BayDSG
in Kraft ab: 25.05.2018
Fassung: 15.05.2018

Bayerisches Datenschutzgesetz
(BayDSG)
Vom 15. Mai 2018
(GVBl. S. 230)
BayRS 204-1-I

Vollzitat nach RedR: Bayerisches Datenschutzgesetz (BayDSG) vom 15. Mai 2018 (GVBl. S. 230, BayRS 204-1-I), das durch § 6 des Gesetzes vom 18. Mai 2018 (GVBl. S. 301) geändert worden ist
Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:

Inhaltsübersicht

Teil 1 Allgemeine Vorschriften
Art. 1 Anwendungsbereich des Gesetzes
Teil 2 Verarbeitung personenbezogener Daten
Kapitel 1 Allgemeines
Art. 2 Anwendung der Verordnung (EU) 2016/679
Kapitel 2 Grundsätze der Verarbeitung
Art. 3 Sicherstellung des Datenschutzes, Verantwortlicher
Art. 4 Rechtmäßigkeit der Verarbeitung
Art. 5 Übermittlung
Art. 6 Zweckbindung
Art. 7 Besondere automatisierte Verfahren
Art. 8 Verarbeitung besonderer Kategorien personenbezogener Daten
Kapitel 3 Rechte der betroffenen Person
Art. 9 Informationspflicht
Art. 10 Auskunftsrecht der betroffenen Person
Kapitel 4 Verantwortlicher und Auftragsverarbeiter
Art. 11 Datengeheimnis
Art. 12 Behördliche Datenschutzbeauftragte
Art. 13 Benachrichtigung bei Datenschutzverletzungen
Art. 14 Datenschutz-Folgenabschätzung
Kapitel 5 Unabhängige Aufsichtsbehörden
Abschnitt 1 Landesbeauftragter für den Datenschutz
Art. 15 Ernennung und Aufgaben
Art. 16 Ergänzende Rechte und Befugnisse
Art. 17 Datenschutzkommission
Abschnitt 2 Landesamt für Datenschutzaufsicht
Art. 18 Einrichtung und Aufgaben
Abschnitt 3 Unabhängigkeit und Zusammenarbeit der Aufsichtsbehörden
Art. 19 Unabhängigkeit und Rechtsstellung
Art. 20 Anrufung der Aufsichtsbehörden
Art. 21 Zusammenarbeit
Kapitel 6 Sanktionen
Art. 22 Geldbußen
Art. 23 Ordnungswidrigkeiten, Strafvorschrift
Kapitel 7 Besondere Verarbeitungssituationen
Art. 24 Videoüberwachung
Art. 25 Verarbeitung zu Forschungszwecken
Art. 26 Verarbeitung zu Archivzwecken
Art. 27 Staatliche und kommunale Auszeichnungen und Ehrungen
Kapitel 8 Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680
Art. 28 Anwendungsbereich dieses Kapitels
Art. 29 Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen
Art. 30 Gemeinsam Verantwortliche
Art. 31 Verzeichnis von Verarbeitungstätigkeiten
Art. 32 Anforderungen an die Sicherheit der Verarbeitung
Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Art. 34 Aufsicht durch den Landesbeauftragten für den Datenschutz
Art. 35 Automatisierte Einzelentscheidungen
Art. 36 Vertrauliche Meldung von Datenschutzverstößen
Art. 37 Schadenersatz
Teil 3 Meinungsäußerungs- und Informationsfreiheit
Art. 38 Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken
Art. 39 Allgemeines Auskunftsrecht
Teil 4 Schlussvorschriften
Art. 39a Übergangsvorschrift
Art. 39b Änderung weiterer Rechtsvorschriften
Art. 40 Inkrafttreten, Außerkrafttreten

Teil 1 Allgemeine Vorschriften

Art. 1 Anwendungsbereich des Gesetzes
Art. 1
Anwendungsbereich des Gesetzes
(1) 1Dieses Gesetz gilt für die Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. 2Für den Landtag gilt dieses Gesetz nur, soweit er in Verwaltungsangelegenheiten tätig wird. 3Für den Obersten Rechnungshof und die Gerichte gilt Teil 2 Kapitel 5 nur, soweit diese in Verwaltungsangelegenheiten tätig werden. 4 Art. 38 gilt auch für nicht öffentliche Stellen, soweit die Verarbeitung nicht ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erfolgt.
(2) 1Öffentliche Stellen sind auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen – ungeachtet der Beteiligung nicht öffentlicher Stellen – eine oder mehrere der in Abs. 1 Satz 1 genannten juristischen Personen des öffentlichen Rechts unmittelbar oder durch eine solche Vereinigung beteiligt sind. 2Öffentlich rechtliche Finanzdienstleistungsunternehmen sowie ihre Zusammenschlüsse und Verbände gelten als nicht öffentliche Stellen.
(3) 1Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. 2Die Zuständigkeit des Landesbeauftragten für den Datenschutz (Landesbeauftragter) nach Art. 15 bleibt hiervon unberührt.
(4) Soweit nicht öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten für sie die Vorschriften für öffentliche Stellen.
(5) Soweit besondere Rechtsvorschriften über den Datenschutz oder über Verfahren der Rechtspflege auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.
(6) Die Vorschriften dieses Gesetzes gelten nicht für die Verarbeitung personenbezogener Daten zur Ausübung des Begnadigungsrechts.

Teil 2 Verarbeitung personenbezogener Daten

Kapitel 1 Allgemeines (Art. 2)
Kapitel 2 Grundsätze der Verarbeitung (Art. 3–8)
Kapitel 3 Rechte der betroffenen Person (Art. 9–10)
Kapitel 4 Verantwortlicher und Auftragsverarbeiter (Art. 11–14)
Kapitel 5 Unabhängige Aufsichtsbehörden (Art. 15–21)
Kapitel 6 Sanktionen (Art. 22–23)
Kapitel 7 Besondere Verarbeitungssituationen (Art. 24–27)
Kapitel 8 Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680 (Art. 28–37)

Kapitel 1 Allgemeines

Art. 2 Anwendung der Verordnung (EU) 2016/679
Art. 2
Anwendung der Verordnung (EU) 2016/679
1Für die Verarbeitung personenbezogener Daten durch öffentliche Stellen gelten vorbehaltlich anderweitiger Regelungen die Vorschriften der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) auch außerhalb des sachlichen Anwendungsbereichs des Art. 2 Abs. 1 und 2 DSGVO. 2Die Art. 30, 35 und 36 DSGVO gelten nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Kapitel 2 Grundsätze der Verarbeitung

