Bundesdatenschutzgesetz (BDSG)

Transkript

1 Inhaltsverzeichnis Bundesdatenschutzgesetz (BDSG) Bekanntmachung der Neufassung des Bundesdatenschutzgesetzes vom 14. Januar 2003 BGBl. I S. 66 am 24. Januar 2003 VMBl. 2003, S. 30

2 *) Dieses Gesetz dient der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281, S. 31 ff.). Inhaltsübersicht 1. Abschnitt 10 Einrichtung automatisierter Abrufverfahren Allgemeine und gemeinsame Bestimmungen 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 1 Zweck und Anwendungsbereich des Gesetzes 2 Öffentliche und nicht-öffentliche Stellen 2. Abschnitt 3 Weitere Begriffsbestimmungen Datenverarbeitung der öffentlichen Stellen 3a Datenvermeidung und Datensparsamkeit Erster Unterabschnitt 4 Zulässigkeit der Datenerhebung, -verarbeitung Rechtsgrundlagen der Datenverarbeitung und -nutzung 4a Einwilligung 12 Anwendungsbereich 4b Übermittlung personenbezogener Daten ins 13 Datenerhebung Ausland sowie an über und zwischenstaatliche Stellen 14 Datenspeicherung, -veränderung und -nutzung 4c Ausnahmen 15 Datenübermittlung an öffentliche Stellen 4d Meldepflicht 16 Datenübermittlung an nicht-öffentliche Stellen

3 4e Inhalt der Meldepflicht 17 weggefallen 4f Beauftragter für den Datenschutz 18 Durchführung des Datenschutzes in der Bundes- 4g Aufgaben des Beauftragten für den Datenschutz wehrverwaltung 5 Datengeheimnis Zweiter Unterabschnitt 6 Unabdingbare Rechte des Betroffenen Rechte des Betroffenen 6a Automatisierte Einzelentscheidung 19 Auskunft an den Betroffenen 6b Beobachtung öffentlich zugänglicher Räume mit 19a Benachrichtigung optisch-elektronischen Einrichtungen 20 Berichtigung, Löschung und Sperrung von 6c Mobile personenbezogene Speicher- und Daten; Widerspruchsrecht Verarbeitungsmedien 21 Anrufung des Bundesbeauftragten für 7 Schadensersatz für den Datenschutz 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen Dritter Unterabschnitt 9 Technische und organisatorische Maßnahmen Bundesbeauftragter für den Datenschutz 9a Datenschutzaudit 22 Wahl des Bundesbeauftragten für den Datenschutz Rechtsstellung des Bundesbeauftragten Dritter Unterabschnitt für den Datenschutz Aufsichtsbehörde 24 Kontrolle durch den Bundesbeauftragten 36 weggefallen für den Datenschutz 37 weggefallen 25 Beanstandungen durch den Bundesbeauftragten 38 Aufsichtsbehörde für den Datenschutz 38a Verhaltensregeln zur Förderung der Durch- 26 Weitere Aufgaben des Bundesbeauftragten führung datenschutzrechtlicher Regelungen für den Datenschutz 4. Abschnitt 3. Abschnitt Sondervorschriften Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen 39 Zweckbindung bei personenbezogenen Daten,

4 die einem Berufs- oder die einem Berufs- oder Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung besonderen Amtsgeheimnis unterliegen 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen 27 Anwendungsbereich 41 Erhebung, Verarbeitung und Nutzung personen- 28 Datenerhebung, -verarbeitung und bezogener Daten durch die Medien -nutzung für eigene Zwecke 42 Datenschutzbeauftragter der Deutschen Welle 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung 5. Abschnitt 30 Geschäftsmäßige Datenerhebung Schlussvorschriften und -speicherung zum Zweck der Übermittlung in anonymisierter Form 43 Bußgeldvorschriften 31 Besondere Zweckbindung 44 Strafvorschriften 32 weggefallen 6. Abschnitt Zweiter Unterabschnitt Übergangsvorschriften Rechte des Betroffenen 33 Benachrichtigung des Betroffenen 45 Laufende Verwendungen 34 Auskunft an den Betroffenen 46 Weitergeltung von Begriffsbestimmungen 35 Berichtigung, Löschung und Sperrung Anlage (zu 9 Satz 1) von Daten Erster Abschnitt Allgemeine und gemeinsame Bestimmungen 1 Inhalt weiter Zweck und Anwendungsbereich des Ge- setzes (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass DurchfBest. er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

5 (2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen Oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nut- Zung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. (3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene DurchfBest. Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. DurchfBest. (4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhals personenbezogene Daten verarbeitet werden. Erlass (5) Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im

6 Inland. Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Datenträger Transits durch das Inland eingesetzt werden. 38 Abs. 1 Satz 1 bleibt unberührt. 2 zurück Inhalt weiter Öffentliche und nicht-öffentliche Stellen DurchfBest (1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaft, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundesport durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts so wie deren Vereinigungen ungeachtet ihrer Rechtsform. (3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn

7 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. Andernfalls gelten sie als öffentliche Stellen der Länder. (4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist Stelle im Sinne dieses Gesetzes. 3 zurück Inhalt weiter DurchfBest. Weitere Begriffsbestimmungen Erlass (1) Personenbezogene Daten sind Einzelan gaben über persönliche DurchfBest. oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder DurchfBest. Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. DurchfBest. (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der DurchfBest. dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personen- Erlass Bezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezo-

8 gener Daten, 3. Übermitteln das Bekannt geben gespeicherte oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, Um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es DurchfBest. sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern personenbezogener Daten derart, DurchfBest. dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. DurchfBest. (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (8) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede DurchfBest. Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem an deren Mitgliedstaat der Europäischen Union oder in einem anderen

9 Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesund-heit oder Sexualleben. DurchfBest. Erlass (10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. 3a zurück Inhalt weiter Datenvermeidung und Datensparsamkeit Erlass Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel aus zurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem an- Gemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 4 zurück Inhalt weiter DurchfBest. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Erlass (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten Erlass sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne DurchfBest. seine Mitwirkung dürfen sie nur erhoben werden, wenn

10 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über Erlass Erlass die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung Erlass und 3. die Kategorien von Empfängern nur, so weit der Betroffene nach den Erlass Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. So weit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären. 4a zurück Inhalt weiter Einwilligung Erlass (1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung Des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhe- Erlass

11 bung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Erlass Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schrift-, form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben (2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. 4b zurück Inhalt weiter Übermittlung personenbezogener Daten ins Ausland sowie an überoder zwischenstaatliche Stellen (1) Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten 15 Abs. 1, 16 Abs. 1 und 28 bis 30 nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen.

12 (2) Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaf ten fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den im Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. (4) In den Fällen des 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die

13 übermittelnde Stelle. (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. 4c zurück Inhalt weiter Ausnahmen (1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern 1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Be-troffenen erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. (2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbe-hörde

14 einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Ga-rantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Aus-bung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmens-regelungen ergeben. Bei den Post- und Telekommunikationsunterneh-men ist der Bundesbeauftragte für den Datenschutz zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. (3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. 4d zurück Inhalt weiter Meldepflicht (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnah-me von nicht-öffentlichen verantwortlichen Stellen der zuständigen Auf-sichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz nach Maßgabe von 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle eines Beauftragten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle persoenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hier-bei höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Ein-willigung der Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder ver-tragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung oder 2. zum Zweck der anonymisierten Übermittlung gespeichert werden.

15 (5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkon-trolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten ( 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhält-nisses mit dem Betroffenen dient. (6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Daten-schutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Auf-sichtsbehörde oder bei den Postund Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz zu wenden. 4e zurück Inhalt weiter Inhalt der Meldepflicht Erlass Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 1. Name oder Firma der verantwortlichen Stelle, Erlass Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der diesbe-züglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitge-teilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten,

16 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurtei-len, ob die Maßnahmen nach 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Auf-nahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend. 4f zurück Inhalt weiter Beauftragter für den Datenschutz Erlass (1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftrag-ten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in Erlass der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen, haben sie unabhängig von der Anzahl der Arbeitnehmer einen Beauftragten für den Datenschutz zu bestellen. (2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuver-lässigkeit besitzt. Mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer an-deren öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. (3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen. Er ist in Aus-übbung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungs-frei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt wer-den. Die Bestellung zum Beauftragten für den Datenschutz kann in ent-sprechender Anwendung von 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde wider-rufen werden.

17 (4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet soweit er nicht davon durch den Betroffenen befreit wird. (5) Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauf-tragten für den Datenschutz wenden. 4g zurück Inhalt weiter Aufgaben des Beauftragten für den Datenschutz Erlass (1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zustän-dige Behörde wenden. Er hat insbesondere 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes so-wie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. (2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Im Fall des 4d Abs. 2 macht der Beauftragte für den Datenschutz die Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. Im Fall des 4d Abs. 3 gilt Satz 2 entsprechend für die verantwortliche Stelle. (3) Auf die in 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behörd-lichen Beauftragten für den Datenschutz und dem Behördenleiter ent-scheidet die oberste Bundesbehörde.

18 5 zurück Inhalt weiter Datengeheimnis DurchfBest. Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 6 zurück Inhalt weiter DurchfBest. Unabdingbare Rechte des Betroffenen (1) Die Rechte des Betroffenen auf Auskunft ( 19, 34) und auf Berich-tigung, Löschung oder Sperrung ( 20, 35) können nicht durch Rechts-geschäft ausgeschlossen oder beschränkt werden. (2) Sind die Daten des Betroffenen automatisiert in der Weise gespeich-ert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betrof-fene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. Die in 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz unterrichten. In diesem Fall richtet sich das weitere Verfahren nach 19 Abs. 6. 6a zurück Inhalt weiter Automatisierte Einzelentscheidung (1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. (2) Dies gilt nicht, wenn 1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung ei-nes Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 2. die Wahrung der berechtigten Interessen des Betroffenen durch ge-eignete

19 Maßnahmen gewährleistet und dem Betroffenen von der verant-wortlichen Stelle die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird. Als geeignete Maßnahme gilt ins-besondere die Möglichkeit des Betroffenen, seinen Standpunkt geltend zu machen. Die verantwortliche Stelle ist verpflichtet, ihre Entscheidung erneut zu prüfen. (3) Das Recht des Betroffenen auf Auskunft nach den 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verar-beitung der ihn betreffenden Daten. 6b zurück Inhalt weiter Erlass Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen Erlass Erlass (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektro-nischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutz-würdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung ent-sprechend 19a und 33 zu benachrichtigen. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. 6c zurück Inhalt weiter

20 Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verar-beitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Medi-ums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maß-nahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverar-beitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein. 7 zurück Inhalt weiter Schadensersatz DurchfBest. Erlass Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzu-lässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. 8 zurück Inhalt weiter Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen (1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Ver-arbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet.

21 (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von Deutsche Mark begrenzt. Ist aufgrund desselben Er-eignisses an mehrere Personen Schadensersatz zu leisten, der insge-samt den Höchstbetrag von Deutsche Mark übersteigt, so ver-ringern sich die Einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die spei-chernde Stelle festzustellen, so haftet jede dieser Stellen. (5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt 254 des Bürgerlichen Gesetzbuches. (6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuches entsprechende Anwendung. 9 zurück Inhalt weiter DurchfBest. Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die tech-nischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu ge-währleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Erlass Erlass Erlass Erlass Erlass Erlass Erlass a zurück Inhalt weiter Datenschutzaudit Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und programmen und da-tenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das

22 Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonde-res Gesetz geregelt. 10 zurück Inhalt weiter Einrichtung automatisierter Abrufverfahren (1) Die Einrichtung eines automatisierten Verfahrens, das die Übermitt-lung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, so-weit dieses Verfahren unter Berücksichtigung der schutzwürdigen Inte-ressen der Betroffenen und der Aufgaben oder Geschäftszwecke der be-teiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. DurchfBest. (2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schrift-lich festzulegen: DurchfBest. 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach 9 erforderliche technische und organisatorische Maßnahmen. Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden. (3) Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz unter Mitteilung der Festlegungen nach Absatz 2 zu unter-richten. Die Einrichtung von Abrufverfahren, bei denen die in 6 Abs. 2 und in 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bun-des oder Landesministerium zugestimmt hat. DurchfBest. (4) Die Verantwortung für die Zulässigkeit des Einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässig-keit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zu-mindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abge-rufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewähr-leistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. DurchfBest.

23 (5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. 11 zurück Inhalt weiter Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Erlass im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Da-tenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. DurchfBest. Erlass (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eig-nung der von ihm getroffenen technischen und organisatorischen Maß-nahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wo-bei die Datenerhebung, - verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich von der Ein-haltung der beim Auftragnehmer getroffenen technischen und organi-satorischen Maßnahmen zu überzeugen. (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unver-züglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1, Abs. 3 und 4 sowie 44 Abs. 1 Nr. 2, 5, 6 und 7 und Abs. 2 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zu-steht und der Auftraggeber eine öffentliche Stelle ist,die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der änder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im

24 Auftrag als Dienstleistungsunternehmen geschäftsmäßig erhe-ben, verarbeiten oder nutzen, die 4 f, 4 g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder War-tung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Erlass Erlass Zweiter Abschnitt Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung 12 zurück Inhalt weiter Anwendungsbereich (1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wett-bewerb teilnehmen. Erlass Erlass Erlass (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die 12 bis16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie 1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbeweb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse erhoben, verarbeitet oder genutzt, gelten anstelle der 13 bis 16, 19 bis 20 der 28 Abs. 1 und 3 Nr. 1 sowie die 33 bis 35, auch soweit personen-bezogene Daten weder automatisiert verarbeitet noch in nicht automa-tisierten Dateien verarbeitet oder genutzt oder dafür erhoben werden. DurchfBest. Erlass zurück Inhalt weiter DurchfBest. Datenerhebung Erlass (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle er-

25 forderlich ist. DurchfBest. (1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nichtöffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft vepflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (2) Das Erheben besonderer Arten personenbezogener Daten ( 3 Abs. 9) ist nur zulässig, soweit DurchfBest. 1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert, 2. der Betroffene nach Maßgabe des 4a Abs. 3 eingewilligt hat, 3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist, 7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, 8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder 9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahme erforderlich ist.

26 14 zurück Inhalt weiter Erlass Datenspeicherung, -veränderung und -nutzung Erlass (1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der DurchfBest. verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind. (2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn DurchfBest. 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 2. der Betroffene eingewilligt hat, 3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde, 4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt, 6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, 7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungs-maßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist, 8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungs-vorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

27 DurchfBest. (3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht über-wiegende schutzwürdige Interessen des Betroffenen entgegenstehen. (4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. DurchfBest. (5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn 1. die Voraussetzungen vorliegen, die eine Erhebung nach 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder 2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das Interesse an dem Forschungsvorhaben besonders zu berücksichtigen. (6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten ( 3 Abs. 9) zu den in 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten. 15 zurück Inhalt weiter Datenübermittlung an öffentliche Stellen Erlass (1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn DurchfBest. 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist

28 und 2. die Voraussetzungen vorliegen, die eine Nutzung nach 14 zulassen würden. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungs-ersuchen im Rahmen der Aufgaben des Dritten, an den die Daten übermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. 10 Abs. 4 bleibt unberührt. (3) Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des 14 Abs. 2 zulässig. (4) Für die Übermittlung personenbezogener Daten an Stellen der öffentlichrechtlichen Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende Datenschutzmaßnahmen getroffen werden. DurchfBest. (5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig. (6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. 16 zurück Inhalt weiter Datenübermittlung an nicht-öffentliche Stellen Erlass (1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen Erlass DurchfBest. vorliegen, die eine Nutzung nach 14 zulassen würden, oder

29 2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Das Übermitteln von besonderen Arten personenbezo-gener Daten ( 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach 14 Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines DurchfBest. Landes Nachteile bereiten würde. DurchfBest. (4) Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat. 17 zurück Inhalt weiter Datenübermittlung an Stellen außerhalb des Geltungsbereiches dieses Gesetzes weggefallen 18 zurück Inhalt weiter Durchführung des Datenschutzes in der Bundesverwaltung (1) Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens, sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundes-regierung oder einer obersten Bundesbehörde lediglich die Rechtsauf-sicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Das gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. DurchfBest. Erlass Erlass

30 Erlass (2) Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. Für ihre automatisierten Verarbeitungen haben sie die Angaben nach 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen. Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen das Auskunftsrecht des Betroffenen nicht nach 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden. DurchfBest. Erlass DurchfBest. Erlass DurchfBest. Erlass Erlass Erlass Erlass Zweiter Unterabschnitt Rechte des Betroffenen 19 zurück Inhalt weiter Auskunft an den Betroffenen DurchfBest. (1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, DurchfBest. 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftsersuchen nach pflichtgemäßem Ermessen. (2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert DurchfBest.

31 sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. (3) Bezieht sich die Auskunftserteilung auf die Übermittlung personen-bezogener Daten an Verfassungsschutzbehörden, den Bundesnachrich-tendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. DurchfBest. (4) Die Auskunftserteilung unterbleibt, soweit DurchfBest. 1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, 2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder 3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechts-vorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss. (5) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Bundesbeauftragten für den Datenschutz wenden kann. DurchfBest. (6) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung des Bundesbeauftragten an den DurchfBest. Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.

32 (7) Die Auskunft ist unentgeltlich. 19a zurück Inhalt weiter Benachrichtigung Erlass (1) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. (2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. Die verantwortlichen Stellen legen schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird. (3) 19 Abs. 2 bis 4 gilt entsprechend. 20 zurück Inhalt weiter Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, DurchfBest. unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten. (2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn DurchfBest. 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit DurchfBest.

33 1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. DurchfBest. (5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, DurchfBest. Erlass Erlass wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr eforderlich sind. DurchfBest. (7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn DurchfBest. 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. (8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und DurchfBest.

34 schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (9) 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden. 21 zurück Inhalt weiter Anrufung des Bundesbeauftragten für den Datenschutz DurchfBest. Jedermann kann sich an den Bundesbeauftragten für den Datenschutz wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegen-heiten tätig werden. Dritter Unterabschnitt Bundesbeauftragter für den Datenschutz 22 zurück Inhalt weiter Wahl des Bundesbeauftragten für den Datenschutz (1) Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Der Bundesbeauftragte muss bei seiner Wahl das 35. Lebensjahr vollendet haben Der Gewählte ist vom Bundespräsidenten zu ernennen. (2) Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid: "Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gotthelfe." Der Eid kann auch ohne religiöse Beteuerung geleistet werden. (3) Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig. (4) Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. Er ist in Ausübung seines Amtes

35 unabhängig und nur dem Gesetz unterworfen. Er untersteht der Rechtsaufsicht der Bundesregierung. (5) Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. Er untersteht der Dienstaufsicht des Bundesministeriums des Innern. Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige Personalund Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministeriums des Innern in einem eigenen Kapitel auszuweisen. Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einverneh-men mit ihm versetzt, abgeordnet oder umgesetzt werden. (6) Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. Der Bundesbeauftragte soll dazu gehört werden. 23 zurück Inhalt weiter Rechtsstellung des Bundesbeauftragten für den Datenschutz (1) Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz beginnt mit der Aushändigung der Ernennungsurkunde. Es endet 1. mit Ablauf der Amtszeit, 2. mit der Entlassung. Der Bundespräsident entlässt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. Im Fall der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom Bundespräsidenten vollzogene Urkunde. Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. Auf Ersuchen des Bundesministers des Innern ist der Bundes-beauftragte verpflichtet, die Geschäfte bis zur Ernennung seines Nachfol- gers weiterzuführen. (2) Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetz-gebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.

36 (3) Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke Mitteilung zu machen, die er in Bezug auf sein Amt erhält. Das Bundesministerium des Innern entscheidet über die Verwendung der Geschenke. (4) Der Bundesbeauftragte ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiter des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts der Bundesbeauftragte entscheidet. Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden. (5) Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsver-hältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Ange-legenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilun-gen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. Für den Bundesbeauftragten und seine Mitarbeiter gelten die 93, 97, 105 Abs. 1, 111 Abs. 5 in Verbindung mit 105 Abs. 1sowie 116 Abs. 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen han-delt. Stellt der Bundesbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren. (6) Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich

37 gefährden oder erheblich erschweren würde. Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile bereiten würde. 28 des Bundesverfassungsgerichtsgesetz bleibt unberührt. (7) Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 9 zustehen-den Besoldung. Das Bundesreisekostengesetz und das Bundesumzugs-kostengesetz sind entsprechend anzuwenden. Im übrigen sind die 13 bis 20 des Bundesministergesetzes in der Fassung der Bekanntmachung vom 27. Juli 1971(BGBl. I S. 1166), zuletzt geändert durch das Gesetz zur Kürzung des Amtsgehalts der Mitglieder der Bundesregierung und der Parlamentarischen Staats-sekretäre vom 22. Dezember 1982 (BGBl. I S. 2007), mit der Maßgabe anzuwenden, dass an die Stelle der zweijährigen Amtszeit in 15 Abs. 1 desbundesministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung mit den 15 bis 17 des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungs-gesetzes, wenn dies günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat. (8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. 24 zurück Inhalt weiter Erlass Kontrolle durch den Bundesbeauftragten Erlass für den Datenschutz Erlass (1) Der Bundesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. DurchfBest. (2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf DurchfBest.

38 1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach 30 der Abgabenordnung, unterliegen. Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. Personen-bezogene Daten, die der Kontrolle durch die Kommission nach 15 des Gesetzes zu Artikel 10 Grundgesetz unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. Der Kontrolle durch den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, Erlass Erlass Erlass wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten widerspricht. (3)Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden.. DurchfBest. (4) Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundes-beauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist dabei insbesondere DurchfBest. 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungs-programme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen, 2. jederzeit Zutritt in alle Diensträume zu gewähren. Die in 6 Abs. 2 und 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde. (5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. DurchfBest. Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der

39 Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 25 bleibt unberührt. (6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. 25 zurück Inhalt weiter Beanstandungen durch den Bundesbeauftragten für den Datenschutz (1) Stellt der Bundesbeauftragte für den Datenschutz Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet er dies 1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde, 2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten, 3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließ-liches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen, 4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organen und fordert zur Stellungnahme inne-rhalb einer von ihm zu bestimmenden Frist auf. In den Fällen von Satz 1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde. (2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. (3) Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung des Bundesbeauftragten getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu. 26 zurück Inhalt weiter

40 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz (1) Der Bundesbeauftragte für den Datenschutz erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes. (2) Auf Anforderung des Deutschen Bundestages oder der Bundesregie-rung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. Auf Ersuchen des Deutschen Bundestages, des Petitionsaus-schusses, des Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden. (3) Der Bundesbeauftragte kann der Bundesregierung und den in 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. Die in 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft. (4) Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffent-lichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichts-behörden nach 38 hin. 38 Abs. 1 Satz 3 und 4 gilt entsprechend. Dritter Abschnitt Datenverarbeitung nicht-öffentlicher Stellen und öffentlich rechtlicher Wettbewerbsunternehmen DurchfBest. Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung 27 zurück Inhalt weiter Anwendungsbereich (1) Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen,

41 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentlichen Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. In den Fällen der Nummer 2 Buchstabe a gelten anstelle des 38 die 18, 21 und 24 bis 26. (2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung perso- nenbezogener Daten außerhalb von nicht automati-sierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. 28 zurück Inhalt weiter Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke (1) Das Erheben, Speichern, Verändern oder Übermitteln personenbe-zogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig 1. wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient, DurchfBest. DurchfBest. 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. (2) Für einen anderen Zweck dürfen sie nur unter den Voraussetzungen des

42 Absatzes 1 Satz 1 Nr. 2 und 3 übermittelt oder genutzt werden. (3) Die Übermittlung oder Nutzung für einen anderen Zweck ist auch zulässig 1. soweit es zur Wahrung berechtigter Interessen eines Dritten oder 2. zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, oder 3. für Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf a) eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, b) Berufs-, Branchen- oder Geschäftsbeziehung, c) Namen, d) Titel, e) akademische Grade, f) Anschrift und g) Geburtsjahr beschränken und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 4. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, dass dieses Interesse besteht, wenn im Rahmen der Zweckbestimmung eines Vertragsverhält-nisses oder vertragsähnlichen Vertrauensverhältnisses gespeicherte Daten übermittelt werden sollen, die sich 1. auf strafbare Handlungen, 2. auf Ordnungswidrigkeiten sowie 3. bei Übermittlung durch den Arbeitgeber auf arbeitsrechtliche Rechtsverhältnisse beziehen. (4) Widerspricht der Betroffene bei der verantwortlichen Stelle der Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung ist eine Nutzung oder Übermittlung

43 für diese Zwecke unzulässig. Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. Widerspricht der Betroffenen bei dem Dritten, dem die Daten nach Absatz 3 übermittelt werden, der Verarbei-tung oder Nutzung zum Zweck der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. (5) Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm über-mittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des 14 Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten ( 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungs-vorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (7) Das Erheben von besonderen Arten personenbezogenerdaten ( 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvor-sorge, der

44 medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforder-lich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheim-haltungspflicht unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in 203 Abs. 1 und 3 des Strafgesetzbuches genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. (8) Für einen anderen Zweck dürfen die besonderen Arten personen-bezogener Daten ( 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. (9) Organisationen, die politisch, philosophisch religiös oder gewerk-schaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten ( 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des 4a Abs. 3 zulässig. Absatz3 Nr. 2 gilt entsprechend. 29 zurück Inhalt weiter Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (1) Das geschäftsmäßige Erheben, Speichern oder Verändern personen-

45 bezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien, dem Adresshandel oder der Markt- und Meinungsforschung dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt. 28 Abs. 1 Satz 2 ist anzuwenden. (2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 1. a) der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat oder b) es sich um listenmäßig oder sonst zusammengefasste Daten nach 28 Abs. 3 Nr. 3 handelt, die für Zwecke der Werbung oder der Markt- oder Meinungsforschung übermittelt werden sollen, und 2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-würdiges Interesse an dem Ausschluss der Übermittlung hat. 28 Abs. 3 gilt entsprechend. Bei der Übermittlung nach Nummer 1 Buchstabe a sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. (3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Telefon-, Branchen- oder vergleichbare Verzeich-nisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden. (4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt 28 Abs. 4 und 5.

46 (5) 28 Abs. 6 bis 9 gilt entsprechend. 30 zurück Inhalt weiter Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (1) Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Diese Merkmale dürfen mit den Einzelangaben nur zusammen-geführt werden, soweit dies für die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. (2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutz-würdiges Interesse an dem Ausschluss der Veränderung hat oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) 29 gilt nicht. (5) 28 Abs. 6 bis 9 gilt entsprechend. 31 zurück Inhalt weiter Besondere Zweckbindung Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. 32 zurück Inhalt weiter Meldepflichten weggefallen Zweiter Unterabschnitt Rechte des Betroffenen

47 33 zurück Inhalt weiter Benachrichtigung des Betroffenen DurchfBest. (1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. (2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen, 4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, 5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder

48 b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, oder 8. die Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt ( 29 Abs. 2 Nr. 1 Buchstabe b) und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraus-setzungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird. 34 zurück Inhalt weiter DurchfBest. Auskunft an den Betroffenen (1) Der Betroffene kann Auskunft verlangen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. Empfänger oder Kategorien von Empfängern, an die Daten weiter-gegeben werden, und 3. den Zweck der Speicherung. Er soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann der Betroffene über Herkunft und Empfänger nur Auskunft verlangen, sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt. In diesem Falle ist Auskunft über Herkunft und Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. (2) Der Betroffene kann von Stellen, die geschäftsmäßig personen-bezogene Daten zum Zwecke der Auskunftserteilung speichern, Auskunft über seine personenbezogenen Daten verlangen, auch wenn sie weder in einer automatisierten Verarbeitung noch in einer nicht automatisierten Datei gespeichert sind. Auskunft über Herkunft und Empfänger kann der Betroffene nur verlangen, sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwiegt.

49 (3) Die Auskunft wird schriftlich erteilt, soweit nicht wegen der besonde-ren Umstände eine andere Form der Auskunftserteilung angemessen ist. (4) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (5) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann jedoch ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann in den Fällen nicht verlangt werden, in denen besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergibt, dass die Daten zu berichtigen oder unter der Voraus-setzung des 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind. (6) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten und Angaben zu verschaffen. Er ist hierauf in geeigneter Weise hinzuweisen. 35 zurück Inhalt weiter Berichtigung, Löschung und Sperrung von Daten DurchfBest. (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. (2) Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer erstmaligen Speicherung ergibt, dass eine länger währende Speicherung nicht erforderlich ist.

50 (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Nr. 3 einer Löschung gesetzliche, satzungs-mäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

51 (8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse ist und der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Dritter Unterabschnitt Aufsichtsbehörde 36 zurück Inhalt weiter Bestellung eines Beauftragten für den Datenschutz weggefallen 37 zurück Inhalt weiter Aufgaben des Beauftragten für den Datenschutz weggefallen 38 zurück Inhalt weiter Aufsichtsbehörde (1) Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des 1 Abs. 5. Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. Sie leistet den Aufsichts-behörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeauf-sichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. 21 Satz 1 und 23 Abs. 5 Satz 4 bis7 gelten entsprechend.

52 (2) Die Aufsichtsbehörde führt ein Register der nach 4d meldepflichti-gen automatisierten Verarbeitungen mit den Angaben nach 4e Satz 1. Das Register kann von jedem eingesehen werden. Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. (3) Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunfts-pflichtige ist darauf hinzuweisen. (4) Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertra-genen Aufgaben erforderlich ist, während der Betriebs- und Geschäfts-zeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbei-tungsprogramme, einsehen. 24 Abs. 6 gilt entsprechend. Der Auskunftspflichtige hat diese Maßnahmen zu dulden. (5) Zur Gewährleistung des Datenschutzes nach diesem Gesetz und anderen Vorschriften über den Datenschutz, soweit diese die automati-sierte Verarbeitung personenbezogener Daten oder die Verarbeitung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln, kann die Aufsichtsbehörrungen nach 9 Maßnahmen zur Beseitigung festgestellter technischer oder organisatorischer Mängel getroffen werden. Bei schwerwiegenden Mängeln dieser Art, insbeson-dere, wenn sie mit besonderer Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie den Einsatz einzelner Verfahren untersagen, wenn die Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht

53 besitzt. (6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden. (7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnitts unterliegenden Gewerbebetriebe bleibt unberührt. 38a zurück Inhalt weiter Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen (1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltens-regeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Vierter Abschnitt Sondervorschriften 39 zurück Inhalt weiter Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen DurchfBest. (1) Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist.

54 40 zurück Inhalt weiter Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. DurchfBest. (2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur DurchfBest. zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn DurchfBest. 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. 41 zurück Inhalt weiter Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien (1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistischredaktionellen oder literarischen Zwecken den Vorschriften der 5, 9 und 38a entsprechende Regelungen einschließ-lich einer hierauf bezogenen Haftungsregelung entsprechend 7 zur Anwendung kommen. (2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. (3) Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten

55 Daten verlangen. Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährs-trägers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. Der Betroffene kann die Berichtigung unrichtiger Daten verlangen. (4) Im übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die 5, 7, 9 und 38a. Anstelle der 24 bis 26 gilt 42, auch soweit es sich um Verwal- tungsangelegenheiten handelt. 42 zurück Inhalt weiter Datenschutzbeauftragter der Deutschen Welle (1) Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz tritt. Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungs-rat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. Das Amt eines Beauftragten für den Datenschutz kann neben ande-ren Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen Im übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht. Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz.

56 (5) Weitere Regelungen entsprechend den 23 bis 26 trifft die Deutsche Welle für ihren Bereich. Die 4f und 4g bleiben unberührt. Fünfter Abschnitt Schlussvorschriften 43 zurück Inhalt weiter Bußgeldvorschriften DurchfBest. (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen 4d Abs. 1, auch in Verbindung mit 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 2. entgegen 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6 einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 3. entgegen 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, 4. entgegen 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 5. entgegen 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, 6. entgegen 29 Abs. 3 Satz 1 personenbezogene Daten in lektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt, 7. entgegen 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, 8. entgegen 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 9. entgegen 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 10. entgegen 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt odereine Maßnahme nicht duldet oder 11. einer vollziehbaren Anordnung nach 38 Abs. 5 Satz 1 zuwiderhandelt. (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

57 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen 16 Abs. 4 Satz 1, 28 Abs. 5 Satz 1, auch in Verbindung mit 29 Abs. 4, 39 Abs. 1 Satz 1 oder 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder 6. entgegen 30 Abs. 1 Satz 2 die in 30 Abs. 1 Satz 1 bezeichneten Merkmale oder entgegen 40 Abs. 2 Satz 3 die in 40 Abs. 2 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt. (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu fünfhunderttausend Deutsche Mark geahndet werden. 44 zurück Inhalt weiter Strafvorschriften DurchfBest. (1) Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde. Sechster Abschnitt Übergangsvorschriften 45 zurück Inhalt weiter Laufende Verwendungen Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am... [einsetzen: Tag nach der Verkündung dieses Gesetzes] bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Soweit Vorschriften

58 dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitun-gen oder Nutzungen personenbezogener Daten, die am... [einsetzen: Tag nach der Verkündung dieses Gesetzes] bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 46 zurück Inhalt Weitergeltung von Begriffsbestimmungen (1) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder 2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können. (2) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. (3) Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person oder Stelle außerhalb der verantwortlichen Stelle. Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkom-mens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Anlage (zu 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

59 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektro-nischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. zurück Inhalt

60

61 Ministerialblatt des Bundesministeriums der Verteidigung Bonn, den 20. Mai 1998 Nummer 8 Z 4761 Organisation und Dienstbetrieb VMBl 1998 S. 153 Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg Neufassung Die Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg werden wie folgt neu gefaßt: Einführung 1. Das Bundesverfassungsgericht hat in seinem Urteil vom 15. Dezember ) zu den Verfassungsbeschwerden gegen das Volkszählungsgesetz Volkszählungsurteil mit Gesetzeskraft festgestellt: "Das Grundrecht [auf informationelle Selbstbestimmung] gewährleistet... die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts... sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem Gebot der Normenklarheit entsprechen muß. Bei seinen Regelungen hat der Gesetzgeber den

62 Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken." 2. Der Bundesgesetzgeber hat zur Erfüllung dieser Verpflichtung am 20. Dezember 1990 die Neufassung des BDSG 2) erlassen sowie in bereichsspezifischen Regelungen datenschutzrechtliche Bestimmungen getroffen. 1. Veröffentlicht z. B. in "Die Öffentliche Verwaltung" 1984, S ) VMBl 1991 S. 295 Erster Abschnitt Allgemeine Bestimmungen 1 (Zweck und Anwendungsbereich des Gesetzes) Zu 1 Abs. 1

63 Zum Schutz des Persönlichkeitsrechts beim Umgang mit personenbezogenen Daten sind die nachstehenden datenschutzrechtlichen Grundsätze zu beachten: 1 R e c h t m ä ß i g k e i t Der Umgang mit personenbezogenen Daten muß zur rechtmäßigen Aufgabenerfüllung der Dienststelle dienen und auf einer gesetzlichen Grundlage beruhen. 2 E r f o r d e r l i c h k e i t / N o t w e n d i g k e i t Die Kenntnis jedes einzelnen Datums muß erforderlich sein. Personenbezogene Daten dürfen nur erhoben, verarbeitet und genutzt werden, wenn sie aktuell benötigt, und nur solange gespeichert werden, wie sie zur Aufgabenerfüllung gebraucht werden. Eine Vorratsspeicherung ist unzulässig. 3 Zweckbindung Personenbezogene Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden, soweit nicht das BDSG oder andere Rechtsvorschriften eine andere Verwendung erlauben. 4 S i c h e r h e i t Beim Umgang mit personenbezogenen Daten sind die organisatorischen und technischen Maßnahmen zu treffen, die erforderlich sind, um die Rechte des Betroffenen zu schützen. Die Terminologie für den Umgang mit personenbezogenen Daten ist in Anlage 1 dargestellt. Zu 1 Abs. 3 Nr. 1 Absatz 3 Nr. 1 grenzt den Anwendungsbereich des Gesetzes für automatisierte Dateien 3) ein, die nur aus verarbeitungstechnischen Gründen und nur vorübergehend erstellt sowie nach ihrer Nutzung automatisch gelöscht werden. Dies können z.b. Dateien sein, in denen Zwischenergebnisse abgespeichert werden oder Hilfsdateien, die das Datenverarbeitungssystem aus programmtechnischen Gründen anlegt. Dateien sind vorübergehend angelegt, wenn sie innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden. Für solche vorübergehend angelegten Dateien sind nur die dem Schutzbereich der Informationen entsprechenden IT-Sicherheitsmaßnahmen nach Anlage 4 a durchzuführen; das Datengeheimnis nach 5 ist zu wahren. Werden aus diesen Dateien Ausdrucke mit personenbezogenen Daten z. B. zur Fehlerdiagnose erstellt, gelten für diese Ausdrucke die Bestimmungen für Akten. Eine Übersicht mit den Vorschriften des BDSG, die beim Umgang mit personenbezogenen Daten in Dateien, Akten, Vorentwürfen und persönlichen Notizen gelten, enthält Anlage 2. Zu 1 Abs. 3 Nr. 2

64 Für nicht automatisierte Dateien, deren personenbezogene Daten nicht zur Übermittlung ( 3 Abs. 5 Nr. 3) an Dritte ( 3 Abs. 9) bestimmt sind, gelten nur die 5, 9, 39 und 40 sowie die datenschutzrechtlichen Vorschriften für die Verarbeitung und Nutzung personenbezogener Daten in Akten. Der Umgang mit diesen Daten muß rechtmäßig und notwendig sein. Ihre Zweckbindung ist zu beachten. Nicht zur Übermittlung bestimmt sind personenbezogene Daten in nicht automatisierten Dateien, die ausschließlich für interne Zwecke bestimmt sind. Eine auch nur gelegentliche Übermittlung muß ausgeschlossen sein. Unabhängig davon können personenbezogene Daten aus einer solchen nicht automatisierten Datei genutzt ( 3 Abs. 6), d.h. auch innerhalb der speichernden Stelle weitergegeben werden, soweit dies zur Aufgabenerfüllung erforderlich ist. Nicht automatisierte Dateien sind auch dann zu melden, wenn die in ihnen gespeicherten Daten nicht zur Übermittlung an Dritte bestimmt sind. Zu 1 Abs. 4 Dem BDSG gehen bereichsspezifische Regelungen in Rechtsvorschriften des Bundes vor. Solche bereichsspezifischen Regelungen finden sich z.b. im Bundesbeamtengesetz (BBG), 90 ff 4), Soldatengesetz (SG), 29 5), Wehrpflichtgesetz (WPflG), 25 6), Gesetz über den militärischen Abschirmdienst (MADG), 3 Abs. 3, ), Sicherheitsüberprüfungsgesetz (SÜG), ), Sozialgesetzbuch (SGB), X. Buch 9) und Teledienstedatenschutzgesetz (TDDSG) 10). Neben dem BDSG sind auch die Vorschriften zur Wahrung gesetzlicher Geheimhaltungspflichten (z.b. 203 StGB) oder von Berufs- und besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen (z.b. Berufsordnungen für die deutschen Ärzte), zu beachten. Die Mehrzahl der bereichsspezifischen Datenschutzregelungen behandelt nur das Erheben, Speichern, Verändern, Übermitteln und Nutzen der personenbezogenen Daten sowie die Verpflichtung zur Erteilung von Auskunft. Zu einer umfassenden gesetzlichen datenschutzrechtlichen Regelung wie der des BDSG gehören darüber hinaus auch Definitionen ( 3) und Aussagen über das Löschen und Sperren personenbezogener Daten ( 20, 35), Festlegungen für die Dateien mit personenbezogenen Daten ( 18 Abs. 2 Satz 2), technische und organisatorische Maßnahmen zur Datensicherung ( 9),

65 unabdingbare Rechte der Betroffenen ( 6), Verfahrensregelungen (z. B. zu 4 Abs. 2, 13 Abs. 2 4 und 19), das Ausüben von Kontrollen ( 18 Abs. 2 Satz 3 und 24) und Schadensersatz ( 7). Soweit die bereichsspezifischen Vorschriften einen datenschutzrechtlichen Sachverhalt nicht (z.b. technische und organisatorische Maßnahmen, 9; Festlegung nach 18 Abs. 2) oder nicht abschließend regeln (z.b. das Verarbeiten, 10 und 11; das Verfahren der Erhebung, 13 Abs. 2 4), gelten die entsprechenden Vorschriften des BDSG, es sei denn, die Anwendung des BDSG wird ausdrücklich ausgeschlossen (z.b. in 13 MADG) oder seine Anwendung verbietet sich, weil ein bereichsspezifisches Gesetz etwas anderes vorschreibt (z.b. gelten 35 Abs. 4 6 über das Sperren nicht für Personalaktendaten, weil 90a BBG und 29 Abs. 5 SG nicht auf die Richtigkeit der Behauptung, sondern darauf abstellen, ob eine Behauptung für den Betroffenen ungünstig oder für ihn nachteilig ist). Für personenbezogene Daten, die aufgrund einer bereichsspezifischen Regelung verarbeitet und genutzt werden, gelten nach einer zulässigen Weitergabe/Übermittlung zu anderen Zwecken entweder andere bereichsspezifische Regelungen (z.b. bei Nutzung von Personalaktendaten durch den Sicherheitsbeauftragten für die Durchführung einer Sicherheitsüberprüfung das SÜG) oder das BDSG (z.b. bei Nutzung von Personalaktendaten zu Ausbildungszwecken). Im Hinblick auf den Vorrang bereichsspezifischer Regelungen empfiehlt es sich, folgende Fragen zu prüfen: Besteht für den Umgang mit diesen personenbezogenen Daten eine bereichsspezifische Regelung (z.b. Soldatengesetz, Bundesbeamtengesetz, Wehrpflichtgesetz einschließlich der jeweiligen Rechtsverordnungen für Personalaktendaten, Sicherheitsüberprüfungsgesetz für personenbezogene Daten in Sicherheitsakten)? Welche datenschutzrechtlichen Tatbestände werden im bereichsspezifischen Gesetz abgedeckt? Regelt die bereichsspezifische Vorschrift den Tatbestand abschließend (z.b. 29 Abs. 7 und 8 SG)? Sind Vorschriften des BDSG anzuwenden, weil die bereichsspezifische Vorschrift den zu beurteilenden Sachverhalt nicht oder nicht vollständig regelt? Wird die Anwendung des BDSG ausgeschlossen oder beschränkt (z.b. 13 MADG)? Keine Rechtsvorschriften im Sinne des Gesetzes sind Verwaltungsvorschriften (z.b. Zentrale Dienstvorschriften, Einzelerlasse) und Befehle. 2 (Öffentliche und nicht-öffentliche Stellen)

