Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines, Anlagentechnik, Individualrecht

Zur aktuellen Fassung

Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das nach Anhörung des Senats hiermit bekanntgemacht wird:

Erster Abschnitt
Allgemeine Bestimmungen

Art. 1 Zweck des Gesetzes

Zweck dieses Gesetzes ist es, die einzelnen davor zu schützen, daß sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht beeinträchtigt werden.

Art. 2 Anwendungsbereich des Gesetzes ¹⁵

(1) Die Vorschriften dieses Gesetzes - ausgenommen der Sechste Abschnitt - gelten für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Behörden, Gerichte und sonstige öffentliche Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts.

(2) Die Vorschriften dieses Gesetzes gelten auch für Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen - ungeachtet der Beteiligung nicht-öffentlicher Stellen -

1. eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts beteiligt sind, oder
2. außer einer oder mehrerer der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts auch eine oder mehrere der in § 2 Abs. 1 des Bundesdatenschutzgesetzes genannten juristischen Personen des öffentlichen Rechts oder Vereinigungen beteiligt sind, wenn sie keine öffentlichen Stellen des Bundes gemäß § 2 Abs. 3 des Bundesdatenschutzgesetzes sind.

Beteiligt sich eine Vereinigung des privaten Rechts, auf die dieses Gesetz nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des privaten Rechts, so findet Satz 1 entsprechende Anwendung.

(3) Für personenbezogene Daten in automatisierten Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden, gelten von den Vorschriften dieses Gesetzes nur die Art. 5, 7, 17 Abs. 4, Art. 25, 29, 30, 31, 32 Abs. 1 bis 3, Art. 33 und 37.

(4) Die Vorschriften dieses Gesetzes gelten nicht für die Ausübung des Begnadigungsrechts.

(5) Die Vorschriften dieses Gesetzes gelten für den Landtag nur, soweit sie in Verwaltungsangelegenheiten tätig wird.

(6) In bezug auf Gerichte und den Obersten Rechnungshof gelten der Vierte, Fuenfte und Siebte Abschnitt sowie Art. 9 nur, soweit sie in Verwaltungsangelegenheiten tätig werden.

(7) Soweit besondere Rechtsvorschriften über den Datenschutz oder über Verfahren der Rechtspflege auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.

(8) Die Vorschriften dieses Gesetzes gehen denen des Bayerischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten erhoben, verarbeitet oder genutzt werden.

(9) Dieses Gesetz läßt die Verpflichtung zur Wahrung der in § 203 Abs. 1 des Strafgesetzbuchs genannten Geheimnisse unberührt.

Art. 3 Öffentliche Stellen, die am Wettbewerb teilnehmen

(1) Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie sowie für ihre Zusammenschlüsse und Verbände die Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des Zweiten Abschnitts. Art. 2 Abs. 7 bleibt unberührt. Für die Durchführung und die Kontrolle des Datenschutzes gelten an Stelle der § 4d bis 4g und 38 des Bundesdatenschutzgesetzes die Art. 9 und 25 bis 33.

(2) Soweit öffentlich-rechtliche Versicherungsunternehmen am Wettbewerb teilnehmen, gelten für sie die Vorschriften des Bundesdatenschutzgesetzes, die auf privatrechtliche Versicherungsunternehmen anzuwenden sind. Für öffentlich-rechtliche Kreditinstitute sowie für ihre Zusammenschlüsse und Verbände gelten die Vorschriften des Bundesdatenschutzgesetzes, die auf privat-rechtliche Kreditinstitute anzuwenden sind. Art. 2 Abs. 7 bleibt unberührt.

(3) Die Anstalt für Kommunale Datenverarbeitung in Bayern unterliegt den Vorschriften dieses Gesetzes auch, soweit sie am Wettbewerb teilnimmt.

Art. 4 Begriffsbestimmungen ¹⁵

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene).

(2) Öffentliche Stellen im Sinn dieses Gesetzes sind die in Art. 2 Abs. 1 und 2 bezeichneten Stellen und Vereinigungen. Öffentliche Stellen im Sinn der Art. 18 und 24 sind darüber hinaus die öffentlichen Stellen des Bundes gemäß § 2 des Bundesdatenschutzgesetzes und der anderen Länder nach § 2 des Bundesdatenschutzgesetzes und der jeweils maßgeblichen Landesdatenschutzgesetze. Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter Satz 1 oder 2 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle.

(3) Eine Datei ist

1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei) oder
2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei).

Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.

(4) Akten sind alle sonstigen amtlichen oder dienstlichen Zwecken dienenden Unterlagen; dazu zählen auch Bild- und Tonträger. Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.