Art. 3 Sicherstellung des Datenschutzes, Verantwortlicher(zu Art. 4 Nr. 7 DSGVO)
Art. 4 Rechtmäßigkeit der Verarbeitung(zu Art. 6 Abs. 1 bis 3 DSGVO)
Art. 5 Übermittlung(zu Art. 6 Abs. 2 bis 4 DSGVO)
Art. 6 Zweckbindung(zu Art. 6 Abs. 3 und 4 DSGVO)
Art. 7 Besondere automatisierte Verfahren(zu Art. 6 Abs. 3, Art. 26 DSGVO)
Art. 8 Verarbeitung besonderer Kategorien personenbezogener Daten(zu Art. 9 DSGVO)
Art. 3
Sicherstellung des Datenschutzes, Verantwortlicher
(zu Art. 4 Nr. 7 DSGVO)
(1) Die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts sowie die privatrechtlichen Vereinigungen, auf die dieses Gesetz gemäß Art. 1 Abs. 1 und 2 Anwendung findet, haben für ihren Bereich die Ausführung der DSGVO, dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.
(2) Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist die für die Verarbeitung zuständige öffentliche Stelle, soweit nichts anderes bestimmt ist.
Art. 4
Rechtmäßigkeit der Verarbeitung
(zu Art. 6 Abs. 1 bis 3 DSGVO)
(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.
(2) 1Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind bei der betroffenen Person mit ihrer Kenntnis zu erheben. 2Bei Dritten dürfen personenbezogene Daten erhoben werden, wenn
1.
dies durch Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird,
2.
die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht,
3.
die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht oder
4.
die Daten von einer anderen öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.
3In den Fällen des Satzes 2 Nr. 2 und 3 dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. 4Werden Daten bei der betroffenen Person ohne ihre Kenntnis erhoben, gilt Satz 2 Nr. 1 und 2 entsprechend.
Art. 5
Übermittlung
(zu Art. 6 Abs. 2 bis 4 DSGVO)
(1) 1Eine Übermittlung personenbezogener Daten ist zulässig, wenn
1.
sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
2.
der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.
2Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.
(2) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person oder Dritter offensichtlich überwiegen.
(3) 1Wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gilt Art. 28 Abs. 1 bis 4, 9 und 10 DSGVO hierfür entsprechend. 2Kann der nach Art. 28 Abs. 3 DSGVO erforderliche Vertrag oder das andere Rechtsinstrument vor der Verarbeitung nicht schriftlich oder elektronisch abgefasst werden, muss dies unverzüglich nachgeholt werden.
(4) 1Werden personenbezogene Daten an eine andere öffentliche Stelle auf deren Ersuchen übermittelt, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. 2Die ersuchte Stelle übermittelt Daten nur, wenn das Ersuchen im Rahmen der Aufgaben des Empfängers liegt. 3Im Übrigen trägt sie die Verantwortung nur dann, wenn besonderer Anlass zur Prüfung der Zulässigkeit besteht.
Art. 6
Zweckbindung
(zu Art. 6 Abs. 3 und 4 DSGVO)
(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten dürfen, dürfen diese auch zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, zur Erstellung von Geschäftsstatistiken, zur Rechnungsprüfung, zur Durchführung eigener Organisationsuntersuchungen oder zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung und zur Gewährleistung der Netz- und Informationssicherheit sowie, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen, zu eigenen Ausbildungs- oder Prüfungszwecken verarbeiten.
(2) Eine Verarbeitung zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, ist unbeschadet der Bestimmungen der DSGVO zulässig, wenn
1.
offensichtlich ist, dass die Verarbeitung im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung hierzu verweigern würde,
2.
die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte,
3.
die Verarbeitung erforderlich ist
a)
zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
b)
zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
c)
zur Durchführung wissenschaftlicher oder historischer Forschung, das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
d)
zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person,
e)
zur Überprüfung von Angaben der betroffenen Person, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
f)
zum Vergleich von Angaben der betroffenen Person zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben oder
g)
zur Sicherung des Steuer- und Zollaufkommens.
(3) Art. 9 DSGVO und die Art. 8 und 24 Abs. 3 bleiben unberührt.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, dürfen nicht zu anderen Zwecken verarbeitet werden.
Art. 7
Besondere automatisierte Verfahren
(zu Art. 6 Abs. 3, Art. 26 DSGVO)
(1) 1Öffentliche Stellen dürfen automatisierte Verfahren, welche die Übermittlung personenbezogener Daten durch Abruf ermöglichen, nur einrichten, soweit
1.
der Abruf aus Datenbeständen erfolgt, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen, oder
2.
das Verfahren die Rechte und Freiheiten der betroffenen Personen und die Aufgaben der beteiligten Stellen angemessen berücksichtigt.
2Für Abrufe nach Satz 1 Nr. 2
1.
trägt der Empfänger die Verantwortung für die Zulässigkeit des einzelnen Abrufs,
2.
hat die einrichtende Stelle zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann; sie prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.
(2) 1Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. 2Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.
Art. 8
Verarbeitung besonderer Kategorien personenbezogener Daten
(zu Art. 9 DSGVO)
(1) 1Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie erforderlich ist
1.
zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
2.
zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
3.
zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder auf Grund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
4.
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, oder
5.
für die in Art. 6 Abs. 2 Nr. 3 Buchst. a bis c genannten Zwecke.
2Bei Verarbeitungen nach Satz 1 bleibt Art. 6 Abs. 1 unberührt.
(2) 1Bei der Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. 2Diese Maßnahmen sind in dem Verzeichnis nach Art. 30 DSGVO darzustellen.
(3) Art. 26 Abs. 2 und Art. 27 Abs. 2 bleiben unberührt.

Kapitel 3 Rechte der betroffenen Person

Art. 9 Informationspflicht(zu Art. 13, 14 DSGVO)
Art. 10 Auskunftsrecht der betroffenen Person(zu Art. 15 DSGVO)
Art. 9
Informationspflicht
(zu Art. 13, 14 DSGVO)
(1) Eine Pflicht zur Information der betroffenen Person besteht unbeschadet sonstiger Bestimmungen dann nicht, soweit und solange ein Fall des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d vorliegt.
(2) In den Fällen des Art. 4 Abs. 2 Satz 2 ist eine nicht öffentliche Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
Art. 10
Auskunftsrecht der betroffenen Person
(zu Art. 15 DSGVO)
(1) 1Ob einer Person Auskunft erteilt wird, dass personenbezogene Daten an die Staatsanwaltschaft, Polizei, Finanzverwaltung, Organe der überörtlichen Rechnungsprüfung, den Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder andere Behörden des Bundesministeriums der Verteidigung übermittelt wurden, entscheidet der Verantwortliche im Einvernehmen mit den Stellen, an die diese Daten übermittelt wurden. 2Dies gilt auch für die Auskunft über personenbezogene Daten, die dem Verantwortlichen von einer der in Satz 1 genannten Stellen übermittelt wurden.
(2) Unbeschadet des Abs. 1 unterbleibt die Auskunft, soweit
1.
die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde,
2.
die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union – einschließlich Währungs-, Haushalts- und Steuerangelegenheiten – gefährden würde,
3.
personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen,
4.
personenbezogene Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist oder
5.
personenbezogene Daten weder automatisiert verarbeitet werden noch in einem Dateisystem gespeichert sind oder gespeichert werden sollen und
a)
die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, oder
b)
der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.
(3) 1Wird die Auskunft nicht oder nur eingeschränkt erteilt,
1.
sind die Gründe dafür aktenkundig zu machen,
2.
ist die betroffene Person unter Darlegung der Gründe zu unterrichten, soweit dies nicht einem der in Abs. 2 Nr. 1 bis 3 genannten Zwecke zuwiderliefe, und
3.
ist auf Verlangen der betroffenen Person uneingeschränkte Auskunft der Aufsichtsbehörde zu erteilen.
2Die Aufsichtsbehörde darf der betroffenen Person ohne Zustimmung der in Abs. 1 Satz 1 genannten Stellen keine Informationen mitteilen, die Rückschlüsse auf deren Erkenntnisstand zulassen.
(4) Art. 25 Abs. 4, Art. 26 Abs. 3 und Art. 27 Abs. 4 bleiben unberührt.

