokollieren: betroffenen Person entgegenstehen. Bei seiner Beurtei-
1. Erhebung, lung hat der Verantwortliche maßgeblich zu berücksich-
tigen, ob der Empfänger im Einzelfall einen angemes-
2. Veränderung,
senen Schutz der übermittelten Daten garantiert.
3. Abfrage,
(3) Wenn personenbezogene Daten, die aus einem
4. Offenlegung einschließlich Übermittlung, anderen Mitgliedstaat der Europäischen Union übermit-
5. Kombination und telt oder zur Verfügung gestellt wurden, nach Absatz 1
6. Löschung. übermittelt werden sollen, muss diese Übermittlung zu-
vor von der zuständigen Stelle des anderen Mitglied-
(2) Die Protokolle über Abfragen und Offenlegungen staats genehmigt werden. Übermittlungen ohne vorhe-
müssen es ermöglichen, die Begründung, das Datum rige Genehmigung sind nur dann zulässig, wenn die
und die Uhrzeit dieser Vorgänge und so weit wie mög- Übermittlung erforderlich ist, um eine unmittelbare und
lich die Identität der Person, die die personenbezoge- ernsthafte Gefahr für die öffentliche Sicherheit eines
nen Daten abgefragt oder offengelegt hat, und die Iden- Staates oder für die wesentlichen Interessen eines
tität des Empfängers der Daten festzustellen. Mitgliedstaats abzuwehren, und die vorherige Geneh-
(3) Die Protokolle dürfen ausschließlich für die Über- migung nicht rechtzeitig eingeholt werden kann. Im Fall
prüfung der Rechtmäßigkeit der Datenverarbeitung des Satzes 2 ist die Stelle des anderen Mitgliedstaats,
durch die Datenschutzbeauftragte oder den Daten- die für die Erteilung der Genehmigung zuständig ge-
schutzbeauftragten, die Bundesbeauftragte oder den wesen wäre, unverzüglich über die Übermittlung zu
Bundesbeauftragten und die betroffene Person sowie unterrichten.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2126 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

(4) Der Verantwortliche, der Daten nach Absatz 1 4. im Einzelfall für die in § 45 genannten Zwecke oder
übermittelt, hat durch geeignete Maßnahmen sicherzu- 5. im Einzelfall zur Geltendmachung, Ausübung oder
stellen, dass der Empfänger die übermittelten Daten nur Verteidigung von Rechtsansprüchen im Zusammen-
dann an andere Drittstaaten oder andere internationale hang mit den in § 45 genannten Zwecken.
Organisationen weiterübermittelt, wenn der Verantwort-
liche diese Übermittlung zuvor genehmigt hat. Bei der (2) Der Verantwortliche hat von einer Übermittlung
Entscheidung über die Erteilung der Genehmigung hat nach Absatz 1 abzusehen, wenn die Grundrechte der
der Verantwortliche alle maßgeblichen Faktoren zu be- betroffenen Person das öffentliche Interesse an der
rücksichtigen, insbesondere die Schwere der Straftat, Übermittlung überwiegen.
den Zweck der ursprünglichen Übermittlung und das (3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-
in dem Drittstaat oder der internationalen Organisation, satz 2 entsprechend.
an das oder an die die Daten weiterübermittelt werden
sollen, bestehende Schutzniveau für personenbezo- § 81
gene Daten. Eine Genehmigung darf nur dann erfolgen, Sonstige Datenübermittlung
wenn auch eine direkte Übermittlung an den anderen an Empfänger in Drittstaaten
Drittstaat oder die andere internationale Organisation
zulässig wäre. Die Zuständigkeit für die Erteilung der (1) Verantwortliche können bei Vorliegen der übrigen
Genehmigung kann auch abweichend geregelt werden. für die Datenübermittlung in Drittstaaten geltenden
Voraussetzungen im besonderen Einzelfall personenbe-
§ 79 zogene Daten unmittelbar an nicht in § 78 Absatz 1
Nummer 1 genannte Stellen in Drittstaaten übermitteln,