66 Öffentliche Stellen des Bundes im Geschäftsbereich des BMVg sind Dienststellen, die organisatorisch selbständig sind und einen ihnen zugewiesenen Aufgabenbereich im Rahmen erteilter Befugnisse eigenverantwortlich wahrnehmen. Keine öffentlichen Stellen sind z.b. Außenstellen, Abteilungen, Referate/Dezernate und Sach- /Fachgebiete. Das BDSG unterscheidet nicht nach "öffentlichen Stellen des "Bundes" im Inland oder im Ausland. Das BDSG gilt also auch für deutsche Dienststellen als Teil von internationalen Stäben/Verbänden sowie für Bundeswehrdienststellen im Ausland. "Andere öffentlich-rechtlich organisierte Einrichtungen des Bundes" ( 2 Abs. 1) können jeder der drei Staatsgewalten angehören. So sind Bundestag, Bundesrat und ihre Ausschüsse öffentlich-rechtlich organisierte Einrichtungen des Bundes. Der einzelne Bundestagsabgeordnete oder die Fraktion sind dagegen "nichtöffentliche" Stellen im Sinne des BDSG. 3 (Weitere Begriffsbestimmungen) Die Begriffsbestimmungen gelten für Dateien und Akten. Soweit bereichsspezifische Regelungen diese Begriffe verwenden, gelten die Begriffsinhalte ebenfalls, soweit sich aus dem bereichsspezifischen Gesetz nichts anderes ergibt. Zu 3 Abs. 1 Personenbezogene Daten sind alle Einzelangaben, die auf eine bestimmte oder bestimmbare natürliche Person (den Betroffenen) bezogen werden können. Daten über Ungeborene oder Verstorbene sind keine Daten über natürliche Personen; sie werden vom BDSG nicht geschützt. Personenbezogene Daten müssen Informationen über den Betroffenen selbst, zu seiner Identifizierung oder Charakterisierung oder einen auf ihn beziehbaren Sachverhalt enthalten. Angaben über persönliche Verhältnisse sind z.b. Name, Anschrift, Familienstand, Beruf, Konfession, Geburtsdatum, Krankheiten, äußeres Erscheinungsbild und Charaktereigenschaften. Auch Werturteile über Eignung, Befähigung und fachliche Leistung sowie Fotografien, Tonaufzeichnungen, Fingerabdrücke, Röntgenbilder und Angaben auf einem Fahrtenschreiber, die sich auf eine bestimmte natürliche Person beziehen, sind personenbezogene Daten. Das gleiche gilt auch für den Namen auf einer technischen Zeichnung, der den Betroffenen als Urheber der Zeichnung identifiziert, und für das Namenzeichen einer Schreibkraft, mit dem das Erstellen eines Dokumentes als ihre Leistung gekennzeichnet wird. Angaben über sachliche Verhältnisse sind Informationen über einen auf den Betroffenen beziehbaren Sachverhalt (z.b. über Grundbesitz, bewegliches Eigentum, Schulden, vertragliche oder sonstige Beziehungen zu Dritten oder das Autokenn-zeichen). Ein Betroffener ist bestimmbar, wenn die speichernde Stelle mit den ihr zur Durchführung ihrer Tätigkeit zur Verfügung stehenden Hilfsmitteln und Möglichkeiten (z.b. über eine Referenz- oder Schlüsselliste oder durch eine telefonische Anfrage) ohne unverhältnismäßigen Aufwand ( 3 Abs. 7) einen Bezug zu einer bestimmten Person herstellen kann (z.b. über Kfz-Kennzeichen, Ausweis- Nr., Personenkennziffer [PK]). Eine natürliche Person kann auch aus einer Sammlung mit Organisationsdaten bestimmbar sein (z.b. Telefon-, Zimmernummer, DP-Bewertung [TE/ZE] ). Die Organisationsdaten werden in dieser Verknüpfung zu personenbezogenen Daten, da sich der Betroffene für die speichernde Stelle anhand vorhandener Unterlagen oder telefonischer Nachfrage ohne unverhältnismäßig hohen Aufwand ermitteln läßt. Der Datenschutz kennt keine "belanglosen" personenbezogenen Daten. Allerdings hängt der Grad

67 ihrer Schutzbedürftigkeit von der Sensitivität und dem Zusammenhang ab, in dem die Daten verwendet werden. Zu 3 Abs. 2 Nr. 1 Das BDSG definiert eine "Sammlung personenbezogener Daten" als automatisierte Datei, wenn diese nach bestimmten Merkmalen automatisiert (durch automatisierte Verfahren) ausgewertet werden kann. Eine "Sammlung personenbezogener Daten" liegt vor, wenn personenbezogene Daten, die zueinander in einem inneren Zusammenhang stehen (z.b. eine Person oder einen bestimmten Bereich betreffen oder einem gemeinsamen Zweck dienen), auf Datenträgern gespeichert sind. Auch Volltextspeicherungen, die mindestens zwei personenbezogene Daten enthalten, sind "Sammlungen personenbezogener Daten". Dies kann bereits auf ein aus zwei Kürzeln bestehendes Diktatzeichen zutreffen. Das gleiche gilt für Log- und Accounting-Dateien. Um eine Datensammlung als "automatisierte Datei" qualifizieren zu können, muß sie nach mindestens einem bestimmten Merkmal ausgewertet werden können. Die Datensammlung muß also Daten zu mindestens zwei personenbezogenen Merkmalen enthalten, die entweder der Identifikation des Betroffenen dienen oder etwas über ihn aussagen. Dabei kann auch die Dateibezeichnung ein bestimmtes Merkmal mit Aussagekraft über den Betroffenen sein (z.b. "Verliehene und abgelehnte Auszeichnungen"). "Automatisiert auswertbar" ist eine Sammlung personenbezogener Daten dann, wenn die technische Möglichkeit besteht, aus dem vorhandenen Datenbestand bei Text-verarbeitung aus dem gespeicherten Dokument/den gespeicherten Dokumenten bestimmte personenbezogene Daten, also eine Teilmenge, zielgerichtet auszuwählen und damit bestimmte personenbezogene Informationen nutzen oder auch nur zur Kenntnis nehmen zu können. Dies ist z.b. auch der Fall, wenn eine Sammlung personenbezogener Daten auf einer Diskette durch ein Programm ausgewertet werden kann. Die Auswertung muß programmgesteuert (z.b. durch Funktionstasten, MAKRO-Funktionen, Menü-Auswahl oder spezielle Suchprogramme) möglich sein. Auf die konkrete Verfügbarkeit eines "Auswerteprogrammes" oder die tatsächliche Durchführung der Auswertung kommt es nicht an; die generelle Möglichkeit genügt. Zu 3 Abs. 2 Nr. 2 Neben der automatisierten Datei definiert das BDSG die nichtautomatisierte Datei als gleichartig aufgebaute Datensammlung, die nach bestimmten Merkmalen (mindestens zwei personenbezogenen Merkmalen) geordnet, umgeordnet und ausgewertet werden kann. Z.B. kann eine nach dem Merkmal "PK" geordnete Datei, die auch Daten zu den Merkmalen "Name" und "Dienstgrad" enthält, nach diesen Merkmalen umsortiert und ausgewertet werden. Dabei kommt es lediglich auf die Möglichkeit und nicht auf das tatsächliche Umordnen und Auswerten an. Es ist unerheblich, ob die Daten auf Datenträgern wie z.b. Karteikarten, Vordrucken, Druckplatten oder optischen Datenträgern gespeichert sind. Nicht hierzu gehören Listen, Mikrofilme oder einzelne Mikrofiches, da die enthaltenen Daten nicht physisch umgeordnet werden können, ohne die Datenträger zu zerstören (z.b. durch Zerschneiden). Dagegen bildet eine Sammlung von Mikrofiches wie eine Sammlung Karteikarten eine nicht automatisierte Datei, wenn sie die o.g. Voraussetzungen erfüllt. Werden diese Daten automatisiert erfaßt und danach automatisiert auswertbar, bilden sie eine automatisierte Datei.

68 Zu 3 Abs. 3 Das BDSG versteht unter einer Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht Datei ist. Amtlichen Zwecken dient die Durchführung der durch Gesetz übertragenen hoheitlichen Aufgaben. Dienstlichen Zwecken dient die Erledigung aller übrigen öffentlichen Aufgaben im fiskalischen Bereich (Personal, Haushalt, Liegenschaften usw.). Zu den Unterlagen, die eine Akte bilden, gehören auch Listen, Tabellen, Bild- und Tonträger. Sie unterliegen ebenfalls den Schutzbestimmungen des BDSG oder soweit vorhanden denen der bereichsspezifischen Spezialgesetze. Nicht zur Akte zählen Vorentwürfe und persönliche Notizen mit dienstlichem Bezug, gleichgültig, auf welchen Datenträgern (z. Papier, Diskette, Festplatte) sie erstellt wurden, solange sie nicht Bestandteil eines Vorgangs geworden sind, d.h. ihre Inhalte sich noch nicht für den Betroffenen auswirken. Für personenbezogene Daten in Vorentwürfen und persönlichen Notizen sind die 5 und 9 zu beachten. Zu 3 Abs. 4 Erheben ist jede Art des zielgerichteten Beschaffens von personenbezogenen Daten über den Betroffenen. Erheben personenbezogener Daten ist daher z.b.: Einsichtnahme, jede sonstige Kenntnisnahme, akustische Aufnahme, fotografische Aufnahme, Anforderung von Daten. Kein Erheben liegt vor, wenn die speichernde Stelle die personenbezogenen Daten ohne eigenes Zutun erhält (z.b. zufällige Beobachtungen oder aufgedrängte Informationen). Zu 3 Abs. 5 Die Verarbeitung personenbezogener Daten ist das Speichern, Verändern, Sperren und Löschen personenbezogener Daten in Dateien oder Akten sowie das Übermitteln solcher Daten. Unter Speichern versteht das BDSG das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Datenträger ist jedes Medium, auf dem Daten aufbewahrt werden können, wie z.b. Papier, Bild- und Tonträger, Mikrofiche, Lochkarte, Magnetband und Diskette. Verändern ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten, ungeachtet der dabei angewandten Verfahren. Dies kann geschehen durch Berichtigen unrichtiger Daten, Streichen von Datenbestandteilen, Hinzufügen von Datenbestandteilen und Kombinieren (Verknüpfen mit anderen Daten). Verändern ist auch das Anonymisieren personenbezogener Daten. Eine Übermittlung liegt vor, wenn personenbezogene Daten aus einer Akte oder einer Datei, gleichgültig, ob es sich um einzelne Daten oder die gesamte Akte/Datei handelt, an Personen oder Stellen außerhalb der speichernden Stelle (Dritte) bekanntgegeben werden durch Weitergabe der Daten von der speichernden Stelle an Dritte (Empfänger der Daten), z.b. * fernmündliche Auskunft,

69 * Übergabe eines Magnetbandes oder anderer beweglicher Datenträger, * Zustellung ausgefüllter Karteikarten oder Vordrucke mit personenbezogenen Daten an die neue Dienststelle/Einheit anläßlich Versetzungen oder Kommandierungen oder * Übersenden einer Akte, * Übersenden von Daten mittels Informationstechnik, Einsichtnahme oder Abruf der von der speichernden Stelle bereitgehaltenen Daten. Die Einsichtnahme bezieht sich vornehmlich auf Daten, die in Akten oder in nicht automatisiert geführten Dateien gespeichert werden. Abgerufen werden automatisiert verarbeitete Daten, die so gespeichert sind, daß Dritte mit Hilfe automatisierter Datenverarbeitungsanlagen darauf zugreifen können. Werden Daten an die Person, über die Daten gespeichert sind, (Betroffener) oder an die im Auftrag verarbeitende Stelle (z.b. ein Rechenzentrum der Bundeswehr) weitergeleitet, liegt keine Übermittlung, sondern eine Nutzung vor. Sperren ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Die Kennzeichnung ist so anzubringen, daß die Sperrung für jeden erkennbar ist. In Akten wird die Sperrung in aller Regel durch einen Vermerk, der auf die eingeschränkte Verarbeitung oder Nutzung hinweist, vorgenommen. Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten. Dies kann geschehen durch Streichen (Schwärzen), Radieren oder sonstige Beseitigung, bei Datenträgern für automatisierte Datenverarbeitung je nach Schutzbereich ( 9) durch Neuformatierung bzw. Überschreiben. Nicht gelöscht sind Daten, zu denen nur der übliche Zugriffsweg unterbrochen wurde (z.b. durch einen Löschbefehl), die noch auf Sicherungs- oder Protokollbändern stehen oder die aus Listen oder anderen Darstellungsformen zur Kenntnis genommen werden können, durch Zerstören/Vernichten des Datenträgers. Vorgaben zur Durchführung der Vernichtung enthält Anlage 3. Zu 3 Abs. 6 Nutzen ist jede Verwendung personenbezogener Daten, die keiner der Verarbeitungsphasen (siehe Abs. 5) zugeordnet werden kann. Dabei ist unerheblich, auf welchem Datenträger die Daten gespeichert sind. Jeder Zugriff der speichernden Stelle auf Daten in ihren eigenen Dateien oder Akten ist daher eine Nutzung (z.b. Nutzung eines personenbezogenen Datums als Grundlage für eine Entscheidung). Nutzen ist auch die Weitergabe personenbezogener Daten innerhalb der speichernden Stelle, die Veröffentlichung personenbezogener Daten oder die Weitergabe personenbezogener Daten an ein Rechenzentrum unter den Bedingungen des 11. Zu 3 Abs. 7

70 Anonymisieren ist das Verändern gespeicherter personenbezogener Daten mit dem Ziel, die betroffene Person nach Abschluß des Veränderungsvorganges nicht mehr oder nur noch mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft identifizieren zu können. Kann der Personenbezug auch wenn die Zusammenführung der Daten verboten ist (siehe 40 Abs. 3) ohne unverhältnismäßig großen Aufwand wiederhergestellt werden, liegt keine Anonymisierung vor. Zu 3 Abs. 8 Speichernde Stellen sind alle öffentlichen Stellen im Geschäftsbereich, die zur Durchführung ihrer Aufgaben personenbezogene Daten in Akten oder Dateien für sich selbst speichern oder durch andere Stellen (z.b. Rechenzentren in der Bundeswehr, private Auftragnehmer) für sich speichern lassen; sie sind die Stellen, die für den rechtmäßigen Umgang mit den gespeicherten Daten im Rahmen ihrer Aufgabenerfüllung und für die Ausführung des BDSG verantwortlich sind. (Zu den Aufgaben einer "Speichernden Stelle" und den Aufgaben im Rahmen der Dienst- und Fachaufsicht siehe Anlagen 6 und 7). Soweit personenbezogene Daten im Rahmen eines IT-Vorhabens in einem zentralen Datenbestand geführt werden, ist jeweils die Dienststelle "Speichernde Stelle" i.s. des BDSG, die im Rahmen ihrer rechtmäßigen Aufgabenerfüllung für die Speicherung fachlich verantwortlich ist. Sie ist in der Regel zugleich Bedarfsträger für das IT-Vorhaben. Für gesondert geführte, nicht automatisierte oder automatisiert betriebene Dateien mit personenbezogenen Daten aus einem ITVorhaben (z.b. Sammlung maschinell erstellter Ausdrucke) oder Datensammlungen auf Vordrucken, aus denen Daten in ein IT-Vorhaben eingehen, sind die für die einzelnen Dateien verantwortlichen Dienststellen "Speichernde Stelle". Zu 3 Abs. 9 Vertretungsorgane (z.b. Personalvertretungen, Schwerbehindertenvertretungen und Vertrauenspersonen i.s. des Soldatenbeteiligungsgesetzes) 11) sind i.s. des BDSG Teil der speichernden Stelle, bei der sie eingerichtet sind, und daher nicht Dritte. 11) VMBl 1997 S (Zulässigkeit der Datenverarbeitung und -nutzung) Zu 4 Abs. 1 Jede nicht ausdrücklich erlaubte Verarbeitung oder Nutzung personenbezogener Daten ist geeignet, das Persönlichkeitsrecht des Betroffenen zu beeinträchtigen. Daher ist sie nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift (siehe Anmerkung zu 1 Abs. 4) sie erlaubt oder anordnet oder wenn die Einwilligung des Betroffenen vorliegt. Der Betroffene kann nur in die Verarbeitung und Nutzung der ihn selbst betreffenden personenbezogenen Daten einwilligen. So bedarf beispielsweise die Verarbeitung und Nutzung der personenbezogenen Daten über die in einem Personalgespräch dargelegte Familiensituation der Einwilligung der erwachsenen Familienmitglieder. Die Einwilligung muß sich auf jede Phase der beabsichtigten Verarbeitung (Speicherung, Veränderung, Übermittlung und Löschung) und auf die Nutzung beziehen. Eine Blankoeinwilligung hat keine Wirkung.

71 Gesetzliche Vorgaben zur Verarbeitung oder Nutzung personenbezogener Daten können mit einer Einwilligung des Betroffenen nicht umgangen werden. Dies widerspräche dem Grundsatz der Gesetzmäßigkeit der Verwaltung. In diesen Fällen können aus der Einwilligung keine Rechtsfolgen abgeleitet werden. Die Verarbeitung oder Nutzung personenbezogener Daten ist in bestimmten Fällen ohne die Einwilligung des Betroffenen zulässig. Die Gemeinschaftsgebundenheit des Einzelnen schließt ein Recht im Sinne einer uneinschränkbaren Herrschaft über "seine" Daten aus. Dies gilt für die Daten, die nicht nur den Bereich privater Lebensgestaltung, sondern auch das soziale Verhalten betreffen und die unter diesem Blickwinkel der ausschließlichen Verfügungsmöglichkeit des Betroffenen entzogen sind. So muß es z.b. ein Betroffener, der Umgang mit VS hat, hinnehmen, daß dem Sicherheitsbeauftragten eine Gehaltspfändung zur Kenntnis gebracht wird. Diese Grundsätze gelten auch für Daten, die mehrere Personen betreffen, wie beispielsweise das Datum der Eheschließung. Eine Offenbarung solcher Daten durch den anderen Betroffenen muß der Betroffene hinnehmen. Werden im Rahmen der Entwicklung oder Erprobung von IT-Vorhaben personenbezogene Daten benötigt, so sind grundsätzlich anonymisierte Daten oder "Spieldaten" zu verwenden. "Echte" personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen benutzt werden. Zu 4 Abs. 2 Die Einwilligung des Betroffenen bedarf grundsätzlich der Schriftform. Die Einwilligung muß bereits vor der Erhebung eingeholt werden. Sie ist nur gültig, wenn der Betroffene weiß, worin er eingewilligt hat. Ihm ist daher mitzuteilen der Zweck der Speicherung, d.h. * warum die Daten verarbeitet/genutzt werden sollen und * welche Informationen benötigt werden, an wen Informationen übermittelt und wie lange sie gespeichert werden sollen. Der Hinweis in einem Fragebogen: "die Angaben sind freiwillig" reicht z.b. nicht aus. Auch mit Einwilligung des Betroffenen dürfen personenbezogene Daten nur gespeichert werden, wenn sie in einem inneren Zusammenhang zur Aufgabe der speichernden Stelle stehen und ihre Verarbeitung und Nutzung nicht durch eine gesetzliche Vorschrift ausgeschlossen ist. 5 (Datengeheimnis) Den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Bei der Datenverarbeitung beschäftigt sind alle Personen, die Zugang und/oder Zugriff zu den gespeicherten personenbezogenen Daten haben. Zu dem Personenkreis gehören im wesentlichen: jeder, der personenbezogene Daten in Akten verarbeitet oder aus Akten nutzt; das für den Betrieb von IT-Systemen zuständige Personal; das Personal, das Datenerfassungsbelege oder Datenträger erstellt oder sonst personenbezogene Daten erfaßt, auch soweit es als Personal der Fachbereiche diese

72 Arbeiten ausführt; die Personen, die nach der Geschäftsverteilung befugt sind, auf personenbezogene Daten über IT-Geräte zuzugreifen; die Personen, die personenbezogene Daten in nicht automatisiert geführten Dateien verarbeiten oder nutzen; die Personen, die nach der Geschäftsverteilung im Wege der Dienst- und Fachaufsicht und der Kontrolle (z.b. Prüfungsämter) Zugang und/oder Zugriff zu den gespeicherten personenbezogenen Daten haben. Unbefugt ist soweit das BDSG oder ein anderes Gesetz keine Ausnahme zulassen jede Verarbeitung oder Nutzung personenbezogener Daten, die zur Aufgabenerfüllung nicht erforderlich ist oder zu einem anderen Zweck erfolgt als zu dem, zu dem die Daten erhoben oder gespeichert worden sind. Ein Verstoß gegen das Datengeheimnis kann unbeschadet dienst- oder arbeitsrechtlicher Maßnahmen nach 43 strafbar sein. Für Angehörige des öffentlichen Dienstes entfällt im Hinblick auf die allgemeine Verschwiegenheitspflicht die besondere Verpflichtung auf das Datengeheimnis. Die in den Personalakten enthaltenen Verpflichtungen bleiben gültig. 6 (Unabdingbare Rechte des Betroffenen) Unabdingbare Rechte des Betroffenen gegenüber der speichernden Stelle oder einem Dritten sind das Recht auf Auskunft und auf Berichtigung, Löschung und Sperrung. Auf diese Rechte kann der Betroffene nicht verzichten. Sie können weder durch Rechtsgeschäfte noch durch Weisungen oder Befehle eingeschränkt werden. 7 (Schadensersatz durch öffentliche Stellen) Zu 7 Abs. 1 das BDSG gibt dem Betroffenen einen vom Verschulden unabhängigen Ersatzanspruch, wenn Daten automatisiert unrichtig oder unzulässig verarbeitet werden und dem Betroffenen daraus ein von ihm im Einzelfall nachzuweisender Schaden entstanden ist. Unzulässig ist die automatisierte Verarbeitung personenbezogener Daten, wenn die Voraussetzungen des 4 Abs. 1 nicht gegeben sind. Zu 7 Abs. 2

73 Neben dem Ersatz eines materiellen Schadens erkennt das BDSG dem Betroffenen auch ein Schmerzensgeld zu, wenn sein Persönlichkeitsrecht schwerwiegend verletzt wurde. 9 (Technische und organisatorische Maßnahmen) Personenbezogene Daten sind bei ihrer Verarbeitung (automatisiert oder nicht automatisiert) durch geeignete technische und organisatorische Maßnahmen zu schützen. Die Maßnahmen sind von den speichernden Stellen und von den Stellen zu treffen, die Daten im Auftrag ( 11) verarbeiten, z.b. Rechenzentren in der Bundeswehr. Der Aufwand für die Sicherheitsmaßnahmen muß in einem angemessenen Verhältnis zum Schutzzweck stehen. Art und Umfang der zur Sicherung personenbezogener Daten durchzuführenden Maßnahmen richten sich nach dem Grad der Schutzbedürftigkeit. Entsprechend ihrer Schutzbedürftigkeit sind personenbezogene Daten folgenden Schutzbereichen zuzuordnen: Schutzbereich 1 Daten, die der Identifikation dienen (z. B. PK, Name, Adresse, Rufnummer, akademischer Titel) oder vergleichbare Daten (z.b. Berufs- oder Dienstbezeichnung). Schutzbereich 2 Daten, die dem allgemeinen oder einem besonderen Amtsgeheimnis unterliegen. Einem besonderen Amtsgeheimnis unterliegen z.b. Personalaktendaten, Daten in Sicherheitsakten, Daten in Disziplinarvorgängen, Daten über religiöse und politische Anschauungen, Auswertungsergebnisse ärztlicher oder psychologischer Tests (z.b.tauglichkeitsgrad, Grad oder Art der Behinderung). Schutzbereich 3 Daten, die einem Berufsgeheimnis (z.b. psychologische Gutachten, medizinische Testdaten) unterliegen oder deren Sensitivität gleichwertig ist, sofern die Daten nicht nur der Identifikation dienen und deswegen geringere Schutzmaßnahmen ausreichend sind. Zuordnung Verantwortlich für die Zuordnung sind bei Vorhaben die Bedarfsträger. Die Zuordnung wird bei Vorhaben auf Ämterebene vom Bundesamt für Wehrverwaltung (BAWV), bei Vorhaben im BMVg vom Referat Org 2 im Zuge der datenschutzrechtlichen Prüfung (Rechtmäßigkeit, Notwendigkeit der einzelnen personenbezogenen Daten) geprüft, außerhalb von Vorhaben die speichernden Stellen. Die Zuordnung wird von der für Datenschutz zuständigen Stelle im Zuge ihrer Verantwortung für die Rechtmäßigkeit, Notwendigkeit und Zweckbindung (siehe 1 Abs. 1) der verarbeiteten oder genutzten personenbezogenen Daten geprüft. Maßnahmen Für personenbezogene Daten, die automatisiert verarbeitet oder genutzt werden, sind die Sicherheitsmaßnahmen gemäß 9 vom IT- Sicherheitsbeauftragten nach den Vorschriften der IT- Sicherheit im IT-Sicherheitskonzept

74 des Vorhabens oder der Dienststelle festzulegen. Die Vorschriften der IT-Sicherheit gelten auch für das Berichtigen, Speichern und Löschen personenbezogener Daten ( 20 und 35), die automatisiert verarbeitet oder genutzt werden. Dabei sind die Maßnahmen der Anlage 4a zu beachten. Für personenbezogene Daten, die nicht automatisiert verarbeitet werden, legt die bei der speichernden Stelle für den Datenschutz zuständige Stelle die Sicherheitsmaßnahmen gemäß 9 nach Maßgabe der Anlage 4b schriftlich fest. Freigabe zur Nutzung Für das Verfahren der Prüfung und Freigabe gelten die Vorschriften der IT-Sicherheit. Die Verantwortung liegt beim Vorhabenmanager und bei den Dienststellenleitern der jeweils nutzenden Dienststellen. Bearbeiten von personenbezogenen Daten unterschiedlicher Schutzbereiche Enthalten Dateien, Akten und Vorentwürfe/Notizen personenbezogene Daten unterschiedlicher Schutzbereiche so sind bei automatisierter Verarbeitung der personenbezogenen Daten die unterschiedlichen Schutzbereiche technisch so voneinander zu trennen, daß ein unbefugter Zugriff nicht möglich ist. Wird dies durch eine Verschlüsselung erreicht, genügen für die organisatorischen und materiellen IT- Sicherheitsmaßnahmen diejenigen des Schutzbereichs 1. Die übrigen Forderungen der Anlage 4 a bleiben unberührt. bei nicht-automatisierter Verarbeitung die Sicherheitsmaßnahmen nach den personenbezogenen Daten des höchsten Schutzbereichs auszurichten, soweit eine getrennte Aufbewahrung nicht möglich ist. Nutzung privater Hard- und Software zu dienstlichen Zwecken Die Nutzung privater Hard- und Software zur Verarbeitung personenbezogener Daten ist nur unter den Voraussetzungen des Erlasses vom 6. April 1995 Org 8 Az (VMBl S. 190) zulässig. Individualprogrammierung Individualprogrammierung von Programmen zur Verarbeitung personenbezogener Daten ist bis zum Erlaß der "Richtlinie für die IT-Anwendungsrealisierung durch Nutzer" verboten. Verschlüsselung Soweit personenbezogene Daten bei der Verarbeitung mittels IT zu verschlüsseln sind, können für den Geschäftsbereich des BMVg zugelassene handelsübliche Verschlüsselungsprodukte eingesetzt werden. 10 (Einrichtung automatisierter Abrufverfahren) Zu 10 Abs 1

75 Diese Vorschrift legt die Voraussetzungen fest, unter denen die Einrichtung von online-verfahren, d.h. automatisierten Verfahren, bei denen personenbezogene Daten durch Dritte abgerufen werden können, zulässig ist. Keine Abrufverfahren i.s. von 10 sind Verfahren, die Abrufe nur innerhalb der speichernden Stelle ermöglichen. Die Entwicklung/Einführung eines online-verfahrens, mit dem personenbezogene Daten durch Abruf übermittelt werden können, ist zulässig, wenn dies durch die Art der Aufgabenstellung unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen gerechtfertigt ist. Soweit nicht eine gesetzliche Vorschrift den Abruf vorschreibt oder zuläßt, ist die dienstliche Notwendigkeit mit den "schutzwürdigen Interessen" des Betroffenen abzuwägen. Im Ergebnis kann sich eine Beeinträchtigung des Persönlichkeitsrechts durch den Umgang mit seinen Daten verbieten. Dabei ist insbesondere der Umfang der bereitzustellenden personenbezogenen Daten nach den in den 13, 14 und 28 Abs. 1 aufgestellten Grundsätzen zu prüfen. Der Begriff "schutzwürdiges Interesse" umfaßt die Persönlichkeitssphäre im weitesten Sinne. Er schließt auch die Privatsphäre, die Geheimsphäre und die Intimsphäre ein. Die Genehmigung zur Einrichtung eines Abrufverfahrens enthält nicht eine generelle Genehmigung aller zukünftigen Abrufe. Inwieweit der einzelne Abruf von Daten zulässig ist, muß soweit vorhanden nach bereichsspezifischen Vorschriften (z.b. 90g Abs. 1 Satz 3 BBG, 29 Abs. 3 Satz 7 SG), sonst nach den Vorschriften der 15, 16, 17 und 28 Abs. 1 und Abs. 2 Nr. 1 beurteilt werden. Zu 10 Abs. 2 Die Voraussetzungen für die Zulässigkeit eines automatisierten Abrufverfahrens prüft für IT- Vorhaben, deren Einführung auf Ämterebene entschieden wird, das BAWV, für IT-Vorhaben, bei denen die Entscheidung im BMVg verbleibt, das Referat Org 2. Der verantwortliche Bedarfsträger für Vorhaben, deren Einführung auf Ämterebene entschieden wird, übersendet das Phasendokument, mit dem der Phasenvorlauf abgeschlossen wird (in der Regel die Organisatorisch-Technische Forderung OTF ), zusammen mit dem Vordruck Anlage 5 an das BAWV. Die Inbetriebnahme des Abrufverfahrens ist dem BAWV mit dem aktualisierten Vordruck Anlage 5 mitzuteilen. Der Vordruck wird auch als ONLINE-Formular zur Verfügung gestellt. Für IT-Vorhaben, bei denen die Entscheidung im BMVg liegt, ist das unter "Schriftverkehr und Formulare" zur Verfügung stehende ONLINE-Formular "Abrufverfahren" zu verwenden. Zu 10 Abs. 3 Das BAWV erstellt für jedes in Betrieb genommene Abrufverfahren eine "Mitteilung über die Einrichtung eines automatisiertenabrufverfahrens" mit den in 10 Abs. 2 geforderten Festlegungenund leitet sie an den BfD weiter. Die im Geschäftsbereich eingerichteten Verfahren, mit denen personenbezogene Daten durch Abruf übermittelt werden können, sind vom BAWV in eine Übersicht aufzunehmen, die laufend aktualisiert den Sammelstellen (siehe Anlage 8, Nr. 502) und BMVg (Org 2) im Rahmen des DATAV zur Verfügung zu stellen ist. Zu 10 Abs. 4

76 Die Verantwortung für die rechtliche Zulässigkeit des einzelnen Abrufs (Übermittlung) trägt der Abrufende. Die speichernde Stelle (siehe zu 3 Abs. 8) prüft die Zulässigkeit eines Abrufes nur, wenn ihr Hinweise oder Verdachtsmomente über Mißbrauch oder Unzulässigkeit des Abrufes vorliegen. Dazu sind in IT-Vorhaben Protokollierungs- und Auswerteverfahren einzurichten, durch die zumindest stichprobenweise festgestellt werden kann, ob und welche Einzeldaten von wem abgerufen wurden. Der für den Datenschutz verantwortlichen Stelle sind die Protokolle auf Anforderung zuzuleiten. 11 (Verarbeitung oder Nutzung personenbezogener Daten im Auftrag) Zu 11 Abs. 1 und 2 11 legt die Bedingungen fest, unter denen personenbezogene Daten an einen Auftragnehmer zur Verarbeitung gegeben werden dürfen. Auftragnehmer ist jede Stelle außerhalb der speichernden Stelle, die für diese personenbezogene Daten verarbeitet oder nutzt. Obwohl die personenbezogenen Daten an einen Dritten weitergegeben werden (z.b. zur Verarbeitung von Daten in Rechenzentren), liegt hierin keine Übermittlung i.s. des BDSG; die jeweiligen Übermittlungsvorschriften 15, 16, 17 und 28) gelten daher nicht. Die Verantwortung für die Zulässigkeit der Verarbeitung der personenbezogenen Daten und deren Nutzung sowie für die Einhaltung der Sicherungsmaßnahmen bleibt bei der speichernden Stelle (Auftraggeber). Sie ist gegenüber dem Betroffenen auskunfts-pflichtig.aufträge zur Verarbeitung personenbezogener Daten an Rechenzentren in der Bundeswehr sind schriftlich zu erteilen. Dabei ist mitzuteilen, welchem Schutzbereich die zu verarbeitenden oderzu nutzenden personenbezogenen Daten zugeordnet sind. Das Rechenzentrum bestätigt dem Auftraggeber schriftlich, daß die erforderlichen IT- Sicherheitsmaßnahmen gewährleistet werden. Die Einhaltung der Maßnahmen wird vom IT- Sicherheitsbeauftragten des Rechenzentrums kontrolliert. Aufträge zur Verarbeitung oder Nutzung personenbezogener Daten an Stellen außerhalb der Bundeswehr sind vertraglich zu vereinbaren. In den Vertrag sind aufzunehmen: der Umfang der Datenverarbeitung oder Nutzung, die Zweckbindung, die nach dem Schutzbereich der personenbezogenen Daten erforderlichen Sicherheitsmaßnahmen (siehe Anlage 4) und die Zulässigkeit der Kontrolle der Sicherheitsmaßnahmen durch einen Vertreter des Auftraggebers (IT-Sicherheitsbeauftragter des Vorhabens/der speichernden Stelle). Hinsichtlich der Zweckbindung personenbezogener Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, siehe 39. Die Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen ist in 40 geregelt. Hinsichtlich der Beauftragung zur Vernichtung personenbezogener Daten siehe Anlage 3. Zweiter Abschnitt

77 Datenverarbeitung der öffentlichen Stellen 12 (Anwendungsbereich) Zu 12 Abs. 4 Die Verarbeitung und die Nutzung personenbezogener Daten beziehen sich auf dienst- oder arbeitsrechtliche Rechtsverhältnisse, wenn sie entweder den Bestand oder den Inhalt dieser Rechtsbeziehung zum Gegenstand haben oder Sachverhalte darstellen, die Konsequenzen für die Rechte und Pflichten im Rahmen des Beschäftigungsverhältnisses haben. Hierzu gehören neben den Personalaktendaten z.b. personenbezogene Daten, die im Rahmen der Aufgaben der Personalbetreuung (z.b. Vertrauensarzt/Personalarzt, Wohnungsfürsorge) entstehen und der Aufgaben, die aus dem Beschäftigungsverhältnis folgen (z.b. Abrechnung privater Telefongespräche, Parkplatzdateien) und in diesem Zusammenhang verarbeitet oder genutzt werden. Seit die bereichsspezifischen Personalaktenregelungen für Beamte ( 90 ff BBG), Soldaten und ehemalige Soldaten ( 29 SG) und ungediente Wehrpflichtige ( 25 WPflG) sowie das Sicherheitsüberprüfungsgesetz ( 11, 12 und SÜG) erlassen wurden, hat Absatz 4 viel von seiner ursprünglichen Bedeutung verloren. Für die Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Dienstverhältnisse der Beamten und Soldaten sowie für zukünftige Dienstverhältnisse der ungedienten Wehrpflichtigen gilt 28 Abs. 1 und 2 Nr. 1 über 12 Abs. 4 nur noch, soweit die verarbeiteten oder genutzten personenbezogenen Daten keine Personalaktendaten sind. Für die Personalaktendaten der Beamten, Soldaten, ehemaligen Soldaten und ungedienten Wehrpflichtigen gelten die bereichsspezifischen Regelungen. 35 BDSG gilt nur, soweit keine dieser Vorschrift entsprechende Regelung getroffen wurde (siehe auch zu 1 Abs. 4 der Durchführungsbestimmungen). Absatz 4 gilt aber in vollem Umfang für frühere und bestehende Arbeits-/Ausbildungsverhältnisse und für zukünftige dienst- und arbeitsrechtliche Rechtsverhältnisse bei Bewerbungen. Für personenbezogene Daten Dritter, deren Daten nur deshalb verarbeitet oder genutzt werden, weil sich ihre Rechte aus einem Dienst-/Beschäftigungsverhältnis eines Angehörigen herleiten, gilt der Zweite Abschnitt (z. B. Patientenakten Angehöriger beim Vertrauensarzt/Personalarzt, Beihilfeakten Angehöriger). Die Verarbeitung und Nutzung personenbezogener Daten, die nach 90 Abs. 4 BBG, 29 Abs. 2 SG und 25 Abs. 2 WPflG erhoben wurden, und bei denen es sich nicht um Personalaktendaten handelt, richten sich nach 28 Abs. 1 Nr. 2 und Abs. 2 Nr (Datenerhebung)

78 Der Anwendungsbereich des 13 als umfassende Erhebungsvorschriftfür die personenbezogenen Daten, die eine öffentliche Stelle zur Aufgabenerfüllung benötigt, ist durch die bereichsspezifischen Personalaktenregelungen eingeschränkt worden. Er gilt nur noch für Erhebungen nach dem zweiten Abschnitt und für personenbezogene Daten von Arbeitnehmern und Bewerbern, die für ein Arbeitsverhältnis erhoben werden. Für Beamten- und Soldatenbewerber, Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gelten die bereichsspezifischen Erhebungsvorschriften ( 90 Abs. 4 BBG, 29 Abs. 2 SG, 25 Abs. 2 WPflG). Diese enthalten nicht nur die Rechtsgrundlagen über die Erhebung von Personalaktendaten, sondern regeln abschließend, welche personenbezogenen Daten vom Dienstherrn im Rahmen des Dienstverhältnisses erhoben werden dürfen. Die bereichsspezifischen Gesetze enthalten jedoch keine Regelungen für das Verfahren der Erhebung. Hierzu sind die Verfahrensgrundsätze der Absätze 2 4 anzuwenden. Zu 13 Abs. 1 personenbezogene Daten dürfen nur erhoben werden, wenn die erhebende Stelle für die Erfüllung dieser Aufgaben örtlich, sachlich und funktionell (ist diese Sachaufgabe dieser Verwaltungsebene zugewiesen?) zuständig ist. Die Zuständigkeit der erhebenden Stellen ergibt sich aus der STAN oder aus den durch Organisationsweisung zugewiesenen Aufgaben, gesetzlich übertragenen Aufgaben (z.b. MADG, WPflG, SÜG) oder Aufgaben des BMVg, die unmittelbar aus dem Verfassungsauftrag (Artikel 87 a und b Grundgesetz) hergeleitet werden können. Personenbezogene Daten dürfen ohne Einwilligung des Betroffenen nur erhoben werden, soweit dies zur Aufgabenerfüllung notwendig ist. Auch mit Einwilligung dürfen nur die personenbezogenen Daten erhoben werden, die in einem inneren Zusammenhang zur Aufgabe der erhebenden Stelle stehen und deren Erhebung nicht durch eine gesetzliche Vorschrift ausgeschlossen ist. Zu 13 Abs. 2 Personenbezogene Daten sind grundsätzlich beim Betroffenen zu erheben, d.h. bei demjenigen, dessen Daten zur Aufgabenerfüllungbenötigt werden. Ohne seine Mitwirkung dürfen personenbezogene Daten nur erhoben werden, wenn eine Rechtsvorschrift dies fordert (z.b. die Daten, die von den Meldebehörden an die Kreiswehrersatzämter übermittelt oder die im Zuge einer Sicherheitsüberprüfung erhoben werden) oder zwingend voraussetzt. Liegt keine Rechtsvorschrift vor, nach der personenbezogene Daten zu erheben sind, so können personenbezogene Daten auch unter den Bedingungen des Absatzes 2 Nr. 2 Buchstabe a und b ohne Mitwirkung des Betroffenen bei Dritten erhoben werden, wenn keine Anhaltspunkte dafür vorliegen, daß dessen schutzwürdige Interessen überwiegen. Hier ist eine Interessenabwägung

79 vorzunehmen, die allerdings summarisch (z.b. nach Aktenlage) erfolgen kann. Nach Absatz 2 Nr. 2 Buchstabe b dürfen personenbezogene Daten ohne Mitwirkung des Betroffenen erhoben werden, wenn die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Bei der Beurteilung des Aufwandes ist das Interesse der erhebenden Stelle (einschließlich des Interesses der Öffentlichkeit) mit den schutzwürdigen Interessen des Betroffenen an der Nichterhebung seiner personenbezogenen Daten bei einem Dritten abzuwägen. Hierbei sind auch die Kosten (finanzielle Mittel, Personal- und Zeitaufwand) als Entscheidungsfaktor zu berücksichtigen. Zu 13 Abs. 3 Dem Betroffenen ist der Erhebungszweck bekanntzugeben, bevor seine personenbezogenen Daten bei ihm erhoben werden. Darüber hinaus gilt: Werden die personenbezogenen Daten aufgrund einer Rechtsvorschrift erhoben, die den Betroffenen zur Auskunft verpflichtet, so ist er über den Inhalt der Vorschrift aufzuklären (z.b. Auskünfte gegenüber den Wehrersatzbehörden, Mitwirkungspflicht bei Sicherheitsüberprüfungen). Ihm sind auf Verlangen die Folgen einer Auskunftsverweigerung zu erläutern. Sind die Angaben Voraussetzung für die Erlangung eines Rechtsvorteils (z.b. Beihilfe, Kinderzuschläge), ist der Betroffene hierauf hinzuweisen. In allen sonstigen Fällen ist der Betroffene auf die Freiwilligkeit seiner Angaben nach Maßgabe der Erläuterung zu 4 Abs. 2 hinzuweisen. Zu 13 Abs. 4 Personenbezogene Daten können unter den Voraussetzungen der Absätze 1 und 2 auch bei einer nicht-öffentlichen Stelle erhoben werden. Nicht-öffentliche Stelle kann auch eine Person sein. 14 (Datenspeicherung, -veränderung und -nutzung) Zu 14 Abs. 1 Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur Aufgabenerfüllung (siehe zu 13 Abs. 1) der speichernden Stelle erforderlich ist und für die gleichen Zwecke erfolgt, zu denen diese Daten erhoben worden sind (Zweckbindung). So dürfen personenbezogene Daten, die zulässig zur Feststellung eines Verstoßes gegen die Parkordnung gespeichert werden, zwar in der eingeleiteten Untersuchung genutzt werden, ohne Einwilligung aber nicht bei der Untersuchung einer unerlaubten Abwesenheit. Personenbezogene Daten, die nicht erhoben worden sind (z.b. Daten, die aus der Bearbeitung entstanden sind oder die ohne Anforderung übermittelt wurden), dürfen nur für den Zweck geändert oder genutzt werden, für den sie gespeichert worden sind. Zu 14 Abs. 2

80 Eine Änderung der Zweckbestimmung ist nur unter den in den Nummern 1 9 aufgeführten Voraussetzungen zulässig. Dabei kann es sich nur um andere Zwecke innerhalb der speichernden Stelle und nur um solche personenbezogenen Daten handeln, die bereits bei ihr in Dateien oder in Akten gespeichert sind. Innerhalb der speichernden Stelle dürfen die personenbezogenen Daten nur von denjenigen Organisationseinheiten und nur in dem Umfang genutzt werden, die diese zur Erfüllung ihrer sich aus der Geschäftsverteilung ergebenden Aufgaben benötigen. Anderenfalls ist die Weitergabe personenbezogener Daten unzulässig. Die Weitergabe ist auch unzulässig, wenn die personenbezogenen Daten einem besonderen Geheimnis unterliegen (medizinische Daten, Daten der Sozialarbeiter) und die anfordernde Organisationseinheit nicht auf das besondere Geheimnis verpflichtet ist. Dies gilt nicht für die Ergebnisse z.b. einer medizinischen Untersuchung, wenn die Personalverwaltung damit eine Entscheidung begründen muß. Nach Nummer 3 ist das Speichern, Verändern oder Nutzen zulässig, "wenn offensichtlich ist, daß es im Interesse des Betroffenen liegt und kein Grund zu der Annahme besteht, daß er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde." Diese Voraussetzung wird nur gegeben sein, wenn die Zweckänderung dem Betroffenen ausschließlich Vorteile bringt. Zu 14 Abs. 3 Diese Vorschrift unterstellt die Beibehaltung der ursprünglichen Zweckbestimmung, wenn personenbezogene Daten zum Zweck der Aufsicht, Kontrolle oder Prüfung übermittelt oder zur Nutzung weitergegeben werden. Es muß nicht geprüft werden, ob einer der Ausnahmetatbestände des Absatzes 2 vorliegt. Absatz 3 stellt sicher, daß die für die öffentliche Verwaltung unentbehrlichen Aufsichts-, Kontrollund Prüfrechte uneingeschränkt wahrgenommen werden können, wobei die Rechnungsprüfung*) auch die Vorprüfung nach 100 Bundeshaushaltsordnung umfaßt. Dabei ist es unerheblich, aufgrund welcher Rechtsvorschrift die personenbezogenen Daten gespeichert wurden. Die Dienst- und Fachaufsicht obliegt dem Dienststellenleiter und der jeweils übergeordneten Dienststelle. Soweit die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis unterliegen, müssen die Inhaber der Dienst- und Fachaufsicht auf das Berufs- oder besondere Amtsgeheimnis verpflichtet sein. Die Speicherung oder Nutzung der personenbezogenen Daten durch die speichernde Stelle zu Ausbildungs- und Prüfzwecken ist jedoch nur zulässig, soweit nicht überwiegende Interessen des Betroffenen entgegenstehen. Sie sind zweckmäßigerweise in jedem Fall zu anonymisieren (siehe zu 3 Abs. 7). Zu 14 Abs. 4 Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle (z.b. Daten eines Petenten im Rahmen einer datenschutzrechtlichen Prüfung) und Datensicherung oder Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage (z.b. Sicherungskopien, Paßwortdateien, Listen mit zugangsberechtigten Personen zu Sicherheitsbereichen) gespeichert werden, dürfen nur für diesen Zweck verwendet werden. Dies gilt auch für personenbezogene Daten, die aufgrund einer anderen Rechtsvorschrift gespeichert wurden. Die