Kapitel 4 Verantwortlicher und Auftragsverarbeiter

Art. 11 Datengeheimnis(zu Art. 32 Abs. 4 DSGVO)
Art. 12 Behördliche Datenschutzbeauftragte(zu Art. 35 Abs. 2, Art. 37 bis 39 DSGVO)
Art. 13 Benachrichtigung bei Datenschutzverletzungen(zu Art. 34 DSGVO)
Art. 14 Datenschutz-Folgenabschätzung(zu Art. 35 DSGVO)
Art. 11
Datengeheimnis
(zu Art. 32 Abs. 4 DSGVO)
1Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). 2Das Datengeheimnis besteht nach dem Ende ihrer Tätigkeit fort.
Art. 12
Behördliche Datenschutzbeauftragte
(zu Art. 35 Abs. 2, Art. 37 bis 39 DSGVO)
(1) 1Behördliche Datenschutzbeauftragte erhalten insbesondere
1.
Zugang zu dem Verzeichnis nach Art. 30 DSGVO und
2.
Gelegenheit zur Stellungnahme vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden.
2 Art. 24 Abs. 5 bleibt unberührt.
(2) Behördliche Datenschutzbeauftragte dürfen Tatsachen, die ihnen in Ausübung ihrer Funktion anvertraut wurden, und die Identität der mitteilenden Personen nicht ohne deren Einverständnis offenbaren.
(3) Behördliche Datenschutzbeauftragte staatlicher Behörden können durch eine höhere Behörde bestellt werden.
Art. 13
Benachrichtigung bei Datenschutzverletzungen
(zu Art. 34 DSGVO)
Die Benachrichtigung kann auch unter den Voraussetzungen des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d unterbleiben.
Art. 14
Datenschutz-Folgenabschätzung
(zu Art. 35 DSGVO)
(1) Eine Datenschutz-Folgenabschätzung (Folgenabschätzung) durch den Verantwortlichen kann unterbleiben, soweit
1.
eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Staatsministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
2.
der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Folgenabschätzung erfolgt ist, es sei denn, dass in der Rechtsvorschrift etwas anderes bestimmt ist.
(2) 1Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Art. 35 Abs. 1 DSGVO bei diesem Verfahren vorliegen, die Folgenabschätzung nach den Art. 35 und 36 DSGVO durchführen. 2Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.

Kapitel 5 Unabhängige Aufsichtsbehörden

Abschnitt 1 Landesbeauftragter für den Datenschutz (Art. 15–17)
Abschnitt 2 Landesamt für Datenschutzaufsicht (Art. 18)
Abschnitt 3 Unabhängigkeit und Zusammenarbeit der Aufsichtsbehörden (Art. 19–21)

Abschnitt 1 Landesbeauftragter für den Datenschutz

Art. 15 Ernennung und Aufgaben(zu Art. 51 bis 58 DSGVO)
Art. 16 Ergänzende Rechte und Befugnisse(zu Art. 57, 58 DSGVO)
Art. 17 Datenschutzkommission
Art. 15
Ernennung und Aufgaben
(zu Art. 51 bis 58 DSGVO)
(1) 1Der Landesbeauftragte nach Art. 33a der Verfassung ist zuständige Aufsichtsbehörde nach Art. 51 DSGVO und überwacht die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. 2Der Landesbeauftragte ist Beamter auf Zeit. 3Die Ernennung, Entlassung und Abberufung erfolgt durch den Präsidenten des Landtags.
(2) 1Die Aufsicht durch den Landesbeauftragten erstreckt sich nicht auf
1.
Akten zu einer Sicherheitsüberprüfung, soweit die betroffenen Personen der Aufsicht schriftlich gegenüber dem Verantwortlichen widersprochen haben,
2.
personenbezogene Daten, die der Kontrolle durch die Kommission nach Art. 2 des Ausführungsgesetzes Art. 10-Gesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten, die Aufsicht bei bestimmten Vorgängen und in bestimmten Bereichen wahrzunehmen; der Landesbeauftragte berichtet insoweit ausschließlich an die Kommission.
2Der Verantwortliche unterrichtet die betroffenen Personen in allgemeiner Form über ihr Widerspruchsrecht nach Satz 1 Nr. 1.
(3) Der Landtag oder die Staatsregierung können den Landesbeauftragten unbeschadet seiner Unabhängigkeit ersuchen, zu bestimmten Vorgängen aus seinem Aufgabenbereich Stellung zu nehmen.
(4) 1Der Landesbeauftragte bedient sich einer Geschäftsstelle, die beim Landtag eingerichtet wird. 2Verwaltungsangelegenheiten der Geschäftsstelle werden vom Landtagsamt wahrgenommen, soweit sie nicht der Zuständigkeit des Landesbeauftragten unterliegen.
Art. 16
Ergänzende Rechte und Befugnisse
(zu Art. 57, 58 DSGVO)
(1) 1Der Landesbeauftragte ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. 2Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Verarbeitung personenbezogener Daten zur Einsicht vorzulegen. 3Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten verarbeiten.
(2) 1Die Verpflichtungen nach Abs. 1 gelten für
1.
Einrichtungen der Rechtspflege, soweit sie strafverfolgend, strafvollstreckend oder strafvollziehend tätig werden,
2.
Behörden, soweit sie Steuern verwalten oder strafverfolgend oder in Bußgeldverfahren tätig werden, und
3.
Polizei und Verfassungsschutzbehörden
nur gegenüber dem Landesbeauftragten selbst und gegenüber den von ihm schriftlich besonders damit Beauftragten. 2Abs. 1 Satz 2 und 3 gilt für diese Stellen nicht, soweit das jeweils zuständige Staatsministerium im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährden würde.
(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten rechtzeitig über ihre Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten.
(4) 1Unbeschadet der Bestimmungen des Art. 58 DSGVO kann der Landesbeauftragte festgestellte Verstöße gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz beanstanden und ihre Behebung in angemessener Frist fordern. 2Er kann die nach Art. 3 Abs. 1 für die Sicherstellung des Datenschutzes verantwortliche Stelle sowie die Rechts- und Fachaufsichtsbehörde hierüber verständigen. 3Werden die beanstandeten Verstöße nicht behoben, kann der Landesbeauftragte von den in Satz 2 genannten Stellen binnen angemessener Frist geeignete Maßnahmen fordern. 4Nach fruchtlosem Fristablauf kann der Landesbeauftragte den Landtag und die Staatsregierung verständigen.
Art. 17
Datenschutzkommission
(1) 1Der Landtag bildet zur Unterstützung des Landesbeauftragten eine Datenschutzkommission. 2Sie besteht aus zehn Mitgliedern. 3Der Landtag bestellt sechs Mitglieder aus seiner Mitte nach Maßgabe der Stärke seiner Fraktionen; dabei wird das Verfahren nach Sainte-Lagué/Schepers angewandt. 4Für Fraktionen, die hiernach nicht zum Zuge kommen, kann der Landtag jeweils ein weiteres Mitglied bestellen, auch wenn sich dadurch die Zahl der Mitglieder nach Satz 2 erhöht. 5Ferner bestellt der Landtag jeweils ein weiteres Mitglied auf Vorschlag
1.
der Staatsregierung,
2.
der kommunalen Spitzenverbände,
3.
des Staatsministeriums für Gesundheit und Pflege aus dem Bereich der gesetzlichen Sozialversicherungsträger und
4.
des Verbands freier Berufe in Bayern e.V.
6Für jedes Mitglied der Datenschutzkommission wird zugleich ein stellvertretendes Mitglied bestellt.
(2) Die Mitglieder der Datenschutzkommission werden jeweils für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.
(3) 1Die Datenschutzkommission tritt auf Antrag jedes ihrer Mitglieder oder des Landesbeauftragten zusammen. 2Den Vorsitz führt ein Mitglied des Landtags. 3Die Datenschutzkommission gibt sich eine Geschäftsordnung.
(4) 1Die Mitglieder der Datenschutzkommission haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(5) Die Mitglieder der Datenschutzkommission erhalten vom Landesbeauftragten Reisekostenvergütung nach den Bestimmungen des Bayerischen Reisekostengesetzes wie Ehrenbeamte.

Abschnitt 2 Landesamt für Datenschutzaufsicht

Art. 18 Einrichtung und Aufgaben(zu Art. 51 bis 58 und 85 DSGVO)
Art. 18
Einrichtung und Aufgaben
(zu Art. 51 bis 58 und 85 DSGVO)
(1) 1Das Landesamt für Datenschutzaufsicht (Landesamt) ist Aufsichtsbehörde nach Art. 51 DSGVO und nach § 40 des Bundesdatenschutzgesetzes für nicht öffentliche Stellen. 2Im Anwendungsbereich des Art. 38 findet Art. 58 Abs. 1 Buchst. b, c, e und f sowie Abs. 2 Buchst. c bis j DSGVO keine Anwendung.
(2) Sitz des Landesamts ist Ansbach.
(3) Der Präsident des Landesamts ist Beamter auf Zeit und wird durch die Staatsregierung für die Dauer von fünf Jahren ernannt.
(4) 1Das Landesamt kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere öffentliche Stellen des Freistaates Bayern übertragen, soweit dadurch seine Unabhängigkeit nicht beeinträchtigt wird. 2Diesen Stellen dürfen personenbezogene Daten der beschäftigten Personen übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.