Datenübermittlung bei geeigneten Garantien wenn die Übermittlung für die Erfüllung ihrer Aufgaben
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein unbedingt erforderlich ist und
Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU)
1. im konkreten Fall keine Grundrechte der betroffenen
2016/680 vor, ist eine Übermittlung bei Vorliegen der
Person das öffentliche Interesse an einer Übermitt-
übrigen Voraussetzungen des § 78 auch dann zulässig,
lung überwiegen,
wenn
2. die Übermittlung an die in § 78 Absatz 1 Nummer 1
1. in einem rechtsverbindlichen Instrument geeignete
genannten Stellen wirkungslos oder ungeeignet
Garantien für den Schutz personenbezogener Daten
wäre, insbesondere weil sie nicht rechtzeitig durch-
vorgesehen sind oder
geführt werden kann, und
2. der Verantwortliche nach Beurteilung aller Umstän-
3. der Verantwortliche dem Empfänger die Zwecke der
de, die bei der Übermittlung eine Rolle spielen, zu
Verarbeitung mitteilt und ihn darauf hinweist, dass
der Auffassung gelangt ist, dass geeignete Garan-
die übermittelten Daten nur in dem Umfang verarbei-
tien für den Schutz personenbezogener Daten be-
tet werden dürfen, in dem ihre Verarbeitung für diese
stehen.
Zwecke erforderlich ist.
(2) Der Verantwortliche hat Übermittlungen nach Ab-
(2) Im Fall des Absatzes 1 hat der Verantwortliche
satz 1 Nummer 2 zu dokumentieren. Die Dokumenta-
die in § 78 Absatz 1 Nummer 1 genannten Stellen un-
tion hat den Zeitpunkt der Übermittlung, die Identität
verzüglich über die Übermittlung zu unterrichten, sofern
des Empfängers, den Grund der Übermittlung und die
dies nicht wirkungslos oder ungeeignet ist.
übermittelten personenbezogenen Daten zu enthalten.
Sie ist der oder dem Bundesbeauftragten auf Anforde- (3) Für Übermittlungen nach Absatz 1 gilt § 79 Ab-
rung zur Verfügung zu stellen. satz 2 und 3 entsprechend.
(3) Der Verantwortliche hat die Bundesbeauftragte (4) Bei Übermittlungen nach Absatz 1 hat der Ver-
oder den Bundesbeauftragten zumindest jährlich über antwortliche den Empfänger zu verpflichten, die über-
Übermittlungen zu unterrichten, die aufgrund einer Be- mittelten personenbezogenen Daten ohne seine Zu-
urteilung nach Absatz 1 Nummer 2 erfolgt sind. In der stimmung nur für den Zweck zu verarbeiten, für den
Unterrichtung kann er die Empfänger und die Übermitt- sie übermittelt worden sind.
lungszwecke angemessen kategorisieren. (5) Abkommen im Bereich der justiziellen Zusam-
menarbeit in Strafsachen und der polizeilichen Zusam-
§ 80 menarbeit bleiben unberührt.
Datenübermittlung ohne geeignete Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Be- Kapitel 6
schluss nach Artikel 36 Absatz 3 der Richtlinie (EU) Zusammenarbeit der Aufsichtsbehörden
2016/680 vor und liegen auch keine geeigneten Garan-
tien im Sinne des § 79 Absatz 1 vor, ist eine Übermitt- § 82
lung bei Vorliegen der übrigen Voraussetzungen des
Gegenseitige Amtshilfe
§ 78 auch dann zulässig, wenn die Übermittlung erfor-
derlich ist (1) Die oder der Bundesbeauftragte hat den Daten-
1. zum Schutz lebenswichtiger Interessen einer natür- schutzaufsichtsbehörden in anderen Mitgliedstaaten
lichen Person, der Europäischen Union Informationen zu übermitteln
und Amtshilfe zu leisten, soweit dies für eine einheitli-
2. zur Wahrung berechtigter Interessen der betroffenen che Umsetzung und Anwendung der Richtlinie (EU)
Person, 2016/680 erforderlich ist. Die Amtshilfe betrifft insbe-
3. zur Abwehr einer gegenwärtigen und erheblichen sondere Auskunftsersuchen und aufsichtsbezogene
Gefahr für die öffentliche Sicherheit eines Staates, Maßnahmen, beispielsweise Ersuchen um Konsultation