81 Datenträger sind entsprechend zu kennzeichnen. 15 (Datenübermittlung an öffentliche Stellen) Zu 15 Abs. 1 Die Übermittlung personenbezogener Daten an öffentliche Stellen (siehe zu 2) ist zulässig, wenn folgende Voraussetzungen vorliegen: 1. die Übermittlung jedes einzelnen Datums muß für die Aufgabenerfüllung der übermittelnden oder der empfangenden Stelle erforderlich sein, d.h. die Aufgabe kann ohne Kenntnis dieser Daten nicht oder zumindest nicht sachgerecht erfüllt werden und 2. die Nutzung durch den Empfänger hält sich entweder im Rahmen der Zweckbindung gemäß 14 Absatz 1, 3 und 4 oder eine Zweckänderung nach 14 Abs. 2 ist zulässig. Zu 15 Abs. 4 Absatz 4 gilt für solche personenbezogenen Daten, auf die nicht nach 12 Abs. 4 die Vorschrift des 28 Abs. 2 Nr. 1 anzuwenden ist (z.b. Ehefrau und Kinder eines Soldaten). Übermittlungsempfänger kann nur eine öffentlich-rechtliche Religionsgemeinschaft sein, die ausreichende Datenschutzmaßnahmen nachweist (z.b. 5, 6, 9 u. 28). Öffentlich-rechtlich sind alle Religionsgemeinschaften, die Körperschaften des öffentlichen Rechts sind (z.b. die christlichen Kirchen). 16 (Datenübermittlung an nicht-öffentliche Stellen) Zu 16 Abs. 1 Nr. 2 Nach Absatz 1 Nr. 2 ist die Übermittlung zulässig, wenn 1. der Empfänger ein berechtigtes Interesse glaubhaft darlegt und 2. der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. Ein berechtigtes Interesse ist gegeben, wenn der Empfänger ein objektiv nachvollziehbares Interesse an diesen Daten hat. Das Interesse kann ideeller oder wirtschaftlicher Natur sein; es muß sich im Rahmen der Rechtsordnung bewegen. Der Empfänger braucht sein berechtigtes Interesse nicht zu beweisen. Er muß es nur glaubhaft darlegen, d.h. es muß eine überwiegende Wahrscheinlichkeit für die Richtigkeit des von ihm behaupteten Interesses sprechen. Für die glaubhafte Darlegung reicht daher z. B. die Vorlage einer unbeglaubigten Kopie, eine Bestätigung durch einen Dritten oder eine Bezugnahme auf Akten der speichernden Stelle aus. Hinsichtlich des schutzwürdigen Interesses siehe zu 10 Abs. 1. Zu 16 Abs. 3

82 Sofern nicht offensichtlich ist, daß beim Betroffenen kein schutzwürdiges Interesse (siehe zu 10 Abs. 1) besteht, hat die speichernde Stelle ihn vor der Übermittlung nach Absatz 1 Nr. 2 zu befragen. Bei einer Übermittlung nach Absatz 1 Nr. 1 sind die Zulässigkeitsvoraussetzungen gesetzlich näher beschrieben, wobei auf die Erfüllung öffentlicher Aufgaben abgestellt wird. Der Betroffene muß von vornherein mit einer Übermittlung rechnen. Anders ist eine Übermittlung nach Absatz 1 Nr. 2 zu sehen. In diesen Fällen muß der Betroffene nicht von vornherein mit einer Übermittlung seiner Daten an nicht-öffentliche Stellen rechnen. Die Unterrichtungspflicht entfällt, wenn der Betroffene auf andere Weise von der Übermittlung Kenntnis erlangt oder die öffentliche Sicherheit durch die Unterrichtung gefährdet würde. Zu 16 Abs. 4 Die übermittelnde Stelle hat den Empfänger von Amts wegen darauf hinzuweisen, daß die übermittelten Daten nur für den Zweck verarbeitet oder genutzt werden dürfen, zu dem sie ihm übermittelt werden. Eine Zweckänderung ist aber zulässig, wenn 1. eine Übermittlung auch zu dem geänderten Zweck zulässig wäre und 2. die übermittelnde Stelle der Zweckänderung zustimmt. 18 (Durchführung des Datenschutzes in der Bundesverwaltung) Zu 18 Abs. 1 Das Bundesministerium der Verteidigung hat die Ausführung des BDSG und anderer Rechtsvorschriften zum Datenschutz in seinem Geschäftsbereich sicherzustellen. Dazu wurden die Aufgaben des Datenschutzes (siehe Anlage 6 ) grundsätzlich im militärischen Bereich dem Führungsgrundgebiet 1 und bei den zivilen Dienststellen den Organisationseinheiten für zentrale Aufgaben zugeordnet 12). Die Aufgaben sind in die entsprechenden Stellen- bzw. Dienstpostenbeschreibungen aufzunehmen; behördliche/interne Datenschutzbeauftragte sind nicht zu bestellen. Daneben haben alle Dienstposteninhaber im Geschäftsbereich, die bei der Durchführung ihrer Aufgaben gleich welcher Art mit personenbezogenen Daten umgehen, die Vorschriften des BDSG sowie bereichsspezifische datenschutzrechtliche Rechtsvorschriften zu beachten. Die Ausübung der Dienst- und Fachaufsicht ist durch die Kommandostruktur und den hierarchischen Behördenaufbau bestimmt. Hinweise zur Ausübung der Dienst- und Fachaufsicht enthält Anlage 7. Zu 18 Abs. 2 Satz 1

83 Alle Dienststellen/Einheiten im Geschäftsbereich haben ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen zu führen. Das "IT-Bestandsverzeichnis BMVg" (DV-Ident-Nr. 4340) erfüllt die gesetzlichen Forderungen. Die Anlagen, mit denen personenbezogene Daten verarbeitet werden, sind in dem Gesamtverzeichnis zu kennzeichnen. Der für den Datenschutz verantwortlichen Stelle werden die erforderlichen Auswertungen aus dem IT-Bestandsverzeichnis vom IT-Sicherheitsbeauftragten der Dienststelle zur Verfügung gestellt. Zu 18 Abs. 2 Satz 2 Der Gesetzgeber verlangt, daß alle öffentlichen Stellen für die von ihnen geführten Dateien nach 3 Abs. 2 wichtige datenschutzrechtlich relevante Sachverhalte schriftlich festlegen und damit eine präzise Informationsgrundlage schaffen, mit der systematisch geprüft werden kann, ob der Umgang mit personenbezogenen Daten den datenschutzrechtlichen Anforderungen entspricht. Sie ist wichtiges Arbeitsmittel für diejenigen, die in der Dienststelle dafür verantwortlich sind, daß die gesetzlichen Bestimmungen zum Schutz personenbezogener Daten im täglichen Dienstbetrieb eingehalten werden. Erfordert die rechtmäßige Aufgabenerfüllung die Verarbeitung personenbezogener Daten, hat die für die fachliche Regelung (Gesetzesvorhaben, Vorschrift, Erlaß, Befehl oder sonstige Weisung) federführende (weisunggebende) Stelle die Form der Datensammlung mit den datenschutzrechtlich relevanten Vorgaben festzulegen: Akte (Sammlung von Schriftstücken, Listen) oder Datei (automatisiert betrieben/nicht-automatisiert geführt). Wird festgelegt, daß die personenbezogenen Daten in einer Akte zu sammeln sind, muß die Regelung auch die datenschutzrechtlichen Bestimmungen, z.b. darüber umfassen, welche Daten notwendig sind (Datenumfang), zu welchem Zweck sie erforderlich sind (Verwendungszweck) und wie lange sie aufzubewahren sind (Aufbewahrungsfrist). Erfordert die ordnungsgemäße Durchführung der Aufgaben die Speicherung personenbezogener Daten in automatisiert betriebenen Dateien (z.b. im Rahmen eines IT-Vorhabens, auf einem APC oder elektronischen Bürogeräten) oder nicht-automatisiert geführten Dateien (z.b. Führung von Nachweisen in Karteiform oder Sammlung von Vordruck-Durchschriften), hat die weisunggebende Stelle festzulegen: die Bezeichnung (Name) und die Art (automatisiert/nicht automatisiert) der zu führenden Datei,

84 die Zweckbestimmung (zugrundeliegende Aufgabe), die Art der gespeicherten Daten (Merkmale), den Personenkreis, von dem Daten gespeichert werden, die Art der regelmäßig zu übermittelnden Daten und deren Empfänger, Regelfristen für die Löschung13) der Daten sowie die zur Datei zugriffsberechtigten Personen oder Personengruppen. Ist zur Erfüllung einer rechtmäßig übertragenen Aufgabe das Speichern personenbezogener Daten in einer Datei erforderlich, besteht hierzu jedoch keine konkrete Weisung einer vorgesetzten Dienststelle oder werden personenbezogene Daten mit Einwilligung des Betroffenen gespeichert, hat die speichernde Stelle die geforderten Angaben festzulegen. Während die o.a. Angaben für automatisierte Dateien im Rahmen eines IT-Vorhabens regelmäßig in die Verfahrensdokumentation aufzunehmen sind, ist es zweckmäßig, für einzeln betriebene automatisierte Dateien Satzübersichten/Bildschirmmasken und für nicht automatisiert geführte Dateien Vordruck-Muster vorzugeben und zu dokumentieren. Der Entwurf der beabsichtigten Regelung ist der für die Durchführung des Datenschutzes in der Dienststelle verantwortlichen Stelle zur Mitprüfung zuzuleiten. Soll die Regelung von einer dem BMVg nachgeordneten Behörde für den Geschäftsbereich des BMVg oder einzelne OrgBereiche herausgegeben werden, ist sie dem Bundesamt für Wehrverwaltung (BAWV) zur datenschutzrechtlichen Mitprüfung zuzuleiten. Im BMVg führt das Referat Org 2 die datenschutzrechtliche Prüfung durch. Das gleiche gilt für die Erstellung von Vordrucken, auf denen personenbezogene Daten gespeichert werden sollen. Fragebogen, mit denen im Geschäftsbereich des BMVg personenbezogene Daten nach 90 Abs. 4 BBG, 29 Abs. 2 SG und 25 Abs. 2 WPflG erhoben werden sollen, sind dem BMVg zur Genehmigung vorzulegen. Die speichernden Stellen haben eine Übersicht ihrer Dateien nach 3 Abs. 2 mit den in Absatz 2 Satz 2 geforderten Angaben zu führen. Dies gilt nicht, wenn 18 aufgrund anderer gesetzlicher Bestimmungen (z.b. nach 13 des MAD-Gesetzes für die fachspezifischen Dateien des MAD) nicht anzuwenden ist. Die speichernden Stellen werden dabei durch das "Dateienerfassungs- und Auswerteverfahren zur Ausführung des BDSG (DATAV)" unterstützt. Die Regelungen zur Erfassung der im Geschäftsbereich geführten Dateien nach 3 Absatz 2 enthält die Anlage 8. Zu 18 Abs. 2 Satz 3

85 Zweck dieser Vorschrift ist es, Manipulationen an den Programmen, die der Verarbeitung personenbezogener Daten dienen, zu verhindern. Diese Regelung schließt auch die Verpflichtung ein, die eingesetzten Programme zu dokumentieren, d.h. zu erläutern und zu beschreiben. Die Dokumentation, die bei IT-Vorhaben Bestandteil des IT-Konzeptes ist, muß so detailliert sein, daß eine Überwachung der die IT-Sicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) herstellenden und gewährleistenden Funktionen möglich ist. Zuständig für diese Überwachung ist bei IT-Vorhaben der IT-Sicherheitsbeauftragte des Vorhabens/der Nutzung, bei Dienststellen der IT- Sicherheitsbeauftragte. Neben den für ihn vorgeschriebenen Meldungen hat er auch die für den Datenschutz verantwortliche Stelle der Dienststelle und bei IT-Vorhaben das für Datenschutz verantwortliche Referat des BAWV über festgestellte oder versuchte Manipulationen zu unterrichten. Zu 18 Abs. 3 Erlass Dateien, die nur vorübergehend vorgehalten werden und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden, sind nicht zum DATAV zu melden. Diese Aussage bezieht sich auf die Datei und nicht auf ihren Inhalt oder einzelne Datenfelder. Inhaltliche Veränderungen oder Löschungen einzelner Daten oder Datenfelder (Merkmale) sind für diese Ausnahmeregelung unerheblich. Für Dateien, die nur vorübergehend vorgehalten werden, gelten unbeschadet der Kurzfristigkeit 5 (Datengeheimnis) und 9 (Organisatorische und technische Maßnahmen). 19 (Auskunft an den Betroffenen) Die bereichsspezifischen Gesetze enthalten in der Regel auch Vorschriften über das Auskunftsrecht/Einsichtsrecht (siehe z.b. 90c Abs. 1 und 4 BBG, 29 Abs. 7 und 8 SG, 25 Abs. 6 WPflG, 23 SÜG). Mit diesen Bestimmungen werden abschließende bereichsspezifische Regelungen getroffen, die als Spezialnormen dem BDSG vorgehen. Aus dem BDSG kann nur dann ein Auskunfts-/Einsichtsanspruch hergeleitet werden, wenn die Voraussetzungen für die Ausübung dieses Rechts nicht in bereichsspezifischen Regelungen enthalten sind. In jedem Fall gelten auch neben den bereichsspezifischen Regelungen die Rechtsgedanken der Absätze 1 6, z.b. im Falle eines "pauschalen" Antrags auf "Einsichtnahme in alle Akten, die meine personenbezogenen Daten enthalten". Die Auskunft ist unentgeltlich zu erteilen (Absatz 7). Dies gilt auch für bereichsspezifische Rechtsvorschriften, soweit diese keine anderslautende Regelung enthalten. Zu 19 Abs. 1 Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, und zwar einschließlich der Angaben über die Herkunft sowie etwaige Empfänger der Daten sofern diese gespeichert sind und 2. den Zweck der Speicherung. Der Anspruch auf Auskunft erstreckt sich auf alle personenbezogenen Daten des Betroffenen, die die speichernde Stelle in Dateien und/oder Akten gespeichert hat. Er bezieht sich auch auf die Stellen, die Daten übermittelt haben (Herkunft) oder an die Daten übermittelt wurden (Empfänger). Erfaßt sind damit also nur Dritte, nicht aber Organisationseinheiten oder Personen innerhalb der speichernden Stelle, die Daten intern nutzen.

86 Die Mitteilung über Herkunft und Empfänger kann sich auf allgemeine Angaben (wie z.b. personalbearbeitende Stelle, gebührniszahlende Stelle, Truppenarzt oder Psychologischer Dienst) beschränken. Der Betroffene soll die Art der personen-bezogenen Daten (z.b. Gesundheitsdaten) näher bezeichnen. Diese Verpflichtung ist bei Auskünften aus Dateien großzügig zugunsten des Betroffenen auszulegen. Befinden sich die personenbezogenen Daten in Akten, hat die speichernde Stelle zu prüfen, ob sie die Auskunft ohne weitere Angaben erteilen kann. Ist dies nicht möglich, ist der Betroffene aufzufordern, darzulegen, aus welchem Grunde er die Auskunft verlangt, und zusätzliche Angaben zu machen, mit denen die Daten aufgefunden werden können. Auskunft aus Akten ist nur zu erteilen, soweit der erforderliche Aufwand nicht außer Verhältnis zu dem geltend gemachten Informationsinteresse steht. Die speichernde Stelle bestimmt soweit vorgesetzte Stellen keine Regelung getroffen haben nach pflichtgemäßem Ermessen das Verfahren der Auskunftserteilung: entweder mündlich, schriftlich, durch Übersenden einer Kopie oder durch Einsichtnahme. In aller Regel wird die Auskunft schriftlich erteilt werden. Die Auskunft ist im Klartext zu erteilen. Verschlüsselte Daten müssen für die Auskunft entschlüsselt werden. Zu 19 Abs. 2 Absatz 2 schränkt den Auskunftsanspruch ein. Danach besteht ein Anspruch auf Auskunft nicht für personenbezogene Daten, deren Kenntnis für die speichernde Stelle zur rechtmäßigen Aufgabenerfüllung nicht mehr erforderlich ist, die aber aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen und deshalb nach 20 Abs. 3 Nr. 1 gesperrt werden müssen (z.b. Aufbewahrungspflichten im Haushaltsrecht). Ein Auskunftsanspruch besteht auch nicht, wenn die Aufbewahrung ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dient. Zu 19 Abs. 3 Absatz 3 stellt im Interesse der dort genannten Sicherheitsbehörden sicher, daß rechtmäßige Übermittlungen an sie nicht ohne ihre Zustimmung bekanntgegeben werden. Zu 19 Abs. 4 Der Anspruch auf Auskunft muß zurücktreten, wenn einer der drei im Gesetz aufgezählten Fälle gegeben ist. In einem Vermerk ist festzuhalten, warum keine Auskunft erteilt wurde. Die Verweigerung der Auskunft ist ein Verwaltungsakt und kann durch Widerspruch angefochten werden. Zu 19 Abs. 5 und 6

87 Die speichernde Stelle hat die Ablehnung einer Auskunft grundsätzlich zu begründen. Kann die Ablehnung nicht begründet werden, ohne den Zweck, der zur Ablehnung geführt hat, zu gefährden, ist keine Begründung notwendig. In diesem Falle ist der Betroffene darüber zu belehren, daß er sich an den Bundesbeauftragten für den Datenschutz (BfD) wenden kann. Dieser kann den Vorgang datenschutzrechtlich kontrollieren. Anfragen des BfD nach Absatz 6 sind BMVg Org 2 zuzuleiten. Dem BfD ist Zwischenbescheid zu erteilen. 20 (Berichtigung, Löschung und Sperrung von Daten) Zu 20 Abs. 1 Die Speicherung unrichtiger Daten beeinträchtigt schutzwürdige Interessen des Betroffenen. Diese Beeinträchtigung liegt in der Speicherung und der daraus folgenden ständigen Gefahr einer Übermittlung oder Nutzung unrichtiger Daten. Der Betroffene hat Anspruch auf Beseitigung dieser dauernden Beeinträchtigung seiner schutzwürdigen Interessen. Die speichernde Stelle ist verpflichtet, den Nachweis der Richtigkeit der Daten zu erbringen. Die Regelung des Satzes 1 beschränkt sich auf in Dateien gespeicherte personenbezogene Daten. Die Berichtigung wird entweder durch Veränderung ( 3 Abs. 5 Nr. 2) oder durch Löschung ( 3 Abs. 5 Nr. 6) durchgeführt. Für personenbezogene Daten in Akten gilt Absatz 1 Satz 2. Danach sind unrichtige personenbezogene Daten nicht zu berichtigen. Unrichtigkeiten sind in der Akte zu vermerken oder in einem Aktenvermerk festzuhalten. Zu 20 Abs. 2 4 Die Absätze 2 4 regeln die Löschung und die Sperrung personenbezogener Daten in Dateien. Daten sind zu löschen, wenn ihre Speicherung unzulässig war oder die Kenntnis der Daten für die speichernde Stelle zur Aufgabenerfüllung nicht oder nicht mehr erforderlich ist (siehe 18 Abs. 2 Satz 2 Nr. 6). Unzulässig ist die Speicherung von Daten, die nicht zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist. Die Löschung kann sich auf ein einzelnes Datum oder auf alle Daten des Betroffenen beziehen. So ist die Speicherung der Daten eines Bediensteten in einer Gästedatei unzulässig, wenn seine Einwilligung nicht eingeholt wurde. An die Stelle der Löschung tritt eine Sperrung, wenn die Löschung einen unverhältnismäßig hohen Aufwand erforderte (Absatz 3 Nr. 3). Bei der Beurteilung ist der Aufwand der speichernden Stelle für die Löschung (finanzielle und technische Mittel, Personal- und Zeitaufwand) mit den schutzwürdigen Interessen des Betroffenen an der Löschung seiner personenbezogenen Daten abzuwägen. Die Gründe für die Anwendung des Absatzes 3 Nr. 3 sind in einem Vermerk festzuhalten. Zu 20 Abs. 5

88 Eine Akte verträgt grundsätzlich keine Zerstörung oder Beseitigung von Aktenbestandteilen. Deshalb stellt diese Vorschrift sicher, daß Akten auch dann weitergeführt werden können, wenn bestimmte personenbezogene Daten für die Aufgabenerfüllung nicht mehr erforderlich sind, aber z.b. mit noch benötigten Daten anderer Betroffener verknüpft sind. Sie sind jedoch zu sperren, wenn schutzwürdige Interessen des Betroffenen, z.b. bei einer Einsichtnahme der Akten durch Dritte, beeinträchtigt würden. Über die Durchführung der Sperrung siehe die entsprechenden Ausführungen zu 3 Abs. 5. Zu 20 Abs. 6 Gesperrte Daten in Akten und Dateien dürfen nur mit Einwilligung ( 4) des Betroffenen übermittelt oder genutzt werden. Einer Einwilligung bedarf es nicht, wenn einer der in Nummer 1 genannten Zwecke gegeben ist und die Daten nach 14 Abs. 3, 15 bis 17 i.v.m. 14 Abs. 2 oder nach 28 Abs. 2 Nr. 1 aus diesen Gründen übermittelt oder genutzt werden dürfen. Zu 20 Abs. 7 Von einer Berichtigung, Löschung oder Sperrung personenbezogener Daten in Akten und Dateien sind diejenigen Stellen zu benachrichtigen, denen Daten regelmäßig übermittelt werden. Regelmäßig übermittelt werden personenbezogene Daten, wenn sie an bestimmte Personen oder Stellen bei Eintritt festgelegter Voraussetzungen weitergegeben oder zum Abruf bereitgehalten werden, ohne daß es dafür jeweils einer konkreten Entscheidung im Einzelfall bedarf. Zu 20 Abs. 8 Datenträger mit personenbezogenen Daten unterliegen der Abgabe an das Bundesarchiv unter den in der ZDv 64/3 VS-NfD im einzelnen geregelten Bedingungen. Datenträger, die nicht mehr benötigt werden und die nicht an das Bundesarchiv abzugeben sind (Nr. 311, ZDv 64/3 VS-NfD), sind zu vernichten (Anlage 3). Das Recht auf informationelle Selbstbestimmung darf bei der Vernichtung nicht dadurch verletzt werden, daß Dritte Einblick in die für die Vernichtung bestimmten personenbezogenen Daten erhalten. 21 (Anrufung des Bundesbeauftragten für den Datenschutz) Das Recht, jederzeit den Bundesbeauftragten für den Datenschutz (BfD) anrufen zu können, ist obwohl es nicht zu den unabdingbaren Rechten nach 6 BDSG gehört wie ein unabdingbares Recht zu behandeln. Der Betroffene kann von diesem Recht Gebrauch machen, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten in Dateien oder Akten in seinen Rechten verletzt zu sein. 21 gilt auch für personenbezogene Daten, deren Erhebung, Verarbeitung oder Nutzung in bereichsspezifischen Gesetzen geregelt ist (z.b. Personalaktendaten). Das Anrufungsrecht steht nur natürlichen Personen zu. 24 (Kontrolle durch den Bundesbeauftragten für den Datenschutz) Zu 24 Abs. 1

89 Der BfD ist Kontrollorgan des Parlaments, dem er Rechenschaft schuldig ist. Er kontrolliert die öffentlichen Stellen auf die Einhaltung der Vorschriften des BDSG und der bereichsspezifischen Regelungen über den Datenschutz. Der BfD hat kein Weisungsrecht. Er kann aber festgestellte Mängel beanstanden oder Empfehlungen zur Verbesserung des Datenschutzes in der von ihm kontrollierten Dienststelle geben. Die Kontrolle kann sich auf personenbezogene Daten in Dateien und sofern ein Anlaß besteht auf Akten erstrecken. Der BfD muß die Kontrolle weder ankündigen noch den Gegenstand der Kontrolle der speichernden Stelle bekanntgeben. Bei der Anlaßkontrolle hat der BfD die Akten zu bezeichnen, die er kontrollieren will, auch wenn er Einzelheiten gegenüber der speichernden Stelle nicht zu offenbaren braucht. Zu 24 Abs. 2 Die Kontrolle durch den BfD erstreckt sich auch auf personenbezogene Daten, die einem Berufsoder besonderen Amtsgeheimnis unterliegen, wie Gesundheitsdaten, Personalaktendaten und Daten in Akten über die Sicherheitsüberprüfung. Die Kontrolle dieser Daten ist nicht vom Einverständnis des Betroffenen abhängig. Allerdings hat der Betroffene ein Widerspruchsrecht. Dazu unterrichtet jede Dienststelle/Einheit ihre Angehörigen in allgemeiner Form über das Kontrollrecht des BfD und über das Widerspruchsrecht. Diese Unterrichtung kann unregelmäßig z.b. in den Hausmitteilungen oder durch Aushang am "Schwarzen Brett" durchgeführt werden. Eine unterlassene Unterrichtung hindert den BfD nicht daran, seine Kontrolle durchzuführen. Ein einmal erklärter Widerspruch bindet den Betroffenen nicht auf Dauer. Er kann jederzeit zurückgezogen werden. Einzelheiten des Verfahrens der Unterrichtung über das Widerspruchsrecht. 1. Begriffsbestimmung 1.1 Personenbezogene Daten, die dem Arztgeheimnis unterliegen (Absatz 2 Nr. 2 Buchstabe b) Der Begriff des Arztgeheimnisses ist durch das BDSG neu in ein Gesetz eingeführt. Unter Arztgeheimnis ist ausschließlich die Schweigepflicht des Arztes, des Zahnarztes, des Apothekers oder eines Angehörigen eines anderen Heilberufes zu verstehen, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert ( 203 Abs. 1 Nr. 1 Strafgesetzbuch). Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch macht, darf der BfD die entsprechenden Dateien/Akten, die personenbezogene Daten des Betroffenen enthalten, nicht kontrollieren. 1.2 Personalakten Ein Widerspruch gegen die Kontrolle der Personalakten umfaßt, wenn er nicht auf bestimmte Teile beschränkt ist, die Grundakte und sämtliche Teil- und Nebenakten sowie die Personalaktendaten in Dateien. 1.3 Sicherheitsüberprüfungsakten Das Widerspruchsrecht bezieht sich nur auf die beim MAD geführten Sicherheitsüberprüfungsakten. Die beim Sicherheitsbeauftragten geführte Sicherheitsakte unterliegt dem Kontrollrecht des BfD uneinschränkbar. 2. Durchführung der Unterrichtung 2.1 Zivile Bewerber um eine Einstellung sind durch die zuständige personalbearbeitende Stelle zu unterrichten, Soldaten außer Grundwehrdienstleistende werden bei Dienstantritt durch die

90 Dienststelle unterrichtet, welche die bei Diensteintritt erforderlichen personenbezogenen Daten erhebt. 2.2 Wehrpflichtige werden über das Widerspruchsrecht anläßlich der Musterung durch das Kreiswehrersatzamt unterrichtet. 2.3 Bei Sicherheitsüberprüfungen nur ersten Überprüfungen sind die Betroffenen mit der Übersendung/Übergabe des Fragebogens zu unterrichten. 2.4 Bei sozialmedizinischen/vertrauensärztlichen/personalärztlichen Untersuchungen sind die Betroffenen vor Beginn der Untersuchung zu unterrichten. Zu 24 Abs. 3 Bundesgerichte sind alle aus Haushaltsmitteln des Bundes unterhaltenen Gerichte; hierzu gehören auch die Truppendienstgerichte. Zu 24 Abs. 4 Die öffentlichen Stellen sind verpflichtet, den BfD bei der Erfüllung seiner Aufgaben umfassend zu unterstützen. Im Rahmen des dienstlich Möglichen sind daher z.b. auch ein Dienstzimmer zur Verfügung zu stellen, Kopien zu fertigen und Dienstvorschriften zur Information auszuhändigen. Zu 24 Abs. 5 Sofern der Kontrollbericht des BfD nicht an das BMVg gerichtet wurde, ist eine Kopie zusammen mit dem Entwurf einer Stellungnahme rechtzeitig vor Ablauf der Beantwortungsfrist dem BMVg- Org 2 auf dem Dienstweg vorzulegen. 26 (Weitere Aufgaben des Bundesbeauftragten für den Datenschutz; Dateienregister) Zu 26 Abs. 5 Die den öffentlichen Stellen auferlegte Verpflichtung, dem BfD eine Übersicht über die von ihnen geführten Dateien zuzuleiten, wird für den Geschäftsbereich des BMVg vom BAWV im Rahmen des DATAV wahrgenommen. Dritter Abschnitt Datenverarbeitung nicht-öffentlicher Stellen Die Vorschriften des Dritten Abschnitts sind auf nicht-öffentliche Stellen zugeschnitten. Sie sind für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur noch unter den zu 12 Abs. 4 und zu 13 erläuterten Voraussetzungen anzuwenden. Unter diesen Voraussetzungen gelten sie auch für die Akten öffentlicher Stellen. 28 (Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke) Zu 28 Abs. 1

91 Soweit Absatz 1 von öffentlichen Stellen anzuwenden ist (siehe zu 12 Abs. 4), sind die "Geschäftszwecke" identisch mit der Aufgabenerfüllung, d.h. der Erledigung der Aufgaben, die dieser öffentlichen Stelle durch Gesetz oder Organisationsweisungen zugewiesen worden sind (siehe zu 13 Abs. 1). Im Zuge dieser Aufgabenerfüllung ist das Speichern, Verändern, Übermitteln und Nutzen personenbezogener Daten zulässig im Rahmen der Zweckbestimmung zukünftiger, bestehender und früherer Arbeits-/Ausbildungsverhältnisse (Absatz 1 Nr. 1); (In den Rahmen der Zweckbestimmung fallen alle Maßnahmen zur Begründung, Durchführung, Beendigung oder Abwicklung des arbeitsrechtlichen Rechtsverhältnisses.) oder, soweit diese Alternative nicht zutrifft, zur Wahrung berechtigter Interessen der speichernden Stelle, wenn kein Grund zu der Annahme besteht, daß das schutzwürdige Interesse des Betroffenen an dem Ausschluß der Speicherung, Veränderung, Übermittlung und der Nutzung überwiegt (Absatz 1 Nr. 2). (Berechtigt sind Interessen der speichernden Stelle, die sich unmittelbar aus ihren Aufgaben ergeben. Hierzu gehört grundsätzlich nicht z.b. das Führen einer Geburtstagsliste oder die allgemeine Bekanntgabe von Personalveränderungen, Beförderungen/Höhergruppierungen, Dienstjubiläen, Belobigungen, Namensänderungen und Todesfällen der Bediensteten in Verwaltungsanordnungen, Hausmitteilungen u.ä. der Dienststelle. Diese Mitteilungen bedürfen des vorherigen schriftlichen Einverständnisses der betroffenen Person, das z.b. durch einen entsprechenden Zusatz auf Personalverfügungen eingeholt werden kann (vgl. dazu die Durchführungsbestimmungen zu 4 Abs. 1). Ein berechtigtes Interesse kann aber z.b. an einer Parkplatzdatei oder an der Registrierung privater Ferngespräche zur Einziehung von Gebühren bestehen). Für die Erhebung personenbezogener Daten durch öffentliche Stellen gilt 13. Zu 28 Abs. 2 Nr. 1 Absatz 2 enthält weitere Tatbestände für eine Übermittlung und Nutzung rechtmäßig gespeicherter personenbezogener Daten. Übermittlung und Nutzung sind danach auch zulässig wenn sie zur Wahrung * berechtigter Interessen (siehe zu Absatz 1 Nr. 2 ) eines Dritten oder * öffentlicher Interessen erforderlich sind oder wenn es sich um listenmäßig zusammengefaßte Daten über Angehörige einer Personengruppe handelt, die sich ausschließlich auf den in Absatz 2 Nr. 1 Buchstabe b festgelegten Umfang beschränken. Öffentliche Interessen liegen beispielsweise vor, wenn am Gemeinwohl orientierte Interessen der öffentlichen Hand zu wahren sind, d.h. eine öffentliche Stelle gerade diese Auskunft mit diesen personenbezogenen Daten zur Erfüllung einer in ihrer Zuständigkeit liegenden Aufgabe benötigt. In allen Fällen ist Voraussetzung, daß kein Grund zu der Annahme besteht, daß schutzwürdige Interessen (siehe zu 10 Abs. 1) des Betroffenen verletzt werden. Vor jeder Übermittlung oder Nutzung personenbezogener Daten ist daher eine Interessenabwägung

92 vorzunehmen. Es ist zu prüfen, ob der Betroffene ein vernünftiges und von der Rechtsordnung gebilligtes Interesse an einem Ausschluß der Übermittlung oder Nutzung hat. Dabei ist soweit der Betroffene nicht eingewilligt hat im Zweifelsfall zugunsten des Betroffenen davon auszugehen, daß das Recht des Betroffenen, über seine Daten selbst zu bestimmen, durch die Übermittlung/Nutzung verletzt wird. Für die Fälle des Absatzes 2 Nr. 1 Buchstabe b wird die gesetzliche Vermutung unterstellt, daß eine Interessenverletzung beim Betroffenen anzunehmen ist. Selbstverständlich kann der Betroffene im Einzelfall trotzdem einer Übermittlung und Nutzung zustimmen. 33 (Benachrichtigung des Betroffenen) 33 enthebt die speichernde Stelle nicht ihrer Verpflichtung, vor der Speicherung deren Zulässigkeit zu prüfen. Ist die Speicherung im Rahmen der Aufgabenerfüllung zulässig, ist der Betroffene zu benachrichtigen, wenn die speichernde Stelle zum ersten Mal seine personenbezogenen Daten speichert. Ist die Speicherung nur mit Einwilligung des Betroffenen zulässig, ersetzt die Benachrichtigung nicht die fehlende Einwilligung. Dem Betroffenen sind mitzuteilen die Tatsache der Speicherung und die Art der gespeicherten Daten. Die Benachrichtigung ist innerhalb einer angemessenen Frist vorzunehmen. Eine bestimmte Form der Benachrichtigung ist nicht vorgesehen. Soweit sie nicht schriftlich erfolgt, ist die Benachrichtigung in einem Vermerk festzuhalten. Wer den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, handelt ordnungswidrig ( 44 Abs. 1 Nr. 3). Die Benachrichtigung entfällt, wenn der Betroffene auf andere Weise von der Speicherung Kenntnis erhalten hat. Dies wird immer dann anzunehmen sein, wenn die Daten nach 13 bei ihm erhoben worden sind. Weitere Ausnahmen zählen die Nummern 2 bis 7 des Absatzes 2 auf. 34 (Auskunft an den Betroffenen) Dem Betroffenen ist unentgeltlich auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen, sofern diese gespeichert sind, 2. den Zweck der Speicherung und 3. Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, wenn seine Daten automatisiert verarbeitet werden. Der Anspruch auf Auskunft erstreckt sich auf alle Dateien und auf alle Akten, die personenbezogene Daten über den Betroffenen enthalten. Für Auskünfte aus Akten ist 19 entsprechend anzuwenden. Die Auskunft ist grundsätzlich schriftlich zu erteilen. 35 (Berichtigung, Löschung und Sperrung von Daten)

93 Für Personalaktendaten der Beamten, Soldaten, ehemaligen Soldaten und der ungedienten Wehrpflichtigen gelten die bereichsspezifischen Regelungen über das Entfernen, Vernichten und Aufbewahren ( 90e [auch 90 b und f] BBG, 29 Abs. 5 Satz 3 und 4 SG i.v.m. 6 SPersAV sowie 25 Abs. 5 WPflG i.v.m. 4 Abs. 2 und 3 WPersAV). Der Anspruch auf Berichtigung ergibt sich aus Absatz 1. Hinsichtlich der Sperrung von Personalaktendaten in Dateien gelten die Absätze 3 und 7. Unter die Regelung des Absatzes 2 Nr. 3 fällt auch die Verarbeitung von Bewerberdaten. Diese sind zu löschen, sobald sie für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich sind. So ist z.b. die Bearbeitung einer Bewerbung nicht mit der Ablehnung des Bewerbers abgeschlossen, da ein abgelehnter Bewerber gegen die Entscheidung Rechtsmittel einlegen kann. Personenbezogene Daten von Bewerbern sollten daher erst am Ende des auf die Absage folgenden Jahres vernichtet werden. Die Löschung ist der speichernden Stelle nicht anheimgestellt; liegen die Voraussetzungen des Absatzes 2 Nr. 3 vor, hat sie die Löschung vorzunehmen. Vierter Abschnitt Sondervorschriften 39 (Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen) Diese Vorschrift richtet sich an diejenige speichernde Stelle, der personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, zur Verfügung gestellt wurden. Ob der speichernden Stelle diese Daten übermittelt werden durften, liegt in der Verantwortung der übermittelnden Stelle und richtet sich nach den Normen des jeweiligen Berufs- oder besonderen Amtsgeheimnisses bzw. nach gesetzlichen Vorschriften. Die speichernde Stelle darf die Daten nur zu dem Zweck verarbeiten oder nutzen, zu dem sie ihr übermittelt wurden. Mit Einwilligung des Betroffenen (z.b. durch Entbindung des Arztes von der ärztlichen Schweigepflicht) können die Daten in den Fällen der Absätze 1 und 2 auch zu anderen Zwecken verwendet werden. 40 (Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen) Zu 40 Abs. 1

94 Unter wissenschaftlicher Forschung sind alle Maßnahmen und Untersuchungen zu verstehen, mit denen nach wissenschaftlichen Methoden (z.b. nach statistischen Verfahren, empirischen Untersuchungsmethoden) ein bestimmtes Forschungsziel erreicht werden soll. Werden personenbezogene Daten im Geschäftsbereich zum Zwecke wissenschaftlicher Forschung erhoben, verarbeitet oder genutzt, sind die Vorschriften des Zweiten Abschnitts anzuwenden. Die für das Forschungsziel benötigten Daten sind vor Erhebung festzuschreiben. Eine "Vorratserhebung" anderer Daten, weil diese möglicherweise auch für das gewünschte Ziel verwendet werden könnten, ist unzulässig. Zu 40 Abs. 2 Übermittelt die Forschungseinrichtung personenbezogene Daten zu wissenschaftlichen Zwecken an nicht-öffentliche Stellen, muß sich der Empfänger ihr gegenüber schriftlich verpflichten, die Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschriften des Absatzes 3 einzuhalten. Zu 40 Abs. 3 Die personenbezogenen Daten sind zum frühesten Zeitpunkt, den der Forschungszweck erlaubt, zu anonymisieren. Bereits mit der Festlegung der zu erhebenden Daten ist zu bestimmen, wann welche Daten zu anonymisieren sind. Bis dahin sind die Daten so zu speichern, daß ein Personenbezug nicht unmittelbar aus ihnen hergestellt werden kann. Einzelangaben über sachliche und persönliche Verhältnisse einer bestimmten oder bestimmbaren Person sind gesondert zu speichern. Durch geeignete organisatorische und technische Maßnahmen ist dafür zu sorgen, daß Unbefugte diese Daten nicht zusammenführen können. Eine Zusammenführung ist nur erlaubt, soweit dies für den Forschungszweck erforderlich ist, und darf nur durch besonders autorisiertes Personal vorgenommen werden. Fünfter Abschnitt Schlußvorschriften 43, 44 (Strafgeld- und Bußgeldvorschriften) Die Straftatbestände sind gegenüber dem bisherigen BDSG erweitert worden. So sind strafbar: das unbefugte Speichern, Verändern oder Übermitteln, das unbefugte Bereithalten personenbezogener Daten zum automatisierten Abruf, das unbefugte Beschaffen personenbezogener Daten aus Dateien, auch wenn diese sich nicht in verschlossenen Behältnissen befinden, das Erschleichen einer Übermittlung durch falsche Angaben und das gesetzwidrige Deanonymisieren anonymisierter Daten. Von den Bußgeldtatbeständen betreffen öffentliche Stellen nur 44 Abs. 1 Nr. 3 und 4. Die Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) vom 20. Juni 1991 Org 2 Az (VMBl S. 312) und der Erlaß vom 15. Juli 1981 VR III 1 Az *) werden hiermit aufgehoben.