Abschnitt 3 Unabhängigkeit und Zusammenarbeit der Aufsichtsbehörden

Art. 19 Unabhängigkeit und Rechtsstellung(zu Art. 52 bis 54 DSGVO)
Art. 20 Anrufung der Aufsichtsbehörden(zu Art. 77 DSGVO)
Art. 21 Zusammenarbeit(zu Art. 51 DSGVO)
Art. 19
Unabhängigkeit und Rechtsstellung
(zu Art. 52 bis 54 DSGVO)
(1) 1Zum Leiter einer Aufsichtsbehörde kann ernannt werden, wer
1.
bei der Ernennung das 35. Lebensjahr vollendet hat,
2.
die Voraussetzungen für den Einstieg in die vierte Qualifikationsebene erfüllt und
3.
durch einschlägige Berufserfahrung die erforderlichen Kenntnisse des Datenschutzrechts nachweisen kann.
2Die Wiederernennung ist zulässig.
(2) 1Wird ein Beamter oder Richter auf Lebenszeit zum Leiter einer Aufsichtsbehörde ernannt, gilt er für die Dauer der Amtszeit als ohne Bezüge beurlaubt. 2Für Disziplinarmaßnahmen gegen den Leiter einer Aufsichtsbehörde gilt Art. 6 des Rechnungshofgesetzes entsprechend.
(3) 1Die Stellen der Aufsichtsbehörden sind auf Vorschlag des Leiters der jeweiligen Aufsichtsbehörde zu besetzen. 2Die Bediensteten können, sofern die Aufsichtsbehörde nicht selbst für diese Anordnungen zuständig ist, nur mit dessen Einvernehmen versetzt, abgeordnet oder umgesetzt werden. 3Der Leiter einer Aufsichtsbehörde ist Dienstvorgesetzter der Bediensteten. 4Die Bediensteten sind in ihrer Tätigkeit nur an dessen Weisungen gebunden und unterstehen ausschließlich seiner Dienstaufsicht. 5Die Aufsichtsbehörde ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung (StPO), des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes und des Art. 18 Abs. 2 Satz 1 des Bayerischen Disziplinargesetzes. 6Der Leiter einer Aufsichtsbehörde kann die Disziplinarbefugnisse im Einzelfall teilweise oder vollständig auf die Landesanwaltschaft Bayern übertragen.
(4) 1Der Leiter einer Aufsichtsbehörde darf
1.
kein Gewerbe, keinen Beruf und kein anderes bezahltes Amt ausüben,
2.
weder der Leitung noch dem Aufsichts- oder Verwaltungsrat eines auf Erwerb ausgerichteten Unternehmens angehören,
3.
keiner Regierung, keiner gesetzgebenden Körperschaft des Bundes oder eines Landes und keinem kommunalen Vertretungsorgan angehören,
4.
nicht gegen Vergütung als Schiedsrichter tätig sein, außergerichtliche Gutachten abgeben oder Vorträge halten und
5.
keinerlei sonstige Tätigkeiten ausüben, die mit dem Amt nicht zu vereinbaren sind oder die Unabhängigkeit beeinträchtigen können.
2Satz 1 Nr. 5 gilt auch für ehemalige Leiter bis zum Ablauf von zwei Jahren nach dem Ausscheiden aus dem Amt.
(5) 1Der Leiter einer Aufsichtsbehörde sowie deren Bedienstete unterliegen unabhängig von der jeweiligen Ausgestaltung ihres persönlichen Dienstverhältnisses den für Beamte geltenden Verschwiegenheitspflichten. 2Der Leiter einer Aufsichtsbehörde entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit er sowie die Bediensteten der Aufsichtsbehörde über Angelegenheiten, die dieser Verschwiegenheitspflicht unterliegen, vor Gericht oder außergerichtlich aussagen oder Erklärungen abgeben; wenn er nicht mehr im Amt ist, ist die Genehmigung des amtierenden Leiters der Aufsichtsbehörde erforderlich.
(6) 1Die Erhebung von Kosten für Amtshandlungen der Aufsichtsbehörden bestimmt sich nach dem Kostengesetz. 2Unbeschadet des Art. 57 Abs. 4 DSGVO sind Amtshandlungen für die betroffene Person und für den Datenschutzbeauftragten kostenfrei. 3Die Aufsichtsbehörden unterliegen der Rechnungsprüfung durch den Obersten Rechnungshof nur, soweit ihre Unabhängigkeit hierdurch nicht beeinträchtigt wird.
Art. 20
Anrufung der Aufsichtsbehörden
(zu Art. 77 DSGVO)
(1) 1Jeder kann sich an die Aufsichtsbehörden mit dem Vorbringen wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. 2Durch die Anrufung der Aufsichtsbehörden dürfen der betroffenen Person keine Nachteile entstehen.
(2) Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden bestehen nicht.
Art. 21
Zusammenarbeit
(zu Art. 51 DSGVO)
(1) 1Die bayerischen Aufsichtsbehörden tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus und unterstützen sich gegenseitig bei ihrer Aufgabenwahrnehmung. 2Eine Aufsichtsbehörde ist berechtigt, zum Zwecke der Aufsicht personenbezogene Daten an andere Aufsichtsbehörden zu übermitteln.
(2) Soweit mehrere Aufsichtsbehörden für eine Angelegenheit des Europäischen Datenschutzausschusses zuständig sind, üben sie ihre Mitwirkungsrechte einvernehmlich aus.

Kapitel 6 Sanktionen

Art. 22 Geldbußen(zu Art. 83 DSGVO)
Art. 23 Ordnungswidrigkeiten, Strafvorschrift(zu Art. 84 DSGVO)
Art. 22
Geldbußen
(zu Art. 83 DSGVO)
Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.
Art. 23
Ordnungswidrigkeiten, Strafvorschrift
(zu Art. 84 DSGVO)
(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer personenbezogene Daten, die durch eine öffentliche Stelle im Sinne des Art. 1 Abs. 1, 2 oder Abs. 4 verarbeitet werden und nicht offenkundig sind,
1.
unbefugt
a)
speichert, verändert oder übermittelt,
b)
zum Abruf mittels automatisierten Verfahrens bereithält oder
c)
abruft oder sich oder einem anderen aus Dateien verschafft oder
2.
durch unrichtige Angaben erschleicht.
(2) 1Wer eine der in Abs. 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Die Tat wird nur auf Antrag verfolgt. 3Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die Aufsichtsbehörde.
(3) Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 werden keine Geldbußen nach Abs. 1 verhängt.
(4) Eine Unterrichtung nach Art. 33 oder Art. 34 DSGVO darf in einem Straf- oder Ordnungswidrigkeitenverfahren gegen den Verantwortlichen oder einen seiner in § 52 Abs. 1 StPO bezeichneten Angehörigen nur mit seiner Zustimmung verwendet werden.