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2127

oder um Vornahme von Nachprüfungen und Untersu- (4) Hat bei der Entstehung des Schadens ein Ver-
chungen. schulden der betroffenen Person mitgewirkt, ist § 254
(2) Die oder der Bundesbeauftragte hat alle geeigne- des Bürgerlichen Gesetzbuchs entsprechend anzu-
ten Maßnahmen zu ergreifen, um Amtshilfeersuchen wenden.
unverzüglich und spätestens innerhalb eines Monats (5) Auf die Verjährung finden die für unerlaubte
nach deren Eingang nachzukommen. Handlungen geltenden Verjährungsvorschriften des
(3) Die oder der Bundesbeauftragte darf Amtshilfe- Bürgerlichen Gesetzbuchs entsprechende Anwendung.
ersuchen nur ablehnen, wenn
§ 84
1. sie oder er für den Gegenstand des Ersuchens oder
für die Maßnahmen, die sie oder er durchführen soll, Strafvorschriften
nicht zuständig ist oder Für Verarbeitungen personenbezogener Daten durch
2. ein Eingehen auf das Ersuchen gegen Rechtsvor- öffentliche Stellen im Rahmen von Tätigkeiten nach
schriften verstoßen würde. § 45 Satz 1, 3 oder 4 findet § 42 entsprechende An-
wendung.
(4) Die oder der Bundesbeauftragte hat die ersu-
chende Aufsichtsbehörde des anderen Staates über Te i l 4
die Ergebnisse oder gegebenenfalls über den Fortgang
der Maßnahmen zu informieren, die getroffen wurden, Besondere
um dem Amtshilfeersuchen nachzukommen. Sie oder Bestimmungen für
er hat im Fall des Absatzes 3 die Gründe für die Ableh- Ve r a r b e i t u n g e n i m R a h m e n
nung des Ersuchens zu erläutern. von nicht in die Anwendungsbereiche
(5) Die oder der Bundesbeauftragte hat die Informa- d e r Ve ro rd n u n g ( E U ) 2 0 1 6 / 6 7 9
tionen, um die sie oder er von der Aufsichtsbehörde und der Richtlinie (EU) 2016/680
des anderen Staates ersucht wurde, in der Regel elek- fallenden Tätigkeiten
tronisch und in einem standardisierten Format zu über-
mitteln. § 85
(6) Die oder der Bundesbeauftragte hat Amtshilfe- Verarbeitung
ersuchen kostenfrei zu erledigen, soweit sie oder er personenbezogener Daten
nicht im Einzelfall mit der Aufsichtsbehörde des ande- im Rahmen von nicht in die Anwendungs-
ren Staates die Erstattung entstandener Ausgaben ver- bereiche der Verordnung (EU) 2016/679 und
einbart hat. der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
(7) Ein Amtshilfeersuchen der oder des Bundesbe- (1) Die Übermittlung personenbezogener Daten an
auftragten hat alle erforderlichen Informationen zu ent- einen Drittstaat oder an über- oder zwischenstaatliche
halten; hierzu gehören insbesondere der Zweck und die Stellen oder internationale Organisationen im Rahmen
Begründung des Ersuchens. Die auf das Ersuchen von nicht in die Anwendungsbereiche der Verordnung
übermittelten Informationen dürfen ausschließlich zu (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen-
dem Zweck verwendet werden, zu dem sie angefordert den Tätigkeiten ist über die bereits gemäß der Verord-
wurden. nung (EU) 2016/679 zulässigen Fälle hinaus auch dann
zulässig, wenn sie zur Erfüllung eigener Aufgaben aus
Kapitel 7 zwingenden Gründen der Verteidigung oder zur Erfül-
lung über- oder zwischenstaatlicher Verpflichtungen
Haftung und Sanktionen
einer öffentlichen Stelle des Bundes auf dem Gebiet
der Krisenbewältigung oder Konfliktverhinderung oder
§ 83
für humanitäre Maßnahmen erforderlich ist. Der Emp-
Schadensersatz und Entschädigung fänger ist darauf hinzuweisen, dass die übermittelten
(1) Hat ein Verantwortlicher einer betroffenen Person Daten nur zu dem Zweck verwendet werden dürfen,
durch eine Verarbeitung personenbezogener Daten, die zu dem sie übermittelt wurden.
nach diesem Gesetz oder nach anderen auf ihre Verar- (2) Für Verarbeitungen im Rahmen von nicht in die
beitung anwendbaren Vorschriften rechtswidrig war, Anwendungsbereiche der Verordnung (EU) 2016/679
einen Schaden zugefügt, ist er oder sein Rechtsträger und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
der betroffenen Person zum Schadensersatz verpflich- durch Dienststellen im Geschäftsbereich des Bundes-
tet. Die Ersatzpflicht entfällt, soweit bei einer nicht ministeriums der Verteidigung gilt § 16 Absatz 4 nicht,
automatisierten Verarbeitung der Schaden nicht auf soweit das Bundesministerium der Verteidigung im Ein-
ein Verschulden des Verantwortlichen zurückzuführen zelfall feststellt, dass die Erfüllung der dort genannten
ist. Pflichten die Sicherheit des Bundes gefährden würde.
(2) Wegen eines Schadens, der nicht Vermögens- (3) Für Verarbeitungen im Rahmen von nicht in die
schaden ist, kann die betroffene Person eine angemes- Anwendungsbereiche der Verordnung (EU) 2016/679
sene Entschädigung in Geld verlangen. und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
(3) Lässt sich bei einer automatisierten Verarbeitung durch öffentliche Stellen des Bundes besteht keine
personenbezogener Daten nicht ermitteln, welche von Informationspflicht gemäß Artikel 13 Absatz 1 und 2
mehreren beteiligten Verantwortlichen den Schaden der Verordnung (EU) 2016/679, wenn
verursacht hat, so haftet jeder Verantwortliche bezie- 1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3
hungsweise sein Rechtsträger. handelt oder

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2128 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

