(erldsgmv02.pdf / 585kB)
Erläuterungen zur Anwendung des Gesetzes zum Schutz des Bürgers bei der Verarbeitung seiner Daten
(Landesdatenschutzgesetz - DSG M-V)Vom 28. März 2002 (GVBl. M-V S. 154)
INHALTSVERZEICHNIS
Abschnitt 1
Allgemeine Vorschriftenzu § 1 Zweck
zu § 2 Anwendungsbereich
zu § 3 Begriffsbestimmungen
zu § 4 Verarbeitung von personenbezogenen Daten im Auftrag
zu § 5 Datenvermeidung, Datenschutzaudit, Systemdatenschutz
zu § 6 DatengeheimnisAbschnitt 2
Verarbeitung von personenbezogenen Datenzu § 7 Grundsatz
zu § 8 Einwilligung
zu § 9 Erheben
zu § 10 Nutzen
zu § 11 Speichern, Verändern
zu § 12 Automatisierte Einzelentscheidung
zu § 13 Berichtigen, Sperren und Löschen
zu § 14 Übermittlung an Stellen innerhalb des öffentlichen Bereichs
zu § 15 Übermittlung an inländische nicht-öffentliche Stellen
zu § 16 Übermittlung an europäische nicht-öffentliche Stellen und Drittstaaten
zu § 17 Verbund- und Abrufverfahren
zu § 18 Verfahrensverzeichnis
zu § 19 Freigabe, Vorabkontrolle
zu § 20 Behördlicher Datenschutzbeauftragter
zu § 21 Allgemeine Maßnahmen zur Datensicherheit
zu § 22 Besondere Maßnahmen zur Datensicherheit beim Einsatz automatisierter Verfahren
zu § 23 Pflicht zur Benachrichtigung BetroffenerAbschnitt 3
Rechte des Betroffenenzu § 24 Auskunft, Akteneinsicht
zu § 25 Sperrung und Widerspruch durch den Betroffenen
zu § 26 Anrufung des Landesbeauftragten für den Datenschutz
zu § 27 Schadensersatz
zu § 28 Unabdingbarkeit der Rechte BetroffenerAbschnitt 4
Der Landesbeauftragte für den Datenschutzzu § 29 Berufung und Rechtsstellung
zu § 30 Kontrolle
zu § 31 Unterstützung
zu § 32 Beanstandungen
zu § 33 Weitere Aufgaben und BefugnisseAbschnitt 5
Besondere Regelungenzu § 34 Wissenschaftliche Forschung
zu § 35 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen
zu § 36 Mobile Datenverarbeitungssysteme
zu § 37 Videoüberwachung und -aufzeichnung
zu § 38 Fernmess- und Fernwirkdienste
zu § 39 Öffentliche AuszeichnungenAbschnitt 6
Personenbezogene Daten ehemaliger Einrichtungenzu § 40 Zuständigkeit für personenbezogene Daten ehemaliger Einrichtungen
zu § 41 Zulässige Nutzung und Zweckbestimmung der Speicherung personenbezogener Daten ehemaliger EinrichtungenAbschnitt 7
Straf- ,Übergangs- und Schlussvorschriftenzu § 42 Straftaten
zu § 43 Übergangsvorschrift
zu § 44 Außer-Kraft-Treten
Vorwort
Am 18.April 2002 trat das neue Landesdatenschutzgesetz von Mecklenburg-Vorpommern in Kraft und löste damit das Landesdatenschutzgesetz von 1992 ab. Die wichtigsten Ziele der umfassenden Novellierung waren, die Vorgaben der EG-Datenschutzrichtlinie umzusetzen und die rasante Entwicklung der Technik zu berücksichtigen.
Die vorliegende Broschüre soll einen Überblick über die Gesetzesänderungen und Hinweise zur Auslegung und Anwendung der einzelnen Bestimmungen des neuen Gesetzes geben.
Die Erläuterungen basieren auf den Begründungen zu den Regierungsentwürfen von 1992 und 2002 sowie auf der Broschüre "Tipps und Hinweise zur Anwendung des neuen Landesdatenschutzgesetzes" des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Ergänzend wurden die Erläuterungen des Ham-burgischen Datenschutzbeauftragten zum Hamburgischen Datenschutzgesetz verwendet. Für die Möglichkeit zur Nutzung dieser Schriften möchte ich meinen bei-den Kollegen an dieser Stelle ausdrücklich danken.
Vereinzelt wurden die Kommentierungen zum Bundesdatenschutzgesetz 1990 von Simitis/Dammann/Geiger/Mallmann/Walz und von Bergmann/Möhrle/Herb sowie der von Dammann und Simitis verfasste Kommentar zur EG-Datenschutzrichtlinie herangezogen.
Ich hoffe, dass die "Erläuterungen zum Landesdatenschutzgesetz" eine Hilfe bei der Anwendung des neuen Gesetzes sein werden. Anregungen und Hinweise sind jederzeit willkommen.
Dr. Werner Kessel
Landesbeauftragter für den Datenschutz
Mecklenburg-Vorpommern
Das Grundrecht auf freie Entfaltung der Persönlichkeit (Art. 2 Abs. 1 GG) umfasst nicht nur den Schutz des Einzelnen gegen eine missbräuchliche Verarbeitung seiner persönlichen Daten; die Wahrnehmung dieses Rechts setzt ebenso das Wissen des Einzelnen um die Art und den Umfang einer solchen Verarbeitung wie auch seine Befugnis voraus, grundsätzlich selbst über Preisgabe und Verwendung seiner Daten zu bestimmen.
"Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen und zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wäre eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.
Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.
Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insofern die Befugnis des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen." (Aus dem Urteil des Bundesverfassungsgerichts vom 15. Dezember 1983 zum Volkszählungsgesetz ["Volkszählungsurteil"], BVerfGE 65, 43)
Datenschutz hat damit als Teil des Persönlichkeitsrechts Verfassungsrang. In die Verfassung des Landes Mecklenburg-Vorpommern (Verf M-V) ist deshalb ein Grundrecht auf Datenschutz aufgenommen worden. Art. 6 Abs. 1 Satz 1 Verf M-V lautet: "Jeder hat das Recht auf Schutz seiner personenbezogenen Daten".
Gleichwohl wäre es verfehlt, vor diesem Hintergrund Datenschutz nunmehr als ein Recht des Einzelnen auf absolute Herrschaft über seine Daten zu interpretieren. Ziel informationeller Selbstbestimmung ist es, die für eine demokratische Gesellschaft unerlässliche Kommunikation zu ermöglichen, indem ein Umgang mit personenbezogenen Daten ohne Wissen des Betroffenen verhindert beziehungsweise auf wenige unerlässliche Ausnahmen begrenzt und damit dessen Handlungsfähigkeit gesichert wird.
"Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneingeschränkten Herrschaft über ‚seine' Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann ...
Grundsätzlich muss daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen." (BVerfGE 65, 43 f.)
Dementsprechend gewährt auch Art. 6 Abs. 1 Verf M-V keinen unbeschränkten Datenschutz. Satz 2 bestimmt: "Dieses Recht findet seine Grenzen in den Rechten Dritter und in den überwiegenden Interessen der Allgemeinheit".
In diesem Spannungsfeld zwischen den Rechten des Einzelnen und denen der Allgemeinheit nimmt das Landesdatenschutzgesetz von Mecklenburg-Vorpommern die durch Art. 6 Abs. 4 Verf M-V ("Das Nähere regelt das Gesetz.") vorgesehene Mittlerrolle ein. Seine Aufgabe ist es, das Recht des Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen, zu schützen und gleichzeitig die Voraussetzungen und den Umfang für eine notwendige, von diesem Grundsatz abweichende Verarbeitung personenbezogener Daten hinreichend normenklar und dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit entsprechend festzulegen.
Normenklarheit und Verhältnismäßigkeit bedürfen jedoch eines bereichsspezifischen Kontextes. Regelungen der Verarbeitung personenbezogener Daten werden umso konkreter und dem Einzelnen vermittelbarer, je genauer ihr Regelungsbereich, das heißt eine spezielle Verwaltungsaufgabe, bestimmt ist. Dem Datenschutzgesetz, das gleichermaßen in allen Verwaltungsbereichen Anwendung findet, sind hier Grenzen gesetzt. Es wird sich im Sinne eines allgemeinen Verfahrensgesetzes darauf beschränken müssen, generelle Prinzipien der Verarbeitung personenbezogener Daten zu bestimmen, an denen sich konkrete Informationsprozesse, aber auch bereichsspezifische Datenschutzregelungen anderer Gesetze zu orientieren haben. Solcherart grundlegende Prinzipien wie Erforderlichkeit oder Zweckbindung bilden somit den Maßstab für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.
Dem Schutz des Betroffenen vor einer rechtswidrigen Verarbeitung seiner Daten dienen im Datenschutzgesetz festgeschriebene Rechte - das Recht auf Auskunft wird schon auf der Ebene der Verfassung durch Art. 6 Abs. 2 Verf M-V gewährleistet -, die Forderung nach Transparenz beim Umgang mit personenbezogenen Daten und die in Art. 37 Verf M-V verfassungsrechtlich verankerte unabhängige Datenschutzkontrolle.
Als Medium zum Ausgleich zwischen den Interessen und Rechten des Einzelnen und denen der Gemeinschaft sowie als Verbindungsglied zwischen Grundrecht und bereichsspezifischen Normen trägt das Datenschutzgesetz nicht nur den Charakter einer "Datenverkehrsordnung". Als eine Norm für den Umgang des Staates mit dem Bürger kann es auch zum Maßstab für den Umgang des Bürgers mit dem Staat werden.
Das Gesetz regelt die Verarbeitung personenbezogener Daten durch öffentliche Stellen umfassend, unabhängig davon, ob sie in Form von Dateien oder Akten gespeichert sind und ob es sich dabei um automatisierte oder nicht-automatisierte Verfahren handelt.
Das Datenschutzgesetz ist ein "Auffanggesetz"; seine Vorschriften kommen immer dann zur Anwendung, wenn und soweit die Verarbeitung personenbezogener Daten nicht durch spezielle bereichsspezifische Rechtsvorschriften, die dem verfassungsrechtlichen Gebot der Verhältnismäßigkeit entsprechen müssen, normenklar geregelt ist. Jede darüber hinausgehende Verarbeitung personenbezogener Daten ist unzulässig, es sei denn, dass der Betroffene darin eingewilligt hat. Die Einwilligung setzt voraus, dass der Betroffene den Zweck und den Umfang der beabsichtigten Verarbeitung der Daten kennt. Deshalb hat die öffentliche Stelle ihn darüber umfassend aufzuklären.
Um die Einhaltung von Datenschutzvorschriften sicherzustellen und die Datenschutzkontrolle zu gewährleisten, sind die personenbezogene Daten verarbeitenden Stellen verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen.
Die öffentlichen Stellen haben dem Betroffenen auf Antrag Auskunft über die zu seiner Person gespeicherten Daten zu geben. Darüber hinaus hat der Betroffene das Recht auf Anrufung des Landesbeauftragten für den Datenschutz sowie in besonderen Fällen auf Sperrung seiner Daten. Er hat Anspruch auf Schadensersatz.
Die Kontrolle über die Einhaltung der Vorschriften dieses Gesetzes und anderer Datenschutzvorschriften in den öffentlichen Stellen übt der durch den Landtag gewählte Landesbeauftragte für den Datenschutz aus. Sein Amt ist beim Präsidenten des Landtages eingerichtet; in der Ausübung seines Amtes ist er weisungsfrei und nur dem Gesetz unterworfen. Die öffentlichen Stellen sind verpflichtet, ihn bei seiner Aufgabenerfüllung zu unterstützen.
Das Gesetz enthält weiterhin Sonderregelungen über die Verarbeitung und Nutzung personenbezogener Daten zu wissenschaftlichen Zwecken, über die Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen und bei der Vorbereitung öffentlicher Auszeichnungen sowie über Strafvorschriften.
In den Übergangsvorschriften werden die Zuständigkeit für personenbezogene Daten aus ehemaligen Einrichtungen der DDR, die Voraussetzungen für die Zulässigkeit ihrer weiteren Verarbeitung in den öffentlichen Stellen sowie die Umstände, die zu einer Sperrung von Daten ehemaliger Einrichtungen führen, geregelt.
1. Zielsetzung
Die Novellierung dient in erster Linie der Anpassung des Landesdatenschutzgesetzes von Mecklenburg-Vorpommern (DSG M-V) an die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281/31 vom 23. November 1995, S. 31 ff.), nachfolgend Richtlinie genannt.
Die Richtlinie konkretisiert und ergänzt die Grundsätze der Datenschutzkonvention des Europarates von 1981 (BGBl. 1985 II, S. 538 ff.) und schafft ein einheitliches Datenschutzniveau für die Ausführung und die Anwendung des Gemeinschaftsrechts durch die Mitgliedstaaten. Innergemeinschaftlicher Datenverkehr im Anwendungsbereich der Richtlinie ist daher künftig inländischem gleichzustellen.
Zugleich stellt die Novelle die Weichen für eine Modernisierung des Datenschutzrechts im Lande, die der Entstehung neuartiger Datenverarbeitungstechniken und der mengenmäßigen Zunahme personenbezogener Daten seit dem Erlass des Landesdatenschutzgesetzes am 24. Juli 1992 Rechnung trägt.
Soweit die Novellierung des Landesdatenschutzgesetzes Änderungen enthält, die weder die Richtlinienanpassung noch die Modernisierung des Datenschutzrechts betreffen, bestehen diese ausschließlich in
- notwendigen rechtsförmlichen Änderungen und Ergänzungen (Kurzbezeichnung, Inhaltsübersicht, Herstellung der Übereinstimmung von Inhaltsübersicht und Gesetzestext, §§ 10 Abs. 3 Nr. 7, 14 Abs. 3, 24 Abs. 2, 27 Abs. 4),
- sprachlichen Richtigstellungen, Präzisierungen oder Vereinfachungen ohne inhaltliche Auswirkung (§§ 1, 14 Abs. 1, 15 Abs. 1, 27 Abs. 1 u. 5, 31 Abs. 1 Nr. 1),
- der Änderung der Dauer der Frist des § 33 Abs. 1 Satz 2,
- der Einfügung eines Strafantragsrechts der Daten verarbeitenden Stelle und des Landesbeauftragten für den Datenschutz (§ 42 Abs. 4).
Bei der Angleichung und Modernisierung wird die bisherige Gesetzessystematik beibehalten.
Wegen der Einheitlichkeit des Datenschutzrechts orientiert sich die Novelle im Hinblick auf die Richtlinienumsetzung an dem im Mai 2001 novellierten Bundesdatenschutzgesetz. In Bezug auf die Modernisierungsregelungen wurden zusätzlich die jüngsten Datenschutzgesetze der Länder Brandenburg, Hessen, Nordrhein-Westfalen und Schleswig-Holstein herangezogen.
Sowohl die Umsetzung der Richtlinie als auch die Modernisierung des Landesdatenschutzrechtes führen zu einer Reihe von neuen gesetzlichen Regelungen, Gestaltungen, Detaillierungen oder Vereinheitlichungen. Diese beinhalten jedoch keine zusätzlichen materiellen Aufgaben ("öffentliche Aufgaben" i. S. v. Art. 72 Abs. 3 Verf M-V). So wird zwar jede öffentliche Stelle verpflichtet, - soweit noch nicht geschehen - einen behördlichen Datenschutzbeauftragten zu bestellen, jedoch hat dieser nach § 20 Abs. 3 nur die Aufgaben wahrzunehmen, die die öffentliche Stelle auch bisher schon wahrzunehmen hatte. Dies gilt insbesondere für die Vorabkontrolle des § 19 Abs. 2, 3. Das Gleiche gilt für die Modernisierungsmaßnahmen des § 5 (Datenvermeidung, Anonymisierung, Pseudonymisierung, Datentrennung). Lediglich für das Datenschutzaudit des § 5 Abs. 2 gab es nach altem Recht keine Entsprechung; jedoch wird dieses durch die Novelle nicht obligatorisch eingeführt. Kostenregelungen für die Landkreise und Gemeinden mit Rücksicht auf das Konnexitätsprinzip des Artikel 72 Abs. 3 Verf M-V waren daher nicht erforderlich.
Zum Zwecke der besseren Darstellbarkeit im Internet und zur Berücksichtigung der neuen deutschen Rechtschreibung ist die Novellierung als Ablösungsgesetz und nicht als Änderungsgesetz gestaltet worden.
2. Wesentliche Inhalte der Novelle des Landesdatenschutzgesetzes
a. Wesentliche Änderungen aufgrund der Richtlinie
| Änderung | Richtlinie | DSG M-V |
| Definition "nicht-automatisierte Datei" geändert | Art. 2 lit. c, Erw.Grd. 27 | § 3 Abs. 2 |
| Oberbegriff "Umgang mit Daten" durch "Datenverarbeitung" ersetzt | Art. 2 lit. b | Ges. Gesetz, insbes. § 3 Abs. 4 |
| Regelungen zur Verarbeitung besonderer Kategorien von Daten (sensitive Daten, Daten betreffend Straftaten) eingeführt | Art. 8 | insbes. §§ 7 Abs. 2 bis 4, 10 Abs. 3 |
| Informationsrechte des Betroffenen erweitert | Art. 10, 11, 12 lit. a | §§ 9 Abs. 1 und 4, 24 Abs. 1 |
| Verbot automatisierter Einzelentscheidung normiert | Art. 15 | § 12 |
| Datenübermittlung an Drittstaaten normiert | Art. 25, 26 | § 16 |
| Vorabkontrolle normiert | Art. 20 | § 19 Abs. 2 |
| Ausnahme zur Meldepflicht (behördlicher Datenschutzbeauftragter) normiert | Art. 18 | §§ 17, 20 |
| Öffentlichkeit des Verfahrensverzeichnisses normiert | Art. 21 | § 20 Abs. 4 |
| zusätzliche Widerspruchsmöglichkeiten normiert | Art. 14 | § 25 Abs. 3, 4 |
| Beweislastumkehr bei Schadensersatz normiert | Art. 23 | § 27 Abs. 2 |
| Anhörungsrecht des LfD bei Normerlass normiert | Art. 28 | § 33 Abs. 2 |
| Amtshilfe der Kontrollstellen normiert | Art. 28 | § 33 Abs. 3 |
| Strafantragsbefugnis des LfD normiert | Art. 28 | § 42 Abs. 4 |
| Übergangsvorschrift normiert | Art. 32 | § 43 |
b. Wesentliche Änderungen zur Modernisierung des Datenschutzrechts
| Maßnahme | DSG M-V |
| Definition "Pseudonymisieren" eingefügt | § 3 Abs. 3 Nr. 9 |
| Definition "Verschlüsseln" eingefügt | § 3 Abs. 3 Nr. 10 |
| Definition "Verbundverfahren" eingefügt | § 3 Abs. 8 |
| Definition "Abrufverfahren" eingefügt | § 3 Abs. 9 |
| Definition "Mobile Datenverarbeitungssysteme" eingefügt | § 3 Abs. 10 |
| Wartung u. a. Hilfstätigkeiten Datenverarbeitung im Auftrag gleichgestellt | § 4 Abs. 4 |
| Grundsatz der Datenvermeidung normiert | § 5 Abs. 1 |
| Datenschutzaudit normiert | § 5 Abs. 2 |
| Grundsatz der Datentrennung normiert | § 5 Abs. 3 |
| Möglichkeit der elektronischen Einwilligung normiert | § 7 Abs. 2 |
| Verbundverfahren normiert | § 17 |
| Freigabeverpflichtung normiert | § 19 Abs. 1, 3 |
| Technische und organisatorische Maßnahmen geändert | §§ 21, 22 |
| Datenverarbeitung zu wissenschaftlichen Zwecken geändert | § 34 |
| Mobile Datenverarbeitungssysteme normiert | § 36 |
| Videoüberwachung normiert | § 37 |
| Fernmessen und Fernwirken normiert | § 38 |
Zweck dieses Gesetzes ist es, das Recht des Einzelnen zu schützen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (Recht auf informationelle Selbstbestimmung).
Der Schutz des Rechts auf informationelle Selbstbestimmung wird in Anlehnung an den Wortlaut des Urteils des Bundesverfassungsgerichts zum Volkszählungsgesetz 1983, das so genannte Volkszählungsurteil (siehe die Einleitung), als Ziel des Gesetzes bestimmt.
Das Recht auf informationelle Selbstbestimmung umfasst nach der Rechtsprechung des Bundesverfassungsgerichts vor allem die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen. Die Regelungen des DSG M-V setzen diese Vorgabe um, indem sie definieren, unter welchen Voraussetzungen ein Betroffener die Verarbeitung seiner Daten dulden muss. Damit enthalten sie zugleich eine Rechtsgrundlage für die Datenverarbeitung durch die öffentlichen Stellen. Eine Konsequenz des Gesetzeszweckes ist die Verpflichtung auf Maßnahmen zur Datensparsamkeit und zur Datensicherheit. Diese dienen dem Schutz der Daten vor Verfälschung, Verlust und unberechtigten Zugriffen und damit letztendlich dem Grundrecht auf informationelle Selbstbestimmung.
Der Grundrechtsschutz als Ziel des Gesetzes ist Auslegungsmaßstab für die Bestimmungen des DSG M-V selbst, aber auch für datenschutzrechtliche Bestimmungen in anderen Rechtsvorschriften. Er führt im Zweifel zu einer für das informationelle Selbstbestimmungsrecht günstigen Auslegung.
(1) Dieses Gesetz gilt für Behörden und öffentlich-rechtliche Einrichtungen und Stellen des Landes, der Gemeinden, der Ämter, der Landkreise sowie für sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts (öffentliche Stellen).
(2) Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts mit absoluter Mehrheit der Anteile oder Stimmen beteiligt sind. Beteiligt sich eine juristische Person oder sonstige Vereinigung des privaten Rechts, auf die dieses Gesetz nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des privaten Rechts, so findet Satz 1 entsprechende Anwendung. Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.
(3) Für automatisierte Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Verwendung gelöscht werden, sowie für Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden, gelten nur die §§ 6, 21 und 22 sowie die §§ 29 bis 33. Diese Daten sind vor dem Zugriff Unbefugter zu schützen.
(4) Soweit besondere Rechtsvorschriften den Umgang mit personenbezogenen Daten regeln, gehen sie den Vorschriften dieses Gesetzes vor. Für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz nur, soweit sie Verwaltungsaufgaben wahrnehmen. Darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, die §§ 18, 26, 29 bis 33 und 35 sowie die §§ 39 bis 41; die §§ 24 und 25 finden keine Anwendung.
(5) Soweit öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten für sie nur die §§ 18, 26, 29 bis 33 sowie die §§ 38 bis 41. Mit Ausnahme der Vorschriften über die Meldepflichten und die Aufsichtsbehörde (§§ 4 d, 4 e und 38) sind im Übrigen die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 2954), zuletzt geändert durch Artikel 1 des Gesetzes vom 18. Mai 2001 (BGBl. I S. 904), einschließlich der §§ 43 und 44 anwendbar.
(6) Für Gnadenverfahren findet dieses Gesetz keine Anwendung.
Die Vorschrift bestimmt die Normadressaten dieses Gesetzes und führt den umfassenden Begriff der öffentlichen Stelle ein.
Behörde ist jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt (§ 1 Abs. 3 VwVfG M-V). Dies sind vor allem die rechtlich unselbständigen Organisationseinheiten der Landesverwaltung, insbesondere die Ministerien und nachgeordneten Dienststellen.
Öffentlich-rechtlich organisierte Einrichtungen und Stellen üben im Gegensatz zu den Behörden keine oder nur zum Teil Verwaltungstätigkeit im Sinne des Gesetzesvollzugs aus. Dazu gehören beispielsweise die Gerichte und die Landtagsverwaltung.
Hierzu rechnen aber auch die Personalräte im Verhältnis zu ihrer Dienststelle, da sie bei der Wahrnehmung der ihnen durch das Mitbestimmungsgesetz zugewiesenen Aufgaben selbständig und vor allem gleichberechtigt neben ihrer Dienststelle tätig werden und keinerlei Weisungen unterliegen. Anders verhält es sich bei den Gleichstellungsbeauftragten, die nur in fachlicher Hinsicht unabhängig sind. Ihnen werden zwar im Gleichstellungsgesetz eigene Aufgaben und Datenverarbeitungsbefugnisse eingeräumt, allerdings sollen sie aufgrund der bestehenden Dienstaufsicht nicht die alleinige und unabhängige Verantwortung für diese Datenverarbeitung tragen.
Die Kommunen als solche sind keine öffentlichen Stellen. Dies ergibt sich aus der Verwendung des Genitivs im Gesetzestext. Somit ist jede mit einer Aufgabenerfüllung betraute Stelle der Kommunalverwaltung öffentliche Stelle des Gesetzes, etwa ein Dezernat, ein Fachamt oder ein Ausschuss. Daraus folgt, dass funktionale Einheiten innerhalb einer Kommune zueinander als Dritte gelten und bei der Datenweitergabe die Übermittlungsvorschrift § 14 anzuwenden ist.
Sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts sind Körperschaften, Stiftungen und Anstalten des öffentlichen Rechts, zum Beispiel die Sparkassen oder die Industrie- und Handelskammern.
Im Bereich der öffentlich-rechtlichen Rundfunkanstalten gilt im Grundsatz nach wie vor das Sitzlandprinzip (mithin hamburgisches bzw. rheinland-pfälzisches Datenschutzrecht für NDR und ZDF). Mittlerweile ist der Datenschutz aber größtenteils bereichsspezifisch durch die Rundfunk-Staatsverträge geregelt. Die Anstalten haben eigene Datenschutzbeauftragte, die die Verarbeitung der personenbezogenen Daten kontrollieren.
Die bisherige Formulierung in § 2 Abs. 1 DSG MV 92 ("und deren Vereinigungen ungeachtet ihrer Rechtsform") war nicht eindeutig. Umstritten war insbesondere, ob eine Vereinigung schon dadurch zu einer öffentlichen Stelle wurde, dass sich eine der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts an ihr beteiligte, wie hoch die Beteiligung sein muss und ob auch eine reine Kapitalbeteiligung eine öffentliche Stelle konstituiert, selbst wenn die Vereinigung keine öffentlichen Aufgaben wahrnimmt. Der Streit war vor allem von Bedeutung für die Frage, welche Kontrollstelle für die privaten Vereinigungen zuständig ist. Der neu eingefügte Absatz 2 beseitigt diese Zweifel.
Als öffentliche Stellen im Sinne des Abs. 2 Satz 1 und 2 kommen juristische Personen des Privatrechts (z. B. GmbH, AG) und privatrechtliche Vereinigungen (z. B. eingetragener Verein, BGB-Gesellschaft) in Betracht.
Der Begriff Aufgaben der öffentlichen Verwaltung umfasst Handlungen, die unmittelbar der Erfüllung einer öffentlichen Aufgabe dienen, an der ein zentrales öffentliches Interesse besteht. Unerheblich ist, ob es sich um gesetzliche oder freiwillige Aufgaben handelt und ob die Aufgaben durch privat- oder öffentlich-rechtliches Handeln erfüllt werden. Eine solche Aufgabe ist beispielsweise das weite Feld der Daseinsvorsorge, welche unter anderem neben der Energie- und Wasserversorgung auch den öffentlichen Personennahverkehr, die Abfall- und Wohnungswirtschaft und das Vorhalten von öffentlichen Einrichtungen wie Sportstätten, Theatern, Krankenhäuser und Kindergärten beinhaltet. Keine Aufgaben der öffentlichen Verwaltung sind reine Finanzbeteiligungen.
Typische Anwendungsfälle sind privatrechtlich organisierte Nahverkehrs-, Energie- oder Wohnungsverwaltungsunternehmen in überwiegend öffentlicher Trägerschaft. Sie sind somit öffentliche Stellen und unterliegen dadurch der Kontrollzuständigkeit des Landesbeauftragten für den Datenschutz.
Unter Abs. 2 Satz 3 fallen die so genannten beliehenen Unternehmen oder Personen, wie der TÜV-Sachverständige oder der Bezirksschornsteinfegermeister.
Auch die in Absatz 3 beschriebenen Dateien fallen unter den Dateibegriff des Artikels 2 Buchstabe c der Richtlinie. Die weitgehende Herausnahme dieser Dateien aus dem Anwendungsbereich des Gesetzes steht daher im Widerspruch zur Richtlinie, die keine Privilegierungen der in Rede stehenden Dateien vorsieht. Diese sollten daher nicht anders als sonstige automatisierte Dateien behandelt werden.
Abs. 4 Satz 1 macht deutlich, dass es sich bei dem allgemeinen Datenschutzgesetz um ein Auffanggesetz handelt, das gegenüber spezialgesetzlichen Regelungen subsidiär ist. Rechtsvorschriften sind auch Tarifvertragsnormen, die für allgemein verbindlich erklärt werden. Die Nachrangigkeit des Landesdatenschutzgesetzes gilt nicht nur für Bereiche, die in die Gesetzgebungskompetenz des Bundes fallen (z. B. Teil X des Sozialgesetzbuchs für den gesamten Bereich des Sozialrechts), sondern auch für die einzelnen Fachgesetze des Landes, wie etwa das Meldegesetz. Nur soweit diese zum Umgang mit personenbezogenen Daten keine Regelungen enthalten, gilt das allgemeine Datenschutzgesetz. Enthalten sie lediglich unvollständige Regelungen, ist zu prüfen, ob deren Sinn und Zweck eine Ergänzung durch die Anwendung der allgemeinen Vorschriften zulässt. Dies entspricht der Auslegung bereits bestehender Subsidiaritätsregelungen in den Verwaltungsverfahrensgesetzen. Die bereichsspezifischen Vorschriften bauen allerdings auf dem Regelungssystem der Datenschutzgesetze auf. So gelten die Begriffsbestimmungen des § 3 in allen Verwaltungsbereichen des Landes, wenn nicht ausdrücklich etwas anderes bestimmt ist. Das Landesdatenschutzgesetz definiert im Übrigen den datenschutzrechtlichen Mindeststandard, von dem nur bei Vorliegen ausdrücklicher Sonderregelungen abgewichen werden darf.
Soweit Gerichte und Staatsanwaltschaften Aufgaben der Rechtspflege wahrnehmen, unterfallen sie nicht diesem Gesetz; für sie gelten die Bestimmungen des Bundesdatenschutzgesetzes beziehungsweise besondere Vorschriften über das Verfahren der Rechtspflege (z. B. EGGVG, StPO). Die Tätigkeit der Staatsanwaltschaften unterliegt jedoch auch in diesem Fall der Aufsicht des Landesbeauftragten für den Datenschutz; die damit in Zusammenhang stehende Pflicht zur Führung des Verfahrensverzeichnisses sowie das Recht Betroffener zur Anrufung des Landesbeauftragten für den Datenschutz gelten für sie ebenfalls. Darüber hinaus sind auf Staatsanwaltschaften generell die Vorschriften über die Verarbeitung der Daten ihrer Beschäftigten, über die Verarbeitung personenbezogener Daten bei öffentlichen Auszeichnungen sowie die Übergangsvorschriften dieses Gesetzes anzuwenden.
Soweit öffentlich-rechtliche Unternehmen in Wettbewerb mit privaten Unternehmen treten, sollen für sie die gleichen Bedingungen bei der Verarbeitung personenbezogener Daten gelten. Aufgrund der bezweckten Gleichbehandlung mit Privatunternehmen sind unter dem Begriff "öffentlich-rechtliche Unternehmen" alle Unternehmen zu verstehen, die öffentliche Stellen nach Absatz 1 oder Absatz 2 sind. Dies können sowohl Unternehmen öffentlichen Rechts (z. B. Sparkassen) als auch Unternehmen als Teile der Verwaltung (z. B. Eigenbetriebe) und Unternehmen des Privatrechts (z. B. Eigengesellschaften) sein.
Das Unternehmen muss am Wettbewerb teilnehmen. Dies setzt zunächst eine wirtschaftliche, aber nicht zwingend gewinnorientierte Betätigung voraus. Weiter bedeutet es, dass das Angebot des Unternehmens mit denen anderer Unternehmen in Konkurrenz steht. Dies ist bei einem eingeräumten Monopol, z. B. einem Anschluss- und Benutzungszwang, nicht der Fall. Andererseits schließt ein lokales "faktisches Monopol" die Teilnahme am Wettbewerb nicht aus, solange eine solche Leistung prinzipiell auch von anderen Unternehmen angeboten wird und deren Angebot vor Ort rechtlich möglich ist. Beispielsweise nehmen kommunale Nahverkehrsunternehmen auch dann am Wettbewerb teil, wenn sie allein Straßenbahn- und Busverbindungen innerhalb der Kommune anbieten.
Auf diese Unternehmen sind grundsätzlich die Vorschriften des Bundesdatenschutzgesetzes für nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen anzuwenden. Sie unterliegen jedoch der Kontrolle des Landesbeauftragten für den Datenschutz; das Recht Betroffener auf Anrufung des Datenschutzbeauftragten sowie die Pflicht zur Führung des Verfahrensverzeichnisses regeln sich ebenfalls nach den Vorschriften des Landesdatenschutzgesetzes. Ebenso finden die besonderen Datenschutzregelungen zur Verarbeitung personenbezogener Daten bei öffentlichen Auszeichnungen, beim Einsatz von Fernmess- und Fernwirkdiensten und die Übergangsvorschriften dieses Gesetzes Anwendung.
Die Ausübung des Begnadigungsrechts ist wegen dessen besonderer Rechtsnatur aus dem Anwendungsbereich des Gesetzes herausgenommen worden.
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Eine Datei ist
1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren verarbeitet und ausgewertet werden kann (automatisierte Datei) oder
2. jede sonstige strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist (nicht-automatisierte Datei).
(3) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage einschließlich Bild- und Tonträgern, soweit sie nicht eine Datei im Sinne von Absatz 2 ist. Nicht hierunter fallen Vorentwürfe oder Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
(4) Datenverarbeitung ist jede Verwendung personenbezogener Daten im Sinne der nachfolgenden Vorschriften. Dabei ist
1. Erheben das Beschaffen von Daten,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger; dazu zählt auch das Vervielfältigen,
3. Verändern das inhaltliche Umgestalten gespeicherter Daten,
4. Übermitteln das Bekanntgeben erhobener, gespeicherter oder durch sonstige Verarbeitung gewonnener Daten an Dritte in der Weise, dass die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder dass Dritte von der Daten verarbeitenden Stelle zur Einsicht oder zum Abruf bereit gehaltene Daten einsehen oder abrufen,
5. Sperren das Verhindern weiterer Verarbeitung gespeicherter Daten, ausgenommen in den Fällen, in denen dieses Gesetz die Verarbeitung der Daten zulässt,
6. Löschen das dauerhafte Unkenntlichmachen gespeicherter Daten,
7. Nutzen die inhaltliche Auswertung und Verwendung von Daten,
8. Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßig hohem Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können,
9. Pseudonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse ohne Anwendung der Zuordnungsfunktion nicht mehr oder nur mit unverhältnismäßig hohem Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können,
10. Verschlüsseln das Verändern personenbezogener Daten derart, dass ohne Entschlüsselung die Kenntnisnahme des Inhaltes der Daten nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(5) Daten verarbeitende Stelle ist jede öffentliche Stelle, die personenbezogene Daten für sich selbst verarbeitet oder durch andere in ihrem Auftrag verarbeiten lässt.
(6) Dritter ist jede Person oder Stelle außerhalb der Daten verarbeitenden Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen oder Stellen, die im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedsstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum im Auftrag tätig werden.
(7) Stellen innerhalb des öffentlichen Bereichs sind öffentliche Stellen nach § 2 Absatz 1 und 2, öffentliche Stellen des Bundes und der anderen Länder nach § 2 des Bundesdatenschutzgesetzes sowie öffentliche Stellen der Europäischen Union, ihrer Mitgliedsstaaten oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum.
(8) Verbundverfahren sind automatisierte Verfahren, die mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglichen.
(9) Abrufverfahren sind automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen.
(10) Mobile Datenverarbeitungssysteme sind informationstechnische Systeme, die zum Einsatz in automatisierten Verfahren bestimmt sind, an die Betroffenen ausgegeben werden und über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle personenbezogene Daten automatisiert austauschen können.
Im Folgenden werden die in den einzelnen Normen enthaltenen Begriffsbestimmungen der Reihe nach erläutert. Vorgeschaltet sind die Erläuterungen zu den nicht im Gesetz definierten Begriffen "Verfahren" und "automatisiertes Verfahren", die für andere Begriffsbestimmungen (Abs. 2 Nr. 1, Abs. 8 bis 10) und auch für sonstige Vorschriften des DSG M-V 2002 (z. B. §§ 18, 19, 21, 22) von zentraler Bedeutung sind.
Der Begriff "Verfahren" wird benutzt, um vollständige Datenverarbeitungsvorgänge zu beschreiben. Nach Absatz 4 fällt unter Datenverarbeitung insbesondere jedes Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen, Anonymisieren, Pseudonymisieren und Verschlüsseln personenbezogener Daten (siehe Erläuterungen zu Abs. 4). Ein Verfahren beschreibt eine formalisierte, wiederholbare Folge solcher Schritte der Datenverarbeitung. Dabei ist gleichgültig, ob sie manuell oder mit Hilfe von Informationstechnik ausgeführt werden. Ein Verfahren liegt nicht vor bei solchen Datenverarbeitungen, die ausschließlich seltene Einzelfälle betreffen. Ein Verfahren ist immer gekennzeichnet durch seine Zweckbestimmung und wird dadurch von anderen Verfahren abgegrenzt.
So ist beispielsweise die Verwaltung sozial gebundenen Wohnraumes auch dann ein Verfahren, wenn eine kleine Kommune hierfür keine Software nutzt, sondern eine Kartei führt. Weitere Beispiele für Verfahren sind Einwohnermeldesysteme sowie Informationssysteme der Polizei, der Staatsanwaltschaften und der Gerichte. Ein Verfahren kann auch zur Unterstützung der allgemeinen Verwaltungstätigkeit betrieben werden, zum Beispiel der zentrale Postein- und -ausgang einer Behörde mit einer oder mehreren Fachaufgaben oder die Registratur.
Neben dem Begriff des Verfahrens verwendet das DSG M-V 2002 noch die älteren Termini Datei und Akte, die in den Absätzen 2 und 3 definiert sind (siehe dort). Letztere suggerieren, dass die Gefahr für das Recht auf informationelle Selbstbestimmung vor allem von der Datensammlung selbst ausgeht, also der Speicherung. Viele Fragen resultieren jedoch gerade aus den vielfältigen Verknüpfungs- und Verarbeitungsmöglichkeiten personenbezogener Daten. Deshalb stellt das DSG M-V 2002 in allen technischen und organisatorischen Vorschriften auf die Verarbeitung ab. Für alle Verfahren sind zum Beispiel folgende technische und organisatorische Vorschriften zu beachten:
- § 5 Abs. 1 und 3 Datenvermeidung, Systemdatenschutz
- § 18 Verfahrensverzeichnis
- § 21 Allgemeine Maßnahmen zur Datensicherheit
Unter dem Begriff "automatisiertes Verfahren" wird ein Verfahren verstanden, welches mit Informations- und Kommunikationstechnik wesentlich unterstützt wird.
Automatisierte Verfahren sind zum Beispiel die oben erwähnten Einwohnermeldesysteme, die Informationssysteme der Polizei, der Staatsanwaltschaften und der Gerichte sowie Finanzinformationssysteme, Patientenverwaltungs- und Krankenhausabrechnungssysteme. Auch die zur Unterstützung der allgemeinen Verwaltungstätigkeit eingesetzten Hilfsmittel der Büroautomation sind automatisierte Verfahren oder Teile davon.
Ein rein aktenmäßiges Verfahren wird jedoch nicht schon dadurch zum automatisierten Verfahren, dass daraus telefonisch Auskunft erteilt wird. Indiz für das Vorliegen eines solchen Verfahrens ist die Benutzung eines bestimmten Programms (einer Software), mit dem personenbezogene Daten verarbeitet werden. Ein automatisiertes Verfahren ist zum Beispiel die Erstellung der Schriftstücke einer Behörde mit Hilfe des Programms "Word". Programme, deren Zweck es ist, die Datensicherheit in anderen Programmen aufrecht zu erhalten (z. B. intrusion detection), sind in der Regel eigene automatisierte Verfahren. Auch der Betrieb von eigenen Telekommunikationsanlagen einschließlich der Gesprächsdatenerfassung ist ein eigenes Verfahren.
Zusätzlich zu den technischen und organisatorischen Vorschriften für Verfahren gelten für automatisierte Verfahren insbesondere folgende Bestimmungen:
- § 5 Abs. 2 Datenschutzaudit
- § 19 Freigabe, Vorabkontrolle
- § 22 Besondere Maßnahmen zur Datensicherheit
Des Weiteren enthält das DSG M-V 2002 besondere Vorschriften für spezielle automatisierte Verfahren:
- Verbundverfahren, Abrufverfahren, § 3 Abs. 8 und 9, § 17
- Datenverarbeitung mit mobilen Datenverarbeitungssystemen, § 3 Abs. 10, § 36
- Videoüberwachung und -aufzeichnung, § 37
- Fernmess- und Fernwirkdienste, § 38
Die Definition erfasst jede Information, die einer bestimmten natürlichen Person zugeordnet werden kann, unabhängig von der Art ihrer Präsentation (z. B. auch Bild- und Tondaten).
Einzelangaben sind zum einen solche Daten, durch die Betroffene bestimmt oder bestimmbar gemacht werden, wie Name, Geburtsdatum, Geschlecht, Geburtsort, Personenkennzeichen, Mitgliedsnummer. Einzelangaben sind zum anderen aber auch Daten, die einen in der Person der Betroffenen liegenden oder auf die Betroffenen bezogenen Sachverhalt beschreiben, beispielsweise Anschriften, Familienstand, Einkommen, Staatsangehörigkeit, Krankheiten, Zeugnisnoten, Berufsbezeichnung. Auch Werturteile sowie Planungs- und Prognosedaten gehören dazu, wenn sie einer natürlichen Person konkret zugeordnet werden.
Bestimmbar sind die Informationen über eine natürliche Person dann, wenn es der Daten verarbeitenden Stelle möglich ist, mit den ihr zur Verfügung stehenden Mitteln (unter Umständen durch gesetzlich geregelte Heranziehung anderer Datenbestände) die fraglichen Einzelangaben dieser konkreten Person zuzuordnen. Die Bestimmbarkeit hängt folglich von der verarbeitenden Stelle ab. Der Begriff des personenbezogenen Datums ist daher relativ.
Es kommt für die Begriffsdefinition und für die grundsätzliche Anwendung des Datenschutzrechts zunächst nicht darauf an, ob es sich um besonders sensible Einzeldaten handelt oder nicht, da es keine von vornherein belanglosen Daten gibt. Allerdings finden sich bei den einzelnen Verarbeitungsbestimmungen Differenzierungen hinsichtlich der Sensibilität der Daten.
Die Zuordnung der Daten muss sich auf eine natürliche Person beziehen, da das Datenschutzrecht seinen Ursprung im allgemeinen Persönlichkeitsrecht hat. Dieses Persönlichkeitsrecht ist von anderen, eher dem geschäftlichen Bereich zuzurechnenden Informationsrechten zu unterscheiden, wie Geschäfts- und Betriebsgeheimnissen, Patentrecht oder Urheberrecht. Deshalb sind Daten von juristischen Personen (AG, GmbH) nicht nach dem Datenschutzgesetz geschützt, es sei denn, sie treffen zugleich bestimmte Personen, z. B. bei einer "Ein-Mann-GmbH", bei der der alleinige Inhaber und der Geschäftsführer dieselbe Person ist.
Die Daten der Beschäftigten bei den öffentlichen Stellen sind grundsätzlich als personenbezogene Daten durch dieses Gesetz beziehungsweise die Vorschriften des Landesbeamtengesetzes geschützt. Eine Ausnahme gilt aber bei den so genannten Funktionsträgerdaten: Da eine öffentliche Stelle als Teil einer juristischen Person nur über ihre Mitarbeiter als natürliche Person handlungsfähig ist, kommt es in verschiedenen Konstellationen zur Nennung des Namens von Beschäftigten. Soweit dieser Vorgang in einem notwendigen Zusammenhang zu den dienstlichen Aufgaben steht, handelt es sich bei den Namen und Vornamen der Beschäftigten um Funktionsträgerdaten, die als solche nicht vom Datenschutzgesetz geschützt werden, z. B. die Nennung der Namen der Beschäftigten im Briefkopf, bei der Unterschrift eines dienstlichen Schreibens oder auf dem Türschild.
Nicht zu den natürlichen Personen gehören Verstorbene. Ihre Rechte umfasst das Datenschutzgesetz nicht, da der Datenschutz mit dem Tod der natürlichen Person endet. Dies bedeutet aber nicht, dass Daten Verstorbener völlig schutzlos sind. So greifen unter Umständen andere Vorschriften wie Strafvorschriften, die den Schutz des Andenkens Verstorbener zum Gegenstand haben, oder Archivvorschriften, die über den Tod hinaus wirken. Dennoch können Informationen über Verstorbene auch Bezug zu lebenden Personen (Nachkommen, Geschäftspartnern, Freunden) haben und zum Schutz des Persönlichkeitsrechts dieser Betroffenen dem Datenschutz unterliegen, z. B. Daten über die Vermögensverhältnisse einer verstorbenen Person, die Auskunft über das Vermögen der Erben geben und damit personenbezogen sind.
Keine personenbezogenen Daten sind
- für eine Gruppe natürlicher Personen in Summen zusammengefasste Angaben (so genannte aggregierte Daten), z. B. die Zahl der Einwohner über 65 Jahre in einem bestimmten Ortsteil;
- Daten, die sich nach Fortlassen von Identifikationsmerkmalen (z. B. Name) weder auf eine bestimmte Person beziehen noch eine solche erkennen lassen (anonymisierte Daten, vgl. dazu § 3 Abs. 4 Satz 2 Nr. 8).
Bei aggregierten oder anonymisierten Daten ist zu prüfen, ob aus der Zahl oder Art der Daten auf eine bestimmte Person geschlossen werden kann. Wenn eine Person daraus bestimmbar ist, sind die Daten insoweit personenbezogen. Dies ist z. B. der Fall, wenn in einer gemeindlichen Statistik die Daten der Gewerbetreibenden genannt werden und es von einem bestimmten Gewerbe nur zwei in der Gemeinde gibt. Für beide ergeben sich die Zahlen des jeweils anderen, wenn von den aggregierten Werten die eigenen Zahlen abgezogen werden. Es kommt auf die Umstände des Einzelfalles an. Die Verkürzung des Namens auf die Anfangsbuchstaben genügt nur, wenn die Zahl der Daten so groß ist, dass sämtliche Kombinationen ausreichend häufig vorkommen, um den unmittelbaren Rückschluss auf eine natürliche Person zu verhindern.
Gemeinsames Merkmal aller Dateien - und auch der Akten - ist, dass sie Sammlungen von personenbezogenen Daten auf Datenträgern sind (vgl. Abs. 4 Satz 2 Nr. 2).
Zu Abs. 2 Nr. 1
Eine automatisierte Datei wird durch ein bestimmtes automatisiertes Verfahren (siehe "vor Abs. 1: automatisiertes Verfahren") verarbeitet und muss nach dem Datenschutzgesetz automatisiert ausgewertet werden können.
Mit einem solchen Verfahren werden die Daten verarbeitet und ausgewertet, sprich all die Aktivitäten vorgenommen, die ein Verantwortlicher der Datenverarbeitung für einen bestimmten Zweck mit den Daten unternimmt beziehungsweise durch die er die in der Sammlung enthaltenen Informationen nutzt, wobei für ein Auswerten bereits die Kenntnisnahme genügt. So ist z. B. ein automatisierter Bibliothekskatalog, der nach Autorennamen, Titel, Verlag oder Erscheinungsjahr auswertbar ist, eine automatisierte Datei. Das Telefax zählt nicht zu den automatisierten Dateien, da es keinen auswertbaren Datenbestand enthält.
Dem verarbeitungstechnisch geprägten Dateibegriff werden diejenigen nicht-automatisierten, sonstigen strukturierten Datensammlungen gleichgestellt, die nach bestimmten Kriterien zugänglich sind (nicht-automatisierte Datei). Hier erfolgt die Verarbeitung der Daten nicht, auch nicht teilweise, automatisiert. Anderenfalls würde sonst bereits Nummer 1 greifen.
Eine nicht-automatisierte Datensammlung ist dann strukturiert, wenn sie eine äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in einer bestimmten räumlichen Verteilung auf dem Datenträger oder in einer bestimmten physikalischen oder logischen Struktur dargestellt sind.