Kapitel 7 Besondere Verarbeitungssituationen

Art. 24 Videoüberwachung(zu Art. 6 DSGVO)
Art. 25 Verarbeitung zu Forschungszwecken(zu Art. 89 DSGVO)
Art. 26 Verarbeitung zu Archivzwecken(zu Art. 89 DSGVO)
Art. 27 Staatliche und kommunale Auszeichnungen und Ehrungen
Art. 24
Videoüberwachung
(zu Art. 6 DSGVO)
(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,
1.
um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2.
um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen
zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
(2) 1Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen. 2Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht.
(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.
(4) Die nach Abs. 1 erhobenen und gespeicherten Daten sowie daraus gefertigte Unterlagen sind spätestens zwei Monate nach der Erhebung zu löschen, soweit sie nicht zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.
(5) Öffentliche Stellen haben ihrem behördlichen Datenschutzbeauftragten unbeschadet des Art. 35 Abs. 2 DSGVO rechtzeitig vor dem Einsatz einer Videoüberwachung den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen und ihm Gelegenheit zur Stellungnahme zu geben.
Art. 25
Verarbeitung zu Forschungszwecken
(zu Art. 89 DSGVO)
(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, gesondert zu speichern. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
(4) Die Art. 15, 16, 18 und 21 DSGVO sind nicht anzuwenden, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und diese Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.
Art. 26
Verarbeitung zu Archivzwecken
(zu Art. 89 DSGVO)
(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorgesehen werden.
(2) 1Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(3) Ein Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen.
(4) 1 Art. 16 DSGVO ist nicht anzuwenden. 2Die betroffene Person kann verlangen, dass dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beigefügt wird, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. 3Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.
(5) Die Art. 18 Abs. 1 Buchst. a, b und d sowie Art. 20 und 21 DSGVO sind nicht anzuwenden, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und diese Beschränkung für die Erfüllung der Archivzwecke notwendig ist.
(6) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht entschieden worden ist.
Art. 27
Staatliche und kommunale Auszeichnungen und Ehrungen
(1) Zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen oder Ehrungen dürfen personenbezogene Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, auch ohne Kenntnis der betroffenen Person verarbeitet werden.
(2) Andere öffentliche Stellen dürfen die zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen und Ehrungen erforderlichen personenbezogenen Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, an die dafür zuständigen Stellen übermitteln.
(3) 1Eine Verarbeitung der personenbezogenen Daten nach Abs. 1 für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(4) Soweit eine Verarbeitung ausschließlich für die in Abs. 1 genannten Zwecke erfolgt, sind die Art. 13 bis 16, 19 und 20 DSGVO nicht anzuwenden.
(5) 1Die nach Abs. 1 gespeicherten personenbezogenen Daten sind zu löschen, sobald sie für den dort genannten Zweck nicht mehr erforderlich sind. 2Eine Löschung von Name, Vorname, Geburtsdatum, Anschrift und Kommunikationsdaten kann unterbleiben.
(6) Abweichend von Art. 58 Abs. 2 DSGVO steht dem Landesbeauftragten bei der Überwachung der Anwendung von den Abs. 1 bis 5 nur das Beanstandungsrecht nach Art. 16 Abs. 4 zu.

Kapitel 8 Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680

Art. 28 Anwendungsbereich dieses Kapitels
Art. 29 Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen
Art. 30 Gemeinsam Verantwortliche
Art. 31 Verzeichnis von Verarbeitungstätigkeiten
Art. 32 Anforderungen an die Sicherheit der Verarbeitung
Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Art. 34 Aufsicht durch den Landesbeauftragten für den Datenschutz
Art. 35 Automatisierte Einzelentscheidungen
Art. 36 Vertrauliche Meldung von Datenschutzverstößen
Art. 37 Schadenersatz
Art. 28
Anwendungsbereich dieses Kapitels
(1) 1Die Vorschriften dieses Kapitels gelten, soweit nichts anderes bestimmt ist, für die Verarbeitung personenbezogener Daten durch
1.
die Polizei,
2.
die Gerichte in Strafsachen und die Staatsanwaltschaften,
3.
die Strafvollstreckungs- und Justizvollzugsbehörden,
4.
die Behörden des Maßregelvollzugs
zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. 2Die Vorschriften dieses Kapitels gelten auch für sonstige Behörden im Sinne des Art. 1 Abs. 1 Satz 1, soweit diese personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden.
(2) 1Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 abweichend von Art. 2 nur Anwendung:
1.
aus dem Kapitel I DSGVO über allgemeine Bestimmungen Art. 4 DSGVO,
2.
aus dem Kapitel II DSGVO über Grundsätze die Art. 5, 6 Abs. 1 Satz 1 Buchst. a und e, Art. 7 und 11 Abs. 1 DSGVO,
3.
aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 24 Abs. 1 und 2, Art. 25 Abs. 1 und 2, Art. 28 Abs. 1 bis 4, 9 und 10, Art. 29, 31, 34, 36 Abs. 4, Art. 37 Abs. 1 und 3 bis 7, Art. 38 und 39 DSGVO,
4.
aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 51 bis 54, 55 Abs. 1 und 3 und Art. 59 DSGVO,
5.
aus dem Kapitel VII DSGVO über Zusammenarbeit und Kohärenz Art. 61 Abs. 1 bis 7 und 9 DSGVO und
6.
aus dem Kapitel VIII DSGVO über Rechtsbehelfe, Haftung und Sanktionen die Art. 77, 78 Abs. 1 bis 3 DSGVO.
2Im Übrigen finden aus dem Kapitel II DSGVO über Grundsätze Art. 9 Abs. 1 und 2, aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 26, 30, 32 und 33 DSGVO sowie aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 57 und 58 DSGVO nach Maßgabe der nachfolgenden Vorschriften dieses Kapitels Anwendung.
(3) Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 keine Anwendung
1.
aus Kapitel 2 über Grundsätze der Verarbeitung die Art. 6 Abs. 2 bis 4, Art. 7 und 8 Abs. 1,
2.
das Kapitel 3 über Rechte der betroffenen Person,
3.
aus Kapitel 4 über Verantwortliche und Auftragsverarbeiter Art. 14 Abs. 1 Nr. 1 und Abs. 2,
4.
aus Kapitel 5 über unabhängige Aufsichtsbehörden Art. 18,
5.
aus Kapitel 6 über Sanktionen Art. 22 und
6.
aus Teil 3 über Meinungsäußerungs- und Informationsfreiheit Art. 38.
Art. 29
Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen
(1) 1Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in Art. 28 Abs. 1 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. 2Die Verarbeitung personenbezogener Daten zu einem anderen, in Art. 28 Abs. 1 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist, die Voraussetzungen des Art. 9 Abs. 2 Buchst. c und e DSGVO vorliegen oder dies in einer Rechtsvorschrift vorgesehen ist.
(3) 1Zur Vermeidung von DNA-Trugspuren können Personen, die regelmäßig Aufgaben im Rahmen polizeilicher oder strafprozessualer Ermittlungen wahrnehmen und dabei möglicherweise mit Spurenmaterial in Kontakt geraten, mit deren schriftlicher Zustimmung Körperzellen entnommen und molekulargenetisch untersucht werden, um hieraus gewonnene DNA-Identifizierungsmuster zu verarbeiten und mit Spurenmaterial automatisiert abzugleichen. 2Die Entnahme der Körperzellen erfolgt mittels eines Mundschleimhautabstrichs oder eines hinsichtlich seiner Eingriffsintensität vergleichbaren Verfahrens. 3Vor Erteilung der Zustimmung ist die betroffene Person über den Zweck der Verarbeitung sowie das Verfahren der Erkennung von DNA-Trugspuren zu belehren und darüber aufzuklären, dass sie die Zustimmung verweigern sowie jederzeit widerrufen kann. 4Die Verwendung der entnommenen Körperzellen ist nur zur Feststellung des DNA-Identifizierungsmusters nach Satz 1, die Verarbeitung des DNA-Identifizierungsmusters nur zu den in Satz 1 genannten Zwecken zulässig.
(4) 1Die DNA-Identifizierungsmuster werden in einer hierfür eingerichteten polizeilichen Datei gespeichert. 2Eine Datenschutzfolgenabschätzung ist nicht erforderlich.
(5) 1Die DNA-Identifizierungsmuster sind zu pseudonymisieren. 2Abgleiche mit diesen sind zu protokollieren. 3Die Protokolldaten sind eigenständig zu speichern und dürfen nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung verwendet werden. 4Soweit die Protokolldaten hierfür nicht mehr benötigt werden, spätestens aber nach Ablauf des dritten Kalenderjahres, das dem Jahr der Protokollierung folgt, sind sie zu löschen.
(6) 1Die nach Abs. 3 gewonnenen Körperzellen sind zu vernichten und die erhobenen Daten zu löschen, wenn sie für die genannten Zwecke nicht mehr erforderlich sind. 2Die Vernichtung der Körperzellen und die Löschung der erhobenen Daten hat spätestens drei Jahre nach dem Zeitpunkt zu erfolgen, zu dem die betroffene Person letztmals mit Spurenmaterial in Kontakt treten konnte.
Art. 30
Gemeinsam Verantwortliche
1Die Angabe der Anlaufstelle für die betroffenen Personen nach Art. 26 Abs. 1 Satz 3 DSGVO ist verpflichtend. 2 Art. 26 Abs. 2 DSGVO findet keine Anwendung.
Art. 31
Verzeichnis von Verarbeitungstätigkeiten
1In dem Verzeichnis nach Art. 30 Abs. 1 DSGVO werden zusätzlich die Rechtsgrundlage der Verarbeitung sowie gegebenenfalls die Verwendung von Profiling aufgenommen. 2 Art. 30 Abs. 5 DSGVO findet keine Anwendung.
Art. 32
Anforderungen an die Sicherheit der Verarbeitung
(1) Art. 32 Abs. 3 und 4 DSGVO findet keine Anwendung.
(2) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche oder der Auftragsverarbeiter auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um
1.
Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2.
die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
3.
zu verhindern, dass
a)
Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
b)
personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
c)
automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
d)
bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
4.
zu gewährleisten, dass
a)
die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
b)
überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
c)
nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
d)
eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
e)
alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
f)
gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
g)
personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).
Art. 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Wenn Daten von oder an den Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind die Informationen nach Art. 33 Abs. 3 DSGVO unverzüglich auch an diesen zu melden.
Art. 34
Aufsicht durch den Landesbeauftragten für den Datenschutz
(1) 1 Art. 57 Abs. 1 Buchst. j bis s, u und v DSGVO sowie Art. 58 Abs. 1 Buchst. c, Abs. 2 Buchst. c bis j, Abs. 3 Buchst. c bis j DSGVO finden keine Anwendung. 2Übt der Landesbeauftragte für die betroffene Person deren Rechte aus, hat er darüber hinaus die Rechtmäßigkeit der Verarbeitung zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis dieser Überprüfung zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen werden kann. 3Die Mitteilung an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.
(2) 1Die Aufsicht durch den Landesbeauftragten über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Ermittlung, Aufdeckung oder Verfolgung von Straftaten ist erst nach Abschluss des Strafverfahrens zulässig. 2Sie erstreckt sich nicht auf eine Datenverarbeitung, die gerichtlich überprüft wurde. 3Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend.
(3) 1Wird eine Beschwerde bei einer sachlich unzuständigen Aufsichtsbehörde eingereicht, gibt diese die Beschwerde unverzüglich an die sachlich zuständige Aufsichtsbehörde ab und unterrichtet die beschwerdeführende Person. 2In diesem Fall hat die abgebende Stelle die betroffene Person über die Weiterleitung zu unterrichten und ihr auf Ersuchen weitere Unterstützung zu leisten.
Art. 35
Automatisierte Einzelentscheidungen
(1) Entscheidungen, die für die betroffene Person mit einer nachteiligen Rechtsfolge verbunden sind oder sie erheblich beeinträchtigen, einschließlich Profiling, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung gestützt werden, es sei denn, eine Rechtsvorschrift lässt dies ausdrücklich zu.
(2) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Daten im Sinne des Art. 9 Abs. 1 DSGVO benachteiligt werden, ist verboten.
Art. 36
Vertrauliche Meldung von Datenschutzverstößen
1Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können. 2 Art. 12 Abs. 2 gilt für die zur Entgegennahme dieser Meldungen betraute Stelle entsprechend.
Art. 37
Schadenersatz
(1) 1Hat eine öffentliche Stelle einer betroffenen Person durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz rechtswidrige Verarbeitung ihrer personenbezogenen Daten einen Schaden zugefügt, ist ihr Rechtsträger der betroffenen Person zum Ersatz dieses Schadens verpflichtet. 2Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist. 3Sind bei einer Datei mehrere Stellen speicherungsberechtigt und sind Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(4) 1Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. 2Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.
(6) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Teil 3 Meinungsäußerungs- und Informationsfreiheit