2. durch ihre Erfüllung Informationen offenbart würden, b) Absatz 3 Satz 5 und 6 wird wie folgt gefasst:
die nach einer Rechtsvorschrift oder ihrem Wesen „In diesem Fall ist die Verarbeitung der in der
nach, insbesondere wegen der überwiegenden be- Akte gespeicherten personenbezogenen Daten
rechtigten Interessen eines Dritten, geheim gehalten einzuschränken und mit einem entsprechenden
werden müssen, und deswegen das Interesse der Vermerk zu versehen. Sie dürfen nur für die Inte-
betroffenen Person an der Erteilung der Information ressen nach Satz 4 verarbeitet werden oder
zurücktreten muss. wenn es zur Abwehr einer erheblichen Gefahr
Ist die betroffene Person in den Fällen des Satzes 1 unerlässlich ist.“
nicht zu informieren, besteht auch kein Recht auf Aus- 6. Dem § 14 Absatz 1 wird folgender Satz angefügt:
kunft. § 32 Absatz 2 und § 33 Absatz 2 finden keine
„Das Bundesamt für Verfassungsschutz führt ein
Anwendung.
Verzeichnis der geltenden Dateianordnungen.“
Artikel 2 7. § 22a wird wie folgt geändert:
a) In Absatz 5 wird das Wort „Sperrung“ durch das
Änderung des
Wort „Verarbeitungseinschränkung“ ersetzt.
Bundesverfassungsschutzgesetzes
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe
Das Bundesverfassungsschutzgesetz vom 20. De- „nach § 8“ durch die Angabe „entsprechend
zember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch § 83“ ersetzt.
Artikel 2 Absatz 1 des Gesetzes vom 16. Juni 2017
8. § 22b Absatz 7 Satz 1 und 2 wird wie folgt gefasst:
(BGBl. I S. 1634) geändert worden ist, wird wie folgt
geändert: „Das Bundesamt für Verfassungsschutz trifft für die
Dateien die technischen und organisatorischen
1. § 6 wird wie folgt geändert:
Maßnahmen entsprechend § 64 des Bundesdaten-
a) In Absatz 2 Satz 4 wird das Wort „sperren“ durch schutzgesetzes. § 6 Absatz 3 Satz 2 bis 5 und
die Wörter „die Verarbeitung einschränken“ er- § 26a gelten nur für die vom Bundesamt für Verfas-
setzt. sungsschutz eingegebenen Daten sowie dessen
b) In Absatz 3 Satz 1 wird die Angabe „nach § 9“ Abrufe.“
durch die Angabe „entsprechend § 64“ ersetzt. 9. § 25 Satz 3 wird wie folgt gefasst:
2. § 8 Absatz 1 Satz 1 wird wie folgt gefasst: „Die Vernichtung kann unterbleiben, wenn die Tren-
nung von anderen Informationen, die zur Erfüllung
„Das Bundesamt für Verfassungsschutz darf die zur
der Aufgaben erforderlich sind, nicht oder nur mit
Erfüllung seiner Aufgaben erforderlichen Informa-
unvertretbarem Aufwand möglich ist; in diesem Fall
tionen einschließlich personenbezogener Daten
ist die Verarbeitung der Daten einzuschränken.“
verarbeiten, soweit nicht die anzuwendenden Be-
stimmungen des Bundesdatenschutzgesetzes oder 10. § 27 wird durch die folgenden §§ 26a und 27 er-
besondere Regelungen in diesem Gesetz entge- setzt:
genstehen; die Verarbeitung ist auch zulässig, „§ 26a
wenn der Betroffene eingewilligt hat.“
Unabhängige Datenschutzkontrolle
3. In § 8b Absatz 2 Satz 4 werden die Wörter „Erhe- (1) Jedermann kann sich an die Bundesbeauf-
bung, Verarbeitung und Nutzung“ durch das Wort tragte oder den Bundesbeauftragten für den Daten-
„Verarbeitung“ ersetzt. schutz und die Informationsfreiheit wenden, wenn
4. § 12 wird wie folgt geändert: er der Ansicht ist, bei der Verarbeitung seiner per-
sonenbezogenen Daten durch das Bundesamt
a) In der Überschrift wird das Wort „Sperrung“
für Verfassungsschutz in seinen Rechten verletzt
durch das Wort „Verarbeitungseinschränkung“
worden zu sein.
ersetzt.
(2) Die oder der Bundesbeauftragte für den Da-
b) Absatz 2 Satz 3 wird wie folgt gefasst: tenschutz und die Informationsfreiheit kontrolliert
„In diesem Falle ist die Verarbeitung einzu- beim Bundesamt für Verfassungsschutz die Einhal-
schränken.“ tung der Vorschriften über den Datenschutz. Soweit
die Einhaltung von Vorschriften der Kontrolle durch
5. § 13 wird wie folgt geändert:
die G 10-Kommission unterliegt, unterliegt sie nicht
a) Absatz 2 wird wie folgt gefasst: der Kontrolle durch die Bundesbeauftragte oder
„(2) Das Bundesamt für Verfassungsschutz den Bundesbeauftragten für den Datenschutz und
hat die Verarbeitung personenbezogener Daten die Informationsfreiheit, es sei denn, die G 10-Kom-
einzuschränken, wenn es im Einzelfall feststellt, mission ersucht die Bundesbeauftragte oder den
dass ohne die Einschränkung schutzwürdige In- Bundesbeauftragten für den Datenschutz und die
teressen des Betroffenen beeinträchtigt würden Informationsfreiheit, die Einhaltung der Vorschriften
und die Daten für seine künftige Aufgabenerfül- über den Datenschutz bei bestimmten Vorgängen
lung nicht mehr erforderlich sind. Verarbeitungs- oder in bestimmten Bereichen zu kontrollieren und
eingeschränkte Daten sind mit einem entspre- ausschließlich ihr darüber zu berichten.
chenden Vermerk zu versehen; sie dürfen nicht (3) Das Bundesamt für Verfassungsschutz ist
mehr genutzt oder übermittelt werden. Eine Auf- verpflichtet, die Bundesbeauftragte oder den Bun-
hebung der Einschränkung ist möglich, wenn desbeauftragten für den Datenschutz und die Infor-
ihre Voraussetzungen nachträglich entfallen.“ mationsfreiheit und ihre oder seine schriftlich be-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2129