Diese Daten müssen nach bestimmten Kriterien zugänglich sein. Dies ist dann der Fall, wenn sich die in der Sammlung enthaltenen Daten nicht nur durch ein Durchsehen der gesamten Sammlung auffinden lassen, sondern vereinfachte Möglichkeiten der inhaltlichen Erschließung bestehen, die einen leichten Zugriff auf die Daten ermöglichen, z. B. eine alphabetische oder chronologische Sortierung oder ein der Sammlung zugeordnetes automatisches Erschließungssystem, das eine programmgesteuerte Suche mit Hilfe von Identifikations- oder Sachmerkmalen erlaubt (z. B.: Halter des Fahrzeugs mit dem polizeilichen Kennzeichen X).
Beispiele für nicht-automatisierte Dateien sind Krankheitskarteien und geordnete Sammlungen ausgefüllter Formulare wie Anträge und Erfassungsbelege. Die auf einem Mikrofilm aufgezeichneten Daten stellen keine Datei dar, da die Daten nicht sortierfähig sind.
Akten sind Sammlungen von personenbezogenen Daten auf Datenträgern (siehe die Erläuterungen zu Abs. 2), die keine Datei im Sinne von Abs. 2 Nr. 1 oder 2 sind. Sie können zu amtlichen oder dienstlichen Zwecken angelegt werden. So gehören beispielsweise die Ermittlungsakten der Staatsanwaltschaft zu den Akten für amtliche Zwecke. Dienstliche Zwecke sind im fiskalischen Bereich zu finden, wie Personal, Haushalt und Liegenschaften. Unter den Aktenbegriff fallen auch Bild- und Tonträger, sofern sie nicht schon Dateien sind, nicht aber Vorentwürfe oder Notizen, soweit sie nicht Bestandteil eines Vorgangs werden sollen. Diese Einschränkung soll verhindern, dass der Umfang des Datenschutzes überdehnt wird.
Datenverarbeitung ist jede Verwendung personenbezogener Daten. Danach steht die "Datenverarbeitung" als Oberbegriff für alle Formen der Verarbeitung von Daten einschließlich der Erhebung und Nutzung. Die Formulierung "jedes Verwenden" macht deutlich, dass jeder Umgang mit personenbezogenen Daten unter den Begriff der Datenverarbeitung fallen soll.
Obwohl die "Datenverarbeitung" als Sammelbegriff für die in Abs. 4 Satz 2 aufgeführten Verarbeitungsschritte verwendet wird, schließt diese Aufzählung nicht aus, dass es darüber hinaus weitere Verarbeitungsmöglichkeiten gibt. So spricht Satz 1 von "jeder Verwendung im Sinne der nachfolgenden Vorschriften", die sich nicht auf § 3 Abs. 4 Satz 2 Nr. 1 bis 10 beschränken. Es wird also auch ein solcher Umgang erfasst, der nicht speziell in der Aufzählung genannt ist, aber vom Datenschutzgesetz vorausgesetzt wird, wie das "Berichtigen von Daten" gemäß § 13 Abs. 1.
Erheben wird als das Beschaffen von Daten definiert. Es setzt eine Aktivität der erhebenden Stelle mit dem Ziel des Beschaffens von Daten für einen bestimmten Zweck voraus. Zweck der Erhebung ist das Nutzen der Daten, insbesondere deren inhaltliche Verwendung. Dieser Begriff beinhaltet somit ein zielgerichtetes Handeln; er enthält ein Element des Wissens und ein Element des Wollens. Die öffentliche Stelle muss wissen, dass eine Handlung auf die Beschaffung von Daten abzielt, und sie muss dieses Ergebnis wollen.
Beispiel: Beobachtet ein Polizeibeamter mit dienstlichem Auftrag bestimmte Vorkommnisse, so handelt es sich um Datenerhebung. Nimmt eine Mitarbeiterin einer mit dem Ereignis nicht befassten öffentlichen Stelle denselben Vorgang beim zufälligen Blick durch das Fenster wahr, so stellt dies keine Datenerhebung dar.
Für den Begriff des Erhebens ist es nicht notwendig, dass die Daten bereits in irgendeiner Form notiert oder festgehalten werden. Das Gesetz stellt bewusst darauf ab, den Schutz des Persönlichkeitsrechts bereits vor der ersten Datenspeicherung beginnen zu lassen. Auch auf die Art der Beschaffung kommt es nicht an; hierfür ist es irrelevant, ob sie unter Mitwirkung des Betroffenen, nur mit seiner Kenntnis, ohne seine Kenntnis oder bei Dritten erfolgt.
Neben der mündlichen und schriftlichen Befragung gelten beispielsweise auch Messungen, medizinische und psychologische Untersuchungen, Beobachtungen, die Abnahme von Fingerabdrücken und die Herstellung von Bild- oder Tonaufzeichnungen als Erhebungen.
Erheben ist nicht nur eine Handlung, bei der die öffentliche Stelle durch eigene Beobachtung Informationen sammelt. Es genügt, dass die öffentliche Stelle z. B. in Verwaltungsverfahren durch die Ausgestaltung von Antragsformularen die Angabe der Daten in einer bestimmten Art und Weise steuert. Nur wenn die öffentliche Stelle die Daten ohne eigenes Zutun zur Kenntnis bekommt, sind die Daten nicht erhoben. Dies ist beispielsweise der Fall, wenn die Behörde Informationen beiläufig - etwa von Dritten - erhält (z. B. unaufgeforderte Informationen oder Anzeigen) oder wenn Informationen aus schon vorhandenem Material entnommen werden. In diesen Fällen gilt § 10 Abs. 2 Satz 2.
Datenträger kann jedes Speichermedium sein (z. B. Papier, Magnetbänder, CD). Auch einfache Notizen und Vermerke auf ungeordneten Zetteln erfüllen den Tatbestand der Datenspeicherung. Ebenso können Bild- und Tonträger als Speichermedien dienen (eine Spezialregelung zur Videoaufzeichnung findet sich in § 37 Abs. 2).
Verändern ist das inhaltliche Umgestalten von Daten, also jeder Vorgang, in dessen Folge die Daten einen anderen Sinn erhalten. Das kann sowohl durch Hinzufügen oder Entfernen von Teilinformationen geschehen, als auch durch Veränderung des Zusammenhangs (Kontextänderung).
Daten werden übermittelt, wenn
- die Daten verarbeitende Stelle sie an bestimmte Dritte (vgl. § 3 Abs. 6) weitergibt; zu den Dritten gehören auch andere öffentliche Stellen,
- Daten - z. B. auf einer Homepage im Internet - veröffentlicht werden (Weitergabe an einen unbestimmten Personenkreis),
- bei einer öffentlichen Stelle Unterlagen durch einen Dritten eingesehen werden oder
- Dritte Daten im Wege der Datenfernverarbeitung abrufen.
Die Verwendung von Daten durch unterschiedliche organisatorische Gliederungen einer Kommune stellt ebenfalls eine Datenübermittlung dar. So ist beispielsweise die Weitergabe von personenbezogenen Daten eines Rechnungsprüfungsamtes an das Sozialamt derselben Stadt eine Datenübermittlung im Sinne des Gesetzes. Damit sind auch die Übermittlungsvoraussetzungen des § 14 zu beachten (vgl. auch die Erläuterungen zu § 2 Abs. 1 und § 3 Abs. 6).
Zwischen auftraggebender und auftragnehmender Stelle findet keine Datenübermittlung statt (vgl. hierzu § 4). Auftragnehmer sind insoweit keine selbständigen Daten verarbeitenden Stellen.
Sperren umfasst alle Maßnahmen, die erforderlich sind, um die weitere Verarbeitung der Daten zu verhindern. Das beinhaltet sowohl das Untersagen der weiteren Verarbeitung als auch die getrennte Aufbewahrung oder Kennzeichnung dieser Daten (vgl. hierzu und zu den Fällen der zulässigen Verarbeitung gesperrter Daten die Erläuterungen zu § 13 Abs. 3 bis 5 und 7).
Gelöscht sind Daten, wenn sie dauerhaft unkenntlich gemacht sind, also nicht mehr verarbeitet, insbesondere nicht mehr gelesen werden können. Welches Verfahren zum Löschen verwendet werden soll, ist im Gesetz nicht vorgegeben. Der sicherste Weg, den Anforderungen an diese Vorschrift gerecht zu werden, ist das Vernichten der entsprechenden Datenträger (z. B. Akten, Disketten, CD-ROMs) beispielsweise durch Schreddern.
Es wird aber nicht immer möglich sein, Datenträger vollständig zu vernichten. Auf Papier müssen dann die zu löschenden Daten (z. B. Namen oder andere Angaben zu einzelnen Personen) ausgestrichen, überschrieben oder geschwärzt werden.
Elektronisch gespeicherte Daten aus automatisierten Verfahren, die z. B. auf Diskette, Kassette, Festplatte oder CD gespeichert sind, sind erst dann im datenschutzrechtlichen Sinn gelöscht, wenn sichergestellt ist, dass niemand mehr von ihrem Inhalt Kenntnis nehmen kann. Dabei reicht einfaches "Löschen" - beispielsweise mit dem Delete-Befehl - und selbst Formatieren nicht aus, weil es mit entsprechendem Aufwand durchaus möglich ist, auf diese Weise gelöschte Daten wieder lesbar zu machen. Kann oder soll der Datenträger nicht wie oben beschrieben vernichtet werden, müssen spezielle Programme verwendet werden, die zumindest ein physikalisches Überschreiben der zu löschenden Daten bewirken. Bei magnetischen Datenträgern ist eine Neuformierung der Magnetschichten die sicherste Methode.
Ein Datenbestand ist allerdings erst dann vollständig gelöscht, wenn auch die Datenträger, die der Datensicherung dienen (Duplikate, Archivbänder), gelöscht wurden.
Das Nutzen der Daten ist der eigentliche Zweck der Verarbeitung der Daten. Alle anderen Formen der Verarbeitung der Daten sind nur Mittel, um deren Nutzung zu ermöglichen.
Die Definition der Anonymisierung beschreibt zwei Varianten:
- Einzelangaben können Personen nicht mehr zugeordnet werden: echte Anonymisierung, bei der die verbleibenden Daten absolut keinen Personenbezug mehr aufweisen (z. B. Statistikdatensätze nach Löschung der identifizierenden Angaben und der regionalen Merkmale)
- Einzelangaben können Personen nur mit unverhältnismäßigem Aufwand zugeordnet werden: faktische Anonymisierung, bei der die Datensätze Merkmale enthalten, aufgrund derer die zumindest theoretische Möglichkeit gegeben ist, unter Zuhilfenahme von anderen Datenbeständen oder durch arbeitsaufwändige Überkreuzvergleiche einen Personenbezug wieder herzustellen. Dies gilt z. B. für viele wissenschaftlich genutzte Datenbestände wegen des dort notwendigen Detaillierungsgrades der Einzelangaben.
Der Gesetzgeber fordert also nicht die echte Anonymisierung, sondern betrachtet Datensammlungen schon dann als anonymisiert, wenn der Aufwand zur Repersonifizierung unverhältnismäßig groß ist. Dieser Begriff ist im Einzelfall auslegungsbedürftig. Je sensibler die Daten sind, um so größer muss der Aufwand sein, sie zu repersonifizieren.
Eng mit dem Anonymisieren verwandt ist das Pseudonymisieren. Auch hier geht die Definition von der Frage aus, ob bestimmte Informationen den Betroffenen zugeordnet werden können. Durch Anonymisierung soll die Zuordnung generell ausgeschlossen werden. Beim Pseudonymisieren hingegen soll die Zuordnung in vorher definierten Fällen ermöglicht werden, indem eine so genannte Zuordnungsfunktion verwendet wird.
Die Stellen oder Personen, die diese Zuordnungsfunktion besitzen, können den Personenbezug ohne weiteres herstellen. Es handelt sich also um personenbezogene Daten.
Der datenschutzfreundliche Effekt des Pseudonymisierens (und die gleichzeitige Verwaltungserleichterung) tritt demnach erst dann auf, wenn die pseudonymisierten Daten an Stellen oder Personen gelangen, die keinen Zugriff auf die Zuordnungsfunktion haben. Diese können dann die pseudonymisierten Daten nicht auf Personen beziehen.
In der Praxis wird die Pseudonymisierung häufig in der Weise erfolgen, dass die Teile eines Datenbestandes, die eine Person identifizieren, durch bestimmte Merkmale (Pseudonyme) ersetzt werden. Diese Merkmale ermöglichen eine Verknüpfung aller Daten, die zu dieser Person gespeichert sind, ohne einen Rückschluss auf die betreffende Person zuzulassen. In der Regel vergibt die Daten verarbeitende Stelle diese Merkmale.
Beispiel: Ein Krankenhaus übermittelt Behandlungsdaten eines Patienten an ein wissenschaftliches Forschungsinstitut. Für die Forschungsvorhaben ist lediglich der Fall von Interesse, so dass kein Personenbezug erforderlich ist. Das Institut erhält deshalb nur pseudonymisierte Daten. Über die Zuordnungsvorschrift verfügt allein das Krankenhaus. Sollen dem pseudonymisierten Datensatz dieses Patienten weitere aktuelle Daten hinzugefügt werden, kann das Krankenhaus unter Nutzung der gleichen Zuordnungsvorschrift die Daten wiederum pseudonymisieren und übermitteln. Im Institut ist die richtige Zuordnung zu den schon vorhandenen Daten über das Pseudonym problemlos möglich. Es kann aber - im Gegensatz zum Krankenhaus - keinen Personenbezug herstellen.
Bei der Wahl der Zuordnungsfunktion muss darauf geachtet werden, dass die Pseudonyme möglichst wenig Informationsgehalt aufweisen. Ungeeignet wäre z. B. die Verwendung von Adressierungsinformationen (Telefonnummer, E-Mail-Adresse), da diese leichter zu einer Reidentifizierung führen können.
Die Definition der Verschlüsselung beschreibt kein bestimmtes technisches Verfahren und bleibt somit offen für künftige Entwicklungen. Besteht eine Pflicht zur Verschlüsselung (wie in § 22 Abs. 3 für die Zwecke der Datensicherheit vorgeschrieben), dann muss das angewendete Verschlüsselungsverfahren den Vorgaben dieser Definition entsprechen.
Um sicherzustellen, dass der Aufwand zur Kenntnisnahme von verschlüsselten Daten ohne Entschlüsselung, also ohne vorherige Kenntnis des Schlüssels, tatsächlich - wie vom Gesetz gefordert - "unverhältnismäßig" hoch ist, müssen wissenschaftlich anerkannte, kryptographische Algorithmen mit hinreichend langen Schlüsseln verwendet werden. Dabei ist nicht der Algorithmus, sondern sind die gewählten Schlüsselwerte geheim zu halten. Der Algorithmus kann also öffentlich zugänglich sein; er sollte es sogar, damit er - wenigstens von der interessierten Fachöffentlichkeit - auf Schwachstellen hin überprüft werden kann. In der Praxis steht eine Vielzahl von Verfahren und Programmen zur Auswahl (symmetrische oder asymmetrische Verschlüsselungsverfahren, mit Individual- oder Gruppenschlüsseln). Im Internet hat sich beispielsweise der Einsatz des weit verbreiteten Programms PGP (Pretty Good Privacy) als De-facto-Standard etabliert.
Wichtig ist, dass die Daten verarbeitende und damit rechtlich verantwortliche Stelle stets in der Lage sein muss, auf den Klartext ihrer Daten zuzugreifen, also auch auf den Klartext der von Mitarbeitern verschlüsselten Datenbestände. Welche Verfahrensweise unter welchen Bedingungen zweckmäßig ist, kann nicht allgemein beantwortet werden, da hierbei insbesondere die Schlüsselverwaltung eine Rolle spielt. Es muss jedenfalls sichergestellt sein, dass auch dann auf verschlüsselte Daten zugegriffen werden kann, wenn der Mitarbeiter, der diese Daten verschlüsselt hat, längere Zeit - beispielsweise wegen Krankheit - fehlt. Dazu kann z. B. dem Vertreter vorübergehend der entsprechende Schlüssel zur Verfügung gestellt werden, oder es können von vornherein Gruppenschlüssel eingesetzt werden.
Dieser Absatz deckt sich inhaltlich mit § 3 Abs. 8 DSG MV 92 und wurde lediglich an den neuen Verarbeitungsbegriff angepasst. Der Daten verarbeitenden Stelle entspricht der Begriff des "für die Verarbeitung Verantwortlichen" im Sinne des Artikels 2 Buchstabe d der Richtlinie. Eine Daten verarbeitende Stelle ist jede Behörde oder sonstige öffentliche Stelle im Sinne des § 2 Abs. 1 oder 2, die gemäß § 3 Abs. 4 personenbezogene Daten verarbeitet. Sie ist grundsätzlich der Normadressat dieses Gesetzes; auch wenn sie die Daten durch andere in ihrem Auftrag verarbeiten lässt, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes verantwortlich.
Teile der Daten verarbeitenden Stelle, z. B. Abteilungen, Gruppen, Referate, Dezernate und Sachgebiete einer Landesbehörde, sind in der Regel im Verhältnis zu ihr und untereinander nicht Dritte; dies gilt nicht für Untergliederungen einer Gemeinde, da diese selbst Daten verarbeitende Stelle im Sinne des Gesetzes sind (siehe die Erläuterungen zu § 2 Abs. 1).
Behörden und sonstige öffentliche Stellen sind im Verhältnis zueinander Dritte. Bedienstete einer Daten verarbeitenden Stelle sind Dritte, soweit sie die Daten nicht im Rahmen ihrer dienstlichen Aufgabenerfüllung verarbeiten.
Da bei einer Auftragsverarbeitung die Verantwortung beim Auftraggeber liegt und er allein über die Verarbeitung der Daten bestimmt, sind auch die Auftragnehmer nicht Dritte; ist der Auftragnehmer allerdings außerhalb des Anwendungsbereichs der Richtlinie tätig, ist er als Dritter zu behandeln. Letztendlich ist auch der jeweils Betroffene nicht Dritter.
Vertragstaaten des Abkommens über den Europäischen Wirtschaftsraum sind neben den Mitgliedstaaten der Europäischen Union Island, Liechtenstein und Norwegen.
Zur Abgrenzung der Regelungsbereiche der Vorschriften über die Datenübermittlung (§§ 14 bis 16) wird der Begriff der Stelle innerhalb des öffentlichen Bereichs eingeführt. Der öffentliche Bereich umfasst alle öffentlichen Stellen im Geltungsbereich der Richtlinie. Zu den Vertragstaaten des Abkommens über den Europäischen Wirtschaftsraum siehe die Erläuterungen zu Abs. 6.
Verbundverfahren sind automatisierte Verfahren (siehe "vor Abs. 1: automatisierte Verfahren"), bei denen zwei oder mehr Daten verarbeitende Stellen ein gemeinsames Verfahren betreiben und damit auf personenbezogene Daten gemeinsam zugreifen. Häufig darf nicht jede teilnehmende Stelle die gleichen Daten mit den gleichen Zugriffsrechten verarbeiten oder nicht alle Teilschritte des Verfahrens ausführen. Somit fallen z. B. Verfahren, in denen jeder Teilnehmer seinen eigenen Datenbestand pflegt (erstellt, ändert und löscht) und alle Teilnehmer auf den gesamten Datenbestand lesend zugreifen können, unter diesen Begriff. Im Einzelnen sind Verbundverfahren in § 17 geregelt.
Beispiele:
1. Mit dem Polizeiverfahren INPOL kann eine Teilmenge
der bei den Landespolizeien gespeicherten Daten bundesweit verarbeitet werden.
2. Die Kämmerei einer Stadt betreibt ein zentrales Kassenverfahren. Das Ordnungsamt nutzt ein Ordnungswidrigkeitenverfahren mit einer Schnittstelle zu diesem Kassenverfahren. Unter diesen Umständen darf das Ordnungsamt automatisch über die Zahlung eines Bußgeldes, aber nicht über offene Grundsteuerforderungen unterrichtet werden.
3. Eine Kommune nimmt an einem Statistikverfahren teil, führt jedoch nur die Erhebung und Übermittlung zum Statistischen Landesamt durch, welches die Daten weiterverarbeitet und anschließend anonymisiert.
Abrufverfahren sind Verbundverfahren (siehe Abs. 8), bei denen Übermittlungen in Form von Abrufen (siehe Abs. 4 Satz 2 Nr. 4) stattfinden. Sie liegen dann vor, wenn es der empfangenden Stelle möglich ist, von sich aus die Übermittlung der Daten in Gang zu setzen, und die übermittelnde Stelle vor der Datenübermittlung keine Einzelprüfung der Zulässigkeit der Übermittlung mehr vornehmen kann. Die Abrufverfahren sind wie die Verbundverfahren in § 17 geregelt.
Beispiel:
Polizeibehörden dürfen aus dem bei den
Meldebehörden der Kommunen geführten Melderegistern Daten
abrufen.
Verfahren, aus denen ohne Berechtigungsprüfung von jedermann Daten abgefragt werden können (elektronisches Handelsregister, Web-Angebote öffentlicher Stellen), sind jedoch keine Abrufverfahren im Sinne des DSG M-V 2002. Dies folgt aus § 17 Abs. 2, 3, 5. Denn diese Bestimmungen normieren Pflichten der am Abrufverfahren beteiligten Stellen beziehungsweise machen die Beteiligung nicht-öffentlicher Stellen von der Zulassung durch eine Rechtsvorschrift abhängig. Bei einem Verfahren, das keine Beschränkungen der Datenabrufe vorsieht, ist aber jede Person oder Institution potentielle Beteiligte, so dass die Anwendung der oben genannten Bestimmungen zu völlig unsinnigen und wirklichkeitsfremden Ergebnissen führen würde. Für solche Verfahren gelten daher § 3 Abs. 9 und § 17 nicht. Sie stellen jedoch eine Form der Veröffentlichung von Daten dar, so dass die Übermittlungsvorschriften zur Anwendung kommen (siehe die Erläuterungen zu Abs. 4 Satz 2 Nr. 4).
Mit dem Begriff "mobile Datenverarbeitungssysteme" werden nach dem heutigen Stand der Technik vor allem Chipkarten erfasst. Allerdings sind schon Entwicklungen absehbar, bei denen der Chip nicht länger in Form einer Karte angewandt wird. Da selbst der Chip keine zwingende Voraussetzung für mobile Datenverarbeitungssysteme ist, es somit weder eines Chips noch einer Karte bedarf, kann nicht einfach der Begriff "Chipkarte" verwendet werden. Es wurde deshalb ein gesetzlicher Begriff gewählt, der Raum für künftige technische Entwicklungen lässt.
Der Begriff "informationstechnische Systeme" ist weit gefasst. Darunter fallen alle Medien, die zu einer - in der Regel von außen angestoßenen - selbsttätigen Datenverarbeitung in der Lage sind. Es kommen aber nur solche Systeme in Betracht, mit denen die Daten derjenigen Personen verarbeitet werden sollen, die sie in Besitz haben. Dies ergibt sich daraus, dass die Systeme an die Betroffenen ausgegeben worden sein müssen. Nicht erfasst ist also der Fall, dass eine Daten verarbeitende Stelle an ihre Mitarbeiter (tragbare) Computer ausgibt, mit denen entweder nur Daten ohne Personenbezug oder aber Daten Dritter verarbeitet werden sollen.
Die Systeme müssen zum Einsatz in automatisierten Verfahren (siehe "vor Abs. 1: automatisiertes Verfahren") bestimmt sein. Lediglich die Eignung dafür reicht nicht aus.
Der automatisierte Datenaustausch beinhaltet auch, dass Datenverarbeitungsprozesse auf den mobilen oder den stationären Systemen angestoßen werden. Bereits heute existieren Anwendungen, bei denen die Betroffenen nicht bemerken können, dass ein Datenaustausch zwischen den mobilen Systemen und einer anderen Schnittstelle stattfindet (z. B. kontaktlose Chipkarten). Ihnen ist es daher oft kaum möglich, selbst festzustellen, was in mobilen Datenverarbeitungssystemen gespeichert wird.
(1) Werden personenbezogene Daten durch andere Personen oder Stellen im Auftrag einer öffentlichen Stelle verarbeitet, so bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 24, 25 und 27 genannten Rechte sind ihm gegenüber geltend zu machen. Der Auftraggeber hat den Auftragnehmer unter besonderer Berücksichtigung seiner Eignung für die Gewährleistung der nach den §§ 21 und 22 notwendigen technisch-organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Art und der Umfang der Verarbeitung von personenbezogenen Daten sowie erforderlichenfalls ergänzende Weisungen zu technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.
(2) Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder eine andere Vorschrift über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(3) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet sicherzustellen, dass der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und sich der Kontrolle des Landesbeauftragten für den Datenschutz nach Maßgabe der §§ 30 und 31 unterwirft. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz über die Beauftragung zu informieren.
(4) Bei der Erbringung von Wartungs-, Fernwartungs- und anderen Hilfstätigkeiten durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle gelten die Absätze 1 bis 3 entsprechend, soweit die Tätigkeiten mit der Verarbeitung von personenbezogenen Daten verbunden sind. Der Auftraggeber hat vor Beginn der Arbeiten sicherzustellen, dass der Auftragnehmer personenbezogene Daten nur zur Kenntnis nehmen kann, soweit dies unvermeidlich ist.
Daten verarbeitende Stellen können andere Personen oder Stellen beauftragen, für sie personenbezogene Daten zu verarbeiten (Auftragsdatenverarbeitung). Dabei können einzelne Phasen der Datenverarbeitung oder auch der gesamte Verarbeitungsvorgang an den Auftragnehmer abgegeben werden.
Auftragsdatenverarbeitung liegt nur dann vor, wenn das Ergebnis der Verarbeitung allein durch die Vorgaben der auftraggebenden Stelle bestimmt wird. Diese darf sich des Auftragnehmers also nur zur technischen Durchführung der Verarbeitung bedienen.
Hat die auftragnehmende Stelle hingegen einen eigenständigen Entscheidungsspielraum im Hinblick auf die Ergebnisse der Datenverarbeitung und fehlt es somit an der vollständigen Weisungsgebundenheit, spricht man von Funktionsübertragung. Dieser Begriff wird allerdings vom Gesetz nicht verwendet; ihm kommt kein Regelungsgehalt zu.
Bei der Auftragsdatenverarbeitung bleibt die auftraggebende Stelle dafür verantwortlich, dass die Aufgaben den gesetzlichen Vorschriften entsprechend erledigt werden und dass das Datenschutzrecht eingehalten wird. Auch Ansprüche auf Auskunft, Sperrung, Widerspruch und Schadensersatz sind gegen die auftraggebende Stelle zu richten. Sie hat das Verfahrensverzeichnis nach § 18 zu führen und dem Landesdatenschutzbeauftragten auf Anforderung zu übersenden.
Die auftraggebende Stelle hat im Falle der Auftragsdatenverarbeitung eine Reihe von Maßnahmen zu treffen:
- Sie hat den Auftragnehmer unter besonderer Berücksichtigung seiner Eignung sorgfältig auszuwählen und dabei insbesondere zu prüfen, ob er die erforderlichen Sicherheitsmaßnahmen nach §§ 21 und 22 realisieren kann.
- Sie hat dem Auftragnehmer die erforderlichen Weisungen zur Auftragserfüllung schriftlich zu erteilen. Im entsprechenden Vertrag müssen deshalb unter anderem die Verantwortungsbereiche von Auftraggeber und Auftragnehmer abgegrenzt, die Verfahren zum Test und zur Freigabe der Programme geregelt, die Art und Weise der Fortschreibung, Änderung, Löschung und Sperrung des Datenbestandes definiert sowie die einzelnen technischen und organisatorischen Maßnahmen gemäß §§ 21 und 22 beschrieben werden.
- Sie hat festzulegen, ob und unter welchen Voraussetzungen der Auftragnehmer seinerseits weitere Unterauftragnehmer beauftragen darf.
- Sie hat die Einhaltung der Weisungen zu kontrollieren.
§ 4 schließt grundsätzlich nicht aus, dass Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen, im Wege der Auftragsdatenverarbeitung auch durch private Auftragnehmer verarbeitet werden. Allerdings muss die private Stelle in der Lage sein, die Anforderungen tatsächlich zu erfüllen, die an die Verarbeitung solcher Daten zu stellen sind. Der Auftraggeber hat hierauf bei der Auswahl des Auftragnehmers besonders zu achten. Einschränkungen können sich allerdings aus speziellen Vorschriften wie § 80 Abs. 5 SGB X oder § 203 Abs. 1 StGB (ärztliche Schweigepflicht) ergeben, wonach schon die bloße Offenbarung von Daten einer besonderen Rechtsgrundlage bedarf. § 4 Abs. 1 bis 4 sind keine Rechtsvorschriften im Sinne von § 7 Abs. 2.
Bei der Verarbeitung personenbezogener Daten im Auftrag öffentlicher Stellen tragen diese die alleinige Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften. Deshalb wurde im Absatz 2 festgelegt, dass der Auftragnehmer ausschließlich im Rahmen entsprechender Weisungen handeln darf.
Das soll jedoch nicht dazu führen, dass der Auftragnehmer sich der Verantwortung völlig entzieht. Sollte es vorkommen, dass Weisungen der auftraggebenden Stelle gegen datenschutzrechtliche Vorschriften verstoßen, muss der Auftragnehmer seinen Auftraggeber unverzüglich darauf hinweisen. Diese Vorschrift ist durchaus praxisrelevant, da es häufig vorkommt, dass der Auftragnehmer bessere datenschutzrechtliche Kenntnisse als die auftraggebende Stelle hat. Sie statuiert allerdings keine Pflicht, jeden Auftrag sorgfältig auf seine Rechtmäßigkeit hin zu überprüfen.
§ 4 Abs. 1 schließt nicht aus, dass öffentliche Stellen solche Personen oder Stellen mit der Verarbeitung personenbezogener Daten beauftragen, die nicht dem Anwendungsbereich des DSG M-V unterfallen (beispielsweise ein privates Unternehmen, das die Pflege einer Datenbankanwendung des Auftraggebers übernimmt). Um trotzdem ein gleichwertiges Datenschutzniveau gewährleisten zu können, muss die auftraggebende Stelle diese Auftragnehmer vertraglich verpflichten, die Vorschriften des DSG M-V zu befolgen und von ihr veranlasste Kontrollen zu ermöglichen. Ebenso sind Kontrollen gemäß § 30 durch den Landesdatenschutzbeauftragten zu ermöglichen, und der Auftragnehmer hat hierfür die entsprechende Unterstützung (§ 31) zu gewährleisten.
Der Auftraggeber wird verpflichtet, den Landesdatenschutzbeauftragten über das Auftragsdatenverhältnis zu informieren, um diesen auf seine Kontrollrechte außerhalb des eigentlichen Zuständigkeitsbereiches hinzuweisen.
Absatz 4 wurde neu eingefügt. In der datenschutzrechtlichen Literatur bestanden in der Vergangenheit unterschiedliche Auffassungen, ob Wartungsarbeiten an EDV-Anlagen und vergleichbare Dienstleistungen den Vorschriften über Auftragsdatenverarbeitung unterliegen. Absatz 4 stellt ausdrücklich klar, dass bei Wartungsarbeiten - und auch bei der für die Vertraulichkeit und Integrität besonders risikoreichen Fernwartung über Datenfernverarbeitungseinrichtungen - sowie bei anderen Hilfstätigkeiten die Vorschriften über Auftragsdatenverarbeitung entsprechend anzuwenden sind. Zur Wartung gehören unter anderem die Installation, Pflege, Überprüfung und Korrektur der Software sowie die Überprüfung und Reparatur oder der Austausch von Hardware.
Bei der Wartung der IT-Anlagen und der Unterstützung bei technischen Problemen lässt es sich oft nicht vermeiden, dass die den Service leistenden Personen Kenntnis von einzelnen personenbezogenen Daten erhalten oder - z. B. zur Überprüfung oder Reparatur von Geräten - ganze Speicher mit personenbezogenen Daten außerhalb der Verfügungsgewalt der Daten verarbeitenden Stelle bringen müssen. Um in diesen Fällen das Datenschutzniveau nicht absinken zu lassen, ordnet Satz 1 an, dass die Vorschriften über die Auftragsdatenverarbeitung entsprechend gelten.
Satz 2 verlangt, alle Möglichkeiten auszuschöpfen, um bei der Wartung und Fernwartung auf die Offenbarung personenbezogener Daten verzichten zu können. Dies bedeutet auch, dass bei der Auswahl von Wartungs- und Fernwartungskonzepten jenen der Vorzug zu geben ist, die den Zugriff auf personenbezogene Daten ausschließen oder zumindest minimieren. Da dies nicht in jedem Fall möglich ist, ist der Zugriff auf personenbezogene Daten seitens der Daten verarbeitenden Stelle auf das erforderliche Maß zu beschränken.
Die Verantwortung für die Recht- und Ordnungsmäßigkeit der Datenverarbeitung bleibt also bei der Daten verarbeitenden Stelle. Die Weitergabe von Daten an die oben genannten Dienstleister gilt nicht als Übermittlung und ist ohne weiteres zulässig, wenn sie zur Erbringung der Dienstleistung erforderlich ist. Bei der Auswahl, Beauftragung und Überwachung müssen die Dienstleister den gleichen Vorgaben unterworfen werden wie die Auftragsdatenverarbeiter, soweit sie übertragbar sind. Insbesondere müssen sie sorgfältig ausgewählt und überwacht werden. Außerdem ist vertraglich festzulegen, dass diese Unternehmen sich den durch die Daten verarbeitenden Stellen veranlassten Kontrollen unterwerfen.
(1) Die Gestaltung von Verfahren und die Auswahl von informationstechnischen Produkten zum Einsatz in automatisierten Verfahren hat sich am Grundsatz größtmöglicher Datenvermeidung zu orientieren. Personenbezogene Daten sind zu anonymisieren und hilfsweise zu pseudonymisieren, sobald dies möglich ist und soweit der erforderliche Aufwand in einem angemessenen Verhältnis zu dem angestrebten Zweck steht.
(2) Informationstechnische Produkte, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem Prüfverfahren festgestellt wurde, sollen vorrangig eingesetzt werden. Die Landesregierung regelt durch Rechtsverordnung Inhalt, Ausgestaltung und die Berechtigung zur Durchführung des Verfahrens.
(3) Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist.
In Absatz 1 wird der Grundsatz der Datenvermeidung als verbindliche Pflicht für alle Daten verarbeitenden Stellen aufgestellt. Datenvermeidung wird üblicherweise als der ideale und immer anzustrebende Sonderfall der Datensparsamkeit verstanden, der dann vorliegt, wenn keine personenbezogenen Daten verarbeitet werden. Hier wird Datenvermeidung mit Datensparsamkeit gleichgesetzt.
Der Grundsatz der Datensparsamkeit ist nicht identisch mit dem Grundsatz der Erforderlichkeit. Während die Erforderlichkeit als rechtliche Anforderung den Umfang der Datenverarbeitung in jedem Einzelfall beschränkt, sind die Regelungen zur Datensparsamkeit vor allem als Gestaltungsanforderungen für IT-Systeme zu verstehen. Soll mit einem System nur eine rechtlich genau vorgegebene Aufgabe erfüllt werden, so können beide Prinzipien in eins fallen. Zunehmend werden technische Systeme aber für verschiedene Aufgaben genutzt; innerhalb eines Aufgabenbereiches kann es zu unterschiedlichen Ergebnissen hinsichtlich der Erforderlichkeit kommen.
Systemdatenschutz bedeutet, dass datenschutzrechtliche Anforderungen an IT-Systeme zur Verarbeitung personenbezogener Daten möglichst durch eine entwicklungsbegleitende und somit systemimmanente, datenschutzfreundliche Ausgestaltung der Technik umgesetzt werden und nicht erst durch nachträgliches Hinzufügen von datenschutzsichernden Hard- und Softwarekomponenten. § 5 ist deshalb besonders bei der Formulierung von Ausschreibungen und Pflichtenheften zu beachten.
Der Grundsatz der Datensparsamkeit geht davon aus, dass der beste Datenschutz darin besteht, keine oder möglichst wenige personenbezogene Daten verarbeiten zu müssen. Da viele Bereiche der öffentlichen Verwaltung jedoch auf den Personenbezug von Daten nicht verzichten können, ist die jeweils datensparsamste Art der Datenverarbeitung zu wählen. Dabei sind folgende "Sparsamkeitsstufen" realisierbar:
- Verzicht auf personenbezogene Daten;
- Verarbeitung möglichst
weniger personenbezogener Daten;
- frühestmögliche
Anonymisierung;
- frühestmögliche Pseudonymisierung;
-
frühestmögliche Löschung der personenbezogenen Daten, auf deren
Verarbeitung nicht verzichtet werden kann.
Dem Datensparsamkeitsprinzip entspricht es auch, wenn Verfahren zum Einsatz kommen, bei denen zwar mit personenbezogenen Daten gearbeitet wird, das erforderliche Datenvolumen (bzw. der Informationsgehalt der Daten oder ihre Sensibilität) jedoch gering ist, oder wenn bereits durch entsprechende Technikgestaltung die Verwendungsmöglichkeit der Daten eingeschränkt oder ihre Zweckbindung gewährleistet wird.
Das Prinzip der Datensparsamkeit soll auch bewirken, dass zeitgerechte Datenlöschungen nicht durch systembedingte Speicherungen unterlaufen werden. Ein Beispiel für ein System, das diesen Anforderungen nicht entspricht, ist ein Datenträger, bei dem die sequenzielle Löschung einzelner nicht mehr erforderlicher Daten nicht möglich ist (z. B. CD-ROM). Ein positives Beispiel sind Abrechnungssysteme, die die Bezahlung der Nutzung kostenpflichtiger öffentlicher Einrichtungen auch ohne namentliche Erfassung des Zahlungspflichtigen ermöglichen (z. B. Prepaid-Verfahren).
Die Praxis zeigt, dass öffentliche Stellen häufig mangels eigener Kenntnis nicht hinreichend die Datensparsamkeit einzelner Produkte beurteilen können. Im Hinblick darauf konkretisiert Absatz 2 die Verpflichtung zur Datensparsamkeit für öffentliche Stellen. Es sollen vorrangig solche Produkte eingesetzt werden, für die in entsprechenden Prüfverfahren festgestellt wurde, dass sie mit den rechtlichen Vorgaben - zu denen auch die Datensparsamkeit gehört - vereinbar sind.
Produkte, die ein solches (Audit-)Verfahren erfolgreich durchlaufen haben, sind vorrangig zu beschaffen. Mittelbar sollen auf diesem Wege auch die Hersteller angehalten werden, eine freiwillige datenschutzrechtliche Evaluierung ihrer Produkte durchführen zu lassen, um so ihre Chancen am Markt zu verbessern.
Die Landesregierung wird die genaue Ausgestaltung des Anerkennungsverfahrens nach Absatz 2 in einer Verordnung regeln. Bis dahin gehört es nach § 33 Abs. 2 zu den Aufgaben des Landesdatenschutzbeauftragten, die öffentlichen Stellen über die Datensparsamkeit einzelner Produkte und Verfahren zu beraten.
Durch Absatz 3 werden die Stellen grundsätzlich verpflichtet, bei der Verarbeitung personenbezogener Daten dafür zu sorgen, dass die Daten nach Betroffenen und gegebenenfalls nach unterschiedlichen Erforderlichkeiten getrennt werden können. Diese Regelung ist insbesondere bedeutsam für die Speicherung von Daten in Akten. Elektronisch gespeicherte Daten lassen sich dagegen erheblich leichter trennen.
Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es während und nach Beendigung ihrer Tätigkeit untersagt, diese Daten zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten (Datengeheimnis). Diese Personen sind über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz in geeigneter Weise zu unterrichten und bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.
Das Wort "verarbeiten" in dieser Rechtsvorschrift verdeutlicht, dass die Verschwiegenheitspflicht jede Verwendung personenbezogener Daten umfasst (siehe § 3 Abs. 4 Satz 1). Die Vorschrift verbietet allen Personen, die dienstlich Zugang zu diesen Daten haben, jede Verarbeitung, die nicht zu ihrer jeweiligen Aufgabenerfüllung gehört (Zweckgebundenheit, vgl. §§ 9 bis 11) und geht damit über die allgemeine Verpflichtung zur Amtsverschwiegenheit hinaus.
Die Vorschrift enthält das Verbot, personenbezogene Daten unbefugt zu verarbeiten. Unbefugt ist eine Verarbeitung dann, wenn sich weder aus Gesetz, Verordnung, Anordnung, Vertrag oder Einzelanweisung eine Erlaubnis dafür oder für die Nutzung personenbezogener Daten ergibt. Es geht also nicht nur darum, allgemeine arbeitsvertragliche Verschwiegenheits- und Sorgfaltspflichten einzuhalten. Die Norm enthält vielmehr ein umfassendes Verbot, das immer dann verletzt ist, wenn rechtswidriges Handeln vorliegt.
Ein Verstoß gegen das Datengeheimnis ist z. B. gegeben, wenn eine Person, die Zugang zu Daten von Schülern hat, daraus Berufsanfänger auflistet, um diese dann für eine Versicherung zu werben. Ein Verstoß gegen das Datengeheimnis liegt auch dann vor, wenn Daten ohne Rechtsgrundlage an Dritte weitergegeben werden. Dabei ist es unerheblich, ob die übermittelnde Person daraus selbst einen Vorteil hat oder nicht.
Die Pflicht, Daten nur zur rechtmäßigen Aufgabenerfüllung zu verarbeiten, besteht für die Person über das Ende ihrer Tätigkeit in der Daten verarbeitenden Stelle hinaus fort.
Das Datengeheimnis lässt andere Berufs- und Amtsgeheimnisse, zu deren Wahrung die bei der Daten verarbeitenden Stelle beschäftigten Personen verpflichtet sind, unberührt. Die Geheimnisse stehen nicht alternativ, sondern kumulativ nebeneinander. So wird z. B. die Verarbeitungsbefugnis auch der bei öffentlichen Stellen beschäftigten Ärzte durch die Berufsordnung bestimmt. Verstößt ein Arzt insbesondere gegen die dort festgelegte Schweigepflicht, so kann dies strafrechtlich verfolgt werden (§ 203 StGB).
Satz 2 verpflichtet die öffentliche Stelle, die bei ihr beschäftigten Personen über die bei der Tätigkeit zu beachtenden datenschutzrechtlichen Vorschriften zu unterrichten und bei Aufnahme der Tätigkeit auf das Datengeheimnis zu verpflichten.
In welcher Form die Personen zu unterrichten sind, ist gesetzlich nicht bestimmt. Es wird lediglich darauf hingewiesen, dass dies in geeigneter Weise zu erfolgen hat. Insbesondere Schulungen der Mitarbeiter kommen hierfür in Betracht.
Auch für die Verpflichtung auf das Datengeheimnis schreibt das Gesetz keine besondere Form vor. Dennoch wird man im Hinblick auf den Zweck der Norm verlangen müssen, sie aktenkundig zu machen. Damit soll sichergestellt werden, dass der betreffende Personenkreis über seine Pflichten Bescheid weiß und sich beispielsweise bei etwaigen Verstößen nicht darauf berufen kann, die Vorschrift nicht zu kennen.
(1) Die Verarbeitung von personenbezogenen Daten ist nur zulässig, soweit
1. die Vorschriften dieses Gesetzes sie zulassen,
2. eine andere Rechtsvorschrift sie erlaubt oder zwingend voraussetzt oder
3. der Betroffene eingewilligt hat.
(2) Die Verarbeitung personenbezogener Daten,
1. aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen oder
2. die die Gesundheit oder das Sexualleben betreffen,
ist nur zulässig, wenn eine Rechtsvorschrift, die den Zweck der Verarbeitung bestimmt, sie ausdrücklich erlaubt.
(3) Abweichend von Absatz 2 ist die Verarbeitung der dort genannten Daten zulässig,
1. wenn der Betroffene ausdrücklich eingewilligt hat,
2. auf der Grundlage der §§ 34, 35 und 39,
3. wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen,
4. wenn sie ausschließlich im Interesse des Betroffenen liegt und der Landesbeauftragte für den Datenschutz zuvor gehört worden ist. In Eilfällen kann die Anhörung nachgeholt werden.
(4) Privatrechtliche Stellen oder Vereinigungen, die nach § 2 Absatz 2 als öffentliche Stellen gelten, dürfen personenbezogene Daten, die Straftaten betreffen, nur unter behördlicher Aufsicht oder aufgrund einer Rechtsvorschrift verarbeiten, die den Zweck der Verarbeitung bestimmt.
(5) Sind die zur Aufgabenerfüllung notwendigen Daten in Akten oder in nicht-automatisierten Dateien mit anderen oder mit gesperrten Daten derart verbunden, dass eine Trennung der Daten nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist, so sind die Kenntnisnahme, die Mitspeicherung und Mitveränderung sowie die Übermittlung auch der nicht benötigten Daten zulässig, soweit nicht schutzwürdige Belange des Betroffenen überwiegen. Diese Daten dürfen nicht weiter verarbeitet werden. Darauf ist der Empfänger im Falle der Übermittlung in geeigneter Weise hinzuweisen.
Absatz 1 nennt die alternativen Voraussetzungen für die Verarbeitung der "Normaldaten" - im Unterschied zu den in den Absätzen 2 und 3 behandelten besonders sensiblen Daten. Die Verarbeitung der Normaldaten ist nach näherer Maßgabe der folgenden Vorschriften des Abschnitts 2 zulässig, wenn sie zur Aufgabenerfüllung der Daten verarbeitenden Stelle erforderlich ist. Die Vorschrift nennt vier Zulässigkeitstatbestände für die Verarbeitung der Normaldaten:
- Gemäß den allgemeinen datenschutzrechtlichen Grundsätzen kann die Verarbeitung personenbezogener Daten auf die Einwilligung des Betroffenen gestützt werden, siehe dazu § 8.
- Eine andere Rechtsvorschrift als das Landesdatenschutzgesetz erlaubt die Datenverarbeitung.
- Eine solche Rechtsvorschrift setzt die Datenverarbeitung zwingend voraus.
- Die Regelungen des Landesdatenschutzgesetzes lassen die Datenverarbeitung zu.
"Eine andere Rechtsvorschrift" nach Abs. 1 Nr. 2 kann neben einem bereichsspezifischen Gesetz beziehungsweise einer darauf beruhenden Rechtsverordnung auch eine Satzung der Körperschaften, insbesondere der Kommunen, und Anstalten des öffentlichen Rechts sein. Wie die staatlichen Gesetzgeber für ihren Kompetenzbereich gehalten sind, normenklare bereichsspezifische Grundlagen für die Datenverarbeitung zu schaffen, müssen dies auch Satzungsgeber im Rahmen ihrer Zuständigkeit. Satzungen haben deshalb ausdrücklich die notwendigen und zulässigen Verarbeitungsschritte zu benennen und festzulegen, von wem, auf welche Weise und für welche Aufgaben die erforderlichen personenbezogenen Daten verarbeitet werden dürfen. Verwaltungsvorschriften und Erlasse sind keine Rechtsvorschriften im oben genannten Sinne und können somit nicht Grundlage für die Verarbeitung personenbezogener Daten sein.
Die auch schon im DSG MV 92 enthaltene Befugnis, den Umgang mit (jetzt: die Verarbeitung von) personenbezogenen Daten auch dann zu erlauben, wenn eine Rechtsvorschrift dies zwingend voraussetzt, hat im Wesentlichen historische Gründe, die inzwischen entfallen sind. Das Bundesverfassungsgericht hat im Volkszählungsurteil (BVerfGE 65, 1 ff.) gefordert, dass Beschränkungen des Rechts auf informationelle Selbstbestimmung einer verfassungsmäßigen gesetzlichen Grundlage bedürfen, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben (BVerfGE 65, 1 [44]). Der Zwang zur Angabe personenbezogener Daten setze voraus - so das Bundesverfassungsgericht -, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt (ebd. S. 46). Nach Erlass des Urteils genügten die meisten bereichsspezifischen Gesetze, die bei ihrer Anwendung die Verarbeitung personenbezogener Daten erforderten, diesen Anforderungen nicht. Deshalb war es für eine längere Übergangszeit tolerabel, in den allgemeinen Datenschutzgesetzen die hier angesprochene Befugnisnorm vorzusehen, um die Verarbeitung personenbezogener Daten in der Verwaltung zu ermöglichen.
18 Jahre nach Erlass des Volkszählungsurteils genügt Abs. 1 Nr. 2, 2. Alternative auch unter Berücksichtigung der Übergangszeit schwerlich den vom Bundesverfassungsgericht postulierten Anforderungen an den Gesetzesvorbehalt und ist daher verfassungsrechtlich bedenklich. Diese Befugnis entspricht weder dem Gebot der Normenklarheit noch der Forderung nach präzisen bereichsspezifischen Datenschutzregelungen. Die Verarbeitung personenbezogener Daten sollte daher nur in solchen Einzelfällen auf diese Bestimmung gestützt werden, bei denen die Unterlassung der Datenverarbeitung schwerwiegende negative Folgen hat.