(5) Erheben ist das Beschaffen von Daten über Betroffene.

(6) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Überarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte in der Weise, daß
   1. die Daten durch die speichernde Stelle an Dritte weitergegeben werden oder
   2. Dritte Daten einsehen oder abrufen, die von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehalten werden,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

(7) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, insbesondere die Weitergabe von Daten innerhalb der speichernden Stelle an Teile derselben Stelle mit anderen Aufgaben oder anderem örtlichem Zuständigkeitsbereich.

)8) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(9) Speichernde Stelle ist jede öffentliche Stelle, die personenbezogene Daten für sich selbst speichert oder durch andere im Auftrag speichern läßt.

(10) Dritte sind alle Personen oder Stellen außerhalb der speichernden Stelle. Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

(11) Ist in diesem Gesetz eine schriftliche Erklärung angeordnet, kann an ihre Stelle eine elektronische Erklärung treten.

Art. 5 Datengeheimnis

Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Art. 6 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten durch andere Stellen im Auftrag erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die im Zweiten Abschnitt genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Auftragnehmer sind unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber hat sich soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.

(3) Ist eine öffentliche Stelle Auftragnehmer, so gelten für sie nur die Art. 5, 7, 25, 29, bis 31, 32 Abs. 1 bis 3, Art. 33 und 37. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) Die Absätze 1 bis 3 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Ist eine schriftliche Auftragserteilung nach Absatz 2 Satz 2 nicht möglich, so ist diese unverzüglich nachzuholen.

Art. 7 Technische und organisatorische Maßnahmen

(1) Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schätzenden personenbezogenen Daten geeignet sind,

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

Art. 8 Einrichtung automatisierter Abrufverfahren

(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten an Dritte durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.

(2) Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1. die Aufgaben, zu deren Erfüllung personenbezogene Daten verarbeitet werden und die Rechtsgrundlage der Verarbeitung,
2. die Datenempfänger,
3. die Art der zu übermittelnden Daten,
4. die nach Art. 7 erforderlichen technischen und organisatorischen Maßnahmen.

(3) Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung geltenden Vorschriften. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht. Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufs oder der Übermittlung des Gesamtbestands.

(4) Die Absätze 1 bis 3 gelten nicht für den Abruf aus Datenbeständen, die allen, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen.

Zweiter Abschnitt
Schutzrechte

Art. 9 Anrufung des Landesbeauftragten für den Datenschutz

Jeder kann sich an den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen in seinen Rechten verletzt worden zu sein.

Art. 10 Auskunft und Benachrichtigung

(1) Die speichernde Stelle hat den Betroffenen auf Antrag Auskunft zu erteilen über

1. die zur Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung,
3. die Herkunft der Daten und die Empfänger übermittelter Daten, soweit diese Angaben gespeichert sind,
4. die Empfänger regelmäßiger Datenübermittlungen,
5. im Fall des Art. 6 Abs. 1 bis 3 die Auftragnehmer,
6. im Fall des Art. 15 Abs. 6 den strukturierten Ablauf der automatisierten Verarbeitung oder Nutzung seiner Daten und die dabei herangezogenen Entscheidungskriterien.

Dies gilt nicht für personenbezogene Daten, die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen.

(2) Für die Auskunft werden Kosten nicht erhoben, es sei denn, daß mit der Auskunftserteilung ein besonderer Verwaltungsaufwand verbunden ist.

(3) In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten nicht in automatisierten Dateien gespeichert, so wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die speichernde Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.

(4) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaft, an Polizeidienststellen, an Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, an Verfassungsschutzbehörden, an den Bundesnachrichtendienst, an den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, an andere Behörden des Bundesministeriums der Verteidigung, so ist sie nur mit Zustimmung dieser Stellen zulässig. Für die Versagung der Zustimmung durch Behörden des Freistaates Bayern gilt Absatz 5 entsprechend.

(5) Die Auskunftserteilung unterbleibt, soweit

1. die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen gefährden würde,
2. die Auskunft die öffentliche Sicherheit oder Ordnung, die Sicherheit des Staates, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union - einschließlich Währungs-, Haushalts- und Steuerangelegenheiten einschließlich Währungs-, Haushalts- und Steuerangelegenheiten - gefährden würde oder
3. personenbezogene Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss.

(6) Die Ablehnung der Auskunftserteilung durch Behörden der Staatsanwaltschaft, durch Justizvollzugsanstalten und Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, bedarf keiner Begründung. Die Ablehnung der Auskunftserteilung durch sonstige öffentliche Stellen bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In den Fällen der Sätze 1 und 2 ist der Betroffene darauf hinzuweisen, daß er sich an den Landesbeauftragten für den Datenschutz wenden kann.