sonders Beauftragten bei der Erfüllung ihrer oder 3. In § 10 Absatz 2 Satz 2 werden nach den Wörtern
seiner Aufgaben zu unterstützen. Den in Satz 1 ge- „frühere Namen,“ die Wörter „das Geburtsdatum,“
nannten Personen ist dabei insbesondere eingefügt.
1. Auskunft zu ihren Fragen sowie Einsicht in alle 4. Nach § 12 wird folgender § 12a eingefügt:
Unterlagen, insbesondere in die gespeicherten 㤠12a
Daten und in die Datenverarbeitungsprogramme,
Unabhängige Datenschutzkontrolle
zu gewähren, die im Zusammenhang mit der
Kontrolle nach Absatz 2 stehen, § 26a des Bundesverfassungsschutzgesetzes ist
mit der Maßgabe entsprechend anzuwenden, dass
2. jederzeit Zutritt in alle Diensträume zu gewähren. an die Stelle des Bundesministeriums des Innern
Dies gilt nicht, soweit das Bundesministerium des das Bundesministerium der Verteidigung tritt.“
Innern im Einzelfall feststellt, dass die Auskunft 5. § 13 wird wie folgt gefasst:
oder Einsicht die Sicherheit des Bundes oder eines
Landes gefährden würde. „§ 13
Anwendung des Bundesdatenschutzgesetzes
(4) Die Absätze 1 bis 3 gelten ohne Beschrän-
kung auf die Erfüllung der Aufgaben nach § 3. Sie Bei der Erfüllung der Aufgaben nach § 1 Absatz 1
gelten entsprechend für die Verarbeitung personen- bis 3, den §§ 2 und 14 durch den Militärischen Ab-
bezogener Daten durch andere Stellen, wenn diese schirmdienst findet das Bundesdatenschutzgesetz
der Erfüllung der Aufgaben von Verfassungsschutz- wie folgt Anwendung:
behörden nach § 3 dient. § 16 Absatz 1 und 4 1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die
des Bundesdatenschutzgesetzes findet keine An- §§ 17 bis 21 sowie § 85 finden keine Anwendung,
wendung.
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,
62, 64, 83, 84 sind entsprechend anzuwenden.“
§ 27
Anwendung des Bundesdatenschutzgesetzes Artikel 4
Bei der Erfüllung der Aufgaben nach § 3 durch Änderung des
das Bundesamt für Verfassungsschutz findet das BND-Gesetzes
Bundesdatenschutzgesetz wie folgt Anwendung:
Das BND-Gesetz vom 20. Dezember 1990 (BGBl. I
1. § 1 Absatz 8, die §§ 4, 16 Absatz 1 und 4 und die S. 2954, 2979), das zuletzt durch Artikel 3 des Gesetzes
§§ 17 bis 21 sowie § 85 finden keine Anwendung, vom 10. März 2017 (BGBl. I S. 410) geändert worden
ist, wird wie folgt geändert:
2. die §§ 46, 51 Absatz 1 bis 4 und die §§ 52 bis 54,
62, 64, 83, 84 sind entsprechend anzuwenden.“ 1. In § 1 Absatz 2 Satz 2 werden die Wörter „Erhe-
bung, Verarbeitung und Nutzung“ durch das Wort
„Verarbeitung“ ersetzt.
Artikel 3
2. § 2 Absatz 1 wird wie folgt geändert:
Änderung des
a) Im Satzteil vor Nummer 1 werden die Wörter „er-
MAD-Gesetzes
heben, verarbeiten und nutzen“ durch das Wort
Das MAD-Gesetz vom 20. Dezember 1990 (BGBl. I „verarbeiten“ ersetzt.
S. 2954, 2977), das zuletzt durch Artikel 6 des Gesetzes b) Folgender Satz wird angefügt:
vom 27. März 2017 (BGBl. I S. 562) geändert worden
ist, wird wie folgt geändert: „Die Verarbeitung ist auch zulässig, wenn der
Betroffene eingewilligt hat.“
1. § 4 Absatz 1 wird wie folgt gefasst:
3. § 6 wird wie folgt geändert:
„(1) Der Militärische Abschirmdienst darf die zur a) In der Überschrift werden die Wörter „Erhebung
Erfüllung seiner Aufgaben erforderlichen Informatio- und“ gestrichen.
nen einschließlich personenbezogener Daten verar-
beiten nach § 8 Absatz 2, 4 und 5 des Bundesver- b) In Absatz 1 Satz 1 werden die Wörter „erheben
fassungsschutzgesetzes, soweit nicht die anzuwen- und“ gestrichen.
denden Bestimmungen des Bundesdatenschutz- 4. In § 7 werden die Wörter „Verarbeitung und Nut-
gesetzes oder besondere Regelungen in diesem zung“ in der Überschrift durch die Wörter „Weitere
Gesetz entgegenstehen; die Verarbeitung ist auch Verarbeitung“ und in Absatz 1 durch die Wörter
zulässig, wenn der Betroffene eingewilligt hat. Der „weitere Verarbeitung“ ersetzt.
Militärische Abschirmdienst ist nicht befugt, perso-
5. In § 10 Absatz 4 Satz 6 wird das Wort „gesperrt“
nenbezogene Daten zur Erfüllung seiner Aufgaben
durch die Wörter „in ihrer Verarbeitung einge-
nach § 1 Absatz 2 zu erheben. § 8 Absatz 2 des
schränkt“ ersetzt.
Bundesverfassungsschutzgesetzes findet mit der
Maßgabe Anwendung, dass die Zustimmung zur 6. In der Überschrift zu Abschnitt 3 wird das Wort
Dienstanweisung durch das Bundesministerium der „Datenverarbeitung“ durch das Wort „Datenweiter-
Verteidigung erteilt wird.“ verarbeitung“ ersetzt.