Die Erlaubnis der Datenverarbeitung durch das Landesdatenschutzgesetz nach Nummer 1 kommt nur in Betracht, soweit nicht gemäß § 2 Abs. 4 Satz 1 vorrangige bereichsspezifische Vorschriften zur Anwendung gelangen. Dies bedeutet also beispielsweise, dass eine nach dem Landesdatenschutzgesetz an sich zulässige Datenverarbeitung verboten ist, wenn das einschlägige Spezialgesetz höhere Voraussetzungen stellt, die die beabsichtigte Datenverarbeitung nicht erfüllen kann.
Die Vorschrift setzt Artikel 8 der Richtlinie um und definiert besondere Kategorien von Daten, deren Verarbeitung speziellen Einschränkungen unterliegt, weil die Daten als besonders sensibel gelten. Diese Daten dürfen nur dann verarbeitet werden, wenn eine Rechtsvorschrift im Sinne des Absatzes 2 dies ausdrücklich erlaubt oder eine der in Absatz 3 genannten Anforderungen erfüllt ist.
Es gibt Daten, die einen sehr weitgehenden Informationsgehalt haben, ohne dass dies zunächst ins Auge fällt. Diese Daten können unwillkürlich auch Informationen mitliefern, die unter eine der in Absatz 2 aufgeführten Kategorien fallen. So kann der Name in Verbindung mit dem Geburtsort bereits einen Hinweis auf die ethnische Herkunft liefern. Ein Passbild enthält Informationen über die rassische Herkunft und unter Umständen sogar über den Gesundheitszustand.
Nicht jedes Datum, das derartige Zusatzinformationen impliziert, fällt automatisch unter die Datenkategorien des Absatzes 2. Entscheidend ist hier der Zweck, zu dem ein Datum verarbeitet wird, beziehungsweise die Frage, welche Informationen damit erhoben und ausgewertet werden sollen. Werden z. B. Name und Geburtsort erhoben oder Fotos verwendet, ohne dass eine Differenzierung nach rassischer oder ethnischer Herkunft beabsichtigt ist, handelt es sich nicht um Daten im Sinne der Vorschrift.
Nach Art. 8 Abs. 4 der Richtlinie dürfen besonders sensible Daten aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden, wenn der nationale Gesetzgeber angemessene Garantien vorsieht. Als angemessene Garantie kann beispielsweise die Existenz beziehungsweise Schaffung spezieller Vorschriften gelten, welche die Verarbeitung dieser Daten nur unter bestimmten einschränkenden und klar definierten Bedingungen zulassen. Daher darf die Verarbeitung der in Absatz 2 genannten Daten darauf gestützt werden, dass eine Rechtsvorschrift, die den Zweck der Verarbeitung bestimmt, dies ausdrücklich erlaubt. Hierfür kommen vor allem bereichsspezifische Vorschriften, wie das Sicherheits- und Ordnungsgesetz, das Landeskrankenhausgesetz oder das Landesmeldegesetz, in Betracht. Wichtig ist, dass der Verarbeitungszweck klar bestimmt ist.
Entsprechend Artikel 8 der Richtlinie sieht Absatz 3 weitere Tatbestände vor, die die Verarbeitung der in Absatz 2 genannten sensiblen Daten ermöglichen. Die aufgeführten Voraussetzungen müssen nicht kumulativ vorliegen; es genügt, wenn eine von ihnen erfüllt ist.
Neben den Anforderungen des § 8 muss bei der Einwilligung zur Verarbeitung der besonders sensiblen Daten nach Absatz 2 gemäß Abs. 3 Nr. 1 auch gewährleistet sein, dass sich die Einwilligungserklärung ausdrücklich auf diese Daten bezieht (siehe § 8 Abs. 1 Satz 2 und die Erläuterungen dazu).
Die in Abs. 3 Nr. 2 aufgezählten besonderen Regelungen des Landesdatenschutzgesetzes selbst, § 34 Wissenschaftliche Forschung, § 35 Datenverarbeitung bei Dienst- oder Arbeitsverhältnissen und § 39 Öffentliche Auszeichnungen, sind Spezialfälle der nach Absatz 2 zulässigen Rechtsvorschriften.
Abs. 3 Nr. 3 setzt Art. 8 Abs. 3 der Richtlinie nahezu wörtlich um. Die Regelung kommt nur zur Anwendung, soweit keine bereichsspezifischen Vorschriften die Verarbeitungsbefugnis regeln. Dem Zweck der Vorschrift entsprechend gilt die Ausnahme nur für Daten über die Gesundheit; für andere in Absatz 1 erwähnte sensitive Daten gilt sie allenfalls insoweit, als sie direkt mit den medizinischen Fachaufgaben zusammenhängen. Die von der Richtlinie gewählte und hier wortgleich verwendete Umschreibung des medizinischen Sektors ist von dem Bestreben geleitet, alle gesundheitsbezogenen Dienstleistungen einzubeziehen, gleich ob sie präventiver, diagnostischer, kurativer oder nachsorgender Natur sind. Dazu gehören auch der administrative Bereich und die Apotheken, nicht aber Krankenversicherungen und andere Finanzdienstleistungen, die nur mittelbar etwas mit Gesundheitsdiensten zu tun haben.
Die Daten verarbeitenden Personen müssen Ärzte sein oder einer der ärztlichen Schweigepflicht entsprechenden Geheimhaltungspflicht unterliegen. Dies ist zum einen bei den so genannten Berufshelfern der Ärzte nach § 203 Abs. 3 Satz 2 StGB (also z. B. Schwestern, Pflegern, Arzthelferinnen, nicht aber: Mitarbeiterinnen und Mitarbeitern in der Krankenhausverwaltung) der Fall. Darüber hinaus wird man auch die in § 203 Abs. 1 Nr. 1 StGB aufgeführten Personengruppen zu dem vom Gesetz erfassten Personenkreis hinzuzählen können z. B. Zahnärzte und Apotheker. Wegen des engen thematischen Zusammenhangs dürften auch die Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung nach § 203 Abs. 1 Nr. 2 StGB dazugehören.
Nach der oben genannten Intention der Regelung, eine sektorale Ausnahme für den Gesundheitsbereich zu schaffen, können Angehörige der übrigen in § 203 Abs. 1 Nr. 3 bis 6 StGB genannten Berufsgruppen (z. B. Rechtsanwälte, Familienberater, Angehörige eines privaten Krankenversicherungsunternehmens) nicht als Personen angesehen werden, die einer der ärztlichen Schweigepflicht entsprechenden Geheimhaltungspflicht unterliegen.
Gemäß Abs. 3 Nr. 4 dürfen besonders sensible Daten auch verarbeitet werden, wenn dies ausschließlich im Interesse des Betroffenen liegt. Hier handelt es sich um den Fall einer mutmaßlichen Einwilligung, die nur unter sehr engen Voraussetzungen angenommen werden kann. Auf diese Ausnahme darf dann nicht zurückgegriffen werden, wenn es die Möglichkeit gibt, beim Betroffenen die Einwilligung einzuholen. Die Voraussetzung liegt auch dann nicht vor, wenn die Verarbeitung neben den Interessen des Betroffenen auch noch den Interessen der Daten verarbeitenden Stelle oder Dritter dient. Des Weiteren ist der Landesbeauftragte für den Datenschutz vorher anzuhören. Nur in Eilfällen darf die Anhörung im Nachhinein erfolgen.
Die Vorschrift sieht infolge von Art. 8 Abs. 5 der Richtlinie Sonderbestimmungen für die Verarbeitung von Daten, die Straftaten betreffen, vor. Für den Begriff der Straftat kommt es nicht darauf an, ob alle strafrechtlichen Voraussetzungen für eine Verurteilung vorliegen. Die Daten betreffen also auch dann eine Straftat, wenn sich aus ihnen ergibt, dass jemand eine Straftat begangen hat und wegen Schuldunfähigkeit nicht verurteilt wurde oder werden kann.
Die Verarbeitung erfolgt unter behördlicher Aufsicht, wenn eine Behörde ganz oder zu wesentlichen Teilen für die einwandfreie Verarbeitung verantwortlich ist. Gewerbeaufsicht und Datenschutzkontrolle erfüllen diese Voraussetzungen jedoch nicht.
An Rechtsvorschriften, die den Zweck der Verarbeitung bestimmen und die Verarbeitung zulassen sollen, sind hohe Anforderungen zu stellen. Sie müssen dem sensitiven Charakter der Daten im Hinblick auf den jeweiligen Verarbeitungskontext Rechnung tragen. Zu berücksichtigen sind dabei unter anderem die Schwere der Tat, der Zweck der Verarbeitung und die Zusammensetzung des Kreises der Betroffenen.
Die Vorschrift regelt die Fälle, in denen in Akten oder nicht-automatisierten Dateien mit den Daten der Betroffenen entweder Daten anderer Betroffener oder eigene Daten der Betroffenen, die für die Aufgabenerfüllung nicht erforderlich sind, in der Weise verbunden sind, dass sich ihre Trennung gar nicht oder nur mit unverhältnismäßigem Aufwand realisieren ließe. In diesen - gemäß § 5 Abs. 3 künftig grundsätzlich zu vermeidenden - Fällen der untrennbaren Verbindung darf ausnahmsweise auch von den nicht erforderlichen Daten Kenntnis genommen werden; sie dürfen mitgespeichert, mitverändert sowie übermittelt werden.
Ein unverhältnismäßiger Aufwand im Sinne der Vorschrift ist nur gegeben, wenn ein krasses Missverhältnis zwischen Aufwand und Beeinträchtigung des Persönlichkeitsrechts besteht.
Dies gilt in besonderem Maße für die - im entsprechenden § 10 Abs. 3 Satz 1 DSG MV 92 ausdrücklich verbotene - Mitveränderung. Nach der Begründung zum Gesetzentwurf war auch keine inhaltliche Änderung der Bestimmung beabsichtigt. Jedenfalls wird ein unverhältnismäßiger Aufwand bei einer solch schwerwiegenden Form der Datenverarbeitung praktisch nicht begründbar sein.
Zusätzliche Voraussetzung für die "Mitverarbeitung" ist, dass nicht schutzwürdige Interessen der Betroffenen im Einzelfall überwiegen. Bei sensiblen Daten im Sinne von Absatz 2 dürften die Mitveränderung und die Übermittlung nach Absatz 5 stets unzulässig sein.
Da diese Art der Datenverarbeitung nur eine Folge der "Untrennbarkeit" der Daten ist, sind die nicht erforderlichen Daten von der weiteren Verwendung ausgeschlossen. Insoweit unterliegen sie einem vollständigen Verarbeitungsverbot, auf das der Empfänger im Falle der Übermittlung in geeigneter - vor allem nicht übersehbarer - Weise hingewiesen werden muss.
(1) Die Einwilligung des Betroffenen bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sie muss sich im Falle einer Datenverarbeitung nach § 7 Absatz 2 ausdrücklich auch auf die dort genannten Daten beziehen. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich eingeholt werden, so ist die Einwilligungserklärung im äußeren Erscheinungsbild des Schriftstücks hervorzuheben. Der Betroffene ist in geeigneter Weise über die Bedeutung und Tragweite der Einwilligung, insbesondere über die Art und den Umfang der Verarbeitung sowie über Empfänger beabsichtigter Übermittlungen von Daten, aufzuklären. Die Anschrift der Daten verarbeitenden Stelle ist ihm mitzuteilen. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass er die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann.
(2) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass
1. sie nur durch eine eindeutige und bewusste Handlung erfolgen kann,
2. sie nicht unerkennbar verändert werden kann,
3. ihr Urheber erkannt werden kann und
4. die Einwilligung bei der verarbeitenden Stelle protokolliert wird.
Soweit die Verarbeitung personenbezogener Daten nicht durch eine Rechtsvorschrift erlaubt wird, ist sie nur mit Einwilligung, also nach vorheriger Zustimmung der betroffenen Person, zulässig. Die Vorschrift beschreibt die formalen und die inhaltlichen Anforderungen an eine wirksame Einwilligungserklärung.
Eine datenschutzrechtliche Einwilligung kann auch zusammen mit anderen Erklärungen abgegeben werden, z. B. im Rahmen eines gegenseitigen Vertrages. Auch dann gelten die nachfolgenden Anforderungen.
Bei der Einwilligung handelt es sich nicht um ein Rechtsgeschäft. Deshalb muss die betroffene Person nicht geschäftsfähig, sondern nur einsichtsfähig sein, um wirksam einwilligen zu können. Dies dürfte beispielsweise bei Jugendlichen ab etwa 14 Jahren der Fall sein, ist aber vom jeweiligen Sachverhalt abhängig.
Sofern eine spezielle gesetzliche Vorschrift eine konkrete Datenverarbeitung regelt, jedoch im Einzelfall die Voraussetzungen dafür nicht gegeben sind, kann die Verarbeitung nicht durch eine Einwilligung legitimiert werden. Fordern öffentliche Stellen in solchen Fällen eine Einwilligung von der betroffenen Person und versuchen so, die gesetzliche Regelung zu umgehen, stellt dies einen Rechtsmissbrauch dar, der die Unwirksamkeit der Einwilligung zur Folge hat.
Die Vorschrift fordert für die Einwilligung grundsätzlich die Schriftform. Eine andere Form kann nur bei besonderen Umständen des Einzelfalles ausreichen, wenn das Schutzbedürfnis der betroffenen Person dem nicht entgegensteht.
Wird in die Verarbeitung der besonders sensiblen Daten nach § 7 Abs. 2 eingewilligt, muss sich die Erklärung ausdrücklich auf diese Daten beziehen. Diese von Art. 8 Abs. 2 Buchstabe a der Richtlinie vorgegebene Regelung zielt darauf ab, dass die betroffene Person sich über die Verarbeitung der besonders sensiblen Daten im Klaren ist. Daher muss in diesen Fällen die Datenkategorie eindeutig benannt sein. Unzulässig wäre etwa, die Einwilligung für eine übergreifende Datenmenge abzufordern, ohne ausdrücklich darauf hinzuweisen, dass dazu auch Daten nach § 7 Abs. 2 gehören. Darüber hinaus sind hier an die Voraussetzungen, unter denen ausnahmsweise auf die Schriftform der Einwilligung verzichtet werden kann, höhere Anforderungen zu stellen als ohnehin schon.
Die Einwilligung wird häufig mit anderen Erklärungen verbunden, z. B. auf Formblättern. Die Formulare sind dann so zu gestalten, dass die betroffene Person auf die Einwilligung besonders hingewiesen wird, diese also auch graphisch besonders hervorgehoben ist.
Die Einwilligung ist nur wirksam, wenn die betroffene Person umfassend über deren Auswirkungen aufgeklärt worden ist. Hierzu müssen ihr insbesondere der Datenumfang, der Verwendungszweck der Daten sowie der Kreis derjenigen genannt werden, der Daten über sie erhält. Daraus ergibt sich, dass eine Einwilligung auch hinreichend konkret sein muss. Diese Bedingung ist nicht erfüllt, wenn eine Person beispielsweise einwilligen soll, dass Behörde A alle über sie gespeicherten Daten an Behörde B übermitteln darf. Auch reicht z. B. eine Einwilligung zur Datenerhebung, -speicherung und -nutzung nicht aus, um eine Datenübermittlung an Dritte zu rechtfertigen.
Die Anschrift der Stelle, welche die Daten verarbeitet und bei der folglich die Rechte nach Abschnitt 3 dieses Gesetzes geltend gemacht werden können, ist der betroffenen Person mitzuteilen.
Zu den Aufklärungspflichten gehört auch der Hinweis, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft widerrufen werden kann. In diesem Fall ist der betroffenen Person darzulegen, welche Folgen sich unter Umständen daraus ergeben können.
Im Hinblick auf die wichtiger werdende Kommunikation in Netzen ist es in Anlehnung an den Mediendienste-Staatsvertrag und das Teledienstedatenschutzgesetz des Bundes möglich, eine Einwilligung in elektronischer Form abzugeben. Für deren Wirksamkeit müssen vier Anforderungen erfüllt werden:
Die Erklärung muss durch eine eindeutige und bewusste Handlung der betroffenen Person abgegeben werden. Hierzu ist die technische Umgebung entsprechend zu gestalten. Bei Willenserklärungen in Form einer verbalen Äußerung kommt es selten zu Zweifeln darüber, ob sich die betreffende Person überhaupt rechtsgeschäftlich äußern wollte. Bei Aktivitäten am Rechner dagegen passiert es auch erfahrenen Benutzern, dass sie versehentlich bestimmte Aktionen wie Mausklicks ausführen, die sie eigentlich nicht beabsichtigt hatten. Dies muss durch eine entsprechend sichere Gestaltung der Benutzeroberfläche einer Anwendung ausgeschlossen sein.
Es muss unmöglich sein, die Erklärung unerkennbar zu verändern, und der Urheber muss aus ihr sicher erkennbar sein. Diese Anforderungen können nur eingehalten werden, wenn ein Verfahren der digitalen Signatur verwendet wird. Allerdings muss dieses nicht den hohen Vorgaben des Signaturgesetzes entsprechen. Ausreichend ist nach gegenwärtigem Stand der Technik z. B. die Signierfunktion des Programmes PGP.
Schließlich müssen die Daten verarbeitenden Stellen die Einwilligungserklärungen protokollieren. Dies dient zum einen dazu, dass die betroffene Person nachvollziehen kann, dass sie eine entsprechende Erklärung abgegeben hat. Der Anspruch auf Auskunft über die zu einer Person gespeicherten Daten (§ 24) richtet sich auch auf die Einwilligungserklärung, so dass auch Auskunft verlangt werden kann, ob sie überhaupt vorliegt. Zum anderen liegt es im eigenen Interesse der Daten verarbeitenden Stelle, wenn sie im Zweifel später die Abgabe der Erklärung nachweisen kann.
(1) Das Erheben personenbezogener Daten ist zulässig, wenn deren Kenntnis zur rechtmäßigen Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist, der Zweck der Erhebung hinreichend bestimmt ist und die Daten ohne Verstoß gegen Rechtsvorschriften offenbart werden können.
(2) Personenbezogene Daten sind beim Betroffenen und mit seiner Kenntnis zu erheben, es sei denn, dass eine Rechtsvorschrift eine andere Art der Erhebung erlaubt oder zwingend voraussetzt oder dass der Betroffene in eine andere Art der Erhebung eingewilligt hat.
(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist er von der Daten verarbeitenden Stelle in geeigneter Weise über den Zweck der Erhebung, die Art und den Umfang der Verarbeitung, über Empfänger beabsichtigter Übermittlungen der Daten sowie über das Bestehen von Auskunfts- oder Berichtigungsansprüchen aufzuklären. Die Anschrift der Daten verarbeitenden Stelle ist ihm mitzuteilen. Werden die Daten aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Er ist über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene Daten nicht beim Betroffenen, sondern bei anderen Personen sowie bei nicht-öffentlichen Stellen aufgrund einer Rechtsvorschrift, die zur Auskunft verpflichtet, erhoben, so sind diese auf die Rechtsgrundlage, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Der Betroffene ist bei Beginn der Speicherung in geeigneter Weise über die Erhebung entsprechend Abs. 3 Satz 1 und 2 zu unterrichten, wenn und soweit dadurch die Erfüllung der Aufgabe der erhebenden Stelle nicht gefährdet ist.
§ 9 regelt die Voraussetzungen, unter denen personenbezogene Daten auf der Basis der allgemeinen Vorschrift des Landesdatenschutzgesetzes erhoben werden dürfen. Liegt keine Einwilligung des Betroffenen vor und existieren keine bereichsspezifischen Regelungen, kommt diese Vorschrift als Ermächtigungsgrundlage für eine Datenerhebung beim Betroffenen in Betracht. Neben den in Absatz 1 genannten Anforderungen an die Zulässigkeit der Datenerhebung enthält Absatz 2 den wichtigen Grundsatz der Datenerhebung beim Betroffenen, von dem nur unter bestimmten Voraussetzungen abgewichen werden darf. Gegenüber dem Betroffenen bestehen nach Absatz 3 umfangreiche Informations- und Aufklärungspflichten, die auch im Falle einer Datenerhebung bei Dritten nach Absatz 4 zu beachten sind. Insgesamt trägt diese Vorschrift dazu bei, die Verarbeitung der personenbezogenen Daten für den Betroffenen nachvollziehbar zu machen.
Diese Vorschrift erlaubt der öffentlichen Stelle, auch bei fehlender Einwilligung oder bereichsspezifischer Rechtsgrundlage personenbezogene Daten zu erheben, wenn diese zur rechtmäßigen Aufgabenerfüllung erforderlich sind. Der Begriff der Erforderlichkeit ist dabei eng auszulegen. Erforderlich sind personenbezogene Daten nur dann, wenn die Aufgabe sonst nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllt werden kann. Es ist für jede einzelne Information zu prüfen, ob sie zur rechtmäßigen Aufgabenwahrnehmung der Daten verarbeitenden Stelle erhoben werden muss. Auf eine bloße Nützlichkeit bestimmter Daten kommt es hierbei nicht an. Die Informationen dürfen nicht nur für eine leichtere oder wirtschaftlichere Erfüllung der Aufgaben dienlich sein, sondern sie müssen tatsächlich für die Aufgabenerfüllung benötigt werden.
Erforderlich können Daten auch sein, wenn eine Aufgabe ohne sie nur unter unverhältnismäßig großen Schwierigkeiten erfüllt werden kann. Allerdings muss hier zuvor im Einzelfall zwischen dem personellen, wirtschaftlichen oder sonstigen Aufwand, den die Stelle ohne die Daten betreiben müsste, und dem Recht der Betroffenen auf Schutz ihrer Daten abgewogen werden. Nur wenn wegen der Art der Daten die Rechte der Betroffenen nur geringfügig beeinträchtigt werden und der Aufwand demgegenüber außer Verhältnis steht, dürfen die Daten erhoben werden.
Der Grundsatz der Erforderlichkeit gilt auch in zeitlicher Hinsicht. Erforderlich sind die Daten erst dann und auch nur solange, wie die Aufgabe aktuell zu erfüllen ist. Eine Datenerhebung oder -speicherung auf "Vorrat" ist somit verboten.
Bereits beim Erheben muss die spätere Nutzung der Daten hinreichend bestimmt sein. Die Zweckbindung bei der Verarbeitung personenbezogener Daten setzt zu diesem Zeitpunkt ein. Eine Erhebung zu unbestimmten oder ungenau bestimmten Zwecken, z. B. weil die Daten vielleicht später einmal für die Behörde relevant sein könnten, würde dem Zweckbindungsgrundsatz des § 10 Abs. 2 zuwiderlaufen und wäre unzulässig. Die für die Erhebung in Anspruch genommene Rechtsgrundlage bestimmt regelmäßig auch den Zweck der weiteren Verarbeitung. Bei einer Erhebung auf der Grundlage von § 9 kommt es auf die der Daten verarbeitenden Stelle durch Rechtsvorschrift zugewiesene Aufgabe an.
Das Erheben von Daten über das erforderliche Maß hinaus ist ebenfalls unzulässig. So sind beispielsweise Formulare, mit denen personenbezogene Daten erhoben werden, entsprechend diesem Kriterium zu gestalten. Des Weiteren ist auch zu prüfen, ob die öffentliche Stelle die Aufgabe mit anonymisierten Daten erledigen und somit auf personenbezogene Daten verzichten kann, z. B. bei Befragungen (für statistische Erhebungen sind dabei die Vorschriften des Landesstatistikgesetzes bzw. die bereichsspezifischen Statistikvorschriften zu beachten). Der Grundsatz der Datenvermeidung (§ 5 Abs. 1) ist mithin bereits im Vorfeld der automatisierten Datenverarbeitung zu berücksichtigen.
Mit dem Begriff Zuständigkeit ist sowohl die örtliche als auch die sachliche gemeint. Die örtliche Zuständigkeit setzt voraus, dass die Aufgabe, für die die Daten gespeichert oder verändert werden sollen, in den räumlichen Wirkungsbereich der Daten verarbeitenden Stelle fällt. Die Landratsämter sind in der Regel z. B. nur zuständig, Aufgaben innerhalb ihres Kreisgebietes zu erfüllen, und dürfen deshalb keine personenbezogenen Daten speichern oder verändern, wenn dafür ein anderer Landkreis zuständig ist. Eine Stelle ist sachlich oder funktionell zuständig, wenn sie Daten für eine ihr zugewiesene Aufgabe speichert oder verändert. In hierarchisch aufgebauten Verwaltungen schließt die sachliche Zuständigkeit auch die richtige Ebene innerhalb der Organisation (Einreichung der Steuererklärung beim Finanzamt und nicht bei der Oberfinanzdirektion) ein.
Vor Beginn der Erhebung ist darauf zu achten, dass die Daten ohne Verstoß gegen Rechtsvorschriften offenbart werden können. Diese Regelung zielt darauf ab, dass der mit der Datenerhebung verbundene Vorgang der Datenübermittlung ebenfalls auf eine Rechtsgrundlage gestützt werden kann und keine besonderen Vorschriften dem entgegenstehen dürfen. Bei einer Datenübermittlung auf Ersuchen trägt die anfragende Stelle gemäß § 14 Abs. 2 Satz 2 die Verantwortung für die Zulässigkeit der Übermittlung (vgl. hierzu im Einzelnen die Erläuterungen zu § 14 Abs. 2). Daher hat sie bereits im Rahmen der Erhebung zu prüfen, ob einer Übermittlung entsprechende Rechtsvorschriften entgegenstehen. Ist dies der Fall, so ist die Erhebung von vornherein unzulässig und von einer Anfrage ist abzusehen.
Die Erhebung der in § 7 Abs. 2 genannten besonders sensiblen Daten kann nicht auf diese Vorschrift gestützt werden.
Grundsätzlich haben öffentliche Stellen personenbezogene Daten unmittelbar beim Betroffenen und mit seiner Kenntnis zu erheben, um die Datenverarbeitung transparent zu gestalten. Der Betroffene soll erkennen können, wer zu welchem Zweck Daten über ihn verarbeitet. Die Erhebung personenbezogener Daten ohne seine Kenntnis bei Behörden oder privaten Stellen oder auch durch eine verdeckte Beobachtung, wie heimliche Videoüberwachung, soll nur ausnahmsweise zulässig sein. Der so umfassende Schutzgedanke lässt es aber zu, dass der Betroffene eines Verwaltungsverfahrens z. B. dann personenbezogene Daten Dritter - sie sind ebenfalls Betroffene im Sinne des Gesetzes - selbst angibt, wenn das Gesetz seine Rechtsposition von den persönlichen Verhältnissen dieser Personen abhängig macht (beispielsweise von Ehegatten, Eltern und Kindern).
Jede andere Form der Erhebung, sei es die heimliche Datenerhebung oder die Erhebung bei anderen öffentlichen oder nicht-öffentlichen Stellen, ist nur zulässig, wenn der Betroffene eingewilligt hat oder eine spezielle Rechtsvorschrift dies ausdrücklich erlaubt oder zwingend voraussetzt. Damit wird dem Recht auf informationelle Selbstbestimmung, dass jeder grundsätzlich selbst über Preisgabe und Verwendung seiner Daten bestimmen kann, weitgehend Rechnung getragen. Dementsprechend sind die Ausnahmevorschriften im Zweifel eng auszulegen. Gleichzeitig beinhaltet diese Vorschrift die Forderung an den Normgeber, notwendige Eingriffe in das Persönlichkeitsrecht auch in einer dem Zweck angepassten bereichsspezifischen Rechtsvorschrift hinreichend normenklar zu regeln. Ausnahmen vom Prinzip der Mitwirkung Betroffener bei der Erhebung (z. B. das Erheben ohne Kenntnis des Betroffenen bei anderen öffentlichen Stellen) werden in diesem Gesetz nicht genannt (LT-Drs. 1/1134 [neu], S. 36; Gesetzesbegründung zu § 8 DSG MV 92). Demzufolge lässt sich eine Datenerhebung ohne Mitwirkung des Betroffenen nicht auf diese Regelung stützen.
Soweit auch Rechtsvorschriften zugelassen werden, die diese Verfahrensweise zwingend voraussetzen, wird das Gesetz dem Anspruch an Normenklarheit nicht gerecht. Die noch in einigen Datenschutzgesetzen enthaltene Formulierung diente vor allem dafür, dass nach der Entscheidung des Bundesverfassungsgerichtes vom 15. Dezember 1983 (BVerfGE 65, 1) zumindest in der Übergangszeit bis zur Schaffung entsprechender gesetzlicher Bestimmungen Daten ausnahmsweise auch ohne diese Grundlage verarbeitet werden durften. Durch die in weiten Teilen der unterschiedlichen Fachgesetze inzwischen enthaltenen Vorschriften dürfte diese Regelung ihre Funktion verloren haben. Im Hinblick auf die fehlende Normenklarheit kann eine Erhebung personenbezogener Daten hierauf nur noch in seltenen Einzelfällen gestützt werden (vgl. hierzu auch die Erläuterungen zu § 7 Abs. 1).
Unabhängig von den Erhebungsvorschriften können Daten, die in anderen öffentlichen Stellen bereits vorhanden sind, einer öffentlichen Stelle für bestimmte andere Zwecke auch ohne Ersuchen übermittelt werden (vgl. § 10 Abs. 3 i. V. m. § 14 Abs. 1).
Die Rechtmäßigkeit des Erhebungsvorganges ist Grundlage für die weitere Zulässigkeit der Datenverarbeitung. Daher sollte die Herkunft der Daten regelmäßig nachvollziehbar sein, entsprechend dokumentiert und dieser Nachweis bis zum Abschluss der Verarbeitung der Daten aufbewahrt werden.
Die bisher schon existierende Unterrichtungspflicht des Betroffenen bei der Datenerhebung wurde in Umsetzung von Artikel 10 der Richtlinie ausgeweitet.
Die Aufklärungspflicht besteht, sofern Daten beim Betroffenen mit seiner Kenntnis erhoben werden. Für verdeckte Datenerhebungen gelten die bereichsspezifischen Regelungen, die in unterschiedlichem Maße Unterrichtungspflichten vorsehen (vgl. § 32 Abs. 3 Satz 3, § 34 Abs. 5 SOG M-V, § 11 LVerfSchG M-V, § 101 StPO). Werden die Daten nicht beim Betroffenen erhoben, so hat die Daten verarbeitende Stelle ebenfalls regelmäßig eine Unterrichtungspflicht (vgl. hierzu im Einzelnen Abs. 4). Bei der Ausgabe eines mobilen Datenverarbeitungssystems ist der Betroffene über seine Rechte aufzuklären (vgl. § 36 Abs. 3 Satz 1).
Die Verfahrensvorschriften, insbesondere auch die Informationspflicht, müssen eingehalten werden, soll die Datenerhebung rechtmäßig sein. Dies bedeutet nicht nur, dass der Informationspflicht überhaupt nachgekommen wird, sondern dass dies auch rechtzeitig - sobald die Aufgabenerfüllung es erlaubt - erfolgt. Anderenfalls würde sich die Datenerhebung im Nachhinein als fehlerhaft erweisen. Aus dieser Fehlerhaftigkeit ergäbe sich die Unzulässigkeit der Weiterverarbeitung der Daten, unter anderem der Speicherung, und daraus wiederum die Verpflichtung zu ihrer Löschung. Diese Verpflichtung gilt ohne Einschränkung. Ein Verstoß entzieht darauf fußenden Verwaltungsverfahren die rechtliche Grundlage. Die Daten verarbeitende Stelle sollte die Information der Betroffenen wegen dieser Rechtsfolgen entsprechend dokumentieren.
Der Zusatz "in geeigneter Weise" eröffnet den Daten verarbeitenden Stellen einen gewissen Gestaltungsspielraum. Ziel der Regelung ist eine praktikable, verständliche und faire Information der Betroffenen. Deshalb muss die Unterrichtung auf die Betroffenen ausgerichtet sein und von ihnen verstanden werden können. Eine reine Belehrung über die Rechtslage oder der Hinweis auf entsprechende Fundstellen reicht häufig nicht aus.
Der Umfang der Aufklärung, also wie ausführlich und detailliert der Betroffene zu den einzelnen Aspekten Auskunft erhält, hängt wesentlich von der Sensibilität der Daten und den Folgen der Datenverarbeitung für den Betroffenen ab. Es kommt auf die Umstände des Einzelfalles an. Dabei spielt eine Rolle, welche Daten erhoben werden und welche Konsequenzen sich aus der Verarbeitung für den Betroffenen ergeben können.
Je nach dem gewählten Weg der Kommunikation kann die Aufklärung selbstverständlich variieren. Bei schriftlicher Kommunikation ist in der Regel eine Aufklärung in der gleichen Form angezeigt. Werden Formulare zur Datenerhebung verwendet, so kann auf diesen oder auf zusätzlichen Informationsblättern über die geplante Datenverarbeitung aufgeklärt werden. Bei mündlicher oder telefonischer Datenerhebung wird in der Regel ein entsprechender mündlicher Hinweis ausreichen, der keineswegs formalisiert sein und etwa im Sinne der Belehrung eines Beschuldigten über seine Rechte vorgetragen werden muss.
In bestimmten Verfahren tritt eine Person als Vertreter für die (übrigen) Verfahrensbeteiligten auf. Handelt diese Person mit der Vollmacht der anderen, so genügt es, wenn sie als deren Vertreter die Aufklärung erhält. Werden z. B. in einem Sozialhilfeantrag auch für weitere Haushaltsangehörige Leistungen aus der Sozialhilfe beantragt und handelt der Antragsteller für diese Personen mit Vollmacht, so ist er auch berechtigt, die Informationen über die Datenverarbeitung gemäß § 9 Abs. 3 für die Angehörigen entgegenzunehmen. Eine weitere Aufklärung der Angehörigen ist dann nicht erforderlich.
Der Betroffene ist über den der Erhebung zugrunde liegenden Zweck aufzuklären. Die Kenntnis des Erhebungszweckes sowie aller relevanten Umstände der Datenverarbeitung ist notwendige Voraussetzung für ein transparentes Verfahren und damit Grundlage für die bewusste Ausübung des Rechtes auf informationelle Selbstbestimmung durch den Betroffenen.
Auch über Art und Umfang der Datenverarbeitung muss der Betroffene unterrichtet werden. Da der Begriff der Verarbeitung umfassend jede Verwendung der Daten beinhaltet (siehe § 3 Abs. 4), wird deutlich, dass der Betroffene sehr weitgehend über das Geschehen zu unterrichten ist. Zur Art der Verarbeitung gehört beispielsweise auch die Angabe, dass die Daten von einem Auftragnehmer verarbeitet werden. Ferner ist hierbei ebenfalls von Relevanz, ob die Daten dauerhaft oder nur für einen bestimmten Zeitraum gespeichert werden.
Des Weiteren ist der Betroffene über voraussichtliche Datenempfänger zu informieren. Dies umfasst auch regelmäßige Übermittlungen, die gesetzlich vorgesehen sind.
Nach dieser Bestimmung ist die genaue Anschrift der Daten verarbeitenden Stelle mitzuteilen. Dies gilt insbesondere dann, wenn diese Stelle von sich aus Kontakt mit dem Bürger aufnimmt. Wendet sich ein Betroffener aus eigener Initiative an die jeweilige Stelle und kommt es im Rahmen dieses Kontaktes zur Datenerhebung, so kann im Normalfall davon ausgegangen werden, dass der Betroffene bereits über diese Information verfügt.
Neu aufgenommen wurde die Regelung, dass der Betroffene nunmehr auch über das Bestehen von Auskunfts- oder Berichtigungsansprüchen (vgl. §§ 24, 25 Abs. 1 i. V. m. § 13 Abs. 1) aufzuklären ist.
Der Betroffene ist ebenfalls über die der Verarbeitung zugrunde liegende Rechtsvorschrift (einschließlich deren Fundstelle) beziehungsweise die Tatsache der Freiwilligkeit der Angaben aufzuklären. Für den Betroffenen muss klar erkennbar sein, ob es sich um freiwillige oder gesetzlich vorgeschriebene Angaben handelt. Im letzteren Fall sollte (etwa durch entsprechende Gestaltung von Formblättern) bei dem Betroffenen der Eindruck vermieden werden, die Verarbeitung seiner personenbezogenen Daten sei von seiner Einwilligung abhängig. Beispielsweise sollten ärztliche Untersuchungen durch das Gesundheitsamt im Rahmen der Seuchenbekämpfung, die als obligatorische Untersuchungen durchgeführt werden, nicht auf eine Einwilligungserklärung der zu Untersuchenden gestützt werden.
Sind Angaben des Betroffenen für die Gewährung einer Leistung nach einer Rechtsvorschrift erforderlich, so muss klar erkennbar sein, welche (gegebenenfalls über die reine Nichtgewährung der Leistung) hinausgehende Konsequenzen die Nichtbeantwortung haben würde.
Daten, die nicht zur unmittelbaren Aufgabenerfüllung erforderlich sind, aber hierbei dienlich sein können, wie die Telefonnummer eines Antragstellers, um gegebenenfalls Fragen kurzfristig klären zu können, sind als freiwillige Angaben zu kennzeichnen.
Unabhängig davon bestehen weitergehende Benachrichtigungspflichten gegenüber dem Betroffenen, wenn falsche Daten oder Daten rechtswidrig verarbeitet werden und dem Betroffenen daraus ein Nachteil entstanden ist beispielsweise zu entstehen droht (siehe § 23).
Die Information aufgrund spezialgesetzlicher Vorschriften (z. B. der Wohngeldempfänger über ihre Ansprüche, der Kraftfahrzeughalter über das Verfahren bei der Zulassung des Kraftfahrzeugs, Meldepflichtiger über Widersprüche gegen bestimmte Datenübermittlungen oder der Mitarbeiterinnen und Mitarbeiter des öffentlichen Dienstes über ihre Mitteilungspflichten im Rahmen der Erklärung über den Bezug von Kindergeld und Ortszuschlag) sollten soweit wie möglich mit der Aufklärung nach § 9 Abs. 3 verbunden werden. Die gesamten Informationen können auf entsprechenden Merkblättern zusammengefasst werden. Ergänzungen können darüber hinaus nach den Umständen des Einzelfalles geboten sein und zusätzlich eventuell eine mündliche Unterrichtung erfordern.
Dieser Absatz stellt selbst keine Ermächtigungsnorm für eine Datenerhebung bei Dritten dar, sondern regelt lediglich die Informationspflichten gegenüber nicht-öffentlichen Stellen sowie die Unterrichtungs- und Aufklärungspflicht gegenüber dem Betroffenen. Erfolgt die Erhebung aufgrund einer Rechtsvorschrift, so ist auf eine bestehende Auskunftspflicht oder die Freiwilligkeit der Auskunft hinzuweisen. Bei der Aufklärung ist darauf zu achten, dass die schutzwürdigen Belange des Betroffenen gewahrt werden. Deshalb dürfen personenbezogene Daten bei der Erhebung gegenüber Dritten nicht beziehungsweise nur in dem dafür erforderlichen Umfang offenbart werden. Dies ist sehr genau zu prüfen.
Die Unterrichtung des Betroffenen über eine bei nicht-öffentlichen Stellen erfolgte Erhebung geschieht nunmehr aufgrund von Art. 11 Abs. 1 der Richtlinie regelmäßig bereits bei Beginn der Speicherung, wenn und soweit dadurch die Aufgabenerfüllung nicht gefährdet wird. Der Inhalt der Unterrichtung entspricht der Aufklärung nach Abs. 3 Satz 1 und 2. Der Betroffene ist auch darüber zu unterrichten, dass die Daten bei einer nicht-öffentlichen Stelle erhoben wurden. Um den Aufklärungszweck zu erreichen, soll dem Betroffenen des Weiteren die Art der erhobenen Daten mitgeteilt werden, da er hierüber, anders als bei der Datenerhebung mit seiner Kenntnis, nicht Bescheid weiß. Die Unterrichtung hat wie bei der Aufklärung nach Absatz 3 in geeigneter Weise zu erfolgen. Die Daten verarbeitende Stelle ist somit an keine feste Form der Benachrichtigung gebunden, sondern sie hat sich am Einzelfall zu orientieren und den jeweils geeigneten Kommunikationsweg zu wählen.
Liegen triftige Gründe vor, wonach zunächst von einer Unterrichtung abgesehen werden muss, so wird die erhebende Stelle hiervon jedoch nicht gänzlich befreit. Vielmehr verschiebt sich nur der Zeitpunkt der Mitteilung. Die Gründe für eine unterlassene Unterrichtung an den Betroffenen sollten zum Zwecke der Nachvollziehbarkeit dokumentiert werden.
Aus der Verpflichtung zur Unterrichtung in geeigneter Weise ergibt sich auch, dass solche Personen, deren Daten nicht durch eigene Initiative der Daten verarbeitenden Stelle erhoben wurden, sondern durch die Angaben Dritter in deren Verfahren bekannt geworden sind, nicht sofort benachrichtigt werden müssen. Die Unterrichtung muss in diesen Fällen in aller Regel erst zu dem Zeitpunkt erfolgen, an dem die Daten verarbeitende Stelle zu diesen Personen in eine Rechtsbeziehung tritt. Beispiele hierfür sind:
Ein Sozialhilfeantrag enthält Daten der in einem Antrag aufgeführten unterhaltspflichtigen Angehörigen, z. B. des Vaters eines Antragstellers. Erst wenn die Daten verarbeitende Stelle etwa den Unterhaltsanspruch überleitet, entsteht diesen Betroffenen gegenüber eine Aufklärungspflicht über die Verarbeitung ihrer Daten.
Bauanträge enthalten über die Daten des Antragstellers hinaus Informationen über Dritte wie Nachbarn, den Bauunternehmer oder die Architektin. Die Unterrichtungspflicht beginnt erst, wenn die Behörde den Nachbarn anhört, sich an die bauleitende Architektin wendet oder die Versicherungspflicht des Bauunternehmers prüft.
Die Unterrichtung von Betroffenen setzt voraus, dass die Daten verarbeitende Stelle über die Anschrift der Betroffenen verfügt. Regelmäßig dürfte es nicht erforderlich sein, zu diesem Zweck umfangreiche Nacherhebungen durchzuführen, um an die erforderlichen Daten zu gelangen, wenn diese nicht bekannt sind. Handelt es sich um sensible personenbezogene Daten des Betroffenen oder sind mit der Datenverarbeitung Eingriffe in die Rechte des Betroffenen verbunden, so sind hieran unter dem Gesichtspunkt der Verhältnismäßigkeit höhere Anforderungen zu stellen.
(1) Das Nutzen personenbezogener Daten ist zulässig, wenn und soweit es zur Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist.
(2) Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben worden sind. Ist keine Erhebung vorausgegangen, so dürfen die Daten für den Zweck genutzt werden, für den sie bei ihrer erstmaligen Speicherung bestimmt wurden. Empfänger übermittelter Daten dürfen diese für den bei ihrer Übermittlung bestimmten Zweck nutzen.
(3) Das Nutzen personenbezogener Daten zu anderen Zwecken ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt,
6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,
7. es zur Verfolgung von Straftaten und Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes in der Fassung der Bekanntmachung vom 11. Dezember 1974 (BGBl. I S. 3427), zuletzt geändert nach Maßgabe des Artikels 8 durch Artikel 3 des Gesetzes vom 26. Januar 1998 (BGBl. I S. 160), oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
Der andere Zweck muss hinreichend bestimmt sein. Besondere Amts- oder Berufsgeheimnisse bleiben unberührt. Für Daten im Sinne von § 7 Absatz 2 findet Satz 1 Nr. 3 keine Anwendung.
(4) Personenbezogene Daten, die für andere Zwecke erhoben oder erstmalig gespeichert worden sind, dürfen zu Zwecken der Ausübung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen in dem dafür erforderlichen Umfang genutzt werden. Der Zugriff auf personenbezogene Daten ist nur insoweit zulässig, als dieser für die Ausübung der Befugnisse nach Satz 1 unerlässlich oder unvermeidbar ist. Eine Nutzung personenbezogener Daten zu Ausbildungs- und Prüfungszwecken ist zulässig, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.
(5) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der Daten verarbeitenden Stelle oder eines Dritten liegenden Gründen unerlässlich ist und
2. die Daten hierfür genutzt werden dürften, wenn sie nicht gesperrt wären.
(6) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke genutzt werden, es sei denn, der Betroffene willigt ein.
Das Nutzen ist die inhaltliche Verwendung personenbezogener Daten (§ 3 Abs. 4 Satz 2 Nr. 7) und somit Zweck jeder Erhebung. Es ist nur zulässig, soweit es für die Aufgabenerfüllung der zuständigen Stelle erforderlich ist. Die Voraussetzungen der Erforderlichkeit und Zuständigkeit sind analog zu denen des Erhebens (vgl. die Erläuterungen zu § 9 Abs. 1), jedoch können auch andere als erhebende Stellen Daten rechtmäßig nutzen. Beispielsweise Empfänger, denen die Daten aufgrund einer Rechtsvorschrift oder mit Einwilligung der betroffenen Person übermittelt worden sind, oder Stellen, die die Daten nicht erhoben (zielgerichtet beschafft) haben, aber die Daten erstmalig speichern. Die erhebende Stelle ist in jedem Fall auch eine nutzende Stelle. Sie darf die Daten zu dem bei der Erhebung bestimmten Zweck nutzen. Von dieser Zweckbindung kann nur unter den Voraussetzungen des Absatzes 3 abgewichen werden.
Die Absätze 2 bis 6 regeln den Grundsatz der Zweckbindung der Daten. Diese Regelungen sind von überragender Bedeutung, weil das Bundesverfassungsgericht in seiner Rechtsprechung die Datenverarbeitung auf einen zuvor festgelegten Zweck begrenzt hat. Es handelt sich daher um eine zentrale Vorschrift des Gesetzes.
Die Zweckbindung ist in allen Phasen der Datenverarbeitung zu beachten (siehe § 9 Abs. 1, § 11 Abs. 2). Es genügt nicht, personenbezogene Daten rechtmäßig in Besitz zu haben, um alle weiteren Aktivitäten bei ihrer Verarbeitung zu rechtfertigen. Jeder weitere Verarbeitungsschritt im Sinne von § 3 Abs. 4, z. B. Speicherung, Übermittlung oder sonstige Verarbeitung, muss dem ursprünglichen, rechtmäßigen Zweck dienen.
Die Zwecke der Datennutzung müssen bei der ersten Maßnahme der Datenverarbeitung bestimmt sein. Erste Phase der Datenverarbeitung ist in der Regel das Erheben. Die für die Erhebung in Anspruch genommene Rechtsgrundlage bestimmt demnach den Zweck der weiteren Nutzung. Wenn keine Datenerhebung vorausgegangen ist, die Stelle die Daten also auf andere Weise erlangt hat, z. B. indem ein Betroffener von sich aus seine Daten ihr bekannt gegeben hat, dürfen sie nur zu dem Zweck genutzt werden, zu dem sie bei ihrer erstmaligen Speicherung bestimmt wurden. Eine Stelle, die rechtmäßig Daten empfangen hat, darf sie nur zu dem Zweck nutzen, zu dem sie übermittelt worden sind.
Die Nutzung von Daten ist nicht zulässig, wenn bereits die Erhebung oder Erstspeicherung aus irgendeinem Grund unzulässig war. Dies hat die Rechtswidrigkeit sämtlicher weiterer Verarbeitungsschritte, also auch der Nutzung, zur Folge. Unzulässig erhobene Daten sind daher gemäß § 13 Abs. 2 Nr. 2 zu löschen.
Abs. 3 Satz 1 nennt neun Ausnahmen, nach denen von der Zweckbindung abgewichen werden kann, somit eine Zweckdurchbrechung möglich ist. Der in Absatz 1 aufgestellte Grundsatz der Erforderlichkeit bleibt unberührt, gilt also weiterhin. Die Tatbestände des Abs. 3 Satz 1 schränken als gesetzliche Ermächtigung das Recht auf informationelle Selbstbestimmung ein. Sie sind wegen der Bedeutung des Grundrechtes eng auszulegen.
Nach Nummer 1 ist eine Zweckentfremdung zulässig, wenn eine Rechtsvorschrift (siehe die Erläuterungen zu § 7 Abs. 1) dies vorsieht oder zwingend voraussetzt. Die erste Alternative liegt vor, wenn eine Norm die Nutzung zu einem anderen Zweck ausdrücklich anordnet oder zulässt. Durch die Variante "zwingend voraussetzt" werden Bestimmungen berücksichtigt, die zur Datenverarbeitung keine ausdrücklichen Regelungen treffen. Das zweckfremde Nutzen muss sich aber aus der Norm zwingend ergeben, eine andere Interpretation der Norm darf nicht möglich sein. Sofern die Aufgaben auch ohne Änderung des Zweckes erfüllt werden können, etwa durch ein neues Erheben oder den Verzicht auf personenbezogene Daten, fehlt es an dem Erfordernis der zwingenden Voraussetzung. Zur Problematik der Anwendung der zweiten Alternative siehe die Erläuterungen zu § 7 Abs. 1.
Nummer 2 lässt eine Zweckänderung zu, wenn die betroffene Person einwilligt. Die Anforderung an eine rechtswirksame Einwilligung enthält § 8 Abs. 1.