(7) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Landesbeauftragten für den Datenschutz zu erteilen, so weit nicht die Staatskanzlei, die Staatsministerien, die sonstigen obersten Dienststellen des Staates oder die obersten Aufsichtsbehörden jeweils für ihren Zuständigkeitsbereich im Einzelfall feststellen, daß dadurch die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährdet würde. Die Mitteilung des Landesbeauftragten für den Datenschutz an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.

(8) Werden in einer Datei zur Person Betroffener Daten gespeichert, die weder von den Betroffenen mit ihrer Kenntnis erhoben noch von ihnen mitgeteilt worden sind, so hat die speichernde Stelle die Betroffenen von der Tatsache der Speicherung zu benachrichtigen und dabei die Art der Daten sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung zu nennen; Absatz 1 Satz 2 gilt entsprechend. Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens mit deren Durchführung. Dienen die Daten der Erstellung einer beabsichtigten Mitteilung an Betroffene, kann die Benachrichtigung mit dieser Mitteilung verbunden werden. Die Sätze 1 bis 3 gelten nicht, wenn

1. eine Rechtsvorschrift die Speicherung der personenbezogenen Daten ausdrücklich vorsieht,
2. die Betroffenen auf andere Weise Kenntnis von der Tatsache der Speicherung erlangt haben, oder
3. die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.

Absatz 5 gilt entsprechend.

(9) Die Absätze 1 bis 8 gelten für Gerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden. Absatz 6 Satz 3 und Absatz 7 gelten für den Obersten Rechnungshof nur, soweit er in Verwaltungsangelegenheiten tätig wird. Absatz 8 gilt nicht für Behörden der Staatsanwaltschaft, für Justizvollzugsanstalten, für Führungsaufsichtsstellen und für Stellen der Gerichts- und Bewährungshilfe.

Art. 11 Berichtigung

Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird bei personenbezogenen Daten in Akten festgestellt, daß sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen bestritten, so ist dies in den Akten zu vermerken oder auf sonstige Weise festzuhalten.

Art. 12 Löschung, Sperrung

(1) Personenbezogene Daten in Dateien sind zu löschen, wenn

1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.

(2) Personenbezogene Daten in Dateien sind zu sperren, wenn

1. ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt oder
2. eine Löschung nach Absatz 1 wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

(3) Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, daß ihre Speicherung unzulässig ist. Stellt die speichernde Stelle im Einzelfall fest, daß der gesamte Akt ausschließlich unzulässig gespeicherte Daten enthält, so sind die personenbezogenen Daten zu löschen.

(4) Personenbezogene Daten in Akten sind ferner zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, daß ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist und ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden. Stellt die speichernde Stelle im Einzelfall fest, daß der gesamte Akt zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist, sind die personenbezogenen Daten zu löschen.

(5) An die Stelle einer Löschung tritt eine Sperrung, wenn Grund zu der Annahme besteht, daß durch eine Löschung die schutzwürdigen Interessen des Betroffenen beeinträchtigt würden.

(6) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn

1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich oder zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen oder zur Rechnungsprüfung erforderlich ist und
2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.

(7) Daten, die wegen Unzulässigkeit der Speicherung gesperrt sind, dürfen ohne Einwilligung des Betroffenen nicht mehr übermittelt oder genutzt werden, es sei denn, daß dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen oder zur Rechnungsprüfung erforderlich ist.

(8) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden sind und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht (Art. 6 Abs. 4 Bayerisches Archivgesetz oder auf Grund der entsprechenden Festlegungen der Träger von Archiven sonstiger öffentlicher Stellen nach Abschnitt III des Bayerischen Archivgesetzes) entschieden worden ist.

Art. 13 Benachrichtigung nach Datenübermittlung

Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen diese Daten übermittelt wurden, es sei denn, dass die Verständigung sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist.

Art. 14 Schadensersatz

(1) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen zum Ersatz dieses Schadens verpflichtet. Die Ersatzpflicht entfällt, soweit die öffentliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

(2) Fügt eine öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet. Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. Der Anspruch ist insgesamt bis zu einem Betrag in Höhe von 125.000 Euro begrenzt. Ist auf Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 125.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. Sind bei einer Datei mehrere Stellen speicherungsberechtigt und sind Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.

(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(4) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, so gilt § 254 des Bürgerlichen Gesetzbuchs. Auf die Ver-jährung finden die Vorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.

(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.