Art. 38 Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken(zu Art. 85 DSGVO)
Art. 39 Allgemeines Auskunftsrecht(zu Art. 86 DSGVO)
Art. 38
Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken
(zu Art. 85 DSGVO)
(1) 1Werden personenbezogene Daten zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs. 2 genannten Rechte zu. 2Im Übrigen gelten für Verarbeitungen im Sinne des Satzes 1 Kapitel I, Art. 5 Abs. 1 Buchst. f, Art. 24 und 32, Kapitel VIII, X und XI DSGVO. 3 Art. 82 DSGVO gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Art. 5 Abs. 1 Buchst. f, Art. 24 und 32 DSGVO gehaftet wird.
(2) Führt die journalistische, künstlerische oder literarische Verarbeitung personenbezogener Daten zur Verbreitung von Gegendarstellungen, zu Verpflichtungserklärungen, gerichtlichen Entscheidungen oder Widerrufen, sind diese zu den gespeicherten Daten zu nehmen, dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst und bei einer Übermittlung der Daten gemeinsam mit diesen zu übermitteln.
Art. 39
Allgemeines Auskunftsrecht
(zu Art. 86 DSGVO)
(1) 1Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und
1.
bei personenbezogenen Daten eine Übermittlung an nicht öffentliche Stellen zulässig ist und
2.
Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.
2Die Auskunft kann verweigert werden, soweit
1.
Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
2.
sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
3.
ein unverhältnismäßiger Aufwand entsteht.
(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.
(3) Ausgenommen von der Auskunft nach Abs. 1 sind
1.
Verschlusssachen,
2.
einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
3.
zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern die betroffene Person nicht eingewilligt hat.
(4) 1Abs. 1 ist nicht anzuwenden auf
1.
den Landtag, den Obersten Rechnungshof, die Staatlichen Rechnungsprüfungsämter, die Staatlichen Rechnungsprüfungsstellen der Landratsämter, den Kommunalen Prüfungsverband und die Aufsichtsbehörden im Sinne des Art. 51 DSGVO,
2.
die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
3.
die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
4.
die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
5.
Finanzbehörden in Verfahren nach der Abgabenordnung,
6.
Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
7.
die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
8.
die kommunalen Spitzenverbände.
2Datei- und Aktenbestandteile der in Satz 1 genannten oder für Begnadigungsangelegenheiten zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.
(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.