Ein zweckfremdes Nutzen ist auch zulässig, wenn es im Interesse des Betroffenen liegt (was pflichtgemäß zu prüfen ist) und davon ausgegangen werden kann, dass er seine Einwilligung zur Zweckänderung erteilen würde, Nummer 3. Aber auch in diesen Fällen muss die Verwaltung sich darum bemühen, zunächst die Einwilligung der betroffenen Person zu erlangen, bevor sie die Daten auf dieser Grundlage nutzt. Die Norm ist vor allem dann anzuwenden, wenn der Betroffene nicht oder nur unter unverhältnismäßigem Aufwand um eine Einwilligung gebeten werden kann, beispielsweise weil er nicht erreichbar ist oder die Einwilligung wegen der offensichtlichen Interessenlage entbehrlich ist. Eine Entscheidung liegt im Interesse des Betroffenen, wenn sie für ihn objektiv nützlich ist. Dies ist auch der Fall, wenn der Betroffene durch das Verwaltungsverfahren nicht mehr so stark belastet wird, z. B. wenn Zeitaufwand oder Kosten reduziert werden. Enthält eine Maßnahme sowohl Vor- als auch Nachteile, kommt es auf den positiven Saldo an. Nicht ausreichend für die Annahme eines Vorteils ist, wenn ein Nachteil ausgeschlossen werden kann. Unerheblich dagegen ist, ob es sich um einen materiellen oder einen ideellen Vorteil handelt.
Nach Nummer 4 ist eine Zweckänderung zulässig, wenn Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen. In diesem Fall wird dem Grundsatz rechtmäßiger Aufgabenerfüllung Priorität zuerkannt. Dies kann auch durchaus im Interesse der betroffenen Person liegen, die sonst möglicherweise späteren Erstattungsansprüchen oder anderen Maßnahmen der öffentlichen Verwaltung ausgesetzt ist. Für die Annahme von tatsächlichen Anhaltspunkten spricht, wenn Angaben des Betroffenen widersprüchlich sind oder gar objektiv nicht zutreffen. Nicht tätig werden darf die öffentliche Stelle aufgrund von Vermutungen oder subjektiven Annahmen. Vor diesem Hintergrund ist es nicht ausreichend, dass der Betroffene zu einer Personengruppe gehört, von der häufiger unrichtige Angaben getätigt werden. Unzulässig ist ein Vergleich von Angaben eines oder mehrerer Betroffener zu dem Zweck, unrichtige Angaben zu erkennen (sog. präventiver Datenabgleich). Die Anhaltspunkte können sich aus Angaben des Betroffenen selbst oder aus anderen Erkenntnisquellen (Medien, Mitteilungen Dritter) ergeben.
Eine Zweckänderung von personenbezogenen Daten ist ebenfalls zulässig (Nummer 5), wenn sie von der öffentlichen Stelle unmittelbar aus allgemein zugänglichen Quellen entnommen wurden oder werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte. Da die in Betracht kommenden Daten bereits in der Öffentlichkeit verfügbar sein müssen oder publiziert worden sind beziehungsweise werden können, bestehen keine Bedenken, wenn unter diesen Voraussetzungen eine Zweckänderung zugelassen wird. Gleichwohl ist dies in denjenigen Fällen unzulässig, in denen das Geheimhaltungsinteresse der betroffenen Person einer solchen Verwendung der Daten offensichtlich entgegensteht. Beispiele für allgemein zugängliche Quellen sind Massenmedien (auch das Internet), Publikationen und öffentliche Register.
Die Nummern 6 bis 8 enthalten Voraussetzungen für den Bereich des Polizei- und Ordnungsrechts. In diesem Zusammenhang sind insbesondere die gemäß § 2 Abs. 4 Satz 1 vorrangigen spezialgesetzlichen Regelungen zu beachten, insbesondere die Strafprozessordnung und das Sicherheits- und Ordnungsgesetz.
Unter den engen Voraussetzungen der Nummer 9 kann eine Zweckbindung aufgehoben werden, um die Forschung zu ermöglichen. Zuvor ist zu prüfen, ob das wissenschaftliche Interesse an der Forschung größer ist als das Interesse der betroffenen Person an der Geheimhaltung der Daten. Dies hängt in erster Linie von der Art der Daten ab. Gibt es Zweifel bei dieser Interessenabwägung, muss die Zweckänderung auf dieser Grundlage unterbleiben. In diesem Fall dürfen die Daten nur genutzt werden, wenn die betroffene Person eingewilligt hat. Außerdem ist nachzuweisen, dass der Zweck der Forschung nicht oder nur mit unverhältnismäßigem Aufwand auf andere Weise erreicht werden kann. Werden personenbezogene Daten auf dieser Basis genutzt, gelten die weiteren Bestimmungen des § 34.
Nach Satz 2 muss der andere Zweck im Fall der Zweckänderung hinreichend bestimmt sein. Es ist also der konkrete Zweck zu bezeichnen, für den die Daten genutzt werden sollen.
Satz 3 hebt den Vorrang besonderer Amts- oder Berufsgeheimnisse (z. B. Schweigepflicht der Ärzte oder Berufspsychologen sowie das Sozialgeheimnis und das Steuergeheimnis) gegenüber einer Zweckänderung hervor. Ein solches Geheimnis steht einer Zweckänderung entgegen, es sei denn, es liegt die Einwilligung der betroffenen Person dazu vor oder eine Rechtsvorschrift bestimmt, dass diese besonders geschützten Daten für einen anderen Zweck genutzt werden dürfen. Beispielsweise werden Patientendaten in einem Krankenhaus für Zwecke der ärztlichen Behandlung und Dokumentation verarbeitet. Es ist aber auch gesetzlich geregelt (§ 301 SGB V), dass bestimmte dieser der Schweigepflicht unterliegenden Daten für Abrechnungs- und weitere Zwecke an die Krankenkasse zu übermitteln sind.
In Satz 4 ist bestimmt, dass die Daten im Sinne des § 7 Abs. 2 nicht auf der Basis von Satz 1 Nummer 3 für einen anderen Zweck genutzt werden dürfen. Bei diesen besonders sensiblen Daten ist die zweckfremde Nutzung mit der Annahme eines offensichtlichen Interesses nicht zulässig. Diese Daten können nur mit ausdrücklicher Einwilligung der betroffenen Person oder aufgrund einer Rechtsvorschrift für einen anderen Zweck genutzt werden.
Die Vorschrift erlaubt eine Nutzung personenbezogener Daten durch Kontrollinstanzen, also Vorgesetzte, Aufsichts- oder Rechnungsprüfungsbehörden beziehungsweise die Weitergabe an diese, da deren Überwachungstätigkeit der recht- und zweckmäßigen Erfüllung der eigentlichen Verwaltungsaufgabe dient. Unter den Begriff der Aufsicht fallen sowohl die Fach- und Rechtsaufsicht als auch die Dienstaufsicht. Die Kontrollinstanz muss sich selbst beschränken, indem sie nur Daten in dem erforderlichen Umfang nutzt. Ob diese Beschränkung eingehalten wird, ist nachträglich anhand des Prüfauftrages feststellbar. Durch Satz 2 wird hervorgehoben, dass der Zugriff auf personenbezogene Daten nur zulässig ist, soweit dies zur Kontrolle oder Prüfung unerlässlich oder unvermeidbar ist. Daraus folgt, dass die Nutzung von personenbezogenen Daten nicht zulässig ist, wenn eine Kontrolle oder Prüfung anhand anonymisierter oder pseudonymisierter, gegebenenfalls auch verschlüsselter Daten möglich ist.
Die Verwendung der Daten zu Ausbildungs- und Prüfungszwecken soll deren praxisnahe Gestaltung sichern. Schutzwürdige Belange Betroffener dürfen dabei nicht beeinträchtigt werden. Neben der Prüfung der Erforderlichkeit ist auch eine Interessenabwägung durchzuführen. Hier ist das Interesse der öffentlichen Stelle an der Verfügbarmachung der Daten für Ausbildungszwecke abzuwägen gegen das Interesse des Betroffenen an der Erhaltung der ursprünglichen Zweckbindung. Das entgegenstehende Interesse des Betroffenen muss allerdings konkret sein. Anhaltspunkte allein reichen nicht aus. Ergibt die Prüfung, dass überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen, muss entweder von der Freigabe für Ausbildungszwecke abgesehen werden oder sind die Unterlagen zu anonymisieren. Dies gilt generell auch bei Vorgängen, die Angaben enthalten, welche besonderen Amts- oder Berufsgeheimnissen (z. B. Sozialgeheimnis, § 35 SGB I; Steuergeheimnis, § 30 AO) unterliegen.
An sich dürfen gesperrte personenbezogene Daten nicht mehr verarbeitet werden (siehe Definition in § 3 Abs. 4 Satz 2 Nr. 5). Gesperrte Daten sollen aber auch weiterhin verfügbar sein - anderenfalls hätten sie gelöscht werden können -, beispielsweise damit schutzwürdige Interessen einer betroffenen Person nicht beeinträchtigt werden (siehe § 13 Abs. 3 Nr. 2). Diese Vorschrift nennt die Ausnahmen von diesem Grundsatz. Sie erlaubt die Nutzung personenbezogener Daten ohne Einwilligung der betroffenen Person, wenn die Voraussetzungen der Nummern 1 und 2 kumulativ gegeben sind.
Nach Nummer 1 muss die Nutzung zu den genannten Zwecken unerlässlich sein. Sofern einer dieser Zwecke erfüllt werden kann, ohne dass personenbezogene Daten genutzt werden, ist die Zweckänderung nicht zulässig. Beweisnot im Sinne der Nummer 1 besteht, wenn in einem gerichtlichen oder auch Verwaltungsverfahren entscheidungserhebliche Tatsachen nur durch Vorlage dieser Daten bewiesen werden können. Das Bestehen eines erheblich überwiegenden Interesses ist ein Auffangtatbestand, dem jedoch nur in Ausnahmefällen Vorrang einzuräumen ist. Schließlich verweist diese Vorschrift auch auf die Zulässigkeit der Nutzung dieser Daten für wissenschaftliche Zwecke, soweit sie für die Durchführung der Forschungsaufgabe unerlässlich sind. Hier gilt gleichzeitig § 34.
Voraussetzung für die Nutzung gesperrter Daten ist gemäß Nummer 2 jedoch in jedem Falle, dass die Daten auch für diese Zwecke genutzt werden dürften, wenn sie nicht gesperrt wären. Eine Nutzung zu anderen als den in § 10 Abs. 2 bis 4 genannten Zwecken sowie eine Nutzung unrichtiger, unzulässig erhobener oder gespeicherter Daten ist in diesen Fällen ebenfalls unzulässig.
Diese Vorschrift stellt die besondere Zweckbindung der personenbezogenen Daten sicher, die bei der Umsetzung der Datenschutzvorschriften beziehungsweise der Sicherstellung einer fehlerfreien automatisierten Datenverarbeitung anfallen. Diese Daten dürfen auch unter den Voraussetzungen des Absatzes 3 nicht für andere Zwecke genutzt werden.
Bei personenbezogenen Daten, die allein zu Zwecken der Datenschutzkontrolle gespeichert worden sind, ergibt sich dies aus der Notwendigkeit, das Vertrauensverhältnis zum Betroffenen nicht zu gefährden. Dieser muss sich unter allen Umständen darauf verlassen können, dass seine Angaben zu keinem anderen Zweck genutzt werden.
Entsprechendes gilt für Daten, die zum Zwecke und damit zum Erhalt der Datensicherheit und des ordnungsgemäßen Betriebes der Datenverarbeitungsanlage gespeichert worden sind. Es handelt sich hierbei vor allem um Protokolldaten von Benutzern, die bei der Protokollierung im Zuge der Datensicherungsmaßnahmen nach § 21 gespeichert werden. Beispielsweise soll verhindert werden, dass diese Daten zur allgemeinen Leistungskontrolle betroffener Personen (z. B. Nutzer, Administratoren) verwendet werden. Allerdings wird eine Nutzung dieser Daten mit Einwilligung des betroffenen Mitarbeiters zugelassen. Dies kann beispielsweise sinnvoll sein, wenn sich derjenige von dem Vorwurf einer unzulässigen Verarbeitung personenbezogener Daten in einer Anwendung befreien will. Die Vorschrift wird insoweit ergänzt durch § 35 Abs. 7.
(1) Das Speichern und Verändern personenbezogener Daten ist zulässig, wenn es zur Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist.
(2) Personenbezogene Daten dürfen nur zu Zwecken ihrer zulässigen Nutzung nach § 10 und in dem dafür notwendigen Umfang gespeichert oder verändert werden.
Speichern und Verändern sind Formen der Datenverarbeitung, so dass Anforderungen des § 7 erfüllt sein müssen. § 11 regelt, unter welchen weiteren Voraussetzungen die Speicherung (siehe § 3 Abs. 4 Satz 2 Nr. 2) und Veränderung (siehe § 3 Abs. 4 Satz 2 Nr. 3) der personenbezogenen Daten bei den Stellen zulässig ist, die dieses Gesetz anzuwenden haben.
Zu Zuständigkeit und Erforderlichkeit siehe die Erläuterungen zu § 9 Abs. 1.
Reicht eine Person beispielsweise Unterlagen mit Angaben ein, die mit dem verfolgten Anliegen in keinem erkennbaren Zusammenhang stehen, dürfen die zusätzlichen Daten nicht gespeichert werden. Nicht erforderlich wäre z. B. auch die Aufbewahrung von Unterlagen durch eine Behörde, die diese nur zu prüfen hätte (z. B. Einkommensnachweise). In diesem Fall wäre es ausreichend, wenn die öffentliche Stelle lediglich vermerkt, dass entsprechende Nachweise vorgelegen haben.
Absatz 2 nennt weitere Zulässigkeitsvoraussetzungen. Es muss eine zulässige Nutzung nach § 10 bezweckt sein, womit auch die Anforderungen dieser Bestimmung erfüllt sein müssen. Das Merkmal des notwendigen Umfangs ist beispielsweise dann nicht gegeben, wenn eine Behörde Datensätze speichert, die ein oder mehrere Datenfelder enthalten, die die Behörde nicht nutzen darf.
Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten zum Zwecke der Bewertung einzelner Persönlichkeitsmerkmale beruhen, sondern sind in jedem Einzelfall durch eine natürliche Person zu überprüfen. Satz 1 gilt nicht, wenn
1. ein Gesetz dies vorsieht oder
2. der Betroffene vor der Entscheidung die Möglichkeit erhält, seine besonderen persönlichen Interessen geltend zu machen.
Die Vorschrift setzt Artikel 15 der Richtlinie um. Diese Norm ist daher bei der Auslegung in strittigen Einzelfällen zu berücksichtigen.
Eine automatisierte Entscheidung ist gegeben, wenn eine Vielzahl von Informationen über die betroffene Person zusammengeführt und ausschließlich automatisiert bewertet wird. Sie liegt nicht vor, wenn einzelne Merkmale automatisiert für eine Vorauswahl zusammengestellt werden, die endgültige Entscheidung aber eine natürliche Person trifft. Beispielsweise ist die Norm anzuwenden bei Verfahren, mit denen die Kreditwürdigkeit von Sparkassenkunden bewertet wird (Einnahmen, Ausgaben und weitere Daten werden mit Punkten bewertet und danach wird das Kreditrisiko ermittelt - sog. Scoring-Verfahren) oder wenn aus Angaben über berufliche Leistungen eine Rangliste erstellt wird, auf deren Grundlage ein Mitarbeiter beurteilt oder befördert werden soll. Die Vorschrift ist aber nicht anzuwenden, wenn reine Messwerte verarbeitet werden, z. B. aus medizinischen Untersuchungen.
Die Auswirkungen der Entscheidung müssen rechtliche Folgen oder erhebliche Beeinträchtigungen für den Betroffenen sein. Die Bestimmung kommt auch dann zur Anwendung, wenn eine Entscheidung lediglich positive rechtliche Auswirkungen für den Betroffenen hat. Erhebliche Beeinträchtigungen können sowohl rechtlicher als auch tatsächlicher Natur sein.
Ausnahmsweise dürfen abweichend von Satz 1 Ergebnisse automatisierter Einzelentscheidungen verwendet werden, wenn ein Gesetz dies vorsieht. Diese gesetzliche Grundlage muss "Garantien zur Wahrung der berechtigten Interessen der betroffenen Person" (Art. 15 Abs. 2 Buchstabe a der Richtlinie) festlegen. Des Weiteren sind automatisierte Einzelentscheidungen immer dann zulässig, wenn der betroffenen Person ermöglicht wurde, ihre persönlichen Interessen geltend zu machen. Dies setzt voraus, dass ihre Äußerungen von der Daten verarbeitenden Stelle zur Kenntnis genommen und bei der Entscheidungsfindung berücksichtigt wurden.
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Sind personenbezogene Daten in nicht-automatisierten Dateien oder Akten zu berichtigen, so soll in geeigneter Weise kenntlich gemacht werden, zu welchem Zeitpunkt und aus welchem Grunde sie unrichtig waren oder geworden sind. Personenbezogene Daten sind zu ergänzen, wenn der Zweck der Speicherung oder das berechtigte Interesse des Betroffenen dies erfordern.
(2) Personenbezogene Daten sind zu löschen, wenn
1. sie unrichtig sind und die Daten verarbeitende Stelle keine Kenntnis der richtigen Daten erlangen kann,
2. ihre Erhebung unzulässig war,
3. ihre Speicherung unzulässig ist oder
4. ihre Speicherung zur Erfüllung der in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe nicht mehr erforderlich ist.
(3) An Stelle der Berichtigung oder Löschung tritt eine Sperrung, solange
1. einer Löschung nach Absatz 2 Nr. 4 Rechtsvorschriften entgegenstehen,
2. Grund zur Annahme besteht, dass durch die Berichtigung oder Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden,
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist oder
4. es der Betroffene nach § 25 verlangt.
(4) Sind personenbezogene Daten in Akten oder nicht-automatisierten Dateien gespeichert, ist die Löschung nach Absatz 2 Nr. 4 nur durchzuführen, wenn die gesamte Akte oder nicht-automatisierte Datei zur Aufgabenerfüllung nicht mehr erforderlich ist. Soweit hiernach eine Löschung nicht in Betracht kommt, sind die Daten zu sperren.
(5) Gesperrte Daten sind gesondert zu speichern. Ist dies nicht möglich, so sind die Daten mit einem entsprechenden Vermerk zu versehen. Gesperrte Daten dürfen über ihre Speicherung hinaus, außer zu Zwecken ihrer zulässigen Nutzung und in den Fällen des § 7 Absatz 5 nicht mehr verarbeitet werden. Gesperrte Daten dürfen vor Ablauf ihrer Sperrfrist nur verändert oder gelöscht werden, wenn ein Grund für eine Berichtigung gegeben ist; in diesem Falle ist der ursprüngliche Zustand zu dokumentieren.
(6) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, darf eine Löschung erst erfolgen, wenn das zuständige öffentliche Archiv die Übernahme abgelehnt oder über sie nicht fristgerecht entschieden hat.
(7) Werden durch eine Daten verarbeitende Stelle unrichtige, unzulässig erhobene oder unzulässig gespeicherte Daten berichtigt, gesperrt oder gelöscht, so benachrichtigt diese andere Stellen, die diese Daten ebenfalls verarbeiten, insbesondere die Empfänger von Übermittlungen. Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßig hohen Aufwand erfordern würde und kein Grund zur Annahme besteht, dass dadurch schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
Unrichtig sind Daten, wenn sie
- von vornherein falsch waren, z. B. ein falsches Geburtsdatum in der Personalakte. Hier ist unverzüglich zu berichtigen.
- später unrichtig werden, z. B. durch Anschriftenänderung bei Umzug oder Familienstandsänderung nach Eheschließung. Häufig werden die nunmehr unrichtigen Daten ohnehin als Historie erhalten bleiben müssen beispielsweise im Personenstandswesen, so dass der Zeitraum ihrer Gültigkeit und der Grund der Unrichtigkeit erkennbar bleiben.
- dadurch zu falschen Schlüssen zwingen, dass sie unvollständig sind, aber den Anspruch auf Vollständigkeit erheben. Dies kann der Fall sein, wenn etwa Daten über die Einleitung von strafrechtlichen Ermittlungsverfahren ohne Hinweis auf einen rechtskräftigen Freispruch gespeichert bleiben.
Berichtigen bedeutet, dass die gespeicherten Daten in Übereinstimmung mit der Realität zu bringen sind. Dies kann durch Verändern (inhaltliche Umgestaltung der gespeicherten Daten), vollständiges oder teilweises Löschen oder durch Speichern ergänzender (bei Unvollständigkeit), neu erhobener (Fortschreibung) Daten geschehen. Ein vorher aus den Daten unrichtig hervorgehender Sachverhalt wird somit richtig dargestellt.
Ein modifiziertes Berichtigungsverfahren schreibt Satz 2 für die Daten außerhalb automatisierter Dateien vor, ohne jedoch Art und Weise vorzugeben. Bei Akten soll in der Form berichtigt werden, wie Schutzzwecke der Norm und Eigenart der jeweiligen Akte es am sinnvollsten erscheinen lassen. Deshalb muss z. B. in umfangreichen Akten ein mehrfach enthaltenes unrichtiges personenbezogenes Datum nicht an jeder einzelnen Stelle berichtigt werden, dies kann auch durch einen der Akte vorangestellten Vermerk geschehen.
Nach Abs. 2 Nr. 1 bis 4 sind personenbezogene Daten zu löschen, wenn eine der hier genannten Gegebenheiten zutrifft. Ein Fall der Nummer 1 liegt beispielsweise vor, wenn die betroffene Person nicht erreicht werden kann oder wenn sich ein Sachverhalt nicht mehr rekonstruieren lässt. Eine unzulässige Speicherung nach Nummer 2 oder 3 ist immer dann gegeben, wenn eine Rechtsgrundlage oder die Einwilligung der betroffenen Person hierfür gefehlt hat oder die Speicherung durch eine spezielle Rechtsvorschrift ausgeschlossen ist.
Statt zu löschen sind Daten zu sperren (siehe § 3 Abs. 4 Satz 2 Nr. 5), wenn einer der in Nummer 1 bis 4 genannten Tatbestände vorliegt. Es ist untersagt, gesperrte Daten weiter zu verarbeiten oder zu nutzen. Die Sperrung erfolgt durch eine entsprechende Kennzeichnung des Datensatzes, die geeignet ist, diesen besonderen Status der personenbezogenen Daten zu dokumentieren.
Nach Nummer 1 sind Daten z. B. zu sperren, wenn gesetzliche Aufbewahrungsfristen einzuhalten sind.
Nummer 2 fordert die Sperrung, wenn anzunehmen ist, dass Berichtigen oder Löschen der Daten schutzwürdige Belange der betroffenen Person beeinträchtigen würden. Hierbei sind die schutzwürdigen Interessen weit auszulegen. Insbesondere soll vermieden werden, dass für die betroffene Person wichtige Beweismittel durch das Löschen vernichtet werden. Das wird immer dann anzunehmen sein, wenn die speichernde Stelle unrichtige, unzulässig erhobene oder gespeicherte Daten bereits so genutzt hat, dass der betroffenen Person daraus Schaden entstanden ist oder entstehen kann, oder wenn anzunehmen ist, dass dies bei anderen Stellen (z. B. bei Empfängern von Übermittlungen) eingetreten ist oder eintreten kann. In diesem Fall ist die betroffene Person nach § 23 auch zu benachrichtigen.
Daten sind gemäß Nummer 3 zu sperren, wenn die Löschung einen unverhältnismäßig hohen Aufwand, insbesondere wegen der Art der Speicherung, darstellt. Das wird in der Regel jedoch nur auf Akten und umfangreiche nicht-automatisierte Dateien zutreffen.
Letztendlich sind die Daten nach Nummer 4 zu sperren, wenn es die betroffene Person unter den Voraussetzungen des § 25 verlangt (erklärter Wille).
Ergänzend zu Absatz 3 regelt Absatz 4 einen weiteren Fall, in dem die Sperrung an Stelle der Löschung tritt. Aus der Bestimmung ergibt sich, dass unter den Voraussetzungen des Abs. 2 Nr. 4 auch Daten in Akten und nicht-automatisierten Dateien grundsätzlich zu löschen sind. Sie sind nur dann lediglich zu sperren, soweit ihre Löschung dazu führen würde, dass auch nicht zu löschende Daten gelöscht würden.
Gesperrte Daten sind gesondert zu speichern, so dass sie beispielsweise beim Lesen des Datensatzes nicht mehr ohne weiteres sichtbar sind (siehe auch § 7 Abs. 5). Ist das nicht möglich, dann sind sie so zu kennzeichnen, dass ihre unbeabsichtigte Verarbeitung oder Nutzung weitgehend ausgeschlossen werden kann. Außer zu Zwecken ihrer (eingeschränkten) zulässigen Nutzung dürfen gesperrte Daten über ihre Speicherung hinaus nicht weiterverarbeitet werden. Gesperrte Daten dürfen, auch wenn ihre Nutzung zulässig ist, nicht verändert oder gelöscht werden.
Diese Rechtsvorschrift räumt der Archivierung von Unterlagen Vorrang vor einer Löschung ein. Ob eine Daten verarbeitende Stelle verpflichtet ist, einem Archiv Unterlagen anzubieten, ergibt sich aus § 6 i. V m. § 2 Abs. 2 Satz 1 LArchivG M-V. Sofern also eine solche Verpflichtung besteht, dürfen die Daten erst gelöscht werden, wenn das Archiv die Übernahme ablehnt oder nicht innerhalb von drei Monaten über die Archivwürdigkeit entschieden (§ 6 Abs. 4 LArchivG M-V) beziehungsweise die angebotenen Unterlagen nicht innerhalb eines Jahres übernommen (§ 7 Abs. 2 LArchivG M-V) hat. Der Begriff Unterlagen ist im Sinne des Landesarchivgesetzes auszulegen und umfasst nach dessen § 3 Abs. 2 unter anderem Dateien sowie sonstige Informationsträger und die zu ihrer Erschließung und Nutzung erforderlichen Hilfsmittel (z. B. Programme).
Diese Vorschrift verpflichtet jede Daten verarbeitende Stelle, von Amts wegen alle anderen diese Daten verarbeitenden Stellen zu benachrichtigen, wenn sie unrichtige, unzulässig erhobene oder unzulässig gespeicherte Daten berichtigt, sperrt oder löscht. Dies trifft insbesondere auf Datenübermittlungen zu. Die Daten verarbeitende Stelle muss ihre Datenverarbeitung auf diese Verpflichtung hin organisieren. Das bedeutet, dass sie die Datenübermittlung nachvollziehbar zu gestalten hat und ihre Dokumentation so einrichten muss, dass Nachberichte einwandfrei durchgeführt werden können. Die Rechte der betroffenen Person können nur angemessen gewahrt werden, wenn alle anderen verarbeitenden Stellen Kenntnis über die geänderten Daten erhalten und sich entsprechend verhalten können.
Die Benachrichtigung kann unterbleiben, wenn sie einen unverhältnismäßig hohen Aufwand erfordern würde und nicht anzunehmen ist, dass dadurch schutzwürdige Belange der betroffenen Person beeinträchtigt werden. Da die Datenverarbeitung revisionsfähig sein muss (siehe § 21 Abs. 2 Nr. 5), kann beispielsweise ein unverhältnismäßig hoher Aufwand nicht hinsichtlich des Feststellens von Datenempfängern vorliegen, denn die müssen dokumentiert sein. Von einem unverhältnismäßig hohen Aufwand kann z. B. ausgegangen werden, wenn eine Korrektur der Daten (einfacher Schreibfehler) zu keiner wesentlichen Änderung des Dateninhalts führt.
Abs. 7 Satz 1 ist im Lichte von § 1 auszulegen und anzuwenden. Schutzwürdige Belange Betroffener können deshalb im Einzelfall ebenfalls Ausnahmen von der Nachberichtspflicht bedingen, müssen aber besonders geprüft und festgestellt werden. Dies ist dann der Fall, wenn die Belastung für den Betroffenen erst durch den Nachbericht entstünde.
(1) Die Übermittlung personenbezogener Daten an Stellen innerhalb des öffentlichen Bereichs ist zulässig, wenn dies zur Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist oder wenn die Nutzung der Daten zur Erfüllung einer in der Zuständigkeit des Empfängers liegenden Aufgabe erforderlich und nach § 10 zulässig ist.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. (
3) Für die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften gelten die Absätze 1 und 2 entsprechend, sofern sichergestellt ist, dass bei dem Empfänger ausreichend Datenschutzmaßnahmen getroffen werden. Die Feststellung trifft das Innenministerium im Einvernehmen mit dem Landesbeauftragten für den Datenschutz.
Der Regelungsgehalt der Vorschrift bezieht sich als Folge der Richtlinienumsetzung nunmehr gemäß § 3 Abs. 7 sowohl auf inländische öffentliche Stellen als auch auf öffentliche Stellen der EU, ihrer Mitgliedsstaaten und anderer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum. Die Mitgliedsstaaten der EU sind verpflichtet, ein einheitliches Datenschutzniveau zu schaffen. Somit wird der Datenverkehr zwischen öffentlichen Stellen der EU vereinfacht.
Es gibt zwei alternative Voraussetzungen für die Zulässigkeit der Übermittlung:
1. Erforderlichkeit für die Aufgabenerfüllung der übermittelnden Stelle
2. Erforderlichkeit für die Aufgabenerfüllung der empfangenden Stelle und Vorliegen der Voraussetzungen des § 10.
Zu Erforderlichkeit und Zuständigkeit siehe die Erläuterungen zu § 9 Abs. 1.
Die übermittelnde Stelle hat zu prüfen, ob die Datenübermittlung zur rechtmäßigen Erfüllung ihrer eigenen Aufgaben erforderlich ist. Erfolgt die Datenübermittlung dagegen auf Ersuchen des Empfängers, muss die übermittelnde Stelle lediglich prüfen, ob die empfangende Stelle für die genannten Aufgaben zuständig ist. Sie hat nicht in jedem Fall zu überprüfen, ob die Daten für den konkreten Fall gebraucht werden. Hierfür trägt die empfangende Stelle die Verantwortung. Ergeben sich jedoch im Einzelfall Zweifel, ob die Daten tatsächlich benötigt werden, etwa weil sie für Nachweiszwecke oder als Entscheidungsgrundlagen nicht geeignet sind, so muss bereits die übermittelnde Stelle die volle Erforderlichkeit der Datenübermittlung prüfen. Die empfangende Stelle muss diese Prüfung nach Satz 2 ermöglichen und unterstützen.
Sowohl die übermittelnde Stelle als auch die empfangende Stelle haben im Regelfall die Datenübermittlung zu dokumentieren. Nur so kann man den Anforderungen des § 24 Abs. 1 Satz 1 Nr. 2 gerecht werden, wonach dem Betroffenen bei einem Auskunftsersuchen auch die Herkunft und die Empfänger der Daten mitzuteilen sind. Für die übermittelnde Stelle ergibt sich diese Verpflichtung grundsätzlich aus § 21 Abs. 2 Nr. 5, für die empfangende Stelle aus Nr. 4 dieser Bestimmung. Bei vorhersehbaren Übermittlungen muss außerdem der Empfänger in das Verfahrensverzeichnis nach § 18 Abs. 1 Nr. 5 aufgenommen werden. Des Weiteren ist der Betroffene schon bei der Datenerhebung über Empfänger beabsichtigter Übermittlungen zu unterrichten (§ 9 Abs. 3 Satz 1).
Zu Abs. 3
Öffentlich-rechtliche Religionsgesellschaften nehmen vielfältige öffentliche Aufgaben wahr. Daher regelt sich die Übermittlung personenbezogener Daten an öffentlich-rechtliche Religionsgesellschaften nach den Zulässigkeitskriterien der Absätze 1 und 2. Das heißt, sie muss zur Aufgabenerfüllung der Religionsgesellschaft erforderlich sein; gleichzeitig sind die Bestimmungen zur Zweckbindung - § 10 - zu beachten. Folglich muss die Religionsgesellschaft den Verwendungszweck der angeforderten Daten angeben und sich verpflichten, diese nur für den angegebenen Zweck zu verwenden. Zusätzlich ist zu prüfen werden, ob die Religionsgesellschaft ausreichende Datenschutzmaßnahmen getroffen hat, die im Ergebnis mit den Regelungen des DSG M-V vergleichbar sind. Hat sie eigene Datenschutzregelungen erlassen, die im Wesentlichen den staatlichen Datenschutzgesetzen entsprechen, kann von gleichwertigen Datenschutzmaßnahmen ausgegangen werden. Die Feststellung, ob von einem ausreichenden Datenschutzniveau ausgegangen werden kann, trifft das Innenministerium im Einvernehmen mit dem Landesbeauftragten für den Datenschutz.
(1) Die Übermittlung personenbezogener Daten an inländische Stellen außerhalb des öffentlichen Bereichs ist zulässig, wenn dies zur Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist oder wenn die Nutzung der Daten zur Erfüllung einer in der Zuständigkeit des Empfängers liegenden Aufgabe erforderlich und nach § 10 zulässig ist. Darüber hinaus ist sie zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. In diesem Falle unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung. Dies gilt nicht, wenn er davon auf andere Weise Kenntnis erlangt oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
Für die Übermittlung an nicht-öffentliche Stellen nach Satz 1, 1. Alternative wird auf die Erläuterungen zu den gleichlautenden Voraussetzungen des § 14 Abs. 1, 1. Alternative verwiesen.
Satz 1, 2. Alternative ("oder wenn ... zulässig ist") ist aufgrund eines Redaktionsversehens aus § 14 Abs. 1 in § 15 Abs. 1 übernommen worden. Die Begriffe "Zuständigkeit" und "Aufgabe" sind nicht auf nicht-öffentliche Stellen anwendbar. Aus der Begründung zum Gesetzentwurf ergibt sich zudem eindeutig, dass keine inhaltliche Änderung des entsprechenden § 13 DSG MV 92 beabsichtigt war. Die Einfügung hat folglich keine Bedeutung. Eine Datenübermittlung kann daher nicht auf Satz 1, 2. Alternative gestützt werden.
Nach Satz 2 ist die Übermittlung zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der fraglichen Daten glaubhaft darlegt. An das berechtigte Interesse werden gegenüber dem rechtlichen Interesse geringere Anforderungen gestellt. Ausreichend ist ein verständiges, durch die Sachlage gerechtfertigtes Interesse, das gerade nicht rechtlicher Natur sein muss. Hierzu zählen wirtschaftliche, soziale, kulturelle und ideelle Interessen. In der Praxis wird am häufigsten das wirtschaftliche Interesse vorkommen. Dies kann bei Privatpersonen auch die Geltendmachung eines Schadensersatzanspruchs sein.
Das Vorliegen eines berechtigten Interesses ist glaubhaft darzulegen. Dies bedeutet, dass gegenüber der übermittelnden Stelle anhand von nachvollziehbaren Tatsachen die Schlüssigkeit des Informationsbegehrens nachzuweisen ist. Die bloße Behauptung reicht nicht aus. Eine eidesstattliche Versicherung ist im Regelfall nicht erforderlich, wenn sich aus den vorgetragenen Anhaltspunkten das Vorliegen eines berechtigten Interesses plausibel ergibt. Es genügt eine überwiegende Wahrscheinlichkeit.
Wird das berechtigte Interesse bejaht, so hat die öffentliche Stelle weiterhin zu prüfen, ob schutzwürdige Interessen des Betroffenen durch die Übermittlung beeinträchtigt würden. Nicht schutzwürdig ist beispielsweise das Interesse eines Schuldners, dass seinem Gläubiger nicht seine Adresse übermittelt wird. Nur wenn die öffentliche Stelle schutzwürdige Interessen des Betroffenen ausschließen kann, darf sie übermitteln. Soweit dies nicht offenkundig ist oder der Betroffene der Übermittlung nicht zugestimmt hat, wird er dazu vor der beabsichtigten Übermittlung zu hören sein.
Wenn eine Übermittlung gemäß Satz 2 stattfinden soll, ist der Betroffene nach Satz 3 zu benachrichtigen. Die Ausnahmen des Satzes 4 sind eng auszulegen. Dies bedeutet für die erste Alternative, dass sich die übermittelnde Stelle von der Kenntnisnahme des Betroffenen überzeugt hat; insbesondere Überlegungen, der Betroffene "hätte kennen müssen", reichen hierfür nicht aus. Gefährdungen und Nachteile im Sinne des Satzes 4 dürfen nicht unerheblich sein.
Um sicherzustellen, dass der Empfänger von Daten diese nur für den Zweck verarbeitet oder nutzt, für den sie ihm übermittelt worden sind, kann die übermittelnde Stelle Auflagen erteilen oder ergänzende Vereinbarungen abschließen, die - je nach Situation - bei Zuwiderhandlungen zu Vertragsstrafen, Schadensersatzpflichten, außerordentlichen Kündigungsrechten, Ausschluss von künftigen Informationen oder ähnlichem führen können.
Eine Verarbeitung oder Nutzung für andere Zwecke gemäß Satz 4 ist nur in den engen Grenzen des Absatzes 1 zulässig. Weitere Voraussetzung ist, dass die übermittelnde Stelle zustimmt.
Die zweckwidrige, die Voraussetzungen des Satzes 4 nicht einhaltende Weitergabe der Daten durch die empfangende Stelle an einen Dritten ist strafbewehrt (vgl. § 42 Abs. 2 Nr. 2) und kann mit Freiheitsstrafe bis zu einem Jahr - im Falle des § 42 Abs. 3 bis zu zwei Jahren - oder mit Geldstrafe bestraft werden. Ebenso wird der Datenempfänger bestraft, wenn er sich Auskünfte durch unrichtige Angaben erschleicht (§ 42 Abs. 2 Nr. 1). Vor diesem Hintergrund kommt der Dokumentation dieser Datenübermittlung noch eine weitere Bedeutung zu (zum Dokumentationserfordernis vgl. Erläuterungen zu § 14 Abs. 2).
(1) Für die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen in Mitgliedsstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gilt § 15 Absatz 1 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Verordnungen. Eine Übermittlung unterbleibt, soweit Grund zu der Annahme besteht, dass durch sie gegen den Zweck eines deutschen Gesetzes verstoßen wird.
(2) Für die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sowie an sonstige über- und zwischenstaatliche Stellen gilt § 15 Absatz 1 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Verordnungen, wenn im Empfängerland ein angemessener Datenschutz gewährleistet ist. Dies gilt nicht, soweit Grund zu der Annahme besteht, dass durch sie gegen den Zweck eines deutschen Gesetzes verstoßen wird.
(3) Sofern im Empfängerland kein angemessener Datenschutz gewährleistet ist, ist eine Übermittlung zulässig, wenn
1. der Betroffene seine Einwilligung erteilt hat,
2. die Übermittlung zur Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
3. die Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist,
4. die Übermittlung aus einem für die Information der Öffentlichkeit bestimmten Register erfolgt und die Voraussetzungen für die Einsichtnahme im Einzelfall vorliegen oder
5. die empfangende Stelle ausreichende Garantien für den Schutz der Grundrechte bietet und die für die übermittelnde Stelle zuständige Rechtsaufsichtsbehörde die Übermittlung genehmigt.
(4) Die Angemessenheit des Datenschutzes im Empfängerland wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die beim Empfängerland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.
(5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Die empfangende Stelle ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.
(6) Die übermittelnde Stelle teilt dem Landesbeauftragten für den Datenschutz ihre Feststellung über die Angemessenheit des Datenschutzes im Empfängerland mit. Ferner teilt sie ihm die nach Absatz 3 Nr. 5 erteilten Genehmigungen der Rechtsaufsichtsbehörde mit. Der Landesbeauftragten für den Datenschutz teilt die nach Absatz 3 Nr. 5 erteilten Genehmigungen der Rechtsaufsichtsbehörde dem Bund mit.
§ 16 setzt Art. 1 Abs. 2 sowie Art. 25 und 26 der Richtlinie um. Die Vorschriften über die Datenübermittlung in Staaten, die nicht Mitglieder der EU sind oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (siehe dazu die Erläuterungen zu § 3 Abs. 6) angehören, können in Mecklenburg-Vorpommern vor allem im Rahmen der Zusammenarbeit im Ostseeraum von Bedeutung sein.
Die Richtlinie verfolgt das Ziel, den Datenverkehr innerhalb der Europäischen Union zu vereinfachen. Zu diesem Zweck verpflichtet sie die Mitgliedstaaten, ein einheitliches Datenschutzniveau zu schaffen. Ist dieses erreicht, darf die Datenübermittlung an die nicht-öffentlichen Stellen der anderen Mitgliedstaaten nicht an höhere Voraussetzungen geknüpft werden, als sie für Übermittlungen im Mitgliedstaat selbst gelten. Diese Grundsätze gelten auch für die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, da diese Staaten mit Datum vom 1. Juli 2000 die Richtlinie übernommen haben. Dem trägt Absatz 1 Rechnung. Die Übermittlung an nicht-öffentliche Stellen richtet sich somit nach den Voraussetzungen des § 15 Abs. 1. Sofern es für die Datenübermittlung besondere, § 15 Abs. 1 ergänzende oder ihn gar ausschließende Bestimmungen in anderen Gesetzen und Verordnungen gibt, sind diese neben den oder gegebenenfalls anstelle der Voraussetzungen des § 15 Abs. 1 zu beachten ("nach Maßgabe der für diese Übermittlung geltenden Gesetze und Verordnungen").
Satz 2 enthält eine Ausnahme für die Datenübermittlung. Diese hat zu unterbleiben, soweit Grund zu der Annahme besteht, dass durch sie gegen den Zweck eines deutschen Gesetzes verstoßen wird. Ob diese Voraussetzung vorliegt, ist im Einzelfall zu prüfen.
Satz 1 erlaubt Übermittlungen an öffentliche und nicht-öffentliche Stellen in Staaten außerhalb der EU und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (so genannte Drittstaaten) sowie an sonstige über- und zwischenstaatliche Stellen. Voraussetzung für die Übermittlung ist nach Artikel 25 der Richtlinie, dass dort ein "angemessenes Schutzniveau gewährleistet" ist. Das Schutzniveau im Empfängerstaat wird als angemessen angesehen, wenn dem Betroffenen dort in Bezug auf die Verarbeitung seiner Daten durch die dort geltenden Rechtsvorschriften und Sicherheitsmaßnahmen ein Schutz zuteil wird, der dem Kernbestand der Schutzprinzipien der Richtlinie im wesentlichen gerecht wird. Das Wort "angemessen" erlaubt ein flexibles Eingehen auf unterschiedliche landeseigene Situationen und Notwendigkeiten. Von daher wird eine vollständige Gleichwertigkeit des dortigen Schutzes im Verhältnis zur Schutzwirkung der Richtlinie in einem quantitativen Sinne nicht zu verlangen sein, vielmehr nur eine Gleichwertigkeit des Schutzes im qualitativen Sinne.
Weitere Voraussetzungen für die Datenübermittlung in Drittstaaten sind die Erfüllung der Anforderungen des § 15 Abs. 1 sowie des § 16 Abs. 2 Satz 2, der § 16 Abs. 1 Satz 2 entspricht.
Absatz 3 setzt Art. 26 Abs. 1 der Richtlinie um. Er regelt die Zulässigkeit von Übermittlungen in solche Drittstaaten, in denen kein angemessener Datenschutz besteht, und enthält damit Ausnahmen vom Grundsatz des Absatzes 2. Diese werden in den Nummern 1 bis 5 nachvollzogen.
Bei der Prüfung, ob das Schutzniveau angemessen ist, sind nach dem Art. 25 Abs. 2 der Richtlinie umsetzenden Absatz 4 vor allem folgende Aspekte zu beachten:
- Art der Daten,
- Zweckbestimmung der geplanten Verarbeitung,
- Dauer der geplanten Verarbeitung,
- das Herkunfts- und das Endbestimmungsland,
- die in dem Drittstaat geltenden allgemeinen oder sektoriellen Rechtsnormen,
- die in dem Drittstaat geltenden Standesregeln und Sicherheitsmaßnahmen.
Die Angemessenheit des Schutzniveaus ist Voraussetzung für die Übermittlung. Ihr Vorliegen muss daher von der übermittelnden Stelle selbst beachtet werden. Denkbar sind auch generelle Feststellungen durch die Bundes- oder Landesregierung. Die Angemessenheit oder ihr Fehlen werden aber auch in einem von der Richtlinie festgelegten Verfahren durch die Europäische Kommission festgestellt. Ist in einem Staat kein angemessenes Datenschutzniveau vorhanden, so hat das Daten übermittelnde Land dafür zu sorgen, dass dorthin keine Daten übermittelt werden, beispielsweise mittels entsprechender Anweisungen an die Daten verarbeitenden Stellen.
Nach Satz 1 trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit der Übermittlung. Sie ist damit auch verantwortlich für die Feststellung des angemessenen Datenschutzniveaus im Empfängerland. Soweit die Daten verarbeitende Stelle die Feststellung aus eigener Kenntnis nicht treffen kann, muss sie sich diese verschaffen, z. B. durch eine Anfrage beim Landesbeauftragten für den Datenschutz. Dies ist auch zweckmäßig im Hinblick auf eine möglichst einheitliche Entscheidungspraxis in Mecklenburg-Vorpommern.
Satz 2 dient dazu, die Zweckbindung auch nach der Übermittlung ins Ausland zu sichern.
Diese Verfahrensregelung gewährleistet ein möglichst einheitliches Vorgehen bei der Feststellung der Angemessenheit des Datenschutzes im Empfängerland. Der übermittelnden Stelle obliegt hiernach eine Mitteilungspflicht an den Landesdatenschutzbeauftragten.
(1) Ein Verbund- oder Abrufverfahren darf nur eingeführt werden, wenn dies unter Berücksichtigung der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die gesetzlichen Anforderungen an die Zulässigkeit der Datenverarbeitung bleiben unberührt. Der Landesbeauftragte für den Datenschutz ist vorab über die Einrichtung des Verfahrens zu informieren.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Verfahrens kontrolliert werden kann. Hierzu ist das Verfahrensverzeichnis nach § 18 jeder beteiligten Stelle um die Feststellung zu ergänzen, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist.
(3) Die Betroffenen können ihre Rechte mit Ausnahme der Rechte nach § 26 gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle für die Datenverarbeitung verantwortlich ist. Die beteiligten Stellen leiten die Anliegen der Betroffenen an die nach Absatz 2 zuständige Stelle weiter.
(4) Die Absätze 1 bis 3 gelten entsprechend, wenn innerhalb einer verarbeitenden Stelle ein Verbund- oder Abrufverfahren zur Verarbeitung personenbezogener Daten für verschiedene Zwecke eingerichtet wird.
(5) Nicht-öffentliche Stellen können sich an Verbund- und Abrufverfahren beteiligen, wenn eine Rechtsvorschrift dies zulässt und sie sich insoweit den Vorschriften dieses Gesetzes unterwerfen.
§ 17 enthält Sonderregelungen für die in § 3 Abs. 8 und 9 legal definierten Verbund- und Abrufverfahren. Die Vorschrift trägt der zunehmenden Automatisierung und Vernetzung der Datenverarbeitung bei den öffentlichen Stellen Rechnung. Sie geht davon aus, dass Verbundverfahren und Abrufverfahren eine erhöhte Gefährdung des Rechts auf informationelle Selbstbestimmung mit sich bringen, da diese Verfahren die Übermittlung und sonstige Verarbeitung der Daten erleichtern.
Der Anwendungsbereich des § 17 ist eröffnet, wenn Mitarbeiterinnen und Mitarbeiter einer anderen Daten verarbeitenden Stelle oder Dritte (vgl. § 3 Abs. 6) unmittelbar auf Datenbestände zugreifen können. Das Gleiche gilt, wenn an sie Daten ausschließlich programmgesteuert und automatisiert übermittelt werden, ohne dass die übermittelnde Stelle eine Einzelprüfung des Übermittlungsvorgangs durchführen kann (Beispiele siehe § 3 Abs. 8 und 9).
Verbund- und Abrufverfahren sind zu unterscheiden von der Auftragsdatenverarbeitung; bei letzterer nimmt der Auftragnehmer keine eigenen Aufgaben wahr, und es besteht eine direkte Weisungsbefugnis des Auftraggebers gegenüber dem Auftragnehmer.
Keine Verbund- und Abrufverfahren sind Verfahren, die jedermann ohne Berechtigungsprüfung benutzen kann (siehe die Erläuterungen zu § 3 Abs. 9). Bei Einrichtung und Betrieb solcher Verfahren ist vielmehr zu prüfen, ob die damit vorgehaltenen personenbezogenen Daten weltweit veröffentlicht werden dürften. Bei der Nutzung dieser Verfahren haben öffentliche Stellen ihre Erhebungs- und Speicherungsbefugnisse zu beachten.
Sollen sich an einem Verbund- oder Abrufverfahren auch nicht-öffentliche Stellen beteiligen, so ist Absatz 5 zu beachten.
Ausnahmsweise können auch für bestimmte Verfahren innerhalb einer öffentlichen Stelle die Vorschriften des § 17 Abs. 1 bis 3 gelten, siehe Absatz 4.