2. In § 6 Absatz 2 werden die Wörter „zu sperren“ 7. § 20 wird wie folgt geändert:
durch die Wörter „ihre Verarbeitung einzuschränken“ a) In der Überschrift wird das Wort „Sperrung“ durch
ersetzt. das Wort „Verarbeitungseinschränkung“ ersetzt.

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2130 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

b) In den Absätzen 1 und 2 Satz 1 werden jeweils 1. Die Inhaltsübersicht wird wie folgt geändert:
die Wörter „zu sperren“ durch die Wörter „deren a) Die Angabe zu § 31 wird wie folgt gefasst:
Verarbeitung einzuschränken“ ersetzt.
㤠31 Datenverarbeitung in automatisierten Da-
8. § 25 wird wie folgt geändert: teien“.
a) In Absatz 5 wird das Wort „Sperrung“ durch das b) Nach der Angabe zu § 36 wird folgende Angabe
Wort „Verarbeitungseinschränkung“ ersetzt. eingefügt:
b) In Absatz 6 Satz 1 Nummer 9 wird die Angabe „§ 36a Unabhängige Datenschutzkontrolle“.
„§ 8“ durch die Angabe „§ 83“ ersetzt. 2. In § 19 Absatz 2 Satz 5 werden die Wörter „verarbei-
9. In § 27 Absatz 2 wird das Wort „Sperrung“ durch tet und genutzt“ durch die Wörter „gespeichert, ge-
das Wort „Verarbeitungseinschränkung“ ersetzt. nutzt, verändert, übermittelt und gelöscht“ ersetzt.
10. In § 28 Satz 2 Nummer 11 wird die Angabe „§ 8“ 3. In § 21 Absatz 5 Satz 1 werden die Wörter „verarbei-
durch die Angabe „§ 83“ ersetzt. ten und nutzen“ durch die Wörter „speichern, nut-
zen, verändern und übermitteln“ ersetzt.
11. § 32 wird wie folgt gefasst:
4. In § 22 Absatz 3 Satz 3 werden die Wörter „verarbei-
„§ 32 tet und genutzt“ durch die Wörter „genutzt, verän-
Unabhängige Datenschutzkontrolle dert, übermittelt und gelöscht“ ersetzt.
§ 26a des Bundesverfassungsschutzgesetzes ist 5. Die Überschrift von § 31 wird wie folgt gefasst:
mit der Maßgabe entsprechend anzuwenden, dass „§ 31
an die Stelle des Bundesministeriums des Innern
Datenverarbeitung in automatisierten Dateien“.
das Bundeskanzleramt tritt.“
6. § 36 wird durch die folgenden §§ 36 und 36a ersetzt:
12. Nach § 32 wird folgender § 32a eingefügt:
㤠36
㤠32a
Anwendung des
Anwendung des Bundesdatenschutzgesetzes Bundesdatenschutzgesetzes,
Bei der Erfüllung der Aufgaben des Bundesnach- Bundesverfassungsschutzgesetzes,
richtendienstes nach § 1 Absatz 2 ist das Bundes- MAD-Gesetzes und BND-Gesetzes
datenschutzgesetz wie folgt anzuwenden: (1) Die Vorschriften des Bundesdatenschutzge-
1. von den Teilen 1 und 4 des Bundesdatenschutz- setzes finden wie folgt Anwendung:
gesetzes 1. § 1 Absatz 8, § 16 Absatz 1 und 4 und die §§ 17
bis 21 sowie § 85 finden keine Anwendung,
a) finden § 1 Absatz 8, die §§ 4, 16 Absatz 1
und 4, die §§ 17 bis 21 sowie § 85 keine An- 2. die §§ 42, 46, 51 Absatz 1 und 3, die §§ 52, 53, 54
wendung, Absatz 1 und 2 sowie die §§ 62, 64, 83 sind ent-
sprechend anzuwenden.
b) findet § 14 Absatz 2 mit der Maßgabe Anwen-
dung, dass sich die oder der Bundesbeauf- (2) Die Vorschriften des Ersten Abschnitts und die
tragte für den Datenschutz und die Informa- §§ 14 und 23 Nummer 3 des Bundesverfassungs-
tionsfreiheit nur an die Bundesregierung so- schutzgesetzes auch in Verbindung mit § 12 des
wie an die für die Kontrolle des Bundesnach- MAD-Gesetzes und § 31 des BND-Gesetzes sowie
richtendienstes zuständigen Gremien (Parla- die §§ 1, 8 und § 10 Absatz 2 Satz 2 bis 6 des MAD-
mentarisches Kontrollgremium, Vertrauens- Gesetzes und § 21 des BND-Gesetzes finden An-
gremium, G 10-Kommission, Unabhängiges wendung.
Gremium) wenden darf; eine Befassung der
für die Kontrolle des Bundesnachrichten- § 36a
dienstes zuständigen Gremien setzt voraus, Unabhängige Datenschutzkontrolle
dass sie oder er der Bundesregierung ent- (1) Jede Person kann sich an die Bundesbeauf-
sprechend § 16 Absatz 2 Satz 1 des Bundes- tragte oder den Bundesbeauftragten für den Daten-
datenschutzgesetzes zuvor Gelegenheit ge- schutz und die Informationsfreiheit wenden, wenn
geben hat, innerhalb einer von ihr oder ihm sie der Ansicht ist, bei der Verarbeitung ihrer perso-
gesetzten Frist Stellung zu nehmen; nenbezogenen Daten nach diesem Gesetz durch
2. von Teil 3 des Bundesdatenschutzgesetzes sind öffentliche oder nichtöffentliche Stellen in ihren
die §§ 46, 51 Absatz 1 bis 4 sowie die §§ 52 Rechten verletzt worden zu sein.
bis 54, 62, 64, 83, 84 entsprechend anzuwen- (2) Die oder der Bundesbeauftragte für den Da-
den.“ tenschutz und die Informationsfreiheit kontrolliert
bei den öffentlichen und den nichtöffentlichen Stel-
Artikel 5 len die Einhaltung der anzuwendenden Vorschriften
über den Datenschutz bei der Erfüllung der Aufga-
Änderung des
ben dieses Gesetzes. Soweit die Einhaltung von Vor-
Sicherheitsüberprüfungsgesetzes schriften der Kontrolle durch die G 10-Kommission
Das Sicherheitsüberprüfungsgesetz vom 20. April unterliegt, unterliegt sie nicht der Kontrolle durch die
1994 (BGBl. I S. 867), das zuletzt durch Artikel 1 des Bundesbeauftragte oder den Bundesbeauftragten
Gesetzes vom 16. Juni 2017 (BGBl. I S. 1634) geändert für den Datenschutz und die Informationsfreiheit, es
worden ist, wird wie folgt geändert: sei denn, die G 10-Kommission ersucht die Bundes-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017 2131