95 BMVg, 30. April 1998 Org 2 Az

96 Anlage 1 Terminologie für den Umgang mit personenbezogenen Daten UMGANG 1 (1) BDSG ERHEBEN VERARBEITEN NUTZEN 1 (2) BDSG 1 (2) BDSG 1 (2) BDSG 3 (4) BDSG 3 (5) BDSG 3 (6) BDSG SPEICHERN SPERREN 3 (5) Nr. 1 BDSG 3 (5) Nr. 4 BDSG VERÄNDERN LÖSCHEN 3 (5) Nr. 2 BDSG 3 (5) Nr. 5 BDSG ÜBERMITTELN 3 (5) Nr. 3 BDSG WEITERGEBEN ABRUFEN an Dritte (Empfänger) durch Dritte (Empfänger) 3 (5) Nr. 3a) BDSG 3 (5) Nr. 3b) BDSG Die "Weitergabe" (Weiterleitung) personenbezogener Daten

97 - an den Betroffenen ( 3 Abs. 9 Satz 2), - an die im Auftrag verarbeitende Stelle ( 3 Abs. 9 Satz 2, 11) und - innerhalb der speichernden Stelle z.b. zur Nutzung zu anderen Zwecken ( 3 Abs. 6) sind keine "Übermittlung" i. S. des 3 Abs. 5 Nr. 3 BDSG. zurück Anlage 2 Anwendung des BDSG im Geschäftsbereich des BMVg Neben den 1 bis 3, 43 und 44 BDSG gelten für den Umgang mit personenbezogenen Daten in A K T E N: 4 Zulässigkeit der Datenverarbeitung und -nutzung 5 Datengeheimnis 6 Abs. 1 Unabdingbare Rechte des Betroffenen Auskunft - 19 bzw. 12 Abs. 4 i.v.m. 33 (ohne Abs. 2 Nr. 5) und 34 (ohne Abs. 1 Nr. 3) Berichtigung, Sperrung, Löschung - 20 Abs.1 und 5 bis 8 bzw. 12 Abs. 4 i.v.m Technische und organisatorische Maßnahmen (in sinngemäßer Anwendung der Anlage zu 9 Satz 1) 11 Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 12 Anwendungsbereich für die Datenverarbeitung der öffentlichen Stellen 13 Datenerhebung 14 Datenspeicherung, -veränderung und -nutzung bzw. 12 Abs. 4 i.v.m. 28 Abs. 1 Nr. 1 bis 4 und Abs. 2 Nr Datenübermittlung bzw. 12 Abs. 4 i.v.m. 28 Abs. 1 Nr. 1 bis 4 und Abs. 2 Nr Abs. 1 Verpflichtung der obersten Bundesbehörden, die Ausführung des BDSG und anderer Rechtsvorschriflen über den Datenschutz sicherzustellen (Dienst- und Fachaufsicht) 21 Anrufung des BfD

98 24 Abs. 1 Kontrolle durch den BfD 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen 40 Verarbeitung und Nutzung personenbezogener Daten für den Zweck der wissenschaftlichen Forschung 43/44 Straf- und Bußgeldvorschriften; n i c h t a u t o m a t i s i e r t e n D A T E I E N, deren personenbezogene Daten nicht zur Übermittlung an Dritte bestimmt sind: die Vorschriften für Akten ohne 15 bis 17 Datenübermittlung 39 Abs. 1 Satz 2 Übermittlung von Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen 40 Abs. 2 Übermittlung von personenbezogenen Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung (Werden im Einzelfall doch personenbezogene Daten übermittelt, gelten für diesen Einzelfall die Vorschriften für nichtautomatisierte Dateien.); n i c h t a u t o m a t i s i e r t e n D A T E I E N : die Vorschriften für Akten und zusätzlich: 6 Abs. 2 Regelung der Auskunftserteilung, wenn eine (logische) Datei von mehreren Stellen geführt wird 18 Abs. 2 Satz 2 Übersicht über die geführten Dateien 18 Abs. 3 Daten, die innerhalb von 3 Monaten nach ihrer Erstellung gelöscht werden 20 Abs. 2 4 Löschen und Sperren personenbezogener Daten in Dateien 30 Abs. 2 Nr. 5 Keine Benachrichtigungspflicht für Daten in Dateien, die innerhalb von 3 Monaten nach ihrer Erhebung gelöscht werden; a u t o m a t i s i e r t e n D A T E I E N: die Vorschriften für nicht-automatisierte Dateien und zusätzlich: 7 Schadensersatz durch öffentliche Stellen die Anlage zu 9 Satz 1 technische und organisatorische Maßnahmen 18 Abs. 2 Satz 3 ordnungsgemäße Anwendung der genutzten Datenverarbeitungsprogramme überwachen 26 Abs. 5 Meldung zum Dateienregister des BflD (nur für BWVA) 34 Abs. 1 Nr. 3 Auskunft an den Betroffenen, wenn Daten automatisiert verarbeitet werden; a u t o m a t i s i e r t e n D A T E I E N in Verfahren, die die Übermittlung durch Abruf ermöglichen (Abrufverfahren): die Vorschriften für automatisierte Dateien und zusätzlich: 10 Einrichtung automatisierter Abrufverfahren; a u t o m a t i s i e r t e n D A T E I E N, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt werden ( 1 Abs. 3 Nr. 1) sowie in Vorentwürfen und Notizen ( 3 Abs. 3 Satz 2): nur: 5 Datengeheimnis

99 9 Technische und organisatorische Maßnahmen. zurück Anlage 3 zurück zu DB 11 zurück zu DB 20 Erlass Vernichtung von Datenträgern mit personenbezogenen Daten Für die Vernichtung von Datenträgern mit personenbezogenen Daten gilt: Für die Vernichtung von Datenträgern mit personenbezogenen -bereiche Daten gilt: 1 und 2: Schnittbreite wie VS-NfD. Schutzbereich 3: 1. Personenbezogene Daten in Schriftgut Schnittbreite wie VS-Vertraulich). Schriftgut (z.b. Akten, Karteikarten, Computerlisten), das personenbezogene 2. Personenbezogene Daten auf anderen Datenträgern Daten enthält, ist durch Verbrennen, Zerfasern Für Datenträger, die nicht Schriftgut sind (z.b. Magnetbänder, oder Zerkleinern mit dem Aktenwolf zu vernichten oder so zu zerstören, Disketten, Mikrofiches) und personenbezogene Daten enthalten, daß der Inhalt weder erkennbar ist noch erkennbar sind die Nummern 1413 d und e der ZDv 2/30 sinngemäß anzuwenden. gemacht werden kann. Der dort erwähnte Rahmenvertrag wurde um Datenträger mit Soweit entsprechende Geräte für die Zerkleinerung nicht zur Verfügung personenbezogenen Daten erweitert. stehen, kann die Zerkleinerung von Schriftgut mit personenbezogenen Für Daten der Schutzbereiche 1 und 2 gelten die Weisungen für Daten Unternehmen übertragen werden, wenn VS-NfD, für Daten des Schutzbereichs 3 gelten die Weisungen für der Transport des Schriftgutes und die Zerkleinerung oder Vernichtung VS-Vertraulich entsprechend. unter ständiger Aufsicht eines nach 5 BDSG Befugten 3. Kontrolle durchgeführt wird. Die Einhaltung dieser Bestimmungen obliegt der für die Durchführung Soll Schriftgut, das personenbezogene Daten enthält, zur Verwertung des Datenschutzes in der Dienststelle/Einheit verantwortlichen als Altmaterial freigegeben werden, muß es durch Zerkleinern Stelle. mit dem Aktenwolf unlesbar gemacht werden, bevor Käufer oder andere Unbefugte es einsehen können. Die Schnittbreite (vgl. Nr. 1413a der ZDv 2/30) richtet sich nach der Schutzbedürftigkeit der personenbezogenen Daten (Schutz- zurück zurück zu DB 11 zurück zu DB 20

100 Anlage 4 a Technische und organisatorische IT-Sicherheitsmaßnahmen für automatisiert verarbeitete personenbezogene Daten Diese Anlage enthält die Zielvorgaben zum Schutz automatisiert verarbeiteter personenbezogener Daten. Zu jeder Zielvorgabe werden Maßnahmen genannt, die für die einzelnen Schutzbereiche (SB) Mindestvorgaben darstellen. Sie können im Einzelfall durch andere Maßnahmen ersetzt werden, soweit diese dieselbe Schutzwirkung erzielen. Wo Maßnahmen für mehrere Zielvorgaben zutreffen z.b. Identifikation und Authentifizierung, Rechteverwaltung und -prüfung sind sie bei der ersten zutreffenden Vorgabe aufgeführt.

101 zu 1 Zugangskontrolle Ziel der Zugangskontrolle ist es zu verhindern, daß Unbefugte sich Zugang zu IT-Systemen verschaffen, mit denen personenbezogene Daten verarbeitet werden. Maßnahmen SB 1 SB 2 SB 3 Die Räume müssen bei Verlassen abgeschlossen werden. Stehen IT-Systeme in Räumen, die während der Dienstzeit nicht abgeschlossen werden können, sind auch bei kurzfristigem Verlassen Maßnahmen wie Abdunkeln des Bildschirmes, Abschließen des Terminals oder der Tastatur u.a. durchzuführen. Es ist kein Zugang für Fremdpersonal (Besucher, Wartungspersonal, Reinigungspersonal) und Unberechtigte ohne Aufsicht zu gewähren. Serverstationen/Zentraleinheiten sind in zugangsbeschränkten Räumen zu installieren, die Zutrittsberechtigungen sind festzulegen (Schlüsselordnung). Bildschirme sind grundsätzlich so aufzustellen, daß angezeigte Informationen von Unberechtigten oder Fremdpersonal nicht eingesehen werden, ergonornische Grundsätze und Betriebsvorschriften sind zu beachten. Es sind Fenstersicherungen (einschließlich Verglasung) für Räume im Erdgeschoß vorzusehen, soweit nicht in militärischen Sicherheitsbereichen gelegen, alternativ kann eine Verschlüsselung angewendet werden. - Es sind Sicherheitsschlösser für Zugangstüren vorzusehen, soweit nicht Zugangsschutz durch Bewachung oder materielle Zugangssicherung, wie Zutritt mittels Magnetkarte, gegeben ist. IT-Systeme sind im Erdgeschoß nur aufzustellen, wenn zu Straßen und öffentlichen Wegen liegende Räume gegen Einbruch besonders gesichert sind, andernfalls keine Aufstellung im Erdgeschoß. - Es sind Sicherungen von Türen und Schlössern durch verstärkte bauliche Maßnahmen vorzunehmen; alternativ kann eine Verschlüsselung vorgesehen werden zu 2 Datenträgerkontrolle Ziel der Datenträgerkontrolle ist es, Diebstahl, unbefugtes Verändern, Lesen oder Kopieren von personenbezogenen Daten zu verhindern. Maßnahmen SB 1 SB 2 SB 3 Alle ein- und ausgehenden Datenträger sind auf Virenbefall zu prüfen. Datenträger sind in verschließbaren Räumen oder Schränken aufzubewahren

102 Beschriebene Datenträger sind in gesicherten Schränken [Stahlschrank/Panzerschrank oder besonders gesicherten Räumen (Archiv)] aufzubewahren. Datenträger sind getrennt von Datenträgern mit Informationen anderer Schutzbereiche aufzubewahren. Datenträger sind zu kennzeichnen. Der Schutzbereich bzw. die Kategorie muß ersichtlich sein. + Vor Wiederverwendung des Datenträgers durch andere Nutzer sind die Daten auf dem Datenträger durch Überschreiben und/oder Neuformatieren zu löschen. + Bei der Vernichtung von Datenträgern ist die Anlage 3 zu beachten. Datenträger sind in einem verschlossenen Behältnis (z.b. Verschlußmappe) zu verschicken (Alternative: Kurier). - Datenträger sind über den Postweg (extern) als Einschreiben, Wertbrief, Paket mit besonderem Wert zu versenden (Alternativ: Kurier). - Bei internem Versand von Datenträgern ist ein Quittungsverfahren erforderlich zu 3 Speicherkontrolle Ziel der Speicherkontrolle ist es zu verhindern, daß personenbezogene Daten unbefugt gespeichert bzw. gespeicherte Daten verarbeitet oder genutzt werden können. Maßnahmen SB 1 SB 2 SB 3 Eine regelmäßige Virenprüfung des Systems ist vorzusehen. Nicht benötigte Programme und Dateien sind physikalisch zu löschen. Es ist der Zugriff auf die Betriebssystemebene für Nutzer bei vernetzten Systemen sowie auf Betriebssystemebene für von mehreren Nutzern genutzte Einzelplatzsysteme zu verhindern. + Geänderte/neue Programme sind erst nach datenschutzrechtlicher Prüfung und nach Freigabe durch den Nutzungsverantwortlichen oder Dienststellenleiter einzuspielen

103 Zugriffsberechtigung auf Dateien und Programme, unterschieden nach Lese-, Schreib- und Löschberechtigung, ist in einer Dienstanweisung zu regeln. Die Regelung ist, wo erforderlich, bis auf Datenfeldebene herunterzubrechen. + Unberechtigte Zugriffsversuche sind abzuweisen. Ein Paßwortschutz ist vorzusehen. Dabei ist zu beachten: 1. mindestens 6 Zeichen, 2. mindestens 1 Sonderzeichen (soweit technisch realisierbar), keine Trivialpaßwörter (Namen, Zahlenfolgen 1,2,3,4...), 4. Zwang zum regelmäßigen Paßwortwechsel, keine Paßwortwiederholung, 5. verdeckte Paßworteingabe, 6. Sperren des Nutzers nach dreimaliger Fehleingabe, 7. Löschen des Paßwortes, wenn Nutzer nicht mehr zugriffsberechtigt, 8. Sperren/Löschen des Paßwortes bei längerer Abwesenheit (Krankheit, Urlaub), 9. keine Weitergabe an andere Nutzer, kein Notieren u.a. Die Punkte des Paßwortschutzes müssen softwaremäßig sichergestellt werden. - Die Paßwortvergabe an Wartungspersonal erfolgt durch den Systemverwalter, die Paßwörter sind jeweils nach der Wartung vom Systemverwalter zu ändern. + Bei der Paßwortvergabe für Wartungstechniker (auch Fernwartung) ist sicherzustellen und nachzuweisen, daß dieser nur Zugriff auf Wartungs- und Diagnosedateien hat. Wird ein Speicherauszug (Dump) zur Fehlerdiagnose benötigt, ist dieser, soweit technisch möglich, vom Systemadministrator zu erstellen, personenbezogene Daten sind, soweit möglich, zu löschen. Fehlerkorrekturen dürfen erst nach Freigabe durch den Vorhabenverantwortlichen/ Dienststellenleiter eingespielt werden. + Bei Wartungsarbeiten/Fehlerbehebung durch Fremdpersonal sind alle personenbezogenen Daten des zu wartenden Systems, soweit möglich, zu löschen bzw. die Datenträger zu entfernen. Eine Virenprüfung ist nach Abschluß von Wartungsarbeiten durchzuführen. Es ist ein Integritätsschutz einzurichten (Prüfsummenprogramm o.ä.)

104 Es ist eine irreversible Paßwortverschlüsselung vorzusehen. Es ist technisch zu verhindern, daß Nutzer Disketten einspielen können (diskettenlose APC, Sperren Diskettenlaufwerk), (gilt nicht für Einplatzsysteme). Auf Laptops sind Daten zu verschlüsseln. Alle Speicherobjekte, die dem IT-System wieder zur Verfügung gestellt werden, müssen vor einer Wiederverwendung so vorbereitet werden, daß keine Rückschlüsse auf ihren früheren Inhalt möglich sind (Wiederaufbereitung). - Es ist die Verwendung von Chipkarten oder vergleichbaren Verfahren zur Identifikation und Authentisierung vorzusehen. Die Daten sind zu verschlüsseln. Datei-/Programmzugriffe sind revisionsfähig aufzuzeichnen zu 4 Benutzerkontrolle Ziel der Benutzerkontrolle ist es, die Benutzung von IT-Systemen mittels Datenübertragungsgeräten durch Unbefugte zu verhindern. Maßnahmen SB 1 SB 2 SB 3 Das System muß Benutzer eindeutig identifizieren (z.b. Benutzername) und authentisieren (z.b. Paßwort). Die Authentisierungsinformationen müssen so gespeichert sein, daß nur autorisierte Benutzer (z.b. Systemadministrator) darauf Zugriff haben (nicht bei allein genutztem Einzelplatz APC). + Bei jedem Dialogschritt muß das System die Identität des Benutzers feststellen können (nicht bei allein genutztem Einzelplatz APC). Identifikation und Authentisierung müssen zwischen Benutzer und System sicher (z.b. irreversible Paßwortverschlüsselung) abgewickelt werden (nicht bei allein genutztem Einzelplatz APC). Festlegen von Benutzerprofilen (Zugriffsrechte auf Dateien und Programme) auch für Datenübertragungsrechte (nicht bei allein genutztem Einzelplatz APC). Revisionsfähige Protokollierung von Nutzerzugriffen einschließlich Fehlversuchen (nicht bei allein genutztem Einzelplatz APC)

105 Der Zugriff des Fernwartungspersonals 1) ist vom Systemadministrator zu kontrollieren: Verbindungsaufbau durch den Systemadministrator Paßwortvergabe durch den Systemadministrator Protokollierung der Dateneingabe Kontrolle des Wartungsablaufes und Unterbrechungsmöglichkeit Zugriff soweit möglich reduzieren (Fremdpersonal). Das Wartungspersonal ist bei Zugriffsmöglichkeit auf personenbezogene Daten nach 5 BDSG zu verpflichten. + Fernwartung ist grundsätzlich unzulässig; Ausnahmegenehmigung durch Dienststellenleiter/ Vorhabenverantwortlichen 2) Identifikation und Authentisierung zwischen Benutzer und System abgewickelt, müssen besonders gespeichert werden (z.b. Smartcard) ) Fernwartung ist keine Übermittlung im Sinne des BDSG, da die Wartungsstelle Daten im Auftrag verarbeitet. Maßnahmen zur Vorgabe "6. Übermittlungskontrolle" sind jedoch zu berücksichtigen. 2) Soweit noch keine technischen Lösungen existieren, können im Einzelfall personenbezogene Daten des Schutzbereiches 3 im Rahmen der Fernwartung von Geräten der Medizintechnik mit IT-Anteilen und bei sanitätsdienstlichen Vorhaben auch unverschlüsselt übertragen werden. Diese Ausnahmen sind mittels Risikoanalyse im IT-Sicherheitskonzept der Dienststelle unter Berücksichtigung der vorhandenen vorhabenbezogenen IT-Sicherheitskonzepte zu begründen. zu 5 Zugriffskontrolle Ziel der Zugriffskontrolle ist es zu gewährleisten, daß Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten Zugriff haben. Maßnahmen SB 1 SB 2 SB 3 Automatische Rechteverwaltung und Rechteprüfung, d.h. das IT-System muß in der Lage sein, Zugriffsrechte (z.b. Lesen, Schreiben, Löschen) von jeder Benutzergruppe oder von jedem Benutzer auf Objekte (z.b. Prozesse, Dateien, Geräte), die der Rechteverwaltung unterliegen, zu unterscheiden und zu verwalten. + Die Zugriffsrechte zur Unterstützung von Rollen [der Begriff "Rolle" bezeichnet Benutzer mit besonderen Kennzeichen (z.b. Systemverwalter, Nutzer)] können in Gruppen zusammengefaßt werden. Es sind Möglichkeiten vorzusehen, um einzelnen Benutzergruppen bzw. Benutzern den Zugriff auf ein Objekt ganz zu verwehren. Es sind Möglichkeiten vorzusehen, um für jeden Benutzer die Zugriffsrechte bzgl. eines Objekts einzeln zu erteilen. + Nur autorisierte Benutzer (z.b. Systemverwalter) dürfen Rechte bzgl. eines Objekts vergeben oder entziehen

106 Für jedes der Rechteverwaltung unterliegende Objekt ist eine Liste von Benutzern sowie eine Liste von Benutzergruppen unter Angabe ihrer jeweiligen Zugriffsrechte zu diesem Objekt anzulegen. Außerdem ist für jedes derartige Objekt ein Verzeichnis von Benutzern sowie eine Liste von Benutzergruppen anzugeben, denen der Zugriff zu diesem Objekt verweigert wird. Die Rechteverwaltung muß die Weitergabe von Zugriffsrechten kontrollieren. Ebenso darf das Einbringen neuer Benutzer sowie das Löschen bzw. Sperren von Benutzern nur durch autorisierte Benutzer möglich sein. + Bei jedem Zugriffsversuch von Benutzern bzw. Benutzergruppen auf Objekte, die der Rechteverwaltung unterliegen, hat das IT-System die Berechtigung der Anforderung zu überprüfen. Unberechtigte Zugriffsversuche müssen abgewiesen werden. + Es ist sicherzustellen, daß keine nicht benutzten Paßwörter (z.b. von Wartungstechnikern benutzte Paßwörter, Herstellerpaßwörter) im System sind. Das IT-System muß eine Protokollierungskomponente enthalten, die in der Lage ist, jedes der folgenden Ereignisse revisionsfähig zu protokollieren: Benutzung der Identifikations- und Authentisierungsmechanismen (nicht bei allein genutztem Einzelplatz APC), versuchter Zugriff auf ein der Rechteverwaltung unterliegendes Objekt (nicht bei allein genutztem Einzelplatz APC), Aktionen von autorisierten Benutzern, die die Sicherheit des Systems betreffen (nicht bei allein genutztem Einzelplatz APC), Herstellen einer Kommunikationsverbindung bei der Übermittlung von Daten, spezielle Datenübertragungstransaktionen bei der Übermittlung von Daten. Organisatorische Sicherstellung, daß nur autorisiertes Personal Zugriff auf die Protokollinformationen hat. Manuelle Protokollauswertung (soweit diese aufwandsmäßig zu rechtfertigen ist, z.b. durch geringe Anzahl von IT-Systemen und Nutzern). + Es müssen Werkzeuge zur Auswertung und Verwaltung der Protokolldateien zu Revisionszwecken vorhanden und dokumentiert sein. Diese Werkzeuge müssen es ermöglichen, selektiv die Aktionen einzelner oder mehrerer Benutzer zu identifizieren (soweit keine manuelle Auswertung sinnvoll). Das IT-System muß eine Protokollierungskomponente enthalten, die in der Lage ist, das Anlegen und Löschen eines der Rechteverwaltung unterliegenden Objekts revisionsfähig zu protokollieren. Der Zugriff auf Protokolinformationen darf nur dazu autorisierten Benutzern möglich sein. Es muß möglich sein, die Beweissicherung auf einen oder mehrere Benutzer zu beschränken. Es ist eine Zuordnung bestimmter Funktionen/Nutzer zu einzelnen Terminals und Peripheriegeräten (z.b. Drucker) vorzusehen

107 Das System muß bei der Übermittlung von Daten eine Protokollierungskomponente enthalten, die in der Lage ist, identifizierte Fehler bei der Datenübertragung revisionsfähig zu protokollieren. Zusätzlich muß es einen Mechanismus zur Überwachung von Ereignissen geben, die entweder besonders sicherheitsrelevant sind oder auf Grund der Häufigkeit ihres Auftretens eine kritische Bedrohung der Sicherheit des IT-Systems werden könnten Dieser Mechanismus muß in der Lage sein, einen speziellen Benutzer bzw. einen Benutzer mit einer speziellen Rolle unverzüglich über das Auftreten solcher Ereignisse zu informieren. Dieser Mechanismus muß daneben auch in der Lage sein, in solchen Fällen selbst Maßnahmen in die Wege zu leiten, durch welche ein weiteres Auftreten solcher Ereignisse unterbunden wird. zu 6 Übermittlungskontrolle Ziel der Übermittlungskontrolle ist es, feststellen und überprüfen zu können, wer an wen welche Daten durch Einrichtungen der Datenübertragung übermittelt hat. Maßnahmen SB 1 SB 2 SB 3 Der Einsatz von Fax, BTX und vergleichbarer Medien ist uneingeschränkt zulässig Es sind Datenempfänger (Adressat) und übermittelnde Berechtigte (Sender) festzulegen. Der Empfänger muß vor Übertragung der Nutzerdaten identifiziert werden. Sender und Empfänger müssen vor Übertragung der Nutzerdaten eindeutig identifiziert und authentisiert werden (Adresszuordnung mit Prüfroutinen). Die Übertragung muß stichprobenartig revisionsfähig protokolliert werden. Die Übertragung muß revisionsfähig protokolliert werden. Soweit es sich um Übermittlungen bei Abrufverfahren handelt, gelten die Ausführungen zu 10 Abs. 4. Bei Fernwartung ist die Datenübertragung vom IT-System zum Fernwartungssystem zu protokollieren. Bei Einsatz von Fax, BTX usw. ist sicherzustellen, daß der Empfänger zur Entgegennahme der Informationen des entsprechenden Schutzbereiches berechtigt ist

108 Unberechtigte Übermittlungen sind abzuweisen. Programmgestützte Sender (Adressatenzuordnung mit entsprechenden Prüfroutinen). Informationen sind bei der Übertragung zu kryptieren. Die Datenintegrität ist durch besondere Manipulationsschutz-/-erkennungsverfahren (z.b. elektronische Unterschrift) zu gewährleisten. - Bei Einsatz von Fax ist technisch (z.b. Geräte mit Paßwort gesicherter Mailbox) oder organisatorisch sicherzustellen, daß nur ein für das jeweilige Fax Empfangsberechtigter Zugriff hat. - Bei der Übermittlung über Netze, die nicht der Kontrolle der Bw unterliegen, ist eine Verschlüsselung vorzusehen (auch bei Funk- und Satellitenübermittlung). - Digitale Signatur oder vergleichbare Maßnahme zur Authentizität sind vorzusehen zu 7 Eingabekontrolle Ziel der Eingabekontrolle ist es, nachträglich feststellen zu können, welche personenbezogenen Daten wann von wem eingegeben worden sind. Maßnahmen SB 1 SB 2 SB 3 Maßnahmen der Zugriffskontrolle sind zu beachten. Eingabeprogramme sind in der Dokumentation auch als solche auszuweisen. Bei Fernwartung ist die Dateneingabe des Wartungssystems zu protokollieren. Eine revisionsfähige Protokollierung der Nutzung der Eingabeprogramme ist vorzusehen zu 8 Auftragskontrolle Ziel der Auftragskontrolle ist es sicherzustellen, daß Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Maßnahmen SB 1 SB 2 SB 3 Es gelten die Ausführungen zu

109 Beim Auftragnehmer sind mindestens die gleichen IT-Sicherheitsbestimmungen zu beachten, wie sie für den Geschäftsbereich des BMVg gültig sind. Verarbeitung ist nur in geschlossenen Systemen zulässig zu 9 Transportkontrolle Ziel der Transportkontrolle ist es zu gewährleisten, daß bei der Übermittlung von personenbezogenen Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, verändert oder gelöscht werden können. Hier ist jeglicher Transport und jede Weitergabe gemeint, und zwar sowohl der Transport/die Weitergabe innerhalb der speichernden Stelle als auch der Transport/die Übermittlung an Dritte. Maßnahmen SB 1 SB 2 SB 3 Transportwege sind festzulegen. Beim Transport durch Dritte zum Zwecke der Vernichtung sind die Vorgaben der + Anlage 3 zu beachten. Eine Empfangsbestätigung/ein Begleitzettel ist vorzusehen. Eine Vollständigkeitsüberprüfung ist durchzuführen. Bei Versand durch Postaustausch ist die Versendung in verschlossenen Behältnissen - durchzuführen Es ist eine Verschlüsselung bei Online-Datenübermittlung (Softwareschlüsselverfahren, Kryptokarten oder ähnliches) vorzusehen zu 10 Organisationskontrolle Ziel der Organisationskontrolle ist es, die innerbehördliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird, d. h. sie ist so zu gestalten, daß die vorhandenen Daten in einem angemessenen Umfang gegen unbefugten Zugriff, gegen Mißbrauch, Verlust, Verstümmelung und Zerstörung geschützt werden können. Maßnahmen SB 1 SB 2 SB 3

110 Bei Verträgen, die die Verarbeitung oder Nutzung von personenbezogenen Daten oder die Wartung von IT-Systemen betreffen, die solche Daten verarbeiten, sind die betreffenden Mitarbeiter nach 5 BDSG zu verpflichten; auf die zu treffenden Maßnahmen bei der Fernwartung von IT-Systemen ist hinzuweisen. Eine Schulung der Mitarbeiter ist durchzuführen. Es sind Richtlinien für die Archivierung/Verwaltung von Datenträgern vorzusehen. Es sind regelmäßig Kontrollen durchzuführen. Die Zahl berechtigter Benutzer ist zu begrenzen. Eine regelmäßige Datensicherung ist sicherzustellen. Bei der Erstellung des IT-Sicherheitskonzeptes (vorhaben-/bzw. dienststellenbezogen) ist die Notwendigkeit eines Back-up-Systems zu prüfen. Über die Notwendigkeit entscheidet der Verfahrensverantwortliche bzw. der Dienststellenleiter auf Grund der Risikoanalyse. + Ist Fernwartung vorgesehen, sind die erforderlichen Sicherheitsmaßnahmen in das IT- Sicherheitskonzept aufzunehmen. Die Verantwortung für den Systembetrieb und die Revision (z.b. Auswertung von Protokollierungen) ist grundsätzlich zu trennen. + Es gelten die Ausführungen zu 11. Die Einhaltung der Vorschriften der Hardware-Hersteller ist zu kontrollieren. Die Paßwortvergabe an Wartungspersonal erfolgt durch den Systemverwalter, die Paßwörter sind jeweils nach der Wartung zu ändern. + Bei der Paßwortvergabe für Wartungstechniker (auch Fernwartung) ist sicherzustellen und nachzuweisen, daß dieser nur Zugriff auf Wartungs- und Diagnosedateien hat; das Paßwort ist nach der Wartung vom Systemverwalter zu ändern. + Nach erzwungenem Abbruch ist die Verbindung eines Datenendgerätes oder eines Kleinrechners mit dem Zentralrechner erst dann wiederherzustellen, wenn der Grund für den Versuch der unberechtigten Nutzung geklärt worden ist

111 zurück Die Durchführung einer Fehlerbeseitigung und die Freigabeermächtigung ist aktenkundig zu machen Anlage 4b Technische und organisatorische Maßnahmen für nicht-automatisierte personenbezogene Daten in Akten, Dateien, Vorentwürfen und Notizen (Unterlagen) Diese Anlage enthält die Zielvorgaben zum Schutz personenbezogener Daten in nicht-automatisierten Akten, Dateien, Vorentwürfen und Notizen (Unterlagen). Zu jeder Zielvorgabe werden Maßnahmen genannt, die für die einzelnen Schutzbereiche (SB) Mindestvorgaben darstellen. Sie können im Einzelfall durch andere Maßnahmen ersetzt werden, wenn diese den gleichen Schutzzweck erfüllen. Wo Maßnahmen für mehrere Zielvorgaben zutreffen, sind sie bei der ersten zutreffenden Vorgabe aufgeführt. Zugangskontrolle Ziel der Zugangskontrolle ist es zu verhindern, daß Unbefugte sich Zugang zu Unterlagen mit personenbezogenen Daten verschaffen. Maßnahmen SB 1 SB 2 SB 3 Kein Zugang für Fremdpersonal (Besucher, Wartungspersonal, Reinigungspersonal) und Unberechtigte ohne Aufsicht, soweit personenbezogene Unterlagen nicht verschlossen aufbewahrt werden. + Personenbezogene Unterlagen sind nach Dienstschluß in abgeschlossenen Räumen oder Schränken aufzubewahren. Die Räume müssen bei Verlassen abgeschlossen werden; befinden sich personenbezogene Unterlagen in Räumen, die während der Dienstzeit nicht abgeschlossen werden können, sind die Unterlagen auch bei kurzfristigem Verlassen wegzuschließen. - Akten sind in zugangsbeschränkten Räumen abzulegen, die Zutrittsberechtigungen sind festzulegen (Schlüsselordnung). Fenstersicherung (einschließlich Verglasung) für Räume im Erdgeschoß, soweit nicht in militärischen Sicherheitsbereichen gelegen, alternativ ist eine Unterbringung in Stahlschränken vorzusehen. - Sicherheitsschlösser für Zugangstüren, soweit nicht Zugangsschutz oder materielle Zugangssicherung, wie Zutritt mittels Magnetkarte, gegeben ist. Personenbezogene Unterlagen sind in gesicherten Schränken (Stahlschrank oder besonders gesicherten Räumen) aufzubewahren Datenträger- und Transportkontrolle

112 Ziel der Datenträgerkontrolle ist es, Diebstahl, unbefugtes Verändern, Lesen oder Kopieren von Unterlagen zu verhindern. Ziel der Transportkontrolle ist es, zu gewährleisten, daß beim Transport von Unterlagen diese nicht unbefugt gelesen, verändert oder gelöscht werden können. Maßnahmen SB 1 SB 2 SB 3 Es sind Datenempfänger (Adressaten) und übermittelnde Berechtigte (Absender) + festzulegen. Unterlagen sind innerhalb der speichernden Stelle in verschlossenen Behältnissen - zu versenden (Verschlußmappe, Briefumschlag, o.ä.) Bei Versand über Post (extern) per Einschreiben, Wertbrief, Paket mit besonderem Wert (Alternativ: Kurier) ist ein Quittungsverfahren (Rückschein) erforderlich. Bei Versand durch Postaustausch (intern), Versendung nur in verschlossenen Behältnissen. - Ein Begleitzettel oder eine Empfangsbestätigung ist vorzusehen. Die Entnahme von personenbezogenen Unterlagen ist schriftlich festzuhalten (bei den Unterlagen). - Der Einsatz von Fax und vergleichbarer Medien ist uneingeschränkt zulässig. Bei Einsatz von Fax ist sicherzustellen, daß der Empfänger zur Entgegennahme der Unterlagen des entsprechenden Schutzbereiches berechtigt ist. Bei Einsatz von Fax ist technisch (z.b. Geräte mit Paßwort gesicherter Mailbox) oder organisatorisch sicherzustellen, daß nur ein für das jeweilige Fax Empfangsberechtigter, der dem gleichen Berufsgeheimnis verpflichtet ist, Zugriff hat Zugriffs-/Benutzerkontrolle Ziel der Zugriffs-/Benutzerkontrolle ist zu gewährleisten, daß Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten Zugriff haben und Unberechtigte keinen Zugriff erhalten. Maßnahmen SB 1 SB 2 SB 3 Die Benutzer und ihre Zugriffsrechte sind durch eine Dienstanweisung festzulegen. Organisationskontrolle - + +

113 Ziel der Organisationskontrolle ist es, die innerbehördliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird, d.h. sie ist so zu gestalten, daß die vorhandenen Daten in einem angemessenen Umfang gegen unbefugten Zugriff, gegen Mißbrauch, Verlust, Verstümmelung und Zerstörung geschützt werden können. Maßnahmen SB 1 SB 2 SB 3 Beim Transport durch Dritte zum Zwecke der Vernichtung sind die Vorgaben der + Anlage 3 zu beachten. Schulung der für die Durchführung des Datenschutzes Zuständigen in den im + Geschäftsbereich angebotenen Lehrgängen und Seminaren. Eine Schulung der Mitarbeiter ist vorzusehen. Es sind Richtlinien für die Archivierung von personenbezogenen Unterlagen (nicht - für Schutzbereich 1) festzulegen. zurück Es sind regelmäßige Kontrollen durch die für den Datenschutz verantwortlichen Stellen - durchzuführen Anlage 5 (nur über Dokumente)

114 Anlage 6 weiter zu Anlage 7 zurück zu DB 18 Datenschutzrechtliche Aufgaben einer "SPEICHERNDEN STELLE" im Geschäftsbereich BMVg AUFGABEN RECHTSGRUNDLAGE HINWEISE IM BDSG 1 Zulässigkeit der rechtmäßigen Erhebung, 4 Siehe Erläuterungen zu 1 Abs. 4. Verarbeitung oder Nutzung personenbezogener Daten in Akten Nach 1 Abs. 4 haben bereichsspezifische Regelungen Vorrang vor denen des BDSG. Zu den Begriffen "Erheben", "Verarbeiten" und "Nutzen" siehe A n l a g e 1. und Dateien prüfen a) Erheben 13 Abs. 1 und 2 Nicht rechtmäßig erhobene Daten dürfen nicht verarbeitet oder genutzt werden. Prüfen, ob die für die Verarbeitung oder Nutzung in Akten oder Dateien vorgesehenen personenbezogenen Daten rechtmäßig erhoben werden können Hinweisen bzw. Aufklären Für Beamten- und Soldatenbewerber, Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gelten anstelle des 13 Abs. 1 die 90 Abs. 4 BBG, 29 Abs. 2 SG und 25 Abs. 2 WPflG. 13 Abs. 3 und 4 Siehe Durchführungsbestimmungen zu 13 Abs. 3 * über den Inhalt der Rechtsvorschrift, aufgrund derer die Daten erhoben werden und die Rechtsfolgen einer Auskunftsverweigerung * auf die Voraussetzungen für und 4. die Erlangung von Rechtsvorteilen * auf die Freiwilligkeit der Angaben und die Rechtsfolgen, die aus einer Verweigerung entstehen können Vorgesetzte der Betroffenen sind darauf aufmerksam zu machen, daß die Verweigerung f r e i w i l l i g e r Angaben keine dienstlichen oder arbeitsrechtlichen b) S p e i c h e r n, V e r ä n d e r n, 12 Abs. 4 Nachteile zur Folge haben darf. Für die Verarbeitung und Nutzung im Rahmen der Ü b e r m i t t e l n u n d N u t z e n i.v.m. Dienstverhältnisse der Beamten und Soldaten sowie für die zukünftigen Dienstverhältnisse ungedienter Wehrpflichtiger gilt 28 Abs.1 und Abs. 2 Nr. 1 über 12 Abs. 4 nur noch, soweit die verarbeiteten oder im Rahmen der Zweckbestimmung früherer und bestehender Arbeits- und Ausbildungsverhältnisse und zukünftiger dienst und arbeitsrechtlicher Rechtsverhältnisse bei Bewerbungen 28 Abs. 1 Nr. 1 und Abs. 2 Nr. 1 genutzten personenbezogenen Daten keine Personalaktendaten sind. Siehe Durchführungsbestimmungen zu 12 Abs. 4.

115 für Beamte, Soldaten, ehemalige Soldaten, ungediente Wehrpflichtige, Arbeitnehmer und Bewerber, soweit die verarbeiteten oder genutzten personenbezogenen Daten keine Personalaktendaten 28 Abs. 1 Nr. 2 und Abs. 2 Nr. 1 sind c) B e r i c h t i g e n, S p e r r e n, L ö s c h e n von Daten aus früheren, bestehenden oder zukünftigen dienst- oder arbeitsrechtlichen Rechtsverhältnissen d) V e r a r b e i t e n o d e r N u t z e n 12 Abs. 4 i.v.m Abs. 1 Für Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gilt 35 nur, soweit für die Betroffenen nicht bereichsspezifische Regelungen gelten ( 90 e [auch 90 b und f] BBG, 29 Abs. 5 Satz 3 und 4 SG) i.v.m. 6 SPersAV, 25 WPflG i.v.m. 4 Abs. 2 und 3 WPersAV). p e r s o n e n b e z o g e n e r D a t e n i. V. m. i m ö f f e n t l i c h e n B e- r e i c h, d i e s i c h n i c h t a u f e i n d i e n s t - o d e r a r b e i t s - r e c h t l i c h e s R e c h t s v e r - h ä l t n i s b e z i e h e n Speichern, Verändern und Nutzen 14 Übermitteln an öffentliche Stellen 15 Siehe Durchführungsbestimmungen zu 16 Abs.4. Übermitteln an nicht-öffentliche Stellen 16 Übermitteln an Stellen außerhalb des Geltungsbereiches dieses Gesetzes Berichtigen, Sperren und Löschen gilt nur für personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen gilt nur für den Umgang mit personenbezogenen 2 Mitarbeiter über ihr Widerspruchsrecht 24 Abs. 2 Daten für Zwecke der wissenschaftlichen Forschung. Siehe Durchführungsbestimmungen zu 24 Abs. 2. unterrichten und sofern erforderlich auf ihre Pflichten bei der Verarbeitung oder 5 Zum Personenkreis siehe Durchführungsbestimmungen zu 5. Nutzung personenbezogener Daten hinweisen 3 Technische und organisatorische 9 Hinsichtlich der Zuständigkeit für die zu treffenden Maßnahmen treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG insbesondere der in der Anlage zu 9 Satz 1 genannten Anforderungen zu gewährleisten Kontrolle der Einhaltung der Bestimmungen zur Vernichtung von Datenträgern mit personenbezogenen Daten und Anlage zu 9 Satz 1 Maßnahmen siehe Durchführungsbestimmungen zu 9 (Maßnahmen). Vorgaben hierzu enthalten die Anl a g e n 4a und 4b. Siehe A n l a g e 3.

116 4 Automatisierte Abrufverfahren 10 Abs. 1 Siehe Anlage 5. Antrag auf Einrichtung stellen 10 Abs. 2 Inbetriebnahme mitteilen 10 Abs. 4 Siehe Durchführungsbestimmungen zu 10 Abs. 4. Festlegen der in 10 Abs. 2 geforderten Angaben Zulässigkeit der Abrufe prüfen, wenn hierzu Veranlassung besteht 5 Erteilen von Aufträgen zur 11 Abs. 1 und 2 Gilt auch für die Verarbeitung personenbezogener * Verarbeitung und/oder * Nutzung personenbezogener Daten an Auftragnehmer Daten im Rahmen von IT-Vorhaben in Rechenzentren in der Bundeswehr. Siehe Durchführungsbestimmungen zu Verzeichnis der eingesetzten Datenverarbeitungsanlagen (DVA) führen Prüfen, auf welchen DVA personenbezogene Daten verarbeitet werden Dateien mit personenbezogenen Daten zur 18 Abs. 2 Satz 1 18 Abs. 2 Satz 2 Die gesetzlichen Forderungen werden durch das "ITBestandsverzeichnis BMVg" (DV-Ident-Nr. 4340) erfüllt. Siehe Durchführungsbestimmungen zu 18 Abs. 2 Satz 1. Siehe A n l a g e 8. Aufnahme in den DatenbestandDATAV melden Übersicht über die Dateien mit personenbezogenen Daten führen; Übersicht aktualisieren Datenverarbeitungsprogramme, mit denen 18 Abs. 2 Satz 3 Für die Freigabe und Kontrolle ihrer Programme sind die speichernden Stellen (für Datenverarbeitungsprogramme in IT-Vorhaben die Vorhabenmanager) zuständig. personenbezogene Daten verarbeitet werden sollen, freigeben Ordnungsgemäße Anwendung der Programme, mit denen personenbezogene Daten verarbeitet werden, überwachen 7 Betroffene benachrichtigen, wenn zu ihrer Person erstmals Daten gespeichert werden 12 Abs.4 i.v.m. 33 Abs. 1 und Abs. 2 Nr gilt nur, soweit nicht bereichsspezifische Regelungen (z.b. 90g Abs. 4 BBG, 7 SPersAV oder 5 WPersAV) anzuwenden sind. Ist die speichernde Stelle verantwortlich für einen zentralen Datenbestand im Rahmen eines IT- Vorhabens, hat sie für ihren Fachbereich eine dem Gesetz entsprechende Regelung zu treffen. 8 Auskunft an den Betroffenen erteilen 6 Abs. 2 Sätze 1 und 2 Grundsätzlich erteilt die speichernde Stelle auf Antrag des Betroffenen der auch mündlich gestellt werden kann Auskunft über die bei ihr zu seiner Person gespeicherten Daten, soweit spezial-gesetzliche Regelungen nicht entgegenstehen. Sofern Auskunft über die im gesamten Geschäftsbereich gespeicherten Daten begehrt wird, sind die Anträge dem BMVg - Org 2 auf dem Dienstweg vorzulegen. Für Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gelten die bereichsspezifischen Vorschriften über das Auskunftsrecht (z.b. 90 c Abs. 4 BBG, 29 Abs. 7 und 8 SG und 25 Abs. 6 WPflG).

117 a) wenn personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder 12 Abs. 4 i.v.m. 34 Abs. 1 Satz 1 und 2, 19 gilt nur, soweit nicht bereichsspezifische Regelungen (z.b. 9 MADG i. V. m. 15 BVerfSchG für Auskünfte des MAD oder 23 SÜG für Auskünfte aus Sicherheitsakten und Sicherheits-überprüfungsakten) anzuwenden sind. arbeitsrechtliche Rechtsverhältnisse verarbeitet Abs. 3 und 4 sowie Abs. 5 Satz 1 oder genutzt werden b) wenn personenbezogene Datensonst im 19 öffentlichen Bereich verarbeitetoder genutzt werden zurück zurück zu DB 18 Anlage 7 zurück zu DB 18 Datenschutzrechtliche Aufgaben im Rahmen der Dienst- und Fachaufsicht im Geschäftsbereich des BMVg AUFGABEN RECHTSGRUNDLAGE HINWEISE IM BDSG 1 Prüfen, ob personenbezogene Daten in Akten oder Dateien unter Beachtung der gesetzlichen Grundlagen erhoben, verarbeitet oder genutzt wurden 4 Siehe Erläuterungen zu 1 Abs. 4. Nach 1 Abs. 4 haben bereichsspezifische Regelungen Vorrang vor denen des BDSG. Zu den Begriffen "Erheben", "Verarbeiten" und "Nutzen" siehe A n l a g e 1. Werden personenbezogene Daten mit Einwilligung des Betroffenen verarbeitet oder genutzt, weil eine andere Rechtsgrundlage nicht gegeben ist, siehe Durchführungsbestimmungen zu 4 Abs. 2.