Teil 4 Schlussvorschriften

Art. 39a Übergangsvorschrift
Art. 39b Änderung weiterer Rechtsvorschriften
Art. 40 Inkrafttreten, Außerkrafttreten
Art. 39a
Übergangsvorschrift
1Die zum Zeitpunkt des Inkrafttretens dieses Gesetzes laufende Amtszeit des Landesbeauftragten nach Art. 33a Abs. 4 der Verfassung und des Präsidenten des Landesamts nach Art. 15 Abs. 3 wird durch das Inkrafttreten dieses Gesetzes nicht berührt. 2Die Amtszeit aller Mitglieder der Datenschutzkommission nach Art. 17 endet zu dem in Art. 33 Abs. 2 BayDSG in der am 24. Mai 2018 geltenden Fassung für die Mitglieder des Landtags bestimmten Frist.
Art. 39b
Änderung weiterer Rechtsvorschriften
(1) Das Bayerische Verfassungsschutzgesetz (BayVSG) vom 12. Juli 2016 (GVBl. S. 145, BayRS 12-1-I) wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 5 Abs. 1 wird wie folgt geändert:
a)
In Satz 1 Satzteil vor Nr. 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b)
In Satz 4 werden die Wörter „und nutzen“ gestrichen.
3.
In Art. 7 Abs. 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4.
In Art. 11 Abs. 3 Nr. 2 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
5.
Art. 16 wird wie folgt geändert:
a)
Nach Abs. 1 wird folgender Abs. 2 eingefügt:
(2) Das Landesamt darf das Bundeszentralamt für Steuern ersuchen, bei den Kreditinstituten die in § 93b Abs. 1 der Abgabenordnung (AO) bezeichneten Daten abzurufen.
b)
Der bisherige Abs. 2 wird Abs. 3.
6.
In Art. 17 Abs. 2 Satz 1 und Abs. 3 Satz 2 wird jeweils nach der Angabe „Art. 16“ die Angabe „Abs. 1“ eingefügt.
7.
In Art. 19 Abs. 2 Satz 3 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
8.
In Art. 20 Abs. 1 Satz 1 Nr. 1 und Satz 2 wird jeweils nach der Angabe „und 16“ die Angabe „Abs. 1“ eingefügt.
9.
Art. 21 wird wie folgt geändert:
a)
Die Überschrift wird wie folgt gefasst:
„Art. 21 Löschung, Verarbeitungseinschränkung und Berichtigung“
b)
In Abs. 2 Satzteil vor Nr. 1 werden die Wörter „Personenbezogene Daten sind zu sperren,“ durch die Wörter „Die Verarbeitung personenbezogener Daten ist einzuschränken,“ ersetzt.
c)
Nach Abs. 2 wird folgender Abs. 3 eingefügt:
(3) 1Unrichtige personenbezogene Daten sind zu berichtigen.2Wird bei personenbezogenen Daten in Akten festgestellt, dass sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen bestritten, so ist dies in der Akte zu vermerken oder auf sonstige Weise festzuhalten.3Erweisen sich personenbezogene Daten nach ihrer Übermittlung als unvollständig oder unrichtig, so sind sie unverzüglich gegenüber dem Empfänger zu berichtigen, es sei denn, dass die Berichtigung sich als unmöglich erweist oder mit unverhältnismäßigem Aufwand verbunden ist.
d)
Der bisherige Abs. 3 wird Abs. 4.
e)
Es wird folgender Abs. 5 angefügt:
(5) Unterlagen, die dem Hauptstaatsarchiv zur Übernahme anzubieten sind, dürfen erst gelöscht werden, nachdem die Unterlagen dem Archiv angeboten und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht entschieden worden ist.
10.
Dem Art. 22 Abs. 1 wird folgender Satz 5 angefügt:
“5Das Landesamt führt ein Verzeichnis der geltenden Errichtungsanordnungen.“
11.
In Art. 25 Abs. 2 Satz 1 Satzteil vor Nr. 1 werden die Wörter „der Abgabenordnung“ durch die Angabe „AO“ ersetzt.
12.
In Art. 27 Abs. 2 Satz 1 Nr. 2 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
13.
Art. 28 wird wie folgt gefasst:
“Art. 28
Anwendbarkeit des allgemeinen Datenschutzrechts
(1) Bei der Erfüllung der gesetzlichen Aufgaben finden die §§ 2, 5 bis 7, 42, 46, 51 Abs. 1 bis 4, §§ 52 bis 54, 62, 64, 83 des Bundesdatenschutzgesetzes entsprechende Anwendung.
(2) Der Landesbeauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften über den Datenschutz mindestens alle zwei Jahre; die Vorschriften in Teil 2 Kapitel 5 Abschnitt 1 des Bayerischen Datenschutzgesetzes finden entsprechende Anwendung.“
14.
Art. 29a wird aufgehoben.
15.
Art. 30 wird wie folgt geändert:
a)
In der Überschrift wird das Wort „, Außerkrafttreten“ gestrichen.
b)
In Abs. 1 wird die Absatzbezeichnung „(1)“ gestrichen.
c)
Abs. 2 wird aufgehoben.
(2) In Art. 2 Abs. 2 und 5 Satz 1 Spiegelstrich 2 des Ausführungsgesetzes Art. 10-Gesetz (AGG 10) vom 11. Dezember 1984 (GVBl. S. 522, BayRS 12-2-I), das zuletzt durch Art. 29a Abs. 1 des Gesetzes vom 12. Juli 2016 (GVBl. S. 145) geändert worden ist, werden jeweils die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
(3) Die Gemeindeordnung (GO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 796, BayRS 2020-1-1-I), die zuletzt durch § 2 des Gesetzes vom 22. März 2018 (GVBl. S. 145) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 24 wird wie folgt geändert:
a)
Nach Abs. 3 wird folgender Abs. 4 eingefügt:
(4) 1In Satzungen nach Abs. 1 Nr. 2 kann für Einrichtungen der Wasserversorgung bestimmt werden, dass die Gemeinde berechtigt ist, elektronische Wasserzähler mit oder ohne Funkmodul einzusetzen und zu betreiben.2In einem elektronischen Wasserzähler dürfen nur Daten gespeichert und verarbeitet werden, die zur Erfüllung der Pflichtaufgabe der Wasserversorgung und zur Gewährleistung der Betriebssicherheit und Hygiene der gesamten Wasserversorgungseinrichtung erforderlich sind.3Die gespeicherten Daten dürfen nur ausgelesen und verwendet werden
1.
zur periodischen Abrechnung oder Zwischenabrechnung des Wasserverbrauchs und
2.
anlassbezogen, soweit dies im Einzelfall zur Abwehr von Gefahren für den ordnungsgemäßen Betrieb der Wasserversorgungseinrichtung und zur Aufklärung von Störungen im Wasserversorgungsnetz erforderlich ist.
4Jahresverbrauchswerte dürfen ferner zur Berechnung und Festsetzung der Gebühren für die Benutzung einer Abwasserbeseitigungseinrichtung ausgelesen und verwendet werden.5Soll ein Wasserzähler mit Funkmodul eingesetzt werden, weist die Gemeinde den Gebührenschuldner und den Eigentümer des versorgten Objekts spätestens drei Wochen vorher in einer verständlichen und von anderen Informationen getrennten Form darauf hin, dass sie oder ein berechtigter Nutzer dem Betrieb eines Wasserzählers unter Verwendung der Funkfunktion innerhalb einer Ausschlussfrist von zwei Wochen nach Zugang des Hinweises jeweils unabhängig voneinander schriftlich widersprechen können.6Übt einer der Berechtigten das Widerspruchsrecht fristgerecht aus, darf ein elektronischer Wasserzähler nicht unter Verwendung der Funkfunktion betrieben werden.7Die Sätze 5 und 6 finden keine Anwendung, soweit in einem versorgten Objekt mehrere Einheiten einen gemeinsamen Wasserzähler haben.
b)
Der bisherige Abs. 4 wird Abs. 5.
3.
Nach Art. 94 Abs. 3 wird folgender Abs. 4 angefügt:
(4) 1Gehören der Gemeinde Anteile an einem Unternehmen der öffentlichen Versorgung mit Wasser (Wasserversorgungsunternehmen) in dem in § 53 HGrG bezeichneten Umfang oder bedient sie sich zur Durchführung der Wasserversorgung eines Dritten, so hat sie dafür Sorge zu tragen, dass Art. 24 Abs. 4 Satz 5 bis 7 zur entsprechenden Anwendung kommt.2Ist eine Beteiligung der Gemeinde an einem Wasserversorgungsunternehmen keine Mehrheitsbeteiligung im Sinn des § 53 HGrG, so soll sie darauf hinwirken, dass Art. 24 Abs. 4 Satz 5 bis 7 zur entsprechenden Anwendung kommt.