Bei der Einführung von Verbund- und Abrufverfahren müssen zunächst die allgemeinen Zulässigkeitsvoraussetzungen für die Verarbeitung personenbezogener Daten erfüllt sein. Die Vorschrift des § 17 befasst sich nur mit den zusätzlichen Voraussetzungen (siehe Satz 2).
Verbund- und Abrufverfahren dürfen nur eingerichtet werden, wenn eine Abwägung zwischen den schutzwürdigen Interessen der Betroffenen und den Aufgaben der beteiligten Stellen ergeben hat, dass ein solches Verfahren angemessen ist. Dies bedeutet, dass der Eingriff, der in der erleichterten Möglichkeit der Datenverarbeitung liegt, nicht außer Verhältnis zu dem angestrebten Erfolg stehen darf. Als Mindestvoraussetzung muss festgestellt werden, dass die empfangende Stelle die Daten regelmäßig, jedenfalls aber mit einer gewissen Häufigkeit, benötigt. Stellt sich innerhalb der Abwägung beispielsweise heraus, dass lediglich geringfügige Vorteile durch das Verfahren erzielt werden, aber besonders sensible Daten verarbeitet werden sollen, so kann die Einführung des Verfahrens unzulässig sein.
Es bedarf im Hinblick auf Satz 2 keiner besonderen Erwähnung durch den Gesetzgeber, dass automatisierte Abrufverfahren nur in Betrieb genommen werden dürfen, wenn vorher die technischen und organisatorischen Maßnahmen nach §§ 21 und 22 sowohl bei der übermittelnden Stelle als auch bei den Stellen, denen die Daten übermittelt werden, getroffen sind. Besondere Anforderungen bestehen beispielsweise hinsichtlich folgender Aspekte des § 21:
- Vertraulichkeit, Integrität und Verfügbarkeit: Bei der Übertragung personenbezogener Daten mit Weitverkehrsnetzen (WAN) ist mit Störungen, Abhör- und Manipulationsversuchen zu rechnen.
- Authentizität der Daten, Revisionsfähigkeit: Sowohl die Urheberschaft der personenbezogenen Daten als auch die Verantwortlichkeit für einzelne Verarbeitungsschritte - worunter auch die Übermittlungen innerhalb des Verfahrens fallen - muss sich unter den verschiedenen Beteiligten klären lassen.
- Transparenz: Die Durchschaubarkeit aller Verfahrensschritte muss in angemessener Weise gesichert sein. Es genügt nicht, nur die Teile des Verfahrens zu kennen, für die die Stelle zuständig ist, da insbesondere die Anforderungen des Absatzes 3 dann nicht erfüllt werden könnten.
Ebenso muss die Freigabe nach § 19 Abs. 1 den Besonderheiten der Verbund- und Abrufverfahren angepasst werden. Wesentliche Änderung ist hierbei auch die Erweiterung der beteiligten Stellen. Grundsätzlich hat die Freigabe des gesamten Verfahrens durch alle beteiligten Stellen zu erfolgen. Haben beteiligte Stellen aber keinen oder nur unwesentlichen Einfluss auf die Verfahrensgestaltung, beispielsweise in der Regel die abrufenden Stellen bei Abrufverfahren, so muss sich deren Freigabe nur auf ihre Anbindung an das Verfahren beziehen. Im Hinblick auf die Absätze 2 und 3 sind jedoch alle Beteiligten zumindest über wesentliche Änderungen des Verfahrens zu informieren.
Ferner normiert Absatz 1 die Pflicht zur Vorabinformation des Landesbeauftragten für den Datenschutz. Anhand einer solchen Meldung muss geprüft werden können, ob das geplante Verfahren zulässig ist. Sie muss daher enthalten:
- die im Verfahrensverzeichnis (§ 18) verlangten Angaben einschließlich derer zu § 18 Abs. 1 Nr. 7 sowie der Ergänzung gemäß § 17 Abs. 2 Satz 2,
- eine Auflistung der beteiligten Stellen und
- Ausführungen zu der in Abs. 1 Satz 1 geforderten Abwägung.
Verbund- oder Abrufverfahren müssen mittels geeigneter Methoden auf ihre Zulässigkeit hin überprüft werden können. Dies setzt voraus, dass das Verfahren ausreichend dokumentiert ist (siehe § 21 Abs. 2 Nr. 6). Möglicherweise müssen die am Verfahren Beteiligten dabei zusammenwirken; in jedem Fall muss jedem Teilnehmer eine angemessene Dokumentation zur Verfügung stehen.
Bei diesen Verfahren ist gemäß § 17 Abs. 2 Satz 2 zusätzlich in die Beschreibung für das Verfahrensverzeichnis nach § 18 jeder beteiligten Stelle aufzunehmen, für welche Verarbeitungen jede der am Verfahren teilnehmenden Stellen verantwortlich ist. Diese Zuständigkeit kann in der Praxis nach verschiedenen Kriterien differenziert sein, z. B. nach Datenverarbeitungsphasen, der Art der Daten oder dem Kreis der Betroffenen.
Zu Abs. 3
Die Tatsache, dass bei Verbund- und Abrufverfahren in der Regel nicht transparent ist, welche der beteiligten Stellen für welche Verarbeitungsschritte genau zuständig ist, darf für die Betroffenen nicht zu Schwierigkeiten bei der Rechtsdurchsetzung führen. Satz 3 und 4 legen daher ausdrücklich fest, dass sich Betroffene an jede beteiligte Stelle wenden können, um ihre Rechte auszuüben. Zu den praktisch bedeutsamen Rechten der Betroffenen gehören vor allem der Anspruch auf Auskunft über die zu ihrer Person gespeicherten Daten, das Recht auf Berichtigung unrichtiger Daten und das Recht auf Einwand gegen die Datenverarbeitung. Ausgenommen ist lediglich das Recht auf Anrufung des Landesbeauftragten für den Datenschutz (§ 26), da dieses nicht gegenüber einer anderen Stelle ausgeübt wird.
Wird eine Stelle angesprochen, die nach der internen Verteilung der Verantwortung nicht zuständig ist, so hat sie von sich aus das Anliegen der Betroffenen an die intern jeweils zuständige Stelle weiterzuleiten.
Nicht unter § 17 fallen solche Verfahren, die ausschließlich Zugriffe durch Mitarbeiterinnen und Mitarbeiter innerhalb der gleichen Daten verarbeitenden Stelle für ein und denselben Zweck ermöglichen. Die Mehrzahl von automatisierten Mehrplatzsystemen (z. B. Abteilungsrechner mit mehreren angeschlossenen Terminals) zählen hierzu.
Obwohl jedoch Verbund- und Abrufverfahren nach den Definitionen des § 3 Abs. 8 und 9 nur zwischen verschiedenen Stellen bestehen können, gelten die Vorschriften des § 17 Abs. 1 bis 3 ausnahmsweise auch innerhalb einer Daten verarbeitenden Stelle, wenn mit der Verarbeitung verschiedene Zwecke verfolgt werden (siehe § 3 Abs. 8, Beispiel Nr. 2 zu Verbundverfahren). Statt verschiedener Daten verarbeitender Stellen nehmen dann unterschiedliche Organisationseinheiten einer Stelle an dem Verfahren teil.
Im Gegensatz zu Absatz 1 darf eine nicht-öffentliche Stelle (vgl. § 2) nur dann an einem Verbund- oder Abrufverfahren teilnehmen, wenn eine Rechtsvorschrift (Gesetz, Rechtsverordnung, Satzung) dies ausdrücklich zulässt. Darüber hinaus muss sich diese Stelle insoweit den Vorschriften des DSG M-V unterwerfen, also beispielsweise den Vorschriften über die Maßnahmen zur Datensicherheit (§§ 21, 22) und der Kontrollbefugnis durch den Landesbeauftragten für den Datenschutz.
(1) Die Daten verarbeitende Stelle ist verpflichtet, in einer Beschreibung für jedes von ihr eingesetzte Verfahren festzulegen und dem behördlichen Datenschutzbeauftragten zur Führung des Verzeichnisses zu übermitteln:
1. die Bezeichnung des Verfahrens und der verarbeitenden Stelle,
2. den Zweck und die Rechtsgrundlage der Verarbeitung,
3. die Art der gespeicherten Daten,
4. den Kreis der Betroffenen,
5. den Kreis der Empfänger, denen die Daten mitgeteilt werden,
6. geplante Datenübermittlungen in Drittländer,
7. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach den §§ 21 und 22.
(2) Das Verfahrensverzeichnis ist laufend auf dem neuesten Stand zu halten. Es ist dem Landesbeauftragten für den Datenschutz auf Anforderung zu übermitteln.
(3) Die Absätze 1 und 2 gelten nicht für nicht-automatisierte Verfahren, bei denen keine personenbezogenen Daten an Dritte übermittelt werden.
Das Verfahrensverzeichnis schafft Transparenz und ermöglicht die Überwachung der Datenverarbeitung. Die Mitarbeiter der Daten verarbeitenden Stelle können sich anhand des Verzeichnisses einen Überblick über die für sie zutreffenden Arbeitsabläufe und Verfahren verschaffen. Das Verzeichnis hilft ferner bei der Erfüllung der Auskunftspflicht nach § 24, besonders dann, wenn die Angaben im Auskunftsersuchen nicht sofort zum Auffinden der gewünschten Daten führen. Des Weiteren unterstützt das Verfahrensverzeichnis die Datenschutzselbstkontrolle durch den behördlichen Datenschutzbeauftragten und die Leitung der Daten verarbeitenden Stelle sowie die Fremdkontrolle durch den Landesbeauftragten für den Datenschutz, der in Absatz 2 ausdrücklich genannt ist, oder auch durch die zuständigen Aufsichtsbehörden (Fach- beziehungsweise Rechtsaufsicht).
Es listet nicht nur die Namen der eingesetzten Verfahren auf, sondern besteht aus Beschreibungen für alle in einer Behörde genutzten automatisierten und nicht-automatisierten Verfahren (Abs. 1). Der Inhalt der Verfahrensbeschreibungen ist im Absatz 1 geregelt. Darüber hinaus ist es empfehlenswert, Verbund- oder Abrufverfahren nach § 3 Abs. 8, 9 und § 17, Verarbeitungen besonders sensibler Daten nach § 7 Abs. 2 und Verfahren mit automatisierten Einzelentscheidungen nach § 12 zu kennzeichnen, da sich bei Erstellung und Betrieb dieser Verfahren aus den genannten Bestimmungen zusätzlich zu beachtende Besonderheiten ergeben. Lediglich diejenigen nicht-automatisierten Verfahren, bei denen keine personenbezogenen Daten an Dritte übermittelt werden, brauchen nach Absatz 3 nicht in das Verzeichnis aufgenommen zu werden.
Für die Führung des Verzeichnisses ist der behördliche Datenschutzbeauftragte zuständig (§ 20 Abs. 3 Satz 5 Nr. 4 i. V. m. § 18 Abs. 1, 2. Halbsatz). Ihm sind die dafür nötigen Informationen so zur Verfügung zu stellen, dass er das Verzeichnis ständig auf dem neuesten Stand halten kann (Abs. 2). Bestimmte Teile des Verfahrensverzeichnisses dürfen von jedermann, also nicht nur von Betroffenen, eingesehen werden; dies ist in § 20 Abs. 4 im Einzelnen geregelt.
Die Bezeichnung des Verfahrens nach Nummer 1 muss eine eindeutige Zuordnung der Beschreibung zum entsprechenden Verfahren erlauben und die Gefahr der Verwechslung mit anderen Verfahren ausschließen. Die bloße Angabe einer Nummer oder Abkürzung wird hierfür in der Regel nicht genügen. Empfehlenswert ist es, dem oftmals nicht aussagekräftigen kurzen Verfahrensnamen die Bezeichnung der Verfahrensart voranzustellen, z. B. "HKR-Verfahren PROfiskal", "Polizeiinformationssystem LAPIS".
Die Bezeichnung der (Daten) verarbeitenden Stelle nach Nummer 1 bezieht sich auf die Definition in § 3 Abs. 5. Anzugeben sind der Name und gegebenenfalls die Anschrift der Stelle. Bei Verbund- oder Abrufverfahren muss gemäß § 17 Abs. 2 Satz 2 (siehe die Erläuterungen dazu) in der Verfahrensbeschreibung klargestellt werden, welche Stelle wofür verantwortlich ist. Bei großen, verschiedene Aufgabenbereiche umfassenden Stellen ist es empfehlenswert, zusätzlich den konkreten Bereich anzugeben, z. B. "Innenministerium - Polizeiabteilung", "Gemeinde XY - Meldebehörde".
Bei der Festlegung der Zweckbestimmung nach Nummer 2 sind folgende Punkte zu beachten:
- Der Zweck des Verfahrens ist schon bei dessen Konzeption, nicht erst bei der Durchführung der Datenverarbeitung zu bestimmen.
- Die Zweckbestimmung ist für das gesamte Verfahren zu ermitteln, die ungeprüfte Übernahme des Erhebungszwecks reicht nicht aus.
- Maßgeblich für die Zweckbestimmung ist die Ebene der materiellen Verwaltungsaufgaben, nicht die der Datenverarbeitungstechnik, Beispiel: nicht "Erfassung von (Eigentümer-)Daten", sondern "Gebäude- und Wohnungsstatistik 2002".
- Die Aufgabe ist allgemeinverständlich und möglichst konkret zu benennen, gegebenenfalls zu umschreiben, Beispiel: nicht "Planungsaufgaben", sondern "Planung und Verteilung der für das 3. Quartal 2002 anstehenden Sanierungsaufgaben".
- Dienen die einzelnen Datenarten unterschiedlichen Zwecken, sollten in der Regel verschiedene Verfahrensbeschreibungen angelegt werden. Wenn die Trennung schwer möglich oder unpraktisch ist oder wenn das Verfahren insgesamt mehrere Zwecke erfüllen soll, sind alle Zwecke, gegebenenfalls differenziert nach den (laufenden Nummern der) Datenarten, zu nennen, beispielsweise "Eigenheimförderung wegen X (Datenfelder Nr. 1 bis 6), Eigenheimförderung wegen Y (Datenfelder Nr. 1 bis 3 und Nr. 7 bis 9)".
Die Rechtsgrundlage der Verarbeitung (genauer: des Verfahrens) nach Nummer 2 steht in direktem Zusammenhang mit dem Zweck und sollte daher auch mit diesem zusammen genannt werden. Dabei sind die einschlägigen Vorschriften so genau wie möglich anzugeben, Beispiel: "X-Verfahren nach § 3 Abs. 5-7 Y-Gesetz und § 10 Abs. 2 Z-Gesetz".
Es ist entscheidend, dass das Verzeichnis vollständig ist. Wenn einzelne Programme oder Programmteile fälschlicherweise als jeweils eigenständige Verfahren beschrieben oder mehrere von ihnen zu weitgehend als ein Verfahren eingeordnet werden, macht dies das Verzeichnis nicht rechtswidrig, solange sich jedes von ihnen in einer Verfahrensbeschreibung findet.
Enthält die Rechtsgrundlage einen Katalog der Daten, die verarbeitet werden dürfen, so dürfen auch nur diese Daten dem Verfahren zugeführt und müssen entsprechend bezeichnet werden. Ansonsten sind die Arten der zu verarbeitenden Daten detailliert und aussagekräftig zu beschreiben. Abstraktionen und Zusammenfassungen sind nur zulässig, wenn weder der datenschutzrechtlich relevante Informationsgehalt noch die Wirksamkeit der Festlegung beeinträchtigt werden. In die Beschreibung dürfen auf keinen Fall die personenbezogenen Daten selbst aufgenommen werden. Informationstechnische Kategorien oder Angaben, die nur den Zweck wiederholen, reichen nicht aus. Da die Beschreibungen gemäß § 20 Abs. 4 in der Regel von jedermann eingesehen werden können, müssen die Inhaltsbezeichnungen allgemeinverständlich sein, gegebenenfalls bedarf es näherer Erläuterungen. Auch noch nicht besetzte Datenfelder sind in der Beschreibung festzulegen sowie die Inhalte, die in eventuell vorhandene Freitextfelder eingetragen werden dürfen.
Beispiele:
| unzulässig: | "Eingabedaten", "alphanumerische Daten", "Planungsdaten", "Personaldaten", "Daten, die für die Aufgabe XY erforderlich sind", "Meldedaten" |
| zulässig: | "Name, Straße, Wohnort, Postleitzahl", ggf. zusammengefasst zu "Adresse", "Sparkasse, Bankleitzahl, Kontonummer" oder "Bankverbindung", "Alter", "Einkommen", "Familienstand" |
Hier ist festzulegen, wer erfasst werden darf. Dies geschieht durch die Bezeichnung der allen Betroffenen gemeinsamen Merkmale, die sich aus dem Inhalt der Aufgabe und der Zweckbestimmung des Verfahrens ergeben. Die Beschreibung des Personenkreises sollte so präzise erfolgen, dass für jede beliebige Person entschieden werden kann, ob sie zum Kreis gehört oder nicht. Örtliche Angaben sind nur erforderlich, soweit sie sich nicht aus der örtlichen Zuständigkeit der verarbeitenden Stelle ergeben. Auch mehrere Personenkreise sind unter Umständen anzugeben, etwa neben den Hauptbetroffenen Angehörige oder Zeugen, die dann getrennt festzulegen sind.
Beispiele: "Antragsteller für die XY-Förderung" (sofern noch nicht entschieden), "Empfänger der XY-Förderung" (positiv entschieden), "Wohngeldempfänger", "volljährige Einwohner des Ortsteiles XY"
Die Bedeutung des Begriffs "Empfänger" ist nicht im Gesetz definiert und ergibt sich auch nicht aus anderen Regelungen im Gesetz. Der Begriff ist vielmehr aus der Richtlinie übernommen worden. Übertragen auf die im DSG M-V definierten Begriffe sind Empfänger danach sowohl Stellen (Dritte), an die Daten übermittelt werden, als auch Betroffene und Auftragnehmer, sofern sie innerhalb eines Verfahrens Daten erhalten.
Die Formulierung "denen die Daten mitgeteilt werden", bedeutet:
- Es sind nicht nur Übermittlungen im Sinne des § 3 Abs. 4 Nr. 4 gemeint, sondern alle Datenweitergaben.
- Die Mitteilungen müssen nicht regelmäßig erfolgen.
- Es kommt nicht darauf an, ob die Mitteilung auf ein Ersuchen hin erfolgt.
Es sind diejenigen Gruppen von Empfängern zu nennen, an die im Zusammenhang mit der Erfüllung der behördlichen Aufgabe in bestimmten, nicht unwahrscheinlich auftretenden Fällen Daten mitgeteilt werden. Betroffene werden demnach nicht bereits deshalb zu Empfängern, weil ihnen ein Auskunftsanspruch nach § 24 zusteht. Analog sind auch Strafverfolgungsbehörden nicht aufzuzählen, wenn sie nicht an der Erfüllung der Verwaltungsaufgabe teilnehmen.
Beispiele: "XY-Behörde", "Presse", "Wirtschaftsunternehmen des Landkreises XY", "Forschungseinrichtungen", "Berechtigte nach XY-Gesetz"
Übermittlungen an Stellen außerhalb der Europäischen Union (sog. Drittstaaten) unterliegen den besonderen Voraussetzungen des § 16. Die Angaben in der Verfahrensbeschreibung sollen sicherstellen, dass nachprüfbar bleibt, ob diese Voraussetzungen vorliegen. Es ist bereits dann ein Hinweis aufzunehmen, wenn zwar noch kein Zeitpunkt und keine näheren Umstände der Übermittlung festliegen, jedoch bereits beabsichtigt ist, zur gegenseitigen Unterrichtung oder Zusammenarbeit personenbezogene Daten zu übermitteln.
Da in der Regel nicht alle im Verfahren verarbeiteten Daten auch an Drittstaaten übermittelt werden sollen, ist der Umfang der Übermittlung zu beschreiben. Dazu sind in die Beschreibung Angaben zu Zwecken, Datenarten sowie Zielländern oder Ländergruppen aufzunehmen.
Beispiel: "Beabsichtigte Übermittlung von Personaldaten (Name, Alter, Ausbildungsabschluss, Schulfächer, Schulart) der Lehrer von Mecklenburg-Vorpommern an Polen zur Vorbereitung eines regelmäßigen Lehreraustauschs im Rahmen des Projektes Intensivierung der Zusammenarbeit auf dem Gebiet des Bildungswesens"
Für alle Verfahren sind nach § 21 Abs. 1 die erforderlichen und angemessenen technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen. Diese sind in der Verfahrensbeschreibung sowohl für automatisierte als auch für nicht-automatisierte Verfahren aufzuzählen und zu erläutern. Als Struktur sollten die in der Aufzählung des § 21 Abs. 2 genannten Sicherheitsziele dienen.
Da für automatisierte Verfahren nach § 22 Abs. 5 ohnehin ein Sicherheitskonzept zu erstellen ist, genügen in diesem Falle auch stichwortartige Beschreibungen mit Verweisen auf die entsprechenden Kapitel des Konzeptes. Auch die besonderen Maßnahmen des § 22 sind zu berücksichtigen. Daneben sollten auch der Aktualisierungsstand des Konzeptes und ein Hinweis auf den Freigabevermerk aufgenommen werden. Dies dient gleichzeitig der internen Datenschutzkontrolle.
Der Umfang der Darstellungen ist so zu wählen, dass eine erste Einschätzung möglich ist, ob die getroffenen Maßnahmen geeignet sind.
Das Verfahrensverzeichnis muss die Beschreibungen aller eingesetzten Verfahren umfassen. Es sollte zur besseren Übersicht systematisch gegliedert sein. Werden jedoch Verfahren nicht richtig voneinander abgegrenzt, folgt allein daraus nicht, dass das Verzeichnis rechtswidrig ist.
Es ist keine bestimmte Form vorgeschrieben. Somit sind sowohl die elektronische als auch die konventionelle Registerführung zulässig. Es ist jedoch empfehlenswert, die vom Landesbeauftragten für den Datenschutz vorgeschlagenen Formulare und Programme zu nutzen.
Jede Einrichtung neuer sowie jede Beendigung alter Verfahren muss umgehend im Verfahrensverzeichnis berücksichtigt werden. Darüber hinaus müssen sich alle wesentlichen Änderungen (siehe die Erläuterungen zu § 19 Abs. 1) eines Verfahrens in der jeweiligen Verfahrensbeschreibung und damit im Verfahrensverzeichnis widerspiegeln. Da bei Einrichtung oder wesentlicher Änderung eines automatisierten Verfahrens eine Freigabe nach § 19 erforderlich ist, sollte die Aktualisierung des Verfahrensverzeichnisses in diesem Zusammenhang erfolgen.
Eine Übermittlung des Verzeichnisses an den Landesbeauftragten für den Datenschutz ist nur auf Anforderung erforderlich. Es ist dann das vollständige Verzeichnis zu übermitteln. Die in § 24 Abs. 4 Satz 2 genannten Ausnahmen von dem jedermann zustehenden Einsichtsrecht gelten nicht gegenüber dem Landesbeauftragten für den Datenschutz. Meist wird das Verzeichnis als Schriftstück vorliegen und auch so übermittelt werden. Eine andere, insbesondere elektronische Form der Übermittlung ist im Hinblick auf die unterschiedlichen und sich schnell ändernden technischen Medien nur dann zulässig, wenn sich der Landesbeauftragte für den Datenschutz und die verarbeitende Stelle auf eine Form geeinigt haben.
(1) Die Einrichtung oder die wesentliche Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten bedarf der Freigabe durch den Leiter der Daten verarbeitenden Stelle oder einen dafür beauftragten Vertreter. Die Freigabe hat schriftlich zu erfolgen.
(2) Vor der Einrichtung oder wesentlichen Änderung eines Verfahrens nach Absatz 1,
1. auf das § 17 Absatz 1 Anwendung findet oder
2. in dem Daten im Sinne von § 7 Abs. 2 verarbeitet werden,
ist dem behördlichen Datenschutzbeauftragten Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den §§ 21 und 22 ausreichend sind. Satz 1 gilt nicht für den Abruf aus Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.
(3) Die Landesregierung kann Anforderungen an die Freigabe nach Absatz 1, an das Sicherheitskonzept nach § 22 Absatz 5 sowie weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen durch Rechtsverordnung regeln. Der Landesbeauftragte für den Datenschutz ist anzuhören.
Die Freigabe ist Voraussetzung dafür, dass die Verarbeitung personenbezogener Daten mit einem bestimmten automatisierten Verfahren begonnen oder ein wesentlich geändertes Verfahren weiterhin genutzt werden darf. Bei der Freigabe handelt es sich um eine materielle Zulässigkeitsvoraussetzung für die Rechtmäßigkeit der Datenverarbeitung.
Eine wesentliche Verfahrensänderung liegt vor, wenn die neue Version in einem oder mehreren Merkmalen der Verfahrensbeschreibung gemäß § 18 Abs. 1 deutlich von dem bisherigen Stand abweicht. Dies ist beispielsweise der Fall, wenn der Kreis der Betroffenen oder der potentiellen Datenempfänger signifikant erweitert wird.
Grundsätzlich muss der Leiter der Daten verarbeitenden Stelle das automatisierte Verfahren freigeben. Es ist zwar möglich, diese Befugnis innerhalb der Daten verarbeitenden Stelle zu delegieren. Die Delegation wird jedoch als Ausnahme angesehen; sie muss ausdrücklich erfolgen.
Die Freigabe ist so zu dokumentieren, dass nachträglich festgestellt werden kann, wer für welche Verfahrensweise die Verantwortung trägt. Eine mündliche Freigabe mit anschließendem Aktenvermerk ist deshalb ausgeschlossen.
Die Freigabe erstreckt sich auf alle vier Grundbestandteile automatisierter Verfahren:
- die Hardware,
- die Software einschließlich der Betriebssysteme und der systemnahen Software,
- die Datenbestände und
- das aufbau- und ablauforganisatorische Regelwerk (Zuständigkeitsregelungen, Dienstanweisungen, Benutzerhandbücher und dergleichen).
Im Ergebnis darf in einer Daten verarbeitenden Stelle keine Hardware genutzt werden, die nicht mindestens einem automatisierten Verfahren zuzuordnen ist. In der Regel werden mit den einzelnen Hardware-Komponenten jeweils mehrere automatisierte Verfahren betrieben. Das Gleiche gilt für die Software und die Daten. Hardware, Software und Daten, die keinem freigegebenen Verfahren zugeordnet sind, müssen als überflüssig (richtiger: als von der Daten verarbeitenden Stelle nicht gewollt) angesehen und deshalb deaktiviert beziehungsweise gelöscht werden.
Den aufbau- und ablauforganisatorischen Regelungen kommt im Rahmen der Freigabe eine entscheidende Bedeutung zu, da in ihnen die sicherheitsrelevanten organisatorischen Maßnahmen festgelegt werden, die erforderlich sind, um technische Sicherheitsdefizite zu kompensieren.
Beispiele hierfür sind:
- Anweisungen zur Passwortgestaltung,
- Verbot der
Datenspeicherung auf den Festplatten der Arbeitsplatzrechner,
-
Löschungsfristen für Textdokumente,
- Anonymisierung von
Musterbriefen und Textbausteinen,
- Deaktivierung von nicht benutzten
Arbeitsplatzrechnern,
- Ausloggen vor Verlassen des Arbeitsplatzes,
-
Überwachung von Administrations- und Wartungsarbeiten.
Die Vorschrift enthält die Regelung zur so genannten Vorabkontrolle, die von Art. 20 der Richtlinie gefordert wird. Die Richtlinie sieht vor, dass der Gesetzgeber in den Mitgliedstaaten festlegt, welche Datenverarbeitungen er für so gefährlich hält, dass vor ihrem Beginn zu prüfen ist, ob sie besondere Risiken für die Rechte der Betroffenen mit sich bringen.
In Mecklenburg-Vorpommern wurden gemäß dieser Vorgabe folgende Arten der Datenverarbeitung als potentiell gefährlich eingestuft:
- Verbund- und Abrufverfahren nach § 17 Abs. 1 und
- Verfahren, bei denen die in § 7 Abs. 2 aufgeführten, so genannten sensiblen Daten automatisiert verarbeitet werden.
Ist eine Vorabkontrolle erforderlich, so muss vor der Einrichtung oder wesentlichen Änderung des Verfahrens geprüft werden, ob die Datenverarbeitung insgesamt zulässig ist und ob die vorgesehenen technischen und organisatorischen Maßnahmen ausreichen, die vermuteten Gefährdungen des Rechts auf informationelle Selbstbestimmung in vertretbaren Grenzen zu halten.
Vorabkontrolle ist ein Teil des so genannten vorgezogenen Datenschutzes; schon vor dem Einsatz oder der Änderung eines ADV-Verfahrens hat sich die Daten verarbeitende Stelle bewusst zu machen, welche Risiken für den Datenschutz mit einem bestimmten Verfahren verbunden sind und wie diese beherrscht werden können. Die Prüfung hat deshalb zu erfolgen, bevor ein neues Verfahren seinen Wirkbetrieb aufnimmt.
Die Vorabkontrolle ist anhand der vorhandenen Unterlagen zum Konzept des Verfahrens oder eines eventuell vorhandenen Prototypen durchzuführen. Die Stelle, die den Einsatz des Verfahrens plant, hat die erforderlichen Informationen zur Verfügung zu stellen.
Vor wesentlichen Änderungen an Verfahren, für die die Voraussetzungen des Absatzes 1 zutreffen, ist erneut zu prüfen. Dabei kommt es nicht darauf an, ob schon vor der Einführung des Verfahrens eine Vorabkontrolle erfolgte.
Vorabkontrolle ist gemäß § 20 Abs. 3 Satz 5 Nr. 5 und § 19 Abs. 2 Satz 1 Aufgabe des behördlichen Datenschutzbeauftragten. Die Vorabkontrolle kann sich im Einzelfall technisch sehr anspruchsvoll darstellen. Sieht sich der behördliche Datenschutzbeauftragte nicht in der Lage, diese Aufgabe zu erfüllen, weil ihm z. B. die fachspezifischen Kenntnisse über bestimmte informationstechnische Verfahren fehlen, so kann er den Landesdatenschutzbeauftragten bitten, ihn zu unterstützen.
Die Prüfung hat innerhalb einer angemessenen Frist zu erfolgen. Die Länge dieser Frist lässt sich nicht pauschal festlegen. Sie hängt von den Gegebenheiten des Einzelfalls und damit vom jeweils erforderlichen Umfang der Prüfung ab. Bei komplexeren Verfahren kann eine Dauer von drei Monaten durchaus angemessen sein. Form und Tiefe der Prüfung haben sich an der Sensibilität der zu verarbeitenden Daten und an den technischen und organisatorischen Rahmenbedingungen der geplanten Datenverarbeitung zu orientieren. Ein formalisiertes Prüfverfahren ist nicht vorgeschrieben.
Für Verfahren, bei denen Daten zum Abruf bereitgehalten werden, die jedermann zur Benutzung offen stehen, muss keine Vorabkontrolle durchgeführt werden. Der geringe Schutzbedarf dieser Daten rechtfertigt die in Abs. 2 Satz 2 formulierte Ausnahme. Bei allgemein zugänglichen Abrufverfahren sind Risiken für den Datenschutz nicht zu erwarten, so dass in der Regel keine besonders zu prüfenden Sicherheitsmaßnahmen erforderlich sind. Im Allgemeinen findet bei diesen Verfahren schon § 17 und damit auch § 19 Abs. 2 Satz 1 keine Anwendung (vgl. die Erläuterungen zu § 3 Abs. 9).
Absatz 3 enthält eine Ermächtigungsgrundlage zum Erlass einer Rechtsverordnung, in der die Landesregierung unter anderem einzelne oder alle Anforderungen an das Freigabeverfahren nach Anhörung des Landesbeauftragten für den Datenschutz regeln kann.
(1) Die Daten verarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Der behördliche Datenschutzbeauftragte soll Beschäftigter der Daten verarbeitenden Stelle sein; soweit dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird, können mehrere Daten verarbeitende Stellen denselben behördlichen Datenschutzbeauftragten bestellen. Bestellt werden darf nur, wer dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird und die zur Erfüllung seiner Aufgabe erforderliche Sachkunde und Zuverlässigkeit besitzt. Der behördliche Datenschutzbeauftragte ist bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes unabhängig und weisungsfrei. Er ist dem Leiter der öffentlichen Stelle unmittelbar unterstellt, kann sich direkt an ihn wenden und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Beschäftigten der Daten verarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.
(2) Die Bestellung zum behördlichen Datenschutzbeauftragten kann befristet werden. Sie kann schriftlich widerrufen werden, wenn ein Interessenkonflikt mit seinen anderen dienstlichen Aufgaben eintritt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches vorliegt. Vor der Entscheidung über den Widerruf ist der behördliche Datenschutzbeauftragte zu hören.
(3) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die Daten verarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu überwachen und Hinweise zur Umsetzung zu geben. Er kann Auskünfte verlangen und Einsicht in Akten und Dateien nehmen, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Berufs- und Amtsgeheimnisse können ihm nicht entgegengehalten werden. Zu seiner Unterstützung kann er sich jederzeit an den Landesbeauftragten für den Datenschutz wenden. Zu seinen Aufgaben gehört es insbesondere,
1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Daten-verarbeitungsmaßnahmen hinzuwirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
3. die Daten verarbeitende Stelle bei der Umsetzung der nach den §§ 18, 21 und 22 erforderlichen Maßnahmen zu unterstützen,
4. das Verzeichnis nach § 18 zu führen und
5. die Vorabkontrolle nach § 19 durchzuführen.
(4) Das Verzeichnis nach § 18 Abs. 1 kann von jedermann eingesehen werden. Dies gilt nicht für die Angaben nach § 18 Abs. 1 Nr. 7 und die Verfahren, die nach § 24 Abs. 4 Nr. 2 und 3 nicht der Auskunftspflicht unterliegen.
Nach dem bisher geltenden Landesdatenschutzgesetz war die Bestellung eines behördlichen Datenschutzbeauftragten für die öffentlichen Stellen des Landes nicht obligatorisch. Nur für einige ausgewählte Bereiche, wie Sozialversicherungsträger (§ 81 Abs. 4 SGB X), Krankenhäuser (§ 22 LKHG M-V) oder öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen (§ 2 Abs. 4 DSG MV 92), bestand bereits eine ausdrückliche Verpflichtung. Die öffentlichen Stellen des Landes hatten aber schon bisher die innerbehördliche beziehungsweise innerbetriebliche Organisation so auszugestalten, dass sie den Anforderungen des Datenschutzes entsprach. Dazu gehörte unter anderem, dass bei der Verarbeitung personenbezogener Daten in der täglichen Verwaltungspraxis, insbesondere beim Einsatz neuer Verfahren, auch die datenschutzrechtlichen Belange zu berücksichtigen und die Mitarbeiter mit den Vorschriften vertraut zu machen waren. Die zu treffenden technischen und organisatorischen Maßnahmen umfassten auch die personelle Sicherung des Datenschutzes (LT-Drs. 1/1134[neu] S. 42, Gesetzesbegründung zu § 17 DSG MV 92). Vor diesem Hintergrund hatte bereits eine Reihe öffentlicher Stellen die Notwendigkeit erkannt und einen Datenschutzbeauftragten bestellt.
Dem behördlichen Datenschutzbeauftragten kommt mit der zunehmenden automatisierten Datenverarbeitung eine besondere Rolle zu, was sich auch in den vom Gesetzgeber vorgesehenen Aufgaben widerspiegelt. Er ist erster Ansprechpartner und kompetenter Berater der Dienststellenleitung in allen datenschutzrelevanten Fragen.
§ 20 führt die ausnahmslose Verpflichtung jeder Daten verarbeitenden Stelle des Landes ein, einen behördlichen Datenschutzbeauftragten zu bestellen. Die Vorschrift setzt damit Artikel 18 der Richtlinie um und sieht nunmehr zwingend eine interne Eigenkontrolle durch eine institutionalisierte Instanz vor. Die Bezeichnung "behördlicher Datenschutzbeauftragter" ist missverständlich, da die Pflicht, einen Datenschutzbeauftragten zu bestellen, für alle öffentlichen Stellen im Sinne von § 2 DSG M-V gilt, die personenbezogene Daten für sich verarbeiten oder durch andere in ihrem Auftrag verarbeiten lassen und somit Daten verarbeitende Stellen gemäß § 3 Abs. 5 DSG M-V sind. Soweit für öffentliche Stellen des Landes die Vorschriften des DSG M-V nur teilweise und im Übrigen die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zur Anwendung kommen (so für Gerichte, Staatsanwaltschaften und öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, vgl. § 2 Abs. 4 Satz 2 und 3, Abs. 5 DSG M-V), besteht nach Letzterem ebenfalls die Verpflichtung, einen Datenschutzbeauftragten zu bestellen (vgl. §§ 4 f, 4 g BDSG).
Dieser Paragraph regelt detailliert die Bestellung, die Aufgaben und die Befugnisse des Datenschutzbeauftragten und orientiert sich dabei an den seit langem bewährten Regelungen des Bundesdatenschutzgesetzes für einen betrieblichen Datenschutzbeauftragten bei nicht-öffentlichen Stellen. Neben der Kontrolle haben dabei vor allem die Beratung und die Begleitung datenschutzrelevanter Projekte eine herausragende Bedeutung. Der Datenschutzbeauftragte ist deshalb frühzeitig in Prozesse einzubinden, damit er sein Wissen und seine Erfahrungen einbringen, auf datenschutzrelevante Aspekte hinweisen und entsprechende Empfehlungen geben kann. Damit diese Aufgabe auch in angemessener Art und Weise wahrgenommen wird, muss er über die notwendige persönliche sowie fachliche Eignung verfügen und organisatorisch in besonderer Weise in die Verwaltung eingebunden werden. Der Gesetzgeber hat den behördlichen Datenschutzbeauftragten mit weitreichenden Befugnissen ausgestattet.
Die Pflicht des Datenschutzbeauftragten zur Verschwiegenheit ergibt sich unmittelbar aus § 6 (Datengeheimnis) und besteht auch nach Beendigung seiner Tätigkeit fort. Die Verpflichtung darauf ist mit der Bestellung durch den Leiter der Daten verarbeitenden Stelle vorzunehmen.
Zu Abs. 1
Absatz 1 regelt die Bestellung und Rechtsstellung des Datenschutzbeauftragten. Ferner werden die von ihm zu erfüllenden Anforderungen festgelegt. Darüber hinaus enthält die Vorschrift ein Anrufungsrecht gegenüber dem behördlichen Datenschutzbeauftragten für Mitarbeiter der Daten verarbeitenden Stelle.
Die Bestellung des behördlichen Datenschutzbeauftragten hat schriftlich zu erfolgen. In der Niederschrift sind alle wesentlichen Punkte, die die Wahrnehmung dieser Tätigkeit betreffen, detailliert festzuhalten. Neben einer umfassenden Aufgabenbeschreibung gehören hierzu auch die Rechte und Pflichten des behördlichen Datenschutzbeauftragten sowie organisatorische Regelungen. Ein Muster für die Bestellung ist als Anlage abgedruckt.
Die Bestellung ist in der Daten verarbeitenden Stelle allen Mitarbeitern bekannt zu geben, z. B. durch Hausmitteilung oder Aushang. In diesem Zusammenhang ist auch über die Aufgaben und Befugnisse des behördlichen Datenschutzbeauftragten zu unterrichten. Nur wenn die Aufgaben und die Person entsprechend bekannt sind, kann der Datenschutzbeauftragte seine Funktion wirksam und im Interesse der Dienststelle wahrnehmen. Die Mitarbeiter sind darauf hinzuweisen, dass sie verpflichtet sind, den Datenschutzbeauftragten über datenschutzrelevante Vorhaben, insbesondere die Einführung neuer Verfahren, rechtzeitig zu informieren, ihn bei der Durchführung seiner Aufgaben, vor allem bei datenschutzrechtlichen Prüfungen, umfassend zu unterstützen und die von ihm geforderten notwendigen Zuarbeiten zu erbringen (vgl. hierzu im Einzelnen Absatz 3: Aufgaben des behördlichen Datenschutzbeauftragten).
Darüber hinaus ist auch ein Vertreter zu bestellen, der in Abwesenheit des behördlichen Datenschutzbeauftragten dessen Aufgaben wahrnimmt. Der behördliche Datenschutzbeauftragte und sein Vertreter müssen vertrauensvoll zusammenarbeiten und ihr Tätigwerden abstimmen. Durch den Vertreter ist gewährleistet, dass bei einem - z. B. krankheitsbedingten - Ausfall des behördlichen Datenschutzbeauftragten Aufgaben nicht über einen längeren Zeitraum liegen bleiben, Vorhaben nicht ohne datenschutzrechtliche Prüfung durchgeführt werden und für die Mitarbeiter ständig ein Ansprechpartner in allen Datenschutzfragen zur Verfügung steht. Für den Vertreter gelten diese Vorschriften deshalb in gleichem Maße.
Wegen der umfassenden Kontrollrechte des behördlichen Datenschutzbeauftragten und den damit verbundenen weitreichenden Befugnissen soll diese Funktion grundsätzlich durch einen Beschäftigten der Daten verarbeitenden Stelle wahrgenommen werden. Ausnahmen hiervon sind zwar möglich, so dass auch Externe (in erster Linie Beschäftigte anderer öffentlicher Stellen) als Datenschutzbeauftragte bestellt werden können, jedoch ist dies nur in eng begrenzten Fällen zulässig. Der Gesetzeswortlaut "soll" verdeutlicht die restriktive Auslegung, da er eine Verpflichtung deutlich macht, von der nur in einem besonders gelagerten Ausnahmefall abgewichen werden darf. Ein solcher Bedarf könnte beispielsweise in besonders kleinen öffentlichen Stellen bestehen, die aufgrund ihrer geringen Personalstärke diese Aufgabe nicht durch einen eigenen Mitarbeiter wahrnehmen können. Dies ist im Einzelfall sehr genau zu prüfen und zu begründen. Auch ein Externer, der zum behördlichen Datenschutzbeauftragten bestellt wird, unterliegt der Kontrolle durch den Landesbeauftragten für den Datenschutz. Da er nicht in die Verwaltung eingebunden ist, sind über die in der Anlage bereits genannten Anforderungen hinaus noch weitere Festlegungen zur Verarbeitung personenbezogener Daten im Rahmen der Kontrollbefugnisse zu treffen.
Satz 2 2. Alternative erlaubt es ausdrücklich, einen gemeinsamen Datenschutzbeauftragten für mehrere Daten verarbeitende Stellen mit diesen Aufgaben zu betrauen. Vor allem kleinere Einrichtungen können so ohne übermäßigen Aufwand fachliche Kompetenz bündeln und effektiv nutzen. In diesem Fall sind Art und Umfang der Tätigkeit bei den einzelnen Stellen konkret festzulegen, um so eine effektive und abgestimmte Aufgabenwahrnehmung zu gewährleisten. Auch im Hinblick auf die anteilige Finanzierung durch die beteiligten Stellen empfiehlt es sich, die Tätigkeiten vom inhaltlichen und zeitlichen Umfang genau zu definieren. Der gemeinsame (externe) Datenschutzbeauftragte verfügt dann auch bei den Stellen, deren Mitarbeiter er nicht ist, über die in der Vorschrift beschriebenen Rechte und Pflichten.
Behördliche Datenschutzbeauftragte haben Zugang zu sensiblen personenbezogenen Daten (vgl. Abs. 3 Satz 2, 3). Werden Mitarbeiter nicht-öffentlicher Stellen oder Privatpersonen dazu bestellt, so ist der datenschutzgerechte Umgang mit diesen Daten bei ihnen wesentlich schwerer zu gewährleisten und durch den Landesbeauftragten für den Datenschutz zu kontrollieren als bei Mitarbeitern öffentlicher Stellen.
Aufgrund dieser Ausführungen ergibt sich bei der Prüfung, wer als behördlicher Datenschutzbeauftragter der öffentlichen Stelle X zu bestellen ist, eine Rangfolge, wobei die nächste Stufe erst dann in Betracht kommt, wenn auf der vorhergehenden eine Bestellung aus wichtigen Gründen ausscheidet:
- Mitarbeiter der öffentlichen Stelle X
- Mitarbeiter der öffentlichen Stelle Y, der auch behördlicher Datenschutzbeauftragter der öffentlichen Stelle Y ist
- Mitarbeiter der öffentlichen Stelle Y, der nicht behördlicher Datenschutzbeauftragter der öffentlichen Stelle Y ist
- Mitarbeiter einer nicht-öffentlichen Stelle oder Privatperson.
Der Personalrat sollte bei der Bestellung des behördlichen Datenschutzbeauftragten wegen dessen weitreichender Kontrollbefugnisse beteiligt werden.
Vor allem für allgemeine Fragen der Organisation der Verfahren und für technische Beratungen können darüber hinaus auch private Dienstleister oder sonstige Externe als Sachverständige herangezogen werden. Im Bereich der Aufgaben nach Abs. 3 Satz 5 Nr. 2 bis 4 kann ein externer "Datenschutzberater" den behördlichen Datenschutzbeauftragten in erheblichem Umfang entlasten. Ist dies der Fall, so kommt auch in Betracht, den behördlichen Datenschutzbeauftragten in geringerem Maße von anderen Aufgaben freizustellen, als es sonst erforderlich wäre. Zugriff auf personenbezogene Daten darf den externen Beratern jedoch nur im Einzelfall dann gewährt werden, wenn der Betroffene zugestimmt hat. Die in dieser Vorschrift genannten Aufgaben verbleiben aber trotz der unterstützenden Hilfstätigkeiten durch Externe in der Verantwortung des behördlichen Datenschutzbeauftragten.
Um den von Art. 18 Abs. 2 der Richtlinie geforderten effektiven Datenschutz zu gewährleisten, hat der Datenschutzbeauftragte einige Mindestanforderungen hinsichtlich seiner fachlichen und persönlichen Eignung zu erfüllen. So muss er über die erforderliche Sachkunde und Zuverlässigkeit verfügen.
Die besondere Vertrauensstellung des behördlichen Datenschutzbeauftragten und seine weitreichenden Befugnisse, unter anderem in Unterlagen und Dateien mit zum Teil sehr sensiblen personenbezogenen Daten einsehen zu können, erfordern eine integre und zuverlässige Persönlichkeit. Neben der Verschwiegenheit kommt es dabei auch auf Eigenschaften wie Verantwortungsbewusstsein und Durchsetzungsvermögen an. Soweit im Einzelfall keine besonderen Anhaltspunkte, z. B. über einschlägige Verurteilungen, vorliegen, wird man davon ausgehen können, dass die Zuverlässigkeit bei den Mitarbeiterinnen und Mitarbeitern des öffentlichen Dienstes gegeben ist.
Zur erforderlichen Sachkunde gehört die Kenntnis der maßgeblichen Datenschutzregelungen und ein Mindestmaß an technischem Verständnis, um die automatisierte Verarbeitung personenbezogener Daten kontrollieren zu können. Ferner sollte der behördliche Datenschutzbeauftragtedie Verwaltungsabläufe in der Daten verarbeitenden Stelle kennen. Externe und Berufsanfänger erfüllen dieses Kriterium in aller Regel nicht.
Der Leiter der Daten verarbeitenden Stelle ist verantwortlich, dass diese Voraussetzungen erfüllt sind, und hat sich hiervon vorab zu überzeugen. Sollen Personen zu Datenschutzbeauftragten bestellt werden, bei denen diese Kenntnisse bisher nicht oder nicht in ausreichendem Maße vorliegen, so ist ihnen noch vor der Bestellung Gelegenheit zu geben, sich in entsprechenden Kursen zu qualifizieren und die erforderlichen Kenntnisse zu erwerben. Gleiches gilt für den zu bestellenden Vertreter. Es reicht beispielsweise nicht aus, wenn dieser erst zum Zeitpunkt des Ausfalls des behördlichen Datenschutzbeauftragten die notwendigen Fähigkeiten und Kenntnisse bei Fortbildungen erwirbt. Eine solche Verfahrensweise wäre zum einen praxisfern und stände zum anderen im Widerspruch zum Willen des Gesetzgebers.
Darüber hinaus hat sich auch der behördliche Datenschutzbeauftragte im Rahmen seiner Tätigkeit regelmäßig fortzubilden, um den aus der rasanten technischen Entwicklung und den neuen datenschutzrechtlichen Regelungen resultierenden erhöhten Anforderungen gerecht zu werden. Auch der Erfahrungsaustausch mit anderen behördlichen Datenschutzbeauftragten, z. B. bei Workshops, kann ihm dabei für seine Arbeit wichtige Impulse geben und ein geeignetes Mittel der Fortbildung sein. Informationen über Schulungs- und Fortbildungsangebote können beim Landesbeauftragten für den Datenschutz erfragt werden.