118 a) E r h e b e n 13 Abs. 1 und 2 Nicht rechtmäßig erhobene Daten sind unverzüglich Wurden die für die Verarbeitung oder Nutzung in zu löschen. Akten oder Dateien vorgesehenen personen- bezogenen Daten rechtmäßig erhoben? Für Beamten- und Soldatenbewerber, Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gelten anstelle des 13 Abs. 1 die 90 Abs. 4 BBG, 29 Abs. 2 SG und 25 Abs. 2 WPflG. Wurden die Betroffenen * über den Inhalt der Rechtsvorschrift, aufgrund derer 13 Abs. 3 und 4 Siehe Durchführungsbestimmungen zu 13 Abs. 3 und 4. die Daten erhoben werden und die Rechtsfolgen einer Auskunftsverweigerung, * auf die Voraussetzungen für die Erlangung von Rechtsvorteilen und * auf die Freiwilligkeit der Angaben und die Rechtsfolgen, die aus einer Verweigerung entstehen können, hingewiesen bzw. aufgeklärt? Vorgesetzte der Betroffenen sind darauf aufmerksam zu machen, daß die Verweigerung f r e i w i l l i g e r Angaben keine dienstlichen oder arbeitsrechtlichen Nachteile zur Folge haben darf; ggf. ist zu prüfen, ob dies der Fall war. b) S p e i c h e r n, V e r ä n d e r n, Ü b e r m i t t e l n u n d N u t z e n Wurden personenbezogene Daten rechtmäßig verarbeitet oder genutzt 12 Abs. 4 i.v.m. Für die Verarbeitung und Nutzung im Rahmen der Dienstverhältnisse der Beamten und Soldaten, sowie für die zukünftigen Dienstverhältnisse ungedienter Wehrpflichtiger gilt 28 Abs.1 und Abs. 2 Nr. 1 über 12 Abs. 4 nur noch, soweit die verarbeiteten oder genutzten personenbezogenen Daten keine Personalaktendaten sind. im Rahmen der Zweckbestimmung früherer und 28 Abs. 1 Nr. 1 und Abs. 2 Nr. 1 Siehe Durchführungsbestimmungen zu 12 Abs.4. bestehender Arbeits- und Ausbildungsverhältnisse und zukünftiger dienst- und arbeitsrechtlicher Rechtsverhältnisse bei Bewerbungen? 28 Abs. 1 Nr. 2 und Abs. 2 Nr. 1 für Beamte, Soldaten, ehemalige Soldaten, ungediente Wehrpflichtige, Arbeitnehmer und Bewerber, soweit die verarbeiteten oder genutzten personenbezogenen Daten keine Personalaktendaten sind? c) B e r i c h t i g e n, S p e r r e n, L ö s c h e n Wurden Daten aus früheren, bestehenden oder zukünftigen dienst- oder arbeitsrechtlichen Rechtsverhältnissen rechtmäßig berichtigt, gesperrt oder gelöscht? 12 Abs. 4 i.v.m. 35 Für Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gilt 35 nur, soweit für die Betroffenen nicht bereichsspeziflsche Regelungen gelten ( 90e [auch 90b und f] BBG, 29 Abs. 5 Satz 3 und 4 SG i.v.m. 6 SPersAV, 25 WPflG i.v.m. 4 Abs. 2 und 3 WPersAV).

119 d) V e r a r b e i t e n o d e r N u t z e n p e r s o n e n b e z o g e n e r D a t e n i m ö f f e n t - l i c h e n B e r e i c h, d i e s i c h n i c h t a u f e i n d i e n s t - o d e r a r b e i t s r e c h t l i c h e s R e c h t s v e r h ä l t n i s b e z i e h e n Wurden personenbezogene Daten rechtmäßig verarbeitet oder genutzt? 12 Abs. 1 Speichern, Verändern und Nutzen i. V. m. Übermitteln an öffentliche Stellen 14 Übermitteln an nicht-öffentliche Stellen Übermitteln an Stellen außerhalb des Siehe Durchführungsbestimmungen zu 16 Abs.4. Geltungsbereiches dieses Gesetzes 17 Berichtigen, Sperren und Löschen gilt nur für personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. 40 gilt nur für den Umgang mit personenbezogenen 2 Kontrollieren, ob die von den speichernden 9 Daten für Zwecke der wissenschaftlichen Forschung. Hinsichtlich der Zuständigkeit für die zu treffenden Stellen getroffenen technischen und organisatorischen Maßnahmen ausreichen, um die Ausführung des BDSG insbesondere der in der Anlage zu 9 Satz 1 genannten Anforderungen zu gewährleisten Kontrolle der Einhaltung der Bestimmungen zur Vernichtung von Datenträgern mit personenbezogenen Daten. 3 Automatisierte Abrufverfahren und Anlage zu 9 Satz 1 10 Abs. 1 Maßnahmen, siehe Durchführungsbestimmungen zu 9 (Maßnahmen). Vorgaben enthalten die Anlagen 4a und 4b. Bei der Kontrolle ist auch darauf zu achten, inwieweit die Maßnahmen unter Beachtung des Grundsatzes der Verhältnismäßigkeit (Gefährdung/Aufwand) dem angestrebten Zweck ntsprechen. Siehe Anlage 3. Siehe A n l a g e 5. Antrag auf Einrichtung eines automatisierten Abrufverfahrens und die Mitteilung der Inbetriebnahmemitprüfen 10 Abs. 2 Prüfen der in 10 Abs. 2 gefordertenangaben 10 Abs. 4 Siehe Durchführungsbestimmungen zu 10 Abs. 4. Zulässigkeit der Abrufe kontrollieren, wenn hierzu Veranlassung besteht 4 Kontrollieren, ob die in Aufträgen zur 11 Abs. 1 und 2 Gilt auch für die Verarbeitung personenbezogener * Verarbeitung und/oder * Nutzung personenbezogener Daten an Auftragnehmer Daten im Rahmen von IT-Vorhaben in Rechen-zentren in der Bundeswehr. Siehe Durchführungsbestimmungen zu 11. erteilten Auflagen erfüllt werden

120 5 Prüfen, ob alle eingesetzten Datenverarbeitungsanlagen (DVA) ordnungsgemäß zum "IT- Bestandsverzeichnis BMVg" gemeldet worden 18 Abs. 2 Satz 1 Die gesetzlichen Forderungen werden durch das "ITBestandsverzeichnis BMVg" (DV-Ident-Nr. 4340) erfüllt. sind Siehe Durchführungsbestimmungen zu 18 Abs. 2 Kontrollieren, auf welchen DVA personenbezogene Satz 1. Daten verarbeitet werden Siehe A n l a g e 8. Sicherstellen, daß a) die unterstellten Dienststellen/Einheiten als 18 Abs. 2 Satz 2 "Speichernde Stelle" alle gem. Ifd. Nr. 1 zulässigen Dateien mit personenbezogenen Daten zur Aufnahme in das DATAV melden und erforderliche Korrekturen durchführen, b) die vom BAWV übersandten Dateinachweise (Liste 100) als Übersicht über die Dateien mit personenbezogenen Daten geführt und Für die Freigabe und Kontrolle ihrer Programme sind aktualisiert werden Kontrollieren, ob die Programme, mit denen 18 Abs. 2 Satz 3 die speichernden Stellen (für Datenverarbeitungsprogramme in IT-Vorhaben die Vorhabenmanager) zuständig. personenbezogene Daten verarbeitet werden sollen, ordnungsgemäß freigegeben worden sind Kontrollieren, ob die Programme, mit denen personenbezogene Daten verarbeitet werden, ordnungsgemäß angewendet werden 6 Sicherstellen, daß die Betroffenen von der erstmaligen Speicherung ihrer Daten benachrichtigt werden 12 Abs. 4 i.v.m. 33 Abs. 1 und Abs. 2 Nr gilt nur, soweit nicht bereichsspezifische Regelungen (z.b. 90g Abs. 4 BBG, 7 SPersAV oder 5 WPersAV) anzuwenden sind. Ist die dienst- oder fachaufsichtführende Stelle für einen zentralen Datenbestand im Rahmen eines IT-Vorhabens verantwortlich, hat sie für ihren Fachbereich eine dem Gesetz entsprechende Regelung zu treffen. 7 Sicherstellen, daß die Rechte der Betroffenen auf Auskunfterteilung gewahrt werden 6 Abs. 2 Sätze 1 und 2 Grundsätzlich erteilt die speichernde Stelle auf Antrag des Betroffenen der auch mündlich gestellt werden kann Auskunft über die bei ihr zu seiner Person gespeicherten Daten, soweit spezialgesetzliche Regelungen nicht entgegenstehen. Sofern Auskunft über die im gesamten Geschäflsbereich gespeicherten Daten begehrt wird, sind die Anträge dem BMVg Org 2 auf dem Dienstweg vorzulegen. Für Beamte, Soldaten, ehemalige Soldaten und ungediente Wehrpflichtige gelten die bereichsspezifischen Vorschriften über das Auskunftsrecht (z.b. 90c Abs. 4 BBG, 29 Abs. 7 und 8 SG und 25 Abs. 6 WPflG). 19 gilt nur, soweit nicht bereichsspezifische Regelungen (z. B. 9 MADG i. V. m. 15 BVerfSchG für Auskünfte des MAD oder 23 SÜG für Auskünfte aus Sicherheitsakten und Sicherheitsüberprüfungsakten) anzuwenden sind.

121 a) wenn personenbezogene Daten für frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse verarbeitet oder genutzt werden b) wenn personenbezogene Daten sonst im öffentlichen Bereich verarbeitet oder genutzt werden 12 Abs. 4 i.v.m. 34 Abs. 1 Satz 1 und 2, Abs. 3 und 4 sowie Abs. 5 Satz 1 19 zurück zurück zu DB 18 zurück zu Erlass zurück zu Erlass Anlage 8 Übersicht über Dateien mit personenbezogenen Daten zu 18 Abs. 2 Satz 2 BDSG Inhalt I. Gesetzlicher Auftrag 101 bis 103 II. Zuständigkeit für die Erfassung 201 bis 208 III. Gegenstand der Erfassung 301 bis 305 IV. Verfahren der Dateimeldung (Meldeweg) 401 bis 406 V. Aufgaben der Sammelstellen 501 bis 505 VI. Führen der Übersicht nach 18 BDSG 601 bis 602 VII. Termine 701 bis 702 I. Gesetzlicher Auftrag 203. Im B M V g werden die Stäbe/Führungsstäbe/Abteilungen 101. Die Ausführung des BDSG erfordert die Erfassung aller im Geschäftsbereich des BMVg geführten Dateien mit personenbezogenen Daten. Sie bildet u.a. die Grundlage für die von jeder speichernden Stelle zu führende Ü b e r s i c h t ü b e r d i e v o n i h r g e f ü h r t e n D a t e i e n m i t p e r - s o n e n b e z o g e n e n D a t e n und die Anmeldung der automatisiert betriebenen Dateien zum D a t e i e n r e g i s t e r d e s B u n d e s b e a u f t r a g t e n f ü r d e n D a t e n s c h u t z (BfD) Zur Unterstützung der Durchführung dieser Aufgaben wurde das "Dateienerfassungs- und Auswerteverfahren zur Ausführung des Bundesdatenschutzgesetzes" (DATAV) h i n s i c h t l i c h d e r D a t e i m e l d u n g e n wie "Speichernde Stellen" behandelt; die Aufgaben einer S a m m e l s t e l l e werden von Org 2 wahrgenommen Als "SammeIerfassung" sind von den in Nr. 201 genannten " V e r a n I a s s e n d e n S t e l I e n " Dateien zu melden, die zur Erfüllung bestimmter Aufgaben von den betroffenen speichernden Stellen mit gleichem Inhalt (gespeicherte Merkmale, Herkunft und gegebenenfalls Übermittlung der Daten) und auf gleiche Art (Verarbeitungsart manuell oder automatisiert) zu führen sind Weisunggebende Stellen, die zur Erfüllung einer bestimmten Aufgabe für mehrere Dienststellen/Einheiten die Verarbeitung personenbezogener Daten in einer Datei anordnen (siehe Durchführungsbestimmungen zu 18 Abs. 2 Satz 2 BDSG), haben zu prüfen und mit ihrer Sammelstelle abzustimmen, ob gemäß

122 entwickelt. Die Aufnahme von Dateien mit personenbezogenen Daten in das DATAV (Dateimeldung) sowie die Änderung und Löschung der Dateimeldungen ist im Benutzerhandbuch DATAV (Allgemeiner Umdruck Nr. 330) beschrieben Die Meldung der automatisiert betriebenen Dateien zum Dateienregister des BfD erstellt das Bundesamt für Wehrverwaltung (BAWV) zentral für den gesamten Geschäftsbereich. Nr. 204 eine Sammelerfassung zu veranlassen ist. Wird die Weisung von einer dem BMVg nachgeordneten Behörde für den Geschäftsbereich oder einen Organisationsbereich erteilt, ist die Sammelerfassung mit dem Bundesamt für Wehrverwaltung (BAWV) abzustimmen In f a c h l i c h e n W e i s u n g e n z u r Ä n d e r u n g / V e r n i c h t u n g von Dateien mit personenbezogenen Daten (siehe Nr. 205) ist gleichzeitig anzuordnen, daß deren Durchführung nach Maßgabe dieser Verfahrensvorschrift zum DATAV zu melden ist, sofern die Meldung nicht entsprechend Nr. 205 in Verbindung mit Nr. 207 von der weisunggebenden SteIIe II. Zuständigkeit für die Erfassung zentral durchgeführt werden kann Für die Erfassung ihrer Dateien mit personenbezogenen 207. Werden Dateien von einer Sammelstelle als S a m m e I Daten sind die s p e i c h e r n d e n S t e l l e n (siehe Durchführungsbestimmungen zu 3 Abs. 8 BDSG) verantwortlich, soweit nicht gemäß Nr. 204 das BMVg oder eine dem BMVg nachgeordnete Behörde mit entsprechender fachlicher Kompetenz eine Sammelerfassung für den Geschäftsbereich oder einzelne Organisationsbereiche veranlaßt oder die in den Nummern 203 und 402 bezeichneten Sammelstellen eine Sammelerfassung für ihren Zuständigkeitsbereich veranlassen. e r f a s s u n g gemeldet, hat diese dafür zu sorgen, daß die betroffenen Dienststellen/Einheiten f ü r d i e s e D a t e i keine Einzelmeldungen abgeben und die Meldung in bezug auf weitere bzw. nicht mehr betroffene Dienststellen/Einheiten sowie inhaltliche Änderungen aktualisiert wird. Das gleiche gilt für weisunggebende Stellen nach Nr. 205, die für ihren F a c h b e r e i c h Sammelerfassungen vorgeben Speichernde Stellen für personenbezogene Daten, die im Rahmen eines IT-Vorhabens in einem zentralen Datenbestand verarbeitet werden, ist die Dienststelle, die im Rahmen ihrer rechtmäßigen Aufgabenerfüllung für die Speicherung fachlich verantwortlich ist. Sie ist in der Regel zugleich Bedarfsträger für das IT-Vorhaben.

123 Wird den Sammelstellen oder einer im Einzelfall genannten oder Vordrucksammlungen, die als Belege zu Kontrollzwecken Dienststelle eine Sammelerfassung zur Ermittlung der speichernden Stellen inhaltlich vorgegeben, gilt Absatz 1 mit der Maßgabe, daß i n h a I t I i c h e Ä n d e r u n g e n nur von der zuständigen veranlassenden Stelle gemäß Nr. 201 orgenommen werden dürfen Soweit von den Vertretungsorganen (z.b. Personalvertretungen, Schwerbehindertenvertretungen oder Vertrauenspersonen i.s. des Soldatenbeteiligungsgesetzes) personenbezogene Daten in Dateien gespeichert werden, sind diese Dateien bei den Dienststellen zu erfassen, bei denen die Vertretungsorgane eingerichtet sind. III. Gegenstand der Erfassung 301. Zu erfassen sind alle automatisiert und nicht-automatisiert geführten Dateien mit personenbezogenen Daten. (Siehe Durchführungsbestimmungen zu 3 Abs. 2 Nr. 1 und 2 aufbewahrt werden). Die Ausnahmeregelung gilt jedoch nicht, wenn Datensammlungen mit wechselnden Inhalten (z.b. nach regelmäßiger Löschung einzelner Datensätze oder egelmäßigem Austausch von Vordrucken) permanent vorhanden sind. (Siehe Durchführungsbestimmungen zu 18 Abs. 3 BDSG.) IV. Verfahren der Dateimeldung (Meldeweg) 401. Soweit für einzelne Organisationsbereiche nicht anders geregelt*), übersenden die dem BMVg u n m i t t e l b a r nachgeordneten Dienststellen die Datenerfassungsvordrucke dem BAWV zur Aufnahme in den Datenbestand DATAV. BDSG.) 402. Alle übrigen speichernden Stellen leiten die Hierunter fallen z.b.: IT-Vorhaben, deren Daten automatisiert ausgewertet (selektiert/ sortiert) werden können (z.b. Daten in einer Datenbank eines RzBw), Daten, die mit Hilfe einer PC-Datenbank-Software gespeichert und ausgewertet werden können (z.b. dbase, ACCESS) oder Datensammlungen auf IT-Systemen, die durch spezielle automatisierte Verfahren (z.b. individuelle Makro-Funktionen) ausgewertet werden können, Datensammlungen auf Disketten, die durch ein Programm ausgewertet werden können, Sammlungen ausgefüllter Karteikarten (Kartei), Sammlungen ausgefüllter Vordrucke, Druckplatten (Adreßsammlungen) oder Mikrofiche-Sammlungen Schriftgut mit Listen und ausgefüllten Vordrucken (Akten) und AktensammIungen sind keine Dateien; es sei denn, sie können durch automatisierte Verfahren umgeordnet und ausgewertet werden. (Siehe Durchführungsbestimmungen zu 3 Abs. 3 BDSG) Daten, die zur Durchführung zusammenhängender Aufgaben eines Aufgabengebietes von e i n e r speichernden Stelle im Rahmen eines automatisierten Verfahrens in einem logisch zusammengehörigen Datenbestand auf mehreren Datenträgern (z.b. Magnetbändern, Platten) gespeichert werden, gelten als Bestandteil e i n e r Datei im Sinne des Datenerfassungsvordrucke soweit sie nicht Dateien mit personenbezogenen Daten m e d i z i n i s c h e n I n h a l t s (siehe hierzu Nr. 403) betreffen den im Folgenden aufgeführten Kommando-/ Verwaltungsbehörden ( S a m m e l s t e l l e n ) auf dem Dienstwege zu. Sammelstellen sind: Erlass im Heer das Heeresführungskommando, das Heeresamt und das Heeresunterstützungskommando, in der L u f t w a f f e das Luftwaffenführungskommando, das Luftwaffenamt und das Luftwaffenunterstützungskommando, in der Marine das Flottenkommando, das Marineamt und das Marineunterstützungskommando, im Organisationsbereich der Z e n t r a l e n M i l i t ä r i s c h e n D i e n s t s t e l l e n d e r B u n d e s w e h r ( Z M i l D B w ) das Amt für den Militärischen Abschirmdienst, das Personalamt der Bundeswehr und das Streitkräfteamt, im Organisationsbereich der Z e n t r a l e n S a n i t ä t s - d i e n s t s t e I I e n d e r B u n d e s w e h r ( Z S a n D B w )

124 BDSG (sog. l o g i s c h e D a t e i ). Auch eine manuelle Datei, die innerhalb einer Dienststelle an mehreren Arbeitsplätzen (z.b. von mehreren Bearbeitern innerhalb der gleichen oder verschiedener Organisations-einheiten der Dienststelle) geführt wird, gilt als e i n e l o g i s c h e D a t e i Werden bei Dienststellen/Einheiten automatisierte Dateien (z.b. auf einem APC) oder manuelle Dateien (z.b. Personalstammblätter) geführt, deren Daten aus einem IT-Vorhaben (z.b. PERFIS) entnommen wurden oder das Sanitätsamt der Bundeswehr, im Rüstungsbereich das Bundesamt für Wehrtechnik und Beschaffung, im Bereich der t e r r i t o r i a l e n W e h r v e r w a I t u n g (einschließlich Dienststellen der Rechtspflege) das Bundesamt für Wehrverwaltung und die Wehrbereichsverwaltungen, im Bereich der M i l i t ä r s e e l s o r g e das Evangelische Kirchenamt für die Bundeswehr und das Katholische Militärbischofsamt. Dateien geführt, aus denen Daten in ein IT-Vorhaben einfließen, 403. Abweichend von Nr. 402 sind Datenerfassungsvordrucke, sind diese als s e l b s t ä n d i g e D a t e i e n zu melden, sofern nicht Nr. 305 anzuwenden ist Nicht zu erfassen sind D a t e i e n, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung die für Dateien mit personenbezogenen Daten m e d i z i n i s c h e n I n h a l t s erstellt werden, den Sammelstellen über die fachlich vorgesetzte(n) S t e l l e ( n ) vorzulegen. Die fachlich vorgesetzten Stellen überprüfen im Rahmen ihrer gelöscht/vernichtet werden (z.b. Arbeitsdateien auf einem APC Fachaufsicht auch die Einheitlichkeit und Vollständigkeit der Dateimeldungen für ihren Zuständigkeitsbereich Den Datenerfassungsvordrucken sind Muster der gemeldeten Dateien (Karteikarten/Vordrucke bzw. für automatisierte Dateien Satzübersichten oder Ausdrucke von Bildschirmmasken) beizufügen. *) Erlaß BMVg vom 6. Mai 1996 Fü S IV 3 Az /E im VMBl nicht veröffentlicht 405. Zum Nachweis der von ihr gemeldeten Dateien führt jede s p e i c h e r n d e S t e I I e ein Inhaltsverzeichnis mit folgenden Angaben: Bezeichnung der gemeldeten Datei, Organisationseinheit/Arbeitsstelle (TE/ZE), bei der die Datei/ Teile der Datei (siehe Nr. 303) geführt wird/werden, Datum der Erfassung. Datum der Absendung an SaSt/BAWV und geleiteten Dateimeldungen alle erforderlichen Datenfelder ausgefüllt und M u s t e r der Karteikarten/Vordrucke oder für automatisierte Dateien S a t z ü b e r s i c h t e n bzw. Ausdrucke von Bildschirmmasken beigefügt sind. Höhere Kommandobehörden können diese Aufgabe unbeschadet ihrer Verantwortung nach Nr. 501 ihren unmittelbar nachgeordneten Kommandobehörden übertragen Die in Nr. 402 aufgeführten Kommando-/Verwaltungs-behörden sind im Rahmen der Dienst- und Fachaufsicht auch dafür verantwortlich, daß die von ihnen oder den fachlich zuständigen "Veranlassenden Stellen" It. Nr. 201 als Sammeler - fassung gemeldeten Dateien von den betroffenen speichernden Datum der Rücksendung (Datenerfassungsvordruck und Stellen ihres Zuständigkeitsbereiches bestimmungsgemäß Dateinachweis Liste 100). geführt werden. Anhand dieses Verzeichnisses ist die Vollzähligkeit der vom 505. Zur Unterstützung der Aufgabenerfüllung erhalten die

125 BAWV zurückgesandten Datenerfassungsvordrucke (DEV) mit den dazugehörigen Dateiausdrucken aus dem DATAV zu prüfen; eventuell fehlende DEV/Dateiausdrucke sind auf dem Dienstweg anzufordern. Das Inhaltsverzeichnis ist der gemäß Nr. 601 zu führenden Übersicht vorzuheften Im BMVg sind die Datenerfassungsvordrucke über die in der Abteilung/im Stab verantwortliche Stelle dem Referat Org 2 zuzuleiten. Das gleiche gilt für Dateien, die nach Nr. 205 in Form einer Sammelerfassung gemeldet werden. Dateien aus dem Bereich der Leitung werden unmittelbar an Org 2 gemeldet. V. Aufgaben der Sammelstellen 501. Die S a m m e I s t e I I e n prüfen die Zulässigkeit der Verarbeitung personenbezogener Daten und tragen Sorge dafür, daß n u r d i e personenbezogenen Daten verarbeitet und genutzt werden, deren Kenntnis für die jeweilige speichernde Stelle zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben e r f o r d e r l i c h ist (siehe Durchführungsbestimmungen zu 18 Abs. 1 u. 2 BDSG) Zu diesem Zweck haben die Sammelstellen dafür zu sorgen, daß a I l e s p e i c h e r n d e n S t e l l e n ihres Zuständigkeitsbereiches Sammelstellen Zugriff auf das DATAV. Auf Antrag der Sammelstellen kann der Zugriff auch nachgeordneten Kommandobehörden erteilt werden. Einzelheiten sind dem Benutzerhandbuch DATAV (Ausfertigung für Sammelstellen) zu entnehmen. VI. Führen der Übersicht 601. Die Sammlung der fehlerfreien Dateinachweise (Liste 100) bildet die von den s p e i c h e r n d e n S t e l l e n zu führende Übersicht mit den in 18 Abs. 2 Satz 2 BDSG geforderten Angaben Die S a m m e l s t e l l e n erhalten auf Anforderung Mehrausfertigungen der Dateiausdrucke sowie Auswertungen aus dem Dateienbestand zur Führung einer zentralen Übersicht für ihren Zuständigkeitsbereich und zur Wahrnehmung der ihnen im Rahmen der Dienst- und Fachaufsicht obliegenden Aufgaben. Höhere Kommandobehörden können die Führung dieser Übersicht ihren unmittelbar nachgeordneten Kommandobehörden übertragen. VII. Termine 701. Neu eingerichtete Dateien sowie die Löschung, Sperrung und Entsperrung ganzer Dateien sind u n v e r z ü g l i c h zu melden Änderungen der Dateien sind m ö g l i c h s t k u r z f r i s t i g zu melden. Die Dateimeldungen sind m i n d e s t e n s h a l b j ä h r l i c h zum 1. April und 1. Oktober jeden Jahres auf ihre Richtigkeit z u ü b e r p r ü f e n. die von ihnen geführten Dateien mit personenbezogenen Daten zur Aufnahme in den Datenbestand DATAV melden und eine vollständige und aktuelle Ü b e r s i c h t ü b e r d i e v o n ihnen geführten Dateien mit personenbezogenen Daten vorweisen können Im Rahmen der Dateimeldung haben die Sammelstellen die Datenerfassungsvordrucke auf l e s b a r e, r i c h t i g e und v o l l s t ä n d i g e Eintragungen (z.b. anhand von Dienstvorschriften, Weisungen, Mustern) zu überprüfen und sicherzustellen, daß bei den weiter-

126 zurück zu 1 Abs. 4 Erläuterungen zu 1 Abs. 4 Bundesdatenschutzgesetz (BDSG) BEZUG BMVg Org 2 Az vom Az DATUM Bonn, 25. September 2002 Zu der Bestimmung des 1 Abs. 4 BDSG, nach der die Vorschriften des BDSG denen des Verwaltungsverfahrensgesetzes vorgehen, soweit bei der Ermittlung des Sachverhaltes personenbezogene Daten verarbeitet werden, weise ich erläuternd auf folgende Punkte hin: 1. 1 Abs. 4 BDSG begrenzt nicht den Amtsermittlungsgrundsatz des 24 Verwaltungsverfahrensgesetz (VwVfG) als solchen. Die Behörde bestimmt Art und Umfang der Maßnahmen zur Ermittlung eines Sachverhaltes. 2. Wenn bei der Ermittlung des Sachverhalts von Amts wegen mit personenbezogenen Daten umgegangen wird, so finden hierauf die Bestimmungen des BDSG Anwendung. Zu den Begriffen siehe Erlass BMVg Org 2 Az vom 30. April 2002 und Erlass BMVg Org 2 Az vom 24. September Aus dieser Rechtslage folgt, dass beim Erheben personenbezogener Daten 12 Abs. 1 i.v.m. 13 BDSG gilt und die hierbei eingebundenen Personen und Stellen als Beweismittel i.s.d. 26 VwVfG herangezogen werden können. die Speicherung, also auch die Aufnahme in eine Akte, 12 Abs. 1 i.v.m. 14 BDSG unterliegt. Ersuchen auf Datenübermittlung vom Vorliegen der Voraussetzungen des 12 Abs. 1 i.v.m. 15 bzw. 16 BDSG abhängig sind.

127 Die Verwertung jedenfalls von solchen personenbezogenen Daten, die im Widerspruch zu den Vorschriften des BDSG erhoben, verarbeitet oder genutzt werden, ist danach unzulässig. Die notwendigen gesetzlichen Grundlagen sind bereichsspezifischen datenschutzrechtlichen Bestimmungen oder dem BDSG zu entnehmen. Die vorrangige Heranziehung bereichs-spezifischer Bestimmungen ergibt sich aus 1 Abs. 3 Satz 1 BDSG. Zu den Grundlagen im BDSG verweise ich auf die Durchführungsbestimmungen zum BDSG (VMBl. 1998, S. 153 ff) sowie den Erlass BMVg Org 2 Az vom 19. April Aus datenschutzrechtlichen Erwägungen sind damit bei Sachverhaltsermittlungen von Amts wegen, die auf die Übermittlung personenbezogener Daten zielen, folgende Punkte einzubeziehen: Schriftform (Empfehlung) mit Sie dient der Rechtssicherheit und klarheit. In Eilfällen sollte sie nachgeholt werden. Angabe der Rechtsgrundlage für das Übermittlungsersuchen verbunden mit Ausführungen zum Zweck, für den die Daten verarbeitet oder genutzt werden sollen sowie - soweit möglich - die Benennung der erforderlichen Angaben / Datenfelder. 1. Nach Empfang der erbetenen personenbezogenen Daten ist zu prüfen, ob diese jeweils mit der erforderlichen Rechtsgrundlage übermittelt wurden. Fehlt diese, so sind die hiervon betroffenen personenbezogenen Daten unverzüglich zu löschen.

128 Begrifflichkeiten nach dem Bundesdatenschutzgesetz zurück zu 3 zurück zu Erlass zurück zu Erlass April 2002 Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153 ff) 2. BMVg Org 2 Az vom 31. August 2001 Anknüpfend an die o.g. Bezüge weise ich auf nachfolgende Begrifflichkeiten im BDSG hin: 1. Der Begriff der Datei bezieht sich nach 46 Abs. 1 BDSG nur noch auf bereichsspezifische Rechtsvorschriften des Bundes. Im BDSG findet der Begriff nach 3 Abs. 2 Satz 2 BDSG nur noch im Zusammenhang mit der nicht automatisierten Sammlung personenbezogener Daten Anwendung, wenn diese gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. 2. Anknüpfungspunkt vieler Bestimmungen im BDSG ist der Begriff der automatisierten Verarbeitung. Nach 3 Abs. 2 Satz 1 BDSG liegt eine solche Verarbeitung vor, wenn Datenverarbeitungsanlagen eingesetzt werden. Der Begriff der automatisierten Datei wurde aufgegeben. Mithin kommt es nicht mehr auf die Anzahl der personenbezogenen Daten und die Möglichkeit der Auswertbarkeit an. Es genügt eine automatisierte Erhebung, Verarbeitung oder Nutzung. 3. Der Begriff der Akte wird nur noch in 46 Abs. 2 BDSG für bereichsspezifische Rechtsvorschriften des Bundes definiert. Für das BDSG erfolgt an verschiedenen Stellen eine Erfassung der Akten durch die Formulierung, "soweit personenbezogene Daten weder automatisiert verarbeitet noch in nicht automatisierten Dateien" verarbeitet oder genutzt oder dafür erhoben werden (siehe hierzu z.b. 12 Abs. 4 BDSG). 4. In der Legaldefinition zum Begriff der Übermittlung ( 3 Abs. 4 Nr. 3 BDSG) wurde der Begriff des Empfängers ersatzlos gestrichen. Ursächlich hierfür ist eine Aufnahme des Begriffs im Zusammenhang mit der Definition des Begriffs des Dritten in 3 Abs. 8 BDSG (siehe unten Ziffer 7.). 5. Neu aufgenommen wurde in 3 Abs. 6 a BDSG der Begriff des Pseudonymisierens. Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung der betroffenen Person auszuschließen oder wesentlich zu erschweren. Beispielsweise werden diese der Identifikation dienenden Merkmale durch eine zufällig vergebene Nummer ersetzt. Mittels einer gesondert zu führenden Übersicht kann dann von dem Berechtigten

129 über diese Nummer der Personenbezug erforderlichenfalls wiederhergestellt werden. Der Einsatz (anonymer und) pseudonymer Formen der Datenverarbeitung ist eine Ausprägung des Grundsatzes der Verhältnismäßigkeit. Bezogen auf die Gestaltung und Auswahl von Datenverarbeitungssystemen ist nach 3 a BDSG vorrangig von diesen Möglichkeiten Gebrauch zu machen. 6. Gestrichen wurde der Begriff der speichernden Stelle. In 3 Abs. 7 BDSG wird hierfür der Begriff der verantwortlichen Stelle bestimmt. Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hintergrund dieser Neubestimmung ist die Aufnahme der Phase der Datenerhebung in das BDSG. Diese Phase hatte das "alte" BDSG in seinem Regelungsgehalt nicht erfasst. Ursächlich für diese Erweiterung ist die Erkenntnis, dass bereits mit einer Datenerhebung in das Grundrecht auf informationelle Selbstbestimmung eingegriffen wird. Die nach der Rechtsprechung des Bundesverfassungsgerichtes hierfür erforderliche gesetzliche Grundlage liegt damit im neuen BDSG vor. Einzubeziehen in den Verantwortungsbereich waren auch die Datenverarbeitung insgesamt und die Phase der Datennutzung. Angesichts der Bestimmung der 1 Abs. 2 Nr. 1 und 2 Abs. 1 BDSG ist der Begriff der verantwortlichen Stelle dienststellenbezogen zu verstehen. Hierbei kommt es nicht auf die im Geschäftsbereich intern vergebenen Dienststellennummern an. Entscheidend ist die Bezeichnung der Dienststelle als solche. Diese Bezeichnung ist beispielsweise nach 18 Abs. 2 Satz 2 BDSG i.v.m. 4 e Satz 1 Nr. 1 BDSG anzugeben. 7. Nach 3 Abs. 8 Satz 1 BDSG ist Empfänger jede Person oder Stelle, die Daten erhält. Der Begriff des Empfängers ist damit weit zu verstehen. Empfänger ist damit auch diejenige Person, an die personenbezogene Daten innerhalb einer verantwortlichen Stelle weitergegeben werden (siehe hierzu z.b. 15 Abs. 6 BDSG). 8. Von einer geringfügigen Änderung abgesehen der Begriff der speichernden Stelle wurde durch den der verantwortlichen Stelle ersetzt ist der Begriff des Dritten unverändert geblieben. Erweiternd wurden in der negativen Definition ( 3 Abs. 8 Satz 3 BDSG) andere Mitgliedsstaaten der Europäischen Union einbezogen. Kurz: Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 9. Neu aufgenommen wurde in 3 Abs. 9 BDSG der Begriff der besonderen Arten personenbezogener Daten. Derartige sensitive personenbezogene Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

130 Bestimmungen zu besonderen Arten personenbezogener Daten finden sich in 4 a Abs. 3, 4 d Abs. 5 Satz 2 Nr. 1, 13 Abs. 2, 14 Abs. 5 und Abs. 6, 16 Abs. 1 Nr. 2 Satz 2 BDSG. 10. Die in 3 Abs. 10 BDSG neu aufgenommene Definition führt den in 6 c BDSG verwandten Begriff mobiler personenbezogener Speicher- und Verarbeitungsmedien ein. Derartige Medien sind Datenträger, die an betroffene Personen ausgegeben werden, auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. Erfasst werden ausschließlich Medien, auf denen personenbezogene Daten über die (bloße) Speicherung hinaus automatisiert verarbeitet werden können. Das Medium muss also mit einem Prozessorchip ausgestattet sein. Mobiltelefone oder tragbare Personalcomputer fallen nicht unter diesen Begriff, da hier der Nutzer die Verarbeitungsvorgänge auf vielfältige Weise selbst steuern kann. Diese Begriffsbestimmungen ergänzen und modifizieren die mit Bezug 1. festgeschriebenen Erläuterungen.

131 zurück zu Abs. 2 Übernahme von Verfahren zur automatisierten Datenverarbeitung Bezug: Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153 ff.) 1. Oft übernimmt eine Dienststelle Verfahren zur automatisierten Verarbeitung personenbezogener Daten Zu den Begrifflichkeiten: BMVg Org 2 Az vom in ihrer Struktur (= ohne Übermittlung personenbezogener Daten) von einer anderen Dienststellen. Mit dem Betrieb dieser Verfahren in der Dienststelle, die auf ein solches, bereits bei einer anderen Dienststelle bewährtes Werkzeug zur Aufgabenerfüllung zurückgreift, erwächst dort eine eigenständige datenschutzrechtliche Verantwortung. Diese erstreckt sich z.b. in der Anpassung technisch-organisatorischer Schutzmaßnahmen an die Gegebenheiten der übernehmenden Dienststelle. Erforderlich ist auch eine eigenständige Meldung in das DATAV. Liegt dem betreffenden Verfahren eine Sammelerfassung (Siehe hierzu Anlage 8 des Bezuges) zugrunde, so ist bei der, die Sammelerfassung veranlassenden Stelle auf eine entsprechende Ergänzung hinzuwirken. 2. Entsprechendes gilt, wenn nur Teile eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten übernommen werden. Hier bedarf es einer eigenständigen Aufnahme in das DATAV. Der Fall einer Sammelerfassung dürfte hier kaum eintreten. Zu ähnlichen Konstellationen siehe auch BMVg Org 2 Az vom Sammelstellen weise ich an, dort eingehende Meldungen unverzüglich zu bearbeiten.

132 zurück zu 18Abs.2 S.2 zurück zu Erlass zurück zu 4e zurück zu Erlass Datenschutzrechtliche Aspekte bei automatisierten Verarbeitungssystemen Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) 2. BMVg - Org 2 - Az vom 31. August 2001 Aus gegebenem Anlass weise ich auf die Beachtung folgender datenschutzrechtlicher Eckpunkte bei der Entwicklung automatisierter Datenverarbeitungen hin: 1. Sicherstellung der gesetzlichen Vorgaben (Rechtsgrundlage, Zweck, Verfahrensablauf, Schnittstellen zu anderen Verfahren), 2. Erforderlichkeit des Datenumfangs insgesamt bzw. Erforderlichkeit jedes einzelnen Datenfeldes, 3. Zugriffsregelungen (Zweckbestimmung, Festschreibungen (Siehe unten 9.)), 4. Auswertemöglichkeiten (Zweckbestimmung, Erforderlichkeit, Festschreibungen (Siehe unten 9.)), 5. Protokollierungen (Umgang mit den Protokolldaten, Festlegung des Verfahrens zur Nutzung dieser Daten für Kontrollzwecke), 6. Löschungsfristen (Datenpflege, Festschreibungen (Siehe unten 9.)), 7. Verzicht auf Bemerkungs- / Freitextfeldern, 8. technisch-organisatorische Maßnahmen nach 9 BDSG und Anlage (Festschreibung (Siehe unten 9.)), 9. datenschutzrechtliche Regelungen in Dienstanweisungen (Festschreibungen, Verfahrensbeschreibungen, Handlungsanweisungen, Kontrollmöglichkeiten hinsichtlich der Beachtung dieser Vorgaben), 10. datenschutzrechtliche Regelungen in Dienstvereinbarungen. Hierbei ist auf die jeweils konkret vorhandenen Bedingungen einzugehen bzw. sind diese zu

133 berücksichtigen. Ein System, das bereits bei einer anderen Stelle den Datenschutzanforderungen genügt, muss nicht zwangsläufig auch bei einer anderen Stelle diesen Anforderungen entsprechen. Überlegungen zu den o.g. Eckpunkten sind zu dokumentieren. Ziel ist hier eine Dokumentation, die es im Fall einer späteren Kontrolle etwa durch den Bundesbeauftragten für den Datenschutz oder den behördlichen Datenschutzbeauftragten - erlaubt, die bei der Ausgestaltung tragenden Überlegungen nachvollziehen zu können. In Zweifelsfällen ist die zuständige administrative Datenschutzkomponente frühzeitig einzubinden. Dies bewirkt, dass Datenschutzaspekte in einem frühen Entwicklungsstadium des jeweiligen Vorhabens berücksichtigt werden und mit geringem Aufwand in die Entwicklung oder Umstellung der Systeme einfließen können.

134 zurück zu 3 Abs.4 S.2 Nr.1 Begrifflichkeiten nach dem BDSG II BEZUG 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) (VMBl. 1998, S. 153 ff) 2. BMVg - Org 2 - Az vom 30. April 2002 (= Begrifflichkeiten I nach dem BDSG) Az DATUM Bonn, 24. September 2002 Beobachtungen im Geschäftsbereich des BMVg veranlassen mich, darauf hinzuweisen, dass der Begriff des Speicherns - also das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung und Nutzung - auch die Dokumentation personenbezogener Daten auf Papier umfasst. "Datenträger" im Sinne der o.g. Definition ist jedes Medium, auf dem Daten aufbewahrt werden können. Der Begriff der "weiteren Verarbeitung und Nutzung" bezieht jegliche Art der Verarbeitung und Nutzung ein. Erfasst wird damit nicht nur die automatisierte Verarbeitung der dem Papier entnommenen Daten, sondern bereits der Umgang mit dem Dokument als Datenträger. Der Schutz personenbezogener Daten beginnt nicht erst bei der Verarbeitung dieser Daten unter Nutzung der Informationstechnik. Die Speicherung personenbezogener Daten erfolgt schon in dem Augenblick, in dem die betroffene Person selbst Eintragungen vornimmt oder ein/e Mitarbeiter/in derartige Daten dokumentiert. Zu diesem Zeitpunkt muss der Zweck der Speicherung feststehen und für

135 die betroffene Person nach der Unterrichtung anlässlich der Datenerhebung ersichtlich sein. (Siehe in diesem Kontext auch Erlass BMVg Org 2 Az vom 10. April 2002, Erlass BMVg Org 2 Az vom 05. Dezember 2001, Erlass BMVg Org 2 Az vom 30. November 2001.)

136 zurück zu 12 Abs.1 zurück zu 14 zurück zu Erlass Speicherdauer / Löschungsfristen Bezug: BMVg - Org 2 - Az vom Anknüpfend an Ziffer 8 des Bezuges betone ich aus gegebenem Anlass, dass die Novellierung des Bundesdatenschutzgesetzes (BDSG) nicht zu einer Veränderung der allgemeinen Vorgaben zur Speicherdauer bzw. zu den Löschungsfristen geführt hat. Zentraler Anknüpfungspunkt für die Speicherdauer ist neben der Rechtmäßigkeit der Erhebung und Verarbeitung der personenbezogenen Daten der Zweck, für den diese Daten erhoben und verarbeitet werden. Liegt der damit verfolgte Zweck nicht mehr vor, sind die personenbezogenen Daten zu löschen. Neben 14 BDSG ist in diesem Zusammenhang 20 Abs. 2 BDSG zu beachten. Die Speicherung personenbezogener Daten über die erforderliche Dauer hinaus verletzt ein Recht der jeweils betroffenen Person. Daneben empfiehlt es sich auch aus anderen Gründen, Daten, die nicht mehr für die Aufgabenerfüllung erforderlich sind sog. "Datenmüll" -, unverzüglich zu löschen. Hierdurch werden Ressourcen eingespart.