(6) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Dritter Abschnitt
Rechtsgrundlagen der Datenerhebung, -verarbeitung und -nutzung

Art. 15 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung ¹⁵

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn

1. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder
2. der Betroffene eingewilligt hat.

(2) Wird eine Einwilligung eingeholt, so sind Betroffene auf den Zweck der Erhebung, Verarbeitung oder Nutzung, auf die Empfänger vorgesehener Übermittlungen sowie unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern können.

(3) Die Einwilligung ist schriftlich oder elektronisch zu erteilen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Im Bereich der wissenschaftlichen Forschung liegen solche besonderen Umstände auch dann vor, wenn der bestimmte Forschungszweck durch die schriftliche oder elektronische Einwilligung erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis gemäß Absatz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des wissenschaftlichen Forschungszwecks ergibt, festzuhalten.

(4) Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. Bei elektronischer Einwilligung ist sicherzustellen, dass

1. der Betroffene die Einwilligung bewusst und eindeutig erteilt hat,
2. er sich über ihren Inhalt nachträglich informieren und sie mit Wirkung für die Zukunft widerrufen kann und
3. die Einwilligung protokolliert wird.

(5) Widersprechen Betroffene einer bestimmten Erhebung, Verarbeitung oder Nutzung und ergibt eine Abwägung im Einzelfall, dass das schutzwürdige Interesse eines Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der öffentlichen Stelle an der Erhebung, Verarbeitung oder Nutzung dieser Daten überwiegt, so dürfen insoweit personenbezogene Daten nicht erhoben, verarbeitet oder genutzt werden. Satz 1 gilt nicht, wenn eine Rechtsvorschrift die Erhebung, Verarbeitung oder Nutzung anordnet.

(6) Entscheidungen, die für Betroffene eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung oder Nutzung zum Zweck der Bewertung einzelner Persönlichkeitsmerkmale gestützt werden. Satz 1 gilt nicht, soweit

1. eine Rechtsvorschrift dies ausdrücklich vorsieht,
2. damit dem Begehren der Betroffenen stattgegeben wird, oder
3. den Betroffenen die Tatsache einer Entscheidung nach Satz 1 mitgeteilt wird und ihnen Gelegenheit gegeben wird, ihren Standpunkt geltend zu machen; die öffentliche Stelle ist verpflichtet, nach Eingang der Stellungnahme ihre Entscheidung erneut zu prüfen.

(7) Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben, ist über die Vorschriften dieses Abschnitts hinaus nur zulässig, wenn

1. eine Rechtsvorschrift dies ausdrücklich vorsieht,
2. die Betroffenen eingewilligt haben, wobei sich die Einwilligung ausdrücklich auf diese Daten beziehen muss,
3. es zum Schutz lebenswichtiger Interessen Betroffener oder Dritter erforderlich ist, sofern die Betroffenen aus physischen oder rechtlichen Gründen außerstande sind, ihre Einwilligung zu geben,
4. es sich um Daten handelt, die Betroffene offenkundig öffentlich gemacht haben,
5. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung erforderlich ist
6. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinn des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinn des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
7. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
8. es erforderlich ist, um den Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts Rechnung zu tragen, oder
9. es zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

Art. 20 bleibt unberührt.

(8) Die Absätze 5 bis 7 gelten für Strafgerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden. Die Absätze 5 bis 7 gelten nicht für Behörden der Staatsanwaltschaft, für Justizvollzugsanstalten, für Führungsaufsichtsstellen und für Stellen der Gerichts- und Bewährungshilfe.

Art. 16 Erhebung

(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist.

(2) Wird eine Einwilligung eingeholt, so sind Betroffene auf den Zweck der Erhebung, Verarbeitung oder Nutzung, auf die Empfänger vorgesehener Übermittlungen sowie unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern können.

(2) Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind beim Betroffenen mit seiner Kenntnis zu erheben. Personenbezogene Daten dürfen bei Dritten nur erhoben werden, wenn

1. eine Rechtsvorschrift eine solche Erhebung vorsieht oder zwingend voraussetzt,
   1. die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht oder
   2. die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht
2. und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden, oder
3. die Daten nach Art. 13 Abs. 1 oder einer anderen Rechtsvorschrift von einer öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.

Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, gelten die Nummern 1 und 2 Buchst. a des Satzes 2 entsprechend.

(3) Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck ihm gegenüber anzugeben. Werden sie beim Betroffenen auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Auf Verlangen ist der Betroffene über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären. Bei einer Datenerhebung auf schriftlichem Weg ist die Rechtsvorschrift stets anzugeben.

(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

weiter .