Die Tätigkeit des behördlichen Datenschutzbeauftragten darf zu keiner Interessenkollision mit seinen anderen dienstlichen Aufgaben führen. Damit scheidet z. B. die Bestellung des Leiters der IT-Abteilung grundsätzlich aus. Entsprechendes gilt für den Leiter der Daten verarbeitenden Stelle sowie den Leiter der Personalakten führenden Stelle, da hier Entscheidungs- und Kontrollfunktion in einer Hand lägen. Besteht bei der Daten verarbeitenden Stelle eine Organisationseinheit, die für die Rechnungsprüfung zuständig ist, so hat es sich bewährt, einem Mitarbeiter dieser Stelle die Aufgabe des Datenschutzbeauftragten zu übertragen. Ebenso kommt die Übernahme dieser Aufgabe durch einen Mitarbeiter der Rechtsabteilung in Betracht. Auch die Bündelung mit anderen Aufgaben, wie kommunaler Ausländerbeauftragter, bietet sich gegebenenfalls an. Dies ist im Einzelfall genau zu prüfen.
Die Rechtsstellung des behördlichen Datenschutzbeauftragten innerhalb der öffentlichen Stelle wurde in Anlehnung an die des Landesdatenschutzbeauftragten ausgestaltet. Um die Anforderungen von Art. 18 Abs. 2, zweiter Spiegelstrich der Richtlinie zu erfüllen, wonach durch den internen Datenschutzbeauftragten eine "unabhängige Überwachung" der datenschutzrechtlichen Vorschriften erfolgen soll, regelt Satz 4 ausdrücklich, dass der Datenschutzbeauftragte in Ausübung seiner Tätigkeit unabhängig und weisungsfrei ist. Somit legt der Datenschutzbeauftragte weitgehend selbst die Schwerpunkte seiner Arbeit fest. In seiner Funktion ist er dem Leiter der öffentlichen Stelle unmittelbar unterstellt. Diese organisatorische Regelung macht deutlich, dass trotz der gesetzlich vorgeschriebenen Institution des Datenschutzbeauftragten der Leiter von der eigenen Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen nicht freigestellt ist. Die Anbindung an die Behördenleitung sichert dem behördlichen Datenschutzbeauftragten gleichzeitig ein unmittelbares Vortragsrecht beim Leiter der Verwaltung, was insbesondere bei unterschiedlichen Auffassungen zwischen Datenschutzbeauftragten und einzelnen Verwaltungseinheiten von Bedeutung ist. Dieses ist auch deshalb notwendig, da der behördliche Datenschutzbeauftragte keine Weisungsbefugnis besitzt.
Der behördliche Datenschutzbeauftragte kann seine Aufgaben nur effektiv wahrnehmen, wenn er über die nötige finanzielle, personelle und sachliche Ausstattung verfügt (LT-Drs. 3/2219 S. 45, Gesetzesbegründung zu § 20 DSG M-V). So ist er angemessen mit Büromaterialien, Literatur etc. zu versorgen und muss die Möglichkeit zur Fortbildung erhalten. Je nach Größe der Daten verarbeitenden Stelle ist der behördliche Datenschutzbeauftragte ganz oder teilweise von anderen Aufgaben freizustellen. Bei größeren öffentlichen Stellen sollte aufgrund der Aufgabenfülle ein hauptamtlicher Datenschutzbeauftragter bestellt werden.
Eine Benachteiligung des behördlichen Datenschutzbeauftragten wegen der Ausübung seines Amtes, etwa wegen nicht genehmer interner Prüfungen oder wegen der Weitermeldung von Missständen an den Landesbeauftragten für den Datenschutz, ist unzulässig. Die Vorschrift stellt klar, dass nachteilige arbeitsrechtliche oder beamtenrechtliche Maßnahmen, die auf die Wahrnehmung der Tätigkeit eines Datenschutzbeauftragten zurückgehen, unwirksam sind.
Satz 6 sieht vor, dass die Beschäftigten der Dienststelle sich ohne Einhaltung des Dienstweges in allen datenschutzrechtlichen Angelegenheiten an den behördlichen Datenschutzbeauftragten wenden können. Dies betrifft sowohl Sachverhalte, in denen eigene datenschutzrechtliche Belange berührt sind, als auch solche, die die Verarbeitung anderer personenbezogener Daten durch die Dienststelle betreffen. Dabei kann es z. B. um Verstöße gegen datenschutzrechtliche Bestimmungen oder um Aspekte der Datensicherheit gehen. Wer von dieser Möglichkeit Gebrauch macht, darf hierdurch keinen nachteiligen Folgen ausgesetzt sein. Hierauf sollten die Mitarbeiter ebenfalls hingewiesen werden.
Zwar hat der Gesetzgeber das Recht auf Anrufung des behördlichen Datenschutzbeauftragten nicht ausdrücklich auf alle Betroffenen ausgedehnt, jedoch wird der behördliche Datenschutzbeauftragte aufgrund seiner umfassenden Aufgabenstellung auch die Anliegen von Betroffenen außerhalb der Verwaltung zu prüfen und bei seiner Tätigkeit zu berücksichtigen haben, die Anhaltspunkte für eine nicht ordnungsgemäße Verarbeitung der personenbezogenen Daten durch die Verwaltung geben.
Es ist möglich, den behördlichen Datenschutzbeauftragten befristet zu bestellen. Eine Befristung kommt beispielsweise in Frage, wenn diese Aufgabe nur vorübergehend wahrgenommen werden soll oder um anfänglich möglichen Kollisionen mit sonstiger hoher Arbeitsbelastung zu entgehen und gegebenenfalls bei auftretenden Schwierigkeiten entsprechend zu handeln. Eine missbräuchliche Nutzung der Befristung, um etwa einen aus Sicht der Daten verarbeitenden Stelle zu unbequemen behördlichen Datenschutzbeauftragten auch ohne Vorliegen der in Satz 2 genannten Gründe nicht auf Dauer zu haben, widerspricht der Intention des Gesetzgebers.
Ein Widerruf der Bestellung ist nur vorgesehen, wenn es zu einem vorher nicht absehbaren Interessenkonflikt mit den sonstigen dienstlichen Aufgaben des behördlichen Datenschutzbeauftragten kommt oder sonst ein wichtiger Grund in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches vorliegt. Eine wiederholte Befristung ohne erkennbaren sachlichen Grund würde dazu führen, dass die hohen Anforderungen an den Widerruf einer Bestellung umgangen werden, und wäre somit unzulässig. Vor einem Widerruf ist der behördliche Datenschutzbeauftragte anzuhören.
Dieser Absatz nennt die wesentlichen Aufgaben und damit verbunden weitere Befugnisse des behördlichen Datenschutzbeauftragten. Seine Rechte entsprechen weitgehend denen des Landesdatenschutzbeauftragten und sollen es ihm ermöglichen, für eine effektive Umsetzung der datenschutzrechtlichen Bestimmungen zu sorgen.
Die zentrale Aufgabe des behördlichen Datenschutzbeauftragten ist die Überwachung der datenschutzrechtlichen Vorschriften - durch anlassbezogene oder routinemäßige Kontrollen - und die Unterstützung der Daten verarbeitenden Stelle bei ihren Bemühungen, diese einzuhalten. Die Überwachung ist kein Selbstzweck. Stellt der behördliche Datenschutzbeauftragte Fehler oder Mängel fest, so hat er die Daten verarbeitende Stelle darauf hinzuweisen und ihr dabei zu helfen, rechtmäßige Zustände herzustellen.
Der behördliche Datenschutzbeauftragte ist Berater für die Dienststellenleitung sowie die Mitarbeiter in allen Datenschutzfragen. Die Hinweise zur Umsetzung der datenschutzrechtlichen Bestimmungen können sich auf alle Sachverhalte beziehen, bei denen es um die Verarbeitung personenbezogener Daten geht, z. B. auf die Aktenführung, den Inhalt und die Gestaltung von Formularen zur Datenerhebung, die Einhaltung von Löschungsfristen, die ordnungsgemäße Datenträgervernichtung, den Einsatz von datenschutzgerechter Soft- und Hardware, die Beseitigung von Schwachstellen und Risiken bei der Datensicherheit, die Unterrichtung von Betroffenen, die Zulässigkeit der Datenverarbeitung in Einzelfällen etc.
Um effektiv zu kontrollieren, kann der behördliche Datenschutzbeauftragte Auskünfte verlangen und selbst Einsicht in Akten und Dateien nehmen, soweit dies für seine Aufgabenerfüllung erforderlich ist. Über die Erforderlichkeit entscheidet er eigenverantwortlich. Die in diesem Zusammenhang notwendigen Zuarbeiten sind durch die Mitarbeiter der öffentlichen Stelle zu erbringen. Bei Prüfungen kann die jeweilige Stelle die Herausgabe von Unterlagen oder Auskünfte nicht mit dem Hinweis verweigern, dass diese Daten für die Wahrnehmung der Kontrollbefugnisse nicht erforderlich seien. Berufs- und Amtsgeheimnisse können ihm ebenfalls nicht entgegengehalten werden. Demzufolge steht ihm ein uneingeschränktes Kontrollrecht zu, z. B. auch bei Daten, die dem Steuergeheimnis gemäß § 30 AO unterliegen. Die personenbezogenen Daten, die der behördliche Datenschutzbeauftragte bei der Wahrnehmung seiner Kontrollaufgabe zur Kenntnis nimmt und gegebenenfalls speichert, unterliegen der besonderen Zweckbindung nach § 10 Abs. 6.
Der behördliche Datenschutzbeauftragte ist jederzeit berechtigt, sich an den Landesbeauftragten für den Datenschutz zu wenden, um von dort Hinweise und Unterstützung zu erhalten. Dies kann sich auf allgemeine datenschutzrechtliche Fragen, aber beispielsweise auch auf Sachverhalte beziehen, die zwischen dem behördlichen Datenschutzbeauftragten und der Dienststellenleitung strittig sind. Ob, in welcher Art und Weise sowie zu welchem Zeitpunkt der behördliche Datenschutzbeauftragte hiervon Gebrauch macht, entscheidet er grundsätzlich in eigener Verantwortung. Im Rahmen der Vorabkontrolle hat er in Zweifelsfällen den Landesbeauftragten für den Datenschutz zu konsultieren.
Satz 5 enthält ergänzend zur bereits genannten Datenschutzkontrolle eine beispielhafte Aufzählung weiterer wichtiger Aufgaben des behördlichen Datenschutzbeauftragten.
Bei der Einführung neuer Datenverarbeitungsmaßnahmen hat der behördliche Datenschutzbeauftragte gemäß Satz 5 Nr. 1 zu prüfen, ob diese im Einklang mit den datenschutzrechtlichen Bestimmungen stehen, und gegebenenfalls Empfehlungen für eine datenschutzgerechte Ausgestaltung zu geben. Erfasst ist jeder Vorgang, der eine Datenverarbeitung im Sinne von § 3 Abs. 4 Satz 1 darstellt, unabhängig davon, ob es sich um eine automatisierte oder eine nicht automatisierte Verarbeitung handelt. Damit diese Aufgabe sachgerecht wahrgenommen werden kann, hat die Daten verarbeitende Stelle sicherzustellen, dass der behördliche Datenschutzbeauftragte frühzeitig und umfassend hierüber unterrichtet wird. Es empfiehlt sich bei der Einführung neuer Maßnahmen, den Datenschutzbeauftragten von Anfang an zu beteiligen, um so zu datenschutzgerechten Lösungen zu kommen.
Damit in der täglichen Verwaltungsarbeit die datenschutzrechtlichen Bestimmungen hinreichend Beachtung finden, kommt der Sensibilisierung der Mitarbeiter für diese zuweilen schwierige Rechtsmaterie besondere Bedeutung zu. Der behördliche Datenschutzbeauftragte hat nach Satz 5 Nr. 2 die Aufgabe, die Beschäftigten mit den einschlägigen Vorschriften vertraut zu machen, wozu auch die im Zusammenhang mit dem Datengeheimnis nach § 6 Satz 2 vorgesehene Unterrichtungspflicht zählt. Darüber hinaus sollen grundsätzliche datenschutzrechtliche Regelungen in einer Dienstanweisung aufgenommen werden, die von allen Mitarbeitern der Daten verarbeitenden Stelle zu berücksichtigen sind. Notwendige Detailregelungen bleiben den jeweiligen Fachbereichen vorbehalten. Dem Datenschutzbeauftragten kommt die Funktion eines Multiplikators zu. Er kann unter anderem Schulungen anbieten oder Vorträge halten, Informationsblätter erstellen sowie bei Dienstberatungen über ausgewählte Themen informieren. Er muss die Beschäftigten allerdings nicht selbst unterrichten oder schulen, sondern kann sich dafür auch anderer Einrichtungen bedienen. Für einzelne Fachgebiete werden beispielsweise spezielle Seminare angeboten. Der behördliche Datenschutzbeauftragte soll hierüber informieren und die Teilnahme an Fortbildungsmaßnahmen anregen.
Durch technische und organisatorische Maßnahmen ist eine nach dem Stand der Technik und der Sensibilität der zu verarbeitenden Daten hinreichende Datensicherheit zu gewährleisten. Für automatisierte Verfahren ist ein Sicherheitskonzept obligatorisch. Deshalb sollte bei der Auswahl von am Markt angebotenen Verfahren schon zu einem frühen Zeitpunkt auf die Einhaltung von Datenschutz und Datensicherheit geachtet werden. Eine rechtzeitige Berücksichtigung der datenschutzrechtlichen und datensicherheitstechnischen Aspekte ist immer auch eine Kostenfrage, denn das Nachrüsten von datenschutzgerechter Technik ist in jedem Falle um ein Vielfaches teurer. Aus diesem Grund sollten diese Punkte in stets Bestandteil von Ausschreibungen sein. Der behördliche Datenschutzbeauftragte hat hier gemäß Satz 5 Nr. 3 eine Unterstützungsfunktion. Er berät in diesem Zusammenhang, prüft, ob es sich um ein den datenschutzrechtlichen Vorschriften entsprechendes Verfahren handelt, und gibt Anregungen zur Verbesserung des Verfahrens. Diese Aufgabe kann er jedoch nur erfüllen, wenn er rechtzeitig und vollständig über die geplante Einführung neuer oder die Änderung bestehender Verfahren informiert wird. Darüber hinaus hat der behördliche Datenschutzbeauftragte die Daten verarbeitende Stelle beim Erstellen von Verfahrensbeschreibungen zu unterstützen.
Zu den Aufgaben des Datenschutzbeauftragten gehört es nach Satz 5 Nr. 4 auch, für die bei der jeweiligen Stelle eingesetzten Verfahren das Verfahrensverzeichnis gemäß § 18 Abs. 1 zu führen. Die Daten verarbeitende Stelle hat das Verzeichnis zu erstellen und dem behördlichen Datenschutzbeauftragten zu übermitteln. Die Führung der Verfahrensbeschreibungen schließt neben deren Sammlung auch ihre Kontrolle auf Plausibilität, Vollständigkeit und Aktualität ein. Die beim behördlichen Datenschutzbeauftragten vorhandenen Verfahrensbeschreibungen sind sowohl für ihn als auch für den Landesbeauftragten für den Datenschutz Prüfungsgrundlage und sind Letzterem nach § 18 Abs. 3 Satz 2 auf Anforderung zu übersenden. Neben der Aufbewahrung dieser Beschreibungen hat der behördliche Datenschutzbeauftragte sie auch für die Einsichtnahme nach Absatz 4 zur Verfügung zu stellen (Näheres hierzu unter Abs. 4).
Die Vorabkontrolle nach § 19 Abs. 2 obliegt ebenfalls gemäß Satz 5 Nr. 5 dem behördlichen Datenschutzbeauftragten. Vor der Einrichtung oder wesentlichen Änderung eines der dort genannten Verfahren ist ihm im Rahmen einer angemessenen Frist Gelegenheit zur datenschutzrechtlichen Prüfung zu geben. Diese umfasst sowohl die Rechtmäßigkeit der Datenverarbeitung als auch die technischen und organisatorischen Maßnahmen zur Gewährleistung einer erforderlichen und angemessenen Datensicherheit (Näheres hierzu bei den Erläuterungen zu § 19 Abs. 2). Die Verpflichtung, in Zweifelsfällen den Landesbeauftragten für den Datenschutz zu beteiligen, beruht auf Art. 20 Abs. 2 der Richtlinie.
Über diese nicht abschließenden Tätigkeitsschwerpunkte hinaus ist im Einzelfall zu prüfen, wo Änderungen im Verwaltungsablauf, z. B. durch Umstrukturierungen bei bestehenden Aufgaben oder die Übernahme neuer Aufgaben, oder sonstige Maßnahmen von datenschutzrechtlicher Relevanz sind und damit der Datenschutzbeauftragte zu beteiligen ist.
Unter anderem ist der behördliche Datenschutzbeauftragte auf jeden Fall einzubinden, wenn eine Auftragsdatenverarbeitung gemäß § 4 oder nach bereichsspezifischen Vorschriften vorgesehen ist. Der behördliche Datenschutzbeauftragte hat auch hier eine Unterstützungs- und Beratungsfunktion bei der Ausgestaltung des Auftragsverhältnisses, und die Auftragsdatenverarbeitung unterliegt ebenfalls seiner Kontrolle.
Bei der Verarbeitung personenbezogener Daten zum Zwecke der wissenschaftlichen Forschung ist die Zustimmung des behördlichen Datenschutzbeauftragten gemäß § 34 Abs. 2 Satz 3 einzuholen, wenn eine forschende Person die Daten innerhalb der Daten verarbeitenden Stelle anonymisieren soll und deshalb auf eine Feststellung der obersten Aufsichtsbehörde nach § 34 Abs. 2 Satz 1 Nr. 3 ausnahmsweise verzichtet wird. Der Datenschutzbeauftragte hat vor seiner Zustimmung zu dieser Verfahrensweise zu prüfen, ob eine sichere Anonymisierung der Daten gewährleistet ist und ob die schutzwürdigen Belange der Betroffenen diesem Verfahren nicht entgegenstehen. Darüber hinaus sollte der Datenschutzbeauftragte das Verfahren auch nach erfolgter Zustimmung weiter begleiten.
Bei der Umsetzung von Hinweisen des Landesbeauftragten für den Datenschutz, insbesondere bei Beanstandungen, sollte der behördliche Datenschutzbeauftragte regelmäßig beratend hinzugezogen werden.
Darüber hinaus empfiehlt es sich, den behördlichen Datenschutzbeauftragten zu beteiligen, wenn Auskunftsersuchen Betroffener nicht oder nur teilweise entsprochen werden soll.
Das vom behördlichen Datenschutzbeauftragten geführte Verfahrensverzeichnis kann in Umsetzung von Art. 21 Abs. 2 der Richtlinie von jedermann ohne Vorliegen besonderer Voraussetzungen eingesehen werden. Hiervon ausgenommen sind Informationen über die zur Datensicherheit getroffenen Maßnahmen. Im Einzelfall werden zu Verfahren keine Auskünfte erteilt, bei denen diese zu einer Gefährdung der öffentlichen Sicherheit oder Ordnung führen oder sonst dem Wohle eines Landes oder des Bundes Nachteile bereiten würden oder bestimmte Sachverhalte aufgrund von Rechtsvorschriften oder ihrem Wesen nach geheim gehalten werden müssen. Da zu den Verfahren in diesem Zusammenhang nur allgemeine Auskünfte erteilt werden, ohne dass damit eine Aussage verbunden ist, ob und in welchem Umfang Daten zur Person des Betroffenen gespeichert sind (zum Auskunftsrecht siehe § 24), kommt es nicht darauf an, wer um Einsicht ersucht. Daher hat die Daten verarbeitende Stelle bereits bei der Weitergabe der Verfahrensbeschreibung den behördlichen Datenschutzbeauftragten darüber zu informieren, ob ein solcher Fall vorliegt.
Muster einer Bestellung zur oder zum behördlichen Datenschutzbeauftragten
Frau/Herr ........................................... wird mit Wirkung vom ........................ zur/zum behördlichen Datenschutzbeauftragten bei .......................................................... [Bezeichnung der Daten verarbeitenden Stelle] bestellt.
Gemäß § 20 DSG M-V (in der Fassung vom , GVOBl. M-V S. ) werden ihr/ihm damit folgende Aufgaben übertragen:
1. Sie/Er überwacht und unterstützt die Einhaltung der datenschutzrechtlichen Vorschriften bei .................................................................................... [Bezeichnung der Daten verarbeitenden Stelle]
2. Bei der Einführung neuer und der Änderung bestehender Datenverarbeitungsmaßnahmen beziehungsweise automatisierter Verfahren wirkt sie/er auf die Einhaltung der Datenschutzvorschriften hin und berät ....................................................................... [Bezeichnung der Daten verarbeitenden Stelle] bei der Auswahl und der Gestaltung von Verfahren zur Verarbeitung personenbezogener Daten. Dies betrifft auch Verfahren der Auftragsdatenverarbeitung nach § 4 DSG MV oder bereichsspezifischen Vorschriften.
3. Sie/Er hat die Beschäftigten mit den Bestimmungen des DSG M-V sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen.
4. Die ihr/ihm von ..................................... [in der Regel der IT-Abteilung] zur Verfügung gestellten Unterlagen nach § 18 DSG M-V (Verfahrensverzeichnis) führt sie/er in geordneter Form. Sie/Er hält das Verzeichnis gemäß § 20 Abs. 4 DSG M-V zur Einsicht bereit. Dabei hat sie/er die Einschränkungen des § 20 Abs. 4 Satz 2 DSG M-V zu beachten. In Zweifelsfällen ist ............................ [in der Regel die Behördenleitung] vor einer Einsichtnahme zu benachrichtigen.
5. Das nach § 18 DSG M-V zu führende Verfahrensverzeichnis ist von ihr/ihm darauf hin zu überprüfen, ob es Hinweise auf systembedingte Verstöße gegen das Datenschutzrecht gibt. Soweit dies der Fall ist und bei Stichprobenprüfungen hat sie/er eine datenschutzrechtliche Bewertung vorzunehmen und .......................[in der Regel die Behördenleitung] über das Ergebnis zu informieren.
6. Sofern ein automatisiertes Verfahren, das die Verarbeitung personenbezogener Daten gemeinsam mit anderen Daten verarbeitenden Stellen (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, eingerichtet oder geändert wird, sowie bei der Einrichtung und Änderung automatisierter Verfahren, mit denen personenbezogene Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben verarbeitet werden, hat sie/er die Vorabkontrolle gemäß § 19 Abs. 2 DSG M-V durchzuführen.
7. Bei gemeinsamen Verfahren und Abrufverfahren hat sie/er die Protokolldatenbestände daraufhin zu prüfen, ob sie Hinweise auf Datenschutzverstöße enthalten. Diese Prüfung ist innerhalb von [maximal 12 Monaten] zu wiederholen und das Ergebnis zu dokumentieren.
8. Sie/Er hat allen Angelegenheiten des Datenschutzes nachzugehen, die von den Beschäftigten der/des .................................................................... [Bezeichnung der Daten verarbeitenden Stelle] oder von Betroffenen an sie/ihn herangetragen werden. Auf Einhaltung des Dienstweges darf dabei nicht bestanden werden.
9. Sie kann sich jederzeit an den Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern, Schloss Schwerin, 19053 Schwerin, Telefon (03 85) 5 94 94-0 wenden und dessen Beratung in Anspruch zu nehmen.
10. Stellt sie/er Verstöße gegen die Vorschriften des DSG M-V oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten bei .................................................................. [Bezeichnung der Daten verarbeitenden Stelle] fest, fordert sie/er die jeweils zuständigen Mitarbeiterinnen oder Mitarbeiter zur Mängelbeseitigung auf. Mit der Feststellung von Mängeln sollten Vorschläge zu ihrer Beseitigung und zu sonstigen Verbesserungen des Datenschutzes verbunden werden. Über alle ihr/ihm bedeutsam erscheinenden datenschutzrechtlich relevanten Sachverhalte sollte sie/er .................................................... [in der Regel die Behördenleitung] unmittelbar informieren.
11. Sie/Er hat sich so aus- und fortzubilden, dass sie/er die für die Erledigung der übertragenen Aufgaben erforderliche Fachkunde besitzt.
12. Neben der Tätigkeit als behördliche(r) Datenschutzbeauftragte(r) übt sie/er keine weiteren Aufgaben aus. oder Neben der Tätigkeit als behördliche(r) Datenschutzbeauftragte(r) übt sie/er die im jeweils gültigen Geschäftsverteilungsplan ausgewiesenen Aufgaben aus.
13. Sollten sich hierdurch oder aus anderen Gründen Konfliktsituationen (im Sinne des § 20 Abs. 1 Satz 3 DSG M-V) oder Beeinträchtigungen der Tätigkeit als behördliche(r) Datenschutzbeauftragte(r) (im Sinne des § 20 Abs. 1 Satz 2 DSG M-V) ergeben, ist dies bei ................................................ [in der Regel der Behördenleitung] anzuzeigen.
Frau/Herr ................................. ist bei der Ausübung des Amtes weisungsfrei. Ihre/Seine Kontroll- und Einsichtsrechte ergeben sich insbesondere aus § 20 Abs. 1 Sätze 4 und 5, Abs. 3 DSG M-V. Die Art und der Umfang der zur Erfüllung der Aufgaben notwendigen Mittel ist bei ........................................................[in der Regel der Behördenleitung] anzumelden.
Sie/Er kann jederzeit von dem Amt zurücktreten.
Ort, Datum
Unterschrift der Leitung der Daten verarbeitenden Stelle
(1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und nach der Schutzbedürftigkeit der zu verarbeitenden Daten erforderlich und angemessen sind.
(2) Dabei ist insbesondere zu gewährleisten, dass
1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
4. personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können (Authentizität der Daten),
5. unter Beteiligung der Personal- oder Arbeitnehmervertretung von der Daten verarbeitenden Stelle ein Protokollierungsverfahren festgelegt wird, das die Feststellung erlaubt, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit) und
6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig und in zumutbarer Zeit nachvollzogen werden können (Transparenz).
Das Recht auf informationelle Selbstbestimmung verlangt neben dem rechtlichen Schutz der personenbezogenen Daten auch, dass eine angemessene Datensicherheit gewährleistet ist. § 21 stellt die Grundregeln auf, die bei allen Verfahren zur Verarbeitung personenbezogener Daten einzuhalten sind. Demgegenüber gelten die Gebote des § 22 nur bei automatisierten Verfahren.
Datensicherheitsmaßnahmen bestehen aus technischen und organisatorischen Komponenten. Die Erfahrung zeigt, dass organisatorischen Maßnahmen wie Aus- und Weiterbildung des Personals oder Aufstellung und Durchsetzung von Datensicherheitsregeln eine grundlegende Bedeutung zukommt. Technische Maßnahmen z. B. Verschlüsselungs- oder Zugangskontrollsysteme sind nur im Zusammenwirken mit organisatorischen Elementen beispielsweise Vorschriften zum Umgang mit Chipkarten, voll wirksam.
Weitere Beispiele für organisatorische Datenschutzregeln sind:
- Anweisungen zur Passwortgestaltung,
- Verbot der Datenspeicherung auf den Festplatten der Arbeitsplatzrechner,
- Löschungsfristen für Textdokumente, - Anonymisierung von Musterbriefen und Textbausteinen,
- Deaktivierung von nicht benutzten Arbeitsplatzrechnern, - Ausloggen vor Verlassen des Arbeitsplatzes,
- Überwachung von Administrations- und Wartungsarbeiten.
Gesetzlich vorgeschriebene organisatorische Steuerungsinstrumente sind beispielsweise die Freigabe von automatisierten Verfahren (§ 19), das Verfahrensverzeichnis (§ 18) und das Sicherheitskonzept (§ 22 Abs. 5).
Zu Datensicherheitsmaßnahmen sind alle öffentlichen Stellen (§ 2) verpflichtet. Dies gilt unabhängig davon, ob personenbezogene Daten selbst oder durch einen Auftragnehmer verarbeitet werden (zur Auftragsdatenverarbeitung siehe § 4). Die Verpflichtung zur Datensicherheit ist auch unabhängig davon, welche datenschutzrechtliche Vorschrift im Einzelnen gilt. Enthalten diese Vorschriften keine speziellen Vorgaben zur Datensicherheit, so wird diese Lücke durch § 21 gefüllt. Ansonsten ist § 21 als Auslegungsmaßstab für das bereichsspezifische Recht heranzuziehen.
Absatz 1 schreibt sowohl technische als auch organisatorische Maßnahmen vor. Bei deren Auswahl und Umsetzung sind drei Aspekte gegeneinander abzuwägen: der Stand der Technik, die Schutzbedürftigkeit der Daten und die Zweck-Mittel-Relation.
Die Daten verarbeitenden Stellen sind zwar nicht verpflichtet, alle theoretisch denkbaren Schadens- oder Missbrauchsfälle von vornherein auszuschließen. Sie müssen aber die Datenverarbeitungsprozesse entsprechend ihrer Schutzbedürftigkeit und dem Gefährdungspotential absichern. Werden sensible und weniger sensible Daten gemeinsam verarbeitet, bestimmt sich das Schutzniveau nach den Daten mit der höchsten Sensibilität.
Für die Beurteilung der Frage nach der Angemessenheit der Datensicherheitsvorkehrungen ist die Summe aller Maßnahmen entscheidend. Sie sind dann ausreichend, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz gegen die Beeinträchtigung schutzwürdiger Belange der Betroffenen gewährleisten. Soweit im Einzelfall eine Anforderung durch eine bestimmte Maßnahme nicht voll erfüllt wird, ist die dadurch entstehende Lücke durch entsprechende andere Maßnahmen zu schließen.
Dabei spielt der finanzielle Aufwand eine sekundäre Rolle. Eine unverschlossene Lagerung von Unterlagen über steuerliche oder gesundheitliche Verhältnisse von Bürgern in Büroräumen kann z. B. nicht damit begründet werden, dass angesichts der Datenmenge die Beschaffung von verschließbaren Behältnissen nicht angemessen wäre. Vielmehr wären alternative Sicherungsmöglichkeiten zu suchen, wie die Verwahrung in besonderen Aktenräumen.
Die Vorschrift fordert außerdem, die technischen und organisatorischen Maßnahmen laufend dem Stand der Technik anzupassen. Als "Stand der Technik" sind die Produkte und Verfahrensweisen anzusehen, die aufgrund einer ausreichenden Erprobungsphase "marktgängig" sind.
Als Beispiele für marktgängige technische Systeme zum Zeitpunkt des In-Kraft-Tretens des DSG M-V sind zu nennen:
- Bewegungsmelder für Archivräume, in denen Krankenakten oder andere besonders zu sichernde Datenträger gelagert werden; Entsprechendes gilt für Serverräume,
- elektronisch gesteuerte Schließsysteme für Büroräume,
- Betriebssysteme, die sowohl die Software als auch die Datenbestände ausschließlich auf den Servern verwalten (typisches Einsatzgebiet: Telearbeitsplätze),
- automatisches Dunkelschalten der Bildschirme von nicht benutzten Arbeitsplatzrechnern,
- Verschlüsselung von Datenbeständen,
- Chipkarten mit nicht auslesbaren Passworten beziehungsweise "privaten Schlüsseln",
- Papierschredder an den Arbeitsplätzen.
Das DSG MV 92 gab konkrete Sicherungsmaßnahmen vor, die an zentral organisierten Rechenzentren orientiert waren z. B. Datenträgerkontrolle und Übermittlungskontrolle. Damit lehnte sich der Gesetzgeber an die Formulierungen in den anderen deutschen Datenschutzvorschriften an, die konzeptionell auf die siebziger Jahre zurückgehen. Sie waren deshalb geprägt von der Vorstellung einer monolithischen Großrechnerwelt und primär verbunden mit dem Schutz der Rechner, die in hermetisch abgeschlossenen Rechenzentren betrieben wurden; Telekommunikation und Vernetzungen spielten nur eine untergeordnete Rolle. In einer Zeit, in der Datenverarbeitung zunehmend dezentral in weltumspannenden Rechnernetzen betrieben wird, waren solche Regelungen nur noch bedingt oder gar nicht mehr wirksam.
Datenschutz ist nicht nur an technischen Anlagen festzumachen, sondern auch - im eigentlichen Sinne des Wortes - an den Daten selbst. Attribute wie vertraulich, integer und verfügbar sind als Eigenschaften der Daten anzusehen, die unabhängig vom aktuellen Aufenthaltsort der Daten, der Art und dem Stadium ihrer Verarbeitung und den technischen Verarbeitungskomponenten gesichert werden müssen.
Daraus resultiert, dass für die Formulierung neuer Regelungen methodisch ein anderer Ansatz zu wählen war. Es werden jetzt nicht mehr an der Technik orientierte Sicherheitsmaßnahmen, sondern auf einem abstrakteren Niveau primär an den Daten ausgerichtete Sicherheitsziele definiert. Damit wird Folgendes erreicht:
- Die verwendeten Begrifflichkeiten entsprechen denen, die in der einschlägigen Sicherheitsliteratur verwendet werden. Auch die EU-Datenschutzrichtlinie bedient sich dieser Begriffe.
- Datenschutzkontrollinstanzen und die am Sicherheitsprozess beteiligten Akteure (Entwicklungsingenieure, Softwarespezialisten, Sicherheitsexperten, Systembetreiber, Revisoren) sprechen die "gleiche" Sprache.
- Die Sicherheitsziele sind technologieunabhängig und bilden einen allgemein gültigen Sicherheitsrahmen, der umfassend ist und auch bei neuen Formen der Datenverarbeitung Bestand haben wird. Die genannten Ziele haben sich in Forschung und Praxis als stabil erwiesen.
- Das "Füllen" des Sicherheitsrahmens mit konkreten Maßnahmen erfolgt auf der Grundlage von Risikoanalysen. Hierzu können die gängigen Methoden (z. B. die des Bundesamtes für Sicherheit in der Informationstechnik) verwendet werden, da die definierten Sicherheitsziele mit diesen konform sind.
- Die Ziele definieren eine "Messlatte", an der die Sicherheit eines DV-Systems abgelesen werden kann.
- Die vorgeschlagenen Regelungen führen zu mehr Rechtssicherheit, da sie Anforderungen definieren, die im Bereich der IT-Sicherheit "verstanden" werden, in der Praxis anwendbar sind, für jede Form der Datenverarbeitung und jede technische Architektur Gültigkeit haben und einer methodischen Vorgehensweise bei ihrer Umsetzung zugänglich sind.
- Die Regelungen stellen die Kontrollierbarkeit der DV-Systeme sicher, da die zu treffenden Sicherheitsmaßnahmen im Sicherheitskonzept dokumentiert sind und damit überprüfbar werden.
Damit können die methodischen Ansätze und Hilfsmittel aus der IT-Sicherheit für den Schutz personenbezogener Daten angewendet werden, z. B. das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Anwendungen mit mittlerem Schutzbedarf.
Der Kriterienkatalog des Absatzes 2 ist nicht abschließend, fasst aber die wichtigsten Sicherheitsziele zusammen, die in Ausführung des Absatzes 1 zu treffen sind.
Nr. 1, 2 und 3 definieren und normieren die so genannten Fundamentalkomponenten der IT-Sicherheit: Vertraulichkeit (vgl. § 22 Abs. 3), Integrität und Verfügbarkeit.
Vertraulichkeit (Nr. 1) bedeutet, dass unbefugten Personen kein Informationsgewinn ermöglicht werden darf. Viele der Sicherheitsmaßnahmen aus dem DSG MV 92 sind schwerpunktmäßig diesem Sicherheitsziel zuzuordnen, nämlich Zugangs-, Datenträger-, Speicher-, Benutzer-, Zugriffs- und Transportkontrolle. Vertraulichkeitssichernd wirken z. B. folgende Mittel:
- Verschlüsselung von elektronischer Post oder von ganzen Festplatten,
- Zugriffskontrollsysteme auf der Basis von Passwörtern, Chipkarten oder Fingerabdrucklesern,
- Dienstanweisungen, in denen die Übermittlungsbefugnisse der Mitarbeiter und der Umgang mit Chipkarten erläutert werden.
Integrität (Nr. 2) liegt vor, wenn (personenbezogene) Daten unversehrt, aktuell und vollständig bleiben, also nicht böswillig oder unbeabsichtigt verändert oder unterdrückt werden können. Von den im DSG MV 92 genannten Maßnahmen hatten die Datenträger-, Speicher-, Zugriffs- und Transportkontrolle einen Einfluss auf die Integrität. Derzeit entsprechen beispielsweise folgende Mittel dem Stand der Technik:
- elektronische Signaturen; Prüfsummenverfahren,
- Integritätsbedingungen in Datenbanken,
- Speicher mit Fehlererkennung und -korrektur sowie
- Paginieren von Papierdokumenten.
Verfügbarkeit (Nr. 3) heißt, dass die personenbezogenen Daten innerhalb der erforderlichen Zeiträume mit den dafür vorgesehenen Verfahren verarbeitet werden können (vgl. § 22 Abs. 4 Satz 3). Aus dem Maßnahmenkatalog des DSG MV 92 hatten die Datenträger-, die Speicher- und die Transportkontrolle eine verfügbarkeitssichernde Komponente. Dem Stand der Technik entsprechen zurzeit unter anderem:
- Sicherungskopien (Backups), in der Regel auf Bändern,
- Einsatz von gespiegelten Festplatten oder RAID-Platten-Systemen und
- Notfallhandbücher mit den Schritten, die zum Wiederanlauf nach einem Systemausfall notwendig sind.
Die unter Nr. 4 und 5 verlangten Ziele Authentizität der Daten (vgl. § 22 Abs. 1) und Revisionsfähigkeit (vgl. § 22 Abs. 4) erfordern, dass einerseits die Herkunft von Daten und andererseits die einzelnen Verarbeitungsschritte, die in der Daten verarbeitenden Stelle stattfinden, nachvollziehbar, insbesondere einem Auslöser zuzuordnen sein müssen. In der IT-Sicherheit wird dies auch als vierte Fundamentalkomponente, Zurechenbarkeit, bezeichnet. Im DSG MV 92 zielten Zugriffs-, Übermittlungs- und Eingabekontrolle auf Authentizität der Daten und Revisionsfähigkeit; zusätzlich wurde die Revisionsfähigkeit auch durch die Auftrags- und die Organisationskontrolle beeinflusst.
Um die Authentizität der Daten (Nr. 4) sicherzustellen, ist z. B. die elektronische Signatur geeignet. Bei konventioneller Aktenführung ist darauf zu achten, dass die Herkunft von Daten dokumentiert wird.
Zur Sicherung der Revisionsfähigkeit (Nr. 5) ist regelmäßig eine Protokollierung erforderlich. In modernen Betriebssystemen und Datenbanken lassen sich eine Reihe von Vorgängen automatisch protokollieren, z. B. An- und Abmeldevorgänge von Personen, Zugriffe auf bestimmte Dateien oder Datenfelder etc. Diese Protokolle sind nicht immer ausreichend vor Manipulationen geschützt. Als sehr aussagekräftig erweist sich oft die Protokollierung auf der Ebene von Anwendungsprogrammen, da hier der Bezug zwischen Fachaufgabe und protokolliertem Sachverhalt sehr eng gewählt werden kann.
Damit Protokolldaten nicht auch zur unzulässigen Kontrolle des Personals missbraucht werden können, sind die Verhältnismäßigkeitsregel des Absatzes 1, die Informations-, Mitwirkungs- und Mitbestimmungsrechte der Personal- oder Arbeitnehmervertretungen und die enge Zweckbindungsvorschrift des § 10 Abs. 6 als Korrektive zu beachten.
Das in Nr. 6 aufgestellte Transparenzgebot (vgl. § 22 Abs. 2) zielt darauf ab, dass die eingesetzten Verfahren ausreichend dokumentiert werden. Sowohl die mit der Datenverarbeitung befassten Personen (Bedienstete, Leitung) als auch externe Kontrolleure (z. B. Revisionsstellen, Fachaufsicht, Landesbeauftragter für den Datenschutz) sollen die Verfahren anhand der Dokumentation nachvollziehen können (Innentransparenz, Außentransparenz). Ein Mittel, das zur Erfüllung des Transparenzgebotes dient, ist das Verfahrensverzeichnis (siehe § 18); im Allgemeinen sind vor allem eine geeignete Organisation und das Erstellen sowie Bereithalten und Verteilen von entsprechender Dokumentation erforderlich. Im DSG MV 92 klingt das Transparenzgebot in der Auftrags- und der Organisationskontrolle an.
Die im Absatz 2 formulierten Sicherheitsziele gelten auch für rein aktenmäßige Verfahren. Jedoch beschränken sich die technischen und organisatorischen Maßnahmen hier häufig auf den Zugangsschutz, das Verhindern unbefugter Verarbeitung einschließlich Kenntnisnahme sowie die Protokollierung von Verarbeitungsschritten.
(1) Automatisierte Verfahren sind so zu gestalten, dass eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung des Benutzers festgestellt worden ist.
(2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren.
(3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der verarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln.
(4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokollbestände sind ein Jahr zu speichern. Es ist sicherzustellen, dass die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind.
(5) In einem Sicherheitskonzept ist für jedes automatisierte Verfahren festzulegen, in welcher Form die Anforderungen des § 21 und der Absätze 1 bis 4 umzusetzen sind.
Die speziellen Anforderungen an die Gestaltung von automatisierten Verfahren unterliegen im Gegensatz zu den Sicherheitsmaßnahmen nach § 21 nicht den Prinzipien der Erforderlichkeit und der Angemessenheit. Vielmehr ist die Einhaltung dieser Vorgaben in jedem Fall unerlässlich. § 22 präzisiert ausgewählte Aspekte der in § 21 genannten Sicherheitsziele.
Die Vorschrift verlangt, dass mit der Datenverarbeitung erst begonnen werden kann, nachdem der Benutzer seine Berechtigung zur Verarbeitung im Einzelfall nachgewiesen haben. Dies geschieht regelmäßig durch die Eingabe einer Benutzerkennung (Login und Passwort), die nur dem berechtigten Nutzer bekannt ist. Das System prüft, ob das eingegebene Passwort mit dem zu dieser Benutzerkennung im System verschlüsselt abgelegten Wert übereinstimmt. Bei positivem Ergebnis schaltet das System die zuvor festgelegten Berechtigungen (Zugriffe über Programme auf Daten) frei. Neben den wissensbasierten sind auch andere Verfahren denkbar, z. B. chipkartenbasierte oder biometrische Identifikationsverfahren.
Risiken für den Schutz personenbezogener Daten entstehen insbesondere dann, wenn die Datenverarbeitungsprozesse in einem Computer-Netz ablaufen und dieses mit anderen (womöglich mit dem Internet) verknüpft ist. Die Vergabe individueller Passworte und deren effektive Verschlüsselung ist daher integraler Bestandteil der Sicherheitsmaßnahmen.
Voraussetzung für die Realisierung von technischen Maßnahmen zur Überprüfung von Berechtigungen/Zugriffsbefugnissen ist die Entscheidung, wem welche Rechte zugestanden und wem welche Zugriffe verwehrt werden sollen. Dies hat nicht durch "Techniker", sondern durch die Leitung der für die Nutzung der automatisierten Verfahren verantwortlichen "Fachbereiche" zu erfolgen.
Nur wenn ein IT-System die Komponenten Identifikation (explizite oder implizite Behauptung, eine bestimmte nutzungsberechtigte Person zu sein), Authentifikation (Beweis der Identität) und Rechteverwaltung (Zuweisung, Entzug, Änderung und Durchsetzung von Zugriffsberechtigungen) enthält, lassen sich die Anforderungen des § 21 Abs. 2 Nr. 4 und 5 (Authentizität der Daten und Revisionsfähigkeit) erfüllen.
§ 19 Abs. 1 fordert, dass automatisierte Verfahren vor ihrem erstmaligen Einsatz und nach Änderungen durch befugte Personen freizugeben sind. Deshalb ist sicherzustellen, dass alle Veränderungen an automatisierten Verfahren den für diese Freigabe zuständigen Personen rechtzeitig bekannt werden (vgl. § 21 Abs. 2 Nr. 6 - Transparenz).
Dies ist nur dadurch zu gewährleisten, dass Befugnisse zur Veränderung des IT-Systems (also Administrationsrechte) nur wenigen Personen zugestanden werden. Ihnen ist aufzuerlegen, dass sie nur solche Veränderungen vornehmen, die mit einem Freigabevermerk versehen sind (z. B. Einspielen neuer Softwareversionen, Eröffnung und Löschung von Benutzerkonten, Kopieren von Datenbeständen, Setzen und Löschen von Parametern in Betriebssystemen und systemnahen Programmen).
"Normale" Benutzer der automatisierten Verfahren dürfen keine Administrationsrechte erhalten. Das erfordert grundsätzlich eine strikte Trennung zwischen der Administrations- und der Benutzerebene der IT-Systeme. Hierauf kann nur verzichtet werden, wenn die Nutzung der Hardware, der Software und der Daten durch die betreffende Person insgesamt eigenverantwortlich erfolgt. Dies ist z. B. bei Richterinnen und Richtern im Rahmen der richterlichen Unabhängigkeit der Fall.
Um die Administratoren nicht ohne Kontrolle zu belassen, müssen die verändernden Zugriffe protokolliert werden. Die Protokolle sind in angemessenen Zeitabständen von der Dienststellenleitung zu kontrollieren. Bei ihrer Auswertung ist die enge Zweckbindung nach § 10 Abs. 6 zu beachten.
Die derzeit eingesetzten Betriebssysteme lassen in der Regel eine umfassende und revisionsfeste Protokollierung aller Änderungsaktivitäten nicht zu. Dies ist auch nicht erforderlich, um wirksame Kontrollen zu ermöglichen, wenn systemseitige Protokolle durch schriftliche Aufzeichnungen oder ein so genanntes Vier-Augen-Prinzip (zwei Administratoren kontrollieren sich gegenseitig) ergänzt werden. Systeme, die jedoch z. B. nicht einmal das Einloggen als Administrator protokollieren können, erfüllen die Anforderungen dieser gesetzlichen Regelung nicht, weil damit alle ergänzenden Sicherheitsmaßnahmen ihre Wirkung verlieren.
Wenn IT-Systeme in den Räumlichkeiten einer Daten verarbeitenden Stelle installiert sind, ist in der Regel der Zugang zur Hardware eingeschränkt, z. B. mit Hilfe von besonders gesicherten Serverräumen, Alarmanlagen oder Bewachung.
Für transportable Geräte z. B. Notebooks und bei Geräten, die außerhalb der Dienststelle genutzt werden (z. B. bei Telearbeitsplätzen), können derartige Schutzmechanismen jedoch nur eingeschränkt wirken. Die unbefugte Ausführung von Programmen kann zwar durch Passwort-Abfragen weitgehend unterbunden werden. Dies funktioniert jedoch nur in einer bestimmten Umgebung aus physischen und logischen Sicherheitsmaßnahmen (z. B. beschränkter Zugang zur Hardware und Zugriffsschutz durch das installierte Betriebssystem). Gehen aber Datenträger oder komplette Rechner verloren oder werden sie gestohlen, so entfallen diese Voraussetzungen; dann können die Datenbestände leicht dadurch lesbar gemacht werden, dass der gesamte Datenträger unter einer anderen Betriebssystemumgebung (z. B. dem persönlichen Rechner der unbefugten Person) ausgewertet wird.
Um dies zu erschweren beziehungsweise unmöglich zu machen, wird eine Verschlüsselung der Daten zwingend vorgeschrieben, wenn diese auf Geräten außerhalb der Räumlichkeiten der Daten verarbeitenden Stelle verarbeitet werden (vgl. § 21 Abs. 2 Nr. 1 - Vertraulichkeit).
In zunehmendem Maße wird auf die Aufbewahrung von papierenen Unterlagen verzichtet, und Daten werden ausschließlich in automatisierter Form gespeichert. Auch in diesen Fällen müssen die gleichen Anforderungen an die Nachvollziehbarkeit der Verarbeitung gestellt werden, die für die Datenverarbeitung in Akten gelten (vgl. § 21 Abs. 2 Nr. 5 - Revisionsfähigkeit). Zu diesem Zweck ist die Speicherung, Veränderung und Übermittlung der Daten zu protokollieren.
Außerdem muss sichergestellt werden, dass während der gesamten Speicherungsdauer der Daten die Verfahren und Geräte verfügbar sind, die benötigt werden, um die abgelegten Informationen wieder lesbar machen zu können (vgl. § 21 Abs. 2 Nr. 3 - Verfügbarkeit). Die vorgeschriebenen Speicherfristen übersteigen häufig die übliche Lebensdauer moderner EDV-Systeme; deshalb ist eine Erfüllung dieser Forderung nicht trivial. So sind im medizinischen Bereich Speicherfristen von bis zu 30 Jahren, bei Grundbuchdaten sogar von bis zu 100 Jahren einzuhalten.
Falls bei einem Systemwechsel die Daten nicht mit übernommen werden, müssen die alten Programme und gegebenenfalls auch Geräte auf lange Zeit erhalten bleiben, um Auskunfts-, Berichts- und Löschungsansprüchen nachkommen zu können. Nicht nur die Lauffähigkeit, sondern auch die Datensicherheit der alten Systeme muss gewährleistet bleiben.