beauftragte oder den Bundesbeauftragten für den 4. In § 16 Satz 2 werden die Wörter „und Nutzung“
Datenschutz und die Informationsfreiheit, sie bei be- gestrichen.
stimmten Vorgängen oder in bestimmten Bereichen
zu kontrollieren und ausschließlich ihr darüber zu be- Artikel 7
richten. Der Kontrolle durch die Bundesbeauftragte
oder den Bundesbeauftragten für den Datenschutz Änderung des
und die Informationsfreiheit unterliegen auch nicht Bundesdatenschutzgesetzes
personenbezogene Daten in Akten über die Sicher- Das Bundesdatenschutzgesetz in der Fassung der
heitsüberprüfung, wenn der Betroffene der Kontrolle Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66),
der auf ihn bezogenen Daten im Einzelfall gegenüber das zuletzt durch Artikel 1 des Gesetzes vom 28. April
der oder dem Bundesbeauftragten für den Daten- 2017 (BGBl. I S. 968) geändert worden ist, wird wie
schutz und die Informationsfreiheit widerspricht. folgt geändert:
(3) Die öffentlichen und nichtöffentlichen Stellen 1. In der Inhaltsübersicht wird nach der Angabe zu
sind verpflichtet, die Bundesbeauftragte oder den § 42a folgende Angabe eingefügt:
Bundesbeauftragten für den Datenschutz und die In- „§ 42b Antrag der Aufsichtsbehörde auf gericht-
formationsfreiheit und ihre oder seine schriftlich be- liche Entscheidung bei angenommener
sonders Beauftragten bei der Erfüllung ihrer oder Rechtswidrigkeit eines Beschlusses der
seiner Aufgaben zu unterstützen. Den in Satz 1 ge- Europäischen Kommission“.
nannten Personen ist dabei insbesondere
2. Nach § 22 Absatz 5 wird folgender Absatz 5a einge-
1. Auskunft zu ihren Fragen sowie Einsicht in alle fügt:
Unterlagen, insbesondere in die gespeicherten
Daten und in die Datenverarbeitungsprogramme, „(5a) Die oder der Bundesbeauftragte kann Auf-
zu gewähren, die im Zusammenhang mit der Kon- gaben der Personalverwaltung und Personalwirt-
trolle nach Absatz 2 stehen, schaft auf andere Stellen des Bundes übertragen,
soweit hierdurch die Unabhängigkeit der oder
2. jederzeit Zutritt in alle Diensträume zu gewähren. des Bundesbeauftragten nicht beeinträchtigt wird.
Dies gilt nicht, soweit die zuständige oberste Bun- Diesen Stellen dürfen personenbezogene Daten der
desbehörde im Einzelfall feststellt, dass die Auskunft Beschäftigten übermittelt werden, soweit deren
oder Einsicht die Sicherheit des Bundes oder eines Kenntnis zur Erfüllung der übertragenen Aufgaben
Landes gefährden würde.“ erforderlich ist.“
3. Nach § 42a wird folgender § 42b eingefügt:
Artikel 6 㤠42b
Änderung des Antrag der
Artikel 10-Gesetzes Aufsichtsbehörde
auf gerichtliche Entscheidung
Das Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. I
bei angenommener Rechtswidrigkeit
S. 1254, 2298; 2017 I S. 154), das zuletzt durch Artikel 2
eines Beschlusses der Europäischen Kommission
Absatz 2 des Gesetzes vom 16. Juni 2017 (BGBl. I
S. 1634) geändert worden ist, wird wie folgt geändert: (1) Hält eine Aufsichtsbehörde einen Angemes-
senheitsbeschluss der Europäischen Kommission,
1. § 4 wird wie folgt geändert:
einen Beschluss über die Anerkennung von Stan-
a) Absatz 1 Satz 7 wird wie folgt gefasst: dardschutzklauseln oder über die Allgemeingültig-
„In diesem Fall ist die Verarbeitung der Daten ein- keit von genehmigten Verhaltensregeln, auf dessen
zuschränken; sie dürfen nur zu diesen Zwecken Gültigkeit es für eine Entscheidung der Aufsichtsbe-
verwendet werden.“ hörde ankommt, für rechtswidrig, so hat die Auf-
sichtsbehörde ihr Verfahren auszusetzen und einen
b) Absatz 4 wird wie folgt geändert: Antrag auf gerichtliche Entscheidung zu stellen.
aa) Nach dem Wort „dürfen“ werden die Wörter (2) Für Verfahren nach Absatz 1 ist der Verwal-
„an andere als die nach § 1 Absatz 1 Num- tungsrechtsweg gegeben. Die Verwaltungsgerichts-
mer 1 berechtigten Stellen“ eingefügt. ordnung ist nach Maßgabe der Absätze 3 bis 6 an-
bb) Folgender Satz wird angefügt: zuwenden.