137 zurück zu 4 Abs. 3 zurück zu Erlas zurück zu Erlass Zur Unterrichtungspflicht bei der Datenerhebung Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) 2. BMVg - Org 2 - Az vom 31. August 2001 Anknüpfend an die o.g. Bezüge wird nachstehend die Frage der Unterrichtung betroffener Personen anlässlich der Datenerhebung einer Regelung zugeführt. 1. Die folgenden Ausführungen finden in den Bereichen Anwendung, in denen eine bereichsspezifische Regelung zur Frage der zu beachtenden Umstände also der Frage, wie die Datenerhebung zu erfolgen hat - fehlt. 2. Personenbezogene Daten sind nach 4 Abs. 2 Satz 1 BDSG grundsätzlich bei der betroffenen Person zu erheben. Damit ist der Datenerhebung bei der betroffenen Person der Vorrang gegenüber einer Datenübermittlung also der Beschaffung der personenbezogenen Daten über ein Ersuchen auf Datenübermittlung - einzuräumen. Nur ausnahmsweise dürfen nach 4 Abs. 2 Satz 2 BDSG die personenbezogenen Daten ohne Mitwirkung der betroffenen Person erhoben werden, wenn eine Rechtsvorschrift dies ausdrücklich vorsieht oder sogar als zwingend voraussetzt, oder die zu erfüllende Verwaltungsaufgabe eine Erhebung bei einer anderen Person oder Stelle erforderlich macht (Dies dürfte nur in extremen Ausnahmen der Fall sein, da die betroffene Person selbst am ehesten in der Lage ist, zutreffende also richtige Angaben zu machen und die zu erfüllende Verwaltungsaufgabe gerade die Nutzung zutreffender Daten voraussetzt. Praktisch bedeutsam wird diese Voraussetzung also nur, wenn die personenbezogenen Daten verwaltungsinterne Ergebnisse darstellen, die der betroffenen Person noch nicht bekannt sind.) oder die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde

138 (Dies ist z.b. dann der Fall, wenn die betroffene Person zu dem Zeitpunkt, zu dem die Datenerhebung notwendigerweise erfolgen muss, einsatz- oder krankheitsbedingt abwesend ist und ein Anschreiben an die betroffene Person angesichts der fehlender Sensitivität und des geringen Umfangs der zu erhebenden Daten sowie angesichts des Zeitverzuges einen zu großen Aufwand bedeutet.) und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (Ob diese zusätzliche Anforderung zur Begründung des Vorliegens einer Ausnahmesituation tatsächlich vorliegt, hängt vom jeweiligen Einzelfall ab. Auch sind die Anforderungen an die Anhaltspunkte sowie die Überlegungen bei der einzelfallbezogenen Abwägung von der Sensitivität der zu erhebenden personenbezogenen Daten abhängig.) 1. Hat im konkreten Fall eine Datenerhebung bei der betroffenen Person zu erfolgen, so ist diese bei der Datenerhebung über folgende Punkte zu unterrichten: Die Identität der Stelle, die die personenbezogenen Daten erhebt, verarbeitet oder nutzt, (Damit ist die Bezeichnung der Stelle anzugeben, die für die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten verantwortlich ist. Liegt eine Datenerhebung, -verarbeitung oder nutzung im Auftrag vor, so ist dies die Bezeichnung des Auftraggebers. Bedeutsam ist diese Angabe für die betroffene Person, um die verantwortliche Stelle zu kennen, der gegenüber sie ihre Rechte geltend machen kann.) die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung, (Anzugeben ist also der Grund für die Datenerhebung, -verarbeitung und nutzung. Die bloße Angabe eines Paragrafen als Fundstelle für die gesetzliche Grundlage genügt nicht. Sind die 13 und 14 BDSG Grundlage der Datenerhebung, - verarbeitung oder nutzung, ist die Aufgabe anzugeben, für die der Umgang mit den personenbezogenen Daten erforderlich ist.) die Kategorien von Empfängern, soweit die betroffene Person nach den Umständen des Einzelfalls nicht mit der Übermittlung an diese rechnen muss. (Von einer solchen Annahme kann nur ausgegangen werden, wenn für die betroffene Person aus den Angaben zum Zweck der Datenerhebung und verarbeitung ersichtlich ist, dass die gemachten Angaben auch für eine andere Stelle bedeutsam sind. Da dies in der Regel die Ausnahme ist, empfiehlt es sich, die Kategorien von Empfängern direkt mit aufzuzeigen.) (Es ist im Vorfeld der Datenerhebung zu prüfen, ob die Unterrichtung mündlich im Zusammenhang mit der Datenerhebung erfolgen soll, oder die Übergabe eines Informationsblattes zweckmäßiger ist. Entscheidend ist hier die Qualität und Quantität

139 der Daten.) 1. Erfolgt eine Datenerhebung ausnahmsweise ohne Mitwirkung der betroffenen Person, so findet 19 a BDSG Anwendung. Hiernach ist die betroffene Person grundsätzlich über die Speicherung, die Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. (Zur Vermeidung von Wiederholungen wird auf die erläuternden Ausführungen oben verwiesen.) Die Unterrichtung hat spätestens bei der ersten Übermittlung der personenbezogenen Daten zu erfolgen. Regel sollte die Unterrichtung in enger zeitlicher Nähe zu der Datenerhebung sein, die ohne Mitwirkung der betroffenen Person erfolgt ist. 2. Werden die personenbezogenen Daten aufgrund einer Rechtsvorschrift erhoben, die zu der Angabe der Daten verpflichtet, oder ist die Angabe der Daten durch die betroffene Person Voraussetzung für die Gewährung von Rechtsvorteilen, so ist nach 4 Abs. 3 Satz 2 BDSG die betroffene Person auf diese Situation hinzuweisen. (Zu der Frage der Pflicht, Angaben zu machen: Hier bedarf es einer Rechtsvorschrift, die die betroffene Person verpflichtet; die Berechtigung seitens der verantwortlichen Stelle, personenbezogene Daten erheben, verarbeiten oder nutzen zu dürfen, genügt nicht.) 3. Im übrigen ist die betroffene Person nach 4 Abs. 3 Satz 2, letzter Halbsatz BDSG auf die Freiwilligkeit bei der Datenerhebung hinzuweisen. 4. Werden personenbezogene Daten statt bei der betroffenen Person bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift hinzuweisen, die die nicht-öffentliche Stelle zu der Angabe dieser personenbezogenen Daten verpflichtet. Fehlt eine solche verpflichtende Rechtsvorschrift, so ist die nicht-öffentliche Stelle auf die Freiwilligkeit hinzuweisen. 5. Sollte die Datenerhebung, -verarbeitung oder nutzung auf der Grundlage einer Einwilligungserklärung erfolgen, so sind hinsichtlich des Umfangs der Unterrichtung die Vorgaben des 4 a Abs. 1 Satz 2 BDSG sowie des 4 a Abs. 3 BDSG zu beachten. (Dieser Anwendungsbereich eröffnet sich erst, wenn eine gesetzliche Grundlage zur Datenerhebung, -verarbeitung oder nutzung fehlt. In der Regel ist dies der Fall, wenn die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten für die Aufgabenerfüllung zweckmäßig, jedoch nicht erforderlich ist. Hier schafft die Einwilligung, wenn sie wirksam erteilt worden ist, die notwendige Grundlage für den Umgang mit den personenbezogenen Daten. Inhaltlich muss auf folgende Punkte hingewiesen werden: Zweck der Erhebung, Verarbeitung oder Nutzung, (Hierbei ist darauf zu achten, dass der Begriff der Verarbeitung nach 3 Abs. 4 Satz 1 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen umfasst. Damit besteht auch Anlass auf die Speicherdauer und Löschung sowie die Frage einer möglichen Übermittlung

140 einzugehen.) sowie, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung. (Zu beachten ist dabei, dass die Einwilligung auf der freien Entscheidung der betroffenen Person beruhen muss, sich also direkter oder indirekter Zwang etwa eine "geübte Praxis" oder "Erwartungshaltung" verbietet.) Nur in begründeten Ausnahmefällen kann von dem Erfordernis einer schriftlich erteilten Einwilligung abgewichen werden. Ich bitte um Bekanntgabe dieser Regelungen und Erläuterungen in Ihrem Verantwortungsbereich und soweit zutreffend - um Weitergabe an die Dienststellen des nachgeordneten Bereichs. Im letzteren Fall bitte ich Sie, mich nachrichtlich einzubinden.

141 zurück zu 20 Abs Zum Widerspruchsrecht bei der Verarbeitung personenbezogener Daten Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) 2. BMVg - Org 2 - Az vom 31. August 2001 Anknüpfend an die o.g. Bezüge wird nachstehend die Frage des Widerspruchsrechts bei der Verarbeitung personenbezogener Daten mittels automatisierten DV-Systems oder in nicht automatisierten Dateien, einer Regelung zugeführt. 1. Mit dem novellierten Bundesdatenschutzgesetz (BDSG) kam es in 20 Abs. V BDSG zur Festschreibung eines Widerspruchsrechts betroffener Personen hinsichtlich der Verarbeitung ihrer Daten mittels automatisierter DV-Systeme oder in nicht automatisierten Dateien. 2. Personenbezogene Daten dürfen danach nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Das Widerspruchsrecht entfällt, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten verpflichtet. 1. Das Widerspruchsrecht bezieht sich damit nur auf die Erhebung, Verarbeitung oder Nutzung für eine automatisierte Verarbeitung oder die Verarbeitung in nicht automatisierten Dateien. Mithin besteht kein Widerspruchsrecht bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten für Akten. 2. Zur Bearbeitung derartiger Fälle bedarf es also folgender Voraussetzungen:

142 Zunächst muss ein gegenüber der verantwortlichen Stelle erklärten Widerspruchs vorliegen. Vor der Abwägung der unterschiedlichen Interessen dem Interesse der öffentlichen Stelle am Umgang mit den personenbezogenen Daten und dem Interesse der betroffenen Person ist zu prüfen, ob eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten verpflichtet. (Dies dürfte nur in Ausnahmen der Fall sein, da die meisten Rechtsvorschriften zu einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten berechtigen und nicht verpflichten. Nur bei einer solchen, die betroffene Person verpflichtenden Regelung überwiegt das Allgemeininteresse an der Datenerhebung, -verarbeitung und nutzung derart, dass jegliches Interesse der betroffenen Person zurückstehen muss. Ist die öffentliche Stelle "nur" zu dem Eingriff in die grundrechtlich geschützte Sphäre der betroffenen Person zur Erfüllung der ihr obliegenden Aufgabe berechtigt, so eröffnet sich die Möglichkeit zur Wahrnehmung des Widerspruchsrechts.) Liegt eine zur Datenerhebung, -verarbeitung oder nutzung verpflichtende Rechtsvorschrift vor, entfaltet der Widerspruch keine Wirkung. Der betroffenen Person ist schriftlich darzulegen, auf welcher zur Datenerhebung, -verarbeitung oder nutzung verpflichtenden Rechtsvorschrift die Maßnahmen basieren. (Bei der Formulierung der Antwort ist zu berücksichtigen, dass es im Fall der Erhebung offensichtlich nicht zu einer (ausreichenden) Unterrichtung nach 4 Abs. 3 BDSG gekommen ist (vgl. BMVg Org 2 Az vom 30. November 2001).) Liegt keine zur Datenerhebung, -verarbeitung oder nutzung verpflichtende Rechtsvorschrift vor, so ist auf der Grundlage des erklärten Widerspruchs die vom Gesetz vorgegebene Abwägung vorzunehmen. (Da in diese Abwägung "schutzwürdige Interessen des Betroffenen wegen seiner besonderen persönlichen Situation" einzubeziehen sind, bedarf es unter Umständen weitergehender Darlegungen durch die betroffene Person, wenn die bisher vorliegende Begründung des Widerspruchs für eine Abwägung nicht ausreicht. Hierauf ist die betroffene Person in geeigneter Weise aufmerksam zu machen.) Bei der Abwägung der unterschiedlichen Interessen dem Interesse der öffentlichen Stelle am Umgang mit den personenbezogenen Daten und dem Interesse der betroffenen Person an der Berücksichtigung der besonderen persönlichen Situation ist zu berücksichtigen, dass die Datenerhebung, -verarbeitung oder nutzung auf der Grundlage einer hierzu berechtigenden Rechtsvorschrift also rechtmäßig - erfolgt. Mithin ist bei der Prüfung des Vorliegens einer besonderen persönlichen Situation, die das öffentliche Interesse an der Verarbeitung oder Nutzung zurückstehen lässt, ein besonders strenger Maßstab anzulegen. (Damit kommt die Bejahung überwiegender Interessen der betroffenen Person nur in Ausnahmefällen in Betracht. Dies rechtfertigt jedoch nicht eine summarische, nicht die Einzelheiten der jeweiligen Situation berücksichtigende Abwägung.) Im Fall eines unbegründeten Widerspruchs ist der betroffenen Person das Ergebnis der Abwägung

143 unter Angabe der die Entscheidung tragenden Erwägungen schriftlich mitzuteilen. Die Entscheidung ist als Verwaltungsakt mit einer Rechtsbehelfsbelehrung zu versehen. Die Aushändigung erfolgt in der Regel gegen Empfangsbestätigung. Im Fall eines begründeten Widerspruchs unterbleibt die automatisierte Verarbeitung oder die Verarbeitung der personenbezogenen Daten in (nicht automatisierten) Dateien. Die personenbezogenen Daten sind in der Akte / den Akten mit entsprechenden Hinweisen zu versehen. Hierzu eignet sich auch ein generell am Anfang der jeweiligen Akte anzubringender, gut sichtbarer Hinweis. Über die stattgebende Entscheidung ist die betroffene Person schriftlich zu unterrichten. Der Vorgang "Entscheidung über den Widerspruch" ist wegen der in ihm enthaltenen Informationen zur besonderen persönlichen Situation der betroffenen Person von den eigentlichen Vorgängen so getrennt zu verwahren. In Betracht kommt auch wenn eine getrennte Verwahrung unverhältnismäßig ist die Verwahrung im verschlossenen und entsprechend gekennzeichneten Umschlag im eigentlichen Vorgang. 3. Sollten sich aus dem Sachverhalt Umstände ergeben, die für die Möglichkeit eines späteren Wegfalls der schutzwürdigen Interessen sprechen, rechtfertigen diese eine spätere Nachfrage bei der betroffenen Person zum Fortbestand der besonderen persönlichen Situation.

144 zurück zu 11Abs.1-4 Datenverarbeitung im Auftrag Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153, 159) 2. BMVg Org 2 Az vom BMVg Org 2 Az vom I. Die Ausführungen in den Durchführungsbestimmungen zum BDSG (Bezug 1.) zu 11 Abs. 1 bis 2 BDSG hebe ich auf. II. Zum Komplex "Datenverarbeitung im Auftrag" basierend auf 11 Abs. 1 bis 4 BDSG erlasse ich folgende Regelungen: 1. Die Vorgaben des BDSG zur "Datenverarbeitung im Auftrag" gelten in allen Fällen, in denen personenbezogene Daten nicht von der datenschutzrechtlich verantwortlichen Stelle selbst erhoben, verarbeitet oder genutzt werden, Zu den Begriffen siehe Erlass BMVg Org 2 Az vom 30. April sondern sie sich dazu einer anderen Stelle bedient. Diese andere Stelle kann eine öffentliche Stelle z.b. ein Rechenzentrum der Bundeswehr (siehe dazu unten 5.) oder eine nicht-öffentliche Stelle z.b. ein Rechenzentrum einer Firma (siehe dazu unten 6.) sein. 2. Obwohl im Fall der Verarbeitung oder Nutzung personenbezogener Daten durch eine solche, außerhalb der datenschutzrechtlich verantwortlichen Dienststelle liegende Stelle (= sog. Dritter) die Daten weitergegeben werden, liegt datenschutzrechtlich keine "Übermittlung" personenbezogener Daten vor. Zur Definition des Begriffs des "Übermittelns": 3 Abs. 4 Satz 2 Nr. 3 BDSG sowie Erlass BMVg Org 2 Az vom 30. April 2002.

145 Die jeweiligen Voraussetzungen für eine Übermittlung müssen daher nicht vorliegen. 3. Die Verantwortung für die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten sowie für die Einhaltung der Sicherungsmaßnahmen bleibt bei der datenschutzrechtlich verantwortlichen Dienststelle (Auftraggeber (AG)). Dies ergibt sich aus 11 Abs. 1 Satz 1 BDSG und der Bestimmung des Begriffs der datenschutzrechtlich verantwortlichen Stelle in 3 Abs. 7 BDSG. Sie ist gegenüber der betroffenen Person auskunftspflichtig. Ihr gegenüber kann die betroffene Person mögliche Schadensersatzansprüche geltend machen. 4. Der Auftragnehmer (AN) ist vom AG sorgfältig auszuwählen. Kriterien sind hier aus datenschutzrechtlicher Sicht die vom AN vorgesehenen technischorganisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Dies setzt voraus, dass der mögliche AN weit im Vorfeld vertraglicher Vereinbarungen sein "Datenschutzkonzept" sowie sein "IT-Sicherheitskonzept" bereitstellt. Über BMVg Org 2 können von den staatlichen Aufsichtsstellen weitergehende Informationen über den potentiellen AN eingeholt werden. Eine direkte Kontaktaufnahme mit diesen staatlichen Aufsichtsstellen wird hiermit untersagt. 5. Zur Datenerhebung, -verarbeitung oder nutzung durch Rechenzentren der Bundeswehr: 5.1 Aufträge zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten an Rechenzentren der Bundeswehr sind schriftlich zu erteilen. Dabei ist mitzuteilen, welchem Schutzbereich diese Daten zugeordnet sind. 5.2 Das Rechenzentrum als AN bestätigt dem AG schriftlich, dass die erforderlichen technisch-organisatorischen Maßnahmen nach 9 BDSG zum Schutz dieser Daten gewährleistet werden. In der Regel sind die erforderlichen technisch-organisatorischen Maßnahmen nach 9 BDSG bereits Bestandteil der IT- Sicherheitsmaßnahmen. In diesen Fällen bedarf es keiner besonderen Festschreibungen, wohl aber der Bestätigung der Gewährleistung des erforderlichen Schutzes. Die Einhaltung der Maßnahmen wird vom IT-Sicherheitsbeauftragten des Rechenzentrums kontrolliert. Unberührt davon bleibt die Möglichkeit des behördlichen Datenschutzbeauftragten, innerhalb seiner Befugnisse Kontrollen durchzuführen. 5.3 Bei der Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, die einem Berufsgeheimnis unterliegen, führt die Weitergabe an den AN zu

146 einer "Offenbarung" dieser Daten. Hier ist im Einzelfall die rechtliche Legitimation für die Durchbrechung des Berufsgeheimnisses zu prüfen. Eine solche Rechtfertigung liegt aus datenschutzrechtlicher Sicht vor, wenn die betroffene Person in einen solchen Umgang mit den Daten eingewilligt hat. Zu den Anforderungen an eine wirksame Einwilligung: BMVg Org 2 Az vom 29. April (Siehe dort insbesondere Nr. 6) Da es sich in der Regel bei derartigen Daten um besondere Arten personenbezogener Daten i.s.d. 3 Abs. 9 BDSG also um sensitive Daten -- handelt, sind die gesteigerten Schutzanforderungen zu beachten. Zum Begriff der "besonderen Arten personenbezogener Daten" siehe Erlass BMVg Org 2 Az vom 30. April dort Nr. 9. Medizinische und psychologisch-diagnostische Daten sind dem Schutzbereich 3 (SB 3) zuzuordnen und entsprechend zu behandeln. Ich verweise auf die Anlagen 4 a und 4 b der Durchführungsbestimmungen zum BDSG (Bezug 1.). Besondere Bedeutung kommt hier folgenden Maßnahmen zu: Verschlüsselung der Daten bei der Speicherung: Hierzu ist ein vom BMVg IT 3 freigegebenes Verschlüsselungsverfahren einzusetzen. Dem AN darf es hierbei nicht möglich sein, diese Informationen zu entschlüsseln. Die Verarbeitung ist nur in geschlossenen Systemen zulässig. Die Daten des SB 3 sind getrennt von den Daten anderer Schutzbereiche zu verarbeiten. Verschlüsselung der Daten bei deren Übermittlung: Zur Weitergabekontrolle i.s.d. Nr. 4 der Anlage zu 9 Satz 1 BDSG ist hierbei ein vom BMVg IT 3 freigegebenes Verschlüsselungsverfahren einzusetzen. Die Verschlüsselung muss sich auch auf den Transportweg zwischen AG und AN sowie umgekehrt erstrecken. 5.4 Der AN unterliegt als öffentliche Stelle der Kontrolle durch den Bundesbeauftragten für den Datenschutz.

147 1. Zur Datenerhebung, -verarbeitung oder nutzung durch Stellen außerhalb der Bundeswehr: 6.1 Aufträge hierfür sind in schriftlichen Verträgen zu erteilen. In den Wortlaut des Vertrages sind zwingend Festschreibungen zum Schutz personenbezogener Daten aufzunehmen. In diesen Verträgen sind aus zentraler allgemein-datenschutzrechtlicher Sicht die Punkte bedeutsam und im Vertrag zu regeln, örtliche und dienststellenbezogene Besonderheiten sind zusätzlich zu berücksichtigen: Der AN verpflichtet sich, die Bestimmungen der jeweiligen gesetzlichen Grundlage also auch bereichsspezifischer Bestimmungen - zu beachten. Der AN ist genau zu bezeichnen. Die Bezeichnung ist Grundlage für die spätere Prüfung, ob z.b. unbefugt Unterauftragsverhältnisse geschlossen wurden. Die maßgeblichen gesetzlichen Bestimmungen sind genau darzulegen. Im Hinblick auf später mögliche Gesetzesänderungen sollte der Zusatz "in der jeweils gültigen Fassung" aufgenommen werden Der AN verpflichtet sich, die personenbezogenen Daten, auf die er im Rahmen des Vertrages zugreifen kann, nur zum vertraglich vereinbarten Zweck zu verwenden. Der Beschreibung des Vertragszwecks kommt damit entscheidende Bedeutung zu. Hier ist sehr genau ein Rahmen abzustecken. Aus dieser Festschreibung erwächst der Maßstab für spätere Prüfungen. Genau aufzunehmen ist die Art und der Umfang der Datenerhebung, -verarbeitung und nutzung. Darzulegen ist ferner die Zweckbindung der personenbezogenen Daten; aus ihr resultiert ein wichtiger Maßstab für die Einhaltung der vertraglichen Bestimmungen durch den AN. Zu bestimmen ist der Schutzbereich, dem diese Daten zugeordnet werden. Der AN ist über ressortspezifische Festschreibungen zu unterrichten Der AN verpflichtet sich, die im Rahmen des Vertrages erlangten personen-bezogenen Daten nicht an Dritte zu übermitteln und nicht für eigene Zwecke zu verwenden. Erforderlich ist die genaue Bezeichnung des Speicherungs- und des Verarbeitungsortes sowie die Aufbewahrungsdauer der Datenbestände und der verwendeten Software.

148 6.1.4 Der AN verpflichtet sich, die für eine DATAV-Meldung bedeutsamen Informationen zeitnah zur Verfügung zu stellen. Die hierfür notwendigen Vorinformationen sind dem AN zeitgerecht zuzuleiten Der AN übereignet dem AG zur Sicherung alle Datenträger, auf denen sich, aus dem Vertrag folgend, personenbezogene Daten befinden Der AN verpflichtet sich, vor Abschluss eines Untervertragsverhältnisses die Billigung des AG einzuholen; dabei sind vom AN die zur Entscheidungsfindung notwendigen Unterlagen zur Verfügung zu stellen. Beabsichtigt der AG, den Abschluss eines Untervertragsverhältnisses zu billigen, sind die hier dargelegten Eckpunkte gleichsam vorzugeben; dem AN sind genaue Vorgaben zu machen, die dieser bei der Ausgestaltung des Untervertragsverhältnisses zu berücksichtigen hat Bestandteil des Vertrages wird die Aufstellung der vom AN im Vorfeld zur Verfügung gestellten und vom AG gebilligten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß 9 BDSG. Der AN verpflichtet sich, den AG über jegliche Änderung bei den technischen oder organisatorischen Maßnahmen rechtzeitig schriftlich zu unterrichten. Entsprechend der Sensitivität (Schutzbereich 1, 2 oder 3) der personenbezogenen Daten sind seitens des AG spezielle Sicherheitsmaßnahmen vorzugeben und vertraglich ausdrücklich festzuschreiben. Es empfiehlt sich, die Pflicht des AN aufzunehmen, Sicherheitsmaßnahmen nach dem Stand der Technik einzusetzen Der AN verpflichtet sich, jeden im Zusammenhang mit dem Vertrag betrauten Mitarbeiter nach 5 BDSG auf das Datengeheimnis zu verpflichten und eine Belehrung darüber jährlich zu wiederholen. Der Nachweis wird kontrollbefugten Mitarbeitern des Geschäftsbereichs des BMVg zur Verfügung gestellt. Der AN ist zu verpflichten, dem AG für durchzuführende Kontrollen feste Ansprechpartner zu benennen und Veränderungen in diesem Bereich unverzüglich anzuzeigen. In Betracht kommen der betriebliche IT-Sicherheitsbeauftragte sowie

149 der betriebliche Datenschutzbeauftragte Kontrollbefugten Mitarbeitern des Geschäftsbereichs des BMVg wird jederzeit Zutritt zu den Räumen und Anlagen, in bzw. auf denen die personenbezogenen Daten verarbeitet werden, eingeräumt. Es empfiehlt sich, zur Klarstellung zu vereinbaren, dass dem kontrollierenden Personal auch der Zugang, Zutritt und Zugriff auf die Protokolldaten und sonstige im Zusammenhang mit dem Vertrag geführten Nachweise (Nachweis der tatsächlich gespeicherten personenbezogenen Daten, Nachweis der ordnungsgemäßen Berichtigungs-, Sperrungs- und Löschungsmöglichkeiten) einzuräumen ist. Der AN verzichtet insoweit auf die Ausübung seines Hausrechtes gegenüber den kontrollierenden Mitarbeitern des Geschäftsbereiches Die Voraussetzungen für einen eventuellen Zugang und Zutritt der Mitarbeiter des AN zum Bereich des AG ebenso, wie die Voraussetzungen für einen eventuell notwendigen Zugriff auf personenbezogene Daten, wenn eine solche Möglichkeit im festzuschreibenden Verfahren vorgesehen wird. Denkbar ist für den Fall einer Störung auf dem Weiterleitungsweg die Festlegung einer ersatzweisen Zugriffsmöglichkeit des AN auf die beim AG zur Verarbeitung bereitgestellten Daten. Gleiches gilt für die Rückübertragung der Daten, wenn der übliche Weg nicht zu beschreiten ist. Derartige Vorgaben sind auch erforderlich, wenn der AG Hardund Software des AN zur Aufbereitung der Daten nutzt und der AN unter Umständen Zugang und Zugriff auf diese benötigt. Entsprechend diesen Vorgaben sind seitens des AG Vorkehrungen zur Einhaltung und Kontrolle zu treffen. Die Anforderungen an die zu beachtenden Voraus-setzungen orientieren sich an der Schutzbedürftigkeit der Daten Der AG gibt im Vertrag genau vor, auf welche Art und Weise vom AN erhobene, verarbeitete oder genutzte personenbezogene Daten vom AN an den AG weitergeleitet werden. Im Fall des Zugriffs durch den AG auf die beim AN verarbeiteten personenbezogenen Daten sind die hierbei zu beachtenden Schutzvorkehrungen festzuschreiben Die Pflicht des AN, den AG über sich ändernde Umstände,

150 die den Vertragsgegenstand betreffen, unverzüglich zu informieren. Grundsatz ist die Unterrichtung vor Eintritt des Ereignisses. Die Benachrichtigungspflicht soll auch im Fall gesetzlicher Offenbarungspflichten des AN (z.b. Pfändung, Konkurs- oder Vergleichsverfahren) bestehen. Bestandteil des Vertrages sollte ferner die umfassende Information des AG über Programm- und Verfahrensänderungen sein. Verfahrens-änderungen sollten von der Einwilligung des AG abhängig gemacht werden Der AN hat den AG bei Störungen, die die Erhebung, Verarbeitung oder Nutzung der Daten des AG betreffen, unverzüglich zu unterrichten. Zur Klarstellung sollte auch die "unverzügliche Meldung von Fehlern und Unregelmäßigkeiten" vertraglich festgeschrieben werden Das Recht zur sofortigen Kündigung bei Nichtbeachtung der datenschutzrechtlichen Verpflichtungen. 15. Der AN ist darauf hinzuweisen, dass nach der Ziffer 6 der Anlage zu 9 Satz 1 BDSG die Einhaltung der vertraglich vereinbarten Regelungen vom AG zu kontrollieren ist. Diese Aufgabe obliegt dem AG als der datenschutzrechtlich verantwortlichen Stelle. Zweckmäßigerweise ist hierfür die administrative Datenschutzkomponente vorzusehen, der zuständige IT- Sicherheitsbeauftragte ist einzubinden. Die Kontrollbefugnis des zuständigen behördlichen Datenschutzbeauftragten bleibt hiervon unberührt. Aufgrund dieser gesetzlichen Vorgabe ist im Vertrag zu vereinbaren, dass der AN derartige anlassabhängigen und anlassunabhängigen Kontrollen unterstützt und zu diesem Zweck auf die Ausübung seines Hausrechts gegenüber den kontrollierenden Angehörigen des Geschäftsbereiches BMVg verzichtet. Der AN ist zu verpflichten, den AG über Kontrollen des behördlichen Datenschutzbeauftragten sowie weiterer Stellen (Siehe hierzu unten 6.5)

151 unverzüglich schriftlich zu unterrichten. 6.2 Intern also seitens des AG - sind Kontrollmöglichkeiten vorzusehen, um die Beachtung der vertraglichen Vereinbarungen durch das vor Ort eingesetzte Personal des AN überprüfen zu können. 3. Die Verarbeitung oder Nutzung personenbezogener Daten, die einem Berufs-geheimnis unterliegen, durch nicht-öffentliche Stellen im Auftrag ist rechtlich nur zulässig, wenn die betroffene Person in einen solchen Umgang mit den Daten eingewilligt hat. Zu den Anforderungen an eine wirksame Einwilligung: BMVg Org 2 Az vom 29. April (Siehe dort insbesondere Nr. 6) Dies setzt eine vorherige, nachweislich erfolgte, eindeutige Unterrichtung und Einwilligung der betroffenen Person voraus. Hierbei ist ihr Gelegenheit zu geben, einer solchen Verarbeitung oder Nutzung, die mit der "Offenbarung" dieser Daten gegenüber dem AN verbunden ist, zu widersprechen, ohne dass ihr hieraus Nachteile erwachsen. Bei der Unterrichtung ist darzulegen, dass bei der Datenvereinbarung im Auftrag die zum Schutz der personenbezogenen Daten notwendigen technischorganisatorischen Maßnahmen getroffen werden und deren Einhaltung kontrolliert wird. Die Auslagerung der Verarbeitung oder Nutzung derartiger sensitiver Daten ist nur zulässig, wenn Folgendes gewährleistet ist: 1. Dem AG wird im Rechner des AN eine eigene virtuelle Betriebs-systemumgebung zum Betrieb der Anwendungen, zur Speicherung auf Festplatten und zur Datensicherung sowie Archivierung bereitgestellt. 2. Der Ausdruck von Daten erfolgt über Systeme, die auch weiterhin vom AG selbst vorgehalten werden. 3. Die Anwendungen stehen dem AN nur als ausführbare Codes und nicht als Quellprogramme zur Verfügung, so dass eine Interpretation der Daten für den AN nicht möglich ist. 4. Die übergeordnete Verwaltung des virtuellen Betriebssystems durch den AN schließt aus, dass dieser ohne ein besonderes Passwort, das nur dem AG zur Verfügung steht, Zugang zu interpretationsfähigen Anwendungsdaten erhält. 5. Die Datenübertragung zwischen AG und AN erfolgt ausreichend verschlüsselt. Zur Weitergabekontrolle i.s.d. Nr. 4 der Anlage zu 9 Satz 1 BDSG ist hierbei ein vom BMVg IT 3 freigegebenes Verschlüsselungsverfahren einzusetzen. 6. Wartungsarbeiten müssen Bezug 3. entsprechen.

152 6.4 Darüber hinaus ist zu prüfen, ob bereichsspezifische Regelungen beispielsweise den Vorrang einer ressortinternen Datenerhebung, -verarbeitung oder nutzung bestimmen oder möglicherweise sogar eine externe Datenerhebung, -verarbeitung oder -nutzung im Auftrag ausschließen. Derartige Regelungen finden sich in verschiedenen Krankenhausdatenschutzgesetzen. 6.5 Nach 11 Abs. 4 Nr. 2 BDSG unterliegt eine nicht-öffentliche Stelle, die personenbezogene Daten im Auftrag erhebt, verarbeitet oder nutzt, der Kontrolle der staatlichen Aufsichtsbehörde. Die Zuständigkeiten dieser Aufsichtsbehörden richten sich nach Landesrecht. Es empfiehlt sich, vom möglichen AN bereits vor Vertragsschluss Auskunft über die jeweils zuständige Behörde einzuholen. Über BMVg Org 2 - kann dann eine Bewertung des möglichen AN durch diese Aufsichtsbehörde eingeholt werden. 1. Nach Ablauf des Vertrages sind die evtl. gewährten Zutritts-, Zugangs- und Zugriffsmöglichkeiten für Mitarbeiter des AN unverzüglich zu sperren. II. Jeder AN ist nach 11 Abs. 3 Satz 2 BDSG verpflichtet, den AG darauf hinzuweisen, wenn eine Weisung des AG nach seiner Ansicht gegen das BDSG oder eine andere datenschutzrechtliche Bestimmung verstößt. Diese Bestimmung verlagert nicht die Verantwortung für die Rechtmäßigkeit der Datenerhebung, -verarbeitung oder nutzung auf den AN. Sie verbleibt beim AG. I. Bereits bestehende Aufträge zur Datenerhebung, -verarbeitung oder nutzung durch Rechenzentren der Bundeswehr bitte ich durch die datenschutzrechtlich verantwortlichen Dienststellen (= AG) bis zum entsprechend anzugleichen. Die Rechenzentren bitte ich, mir zum und jeden Jahres eine Aufstellung dieser Auftragsverhältnisse gemäß folgendem Muster zuzuleiten: Rechenzentrum... Stand:... Datenverarbeitung Auftraggeber Bezeichnung / Zweck des Verfahrens Beginn d. Verarb.

153 Ausgenommen hiervon ist das Rz MAD. II. Bereits bestehende Verträge zur Datenerhebung, -verarbeitung oder nutzung durch externe Stellen sind bis entsprechend zu ergänzen bzw. neu zu schließen. Eine Ausfertigung des Vertrages - in der jeweils aktuellen Fassung - ist bei der administrativen Datenschutzkomponente der jeweiligen datenschutzrechtlich verantwortlichen Dienststelle aufzubewahren.

154 zurück zu Erlass zurück zu a Einwilligung I Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153, 157) Anknüpfend an den Bezug weise ich ergänzend zu den Ausführungen in den Durchführungsbestimmungen zu 4 BDSG darauf hin, dass die Anforderungen an eine wirksame Einwilligungserklärung nunmehr in 4 a BDSG geregelt sind. Hierzu bestimme ich: 1. Die Einwilligung der betroffenen Person bedarf grundsätzlich der Schriftform. Nur wegen besonderer Umstände kann auf eine andere Form zurückgegriffen werden. Bei einer danach ausnahmsweise mündlich erteilten Einwilligungserklärung ist aus Gründen der Rechtssicherheit zum geeigneten Zeitpunkt die schriftliche Einwilligung nachzuholen. 2. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. 3. Die Einwilligung ist nur wirksam, wenn die betroffene Person vor der Erhebung auf den vorgesehenen Zweck der Erhebung, Verarbeitung und/oder Nutzung hingewiesen wurde. Dies setzt voraus, dass die jeweilige Zweckbestimmung im Vorfeld festgelegt und festgeschrieben wurde. Mitzuteilen sind damit warum die personenbezogenen Daten erhoben, verarbeitet und /oder genutzt werden, welche konkreten Daten benötigt werden, an wen die personenbezogenen Daten übermittelt und wie lange sie gespeichert werden sollen. Aus Gründen der Rechtssicherheit empfiehlt es sich, diese Informationen in den zu unterschreibenden Vordruck der Einwilligung aufzunehmen. Mit der Unterschrift bestätigt die betroffene Person damit gleichzeitig die Unterrichtung. Es bestehen keine Bedenken, der betroffenen Person eine Ausfertigung der Einwilli-gungserklärung auszuhändigen.

155 1. Ferner ist die Einwilligung nur wirksam, wenn sie freiwillig gegeben wird. An dieses Erfordernis wird ein strenger Maßstab angelegt. Gruppendynamische Prozesse, Erwartungs-haltungen oder andere Arten der Beeinflussung müssen ausgeschlossen werden! 2. Wenn es in Kenntnis der Sachlage im Einzelfall erforderlich ist, ist auf die Folgen der Verweigerung der Einwilligung hinzuweisen, ist der Hinweis so auszugestalten, dass die freie Entscheidung der betroffenen Person nicht beeinflusst wird. Gleiches gilt, wenn die betroffene Person verlangt, über die Folgen der Verweigerung der Einwilligung aufgeklärt zu werden. 3. Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG) erhoben, verarbeitet und/oder genutzt werden, muss die Einwilligung dies ausdrücklich hervorheben. Die einzelnen Daten sind konkret zu bezeichnen. Ich weise in diesem Zusammenhang auf die nach 4 d Abs. 5 BDSG erforderliche Vorabkontrolle durch den zuständigen behördlichen Datenschutzbeauftragten hin. Vor der Genehmigung durch den behördlichen Datenschutzbeauftragten ist jegliche automatisierte Verarbeitung derartiger personenbezogener Daten unzulässig! 4. Einwilligungserklärungen sind so aufzubewahren, dass sie bei Kontrollen durch den Bundesbeauftragten für den Datenschutz oder den behördlichen Datenschutzbeauftragten unverzüglich vorgelegt werden können. 5. Widerruft eine betroffene Person ihre Einwilligung, sind die auf dieser Grundlage erhobenen, verarbeiteten und/oder genutzten Daten dieser Person unverzüglich zu löschen, wenn nicht inzwischen eine gesetzliche Grundlage besteht, die eine weitere Verarbeitung und/oder Nutzung rechtfertigt. Ergibt die Prüfung das Vorhandensein einer gesetzlichen Grundlage, ist die Meldung zum Melderegister DATAV entsprechend abzuändern. In allen Fällen, die von dieser (neuen) gesetzlichen Grundlage erfasst werden, können die Einwilligungserklärungen betroffener Personen vernichtet werden.

156 zurück zu 3 zurück zu 4 zurück zu 4 f zurück zu 11 zurück zu 12 zurück zu 19 zurück zu 20 Neufassung des Bundesdatenschutzgesetzes Bezug: 1. Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) und anderer Gesetze 2. Erlass vom Org 2 Az /2531 Mit Wirkung vom ist das Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. Die wesentlichen Neuerungen, die sich aus dieser Neufassung ergeben und die für Sie als Ansprechstelle Datenschutz relevant sind, habe ich nachfolgend aufgeführt. Alle Fundstellen beziehen sich auf die novellierte Fassung des BDSG. Ich bitte, diesen Erlass zur weiteren Verwendung in Ihrem Zuständigkeitsbereich zu nutzen. 1. Behördliche Datenschutzbeauftragte ( 4 f BDSG) Nach 4 f Abs. 1 BDSG haben öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, schriftlich einen Beauftragten für den Datenschutz zu bestellen. Die sog. behördlichen Datenschutzbeauftragten sind auf die Zusammenarbeit mit den Aufgabenträgern der Regelorganisation also den Bereichen, denen bisher allein der Schutz personenbezogener Daten oblag - angewiesen. Über die Frage der Organisation der Beauftragten für den Datenschutz wird in Kürze zentral entschieden. Ich verweise hier auf 18 Abs. 1 Satz 1 BDSG. 2. Besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG) Mit 3 Abs. 9 BDSG ist der Begriff der "besonderen Arten personenbezogener Daten" in das BDSG aufgenommen worden. Der Umgang mit diesen sogenannten sensitiven Daten unterliegt bestimmten Einschränkungen. Die Ausnahmetatbestände, die das Erheben besonderer Arten personenbezogener Daten nach

157 3 Abs. 9 BDSG zulassen, sind in 13 Abs. 2 Nr. 1 bis 9 BDSG abschließend aufgeführt. Ausnahmetatbestände, die das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten für andere Zwecke zulassen, finden sich in 14 Abs. 5 BDSG. Die Zulässigkeit der Übermittlung von besonderen Arten personenbezogener Daten ist in 16 Abs. 1 Nr. 2 BDSG beschrieben. Die automatisierte Verarbeitung besonderer Arten personenbezogener Daten bedarf der Vorabkontrolle durch den Beauftragten für den Datenschutz. 3. Hinweispflicht bei Datenerhebungen Wenn personenbezogene Daten beim Betroffenen erhoben werden ( 4 Abs. 3 S. 1 BDSG), so ist er von der erhebenden Stelle darüber zu unterrichten, welche Stelle verantwortlich ist, zu welchem Zweck seine Daten erhoben, verarbeitet oder genutzt werden, und an welche Empfänger seine Daten übermittelt werden. Falls die Sachlage es erfordert oder der Betroffene es verlangt, ist der Betroffene über die gesetzliche Bestimmung und über die Folgen der Verweigerung von Angaben aufzuklären. 13 BDSG wurde um den neu eingefügten Absatz 1a ergänzt. Wenn personenbezogene Daten statt beim Betroffenen bei einer nicht öffentlichen Stelle erhoben werden, so ist gemäß 13 Abs. 1a BDSG die nicht öffentliche Stelle auf die Rechtsvorschrift hinzuweisen, nach der sie zur Auskunft verpflichtet ist. 4. Benachrichtigungspflicht ( 19a BDSG) Mit 19a BDSG wurde die Benachrichtigungspflicht für öffentliche Stellen eingeführt, um sicherzustellen, dass der Betroffene über die Erhebung seiner Daten informiert wird, auch wenn diese nicht direkt bei ihm selbst erhoben werden. Wenn Daten ohne Kenntnis des Betroffenen erhoben werden, so ist er von der Zweckbestimmungen der Erhebung, Speicherung, Verarbeitung oder Nutzung und von der Identität der verantwortlichen Stelle zu unterrichten. Ferner ist er darüber zu informieren, wer Empfänger seiner Daten ist, soweit er nicht mit der Übermittlung an diese(n) rechnen muss.

158 In 19a Abs. 2 BDSG sind die Ausnahmen von der Benachrichtigungspflicht aufgeführt. Die verantwortliche Stelle hat schriftlich festzulegen, unter welchen Voraussetzungen von einer Benachrichtigung nach 19a Abs. 2 Nr. 2 oder 3 abgesehen wird. 5. Speicherung von Arbeitnehmerdaten ( 12 Abs. 4 BDSG) 12 Abs. 4 BDSG wurde dahingehend ergänzt, dass Arbeitnehmerdaten unabhängig davon, wie und wo sie gespeichert sind, geschützt sind. Damit sind Arbeitnehmerdaten auch dann geschützt, wenn sie z.b. in Akten gespeichert werden. 6. Widerspruchsrecht ( 20 Abs. 5 BDSG) Bedeutsam ist das in 20 Abs. 5 BDSG niedergelegte grundsätzliche Widerspruchsrecht des Betroffenen gegen die rechtmäßige Verarbeitung seiner personenbezogenen Daten. Das Widerspruchsrecht besteht nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. Dies bedingt stets die Betrachtung jedes Einzelfalls. 7. Wartungsverträge ( 11 Abs. 5 BDSG) Nach 11 Abs. 5 BDSG gelten sämtliche in 11 Abs. 1 bis 4 BDSG angeführten Anforderungen an den Auftraggeber und den Auftragnehmer entsprechend auch für andere Stellen, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Regelungen über die Auftragsdatenverarbeitung gelten damit auch, wenn die Prüfungs- oder Wartungsarbeiten durch Stellen außerhalb der verantwortlichen Stelle durchgeführt werden. Daraus resultiert, dass Wartungsverträge mit anderen Stellen um entsprechende Hinweise zu ergänzen bzw. Neuverträge entsprechend auszugestalten sind, falls die Möglichkeit besteht, dass im Zuge der Wartungsarbeiten auf personen-bezogene Daten zugegriffen werden kann. 8. Durchführungsbestimmungen zum BDSG Die Durchführungsbestimmungen für das neue BDSG befinden sich derzeit in Arbeit. Ihre Veröffentlichung ist, entgegen der bisherigen Praxis, nicht im VMBl., sondern in einer neu zu erstellenden ZDv vorgesehen.