Für alle automatisierten Verfahren ist ein Sicherheitskonzept vorgeschrieben. Anhand dessen kann nachvollzogen werden, welche technischen und organisatorischen Maßnahmen aufgrund welcher Bedrohungen ausgewählt wurden und wie effektiv diese Maßnahmen sind. Insofern dient das Sicherheitskonzept als organisatorisches Instrument der Schaffung von Transparenz (§ 21 Abs. 2 Nr. 6). Auch das Verfahrensverzeichnis bezieht sich auf den Inhalt dieses Konzeptes (§ 18 Abs. 1 Nr. 7).
Der Umfang von Sicherheitskonzepten hängt vor allem von der Komplexität und Größe des automatisierten Verfahrens sowie der Schutzbedürftigkeit der in ihm zu verarbeitenden personenbezogenen Daten ab und variiert deshalb sehr stark. So können bei einem einfachen Aktennachweissystem mit gering schutzbedürftigen Daten wenige Seiten genügen; bei einem großen Polizeiinformationssystem (z. B. LAPIS) sind modulare Konzepte mit hunderten Seiten erforderlich, um die notwendigen Sicherheitsmaßnahmen zu dokumentieren.
Ein Sicherheitskonzept wird in vier Schritten erstellt:
1. Ermittlung der Schutzbedürftigkeit: Zunächst wird zusammengestellt, welche Objekte für den sicheren Ablauf des Verfahrens wichtig sind. Als so genannte Schutzobjekte kommen materielle Objekte (z. B. Hardware, Datenträger, Infrastruktur), logische Objekte (z. B. Software, Daten, Kommunikationen) und Personen (z. B. Betroffene, Nutzer, Administratoren) in Frage.
2. Bedrohungsanalyse: Sodann ermittelt man die Bedrohungen, die auf die Schutzobjekte einwirken können. Dabei kann es sich um menschliche, technische und organisatorische Fehler sowie höhere Gewalt handeln.
3. Risikoanalyse: Jetzt schätzt man ab, mit welcher Häufigkeit die einzelnen Bedrohungen eintreten können und mit welchen Schäden dies jeweils verbunden ist. Ergebnis dieser Analyse ist eine Aufstellung der tragbaren und untragbaren Risiken.
4. Auswahl von Maßnahmen: Für alle Risiken, die man als untragbar eingestuft hat, wählt man nun passende Schutzmaßnahmen aus. Dann bewertet man deren Wirksamkeit, wägt Aufwand und Nutzen ab und analysiert, welches Restrisiko verbleibt. Im Ergebnis dieser Untersuchung kann sich eine Maßnahme als ungeeignet oder auch unverhältnismäßig erweisen; in diesem Falle muss man nach Alternativen suchen.
Zur Erstellung eines Sicherheitskonzeptes stehen einige Hilfsmittel und Methoden zur Verfügung. So gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutzhandbuch heraus, welches sich für Verfahren mit mittlerem Schutzbedarf eignet. Um die Erstellung von Konzepten nach dem Grundschutzhandbuch zu unterstützen, hat das BSI ein Werkzeug entwickeln lassen, das BSI-Tool IT-Grundschutz. Gehen die Anforderungen über dieses Niveau hinaus, so kann beispielsweise auf das IT-Sicherheitshandbuch des BSI zurückgegriffen werden.
Das Sicherheitskonzept muss einer regelmäßigen Überprüfung unterzogen werden und gegebenenfalls den neuen Bedingungen angepasst werden. Denn auch wenn sich die rechtlichen Vorgaben sowie Aufbau und Arbeitsweise der Verwaltung nicht ständig ändern, ergeben sich durch den technischen Fortschritt (siehe § 21 Abs. 1: "Stand der Technik") einerseits neue Bedrohungen und andererseits neue oder wirtschaftlichere Schutzmöglichkeiten.
Hat eine Daten verarbeitende Stelle Grund zur Annahme oder Kenntnis, dass unrichtige, unzulässig erhobene oder unzulässig gespeicherte personenbezogene Daten in der Weise genutzt wurden, dass dem Betroffenen daraus ein Nachteil entstanden ist oder zu entstehen droht, so hat sie diesen unverzüglich zu benachrichtigen.
Die Vorschrift hat das Ziel, mögliche Schäden, die einem Betroffenen durch die Nutzung unrichtiger oder unzulässig erhobener oder gespeicherter Daten entstehen können, abzuwenden oder zu begrenzen.
Die Pflicht einer öffentlichen Stelle zur Benachrichtigung des Betroffenen ist unabhängig davon, ob sie selbst die Daten zu dessen Nachteil genutzt hat oder ob sie die Daten lediglich an eine andere Stelle übermittelt hat und dem Betroffenen durch den dortigen Umgang mit seinen Daten ein Nachteil zu entstehen droht oder bereits entstanden ist. Es liegt daher auch im Interesse der Daten verarbeitenden Stelle, den Betroffenen zu benachrichtigen, um eine mögliche, die öffentliche Stelle selbst treffende Schadensersatzpflicht nach § 27 zu begrenzen oder von vornherein zu vermeiden.
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten,
2. die verfügbaren Informationen über die Herkunft der Daten und die Empfänger, an die die Daten übermittelt werden,
3. den Zweck und die Rechtsgrundlage der Verarbeitung
4. die Funktionsweise des Verarbeitungsverfahrens im Falle einer zulässigen automatisierten Einzelentscheidung nach § 12.
In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten in Akten gespeichert, soll der Betroffene Angaben machen, die das Auffinden der Daten ermöglichen. Die speichernde Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
(2) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(3) Den Betroffenen kann statt der Auskunft Einsicht in die zu ihrer Person gespeicherten Daten gewährt werden. Die Einsicht wird nicht gewährt, soweit diese mit personenbezogenen Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Rechtsvorschriften über Akteneinsicht im Verwaltungsverfahren bleiben unberührt.
(4) Die Auskunftserteilung oder die Gewährung von Einsicht unterbleibt, soweit eine Prüfung ergibt, dass
1. dadurch die Erfüllung der Aufgaben der Daten verarbeitenden Stelle, einer übermittelnden Stelle oder einer empfangenden Stelle gefährdet würde,
2. dadurch die öffentliche Sicherheit gefährdet würde oder sonst dem Wohle des Bundes oder eines Landes schwere Nachteile entstehen würden oder
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen einer dritten Person geheim gehalten werden müssen.
(5) Die Ablehnung der Auskunftserteilung und die Versagung der Einsichtnahme bedürfen keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung oder der Versagung der Akteneinsicht verfolgte Zweck gefährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Landesbeauftragten für den Datenschutz wenden kann.
(6) Wird dem Betroffenen keine Auskunft oder Einsicht gewährt, so ist sie auf sein Verlangen dem Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des Landesbeauftragten für den Datenschutz an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der Daten verarbeitenden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zugestimmt hat.
(7) Auskunft und Akteneinsicht sind unentgeltlich.
Der Auskunftsanspruch gehört zu den wesentlichen Datenschutzrechten. Um die Bedeutung dieser Rechte angemessen hervorzuheben, sieht das Gesetz einen eigenen Abschnitt für die Rechte der Betroffenen vor. Die differenziert gestaltete Vorschrift hat das Ziel, die Rechtsstellung der von einer Datenverarbeitung Betroffenen zu verbessern. Mehr Transparenz im Rahmen der Datenverarbeitung soll dazu beitragen, die geeigneten Voraussetzungen zu schaffen, dass sie ihre sonstigen Rechte aufgrund dieses Gesetzes wirksam geltend machen können.
Der datenschutzrechtliche Auskunftsanspruch gehört zu den Informationsansprüchen, die jede einzelne Person gegenüber den staatlichen Stellen hat. Der Anspruch ist an die Voraussetzung geknüpft, dass staatliche Stellen personenbezogene Daten der Betroffenen verarbeiten. § 24 stellt die allgemeine Regelung des datenschutzrechtlichen Auskunftsanspruchs dar.
Besondere Regelungen können aber dem DSG M-V vorgehen und zu einer Einschränkung der Auskunftsrechte des Landesdatenschutzgesetzes führen. Solch eine Vorschrift besteht z. B. für die Auskunftserteilung durch die Verfassungsschutzbehörde in § 26 LVerfSchG. Darüber hinaus existieren andere Informationsansprüche gegenüber staatlichen Stellen, wie der Anspruch nach § 29 VwVfG M-V, der an die Beteiligtenstellung der Auskunft ersuchenden Person in einem Verwaltungsverfahren gebunden ist. Bei diesem Anspruch sind zwar die Voraussetzungen enger; sind sie aber erfüllt, geht der Anspruch weiter, nämlich im Regelfall auf die vollständige Akteneinsicht, einschließlich der in den Akten enthaltenen personenbezogenen Daten Dritter.
Die unterschiedlichen Ansprüche beeinträchtigen sich nicht, sondern stehen nebeneinander (vgl. § 24 Abs. 5 Satz 3). Macht ein Antragsteller seinen Informationsanspruch geltend, ist zunächst zu prüfen, welche gesetzlichen Grundlagen überhaupt zur Verfügung stehen und sodann, welche der in Frage kommenden Normen dem Antragsteller die weitreichendsten Rechte gewähren.
Voraussetzung für die Auskunft ist ein Antrag des Betroffenen. Der Antrag bedarf keiner Begründung.
Beauskunftet wird der Datenbestand zum Zeitpunkt des Auskunftsbegehrens. Dies gilt auch, wenn anlässlich eines Auskunftsersuchens festgestellt wird, dass die Daten unrichtig sind, zur Aufgabenerfüllung nicht mehr benötigt werden oder ihre Speicherung aus sonstigen Gründen unzulässig ist und die Daten gelöscht werden müssten. In diesem Fall ist den Betroffenen der Sachverhalt zu erläutern und sie sind auf die ihnen nach §§ 13, 25 zustehenden Rechte auf Berichtigung, Löschung oder Sperrung der Daten hinzuweisen. Das Auskunftsrecht erstreckt sich auf die zur eigenen Person in Dateien oder Akten gespeicherten Daten, auf die Herkunft der Daten und die Empfänger, die Zweckbestimmung und die Rechtsgrundlage der Verarbeitung (siehe hierzu die Erläuterungen zu § 18 Abs. 1 Nr. 2) sowie in den Fällen des § 12 auf den logischen Aufbau der automatisierten Verarbeitung der Daten.
Gemäß Art. 12 Buchstabe a, 1. Spiegelstrich der Richtlinie ist grundsätzlich über sämtliche Empfänger bei übermittelten Daten Auskunft zu geben. Diese Pflicht ist nun in Satz 1 Nr. 2 geregelt worden. Die Daten verarbeitenden Stellen haben, soweit erforderlich, Übermittlungen personenbezogener Daten in jedem Einzelfall zuverlässig zu dokumentieren, um den Betroffenen Auskunft über die Empfänger erteilen zu können.
Satz 1 Nr. 4 setzt Art. 12 Buchstabe a, 3. Spiegelstrich der Richtlinie um. Die Auskunft muss sich nicht auf sämtliche durch die eingesetzte Software ermöglichten Verarbeitungen, sondern nur auf die tatsächlich vorgesehenen beziehungsweise praktizierten Datenverarbeitungen erstrecken. Die Auskunft über den logischen Aufbau der Verarbeitung erfordert keine softwaretechnischen Erörterungen, sondern allgemein verständliche Darlegungen darüber, in welcher Weise aus den konkret verarbeiteten personenbezogenen Daten welche Bewertungen von Persönlichkeits- oder Verhaltensmerkmalen gewonnen und welche Entscheidungskriterien dabei herangezogen werden.
Um der Daten verarbeitenden Stelle das Auffinden der Daten zu erleichtern, sollen die betroffenen Personen nach Satz 2 die Art der Daten näher bezeichnen. Hierzu gehört eine möglichst genaue Angabe, in welchem Zusammenhang die Daten gespeichert sein könnten. Unterbleibt dies, ist die angefragte Stelle nicht verpflichtet, einen übermäßigen Aufwand zum Auffinden der Informationen zu betreiben. In der Regel wird es dann ausreichen, wenn im jeweils vorhandenen Aktennachweissystem nach der betroffenen Person gesucht wird. Macht die betroffene Person nähere Angaben dazu, in welchem Kontext sie die Speicherung ihrer Daten vermutet, so muss in den dazu einschlägigen Unterlagen gesucht werden. Dies gilt auch, wenn nach den Daten nicht unter dem Identifizierungsmerkmal der Person (z. B. in einer Namenskartei) gesucht werden kann. Es kann dann auch nötig sein, vorhandene Akten oder andere Unterlagen manuell zu durchsuchen. Eine Grenze besteht allerdings, wenn die Daten mit vertretbarem Aufwand nicht festgestellt werden können. Dies kann beispielsweise der Fall sein, wenn umfangreiche mehrbändige Akten durchsucht werden müssten, um eine in dem Vorgang nur am Rande einmal erwähnte Person ausfindig zu machen.
Eine bestimmte Form der Auskunft ist nicht vorgeschrieben, deshalb ist die auskunftspflichtige Stelle in der Verfahrensgestaltung frei. Sie kann den Auskunftsanspruch auch dadurch erfüllen, dass sie in die entsprechenden Teile von Datensammlungen vollständig oder teilweise Einsicht gewährt. Beispielsweise können bei automatisierten Verfahren die Daten der betroffenen Person am Bildschirm aufgerufen oder ausgedruckt werden.
Eine Sonderregelung enthält Absatz 2. Danach ist die Auskunftserteilung über die Übermittlung personenbezogener Daten an Behörden des Verfassungsschutzes, an den Bundesnachrichtendienst, an den militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministers der Verteidigung nur mit Zustimmung dieser Stellen zulässig. Wird die Zustimmung versagt, gilt aber Abs. 5 Satz 2 entsprechend, soweit es sich um Landesbehörden handelt.
Ob Akteneinsicht gewährt wird, entscheidet die Daten verarbeitende Stelle nach pflichtgemäßem Ermessen. Da gerade bei umfänglichen Angaben die Akteneinsicht und insbesondere Kopien oder Dateiausdrucke für den Betroffenen einen wesentlich höheren Wert als eine bloß mündliche Auskunft haben, sollte die Stelle nur in den Fällen des Satzes 2 die Einsicht oder die Herausgabe von Ausdrucken/Kopien verweigern. Wird statt der Auskunft Einsicht in die Daten gewährt, ist sicherzustellen, dass die Auskunftssuchenden nur die zu ihrer Person gespeicherten Daten und keine Daten Dritter oder sonstige geheimhaltungsbedürftige Informationen zur Kenntnis nehmen können. Ist dies nicht möglich, so darf nur Auskunft erteilt werden. Wird dem Gebot der getrennten Speicherung nach § 5 Abs. 3 gefolgt, dürften hinsichtlich der Einsichtsgewährung keine Hinderungsgründe bestehen. Zu Satz 3 siehe die letzten beiden Absätze unter Allgemeines.
Die Auskunftserteilung unterbleibt in den in Absatz 4 aufgezählten Konstellationen. Da der Auskunftsanspruch Teil des verfassungsrechtlich garantierten Rechts auf informationelle Selbstbestimmung ist, sind diese Ausnahmetatbestände restriktiv auszulegen. Im Verhältnis zu Absatz 2 ist Absatz 4 subsidiär.
Bei einer Auskunftsverweigerung sind dem Betroffenen die wesentlichen Gründe nur dann nicht mitzuteilen, wenn dadurch der Zweck der Ablehnung gefährdet wird. Die Gründe für die Auskunftsverweigerung müssen so dokumentiert werden, dass eine Prüfung durch den Landesbeauftragten für den Datenschutz möglich ist. Neben der Möglichkeit, sich an diesen zu wenden - worauf die Stelle hinzuweisen hat -, steht dem Betroffenen der Rechtsweg offen.
Dieser Absatz gewährleistet, dass der Betroffene mit Hilfe des Landesbeauftragten für den Datenschutz eine Auskunftsverweigerung prüfen lassen kann, soweit nicht die Sicherheit des Bundes oder eines Landes dadurch gefährdet würde. Ob das der Fall ist, hat die jeweils zuständige oberste Landesbehörde im Einzelfall festzustellen.
Zu Abs. 7
Auskunft und Akteneinsicht sind gebührenfrei. Gewährt die Daten verarbeitende Stelle aber auf Wunsch des Antragstellers Auskunft in Form von Kopien oder Ausdrucken, kann sie sich die dafür entstandenen Kosten von ihm ersetzen lassen.
(1) Der Betroffene hat das Recht, personenbezogene Daten sperren zu lassen, soweit er deren Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit nachweisen lässt.
(2) Der Betroffene hat das Recht, bis zur Klärung von Schadensersatzansprüchen unrichtige, unzulässig erhobene oder unzulässig gespeicherte Daten zu seiner Person, die bereits genutzt wurden, auf Antrag bei der Daten verarbeitenden Stelle sperren zu lassen. Die Sperrung wird nach Ablauf von sechs Monaten vom Zeitpunkt des Sperrantrags an unwirksam, wenn durch den Betroffenen innerhalb dieses Zeitraums kein Schadensersatzanspruch gerichtlich geltend gemacht wurde.
(3) Der Betroffene kann gegenüber der Daten verarbeitenden Stelle der Verarbeitung seiner Daten schriftlich widersprechen, wenn er geltend macht, dass die Verarbeitung seine besonderen persönlichen Interessen beeinträchtigt. In diesem Fall ist die Datenverarbeitung nur zulässig, wenn sie überwiegend im öffentlichen Interesse liegt. Das Prüfungsergebnis mit Begründung ist dem Betroffenen schriftlich mitzuteilen. Die Sätze 1 bis 3 finden keine Anwendung auf Verfahren, die der Gefahrenabwehr, der Strafverfolgung oder der Steuerfahndung dienen.
(4) Der Betroffene ist von der Daten verarbeitenden Stelle über ihre Absicht der Weitergabe seiner Daten zum Zwecke der Direktwerbung rechtzeitig zu informieren. Er ist ausdrücklich auf sein Recht hinzuweisen, einer solchen Weitergabe kostenfrei zu widersprechen.
Absatz 1 nennt die Voraussetzung, unter der ein Betroffener seine Daten sperren lassen kann. Er muss dazu die Richtigkeit der Daten bestreiten. Sofern sich ergibt, dass die Daten unrichtig sind, muss die Daten verarbeitende Stelle sie nach § 13 Abs. 1 Satz 1 berichtigen. Lässt sich aber weder die Richtigkeit noch die Unrichtigkeit der Daten nachweisen, müssen sie gesperrt werden. Gesperrte Daten sind besonders zu behandeln (§ 13 Abs. 5) und nur im gesetzlich zulässigen Rahmen zu verarbeiten, beispielsweise nach § 10 Abs. 5.
Diese Vorschrift stärkt im besonderen Maße die Rechtsposition des Betroffenen bei der Verarbeitung von unrichtigen, unzulässig erhobenen oder gespeicherten Daten.
Unrichtige Daten sind zwar grundsätzlich zu berichtigen (siehe § 13 Abs. 1 Satz 1), jedoch kann der Betroffene verlangen, dass sie solange gesperrt werden, bis seine Schadensersatzansprüche geklärt sind. Der Anspruch muss zwar innerhalb von sechs Monaten nach dem Antrag auf Sperrung gerichtlich geltend gemacht werden, aber solange die Klärung dann dauert, sind die Daten in der ursprünglichen Form noch vorhanden. Würde die verarbeitende Stelle hingegen die Daten berichtigen, wäre es für den Betroffenen unter Umständen schwierig nachzuweisen, welchen Inhalt die Daten hatten, so dass auch ein Schadensersatzanspruch möglicherweise nicht mehr durchgesetzt werden kann. Es wäre dann gegebenenfalls aufgrund der Protokollierung nach § 21 Abs. 2 Nr. 5 nur noch möglich nachzuweisen, dass bestimmte Daten oder auch nur ein Datum berichtigt worden sind.
Auch bei unzulässig erhobenen oder unzulässig gespeicherten Daten kann der Betroffene beantragen, dass seine Daten unter den in der Vorschrift genannten Voraussetzungen gesperrt werden. Entsprechend den obigen Ausführungen darf in diesen Fällen die Daten verarbeitende Stelle die Daten nicht löschen.
Dieser Absatz gibt dem Betroffenen in Umsetzung des Artikels 14 Buchstabe a der Richtlinie die Möglichkeit, einer rechtmäßigen und zulässigen Datenverarbeitung schriftlich zu widersprechen, wenn dadurch besondere persönliche Interessen beeinträchtigt werden. Typische Fälle sind die Verarbeitung sensibler personenbezogener Daten (z. B. medizinische Befunde, Führungszeugnis), wenn der eigentlich zuständige Bearbeiter zum persönlichen Bekanntenkreis des Betroffenen gehört und dieser nicht möchte, dass der Bearbeiter Kenntnis von den Daten erhält. Sofern ein Betroffener vergleichbare persönliche Gründe geltend macht, kann er auf der Grundlage von Absatz 3 der Datenverarbeitung widersprechen. Der Widerspruch kann sich auf eine konkret bevorstehende, eine zu erwartende oder auch eine bereits erfolgte Datenverarbeitung beziehen.
Die Stelle, gegenüber der widersprochen wird, muss dann das öffentliche Interesse an einer Verarbeitung mit den besonderen persönlichen Interessen des Betroffenen abwägen. Nur wenn das öffentliche Interesse an der Datenverarbeitung überwiegt, ist diese zulässig. In der oben dargestellten Fallkonstellation besteht das öffentliche Interesse in der Datenverarbeitung durch den eigentlichen zuständigen Bearbeiter. Es wäre also zu prüfen, ob die Datenverarbeitung durch einen anderen Mitarbeiter der Daten verarbeitenden Stelle erfolgen könnte.
Das Ergebnis dieser Prüfung sowie die Begründung sind dem Betroffenen mitzuteilen. Wenn die Daten verarbeitende Stelle den Widerspruch zurückweist, ist dies ein ablehnender Verwaltungsakt, gegen den die üblichen Rechtsbehelfe (Widerspruch und gerichtliche Überprüfung) gegeben sind. Ist der Betroffene der Auffassung, dass sein Einwand nicht gebührend berücksichtigt worden ist, kann er beispielsweise eine einstweilige Anordnung nach § 123 VwGO beantragen. Damit könnte erreicht werden, dass die Stelle verpflichtet wird, auf die Verarbeitung der Daten zu verzichten, bis in der Sache rechtskräftig entschieden worden ist.
Die Ausnahmetatbestände nach Satz 4 sind eng auszulegen. Nur bei Verfahren, die ausschließlich den genannten Zwecken dienen, ist das Widerspruchsrecht gegen die Datenverarbeitung ausgeschlossen.
Dieser Absatz wurde aufgrund von Artikel 14 Buchstabe b der EG-Richtlinie eingefügt. Danach hat die betroffene Person ein Informations- und Widerspruchsrecht, wenn die verarbeitende Stelle die Absicht hat, die Daten für Zwecke der Direktwerbung weiterzuleiten.
Allerdings ist die praktische Relevanz der Regelung nicht klar. Wenn eine Behörde Daten übermitteln will, ist dies nur unter den Voraussetzungen der §§ 14 bis 16 zulässig, die auf die Zweckbindung gemäß § 10 verweisen. Die in § 10 Abs. 3 zugelassenen Zweckdurchbrechungen enthalten aber keine Nutzungsänderung für den Zweck der Direktwerbung. Sofern aber die Daten von Unternehmen, die öffentliche Stellen im Sinne des § 2 Abs. 5 sind, weitergegeben werden sollen, gelten nach dessen Satz 2 die materiell-rechtlichen Datenschutzregelungen des BDSG; bei den in § 2 Abs. 5 Satz 1aufgeführten, weiterhin anzuwendenden Bestimmungen des DSG M-V ist § 25 nicht genannt. Insofern ist fraglich, ob § 25 Abs. 4 überhaupt auf öffentliche Stellen des Landes Mecklenburg-Vorpommern anwendbar ist, da keine Konstellation ersichtlich ist, in der die Weitergabe personenbezogener Daten zum Zwecke der Direktwerbung im Sinne des Satzes 1 zulässig ist.
Jeder hat das Recht, sich an den Landesbeauftragten für den Datenschutz zu wenden, wenn er annimmt, bei der Verarbeitung seiner personenbezogenen Daten durch eine der Kontrolle des Landesbeauftragten für den Datenschutz unterliegenden Stelle in seinen Rechten verletzt worden zu sein; Beschäftigte öffentlicher Stellen können sich dabei ohne Einhaltung des Dienstwegs an den Landesbeauftragten für den Datenschutz wenden.
Das Recht auf Anrufung des Landesbeauftragten für den Datenschutz (LfD) steht jeder Person zu, die geltend macht, bei der Datenverarbeitung durch eine der in § 30 Abs. 1 genannten Stelle in ihren Rechten verletzt worden zu sein. Bei Minderjährigen kommt es auf die natürliche Einsichtsfähigkeit an. Die Staatsangehörigkeit oder der Wohnsitz des Petenten sind dagegen unerheblich. Das Anrufungsrecht gilt auch für Bedienstete der öffentlichen Verwaltung.
Gegenstand der Anrufung muss die vermutete Verletzung des Rechts auf informationelle Selbstbestimmung und nicht die Verletzung irgendeines anderen Rechtes oder Interesses sein. Das Recht muss dem Petenten selbst zustehen. Unter Verletzung eines Datenschutzrechts ist nicht nur die unzulässige Datenverarbeitung, sondern auch die Verweigerung einer Auskunft, Berichtigung, Sperrung oder Löschung von Daten zu verstehen.
Eine bestimmte Form oder Frist ist für die Anrufung nicht normiert. Sie kann daher schriftlich, (fern)mündlich oder per E-Mail erfolgen. Bei einer Petition per E-Mail sollte der Absender Maßnahmen zur Datensicherheit treffen, indem er z. B. seine Nachricht mit einem sicheren kryptographischen Verfahren verschlüsselt (siehe dazu die Informationen auf der Homepage des Landesbeauftragten für den Datenschutz).
Der Betroffene muss den Sachverhalt angeben, durch den er sich in seinem Recht auf informationelle Selbstbestimmung verletzt fühlt. Falls für den LfD nicht erkennbar ist, wodurch sich der Petent in seinen Rechten beeinträchtigt fühlt, hat er dieses der betroffenen Person mitzuteilen und um weitere Sachverhaltsaufklärung zu bitten. Im Allgemeinen ist Voraussetzung für die Bearbeitung einer Petition, dass für den LfD die Identität des Petenten feststellbar ist.
Soweit es zur Sachverhaltsaufklärung erforderlich ist, wird der LfD der Daten verarbeitenden Behörde oder Stelle Gelegenheit zur Stellungnahme geben. Da Petitionen vertraulich zu behandeln sind, wird in diesem Zusammenhang die Identität der betroffenen Person nur offen gelegt, wenn dies erforderlich ist, um den Sachverhalt klären zu können, oder der Petent es selbst wünscht.
Danach prüft der LfD, ob eine Rechtsverletzung vorliegt oder nicht. Der Betroffene wird hierüber informiert. Er hat allerdings keinen Anspruch auf Vornahme einer rechtlichen Handlung durch den LfD, beispielsweise einer Beanstandung.
Auch wenn keine Rechtsverletzung vorliegt, kann sich jedermann mit Fragen und Hinweisen an den LfD wenden, z. B. um Vorschläge zur Verbesserung der Datenverarbeitung zu unterbreiten.
(1) Verletzt eine Daten verarbeitende Stelle durch eine unzulässige oder unrichtige automatisierte Verarbeitung personenbezogener Daten die Rechte eines Betroffenen, so ist sie ihm unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.
(2) Die Schadensersatzpflicht der Daten verarbeitenden Stelle tritt auch bei nicht-automatisierter Verarbeitung ein, es sei denn, die Daten verarbeitende Stelle weist nach, dass sie den Schaden nicht zu vertreten hat.
(3) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
(4) Die Ansprüche nach den Absätzen 1 bis 3 sind insgesamt bis zu einer Höhe von 125 000 Euro begrenzt. Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 125 000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.
(5) Sind an einem Verfahren mehrere Daten verarbeitende Stellen beteiligt und ist der Geschädigte nicht in der Lage, die verursachende Stelle festzustellen, so haftet jede dieser Stellen.
(6) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(7) Auf das Mitverschulden des Betroffenen und die Verjährung sind die §§ 254 und 852 des Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(8) Vorschriften, nach denen ein Ersatzpflichtiger in weiterem Umfang als nach dieser Vorschrift haftet oder nach denen ein anderer für den Schaden verantwortlich ist, bleiben unberührt.
(9) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
Die Regelung setzt Artikel 23 der Richtlinie um.
Auf das Verschulden der Daten verarbeitenden Stelle kommt es bei dieser Haftung nicht an. Es handelt sich somit um eine Gefährdungshaftung, die sich aus der bloßen Datenverarbeitung ergibt.
Der Betroffene muss aber die Tatsache und die Höhe des Schadens sowie die Ursächlichkeit einer unzulässigen oder unrichtigen automatisierten Datenverarbeitung nachweisen.
Hier wird klargestellt, dass Schadensersatz nicht nur bei automatisierter, sondern bei jeder rechtswidrigen Datenverarbeitung geltend gemacht werden kann. Im Gegensatz zu Absatz 1 hat die Daten verarbeitende Stelle hier jedoch die Möglichkeit, sich von der Schadensersatzpflicht teilweise oder vollständig zu befreien, wenn sie nachweisen kann, dass der Umstand, durch den der Schaden eingetreten ist, von ihr nicht verschuldet wurde. Die Stelle muss sich aber ein Verschulden eines Auftragnehmers, der im Auftrag der Stelle die Daten verarbeitet, zurechnen lassen, so, als hätte sie selbst den Schaden verursacht.
Bei einer schweren Verletzung des Persönlichkeitsrechts hat der Betroffene auch einen Anspruch auf Ersatz eines immateriellen Schadens. Dies kann z. B. der Fall sein, wenn durch die rechtswidrige Datenverarbeitung eine erhebliche Rufschädigung eingetreten ist.
Um das Risiko der Datenverarbeitung in Grenzen zu halten, hat der Gesetzgeber die Haftungssumme limitiert. Fraglich ist aber, ob diese Begrenzung zulässig ist, da Artikel 23 eine solche Limitierung nicht nennt.
Für Nebenfragen des Schadensersatzes (Mitverschulden der betroffenen Person, Verjährung) wird auf die entsprechenden Vorschriften des Bürgerlichen Gesetzbuches verwiesen.
Vorschriften zur Geltendmachung weitergehender Ansprüche bleiben unberührt. Insbesondere steht es dem Betroffenen frei, bei schuldhaften Verletzungen Ansprüche im Wege des Amtshaftungsrechts geltend zu machen.
Die Rechte nach den §§ 24 bis 27 können auch durch die Einwilligung des Betroffenen nicht ausgeschlossen oder beschränkt werden.
Die Rechte auf Auskunft, Akteneinsicht, Sperrung, Widerspruch und Schadensersatz sowie das Recht auf Anrufung des Landesbeauftragten für den Datenschutz können auch mit Willen des Betroffenen durch Verträge oder andere Rechtsgeschäfte nicht abbedungen werden. Ein vertraglicher Verzicht auf diese Rechte oder ihre vertragliche Einschränkung ist unwirksam. Auch durch Verwaltungsakte oder öffentlich-rechtliche Verträge können sie nicht ausgeschlossen oder beschränkt werden.
(1) Das Amt des Landesbeauftragten für den Datenschutz wird beim Präsidenten des Landtags eingerichtet.
(2) Der Landtag wählt ohne Aussprache den Landesbeauftragten für den Datenschutz mit mehr als der Hälfte seiner Mitglieder für die Dauer von sechs Jahren. Die Wiederwahl ist nur einmal zulässig. Vorschlagsberechtigt sind die Fraktionen des Landtags. Kommt vor Ablauf der Amtszeit eine Neuwahl nicht zustande, führt der Landesbeauftragte für den Datenschutz das Amt bis zur Neuwahl weiter.
(3) Der Präsident des Landtags ernennt den Landesbeauftragten für den Datenschutz zum Beamten auf Zeit.
(4) Der Landesbeauftragte für den Datenschutz bestellt einen Mitarbeiter zum Stellvertreter. Der Stellvertreter führt die Geschäfte, wenn der Landesbeauftragte für den Datenschutz an der Ausübung des Amtes verhindert ist.
(5) Vor Ablauf der Amtszeit kann der Landesbeauftragte nur mit einer Mehrheit von zwei Dritteln der Mitglieder des Landtags abberufen werden. Der Landesbeauftragte für den Datenschutz kann jederzeit die Entlassung verlangen.
(6) Der Landesbeauftragte für den Datenschutz ist in der Ausübung des Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der Dienstaufsicht des Präsidenten des Landtags. Für die Erfüllung der Aufgaben ist die notwendige Personal- und Sachausstattung zur Verfügung zu stellen; die Mittel sind im Einzelplan des Landtags in einem gesonderten Kapitel auszuweisen.
(7) Die Mitarbeiter werden auf Vorschlag des Landesbeauftragten für den Datenschutz ernannt. Sie können nur im Einvernehmen mit ihm versetzt oder abgeordnet werden. Ihr Dienstvorgesetzter ist der Landesbeauftragte für den Datenschutz, an dessen Weisungen sie ausschließlich gebunden sind.
(8) Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung und oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung. Er trifft die Entscheidungen über Aussagegenehmigungen für sich und die Mitarbeiter in eigener Verantwortung.
(9) Der Landesbeauftragte für den Datenschutz kann sich jederzeit an den Landtag wenden.
§ 29 regelt die Rechtsstellung, insbesondere die Unabhängigkeit, des Landesbeauftragten für den Datenschutz sowie seine Wahl, Ernennung, Abberufung und Entlassung.
Der Landesbeauftragte für den Datenschutz untersteht der Dienstaufsicht des Präsidenten des Landtages, die sich jedoch nur auf Regelungen dienstrechtlicher Fragen, wie Besoldung, Dienstzeit, Gewährleistung eines ordnungsgemäßen Geschäftablaufes, beschränkt. Einer seine fachliche Unabhängigkeit einschränkenden Fach- oder Rechtsaufsicht unterliegt er nicht - er ist kein Teil der Landtagsverwaltung. In Ausübung seines Amtes und insbesondere als "Bürgeranwalt" in Datenschutzfragen ist er nur dem Gesetz unterworfen und frei von Weisungen. Die organisationsrechtliche Trennung des Landesbeauftragten von der Regierung, deren nachgeordneten Stellen sowie dem kommunalen Bereich trägt dem Umstand Rechnung, dass seine Aufgabe die Überwachung des Umgangs mit personenbezogenen Daten in der gesamten Landes- und Kommunalverwaltung ist.
Als oberste Dienstbehörde entscheidet der Landesbeauftragte für den Datenschutz im Sinne von § 96 Strafprozessordnung über die Vorlage oder Auslieferung von Unterlagen sowie über Aussagegenehmigungen für sich und seine Mitarbeiter in eigener Verantwortung.
Er kann jederzeit den Landtag auf schwerwiegende datenschutzrelevante Sachverhalte hinweisen.
(1) Der Landesbeauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. Diese Kontrolle erstreckt sich auch auf die datenschutzrechtliche Aufsicht der zuständigen Behörden gegenüber den nicht-öffentlichen Stellen. Er kontrolliert die Einhaltung der Datenschutzvorschriften auch bei Stellen, die sich und soweit sie sich seiner Kontrolle unterworfen haben.
(2) Der Landesbeauftragte für den Datenschutz teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung der festgestellten Mängel bei der Verarbeitung von personenbezogenen Daten, verbinden. § 32 bleibt unberührt.
Die Kontrollkompetenz des Landesbeauftragten für den Datenschutz ist der Norm entsprechend umfassend zu verstehen. Auch personenbezogene Daten, die einem besonderen Berufs- oder besonderen Amtsgeheimnis unterliegen, z. B. die berufliche Schweigepflicht nach § 203 Abs. 1 StGB, die notarielle Verschwiegenheitspflicht gemäß § 18 BNotO oder das Steuergeheimnis nach § 30 AO (vgl. § 24 Abs. 2 Satz 1 Nr. 2 i. V. m. Abs. 6 BDSG), können ihm nicht vorenthalten werden. Zur Kontrollkompetenz des Landesbeauftragten für den Datenschutz gegenüber den Notaren hat der Landtag folgende Entschließung gefasst:
"Hinsichtlich der Regelung in § 30 geht der Landtag davon aus, dass Notare als unabhängige Träger eines öffentlichen Amtes der Datenschutzkontrolle durch den Landesbeauftragten für den Datenschutz unterliegen."
Unterwerfungen im Sinne des Satzes 3 sind nur wirksam, wenn sie auf Rechtsvorschriften beruhen, z. B. §§ 4 Abs. 3 Satz 1, 34 Abs. 6 DSG M-V, § 19 Abs. 3 Satz 1 LStatG M-V.
Der Landesbeauftragte für den Datenschutz informiert die öffentlichen Stellen über das Ergebnis seiner Kontrolle, insbesondere über die Bewertung der datenschutzrelevanten Sachverhalte. In diesem Zusammenhang gibt er gegebenenfalls Hinweise und Empfehlungen zur Verbesserung der datenschutzrechtlichen Bedingungen bei der Verarbeitung personenbezogener Daten.
(1) Die öffentlichen Stellen und diejenigen Stellen, die sich der Kontrolle des Landesbeauftragten für den Datenschutz unterworfen haben, sind verpflichtet, ihn und seine Beauftragten bei der Aufgabenerfüllung, namentlich bei der Durchführung von Kontrollen, zu unterstützen. Ihnen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen zu gewähren, die im Zusammenhang mit der Datenverarbeitung stehen, namentlich in die gespeicherten Daten sowie in die Datenverarbeitungssysteme und Programme, und
2. jederzeit Zutritt zu allen Diensträumen zu gewähren.
(2) Die Rechte nach Absatz 1 dürfen nur vom Landesbeauftragten für den Datenschutz persönlich ausgeübt werden, wenn die zuständige oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet.
Zur Wahrnehmung seiner Aufgaben stehen dem Landesbeauftragten für den Datenschutz umfassende Rechte zu. Die seiner Kontrolle unterworfenen Stellen sind verpflichtet, ihn bei seinen datenschutzrechtlichen Prüfungen zu unterstützen. Diese Pflicht ist unabhängig davon, ob die Stellen mit personenbezogenen Daten umgehen oder nicht, da diese Feststellung in manchen Fällen erst Zweck der Kontrolle sein kann. Sie beschränkt sich auch nicht auf den Anlass einer Kontrolltätigkeit, sondern gilt generell. Kontrollbesuche muss der Landesbeauftragte für den Datenschutz nicht vorher ankündigen.
In Satz 2 werden lediglich beispielhaft Pflichten dieser Stellen genannt. Danach besitzt der Landesbeauftragte für den Datenschutz ein uneingeschränktes Einsichts- und Auskunftsrecht zu allen Vorgängen, die den Umgang mit personenbezogenen Daten betreffen. Vorschriften zur Wahrung eines Berufs- oder besonderen Amtsgeheimnisses stehen dem nicht entgegen (siehe die Erläuterungen zu § 30 Abs. 1). Die Pflicht zur Unterstützung des Landesbeauftragten beinhaltet auch, dass kompetente Ansprechpartner Fragen beantworten und Auskünfte erteilen können und dass bei Kontrollen Arbeitsräume oder Rechnerarbeitsplätze zur Verfügung stehen. Das Recht auf Zutritt zu allen Diensträumen ist unbeschränkt und gilt auch an arbeitsfreien Tagen und nachts.
Bei besonderer Sicherheitsrelevanz von Unterlagen, die im Einzelfall von der zuständigen obersten Landesbehörde festgestellt werden muss, sind die Kontrollrechte auf den Landesbeauftragten selbst beschränkt. Der unbestimmte Rechtsbegriff der im letzten Halbsatz formulierten Sicherheitsrelevanz ist dabei eng auszulegen.
(1) Stellt der Landesbeauftragte für den Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung von personenbezogenen Daten fest, so beanstandet er dies
1. bei den Behörden des Landes gegenüber der zuständigen obersten Landesbehörde,
2. bei den Gemeinden, Ämtern und Landkreisen gegenüber dem verwaltungsleitenden Organ,
3. bei den Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ,
4. bei privatrechtlichen Stellen nach § 2 Absatz 2 gegenüber dem gesetzlichen Vertreter
und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In Fällen von Satz 1 Nr. 2 und 3 unterrichtet der Landesbeauftragte für den Datenschutz gleichzeitig auch die zuständige oberste Aufsichtsbehörde.
(2) Der Landesbeauftragte für den Datenschutz kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, wenn es sich um unerhebliche oder bereits beseitigte Mängel handelt.
(3) Die gemäß Absatz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Landesbeauftragten für den Datenschutz getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 2 und 3 genannten Stellen leiten der zuständigen obersten Aufsichtsbehörde eine Abschrift ihrer Stellungnahme an den Landesbeauftragten für den Datenschutz zu.
(4) Der Landesbeauftragte für den Datenschutz kann nach pflichtgemäßem Ermessen Betroffene von Verstößen gegen die Vorschriften dieses Gesetzes oder andere Datenschutzvorschriften unterrichten.
Bei Verstößen gegen den Datenschutz spricht der Landesbeauftragte im Regelfall eine förmliche Beanstandung aus. Diese wird im Allgemeinen folgende Punkte enthalten:
- die Vorschrift/en, gegen die verstoßen worden ist/sind,
- eine Darstellung der beanstandeten Handlungen oder Verfahren,
- eine Darstellung der festgestellten Mängel und
- Vorschläge zur Mängelbeseitigung oder künftigen Mängelvermeidung.
Diese Vorschrift ermöglicht es dem Landesbeauftragten für den Datenschutz, von einer Beanstandung ganz oder teilweise abzusehen, wenn er diese förmliche Maßnahme zur Wahrung des Datenschutzes nicht für notwendig erachtet. Dies kann insbesondere bei geringen Mängeln der Fall sein oder wenn feststeht, dass die Mängel bereits behoben worden sind.
(1) Der Landesbeauftragte für den Datenschutz hat dem Landtag und der Landesregierung jeweils für zwei Kalenderjahre einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Die Landesregierung leitet dazu innerhalb von vier Monaten nach Vorlage dieses Berichts ihre Stellungnahme dem Landtag zu.
(2) Der Landesbeauftragte für den Datenschutz berät die obersten Landesbehörden sowie die sonstigen öffentlichen Stellen in Fragen des Datenschutzes. Dabei kann er Empfehlungen zur Verbesserung des Datenschutzes geben. Der Landtag und die Landesregierung können den Landesbeauftragten für den Datenschutz mit der Erstellung von Gutachten und der Durchführung von Untersuchungen in Datenschutzfragen betrauen. Vor dem Erlass oder der Änderung von Rechts- oder Verwaltungsvorschriften, die das Recht auf informationelle Selbstbestimmung berühren, ist der Landesbeauftragte für den Datenschutz zu hören.
(3) Der Landesbeauftragte für den Datenschutz wirkt auf eine Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, sowie mit den für nicht-öffentliche Stellen nach dem Bundesdatenschutzgesetz zuständigen Aufsichtsbehörden hin. Im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union kann der Landesbeauftragte für den Datenschutz die für die Ausübung der Kontrolle im öffentlichen Bereich zuständigen Stellen um Amtshilfe ersuchen und ist auf Ersuchen selber zur Amtshilfe verpflichtet.
(4) Der Landesbeauftragte für den Datenschutz informiert die Öffentlichkeit in angemessener Form zu Fragen des Datenschutzes.
(5) Der Landesbeauftragte für den Datenschutz beobachtet die Entwicklung und Nutzung der Informations- und Kommunikationstechnik, insbesondere der automatisierten Datenverarbeitung, und ihre Auswirkungen auf die Arbeitsweise der öffentlichen Stellen. Zu diesem Zweck ist er über Verfahrensentwicklungen im Zusammenhang mit der automatisierten Verarbeitung personenbezogener Daten rechtzeitig und umfassend zu unterrichten.
Der Tätigkeitsbericht umfasst Ausschnitte aus dem gesamten Arbeitsspektrum des Landesbeauftragten für den Datenschutz während des Berichtszeitraumes, wie die Bearbeitung von Petitionen, Stellungnahmen zu Gesetzentwürfen, Ergebnisse von Beratungen und Kontrollen der öffentlichen Stellen, Erstellen von Publikationen. Er richtet sich an den Landtag, an die Landesregierung und an die Öffentlichkeit.
Neben der Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen gehört die Beratung der öffentlichen Stellen zu den wichtigsten Aufgaben des Landesbeauftragten für den Datenschutz. Satz 4 regelt nunmehr - in Umsetzung des Art. 28 Abs. 2 der Richtlinie - ausdrücklich, dass der Landesbeauftragte vor dem Erlass oder der Änderung von Rechts- oder Verwaltungsvorschriften, die das Recht auf informationelle Selbstbestimmung berühren, zu hören ist. Dies sichert die systematische frühzeitige Einbindung des Datenschutzbeauftragten.
Die Zusammenarbeit mit anderen Datenschutz-Kontrollstellen spielt für die Arbeit des Landesbeauftragten für den Datenschutz eine große Rolle und findet in verschiedener Form und auf unterschiedlichen Ebenen statt (Beispiele: Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Treffen mit den behördlichen Datenschutzbeauftragten der Landkreise und kreisfreien Städte, virtuelles Datenschutzbüro [www.datenschutz.de [EXTERNER LINK]]).
Der aufgrund des Art. 28 Abs. 6 der Richtlinie neu eingefügte Satz 2 verpflichtet die Kontrollstellen der Mitgliedstaaten der Europäischen Union zur gegenseitigen Amtshilfe.
Die Information der Öffentlichkeit über (aktuelle) datenschutzrechtliche Sachverhalte soll die Bürger sensibilisieren, ihr Recht auf informationelle Selbstbestimmung stärker wahrzunehmen.
Diese Norm stellt sicher, dass die Belange des Datenschutzes schon bei Planungen neuer Verfahren zur Nutzung der Informations- und Kommunikationstechnik zu berücksichtigen sind. Dies erfordert auch eine rechtzeitige Einflussnahme des Landesbeauftragten auf deren datenschutzgerechte Ausgestaltung. Die Bestimmung gilt ebenso bei wesentlichen Änderungen bestehender Verfahren.
(1) Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken soll in anonymisierter Form erfolgen. Stehen einer Anonymisierung wissenschaftliche Gründe entgegen, können die Daten auch in pseudonymisierter Form verarbeitet werden, wenn der mit der Forschung befasste Personenkreis oder die empfangende Stelle oder Person keinen Zugriff auf die Zuordnungsfunktion hat. Datenerfassung, Anonymisierung und Pseudonymisierung können auch durch die mit der Forschung befassten Personen erfolgen, wenn sie zuvor zur Verschwiegenheit verpflichtet worden sind.
(2) Ist eine Anonymisierung oder Pseudonymisierung nicht möglich, können personenbezogene Daten für ein Forschungsvorhaben verarbeitet werden, wenn
1. der Betroffene eingewilligt hat,
2. dessen schutzwürdige Belange wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Nutzung nicht beeinträchtigt werden oder
3. die zuständige oberste Aufsichtsbehörde festgestellt hat, dass das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Betroffenen erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise erreicht werden kann.
Sollen personenbezogene Daten übermittelt werden, ist in der Feststellung nach Nr. 3 der Empfänger, die Art der zu übermittelnden personenbezogenen Daten, der Kreis der Betroffenen und der Forschungszweck zu bezeichnen; sie ist dem Landesbeauftragten für den Datenschutz mitzuteilen. Diese Feststellung kann entfallen, wenn eine forschende Person die Anonymisierung innerhalb der Daten verarbeitenden Stelle vornimmt und der behördliche Datenschutzbeauftragte dem Verfahren zustimmt. Sobald der Forschungszweck dies gestattet, sind die Daten zu anonymisieren, hilfsweise zu pseudonymisieren. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit und solange der Forschungszweck dies erfordert. Sie müssen gelöscht werden, sobald der Forschungszweck dies gestattet.
(3) Die übermittelten personenbezogenen Daten dürfen ohne Einwilligung des Betroffenen nicht weiter übermittelt oder für einen anderen als den ursprünglichen Forschungszweck genutzt werden.
(4) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung genutzt werden.
(5) Die wissenschaftliche Forschung betreibende Stelle darf personenbezogene Daten nur veröffentlichen, soweit
1. der Betroffene eingewilligt hat oder
2. dieses für die Darstellung von Forschungsergebnissen über die Ereignisse der Zeitgeschichte unerlässlich ist.
(6) Soweit die Vorschriften dieses Gesetzes auf den Empfänger keine Anwendung finden, dürfen personenbezogene Daten an ihn nur übermittelt werden, wenn sich der Empfänger verpflichtet, die Vorschriften des Absatzes 2 Satz 4 bis 7 sowie der Absätze 3 bis 5 einzuhalten und sich der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.