„Bei der Übermittlung an ausländische öffent- (3) Über einen Antrag der Aufsichtsbehörde nach
liche Stellen sowie an über- und zwischen- Absatz 1 entscheidet im ersten und letzten Rechts-
staatliche Stellen ist daneben § 19 Absatz 3 zug das Bundesverwaltungsgericht.
Satz 2 und 4 des Bundesverfassungsschutz- (4) In Verfahren nach Absatz 1 ist die Aufsichts-
gesetzes anzuwenden.“ behörde beteiligungsfähig. An einem Verfahren nach
Absatz 1 ist die Aufsichtsbehörde als Antragstellerin
2. § 6 Absatz 1 Satz 7 wird wie folgt gefasst:
beteiligt; § 63 Nummer 3 und 4 der Verwaltungsge-
„In diesem Fall ist die Verarbeitung der Daten einzu- richtsordnung bleibt unberührt. Das Bundesverwal-
schränken; sie dürfen nur zu diesen Zwecken ver- tungsgericht kann der Europäischen Kommission
wendet werden.“ Gelegenheit zur Äußerung binnen einer zu bestim-
3. In § 15 Absatz 5 Satz 2 werden die Wörter „Erhe- menden Frist geben.
bung, Verarbeitung und Nutzung“ durch das Wort (5) Ist ein Verfahren zur Überprüfung der Gültig-
„Verarbeitung“ ersetzt. keit eines Beschlusses der Europäischen Kommis-

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de
2132 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

sion nach Absatz 1 bei dem Gerichtshof der Euro- päischen Union dem Gerichtshof der Europäischen
päischen Union anhängig, so kann das Bundesver- Union zur Entscheidung vor.“
waltungsgericht anordnen, dass die Verhandlung bis
zur Erledigung des Verfahrens vor dem Gerichtshof Artikel 8
der Europäischen Union auszusetzen sei.
Inkrafttreten, Außerkrafttreten
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5
Satz 1 und Absatz 6 der Verwaltungsgerichtsord- (1) Dieses Gesetz tritt vorbehaltlich des Absatzes 2
nung entsprechend anzuwenden. Kommt das Bun- am 25. Mai 2018 in Kraft. Gleichzeitig tritt das Bundes-
desverwaltungsgericht zu der Überzeugung, dass datenschutzgesetz in der Fassung der Bekanntma-
der Beschluss der Europäischen Kommission nach chung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt
Absatz 1 gültig ist, so stellt es dies in seiner Ent- durch Artikel 7 dieses Gesetzes geändert worden ist,
scheidung fest. Andernfalls legt es die Frage nach außer Kraft.
der Gültigkeit des Beschlusses gemäß Artikel 267 (2) Artikel 7 tritt am Tag nach der Verkündung in
des Vertrags über die Arbeitsweise der Euro- Kraft.

Das vorstehende Gesetz wird hiermit ausgefertigt. Es


ist im Bundesgesetzblatt zu verkünden.

Berlin, den 30. Juni 2017

Der Bundespräsident
Steinmeier

Die Bundeskanzlerin
Dr. A n g e l a M e r k e l

Der Bundesminister des Innern


Thomas de Maizière

Der Bundesminister
d e r J u s t i z u n d f ü r Ve r b r a u c h e r s c h u t z
Heiko Maas

Der Bundesminister für Gesundheit


Hermann Gröhe

Das Bundesgesetzblatt im Internet: www.bundesgesetzblatt.de | Ein Service des Bundesanzeiger Verlag www.bundesanzeiger-verlag.de