159 Bis zur Bekanntgabe der neuen Durchführungsbestimmungen ist grundsätzlich nach den bisher geltenden Regelungen zu verfahren. Die aus den o.a. Ausführungen ersichtlichen Änderungen sind zu berücksichtigen. 9. Dateienerfassungs- und Auswerteverfahren Das Dateienerfassungs- und Auswerteverfahren (DATAV) bleibt bis auf Weiteres erhalten. Ziel ist es, bis Ende 2002 ein entsprechendes IT-Vorhaben zu entwickeln, das den neuen Anforderungen entspricht. Die Meldepflicht zum Verfahren DATAV bleibt in der bisherigen Form bestehen. Bezüglich nicht automatisierter Dateien verweise ich auf meinen Erlass vom Org 2 Az /2531. Die für die Meldung automatisierter Abrufverfahren bzw. automatisierter Verarbeitungen erforderlichen Formulare "DATAV (DEV-Aufnahme)" und "DATAV (DEV-Sammel-erfassung)" sind als Word- Dokumente der Lotus Notes-Datenbank unter "Bundeswehr-Formulare LN" zu entnehmen. 10. Fachaufsicht Fachaufsichtliche Prüfungen im Bereich Datenschutz sind weiterhin im Rahmen der Zuständigkeit in der bisherigen Form durchzuführen. Die tatsächliche Ausübung der Fachaufsicht ist als internes Kontrollinstrument zu nutzen. Zur Vermeidung von Irritationen weise ich darauf hin, dass sich die Kontrolle bei internen und fachaufsichtlichen Prüfungen auch auf bisher nicht gemeldete automatisierte Datenverarbei-tungen, notwendige Löschungen und Fragen der Datenpflege zu erstrecken hat. Einzubeziehen sind dabei auch Arbeitsplatz-PCs und Akten. Als Anlage füge ich eine Checkliste bei, die als Hilfs- und Arbeitsmittel bei fachaufsichtlichen Prüfungen im Bereich Datenschutz eingesetzt werden kann.

160 zurück zu 3a Datenvermeidung und Datensparsamkeit bei der Gestaltung und Auswahl von Datenverarbeitungssystemen Bezug: 1. BMVg Org 2 Az vom 05. Dezember BMVg Org 2 Az vom 09. April BMVg Org 2 Az vom 30. April Nach 3 a Bundesdatenschutzgesetz (BDSG) haben sich Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder nur so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Die Vorschrift konkretisiert den für jeden Umgang mit personenbezogenen Daten zu berücksichtigenden Grundsatz der Verhältnismäßigkeit für die technische Ausgestaltung der Datenverarbeitungssysteme. Zu beachten ist bei der Gestaltung oder Auswahl von Datenverarbeitungssystemen, dass bereits durch die Struktur des Systems die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten soweit wie möglich vermieden und dadurch Gefahren für das Grundrecht auf informationelle Selbstbestimmung von vornherein minimiert werden. Es dürfen nur die für die Aufgabenerfüllung erforderlichen personenbezogenen Daten erhoben, verarbeitet oder genutzt werden. Bei der Prüfung der Erforderlichkeit ist ein strenger Maßstab anzulegen. Die tragenden Erwägungen zur Festlegung des Umfangs der zur Aufgabenerfüllung erforderlichen personenbezogenen Daten sind zu dokumentieren. Die Dokumentation der entscheidungs-erheblichen Erwägungen ist Teil der technischorganisatorischen Maßnahmen ( 9 BDSG) zum Schutz personenbezogener Daten. Ziel ist es, Transparenz zu schaffen und eine Grundlage für Kontrollzwecke aufzubauen. 2. Bei der Gestaltung und Auswahl von Datenverarbeitungssystemen sind ebenso wie bei allen Abläufen und Verfahren im Zusammenhang mit dem Umgang mit personenbezogenen Daten die Möglichkeiten der Anonymisierung und Pseudonymisierung (Begriffsbestimmungen in Bezug 3.) zu nutzen, soweit dies möglich ist. Aufwand und angestrebter Schutzzweck müssen dabei in einem angemessenen Verhältnis stehen.

161 zurück zu Notfallanschrift Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) 1. BMVg - Org 2 - Az vom 31. August BMVg Org 2 Az vom 30. November BMVg Org 2 Az vom 29. April 2002 Anknüpfend an die o.g. Bezüge weise ich zur Erhebung von personenbezogenen Daten im Zusammenhang mit einer Notfallanschrift auf folgende Rechtslage hin: 1. Bei den personenbezogenen Daten einer Notfallanschrift handelt es sich in der Regel um Daten von Personen, die nicht dem Geschäftsbereich des BMVg angehören. Die Erhebung dieser Daten ist nicht für die Aufgabenerfüllung der jeweiligen Dienststelle erforderlich. In diesem Zusammenhang kann wie in vielen anderen Fällen auch - nicht der Aspekt der Fürsorge als Grundlage für die Datenerhebung, -verarbeitung oder nutzung herangezogen werden. Zwar ist die Fürsorgepflicht gegenüber dem Angehörigen des Geschäftsbereiches normiert, doch ist diese nicht als Grundlage zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten Dritter heranziehbar. Mithin bedarf es einer wirksamen Einwilligungserklärung dieser, vom Angehörigen des Geschäftsbereiches benannten Person. Zu den Anforderungen an eine wirksame Einwilligung siehe Bezug 4.. Es genügt nicht, wenn die/der Angehörige des Geschäftsbereichs z.b. versichert, die betroffene Person von der Benennung als Ansprechpartner in Notfällen unterrichtet zu haben und diese Person dem zugestimmt habe. 2. Bei der Einholung der Einwilligung ist die betroffene Person entsprechend Bezug 3. zu unterrichten. 3. Alternativ kommt es in Betracht, dem Angehörigen des Geschäftsbereiches zu empfehlen, im eigenen Interesse Angaben zu einer Person bei sich zu führen, die in Notfällen zu unterrichten ist. Insbesondere kommt diese Alternative in Betracht, wenn z.b. angesichts der Kürze eines Lehrganges die Einwilligung des Dritten nicht eingeholt werden kann.

162 Um das rasche Auffinden dieser Angaben sicherzustellen, kann die Vorgabe gemacht werden, diese Angaben mit dem Dienst- / Truppenausweis oder dem Impfpass stets mit sich zu führen. Aus datenschutzrechtlicher Sicht ist es dann unzulässig, zu überprüfen, ob der Angehörige des Geschäftsbereichs dieser Vorgabe entsprochen hat. Eine solche Kontrolle ist in der Regel mit der Kenntnisnahme der personenbezogenen Daten verbunden. Dafür fehlt jedoch bei dieser Alternative die notwendige Einwilligung der betroffenen Person. Die "bloße" Kontrolle der Existenz einer solchen möglichst einheitlichen Karte ist zulässig.

163 zurück zu Prüfung einer Website Unter der Begleitung durch den Bundesbeauftragten für den Datenschutz hat die FH Bonn Rhein Sieg und die Deutsche Hochschule für Verwaltungswissenschaften ein System zur automati-sierten Datenschutzprüfung (SaD) von Internetauftritten erarbeitet. Ziel des Systems ist es, datenschutzrechtlich relevante Informationen herauszufiltern und die Verantwortlichen auf mögliche Probleme hinzuweisen. Ausgangspunkt ist eine freiwillige Selbstkontrolle für Betreiber einer Website. Die Prüfung kann über die SaD-Website gestartet werden. http//sad.inf.fh-brs.de Aus der anzugebenden -Adresse muss sich ergeben, dass diese und die Website aus der gleichen Domain stammen. In Abhängigkeit von der Nutzung bzw. Auslastung des Systems erfolgt die Zuleitung des Prüfergebnisses nach einigen Stunden bis einigen Tagen.

164 zurück zu Abs. 3 Unterrichtungspflicht im Zusammenhang mit der Datenerhebung bei der Ausstellung von Besucherscheinen Anlg.: -1- Bezug: BMVg - Org 2 - Az vom 30. November 2001 Zur Vereinfachung der mit Bezug u.a. geregelten Pflicht, Besucher über die Verarbeitung der Daten zu unterrichten, die im Zusammenhang mit der Ausstellung von Besucherscheinen erhoben werden, schlage ich einen Aushang in dem Bereich vor, in dem Besucherscheine o.ä. ausgegeben werden. Ein Beispiel ist beigefügt. Beispiel: Bezeichnung der öffentlichen Stelle Dienststelle Anlage zu BMVg Org 2 Az vom 12. Februar 2002 Hinweis zum Schutz personenbezogener Daten Die im Zusammenhang mit dem Besucherschein erhobenen personenbezogenen Daten werden ausschließlich zum Zwecke der Besucherkontrolle verarbeitet und genutzt. Die Daten werden für die Dauer von... Jahren gespeichert. Eine anlassunabhängige Übermittlung dieser Daten an eine andere öffentliche oder eine nicht-öffentliche Stelle ist nach dem Besucherverfahren nicht vorgesehen. Datenschutzrechtlich verantwortliche Stelle ist der / die...

165 Die Fußnoten dienen nur der internen Erläuterung.

166 zurück zu 4 Abs. 3 Erfassung personenbezogener Daten in "KOLIBRI" BEZUG Dienstvereinbarung zwischen dem Bundesministerium der Verteidigung und dem Hauptpersonalrat beim Bundesministerium der Verteidigung vom 3. Juli Abs. 3 Bundeshaushaltsordnung (BHO) Az /1651 DATUM Bonn, 16. Januar 2003 Aus gegebenen Anlass weise ich auf folgende datenschutzrechtliche Aspekte bei der Nutzung von KOLIBRI hin: 1. Nach der im Bezug genannten Dienstvereinbarung werden personenbezogene Daten nur auf der untersten Kostenstellenebene erhoben, verarbeitet und spätestens 4 Wochen nach der erfolgreichen Durchführung des Controlling-Stichtages vernichtet. In der gesamten weiteren Verarbeitung werden ausschließlich aggregierte Daten ohne Personenbezug geführt. Ein Personenbezug ist nicht wiederherstellbar. 2. Die personenbezogenen Daten sind beim Betroffenen zu erheben, d.h. in der Regel durch den Mitarbeiter selbst auszufüllen. Hierbei ist die betroffene Person gem. 4 Abs. 3 BDSG zu unterrichten. 3. Die Schnittstelle in KOLIBRI darf nicht dazu benutzt werden, personenbezogene Daten aus PERFIS oder anderen Quellen heranzuziehen. 4. Die Übermittlung personenbezogener Daten aus KOLIBRI an die personalbearbeitende Dienststelle oder sonstige öffentliche oder nichtöffentliche Stellen ist nicht zulässig. Ich rege an, in Zweifelsfällen die Dienstvereinbarung hinzuzuziehen.

167 Weiter gehe ich davon aus, dass die Einhaltung der datenschutzrechtlichen Vorgaben überprüft und das Ergebnis dokumentiert wird.

168 zurück zu a Anlg.: -1- Muster Einverständniserklärung Einverständnis zur Darstellung personenbezogener Daten im Internet Aus gegebenem Anlass weise ich darauf hin, dass es derzeit für die Darstellung personenbezogener Daten im Internet keine gesetzliche Grundlage gibt. Um gleichwohl ein Informationsangebot bereitstellen zu können, das auch personenbezogene Daten enthält, empfehle ich die Verwendung einer Einverständniserklärung nach beigefügtem Grundmuster; dieses ist als Anhalt zu verstehen. Bei komplexeren Darstellungen im Internet oder weitergehenden Angaben zu Personen bedarf es entsprechend weitergehender Erklärungen. Die Einverständniserklärungen sollten beim Web-Master zentral oder in anderer geeigneter Weise dokumentiert / archiviert werden. In gleicher Weise ist mit den Widerrufen zu verfahren, die zu einer Löschung der Daten im Internet führen.

169 Anlage zu BMVg Org 2 Az vom März 2002 Unterrichtung, zugleich Einverständniserklärung zur Darstellung personenbezogener Daten im Internet-Angebot des / der.... Es ist beabsichtigt, im Rahmen der Öffentlichkeitsarbeit im globalen Informations- und Kommunikationssystem "Internet" ein geeignetes Informationsangebot bereitzustellen. Es soll unter anderem auch Aufschluss darüber geben, wer in welcher Funktion tätig ist, und diese Personen unmittelbar als Ansprechpartner für einen Kontakt benennen. Als ergänzende Angaben hierfür kommen über den Namen und die Funktion hinaus die Telefonnummer, die -Anschrift und postalische Anschrift der Dienststelle in Betracht. Personenbezogene Daten dürfen in einem derartigen Angebot, das eine allgemein zugängliche Quelle darstellt, nur bereitgestellt werden, wenn Sie hierin schriftlich eingewilligt haben. Mit dieser Erklärung bestätigen Sie, dass Sie keine schutzwürdigen Gründe sehen, die gegen eine solche Veröffentlichung sprechen.

170 Es wird darauf hingewiesen, dass Angaben zu Ihrer Person mit Suchmaschinen im Internet gefunden und mit ggf. vorhandenen anderen Angaben zu Ihrer Person verknüpft werden können. Dadurch könnte dann ggf. ein Persönlichkeitsprofil entstehen. Aus der Nichterteilung einer Einverständniserklärung erwachsen Ihnen keine Nachteile. Ich erkläre mich auf freiwilliger Basis bis auf Widerruf einverstanden, dass folgende Angaben in das Internet-Angebot aufgenommen werden: Personenbezogenes Datum Angabe Zustimmung Name:... JA / NEIN Vorname:... JA / NEIN Lichtbild:... JA / NEIN Telefonnummer:... JA / NEIN -Kennung:... JA / NEIN JA / NEIN..., den Unterschrift

171 zurück zu 4a Einwilligung II BEZUG BMVg - Org 2 - Az vom 29. April 2002 Az DATUM Bonn, 11. Oktober 2002 Anfragen betroffener Personen geben Veranlassung auf folgende Punkte hinzuweisen: 1. Mit einer wirksamen Einwilligung nach 4 a BDSG Siehe zu den Anforderungen an die Wirksamkeit Erlass BMVg Org 2 Az vom 29. April wird "nur" die Rechtsgrundlage für die Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten geschaffen. Es ist nicht zulässig, mit dieser Erklärung die Umgehung datenschutzrechtlicher Vorgaben und Anforderungen zu verfolgen. Nicht Gegenstand einer Einwilligungserklärung darf z.b. der Verzicht auf Rechte der jeweils betroffenen Person nach dem BDSG, auf die Beachtung von Vorgaben zur Durchführung des Schutzes personenbezogener Daten innerhalb des Geschäftsbereichs sein. 1. Die Bestimmung des 4 a BDSG verbietet es, "Einwilligungen" durch Zwang z.b. unter direktem oder indirektem Hinweis auf ein Über- und Unterordnungsverhältnis, eine in der Dienststelle geübte Praxis / Erwartungshaltung oder Bezugnahme auf das "sozial Übliche" herbeizuführen.

172 So zu Stande gekommene Erklärungen sind nicht freiwillig erfolgt. Sie sind damit nicht wirksam und bilden infolgedessen keine Grundlage zur Datenerhebung, -verarbeitung oder nutzung. Ich verweise auf den Erlass BMVg Org 2 Az vom 29. April Bei derartigen Sachlagen kommt die Anwendung des 43 Abs. 2 Nr. 1 BDSG in Betracht. 3. Tritt durch eine auf einer unwirksamen Einwilligungserklärung (fälschlicherweise) aufbauende Datenerhebung, -verarbeitung oder Nutzung ein Schaden ein, so besteht für den Geschädigten die Möglichkeit, Schadensersatz nach 7 BDSG zu beanspruchen. Siehe hierzu Erlass BMVg Org 2 Az vom 30. September 2002.

173 zurück zu 18 Abs. 2 zurück zu 4e Automatisierte Datenverarbeitung BEZUG 1. BMVg - Org 2 - Az vom BMVg - Org 2 - Az vom Anlage 8 der Durchführungsbestimmungen zum Bundesdatenschutzgesetz im Geschäftsbereich des BMVg (VMBl 1998, S. 153, 188 ff) Az DATUM Bonn, 09. April 2002 Bei der automatisierten Verarbeitung personenbezogener Daten weise ich auf die Beachtung folgender Punkte hin: 1. Bis zur Neufassung des "Dateienerfassungs- und Auswerteverfahrens zur Ausführung des Bundesdatenschutzgesetzes" (DATAV) erfolgt die Erfassung automatisierter Datenverarbeitungen über das bisherige Verfahren (siehe Bezug 2 und 3). 2. Bezug 1 ist bereits auf einige Eckpunkte des neuen Meldeverfahrens ausgerichtet und berücksichtigt die neue Gesetzeslage. Ich empfehle daher nachdringlich die dort aufgeführten Punkte bereits jetzt als Anhalt zu nehmen, bisher genutzte Systeme daraufhin zu prüfen, das Ergebnis zu dokumentieren, ggf. Änderungen zu veranlassen sowie bei Neuverfahren neben der Erfassung über DATAV die tragenden Erwägungen zu diesen Punkten zu dokumentieren. Dies erleichtert die später noch innerhalb der gesetzlich vorgegebenen Übergangsfrist vorzunehmende Ergänzung der Erfassung im "neuen" DATAV. 3. Werden automatisierte Datenverarbeitungen eingeführt und hierbei ein oder mehrere bisher genutzte und gemeldete Verfahren einbezogen, so bedarf das neu eingeführte System zur automatisierten Datenverarbeitung in der Gesamtheit einer Neumeldung über DATAV. Dies gilt auch, wenn nur bisher genutzte und als Einzelsysteme nach der alten Terminologie noch als "Dateien" gemeldete automatisierte

174 Verfahren zusammengeführt werden. In all diesen Fällen ist das dann komplexere automatisierte Datenverarbeitungssystem zu prüfen und in DATAV einzustellen. Hierbei weise ich darauf hin, dass die komplexe automatisierte Datenverarbeitung besondere Risiken für die Rechte und Pflichten betroffener Personen aufweisen kann, es dann einer Vorabkontrolle durch den behördlichen Datenschutzbeauftragten bedarf (siehe 4 Abs. 5 u. 6 BDSG).

175 zurück zu 4f zurück zu 4g Bezug: BMVg Org 2 Az vom Organisation behördlichen Datenschutzes Aus gegebenem Anlass weise ich nochmals darauf hin, dass die Bestellung behördlicher Datenschutzbeauftragter ausschließlich durch das BMVg erfolgt. Die Kompetenz hierzu ergibt sich aus 18 Abs. 1 Satz 1 BDSG. Die bisher eingerichteten Datenschutzkomponenten die bisherige Regelorganisation bei den Streitkräften im FGG 1 bzw. bei den zivilen Dienststellen in den Organisationseinheiten für zentrale Aufgaben bleibt hiervon unberührt. Neben dieses, den jeweiligen Dienststellenleiter beratende Element (administrativer Datenschutz) tritt eine Organisation des behördlichen Datenschutzes (behördlicher Datenschutz) mit Schulungs- und Kontrollkompetenzen. Beide Bereiche sind auf Zusammenarbeit angewiesen. Die Ausplanung weiterer Einzelheiten erfolgt ebenfalls ausschließlich durch das BMVg. Irreführende, die Kompetenzen nicht genau erfassende Bezeichnungen wie z.b. behördlicher oder interner Datenschutzbeauftragter oder Beauftragter / Ansprechstelle für die Wahrnehmung der Aufgaben nach dem BDSG sind nicht mehr zu vergeben. Entsprechende Änderungen in den Begrifflichkeiten sind schon jetzt geboten. Zur klaren Kennzeichnung und Abgrenzung genügt die Angabe "Administrativer Datenschutz" oder "administrative Datenschutzkomponente".

176 zurück zu b Videoüberwachung Anlässlich der Regelung zur Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen in 6 b Bundesdatenschutzgesetz (BDSG) weise ich die dort in Abs. 1 genannten Voraussetzungen hin. Praktische Relevanz erwächst dort, wo die Videoüberwachung etwa auf Bürgersteige, Fahrbahnen oder andere öffentliche Räume reicht. Der Umstand der Videoüberwachung ist durch geeignete Maßnahmen (Hinweisschilder) erkennbar zu machen. In diesem Rahmen ist auch die datenschutzrechtlich verantwortliche Stelle zu benennen. Nicht minder bedeutsam sind die Regelungen für die Verarbeitung oder Nutzung (Abs. 3), die Pflicht zur Benachrichtigung (Abs. 4) und die Pflicht zur Löschung (Abs. 5). Mithin bedarf es einzelfallbezogener Prüfungen hinsichtlich des Vorliegens der Voraussetzungen. Das Verfahren zum Umgang mit den personenbezogenen Daten Erhebung, Verarbeitung und Nutzung ist schriftlich festzulegen. Auch dieser Komplex unterliegt fachaufsichtlicher und externer Überprüfungen aus datenschutzrechtlicher Sicht. Es empfiehlt sich, den Komplex "Videoüberwachung innerhalb einer Liegenschaft" gleichsam zu behandeln.

177 zurück zu zurück zu 11 6b Videoüberwachung II Bezug: 1. BMVg Org 2 Az vom 20. September 2001 (= Videoüberwachung I) 1. Aus gegebenem Anlass hier die Bestandsaufnahme "Videoüberwachung" weise ich anknüpfend an den Bezugserlass darauf hin, dass Hinweisschilder nicht nur anzubringen sind, wenn die Videobilder aufgenommen die Daten gespeichert werden. Bereits die Videoüberwachung als solche ist erkennbar zu machen. 2. Erfolgt die Videoüberwachung durch Firmen so liegt aus datenschutzrechtlicher Sicht Datenerhebung im Auftrag ( 11 Abs. 1 bis 5 BDSG) vor. Werden die personenbezogenen Daten noch gespeichert, so handelt es sich um Datenverarbeitung im Auftrag. In beiden Fällen bleibt der Leiter der auftraggebenden Dienststelle für die Rechtmäßigkeit dieser Maßnahmen verantwortlich. Er ist auch auf dem Hinweisschild als diese datenschutzrechtlich verantwortliche Stelle zu benennen. Etwaige Auskunftsersuchen werden damit an ihn gerichtet. 3. Das Verfahren zum Umgang mit den mittels Videoüberwachung erhobenen Daten (Zugriffsberechtigung, Speicherdauer, Übermittlungsvoraussetzungen usw.) ist schriftlich festzulegen. Ferner sind Kontrollen im Hinblick auf die Einhaltung dieser Bestimmungen vorzusehen, deren Durchführung ist zu dokumentieren.

178 zurück zu 6b Videoüberwachung III BEZUG 1. BMVg - Org 2 - Az vom 20. September 2001 (= Videoüberwachung I) 2. BMVg - Org 2 - Az vom 20. Juni 2002 (= Videoüberwachung II) Az DATUM Bonn, 27. September 2002 Auf Grund von Schwierigkeiten bei der Anwendung des 6 b Bundesdatenschutzgesetz (BDSG) weise ich darauf hin, dass die Bestimmungen dort 1. auch auf die Videoüberwachung des Eingangsbereichs von Gebäuden oder Liegenschaften durch Kleinstkameras im Klingeltableau Anwendung finden, wenn die Optik die Einsichtnahme in den öffentlich zugänglichen Bereich zulässt. Dies ist der Fall, wenn z.b. ein Teil des Bürgersteiges (mit-)beobachtbar ist. Wird bereits anlässlich weiterer z.b. die Häuserfront überwachender Videokameras auf die Videoüberwachung hingewiesen, bedarf es keines gesonderten Hinweises am Klingeltableau. 2. bereits an der Möglichkeit zur Beobachtung anknüpfen. Der Umstand, dass keine Aufzeichnung erfolgt, entbindet nicht von der Pflicht zur Kenntlichmachung der Videoüberwachung. Es kommt also nicht darauf an, dass z.b. überhaupt kein Aufzeichnungsgerät angeschlossen ist. Die bloße Möglichkeit der Beobachtung über Videokamera und Bildschirm genügt!

179 zurück zu 7 Schadensersatz nach 7 Bundesdatenschutzgesetz BEZUG 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153) Az DATUM Bonn, 30. September BDSG schafft eine eigenständige Anspruchsgrundlage des Betroffenen für eine Verschuldenshaftung des Bundes. Hierzu gebe ich folgende Erläuterungen: 1. Beim Umgang mit personenbezogenen Daten ist darauf zu achten, dass keine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung erfolgt. Zu den Begrifflichkeiten siehe Erlass BMVg Org 2 Az vom 30. April 2002 Erlass BMVg Org 2 Az vom 24. September Der Begriff der Verarbeitung im Sinne des 7 BDSG umfasst sowohl automatisierte, wie nicht-automatisierte Datenverarbeitung sowie die Verarbeitung in Akten. Ich weise ausdrücklich darauf hin, dass nach 3 Abs. 4 BDSG unter den Begriff der "Verarbeitung" das "Speichern", "Verändern", "Übermitteln", "Sperren" und "Löschen" personenbezogener Daten fällt Satz 2 BDSG beinhaltet als neue Regelung eine Beweislastumkehr. Es obliegt damit der Dienststelle als datenschutzrechtlich verantwortlicher Stelle, sich im Fall einer Schadensersatzforderung entlasten zu können. Hierfür müssen die notwendigen Grundlagen geschaffen werden.

180 Alle Erwägungen zur organisatorischen und technischen Ausgestaltung einer Datenerhebung, -verarbeitung oder nutzung sind deshalb von der Dienststelle als datenschutzrechtlich verantwortlicher Stelle umfassend und sorgfältig zu dokumentieren. Zu den Anforderungen hinsichtlich der Unterrichtungs- und Benachrichtigungspflicht siehe Erlass BMVg Org 2 - Az vom 30. November 2001, hinsichtlich des Widerspruchsrechts siehe Erlass BMVg Org 2 Az vom 19. April 2002, an eine wirksame Einwilligungserklärung siehe BMVg Org 2 Az vom 29. April 2002, bei automatisierten Datenverarbeitungs-systemen siehe Erlass BMVg Org 2 Az vom 05. Dezember 2001 zur Datenvermeidung und Datensparsamkeit siehe Erlass BMVg Org 2 Az vom 26. April 2002 bei Ersuchen auf Datenübermittlung nach dem BDSG siehe Erlass BMVg Org 2 - Az vom 19. April 2002 sowie Durchführungsbestimmungen zum Bundes-datenschutzgesetz (BDSG) im Geschäfts-bereich des BMVg (VMBl. 1998, S. 153). 1. Bereits bei Geltendmachung von Schadensersatz nach 7 BDSG bitte ich unverzüglich auf dem Dienstweg zu berichten. Eine mögliche Bearbeitung nach den Schadensbestimmungen bleibt hiervon unberührt. 2. Die Erläuterungen zu 7 Abs. 2 BDSG in den o.g. Durchführungsbestimmungen hebe ich auf.

181 zurück zu Technisch-organisatorische Maßnahmen nach 9 BDSG für Drucker, Kopierer und Fax-Geräte Bezug: Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) Aus gegebenem Anlass weise ich auf folgende technisch-organisatorischen Aspekte gemäß 9 BDSG hin: 1. Beim Einsatz von Druckern, Kopierern und Faxgeräten, die von mehreren Mitarbeitern genutzt werden, ist die konsequente Fortsetzung des Zugangs- und Zugriffsschutzes zu berücksichtigen. Ziel ist es, unbefugten Personen dies sind aus datenschutzrechtlicher Sicht alle Personen, die nicht in dem jeweiligen Aufgabenbereich tätig sind durch technische und /oder organisatorische Maßnahmen die Möglichkeit des Zugangs oder des Zugriffs auf personenbezogene Daten unmöglich zu machen. Dies gilt insbesondere soweit zutreffend für die Verarbeitung besonderer Arten personenbezogener Daten im Sinne des 3 Abs. 9 BDSG. Die Festlegung von Schutzbereichen entsprechend der Sensitivität der personenbezogenen Daten ist auch bei der Fertigung von Ausdrucken konsequent fortzuführen. Derartige Geräte sind so aufzustellen, dass der Zugang zu ihnen für unbefugte Personen nicht möglich ist. Ist die Unterbringung in dem entsprechend größeren, einer / einem Mitarbeiter/in zugeordneten Dienstzimmer z.b. Geschäftszimmer nicht möglich, so ist der Schlüssel zum Geräteraum unter Verschluss zu halten und nur berechtigten Personen auszuhändigen. Es ist zu prüfen, ob in dem Raum, in dem die Geräte eingerichtet sind, zwingend eine Kombination mehrerer Geräte (Drucker, Kopierer, Faxgerät) untergebracht werden muss. Sollte dieser Raum z.b. durch Personal des Geschäftszimmers ständig gut einsehbar sein, ist ein geringerer Maßstab an diese Prüfung anzulegen. Da diejenige Person, die den Zugang zu einem solchen Raum durch Aushändigung des Zimmerschlüssels erhält, evtl. auch Einblick in andere Ausdrucke nehmen kann und bei der Konstellation mit einem Kopier- oder Faxgerät eine Kopiermöglichkeit besteht, ist ein strenger Maßstab anzulegen. Dieser verschärft sich noch, wenn der Drucker z.b. als Etagendrucker genutzt wird, also Mitarbeiter verschiedenster Aufgabenbereiche Zugang hierzu haben. Entsprechend ist bei der alleinigen Aufstellung des Fax-Gerätes zu verfahren, da auch hier die Möglichkeit unbefugten Zugangs / Zugriffs ausgeschlossen werden muss. 2. Die Einhaltung dieser Vorgaben sollte durch die jeweilige administrative Datenschutzkomponente

182 unregelmäßig und ohne Vorankündigung überprüft werden.

183 zurück zu Umgang mit Ersuchen auf Datenübermittlung nach dem Bundeswahlgesetz Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz im Geschäftsbereich des BMVg (VMBl. 1998, S. 153 ff) 2. BMVg Org 2 Az vom Zur Wahrung des Grundrechts auf informationelle Selbstbestimmung weise ich auf folgende Rechtslage im Zusammenhang mit Übermittlungsersuchen von Kommunen an Behörden des Bundes anlässlich der Suche nach Wahlhelferinnen/n hin: 1. Rechtsgrundlage des Ersuchens auf Übermittlung personenbezogener Daten zur Auswahl von Wahlhelferinnen/n bei Bundestagswahlen ist 9 Abs. 5 Satz 1 Bundeswahlgesetz (BWahlG). 2. Das Ersuchen auf Datenübermittlung muss schriftlich vorliegen. 3. Es darf sich nur auf folgende Angaben beziehen: Name, Vorname, Geburtsdatum, Anschrift. Auch ist der Zweck der Datenübermittlung ("Berufung als Mitglied eines Wahlvorstandes") anzugeben. 1. Bei der Übermittlung der Daten sind die nach 9 BDSG erforderlichen Schutzmaßnahmen zu treffen. 2. Die ersuchte Dienststelle ist nach 9 Abs. 5 Satz 2 BWahlG verpflichtet, jede von einer solchen Datenübermittlung betroffene Person über die übermittelten Daten und den Empfänger zu benachrichtigen.

184 zurück zu Umgang mit Protokolldaten Gegenstand dieses Erlasses ist die Frage des Umgangs mit personenbezogenen Daten, die im Zusammenhang mit Protokollprozessen erhoben, verarbeitet oder genutzt werden. 1. Die Protokollierung beim Betrieb informationstechnischer Systeme (IT-Systeme) ist oftmals bereits herstellerseitig vorgegeben. Vor dem Hintergrund des Gebotes der sparsamen Erhebung und Verarbeitung sowie Nutzung personenbezogener Daten ist aus datenschutzrechtlicher Sicht stets der Umfang der Protokollierung auf die systemimmanent vorgegebenen Erhebungen im Sinne des für den stabilen und sicheren Betrieb des Systems zwingend notwendigen Mindestumfangs zu begrenzen. 2. Die Entscheidung, über dieses systemimmanent vorgegebene Maß hinauszugehen, ist mit den tragenden Erwägungen zu dokumentieren. Hierzu gehören neben der Frage der Erforderlichkeit in Abhängigkeit von der Zweckbestimmung, der Aspekt der Speicherdauer sowie der Übermittlung und Nutzung dieser Daten. 3. Die oben unter 1. fallenden Datensammlungen sind nicht über DATAV zu melden. Der Grund hierfür liegt in der fehlenden Entscheidung der jeweiligen öffentlichen Stelle, diese Daten inkl. der personenbezogenen Daten zu erheben. Die systemimmanent vorgegebene Erhebung ist dem allgemeinen Betrieb des genutzten IT-Systems zuzurechnen. 4. Die aus Ziffer 2. resultierende automatisierte Datenverarbeitung ist über DATAV anzumelden. 5. Der Komplex "Erstellung von Protokolldaten" ist bei Nichtstandard-Software also speziell entwickelter Software beginnend mit dem Konzeptionsstadium datenschutzrechtlich durch die zuständige administrative Datenschutzkomponente zu begleiten. 6. Bei allen Protokolldaten ist wie bei jedem Umgang mit personenbezogenen Daten die Zweckbindung streng zu beachten. 7. Das dienststellenbezogene Verfahren für den Zugriff auf die Protokolldaten ist so auszugestalten, dass auch der Zugriff auf die Protokolldaten manipulationssicher dokumentiert wird. 8. Die oben genannten datenschutzrechtlichen Erwägungen und Festschreibungen sind in der Dienststelle in geeigneter Weise bekannt zu geben.

185 zurück zu Löschen auf Aufzeichnungen auf Diktatbändern Aus gegebenem Anlass bitte ich darauf zu achten, dass besprochene Diktierbänder, auf denen personenbezogene Daten gespeichert sind, unverzüglich nach der Erfüllung des jeweiligen Zweckes vollständig gelöscht werden. Bei der Aufbewahrung noch nicht gelöschter Bänder bitte ich die Anforderungen an die Zugriffsberechtigung mithin den Schutz vor unbefugtem Zugriff zu beachten.

186 zurück zu Verwendung von Verschlussmappen im Zusammenhang mit der Datenübermittlung oder -nutzung 1. Aus gegebenem Anlass lege ich nahe, sensitive personenbezogene Daten innerhalb von Dienststellen unter Verwendung von Verschlussmappen mit Verschlussstreifen zuzuleiten, zwischen Dienststellen unter Verwendung von Verschlussmappen mit Verschlussstreifen oder verschlossenen und entsprechend gekennzeichneten Briefumschlägen zu übermitteln. Sensitive Daten sind auf jedem Fall die "besonderen Arten personenbezogener Daten" nach 3 Abs. 9 BDSG also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Andere Daten, die sich auf eine Personalangelegenheit beziehen, sollten fallweise auf Schutzbedarf geprüft werden. Die Verwendung von Verschlussmappen und Verschlussstreifen stellt eine technischorganisatorische Maßnahme zum Schutz personenbezogener Daten nach 9 BDSG dar. Eine zusätzliche Maßnahme ist die Möglichkeit, der Verschlussmappe oder dem Briefumschlag eine Kopie des Schreibens beizufügen, die als "Rückläufer" gekennzeichnet ist und den Empfang bestätigt. Der Aufwand aller Schutzmaßnahmen muss in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck liegen. Das Ablösen oder Zertrennen des Verschlussstreifens oder das Öffnen verschlossener Briefumschläge durch eine hierzu unbefugte Person ist aus datenschutzrechtlicher Sicht als eine unbefugte Datenerhebung zu bewerten. Diese stellt nach 43 Abs. 2 Nr. 1 BDSG eine Ordnungswidrigkeit dar. Die Höhe der Geldbuße kann bis zu ,- betragen. Derartige Vorkommnisse bitte ich an die zuständige administrative Datenschutzkomponente zu melden. Diese ist gehalten, den Sachverhalt unverzüglich aufzuklären und entsprechend den Vorgaben des Leiters der datenschutzrechtlich verantwortlichen Stelle geeignete Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Wiederholungsfälle / wiederholte Vorkommnisse dieser Art sind BMVg Org 2 auf dem Fachstrang zu melden. Sollte es ausnahmsweise zu einer irrtümlichen Zwischenöffnung durch eine unbefugte Person kommen, so ist diese gehalten, den Verschlussstreifen zu erneuern und die

187 Zwischenöffnung beispielsweise mit dem Zusatz "Irrtümlich geöffnet" im Zusammenhang mit der Angabe des "neuen Absenders" zu vermerken. 1. Ich nutze diesen Anlass, um auf folgende bei der Übermittlung personenbezogener Daten oder deren Nutzung bedeutsame Punkte hinzuweisen und gegenüber der Datenverarbeitung im Auftrag abzugrenzen: Bei jeder Weitergabe personenbezogener Daten - innerhalb der datenschutzrechtlich verantwortlichen Stelle ("Nutzung") und - an eine andere datenschutzrechtlich verantwortliche Stelle ("Übermittlung") ist zu prüfen, ob damit eine Änderung der Zweckbestimmung verbunden ist. Sollte dies der Fall sein, bedarf es vorher der Prüfung, ob die hierfür notwendige Grundlage (Gesetz oder [wirksames] Einverständnis der betroffenen Person) vorliegt. Erst auf einer derartigen Grundlage ist die Weitergabe rechtmäßig. Ausgenommen ist hiervon die Zusendung / Weitergabe von personenbezogenen Daten an eine Stelle, die für die datenschutzrechtlich verantwortliche Stelle die Dienststelle im Geschäftsbereich des BMVg diese Daten im Auftrag verarbeitet. Hier liegt keine Übermittlung gemäß BDSG vor.

188 zurück zu Verwendung von "Schmierpapier" Aus gegebenem Anlass bitte ich bei der Verwendung von Rückseiten alter Schreiben oder Fotokopien darauf zu achten, dass die Vorderseite keine personenbezogenen Daten enthält. Bereits bei der Entscheidung über die Aufbewahrung von bereits einseitig genutztem Papier zu dem Zweck der Nutzung der Rückseite besteht Anlass zur Prüfung auf das Vorhandensein personenbezogener Daten. Für die Sachbearbeitung nicht mehr erforderliche Blätter mit personenbezogenen Daten sind unverzüglich zu vernichten. Sie stehen für die Verwendung zu anderen Zwecken nicht mehr zur Verfügung.

189 zurück zu 11 Abs Bezug: BMVg Org 2 Az vom Prüfung und Wartung automatisierter Datenverarbeitungsverfahren und anlagen I. Anknüpfend an Ziffer 7 des Bezugserlasses weise ich aus gegebenem Anlass vertiefend auf die Regelung des 11 Abs. 5 Bundesdatenschutzgesetz (BDSG) zum Komplex "Prüfungs- und Wartungsarbeiten bei automatisierten Datenverarbeitungsverfahren und an Datenverarbeitungsanlagen" hin: 1. Diese Norm gilt bei jedem im Geschäftsbereich des BMVg genutzten automatisierten Datenverarbeitungsverfahren und bei allen Datenverarbeitungsanlagen, die durch Stellen (Firmen), die nicht dem Geschäftsbereich des BMVg angehören, geprüft oder gewartet werden, wenn hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Der Prüfung der Frage, ob ein Zugriff auf personen-bezogene Daten bei derartigen Arbeiten möglich ist, kommt damit zentrale Bedeutung zu. Angesichts des Wortlautes der gesetzlichen Bestimmung muss im Fall der Verneinung der Zugriff auf die personenbezogenen Daten vollständig ausgeschlossen sein. Dies dürfte nur in sehr seltenen Fällen so sein. Zur Klärung der Frage empfiehlt sich nicht nur eine schriftliche Erklärung der die Arbeiten durchführenden Stelle Firma -, sondern auch eine kritische Betrachtung in Verbindung mit dem IT- SiBe. Die Frage, ob besonders sensitive personen-bezogene Daten verarbeitet werden, ist hier nicht entscheidend. 2. Davon ausgehend, dass die Prüfungs- und Wartungsarbeiten auf einer (schriftlichen) vertraglichen Grundlage erfolgen, sind in diesem Vertrag aus zentraler allgemein-datenschutzrechtlicher Sicht die Punkte zu regeln, örtliche und dienststellenbezogene Besonderheiten sind zusätzlich zu berücksichtigen: Datenschutzrechtlich relevant sind auch die allgemein üblichen Bestimmungen von Laufzeit, Kündigungsfrist sowie die Pflichten, die über das Vertragsende hinausreichen.