Die Vorschrift ist im Vergleich zur alten Fassung erweitert und konkretisiert worden. Zur Datenverarbeitung für einen Forschungszweck zählt nunmehr nach der Begriffsbestimmung in § 3 auch das Erheben von Daten. Die alte Fassung beschränkte sich dagegen nur auf das Übermitteln und Nutzen von gespeicherten Daten für einen Forschungszweck.
Bei Forschungszwecken kommt es überwiegend nicht auf die einzelne Person an. Deshalb sollen die Daten möglichst in einem frühen Stadium der Forschung so verarbeitet werden, dass eine Person nicht mehr bestimmbar ist oder nur in Ausnahmefällen bestimmt werden kann. Dies ist durch Anonymisierung und Pseudonymisierung der Daten möglich (zu den Begriffen siehe § 3). Damit wird gleichzeitig dem Prinzip der Datenvermeidung (§ 5) entsprochen. Die Verarbeitung personenbezogener Daten ist dennoch unter bestimmten Voraussetzungen zulässig.
Satz 1 betont, dass Daten für wissenschaftliche Zwecke anonym verarbeitet werden sollen. Die Erweiterung des Verarbeitungsbegriffs auf das Erheben bedeutet, dass bereits die Datenbeschaffung anonym erfolgen soll. Beispielsweise können Daten bei mündlichen oder schriftlichen Umfragen oder bestimmten Interviews anonym erhoben werden, wenn von vornherein auf identifizierende Angaben verzichtet wird. Selbst wenn sich ein Forschungsteam an eine bestimmte Personengruppe wenden will, kann dies so erfolgen, dass die im Einzelnen ausgewählte Person den Forschenden unbekannt bleibt. Als Beispiel sei hier auf das so genannte Adressmittlungsverfahren verwiesen. Dabei werden Fragebogen über die Stelle, die die personenbezogenen Daten speichert und nicht selbst forschende Stelle ist, an die Betroffenen gesandt. Jede betroffene Person kann dann entscheiden, ob sie freiwillig an dem Projekt teilnimmt und, ob und wie sie sich gegenüber dem Forschungsteam offenbart.
Ist die Anonymität der Betroffenen bereits bei der Datenbeschaffung gesichert, unterliegt die weitere Verarbeitung und Nutzung der Daten keinen datenschutzrechtlichen Vorschriften. Ob eine Datenerhebung als anonym bezeichnet werden kann, hängt wesentlich von der Fragestellung sowie den Antworten ab und ist im Einzelfall zu prüfen. Anonymität ist nicht gegeben, wenn aus den Fragen und Antworten eine Person bestimmbar ist. Folgendes Beispiel soll dies deutlich machen: Es soll eine Umfrage bei Lehrern durchgeführt werden. Die Lehrer erhalten einen Fragebogen, auf dem Antworten zu den von ihnen unterrichteten Fachkombinationen erwartet werden, ohne dass der Name des Lehrers oder die konkrete Schule erfasst werden. Diese Umfrage scheint zunächst anonym zu sein. Dies trifft gewiss für Lehrer zu, die keine außergewöhnliche Fachkombination unterrichten. Anders ist dies bei einem Lehrer mit einer seltenen Kombination, wie Spanisch/Portugiesisch, unter der Voraussetzung zu beurteilen, dass möglicherweise einer großen Anzahl von Dritten, z. B. Eltern, bekannt ist, welcher Lehrer diese seltene Kombination unterrichtet. In einem solchen Fall ist aus den Erhebungsmerkmalen eine Person bestimmbar, und folglich ist dies keine anonyme Erhebung. Die Anonymität kann dadurch hergestellt werden, dass solche singulären Merkmale nicht erhoben, sondern statt dessen einzelne Ereignisse zu einer größeren Gesamtheit zusammengefasst werden. Im konkreten Beispiel wäre dies dadurch möglich, dass als Fachkombination Fremdsprachenunterricht gewählt wird, wenn dies für ausreichend viele befragte Lehrer (im Minimum drei) zutrifft.
Bei Verlaufs- oder Längsschnittuntersuchungen können Daten allerdings nicht anonymisiert verarbeitet werden. Bei solchen Untersuchungen sind mehrere Datenerhebungen bei einem Individuum zu unterschiedlichen Zeiten notwendig, um eine wissenschaftliche Aussage über eine bestimmte Entwicklung zu erhalten. Für solche Untersuchungen bietet es sich an, Pseudonyme zu verwenden, die es erlauben, zeitlich unterschiedliche Erhebungen zusammenzuführen, und die dabei dennoch sicherstellen, dass die Person durch die Forschenden oder andere Dritte nicht mehr oder nur mit unverhältnismäßig hohem Aufwand bestimmt werden kann. Das Pseudonym stellt die Verbindung zwischen der personenbezogenen Datenerhebung und der nicht-personenbezogenen, aber individuellen Verarbeitung dar. Daraus resultiert, dass das Pseudonym zusammen mit den die Person identifizierenden Daten von einer Stelle verwaltet werden soll, die räumlich, organisatorisch und personell unabhängig von der forschenden Stelle ist. Dies kann die speichernde Stelle sein, wenn sie die Daten an eine forschende Stelle übermittelt, oder eine andere unabhängige Stelle, beispielsweise ein Datentreuhänder. Als Datentreuhänder eignen sich insbesondere solche Stellen, bei denen die Daten durch ein Berufsgeheimnis geschützt sind, wie Rechtsanwälte, Notare, Ärzte.
In Ausnahmefällen soll es aber auch der forschenden Stelle möglich sein, personenbezogene Daten vor einer Verarbeitung für die wissenschaftliche Forschung zu anonymisieren oder zu pseudonymisieren. Voraussetzung dafür ist, dass die Personen der forschenden Stelle, welche die Daten erheben und verarbeiten, zuvor von der Daten speichernden Stelle zur Verschwiegenheit verpflichtet worden sind. Solche Ausnahmen können vorliegen, wenn der Daten speichernden Stelle die Anonymisierung oder Pseudonymisierung nicht möglich oder unverhältnismäßig ist. Denkbar ist dies insbesondere bei Auswertungen großer personenbezogener Datensammlungen, bei denen das Risiko des Datenmissbrauchs gering ist beziehungsweise die Daten speichernde Stelle kontrollieren kann, dass die Daten vereinbarungsgemäß von der forschenden Stelle erfasst und ausgewertet werden.
Die Verarbeitung pseudonymer Daten unterliegt weiterhin den datenschutzrechtlichen Bestimmungen, weil aus ihnen eine Person nach wie vor bestimmt werden kann.
Sofern sich weder die Anonymisierung noch die Pseudonymisierung der Daten von Beginn der Verarbeitung an für einen Forschungszweck realisieren lassen, können unter einem der Zulässigkeitstatbestände des Satzes 1 Daten zunächst personenbezogen verarbeitet werden.
Nach Nummer 1 können mit Einwilligung der betroffenen Person (siehe § 8) sowohl personenbezogene Daten für einen Forschungszweck erhoben als auch bereits für einen anderen Zweck erhobene Daten zur Forschung weiter verarbeitet, also auch übermittelt und genutzt werden. Die Einwilligung ist immer mit einer umfassenden Aufklärung über die Verarbeitung und Nutzung der Daten zu verbinden. Dem Betroffenen steht auch hier ein Widerrufsrecht mit Wirkung für die Zukunft zu, auf das er hinzuweisen ist.
Die Voraussetzung für die Verarbeitung personenbezogener Daten für einen Forschungszweck nach Nummer 2 könnte beispielsweise vorliegen, wenn Adressdaten eines bestimmten Personenkreises weiter verarbeitet werden, die einem öffentlichen Verzeichnis entnommen sind. Auch wenn eine betroffene Person selbst Daten offenbart hat, etwa gegenüber Medien, dürfen diese Daten für Forschungszwecke weiter verarbeitet und genutzt werden.
Schließlich ist nach wie vor eine personenbezogene Verarbeitung von Daten zulässig, wenn die zuständige oberste Aufsichtsbehörde festgestellt hat, dass das öffentliche Interesse an dem Vorhaben die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und das Ziel der Forschung nicht anders erreicht werden kann (Nummer 3). Dem Landesbeauftragten für den Datenschutz ist dies mitzuteilen. Bewährt hat sich in diesem Zusammenhang die frühzeitige Einbeziehung des Landesbeauftragten für den Datenschutz in Forschungsprojekte, weil es dadurch vielfach möglich war, das Forschungsinteresse mit dem Recht auf informationelle Selbstbestimmung von Beginn an besser in Einklang zu bringen.
Ein Votum der obersten Aufsichtsbehörde nach Nummer 3 kann im Übrigen nach Satz 3 entfallen, wenn eine forschende Person die Daten innerhalb der verarbeitenden Stelle anonymisiert und der behördliche Datenschutzbeauftragte dem Verfahren zugestimmt hat. Damit wird noch einmal in besonderer Weise die in Absatz 1 eröffnete Möglichkeit untersetzt, dass auch die forschende Stelle die Daten anonymisieren kann. Ein personenbezogener Datenbestand kann danach innerhalb einer öffentlichen Stelle durch eine forschende Person ausgewertet werden, wenn lediglich anonyme Merkmale erfasst werden und die erforderliche Zustimmung des behördlichen Datenschutzbeauftragten vorliegt. Diese Zustimmung kann und sollte mit Auflagen verbunden sein. So könnten z. B. die erfassten Daten von der forschenden Person dem behördlichen Datenschutzbeauftragten vorzulegen sein, damit dieser kontrollieren kann, ob sie tatsächlich anonym sind. Der Prozess der Datenerfassung selbst kann ebenfalls kontrolliert werden. Diese Maßnahmen zusammen genommen sind ausschlaggebend dafür, dass auf die Feststellung der obersten Aufsichtsbehörde verzichtet werden kann.
Für einen Forschungszweck verarbeitete und genutzte personenbezogene Daten sind alsbald zu anonymisieren. Bis zu der Anonymisierung sind die identifizierenden Daten, z. B. Name, Vorname, Geburtsdatum, Anschrift, Versicherungsnummer, gesondert von den für die Forschung relevanten Daten zu speichern. Eine Zusammenführung dieser Daten, beispielsweise über eine in beiden Teildatensätzen identische Datensatznummer, darf nur erfolgen, wenn der Forschungszweck dies erfordert. Der personenbezogene Datensatz ist zu löschen, sobald dies der Forschungszweck gestattet.
Es ist gleichgültig, auf welche zulässige Weise eine forschende Stelle personenbezogene Daten erhalten hat (siehe z. B. Abs. 2): In jedem Fall ist die Einwilligung der betroffenen Person erforderlich, wenn diese Daten weiter übermittelt oder für einen anderen als den ursprünglichen Forschungszweck genutzt werden sollen.
Diese Vorschrift kann auch nicht dadurch umgangen werden, dass in einer Einwilligungserklärung der Forschungszweck absichtlich nicht näher bezeichnet wird, um dadurch die personenbezogenen Daten für verschiedene Vorhaben zu verarbeiten. Eine solche Einwilligung wäre nicht hinreichend bestimmt und würde damit eine weitreichendere Datenverarbeitung nicht erlauben.
Sofern personenbezogene Daten für einen Forschungszweck erhoben und gespeichert worden sind, dürfen sie auch nur für Zwecke wissenschaftlicher Forschung und nicht für Verwaltungs- oder andere Zwecke verarbeitet oder genutzt werden, es sei denn, der Betroffene willigt hierin ein.
In dieser Vorschrift ist festgelegt, unter welchen Voraussetzungen eine Stelle, die wissenschaftliche Forschung betreibt, personenbezogene Daten veröffentlichen darf. Eine Veröffentlichung ist nur zulässig, wenn der Betroffene eingewilligt hat oder es sich um eine Person der Zeitgeschichte handelt und es zur Darstellung der Ereignisse unerlässlich ist.
Werden personenbezogene Daten von einer Stelle nach diesem Gesetz an eine Stelle übermittelt, für die dieses Gesetz nicht gilt, beispielsweise an eine nicht-öffentliche Stelle oder eine öffentliche Stelle des Bundes oder eines anderen Landes, so sind diese Stellen (Empfänger) zu verpflichten, die Vorschriften des Absatzes 2 Satz 4 bis 7 sowie der Absätze 3 bis 5 einzuhalten. Dies kann innerhalb einer Genehmigung zur Verarbeitung und Nutzung der Daten oder eines Vertrages geschehen.
Der Empfänger hat sich auch der Kontrolle des Landesbeauftragten für den Datenschutz zu unterwerfen, damit geprüft werden kann, ob die datenschutzrechtlichen Bestimmungen beim Verarbeiten und Nutzen eingehalten werden. Die übermittelnde Stelle sollte den Landesbeauftragten darüber unterrichten, dass sich ein Empfänger der Kontrolle des Landesdatenschutzbeauftragten unterworfen hat, und ihm seinen Namen mitteilen.
(1) Öffentliche Stellen dürfen Daten ihrer Beschäftigten nur verarbeiten, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher organisatorischer, sozialer und personeller Maßnahmen erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung es vorsieht.
(2) Eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn
1. der Betroffene eingewilligt hat,
2. eine Rechtsvorschrift dies vorsieht,
3. Art oder Zielsetzung der einem Beschäftigten übertragenen Aufgabe oder der Dienstverkehr es erfordert oder
4. der Empfänger ein rechtliches Interesse glaubhaft macht und der Betroffene vor der Übermittlung unterrichtet wurde und dieser nicht widersprochen hat.
(3) Die Übermittlung an einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung des Betroffenen zulässig.
(4) Das Erheben medizinischer Daten aufgrund ärztlicher Untersuchungen zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses ist nur zulässig, soweit dadurch die Eignung des Bewerbers hierfür festgestellt wird und er seine Einwilligung erteilt hat. Das Erheben psychologischer Daten zur Eingehung eines Dienst- oder Arbeitsverhältnisses ist nur zulässig, soweit dies wegen der besonderen Anforderungen an die vorgesehene Tätigkeit erforderlich ist und der Bewerber hierzu seine Einwilligung erteilt hat. Der Dienstherr darf nur das Ergebnis der Untersuchungen anfordern.
(5) Personenbezogene Daten, die zu Zwecken der Eingehung eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. Dies gilt nicht, wenn der Betroffene in die weitere Speicherung eingewilligt hat oder soweit Rechtsvorschriften einer Löschung entgegenstehen. Besteht Grund zu der Annahme, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden, ist er zu benachrichtigen. Soweit Rechtsvorschriften nicht entgegenstehen, sind personenbezogene Daten nach Beendigung eines Dienst- oder Arbeitsverhältnisses zu löschen, wenn diese nicht mehr benötigt werden.
(6) Beurteilungen und Personalentscheidungen dürfen nicht allein auf Informationen gestützt werden, die aus automatisierter Datenverarbeitung gewonnen werden; medizinische und psychologische Befunde von Beschäftigten oder Bewerbern dürfen vom Dienstherrn oder Arbeitgeber nicht automatisiert verarbeitet werden.
(7) Daten von Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach den §§ 21 und 22 gespeichert werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.
§ 35 regelt die Besonderheiten bei Beschäftigungsverhältnissen im Bereich der öffentlichen Verwaltung. Der Begriff der Beschäftigungsverhältnisse ist weit zu verstehen. Er umfasst neben den Beamten-, Angestellten- und Arbeiterverhältnissen beispielsweise auch öffentlich-rechtliche Dienstverhältnisse eigener Art, öffentlich-rechtliche Ausbildungsverhältnisse und Nebentätigkeitsverhältnisse.
Bereichsspezifische Regelungen zum Umgang mit personenbezogenen Daten bei Dienst- und Arbeitsverhältnissen gehen jedoch § 35 gemäß § 2 Abs. 4 Satz 1 vor. Dies betrifft insbesondere die Regelungen im Landesbeamtengesetz (§§ 100 -107 LBG M-V), die allerdings nicht abschließend sind.
Soweit nicht ausdrücklich etwas anderes bestimmt ist, erstreckt sich die Befugnis zur Verarbeitung personenbezogener Daten von Beschäftigten auch auf die Einleitung und Durchführung behördlicher und gerichtlicher Verfahren.
In Absatz 1 wird der allgemeine Grundsatz der Zweckbindung für diese Daten präzisiert. Die in § 10 Abs. 3 genannten Tatbestände sind keine ausreichende Ermächtigungsgrundlage für eine Änderung des Verwendungszweckes von personenbezogenen Daten bei Dienst- und Arbeitsverhältnissen. Personenbezogene Daten dürfen nur im erforderlichen Umfang zur Eingehung, Durchführung, Beendigung oder Abwicklung von Dienst- und Arbeitsverhältnissen oder für die genannten innerdienstlichen Maßnahmen verarbeitet werden.
Eine Datenverarbeitung ist auch zulässig, wenn eine Rechtsvorschrift dies vorsieht. Des Weiteren sind Tarifverträge oder Dienstvereinbarungen zu beachten, soweit diese Regelungen zur Verarbeitung von Daten bei Dienst- oder Arbeitsverhältnissen enthalten.
Da zwischen dem Dienstherrn und dem Beschäftigten ein besonderes Vertrauensverhältnis besteht, unterliegt die Datenübermittlung an Dritte besonderen Einschränkungen. Absatz 2 geht daher § 15 vor.
Die Datenübermittlung mit Einwilligung des Beschäftigten Nummer 1, oder die Übermittlung aufgrund einer Rechtsvorschrift, die dies ausdrücklich vorsieht, Nummer 2 entspricht dem Grundsatz der Datenverarbeitung in § 7 Abs. 1.
Außerdem ist eine Datenübermittlung gemäß Nummer 3 zulässig, wenn Art und Zielsetzung der Aufgabe oder der Dienstverkehr es erfordern. Danach kann beispielsweise die Dienstbehörde fordern, dass die Beschäftigten ihren Namen und ihre Amtsbezeichnungen an Türen von Diensträumen anbringen oder dies in Schreiben an Dritte angeben. Denn der Bürger hat ein Recht darauf zu erfahren, mit welchem Beschäftigten er gesprochen oder korrespondiert hat und welche Position diese Person inne hat.
Nummer 4 setzt voraus, dass der Empfänger ein rechtliches Interesse an der Kenntnis der Daten hat und dass dem Beschäftigten eine Widerspruchsmöglichkeit gegen die geplante Datenübermittlung eingeräumt wird. Damit das Widerspruchsrecht ausgeübt werden kann, muss der Beschäftigte vor der Übermittlung rechtzeitig und umfassend darauf hingewiesen werden.
Die Übermittlung von personenbezogenen Daten des Beschäftigten an einen künftigen Arbeitgeber ist nur mit Einwilligung des Betroffenen zulässig. Dabei ist es unerheblich, ob der Empfänger (Arbeitgeber) eine öffentliche oder nicht-öffentliche Stelle ist.
Das Erheben von medizinischen und psychologischen Daten greift erheblich in die Privatsphäre des Beschäftigten ein. Daher ist das Erheben dieser Daten nur unter engen Voraussetzungen zulässig.
Um die Eignung eines Bewerbers für ein Dienst- oder Arbeitsverhältnis festzustellen, dürfen bei einer ärztlichen Untersuchung medizinische Daten des Betroffenen mit seiner Einwilligung erhoben werden. Dies erfolgt beispielsweise regelmäßig vor der Übernahme in den öffentlichen Dienst durch eine amtsärztliche oder polizeiärztliche Untersuchung.
Darüber hinaus dürfen psychologische Daten nur erhoben werden, wenn dies wegen besonderer Anforderungen an die vorgesehene Tätigkeit erforderlich ist und der Bewerber darin eingewilligt hat. Beispielsweise können Sondereinsatzkommandos der Polizei besondere Anforderungen hinsichtlich der psychischen Eignung stellen, so dass psychologische Daten dann mit Einwilligung des Bewerbers erhoben werden dürfen.
Dem Dienstherrn wird durch die Vorschrift auferlegt, nur das Ergebnis der Untersuchung anzufordern, folglich keine darüber hinausgehenden Daten (z. B. Diagnosen). Ein untersuchender Arzt wiederum ist an die Schweigepflicht gebunden und darf deshalb nur das Untersuchungsergebnis (Geeignetheit, Ungeeignetheit) mitteilen.
Die Vorschrift konkretisiert für Dienst- und Arbeitsverhältnisse den Grundsatz, dass die Daten zu löschen sind, die zur Aufgabenerfüllung nicht mehr benötigt werden. Dabei werden zwei wesentliche Fälle unterschieden: Löschen von Daten eines Bewerbers, wenn kein Dienst- oder Arbeitsverhältnis zustande kommt, und Löschen von Daten eines Beschäftigten, wenn das Dienst- oder Arbeitsverhältnis beendet wurde.
Die Daten eines Bewerbers müssen nicht gelöscht werden, wenn er in die weitere Speicherung einwilligt. Dies kann z. B. der Fall sein, wenn ein Bewerber bei der Einstellung nicht berücksichtigt wurde, die Daten aber für ein späteres Auswahlverfahren in Betracht kommen.
Falls die öffentliche Stelle feststellt, dass einer Löschung schutzwürdige Belange des Betroffenen entgegenstehen, bislang aber weder eine Einwilligung vorliegt noch eine Bestimmung existiert, nach der eine weitere Aufbewahrung zulässig ist, muss sie den Betroffenen vor der Löschung benachrichtigen, damit er seine Interessen wahrnehmen kann.
Nachdem ein Dienst- oder Arbeitsverhältnis beendet wurde, sind die Daten zu löschen, falls eine Rechtsvorschrift dem nicht entgegensteht. Eine solche Rechtsvorschrift ist beispielsweise § 106 LBG M-V, die für Beamte eine befristete Speicherung von bestimmten Personalunterlagen nach dem Ende des Dienstverhältnisses vorsieht. Auch für Lohn- und Gehaltsunterlagen gelten Aufbewahrungsfristen, die zu beachten sind.
Beim Löschen von Daten aus einem Dienst- oder Arbeitsverhältnis ist § 13 Abs. 6 ebenfalls zu beachten.
Werden personenbezogene Daten von Beschäftigten für Beurteilungen oder Personalentscheidungen ausschließlich automatisiert nach einem standardisierten Verfahren ausgewertet, lässt sich die Persönlichkeit nicht umfassend einschätzen, da sie sich nicht nur aus "harten", sondern auch aus "weichen" Daten zusammensetzt. Deshalb ist es verboten, über Beschäftigte nur aufgrund von Informationen aus einer automatisierten Datenverarbeitung zu entscheiden oder sie nur nach diesen Daten zu beurteilen. Zulässig wäre es dagegen, eine Vorauswahl von Beschäftigten für eine anstehende Beförderung auf der Basis bestimmter zu erfüllender Kriterien zu treffen. Die Entscheidung darf sich dann jedoch nicht nur auf diese Kriterien stützen, sondern sie muss individuell erfolgen.
Für ärztliche Befunde gilt darüber hinaus ein generelles Verbot der automatisierten Verarbeitung.
Dieser Absatz wiederholt und konkretisiert die besondere Zweckbindung von Daten, die zu Zwecken der Datensicherheit, beispielsweise nach §§ 21, 22, erhoben und gespeichert wurden (§ 10 Abs. 6). Es ist verboten, Verhaltens- oder Leistungskontrollen mit solchen Daten durchzuführen, die ausschließlich zur Datensicherung oder zur Kontrolle technischer Abläufe gespeichert werden. Die Vorschrift hindert aber nicht eine Nutzung, die gerade aus Gründen der Datensicherung erforderlich ist, z. B. die Überprüfung, ob ein Beschäftigter und gegebenenfalls welcher Beschäftigte personenbezogene Daten nicht sachgerecht oder nicht rechtmäßig verarbeitet hat.
(1) Mobile Datenverarbeitungssysteme dürfen nur eingesetzt werden, wenn
1. eine Rechtsvorschrift, eine tarifvertragliche Regelung oder eine Dienstvereinbarung dies zulässt oder
2. der Betroffene eingewilligt hat.
(2) Für den Betroffenen muss jederzeit erkennbar sein,
1. ob Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst durchgeführt werden,
2. welche seiner personenbezogenen Daten betroffen sind und
3. welcher Verarbeitungsvorgang im Einzelnen abläuft oder angestoßen wird. Dem Betroffenen sind die Informationen nach Nummer 2 und 3 auf seinen Wunsch schriftlich mitzuteilen.
(3) Der Betroffene ist bei der Ausgabe des mobilen Datenverarbeitungssystems über die ihm zustehenden Rechte aufzuklären. Sofern zur Wahrnehmung der Informationsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür zu sorgen, dass diese in angemessenem Umfang unentgeltlich zur Verfügung stehen.
(4) Der Betroffene kann die ihm zustehenden Rechte gegenüber der ausgebenden sowie jeder anderen Stelle geltend machen, die das mobile Datenverarbeitungssystem zur Datenverarbeitung einsetzt. Dies gilt unabhängig davon, welche Stelle im Einzelfall für die jeweilige Datenverarbeitung verantwortlich ist. Die beteiligten Stellen leiten die Anliegen des Betroffenen an die zuständige Stelle weiter.
Hier sind die alternativen Zulässigkeitsvoraussetzungen für den Einsatz von mobilen Datenverarbeitungssystemen (siehe die Definition in § 3 Abs. 10 und die Erläuterungen dazu) genannt. Neben der Rechtsvorschrift, der tarifvertraglichen Regelung oder der Einwilligung des Betroffenen darf ein solches System auch aufgrund einer Dienstvereinbarung eingesetzt werden.
Die Dienstvereinbarung ist zwischen der Dienststelle und dem Personalrat abzuschließen. Nach dem geltenden Personalvertretungsrecht ist zwar die Einführung der automatisierten Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn- oder Versorgungsleistungen mitbestimmungspflichtig, jedoch wird durch diese Zulässigkeitsvoraussetzung die Stellung des Personalrates betont.
Absatz 2 konkretisiert das Transparenzgebot für die von der Datenverarbeitung betroffene Person. Von besonderer Bedeutung ist, dass die Verarbeitungsvorgänge für den Betroffenen, aber nicht für eine dritte Person jederzeit erkennbar sind. Die Bedingung Erkennbarkeit ist erfüllt, wenn der Betroffene konkret darüber informiert worden ist, dass ein Datenaustausch gerade stattfindet, und ihm von der Stelle, die das mobile Datenverarbeitungssystem ausgegeben hat, oder auch einer anderen Stelle mitgeteilt wurde, welche einzelnen Daten in welcher Weise dabei verarbeitet werden. Die Mitteilung hat schriftlich zu erfolgen, wenn die betroffene Person dies wünscht.
Für den Betroffenen müssen vor allem solche Verarbeitungsvorgänge transparent sein, die nicht ohne weiteres offenkundig sind, wie das Lesen einer kontaktlosen Chipkarte an einer bestimmten Schnittstelle. Das System ist so zu konzipieren, dass auch dieser Vorgang für den Betroffenen erkennbar ist. Bei Zeiterfassungssystemen beispielsweise, bei denen eine Chipkarte in einem geringen Abstand an der Schnittstelle vorbeigeführt werden muss und die außerdem noch weitere Aktionen des Betroffenen erfordern, ist die Bedingung der Transparenz erfüllt.
Zur Transparenz der Datenverarbeitungsvorgänge für den Betroffenen gehört die Aufklärung über seine Rechte, die in dieser Vorschrift geregelt ist. Die ausgebende Stelle hat durch geeignete Möglichkeiten insbesondere dafür zu sorgen, dass der Betroffene sich über Datenverarbeitungsvorgänge informieren kann. Dies lässt sich beispielsweise dann realisieren, wenn Geräte oder Einrichtungen unentgeltlich zur Verfügung stehen, mit deren Hilfe die in dem mobilen System verarbeiteten Daten sichtbar gemacht werden können. Bei Chipkarten sind dies z. B. stationäre oder mobile Chipkartenlesegeräte.
Gleichzeitig sollte aber auch dafür gesorgt werden, dass Dritte die verarbeiteten Daten über solche Geräte oder Einrichtungen nicht zur Kenntnis nehmen können. Es ist hierbei vor allem an den Verlust des mobilen Datenverarbeitungssystems zu denken, der nicht dazu führen darf, dass eine Person, die in den Besitz des Systems gelangt, es weiter benutzen kann. Siehe auch Maßnahmen zur Datensicherheit nach den §§ 21 und 22.
Bei dem Einsatz eines mobilen Datenverarbeitungssystems kann es durchaus mehrere für die Datenverarbeitung verantwortliche Stellen geben. In diesem Fall kann es dem Betroffenen kaum zugemutet werden, zur Wahrnehmung seiner Rechte erst die verantwortliche Stelle zu ermitteln. Der Gesetzgeber hat deshalb hier festgelegt, dass die Rechte gegen die ausgebende Stelle oder gegen jede andere Stelle, die das System einsetzt, geltend gemacht werden können. Es obliegt den beteiligten Stellen, gegebenenfalls das Anliegen des Betroffenen an die dafür zuständige Stelle weiterzuleiten (siehe auch § 17 Abs. 3).
(1) Öffentliche Stellen dürfen mit optisch-elektronischen Einrichtungen öffentlich zugängliche Räume beobachten, soweit
1. dies zur Wahrnehmung eines Hausrechts erforderlich ist,
2. schutzwürdige Belange Betroffener nicht überwiegen und
3. die Überwachung durch geeignete Maßnahmen erkennbar gemacht wurde.
(2) Das Bildmaterial darf gespeichert werden, wenn dies zur Abwendung einer konkreten Gefahr oder zu Zwecken der Beweissicherung erforderlich ist und die Tatsache der Aufzeichnung für die Betroffenen durch geeignete Maßnahmen erkennbar gemacht wurde. Die Aufzeichnungen sind spätestens nach sieben Tagen zu löschen, es sei denn, die weitere Speicherung ist zur Aufklärung oder Verfolgung der dokumentierten Vorkommnisse erforderlich.
Sofern Personen von einer Videoüberwachung betroffen sind, werden meist personenbezogene Daten verarbeitet. Dies ergibt sich aus der Definition in § 3 Abs. 1, denn aus den durch die Videoüberwachung gewonnenen Daten werden die Betroffenen in der Regel bestimmbar. Die Videoüberwachung ist in diesem Fall eine Datenerhebung, während das Aufzeichnen von Videobildern eine Datenspeicherung ist.
Besondere - und dieser Norm gemäß § 2 Abs. 4 Satz 1 vorgehende - Rechtsvorschriften zur Videoüberwachung und -aufzeichnung sind z. B. im Sicherheits- und Ordnungsgesetz M-V und im Landesverfassungsschutzgesetz enthalten.
In diesem Absatz werden die Voraussetzungen für eine Videoüberwachung genannt. Sie müssen kumulativ, also gleichzeitig erfüllt sein, wenn eine Überwachung zulässig sein soll. Eine Videoüberwachung ohne Aufzeichnung ist einer Sichtkontrolle gleichzusetzen. Die dafür vorgesehenen Geräte sind sehr klein und können so positioniert werden, dass für die Betroffenen nicht erkennbar ist, ob sie beobachtet werden oder nicht. Aus diesem Grund ist es sehr wichtig, dass auch auf diese Überwachung hingewiesen wird. Die Videoüberwachung darf zudem nur eingesetzt werden, um zu verhindern, dass Personen widerrechtlich in befriedete Räume eindringen, die zum öffentlichen Dienst oder Verkehr bestimmt sind, oder sich in solchen Räumen ohne Befugnis aufhalten (§§ 123, 124 StGB). Das Arbeitsverhalten von Mitarbeitern in öffentlichen Stellen darf beispielsweise nicht videoüberwacht werden, weil dies keine Maßnahme ist, mit der das Hausrecht wahrgenommen wird. Bei öffentlich zugänglichen Sozial- oder Sanitärräumen ist eine Videoüberwachung ebenfalls nicht zulässig, weil hier schutzwürdige Belange des Betroffenen überwiegen.
Soll das Bildmaterial aus einer Videoüberwachung auch aufgezeichnet werden, ist dies nur zulässig, wenn eine konkrete Gefahr besteht oder wenn es zur Beweissicherung erforderlich ist. Eine konkrete Gefahr muss an Ort und Stelle drohen und nach allgemeiner Lebenserfahrung erwarten lassen, dass sie die öffentliche Sicherheit und Ordnung beeinträchtigen wird. Sie muss folglich noch nicht eingetreten, aber zu befürchten sein. Des Weiteren muss die Videoüberwachung zur Abwehr dieser Gefahr überhaupt geeignet sein.
Auf die jeweilige Maßnahme ist besonders hinzuweisen. Es muss für die Betroffenen erkennbar sein, dass nicht nur beobachtet, sondern auch gespeichert wird. Eine hohe Transparenz für die Betroffenen könnte beispielsweise erreicht werden, wenn das aufgezeichnete Bildmaterial zeitversetzt auf einem Monitor wiedergegeben wird, den sie einsehen können.
(1) Wer eine Datenverarbeitungs- oder Übertragungseinrichtung zu dem Zweck nutzt, bei einem Betroffenen, insbesondere in der Wohnung oder in Geschäftsräumen, ferngesteuert Messungen vorzunehmen oder andere Wirkungen auszulösen, bedarf dessen Einwilligung.
(2) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses darf nicht von der Einwilligung des Betroffenen nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft der Betroffene seine Einwilligung, so dürfen ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen. Das Abschalten der Einrichtung durch den Betroffenen gilt im Zweifel als Widerruf der Einwilligung.
Fernmessen oder Fernwirken sind Datenverarbeitungsvorgänge, die in der Umgebung einer betroffenen Person von außerhalb veranlasst werden. Aus diesem Grund sind Einrichtungen, die dies realisieren, ausschließlich davon abhängig, dass der Betroffene in den Betrieb dieser Einrichtungen eingewilligt hat. Typische Fernmessungen liegen beispielsweise vor, wenn Verbrauchsmessungen, wie Wasserverbrauch, nicht mehr durch das Ablesen von Zählerständen, sondern durch Einrichtungen vorgenommen werden, die diese Daten erfassen und an eine bestimmte Stelle beispielsweise für Abrechnungszwecke übermitteln. Dabei ist es datenschutzrechtlich ohne Bedeutung, ob die Daten zu festgesetzten und dem Betroffenen bekannten Zeiten oder zeitlich unbestimmt verarbeitet werden. Typische Fernwirkungen sind z. B. Schaltvorgänge in Abhängigkeit von bestimmten Zuständen.
Nach dieser Vorschrift ist es nicht erlaubt, eine Leistung oder den Abschluss eines Vertrages davon abhängig zu machen, dass der Betroffene in die Fernmessung oder Fernwirkung einwilligt. So ist es unter anderem nicht zulässig, einen Stromlieferungsvertrag damit zu verbinden, dass in die Nutzung der Leitungen zu Mess- oder Abrechnungszwecken eingewilligt werden muss. Vielmehr muss in diesem Fall nach wie vor die konventionelle Verbrauchsablesung möglich sein. Allerdings können dem Betroffenen, wie auch im Fall des Widerrufs der Einwilligung oder bei Abschalten der Einrichtung, die unmittelbaren Folgekosten gegenüber der Fernmessung auferlegt werden.
Satz 1 gilt nicht für Verträge, die sich ausschließlich auf eine Fernmessung oder -wirkung beziehen, denn es ist die freie Entscheidung des Betroffenen, einen solchen Vertrag abzuschließen.
(1) Zur Vorbereitung öffentlicher Auszeichnungen dürfen der Ministerpräsident, der Innenminister, die vorschlagsberechtigten Stellen sowie die von ihnen besonders beauftragten Stellen die dazu erforderlichen personenbezogenen Daten auch ohne Kenntnis des Betroffenen erheben. Die Nutzung dieser Daten für andere Zwecke ist nur mit Einwilligung des Betroffenen zulässig.
(2) Auf Anforderung der in Absatz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung erforderlichen Daten übermitteln.
Diese Vorschrift ist Rechtsgrundlage für die Vorbereitung der Verleihung öffentlicher Auszeichnungen. Der Ministerpräsident, der Innenminister und die jeweils vorschlagsberechtigte Stelle dürfen zu diesem Zweck die erforderlichen Daten erheben beziehungsweise wiederum andere Stellen im Einzelfall damit beauftragen. Das Vorschlagsrecht für eine öffentliche Auszeichnung ergibt sich aus den jeweiligen ordensrechtlichen Vorschriften. Für das Verfahren nach dem Landesordensgesetz sind Einzelheiten in der dazu erlassenen Verwaltungsvorschrift vom 7. August 2001 geregelt (VV LOrdensG M-V, Amtsblatt M-V 2001 S. 1006).
In dem Verfahren dürfen personenbezogene Daten erhoben werden, ohne dass die Betroffenen davon Kenntnis haben beziehungsweise haben sollen. Der Gesetzgeber hat deutlich gemacht, dass auch dabei der Grundsatz der Erforderlichkeit der Maßstab für die Erhebung und die weitere Verarbeitung der Daten ist. Daten, die für diesen Zweck ohne Belang sind, dürfen somit von den ermächtigten Stellen nicht erfragt werden. Andere öffentliche Stellen dürfen personenbezogene Daten auf Anforderung für diesen Zweck im erforderlichen Umfang übermitteln. In diesem Fall haben sie die Plausibilitätsprüfung gemäß § 14 Abs. 2 Satz 2 und 3 durchzuführen.
Die Nutzung der für diesen Zweck erhobenen Daten unterliegt, insbesondere wegen der Art der Erhebung, einer besonderen Zweckbindung, die § 10 Abs. 3 und 4 vorgeht. Zweckänderungen sind nur mit Zustimmung des Betroffenen zulässig. Die besondere Zweckbindung der Daten ist durch eine separate Aufbewahrung der Daten, vergleichbar Personalakten, sicherzustellen (vgl. Ziffer 2.5 VV LOrdensG M-V a. a. O.).
Das Auskunftsrecht des Betroffenen richtet sich nach § 24.
(1) Personenbezogene Daten ehemaliger Einrichtungen stehen derjenigen öffentlichen Stelle zu, auf die die Aufgaben dieser Einrichtungen übergegangen sind. Sie ist die verantwortliche Daten verarbeitende Stelle. Ist eine Zuordnung der Daten nach Satz 1 nicht möglich, so bestimmt der Innenminister durch Verordnung die zuständige öffentliche Stelle.
(2) Personenbezogene Daten ehemaliger Einrichtungen sind personenbezogene Daten, die vor dem 3. Oktober 1990 von ehemaligen Einrichtungen nach ihrer Zweckbestimmung überwiegend für Verwaltungsaufgaben gespeichert waren, die nach dem Grundgesetz von öffentlichen Stellen wahrzunehmen sind.
(3) Ehemalige Einrichtungen sind ehemalige staatliche Organe, Kombinate, Betriebe oder Einrichtungen der Deutschen Demokratischen Republik auf dem Gebiet des Landes Mecklenburg-Vorpommern.
Diese Vorschrift dürfte nur noch geringe praktische Bedeutung haben, weil wohl davon ausgegangen werden kann, dass es kaum noch "vagabundierende" Bestände personenbezogener Daten gibt. Sollte aber dennoch ein Datenbestand gefunden werden, der noch keiner Stelle zugeordnet worden ist, so wird das Nähere dazu in § 40 geregelt. Ob und in welchem Umfang die Daten weiter genutzt werden dürfen, hat die verantwortliche Daten verarbeitende Stelle auf der Grundlage von § 41 zu prüfen.
Die Nutzung personenbezogener Daten ehemaliger Einrichtungen ist zulässig, soweit ihre Kenntnis zur rechtmäßigen Erfüllung einer in der Zuständigkeit der Daten verarbeitenden Stelle liegenden Aufgabe erforderlich ist und die Art und der Umfang der weiteren Nutzung eindeutig bestimmt ist. Diese Daten gelten als für den nach Satz 1 bestimmten Zweck erstmalig gespeichert.
In bestimmten Fällen sind personenbezogene Daten ehemaliger Einrichtungen (siehe Definition in § 40 Abs. 2) zur Aufgabenerfüllung von Daten verarbeitenden Stellen weiterhin erforderlich. Diese Daten dürfen aber nur dann weiter genutzt werden, wenn sich aus der zu erfüllenden Aufgabe einer solchen Stelle die Art und der Umfang der weiteren Nutzung ergeben. Der ansonsten enge Zweckbindungsgrundsatz wurde für diesen Sonderfall aufgehoben. Ist eine Nutzung der übernommenen Daten nach dieser Vorschrift zulässig, so richtet sich deren weitere Verarbeitung nach den allgemeinen datenschutzrechtlichen Bestimmungen, sofern keine bereichsspezifischen Vorschriften existieren.
Bereichsspezifische Regelungen dazu finden sich beispielsweise in den §§ 40, 44 Landesmeldegesetz.
(1) Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,
1. speichert, verändert oder übermittelt,
2. zum Abruf mittels automatisierten Verfahrens bereithält oder
3. abruft oder sich oder einem anderen aus Dateien verschafft, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer
1. die Übermittlung von durch dieses Gesetz geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen § 15 Absatz 2 Satz 2 oder § 34 Absatz 4 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder
3. entgegen § 34 Absatz 2 Satz 6 die Zuordnungsfunktion anwendet und dadurch die Betroffenen erkennbar macht.
(3) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.
(4) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind neben dem Betroffenen die Daten verarbeitende Stelle und der Landesbeauftragte für den Datenschutz.
§ 42 zählt verschiedene Fehlverhalten im Zusammenhang mit der Verarbeitung personenbezogener Daten auf. Dabei beziehen sich die vom Datenschutzgesetz erfassten Straftatbestände nur auf personenbezogene Daten, die nicht offenkundig sind. Um offenkundige Daten handelt es sich immer dann, wenn diese allgemein bekannt sind oder sie aus jedem Einzelnen frei zugänglichen Quellen erlangt werden können.
Weitere Voraussetzung ist, dass sich die personenbezogenen Daten auf eine andere Person als den Täter beziehen müssen. Das ergibt sich zwar nicht aus dem Wortlaut, folgt aber zwingend aus dem Schutzzweck des Gesetzes (§ 1). Wer beispielsweise an seinem Arbeitsplatz unbefugte Daten, die ihn selbst betreffen, speichert, übermittelt oder verändert, fällt daher nicht unter § 42.
Aus der Tatbestandsformulierung "wer" folgt, dass als Täter nicht nur Personen in Betracht kommen, die bei Stellen beschäftigt sind, die Adressat der Vorschriften über die Datenübermittlung und Datenveränderung sind, oder die wegen ihrer Beschäftigung bei der Datenverarbeitung dem Datengeheimnis gemäß § 6 unterliegen. Täter kann jedermann sein.
Nach § 42 macht sich nur derjenige strafbar, der vorsätzlich handelt. Die Strafbarkeit auch von fahrlässig begangenen Straftaten ist im Datenschutzgesetz nicht vorgesehen.
Der genaue Inhalt der aufgeführten Tathandlungen ergibt sich aus den Begriffsbestimmungen des § 3 Abs. 4.
Unzulässige Verhaltensweisen, die keinen Tatbestand des § 42 erfüllen, können aber nach anderen Gesetzen, insbesondere dem Strafgesetzbuch, strafbar sein. Anderseits schließt die Erfüllung eines Tatbestandes des § 42 nicht die Strafbarkeit nach einer anderen Strafvorschrift aus. Gleiches gilt für die Konkurrenz der verschiedenen Tatbestände des § 42 untereinander. Absatz 3 ist eine strafverschärfende Qualifizierung zu den Absätzen 1 und 2.
Alle Straftaten nach § 42 werden nur auf Antrag verfolgt. Das heißt, dass der durch die Straftat Verletzte, der die Verfolgung der Straftat wünscht, dies bei einem Gericht, der Staatsanwaltschaft oder einer Behörde des Polizeidienstes erklären muss, § 158 Abs. 2 StPO. Erst dann werden die Strafverfolgungsbehörden tätig. Neben dem Betroffenen selbst sind auch die Daten verarbeitende Stelle und der Landesbeauftragte für den Datenschutz antragsberechtigt.
Um eine strafbare Bereitstellung von Daten zum Abruf mittels automatisierten Verfahrens gemäß Abs. 1 Nr. 2 handelt es sich z. B., wenn ein Arzthelfer umfassende Daten über krebskranke Patienten sammelt und diese in einer öffentlich zugänglichen Mailbox speichert.
Im Fall des Abs. 2 Nr. 1 gibt der Täter unrichtige Angaben bei dem Auskunftsersuchen an, um zu verhindern, dass ihm bei Kenntnis der wahren Gründe die gewünschte Übermittlung der geschützten Daten verwehrt werden würde. Verwendet jemand ein richtiges Passwort, das aber einer anderen Person zusteht, so ist zwar das Passwort als solches keine unrichtige Angabe im Sinne von Abs. 2 Nr. 1. Der Tatbestand ist jedoch gleichwohl erfüllt, da die Daten verarbeitende Stelle nur dem berechtigten Passwortinhaber den Zugang zu den Daten ermöglichen will und der "falsche" Verwender des Passwortes vorgibt, berechtigter Inhaber des Passwortes zu sein, und insofern unrichtige Angaben über seine Identität oder seine Berechtigung macht.
Verarbeitungen personenbezogener Daten, die zum Zeitpunkt des In-Kraft-Tretens dieses Gesetzes bereits begonnen wurden, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen.
Die Vorschriften dieses Gesetzes sind ab In-Kraft-Treten einzuhalten. Dies hat zur Folge, dass bereits laufende Datenverarbeitungsvorgänge mit den neuen Regelungen in Einklang zu bringen sind. Die Übergangsvorschrift setzt hierfür eine Frist von drei Jahren. Während dieser Zeit darf der bisherige Datenbestand weiter verwendet und verarbeitet werden. Ausgeschlossen sind jedoch das Speichern zusätzlicher Daten, die nicht den neuen Vorschriften entsprechen. Die Einführung neuer Verarbeitungsschritte oder -formen in bestehende Verfahren fällt ebenfalls nicht unter § 43.
(1) Mit In-Kraft-Treten dieses Gesetzes tritt das Landesdatenschutzgesetz von Mecklenburg-Vorpommern vom 24. Juli 1992 (GVOBl. M-V S. 487), geändert durch Artikel 2 des Gesetzes vom 7. Juli 1997 (GVOBl. M-V S. 282), außer Kraft.
(2) § 30 tritt am 31. Dezember 2004 außer Kraft.
Die Frist in Absatz 2 soll dem Landtag Gelegenheit geben zu prüfen, ob die Aufsicht über den Datenschutz anders zu regeln ist. Hierzu hat der Landtag eine Entschließung gefasst:
"Der Landtag geht davon aus, dass die Landesregierung prüft, die Datenschutzkontrolle im öffentlichen und privaten Bereich institutionell einheitlich zu regeln."
| ABl. | Amtsblatt |
| AO | Abgabenordnung |
| BDSG | Bundesdatenschutzgesetz |
| BGB | Bürgerliches Gesetzbuch |
| BGBl. | Bundesgesetzblatt |
| BNotO | Bundesnotarordnung |
| BSI | Bundesamt für Sicherheit in der Informationstechnik |
| BVerfGE | Entscheidung des Bundesverfassungsgerichts (Band ..., Seite ...) |
| DSG M-V | Datenschutzgesetz Mecklenburg-Vorpommern von 2002 |
| DSG M-V 92 | Datenschutzgesetz Mecklenburg-Vorpommern von 1992 |
| EG | Europäische Gemeinschaft |
| EGGVG | Einführungsgesetz zum Gerichtsverfassungsgesetz |
| EU | Europäische Union |
| GG | Grundgesetz |
| LArchivG M-V | Landesarchivgesetz Mecklenburg-Vorpommern |
| LBG M-V | Landesbeamtengesetz Mecklenburg-Vorpommern |
| LKHG M-V | Landeskrankenhausgesetz Mecklenburg-Vorpommern |
| LOrdensG M-V | Landesordensgesetz Mecklenburg-Vorpommern |
| LStatG M-V | Landesstatistikgesetz Mecklenburg-Vorpommern |
| LT-Drs. | Landtagsdrucksache |
| LVerfSchG M-V | Landesverfassungsschutzgesetz Mecklenburg-Vorpommern |
| PGP | Pretty Good Privacy |
| Richtlinie | EG-Datenschutzrichtlinie |
| SGB I | Sozialgesetzbuch Erstes Buch |
| SGB V | Sozialgesetzbuch Fünftes Buch |
| SGB X | Sozialgesetzbuch Zehntes Buch |
| SOG M-V | Gesetz über die öffentliche Sicherheit und Ordnung Mecklenburg-Vorpommern |
| StGB | Strafgesetzbuch |
| StPO | Strafprozessordnung |
| Verf M-V | Verfassung Mecklenburg-Vorpommern |
| VwGO | Verwaltungsgerichtsordnung |
| VwVfG M-V | Verwaltungsverfahrensgesetz Mecklenburg-Vorpommern |
| WAN | Wide Area Network (Weitverkehrsnetz) |