190 Bestandteil des Vertrages sollte auch die Einbeziehung der vor Vertragsschluss bereitgestellten Informationen / Dokumentation über Programm und Verfahren sein. Es sollte seitens des Auftragnehmers (AN) neben dem betrieblichen Datenschutzbeauftragten auch eine weitere OrgEinheit/Stelle konkret als Ansprechpartner für das Verfahren benannt werden. Der AN sollte verpflichtet werden, Änderungen schriftlich rechtzeitig aufzuzeigen. 1. Der AN verpflichtet sich, die Bestimmungen der jeweiligen gesetzlichen Grundlage zu beachten. Der AN ist genau zu bezeichnen. Die Bezeichnung ist Grundlage zur späteren Prüfung, ob z.b. unbefugt Unterauftragsverhältnisse geschlossen wurden. Die maßgeblichen gesetzlichen Bestimmungen sind genau darzulegen. Im Hinblick auf später mögliche Gesetzesänderungen sollte der Zusatz "in der jeweils gültigen Fassung" aufgenommen werden. 2.2 Zum Komplex "Fernwartung" empfehle ich aus allgemein datenschutzrechtlicher Sicht diese ausdrücklich vertraglich auszuschließen, wenn die Art und Weise sowie der Umfang des Datenflusses nicht kontrolliert werden können. Dieser Komplex verdeutlicht die Anforderungen, die an die vom AN bereitzustellende Dokumentation zu stellen sind. Fernwartung schafft aus datenschutzrechtlicher Sicht die Möglichkeit zum Zugriff auf personenbezogene Daten. Technische und organisatorische Maßnahmen müssen manipulationssicher gewährleisten, dass die Aktivitäten anlässlich der Fernwartung kontrolliert werden können. Bedeutsam ist nicht nur der Zugriff selbst, sondern auch die Sicherheit bei der Übermittlung der Daten aus dem Bereich des Auftraggebers (AG) zum AN. Vertraglich sollte hier die Verantwortung beim AN festgeschrieben werden. Den AG entbindet dies nicht von der Pflicht zur Kontrolle. 2.3 Der AN verpflichtet sich, die personenbezogenen Daten, auf die er im Rahmen des Vertrages zugreifen kann, nur zum vertraglich vereinbarten Zweck zu verwenden. Der Beschreibung des Vertragszwecks kommt damit entscheidende Bedeutung zu. Hier ist sehr genau ein Rahmen abzustecken. Aus dieser Festschreibung erwächst der Maßstab für spätere Prüfungen. 2.4 Der AN verpflichtet sich, die im Rahmen des Vertrages erlangten personenbezogenen Daten nicht an Dritte zu übermitteln und nicht für eigene Zwecke zu

191 verwenden. Erforderlich ist in diesem Zusammenhang die genaue Bezeichnung des Speicherungs- und des Verarbeitungsortes sowie die Aufbewahrungsdauer der Datenbestände und der verwendeten Software. 2.5 Der AN verpflichtet sich, die für eine DATAV-Meldung bedeutsamen Informationen zeitnah zur Verfügung zu stellen. Die hierfür notwendigen Vorinformationen sind dem AN zeitgerecht zuzuleiten. 2.6 Der AN übereignet dem AG zur Sicherung alle Datenträger, auf denen sich aus dem Vertrag folgend personenbezogene Daten befinden. 2.7 Der AN verpflichtet sich, vor Abschluss eines Untervertragsverhältnisses beim AG dessen Billigung einzuholen. Bei diesem Anlass sind vom AN die zur Entscheidungsfindung notwendigen Unterlagen dem AG zur Verfügung zu stellen. Beabsichtigt der AG, den Abschluss eines Untervertragsverhältnisses zu billigen, sind die hier dargelegten Eckpunkte gleichsam vorzugeben. 2.8 Bestandteil des Vertrages wird die Aufstellung der vom AN im Vorfeld zur Verfügung gestellten und vom AG gebilligten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten gemäß 9 BDSG. Der AN verpflichtet sich, den AG über jegliche Änderung bei den technischen oder organisatorischen Maßnahmen rechtzeitig schriftlich zu unterrichten. Entsprechend der Sensitivität (Schutzbereich 1 3) der personenbezogenen Daten sind seitens des AG spezielle Sicherheitsmaßnahmen vorzugeben und vertraglich ausdrücklich festzuschreiben. Es empfiehlt sich, die Pflicht des AN aufzunehmen, Sicherheitsmaßnahmen nach dem Stand der Technik einzusetzen. 2.9 Der AN verpflichtet sich, jeden im Zusammenhang mit dem Vertrag betrauten Mitarbeiter nach 5 BDSG auf das Datengeheimnis zu verpflichten und diese Belehrung jährlich zu wiederholen. Der Nachweis hierüber wird kontrollbefugten Mitarbeitern des Geschäftsbereichs des BMVg zur Verfügung gestellt Kontrollierenden Mitarbeitern des Geschäftsbereichs des BMVg wird jederzeit Zutritt zu den Räumen und Anlagen in bzw. auf denen die Verarbeitung der personenbezogenen Daten erfolgt, eingeräumt. Es empfiehlt sich, zur Klarstellung zu vereinbaren, dass dem kontrollierenden Personal auch der Zugang, Zutritt und Zugriff auf die Protokolldaten und sonstige im Zusammenhang mit dem Vertrag geführten Nachweise (Nachweis der tatsächlich gespeicherten

192 personenbezogenen Daten, Nachweis der ordnungsgemäßen Berichtigungs-, Sperrungs- und Löschungsmöglichkeiten) einzuräumen ist Die Voraussetzungen für den Zugang und Zutritt der Mitarbeiter des AN im Bereich des AG ebenso, wie die Voraussetzungen für einen eventuell notwendigen Zugriff auf personenbezogene Daten. Entsprechend dieser Vorgaben sind seitens des AG Vorkehrungen zur Einhaltung und Kontrolle zu treffen. Die Anforderungen an die zu beachtenden Voraus-setzungen orientieren sich an der Schutzbedürftigkeit der Daten. Auszuschließen ist in jedem Fall die Möglichkeit, bei Wartungsarbeiten auf andere personenbezogene Daten zugreifen zu können Die Pflicht des AN, den AG über sich ändernde Umstände, die den Vertragsgegenstand betreffen, unverzüglich zu informieren. Grundsatz ist die Unterrichtung vor Eintritt des Ereignisses. Die Benachrichtigungspflicht soll auch im Fall gesetzlicher Offenbarungspflichten des AN (z.b. Pfändung, Konkurs- oder Vergleichsverfahren) bestehen. Bestandteil des Vertrages sollte ferner die umfassende Information des AG über Programm- und Verfahrensänderungen sein. Verfahrensänderungen sollten von der Einwilligung des AG abhängig gemacht werden Der AN unterrichtet den AG bei Störungen, die die Verarbeitung der Daten des AG betreffen, unverzüglich. Zur Klarstellung sollte auch die "unverzügliche Meldung von Fehlern und Unregelmäßigkeiten" vertraglich festgeschrieben werden Das Recht zur sofortigen Kündigung bei Nichtbeachtung der datenschutzrechtlichen Verpflichtungen. 1. Intern also seitens des AG - sind Kontrollmöglichkeiten vorzusehen, um die Beachtung der vertraglichen Vereinbarungen durch das vor Ort eingesetzte Personal des AN überprüfen zu können. 2. Auf der Grundlage der Ziffer 6 der Anlage zu 9 Satz 1 BDSG ist die Einhaltung der vertraglich vereinbarten Regelungen zu kontrollieren. Diese Aufgabe obliegt der datenschutzrechtlich verantwortlichen Stelle. Der zuständige IT-Sicherheitsbeauftragte ist zu beteiligen. Die Kontrollbefugnis des zuständigen behördlichen Datenschutzbeauftragten bleibt hiervon unberührt. Aufgrund dieser gesetzlichen Vorgabe ist im Vertrag zu vereinbaren, dass der Auftragnehmer derartige anlassabhängigen und anlassunabhängigen Kontrollen unterstützt und zu diesem Zweck auf die Ausübung seines Hausrechts gegenüber den kontrollierenden Angehörigen des

193 Geschäftsbereiches BMVg verzichtet. 3. Nach Ablauf des Vertrages sind die Zutritts-, Zugangs- und Zugriffsmöglichkeiten für Mitarbeiter des AN unverzüglich zu sperren. I. Bereits bestehende Prüf- und Wartungsverträge sind bis entsprechend zu ergänzen bzw. neu zu schließen.

194 zurück zu 15 zurück zu 16 zurück zu Abs. 1 Umgang mit Ersuchen auf Datenübermittlung nach dem Bundesdatenschutzgesetz Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz im Geschäftsbereich des BMVg (VMBl. 1998, S. 153 ff) 2. BMVg Org 2 Az vom I. Anknüpfend an o.g. Bezüge regele ich den Umgang mit Ersuchen auf Übermittlung personenbezogener Daten wie folgt: 1. Dieser Erlass findet bei Ersuchen auf Datenübermittlung von öffentlichen und nicht-öffentlichen Stellen Anwendung. 2. Das Ersuchen auf Datenübermittlung muss grundsätzlich schriftlich vorliegen. Bei mündlichen Ersuchen z.b. wegen Eilbedürftigkeit ist darauf hinzuweisen, dass das Ersuchen schriftlich nachzureichen ist. Dieser Hinweis ist aktenkundig zu machen. Sollte das Ersuchen nicht binnen vier Wochen schriftlich nachgereicht werden, ist dieses schriftlich anzufordern. Bleibt eine positive Reaktion hierauf aus, ist die Aufforderung gegen Empfangsbekenntnis oder einen sonstigen Nachweis nochmals zuzuleiten. Geht auch hierauf kein schriftliches Ersuchen ein, ist mir dieser Fall zu melden. Er wird dann von hier aus weiterverfolgt. 3. Zu Ersuchen auf Datenübermittlung, die von einer öffentlichen Stelle stammen ( 15 BDSG): Das Ersuchen auf Datenübermittlung ist nur beachtlich, wenn das Ersuchen die öffentliche Stelle eindeutig erkennen lässt, das Ersuchen eine Rechtsgrundlage für die Datenübermittlung benennt, das Ersuchen konkrete Angaben über die erforderlichen personenbezogenen Daten enthält. Liegt ein derartig konkretisiertes Ersuchen auf Datenübermittlung vor, sind im weiteren Verfahren folgende Punkte zu beachten: Es ist zu prüfen, ob das Übermittlungsersuchen im Rahmen der Zuständigkeit der ersuchenden Stelle liegt. Ist dies nicht der Fall, ist eine schriftliche Erläuterung anzufordern und der

195 Vorgang auf dieser Grundlage zu bearbeiten. Zu übermitteln sind ausschließlich nur die personenbezogenen Daten, um die ersucht worden ist und die auf der Grundlage der Darlegungen der ersuchenden öffentlichen Stelle zur Aufgabenerfüllung der ersuchenden Stelle erforderlich sind. Eine weitergehende Datenübermittlung ist nicht zulässig. Ausgeschlossen ist auch eine Datenübermittlung auf Vorrat also für spätere Fälle. Sollte eine spätere anlassunabhängige - Datenübermittlung in Betracht gezogen werden, ist zu prüfen, ob die hierfür notwendigen Voraussetzungen vorliegen. Anders als bei der Datenübermittlung liegt hier die Verantwortung bei der übermittelnden Dienststelle. Es ist unzulässig, sich die personenbezogenen Daten zum Zwecke der Datenübermittlung von einer weiteren Stelle übermitteln zu lassen. Liegen die erbetenen personenbezogenen Daten nicht vor, ist die ersuchende öffentliche Stelle auf die Stelle zu verweisen, die die Daten in ihrem Bestand hat. Zu weiteren zu beachtenden Punkten siehe unten Zu Ersuchen auf Datenübermittlung, die von einer nicht-öffentlichen Stelle stammen ( 16 BDSG): Das Ersuchen auf Datenübermittlung ist nur beachtlich, wenn der Ersuchende sein berechtigtes Interesse an der Kenntnis der erbetenen personenbezogenen Daten glaubhaft dargelegt hat. Fehlt es an diesem Punkt, bedarf es vor der weiteren Bearbeitung entsprechender Konkretisierungen / Nachweise durch den Ersuchenden. kein schutzwürdiges Interesse der Person, deren Daten zu übermitteln wären, der Übermittlung entgegenstehen. Da dieser Prüfschritt nicht ohne Angaben der betroffenen Person bewältigt werden kann, ist diese zur Darlegung schutzwürdiger Interessen anzusprechen. Das Ergebnis der Abfrage ist aktenkundig zu machen. Liegt ein derartig konkretisiertes Ersuchen auf Datenübermittlung vor, sind im weiteren Verfahren folgende Punkte zu beachten:

196 Zu übermitteln sind ausschließlich nur die personenbezogenen Daten, um die ersucht worden ist. Eine weitergehende Datenübermittlung ist nicht zulässig. Ausgeschlossen ist auch eine Datenübermittlung auf Vorrat also für spätere Fälle. Sollte eine spätere anlassunabhängige - Datenübermittlung in Betracht gezogen werden, ist zu prüfen, ob die hierfür notwendigen Voraussetzungen vorliegen. Anders als bei der Datenübermittlung liegt hier die Verantwortung bei der übermittelnden Dienststelle. Es ist unzulässig, sich die personenbezogenen Daten zum Zwecke der Datenübermittlung von einer weiteren Stelle übermitteln zu lassen. Liegen die erbetenen personenbezogenen Daten nicht vor, ist die ersuchende öffentliche Stelle auf die Stelle zu verweisen, die die Daten in ihrem Bestand hat. Bei einem Ersuchen auf Übermittlung besonderer Arten personenbezogener Daten ( 3 Abs. 9 BDSG) sind die Einschränkungen des 16 Abs. 1 Nr. 2 Satz 2 BDSG zu beachten. Zu weiteren zu beachtenden Punkten siehe unten Zu den Modalitäten bei der Datenübermittlung: Liegen die Voraussetzungen für eine rechtmäßige Datenübermittlung vor, so sind bei der Übermittlung selbst folgende Modalitäten zu berücksichtigen: Der Dritte, an den die personenbezogenen Daten übermittelt werden, ist darauf hinzuweisen, dass diese nur für den Zweck verarbeitet oder genutzt werden dürfen, für den sie auf der Grundlage des Ersuchens übermittelt werden. In Betracht kommt die Aufnahme des Ersuchens auf Datenübermittlung in den Bezug des Anschreibens mit folgendendem Eingangssatz: "Anknüpfend an den Bezug übersende ich nachfolgende personenbezogenen Daten, die nur für die Verarbeitung oder Nutzung zu dem im Bezug angegebenen Zweck bestimmt sind." Die Weitergabe / Übermittlung selbst ist so zu gestalten, dass die personenbezogenen Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

197 1. Zur Frage der Verwendung der personenbezogenen Daten zu anderen Zwecken: Nicht-öffentliche Stellen sind nach 16 Abs. 4 BDSG u.a. gehalten, bei der Verarbeitung oder Nutzung der personenbezogenen Daten für andere Zwecke die Zustimmung der übermittelnden Stelle einzuholen. Das Erteilen dieser Zustimmung und die tragenden Erwägungen sind aktenkundig zu machen. I. Bei Ersuchen auf Datenübermittlung, die von Dienststellen im Geschäftsbereich des BMVg ausgehen, sind die o.g. Erwägungen bereits bei der Formulierung des Ersuchens zu berücksichtigen.

198 zurück zu zurück zu 13 zurück zu Abs Erstellung und Übermittlung von Telefonverzeichnissen Aus gegebenem Anlass empfehle ich, bei Telefonlisten/-verzeichnissen nachstehende Punkte zu beachten. Die datenschutzrechtliche Verantwortung liegt bei der Leitung der jeweiligen Dienststelle. 1. Bei der Erstellung eines Telefonverzeichnisses ist der Grundsatz der sparsamen Verwendung personenbezogener Daten zu beachten. Die Menge der bereitzustellenden Daten richtet sich nach dem vorgesehenen konkreten Verwendungszweck. Innerhalb einer Dienststelle kann Bedarf für ein detailliertes Telefonverzeichnis bestehen, wenn dies für die Aufgabenerfüllung erforderlich ist. Die bestimmenden Erwägungen für die Datenauswahl sind insbesondere dann zu dokumentieren, wenn das Telefonverzeichnis mittels Informationstechnologie erstellt wird, die personenbezogenen Daten also automatisiert verarbeitet werden. Dieses Verzeichnis sollte zentral ins Netz eingestellt werden. Schutzmechanismen sollten den Ausdruck, das Kopieren oder die Verwendung als Anhang einer E- Mail verhindern. Wegen einer möglichen Weitergabe von Angaben zur Ansprechbarkeit einzelner Bereiche für andere Stellen, empfiehlt es sich, parallel ein Verzeichnis mit deutlich weniger Angaben möglicherweise nur mit Ansprechstellen zu erstellen. Zentral eingestellt, sollte es möglich sein, dieses Verzeichnis auszudrucken, zu kopieren oder als Anhang für eine zu verwenden. 2. Die Weitergabe eines Telefonverzeichnisses von einer Dienststelle an eine andere Stelle ist unabhängig von der Art und Weise der Weitergabe - eine Datenübermittlung. Bei Weitergabe des Verzeichnisses an eine andere öffentliche Stelle, ist 15 BDSG einschlägig. Es ist zu prüfen, ob für die Aufgabenerfüllung der übermittelnden oder der empfangenden Stelle der bei der Erstellung des Telefonverzeichnisses festgelegte Umfang erforderlich ist. Dies dürfte nur in Ausnahmefällen so sein. In der Regel genügt ein bedeutend geringerer Datenumfang. In Betracht gezogen werden sollte auch eine Fassung, die (fast) keine personenbezogenen Daten enthält, sondern nur für einzelne Bereiche / OrgElemente Ansprechstellen ausweist. Es empfiehlt sich, bereits bei der Erstellung eine für die Weitergabe bestimmte Fassung festzulegen.

199 Diese Vorgaben gelten auch innerhalb des hierarchischen Behördensystems, da jede/r Leiter/in einer Dienststelle Leiter/in einer datenschutzrechtlich verantwortlichen Stelle ( 3 Abs. 7 BDSG) ist. Datenschutzrechtlich bedarf es daher auch dann eines Übermittlungsersuchens, wenn aus Sicht der vorgesetzten Dienststelle für die Aufgabenerfüllung mehr Daten benötigt werden. Bei der Weitergabe des Telefonverzeichnisses sind ferner Schutzmechanismen vorzusehen, die den Zugriff durch unbefugte Personen verhindern ( 9 BDSG). Bei Weitergabe des Verzeichnisses an eine nicht-öffentliche Stelle, ist 16 BDSG einschlägig. Es ist grundsätzlich zu prüfen, ob eine solche Datenübermittlung überhaupt notwendig ist. Wenn sie erforderlich ist, bedarf es der Festlegung des genauen Umfangs. Zu bestimmen sind die einzelnen Daten/-felder. Eine Datenübermittlung "für alle Fälle" verbietet sich. Liegt der Weitergabe des Telefonverzeichnisses ein glaubhaft dargelegtes berechtigtes Interesse der anfordernden Stelle zugrunde, so ist zu prüfen, ob schutzwürdige Interessen der betroffenen Personen also der Angehörigen der eigenen Dienststelle der Übermittlung entgegenstehen. Dieser Prüfungsschritt entfällt, wenn nur ein Verzeichnis mit Ansprechstellen bereitgestellt wird. Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle ( 16 Abs. 2 BDSG). Ergänzt die empfangende Stelle im Laufe der Zeit selbst ein aus dem Geschäftsbereich des BMVg bereitgestelltes Verzeichnis von Ansprechstellen durch Hinzufügung von personenbezogenen Daten, trägt sie dafür die Verantwortung. 1. Erfassung in DATAV: Werden im Zusammenhang mit der Erstellung des Telefonverzeichnisses personenbezogene Daten automatisiert verarbeitet, ist gemäß Anlage 8 der "Durchführungsbestimmungen zum Bundesdatenschutzgesetz im Geschäftsbereich des BMVg" (VMBl. 1998, S. 153, 188 ff) zu verfahren. Zur Vermeidung von Mehrfachmeldungen empfiehlt es sich, seitens vorgesetzter Dienststellen Vorgaben zu diesem Komplex unter Beachtung gesetzlich festgelegter Verantwortlichkeiten zu machen.

200 zurück zu 16 Datenübermittlung an nicht-öffentliche Stellen BEZUG 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) (VMBl. 1998, S. 153) 2. BMVg - Org 2 - Az vom 19. April 2002 (Datenübermittlung auf Ersuchen) Az DATUM Bonn, 08. Oktober 2002 Eine Eingabe beim Bundesbeauftragten für den Datenschutz sowie daran anknüpfende Beobachtungen im Geschäftsbereich des BMVg veranlassen mich, auf Folgendes hinzuweisen: 1. Eine Datenübermittlung an nicht-öffentliche Stellen ohne Ersuchen des Dritten Zu den Begrifflichkeiten siehe Erlass BMVg Org 2 Az vom 30. April 2002 ist nach 16 Abs. 1 Nr. 1 BDSG nur zulässig, wenn sie zur Erfüllung einer Aufgabe erforderlich ist, für die die Dienststelle zuständig ist Es kommt hier darauf an, seitens der öffentlichen Stelle (= Dienststelle) als Übermittelnder genau die wahrzunehmende Aufgabe zu bestimmen. Weiter ist zu prüfen, ob diese Aufgabe ohne die Datenübermittlung nicht, nicht im notwendigen Umfang oder nicht rechtzeitig erfüllt werden kann. und die Voraussetzungen für eine solche Nutzung vorliegen. Bei der Prüfung der Voraussetzungen für eine solche Nutzung nach 14 BDSG ist darauf abzustellen, für welchen Zweck die

201 personenbezogenen Daten ursprünglich erhoben wurden. Geschah die Datenerhebung bereits im Hinblick auf die Aufgabe, zu deren Erfüllung es nun der Datenübermittlung an die nicht-öffentliche Stelle bedarf, bestehen keine datenschutzrechtlichen Probleme, wenn die Datenerhebung auf einer entsprechenden gesetzlichen Grundlage oder einer (wirksamen) Einwilligung durchgeführt wurde. Erfolgte die Datenerhebung zu einem anderen Zweck, so führt deren Übermittlung an die nicht-öffentliche Stelle zu einer Zweckänderung. Die Nutzung von personenbezogenen Daten für andere Zwecke ist dann nur unter den Voraussetzungen des 14 Abs. 2 oder des 14 Abs. 5 BDSG zulässig. Deren Vorliegen ist in jedem Einzelfall einer Datenübermittlung an eine nichtöffentliche Stelle zu prüfen. Im Hinblick auf das Recht auf Auskunft nach 19 BDSG oder nach 12 Abs. 4 i.v.m. 34 BDSG ist sowohl die Übermittlung als solche, deren Umfang sowie die genaue Bezeichnung der empfangenden nicht-öffentlichen Stelle zu dokumentieren. Nur so kann der Pflicht entsprochen werden, der betroffenen Person im Rahmen des Auskunftsersuchens den Empfänger überhaupt benennen zu können. Daneben zwingt 9 Satz 1 BDSG i.v.m. der dazugehörenden Anlage zur Dokumentation der Übermittlung, um der dort geforderten Weitergabekontrolle nachkommen zu können. Schließlich spricht die Notwendigkeit, sich im Fall der Inanspruchnahme wegen Schadensersatz nach 7 BDSG Siehe hierzu Erlass BMVg Org 2 Az vom 30. September entlasten zu können, für die Dokumentation der

202 Datenübermittlung. Ferner ist nach 16 Abs. 1 Nr. 2 BDSG eine Datenübermittlung an nichtöffentliche Stellen nur zulässig, wenn der Dritte sein berechtigtes Interesse glaubhaft dargelegt hat. In der Praxis ist eine solche Darlegung eines berechtigten Interesses als Ersuchen auf Datenübermittlung zu bewerten. Damit ist faktisch eine Datenübermittlung an nichtöffentliche Stellen ohne ein entsprechendes Ersuchen ausgeschlossen. Der zweiten Voraussetzung für die Datenübermittlung nach 16 Abs. 1 Nr. 2 BDSG dem Fehlen schutzwürdiger Interessen der betroffenen Person, die eine Übermittlung ausschließen kommt damit in Fällen dieser Art keine praktische Bedeutung mehr zu. Hinsichtlich der Bearbeitung von Datenübermittlungen auf Ersuchen siehe Erlass BMVg Org 2 Az vom 19. April Bei einer Datenübermittlung an eine nicht-öffentliche Stelle ohne Ersuchen des Dritten trägt die öffentliche Stelle als Übermittlerin die Verantwortung für die Zulässigkeit der Übermittlung. Diese Bestimmung hat Auswirkungen auf haftungsrechtliche Aspekte Siehe hierzu Erlass BMVg Org 2 Az vom 30. September und auf die Verantwortung nach der Vorschrift über Ordnungswidrigkeiten hier 43 Abs. 2 Nr. 1 BDSG. 2. Nach 16 Abs. 4 Satz 2 BDSG hat die übermittelnde Stelle den Dritten, der die personenbezogenen Daten erhält, auf die Zweckbindung hinzuweisen. Mit der Übermittlung ist also stets der Zweck mitzuteilen, für den die Übermittlung der personenbezogenen Daten erfolgt.

203 Will die empfangende nicht-öffentliche Stelle ausnahmsweise hiervon abweichen, so bedarf dies der Zustimmung der übermittelnden Stelle (= Dienststelle). 3. Nach jeder Datenübermittlung besteht eine Nachberichtspflicht, wenn dies keinen unverhältnismäßigen Aufwand erfordert. Eine nachträgliche Unterrichtung des Dritten zu Lasten der betroffenen Person darf nach 20 Abs. 8 BDSG nicht erfolgen. Anknüpfungspunkt der sog. Nachberichtspflicht ist der Fall der Übermittlung unrichtiger Daten. Stellt die überbermittelnde öffentliche Stelle eine solche Entwicklung fest, ist sie grundsätzlich verpflichtet, jede Stelle, die diese Daten erhalten hat, über die Fehlerhaftigkeit zu unterrichten. Eine Ausnahme von dieser Pflicht besteht nur, wenn eine solche Benachrichtigung einen unverhältnismäßigen Aufwand erfordert Die hier tragenden Erwägungen sind aktenkundig zu machen. und die Benachrichtigung für die betroffene Person keine negativen Folgen bewirkt.

204 zurück zu abs1 Einbindung der administrativen Datenschutzkomponente bei der Bearbeitung von Beschwerden, Eingaben u.ä. Bezug: Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, S. 153 ff.) Ich weise auf die Zweckmäßigkeit hin, bei Beschwerden, Eingaben o.ä., die auch Berührungspunkte zum Datenschutz (= Schutz personenbezogener Daten) beinhalten, die jeweilige administrative Datenschutzkomponente einzubinden. In diesem Zusammenhang verweise ich auf die Ausführungen zu 18 Abs. 1 in den Durchführungsbestimmungen zum Bundesdatenschutzgesetz im Geschäftsbereich des BMVg. Bereits bei der Zuordnung der Aufgaben des Datenschutzes sind die konkreten Aufgaben festzuschreiben. Die Notwendigkeit, Verfahren / Abläufe, bei denen mit personenbezogenen Daten umgegangen wird, zum Schutz dieser Daten festzuschreiben, ergibt sich auch aus den Vorgaben des 9 Satz 1 BDSG. Diese Regelung bezieht sich nicht nur auf automatisierte Datenverarbeitung!

205 zurück zu 18Abs.1 Wahrnehmung administrativen Datenschutzes durch MilAttStäbe 1. In Absprache mit dem behördlichen Datenschutzbeauftragten des Auswärtigen Amtes weise ich darauf hin, dass Angehörige MillAttStäbe allgemeinen administrativen Datenschutz gemäß den Bestimmungen des Auswärtigen Amtes durchführen. Im Hinblick auf spätere Verwendungen im Geschäftsbereich des BMVg bitte ich - unabhängig von der soeben dargelegten Regelung - den Angehörigen MillAttStäbe den Zugang zu allgemeinen datenschutzrechtlichen Bestimmungen des Geschäftsbereichs zu ermöglichen. 2. Bei vergleichbaren anderen Stellen ist entsprechend zu verfahren. Anknüpfungspunkt ist die Einbindung in ein anderes Ressort bzw. eine andere Organisation (z.b. OSZE).

206 zurück zu 9 zurück zu 18 Abs Interne Prüfkompetenz als technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten Bezug: BMVg Org 2 Az vom Ich empfehle, seitens des Dienststellenleiters die administrativen Datenschutzkomponenten mit Prüfkompetenzen auszustatten. Diese Maßnahme verfolgt das Ziel, frühzeitig dienststelleninternen Handlungsbedarf erkennen zu können. Zu diesen Befugnissen sollte es gehören, unangekündigte Prüfungen ggf. nach Einholung einer konkreten Zustimmung durch den Dienststellenleiter - durchführen zu können. In Betracht kommt auch eine kombinierte Prüfung in Verbindung mit dem jeweils zuständigen IT- Sicherheitsbeauftragten. Die genauen Befugnisse sollten bekannt gegeben werden. 2. Die Prüfkompetenz ist nur zum Schutz personenbezogener Daten zu nutzen. Die durch Prüfungen gewonnenen Informationen sind zu keinem anderen Zweck zu verwenden. 3. Bei der Ausübung einer Prüfungskompetenz sind 14 Abs. 3 und Abs. 4 BDSG zu beachten!

207 zurück zu 18Abs.2 Meldung von automatisierten Verarbeitungen personenbezogener Daten Bezug: BMVg Org 2 Az /2531 vom Aus gegebenem Anlass weise ich daraufhin, dass sich der im Bezug genannte Erlass nur auf nichtautomatisierte (manuelle) Dateien bezieht. Die automatisierte Verarbeitung personenbezogener Daten unterliegt weiterhin der Erfassung gemäß 18 Abs. 2 Satz 2 BDSG. Sammelstellen weise ich an, dort eingehende Meldungen unverzüglich zu bearbeiten.

208 zurück zu zurück DB 18Abs Aufhebung der Privilegierung vorübergehender automatisierter Datenverarbeitung Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153 ff) 2. BMVg Org 2 Az vom 20. September BMVg Org 2 Az vom 05. Dezember BMVg Org 2 Az vom 09. April Anknüpfend an den ersten Bezug hebe ich die Durchführungsbestimmung zu 18 Abs. 3 BDSG auf. Der 18 Abs. 3 BDSG wurde im Rahmen der Novellierung ersatzlos gestrichen. Folglich ist jede automatisierte Verarbeitung personenbezogener Daten - unabhängig von der Dauer ihres Bestandes - zum DATAV zu melden. 2. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach innerhalb einer verantwortlichen Stelle oder in einem Teil des Geschäftsbereichs oder im ganzen Geschäftsbereich geführt werden, sollten die Festlegungen (Bezüge 2., 3. und 4.) zusammengefasst werden. Anzustreben ist eine Standardisierung. Durch eine Abfrage der Datenfelder, die für gleiche oder ähnliche Zwecke auf der gleichen Rechtsgrundlage in einer Dienststelle oder einem größeren Verantwortungsbereich benötigt werden, kann auf der Grundlage des größten in der Erforderlichkeit begründbaren (!) - Bedarfs eine Meldung zum DATAV erfolgen. Wenn in der Anwendung von einem Teil der verschiedenen Bereiche nur ein Teil der Datenfelder tatsächlich mit personenbezogenen Daten entsprechend der jeweiligen Erforderlichkeit gefüllt wird, ist dies unschädlich. Nicht befüllte Datenfelder greifen nicht in das Grundrecht auf informationelle Selbstbestimmung ein.

209 zurück zu 18 Abs.1 S.1 Wahrnehmung der Aufgaben zum Schutz personenbezogener Daten / Einbindung der administrativen Datenschutzkomponente BEZUG Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) (VMBl. 1998, S. 153) Az DATUM Bonn, 07. Oktober 2002 Sich häufende Anfragen betroffener Personen zur Rechtmäßigkeit des Umgangs mit ihren personenbezogenen Daten veranlassen mich, darauf hinzuweisen, dass die Aufgabe "Schutz personenbezogener Daten" entsprechend den Ausführungen zu 18 Abs. 1 in den Durchführungsbestimmungen zum BDSG im Geschäftsbereich des BMVg in den jeweiligen Dienststellen wahrzunehmen ist. 1. Aus fachlicher Sicht bedarf es der dienststellenbezogenen Festschreibung konkreter Aufgaben, der Aus- und Fortbildung des in diesem Bereich eingesetzten Personals sowie der ständigen Einbindung der administrativen Datenschutzkomponente Siehe zum Begriff der "administrativen Datenschutzkomponente" Erlass BMVg Org 2 Az vom 07. Januar 2002 bei Vorgängen und Vorhaben, die sich auf den Umgang mit personenbezogenen Daten beziehen. Zur anlassbezogenen Einbindung siehe Erlass BMVg - Org 2 Az vom 08. April Ich bitte, diesen Punkten bei der Ausübung der Fachaufsicht besonderes Augenmerk zu schenken und die hier getroffenen Feststellungen und Bewertungen im Prüfbericht darzulegen.

210 zurück zu Beratungs- und Kontrollbesuche des Bundesbeauftragten für den Datenschutz Angesichts der Möglichkeit eines unangemeldeten Beratungs- und Kontrollbesuchs des Bundesbeauftragten für den Datenschutz (BfD) sog. Spontankontrolle - in Dienststellen des Geschäftsbereichs lege ich folgende Maßnahmen fest bzw. empfehle diese: 1. BMVg Org 2 ist unverzüglich also direkt nach Eintreffen des BfD telefonisch oder über Lotus Notes über die Kontrolle zu unterrichten. 2. Die Kontrolle sollte komplett von einem Vertreter der administrativen Datenschutzkomponente begleitet werden. 3. Unmittelbar nach Abschluss des Beratungs- und Kontrollbesuchs ist BMVg Org 2 telefonisch oder über Lotus Notes über die Kontrollschwerpunkte zu unterrichten. 4. Die Prüfungspunkte sind schriftlich zu dokumentieren. Empfehlungen des BfD sind gleichfalls festzuhalten. Gleiches gilt für direkt anlässlich der Kontrolle veranlasster Maßnahmen. Ich bitte mir hierüber schnellstmöglich (a.d.d.) zu berichten. 5. Jeglicher Schriftverkehr mit dem BfD ist (Siehe BMVg Org 2 Az vom ) über mich zu leiten.

211 zurück zu Einbindung des Bundesbeauftragten für den Datenschutz Aus gegebenem Anlass bitte ich mich bei Vorhaben, die auf die Einbindung oder Gewinnung des Bundesbeauftragten für den Datenschutz etwa über Vorträge im Rahmen von Aus- und Fortbildungen zielen, einzubinden. Ich weise nochmals daraufhin, dass dienstlicher Schriftverkehr mit dem Bundesbeauftragten für den Datenschutz über mich zu führen ist.

212 zurück zu Kontrollbefugnisse des Bundesbeauftragten für den Datenschutz Bezug: 1. Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg (VMBl. 1998, S. 153, 164 f.) 2. BMVg Org 2 Az vom BMVg Org 2 Az vom Anknüpfend an Bezug 2. zeige ich zu den Kontrollbefugnissen des Bundesbeauftragten für den Datenschutz (BfD) folgende, durch 24 BDSG bestimmte Rechtslage auf: Der BfD hat das Recht zur anlassunabhängigen Kontrolle jeder öffentlichen Stelle des Bundes hinsichtlich der Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz. Gegenüber dem "alten" BDSG bedarf es nicht mehr einer Eingabe an den BfD durch eine betroffene Person, um einen Kontrollbesuch "auszulösen". Maßstab für den BfD ist nicht nur die Beachtung der Bestimmungen des BDSG, sondern auch die bereichsspezifischer Festlegungen (BBG, SG, WPflG, SÜG usw.). auf Auskunft zu seinen Fragen. Ein Recht zur Verweigerung der Beantwortung der Fragen des BfD besteht nicht. auf Bereitstellung aller Unterlagen und Akten im Kontrollbereich. Dem BfD ist Einsicht in alle gespeicherten Daten und Datenverarbeitungsprogramme zu gewähren. Bei Verschlusssachen ist die Vorlage einer entsprechenden Konferenzbescheinigung zu verlangen, wenn diese von den Vertretern des BfD nicht bereits unaufgefordert aufgezeigt wird. auf jederzeitigen Zutritt in alle Diensträume. Das Berufen auf das Hausrecht ist gegenüber dem BfD nicht zulässig.

213 Von der Kontrolle durch den BfD sind Akten über Sicherheitsüberprüfungen ausgeschlossen, wenn die betroffene Person der Kontrolle widerspricht. Der (schriftliche) Widerspruch ist deutlich sichtbar zu Beginn der Akte zu dokumentieren. Der Widerspruch ist von der betroffenen Person zu unterzeichnen. Ich empfehle, dem BfD für die gesamte Dauer der Prüfung ein Dienstzimmer (nebst Schlüssel) bereitzustellen. Zweckmäßigerweise sollte eine Fernsprechmöglichkeit bestehen. Auf die Festlegungen in den Bezugserlassen verweise ich nachdringlich. Sollte der BfD im Vorfeld einer angekündigten Kontrolle Unterlagen erbitten, sind diese zwingend über mich zu leiten! Eine bloße nachrichtliche Einbindung genügt nicht! Gleiches gilt für den Schriftwechsel im Nachgang zu einem Kontrollbesuch.

214 zurück zu zurück zu Erlass Abs Widerspruchsrecht nach 24 Abs. 2 Bundesdatenschutzgesetz bezüglich Kontrollen durch den Bundesbeauftragten für den Datenschutz Bezug: 1. BMVg Org 2 Az vom BMVg Org 2 Az vom BMVg Org 2 Az vom Anlg.: -1- Muster Infolge der mit Bezug 1. aufgezeigten Änderungen bei den Kontrollbefugnissen bestimme ich zur Handhabung des Widerspruchsrechts betroffener Personen bezüglich der Kontrolle sie betreffender Daten durch den Bundesbeauftragten für den Datenschutz folgendes Verfahren: 1. Das Widerspruchsrecht gegenüber dem Bundesbeauftragten für den Datenschutz besteht nur noch und ausschließlich im Hinblick auf Daten in Akten über die Sicherheitsüberprüfung. 2. Der Widerspruch ist schriftlich zu erklären. 3. Zur einheitlichen Handhabung ist das als Anlage beigefügte Muster zu verwenden. Alle Ausfertigungen sind zu unterschreiben. Es dürfen keine Kopien von einer Erklärung gefertigt werden. 4. Eine Ausfertigung ist von der betroffenen Person über Dienstpost dem Bundesbeauftragten für den Datenschutz zuzusenden. Jeweils eine weitere Ausfertigung ist zur Sicherheitsakte und zur Sicherheitsüberprüfungsakte zu geben. 5. Die o.g., für die Akten bestimmten Ausfertigungen sind dort an den Beginn einzuordnen. Bei mehrbändigen Akten ist am Beginn jedes Teils auf die Erklärung am Anfang der Akte hinzuweisen.

215 Anlage zu BMVg Org 2 Az vom 7. August 2002 Name, Vorname Personenkennziffer Dienststelle... PLZ, Ort, Datum... Der Bundesbeauftragte für den Datenschutz Postfach Bonn Betr.: Kontrolle von personenbezogenen Daten durch den Bundesbeauftragten für den

216 Datenschutz nach 24 BDSG hier: Erklärung des Widerspruchs Ich widerspreche der Kontrolle meiner Daten in Akten über die Sicherheitsüberprüfung. Ich bitte, mir den Eingang meines Widerspruchs zu bestätigen. Mit freundlichen Grüßen Es handelt sich vorliegend um einen Vorschlag zur Formulierung des Widerspruchs und nicht um eine bindende Vorgabe. Die den Widerspruch erklärende Person richtet den Widerspruch bitte direkt an den Bundesbeauftragten für den Datenschutz, die zweite und dritte Erklärung an den zuständigen Sicherheitsbeauftragten zur Aufnahme in die Sicherheits- und Sicherheitsüberprüfungsakte.

217 zurück zu 24 Abs. 2 Widerspruchsrecht nach 24 Abs. 2 Bundesdatenschutzgesetz III BEZUG BMVg Org 2 Az vom 07. August 2002 (I) und 27. August 2002 (II) ANLAGE -1- Empfehlung zur Erklärung des Widerspruchs nach 24 Abs. 2 BDSG Az DATUM Bonn, 30. Oktober 2002 Beobachtungen im Geschäftsbereich des BMVg geben Anlass zu folgenden Hinweisen: 1. Da das Widerspruchsrecht gegenüber dem Bundesbeauftragten für den Datenschutz ausschließlich im Hinblick auf Akten über die Sicherheitsüberprüfung besteht, Siehe hierzu Erlass BMVg Org 2 Az vom 07. August setzt eine solche Erklärung voraus, dass ein Verfahren zur Sicherheitsüberprüfung eingeleitet worden ist. Eine Sicherheitsüberprüfung ist eingeleitet, wenn der Sicherheitsbeauftragte den Militärischen Abschirmdienst beauftragt hat, eine Sicherheitsüberprüfung durchzuführen. Für Wehrpflichtige, die von ihrem Widerspruchsrecht gem. 24 Abs. 2 BDSG Gebrauch machen wollen, bedeutet dies, dass die Nutzung des Widerspruchsrechts erst bei der Abgabe der Sicherheitserklärung zum Dienstantritt beim Sicherheitsbeauftregten erklärt zu werden braucht. Ohne Einleitung einer Sicherheitsüberprüfung fehlen die Voraussetzungen für das Anlegen einer Sicherheitsakte und einer Sicherheitsüber-prüfungsakte. 2. Die weiteren zur Sicherheitsakte und/oder zur Sicherheitsüberprüfungsakte zu nehmenden Ausfertigungen der Widerspruchserklärung sind dem zuständigen Sicherheitsbeauftragten zuzuleiten. Von hier aus erfolgt die Weiterleitung der Ausfertigung für die Sicherheitsüberprüfungsakte beim MAD, sofern hierfür ein Widerspruchsrecht ausgeübt werden soll.

218 3. Die Erklärung des Widerspruchs ist in der jeweiligen Akte vor dem Inhaltsverzeichnis einzusortieren. Einer Aufnahme der Erklärung in das Inhaltsverzeichnis bedarf es nicht. 4. Wird die Sicherheitsakte und/oder die Sicherheitsüberprüfungsakte vernichtet, so ist in diesem Zusammenhang auch die Widersprucherklärung zu vernichten. Erwächst später eine neue Sicherheitsakte und/oder Sicherheitsüberprüfungsakte, so bleibt es der betroffenen Person unbenommen, der Kontrolle dieser (neuen) Akte/n zu widersprechen. 5. Form und Wortlaut der Erklärung Siehe hierzu Erlass BMVg Org 2 Az vom 07. August sind keine bindende Vorgabe. Sie stellen einen Vorschlag dar, der der Vereinheitlichung und besseren Handhabung dient. Eine, die Erfahrungen in der Praxis aufgenommene Neufassung des Vorschlags ist als Anlage beigefügt. Eine betroffene Person kann für den Widerspruch auch eine andere Form wählen. Die Verwendung der vorgeschlagenen Schriftform wird jedoch empfohlen. Folgt die betroffene Person dieser Empfehlung nicht, so ist die Erklärung dreifach zur Niederschrift aufzunehmen und jede Ausfertigung von der erklärenden (= betroffenen) Person zu unterschreiben. Die Verteilung der Ausfertigungen obliegt der Dienststelle.

219

220 Anlage zu BMVg Org 2 Az vom 30. Oktober 2002 Name, Vorname PLZ, Ort, Datum Personenkennziffer... Dienststelle (Anschrift)... Der Bundesbeauftragte für den Datenschutz Postfach Bonn Betr.: Kontrolle von personenbezogenen Daten durch den Bundesbeauftragten für den

221 Datenschutz nach 24 BDSG hier: Erklärung des Widerspruchs Ich widerspreche der Kontrolle meiner Daten in der beim Sicherheitsbeauftragten geführten Sicherheitsakte. der beim Militärischen Abschirmdienst geführten Sicherheitsüberprüfungsakte. Ich bitte, mir den Eingang meines Widerspruchs zu bestätigen. Mit freundlichen Grüßen

222 zurück zu 24 Abs Widerspruchsrecht nach 24 Abs. 2 Bundesdatenschutzgesetz bezüglich Kontrollen durch den Bundesbeauftragten für den Datenschutz Bezug: 1. BMVg Org 2 Az vom BMVg Org 2 Az vom BMVg Org 2 Az vom BMVg Org 2 Az vom Anknüpfend an das mit Bezug 1. bestimmte Verfahren bittet der Bundesbeauftragte für den Datenschutz, die Widerspruchserklärung so zuzusenden, dass ihm ein Antwortschreiben nebst Eingangsbestätigung möglich ist. Dies setzt voraus, dass von der widersprechenden Person Angaben zur postalischen Erreichbarkeit vorliegen. Ich bitte daher, die Widerspruchserklärungen entsprechend zu ergänzen, wenn eine Eingangsbestätigung gewünscht wird.

223 zurück zu DB Anlg. 3 Vernichtung von Datenträgern mit Seriennummern Bezug: Durchführungsbestimmungen zum Bundesdatenschutzgesetz (VMBl. 1998, 153 ff.) Ergänzend zur Anlage 3 der "Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg" bestimme ich: 1. Bei "anderen Datenträgern" im Sinne dieser Anlage sind mit der Entscheidung über deren Vernichtung die jeweiligen Seriennummern soweit vorhanden - zu dokumentieren. Als Dokumentationsnachweis bieten sich die Beauftragungsunterlagen für die Firma an, die die Vernichtung durchführt. Hier ist die Seriennummer und der Bereich, aus dem der Datenträger kommt, aufzunehmen. Ist dies nicht praktikabel etwa weil die Beauftragungsunterlagen nicht ausreichend lang aufzubewahren sind -, ist eine zentrale Nachweisführung in der Dienststelle einzurichten. Hintergrund dieser Regelung ist eine Empfehlung des Bundesbeauftragten für den Datenschutz. In Einzelfällen war es nicht zur Vernichtung der Datenträger durch die beauftragte Firma gekommen. Die Dokumentation im Geschäftsbereich des BMVg sichert den Beweis für die Abgabe des Datenträgers an das jeweilige Unternehmen. 2. Die Einhaltung der Bestimmungen zur Vernichtung von Datenträgern mit personenbezogenen Daten sollte von der administrativen Datenschutzkomponente stichprobenartig überprüft werden. Bei Datenträgern, die nicht Schriftgut sind, sollte dies in Zusammenarbeit mit dem zuständigen IT- Sicherheitsbeauftragten erfolgen.

224 zurück zu DB Anlg. 8 Zusätzliche Festlegung von Sammelstellen Bezug: Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg - VMBl. 1998, S. 153 ff In Abänderung der Ziffer 402 der Anlage 8 zu den Durchführungsbestimmungen zum Bundesdatenschutzgesetz (BDSG) im Geschäftsbereich des BMVg - VMBl. 1998, S. 153 ff bestimme ich folgende neue Sammelstellen: Sammelstellen sind: in der Streitkräftebasis das Amt für den Militärischen Abschirmdienst, das Personalamt der Bundeswehr, das Einsatzführungskommando der Bundeswehr, das Streitkräfteunterstützungskommando und das Streitkräfteamt, im Organisationsbereich Zentraler Sanitätsdienst der Bundeswehr (ZSanDstBw) das Sanitätsführungskommando und das Sanitätsamt der Bundeswehr.