4.
Art. 124 wird wie folgt gefasst:
“Art. 124
Einschränkung von Grundrechten
Auf Grund dieses Gesetzes können die Grundrechte auf Freiheit der Person (Art. 2 Abs. 2 des Grundgesetzes, Art. 102 der Verfassung) und der Unverletzlichkeit der Wohnung (Art. 13 des Grundgesetzes, Art. 106 Abs. 3 der Verfassung) eingeschränkt werden.“
(4) Das Kommunalabgabengesetz (KAG) in der Fassung der Bekanntmachung vom 4. April 1993 (GVBl. S. 264, BayRS 2024-1-I), das zuletzt durch Gesetz vom 13. Dezember 2016 (GVBl. S. 351) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 4 wird aufgehoben.
3.
Art. 13 wird wie folgt geändert:
a)
Abs. 1 Nr. 1 Buchst. c wird wie folgt geändert:
aa)
Nach Doppelbuchst. aa werden die folgenden Doppelbuchst. bb und cc eingefügt:„
bb)
die Offenbarung nach Abs. 4 Nr. 1a ist zulässig, soweit sie einer Verarbeitung nach Maßgabe des Art. 6 Abs. 1 des Bayerischen Datenschutzgesetzes dient,
cc)
die Offenbarung nach Abs. 4 Nr. 2 kann auch durch Landesgesetz ausdrücklich zugelassen werden,“
bb)
Der bisherige Doppelbuchst. bb wird Doppelbuchst. dd und das Wort „Absatz“ wird durch die Angabe „Abs.“ ersetzt.
b)
Abs. 8 wird wie folgt geändert:
aa)
Satz 1 wird wie folgt gefasst:
1Bei der Hundesteuer finden auf die Verarbeitung personenbezogener Daten die allgemeinen datenschutzrechtlichen Regelungen Anwendung.“
bb)
In Satz 3 werden die Wörter „speichern, verändern, nutzen und“ durch die Wörter „verarbeiten, insbesondere“ ersetzt.
(5) Das Bayerische Gesetz zur Ausführung des Bundesmeldegesetzes (BayAGBMG) vom 23. Juni 2015 (GVBl. S. 178, BayRS 210-3-I) wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 2 wird wie folgt geändert:
a)
Die Überschrift wird wie folgt gefasst:
„Art. 2 Auftragsverarbeitung“
b)
Abs. 1 wird aufgehoben.
c)
Der bisherige Abs. 2 wird Abs. 1 und Satz 1 wird wie folgt gefasst:
1Verarbeitet ein Auftragsverarbeiter Meldedaten eines Einwohners für mehrere Meldebehörden, so kann er die Daten eines Einwohners in einem Datensatz speichern.“
d)
Der bisherige Abs. 3 wird Abs. 2 und die Angabe „Abs. 2“ wird durch die Angabe „Abs. 1“ ersetzt.
e)
Der bisherige Abs. 4 wird Abs. 3 und die Wörter „einer beauftragten Stelle“ werden durch die Wörter „einem Auftragsverarbeiter“ und die Wörter „diese Stelle“ werden durch die Wörter „diesen Auftragsverarbeiter“ ersetzt.
f)
Der bisherige Abs. 5 wird Abs. 4 und die Angabe „Abs. 4“ wird durch die Angabe „Abs. 3“ ersetzt.
3.
Art. 3 wird wie folgt geändert:
a)
In Abs. 1 wird das Wort „Auftragsdatenverarbeitung“ durch das Wort „Auftragsverarbeitung“ ersetzt und nach dem Wort „Bayern“ wird die Angabe „(AKDB)“ eingefügt.
b)
Abs. 2 wird wie folgt gefasst:
„(2) Art. 2 Abs. 1 Satz 2, Abs. 3 und 4 gilt entsprechend.“
4.
Art. 7 wird wie folgt geändert:
a)
In Abs. 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
b)
Abs. 2 wird wie folgt geändert:
aa)
In Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt und werden die Wörter „oder nutzen“ gestrichen.
bb)
Satz 2 wird wie folgt gefasst:
2Die AKDB ist hierbei Verantwortliche im Sinne des Kapitels IV der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO).“
c)
In Abs. 5 Satz 1 und Abs. 6 Satz 1 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
5.
Art. 8 wird wie folgt geändert:
a)
In Abs. 1 Satz 1 und 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
b)
Abs. 2 wird wie folgt geändert:
aa)
Satz 1 wird wie folgt gefasst:
1Bei der AKDB gestellte Auskunftsersuchen nach Art. 15 DSGVO sind durch diese gemäß den §§ 10, 11 BMG in Verbindung mit § 55 Abs. 3 Satz 2 BMG im Einvernehmen mit der zuständigen Meldebehörde zu beantworten.“
bb)
In Satz 2 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
cc)
Satz 3 wird wie folgt gefasst:
3Die Rechte der betroffenen Person nach den Art. 15 bis 22 DSGVO und den zu ihrer Durchführung erlassenen Vorschriften des BMG sind im Übrigen gegenüber der zuständigen Meldebehörde geltend zu machen.“
6.
Die Art. 10a und 10b werden aufgehoben.
7.
Art. 11 wird wie folgt geändert:
a)
In der Überschrift wird das Wort „, Außerkrafttreten“ gestrichen.
b)
In Abs. 1 wird die Absatzbezeichnung „(1)“ gestrichen.
c)
Abs. 2 wird aufgehoben.
8.
In Art. 5 Satz 1, Art. 9 Abs. 1 Satz 1, 2, 4 und Abs. 2 Satz 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
(6) Das Gesetz zur Ausführung des Personenstandsgesetzes (AGPStG) vom 8. Juli 2008 (GVBl. S. 344, BayRS 211-1-I), das zuletzt durch Art. 10b Abs. 2 des Gesetzes vom 23. Juni 2015 (GVBl. S. 178) geändert worden ist, wird wie folgt geändert:
1.
Art. 1 Satz 2 wird wie folgt gefasst:
2Sie nehmen diese Aufgaben als Angelegenheit des übertragenen Wirkungskreises wahr und sind hierbei Verantwortliche im Sinne der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO).“
2.
Der Überschrift des Art. 3 wird das Wort „, Verordnungsermächtigung“ angefügt.
3.
Art. 7 wird wie folgt geändert:
a)
In Abs. 1 Satz 1 wird nach dem Wort „Bayern“ die Angabe „(AKDB)“ eingefügt.
b)
In Abs. 2 Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
c)
Abs. 3 wird wie folgt gefasst:
„(3) Abweichend von Art. 1 Satz 2 ist die AKDB im Rahmen ihrer Aufgabenwahrnehmung nach den Abs. 1 und 2 Verantwortlicher im Sinne des Kapitels IV DSGVO.“
d)
Abs. 4 wird aufgehoben.
4.
In Art. 7a Abs. 1, Abs. 2 Satz 1 und 2, Abs. 3 Satz 1 und 4, Abs. 4 Satz 1 und 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
5.
Art. 7b Abs. 4 wird aufgehoben.
6.
Art. 7c Abs. 1 wird wie folgt geändert:
a)
In Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
b)
In Satz 2 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern die Rechte und Pflichten nach Art. 6 Abs. 2 Sätze 2 und 3 BayDSG“ durch die Wörter „AKDB die Aufgaben des Verantwortlichen im Sinne des Art. 28 DSGVO“ ersetzt.
7.
In Art. 8 Abs. 4 Satz 1 und Art. 10 Abs. 1 Nr. 4 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
(7) Das Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) vom 24. Juli 2003 (GVBl. S. 452, 752, BayRS 2120-1-U/G), das zuletzt durch § 2 des Gesetzes vom 12. Juli 2017 (GVBl. S. 366) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 30 wird wie folgt geändert:
a)
In Abs. 1 Satz 1 Satzteil nach Nr. 3 und Satz 2 werden jeweils die Wörter „oder nutzen“ gestrichen.
b)
Abs. 2 Satz 1 wird wie folgt geändert:
aa)
In Nr. 1 werden die Wörter „oder Nutzung, insbesondere die Übermittlung oder Weitergabe“ gestrichen.
bb)
In Nr. 2 werden die Wörter „oder Nutzung, insbesondere die Übermittlung oder Weitergabe ausdrücklich oder den Umständen nach“ durch das Wort „ausdrücklich“ ersetzt und wird das Komma am Ende durch einen Punkt ersetzt.
cc)
Nr. 3 wird aufgehoben.
3.
Art. 30a wird wie folgt geändert:
a)
In Abs. 1 werden die Wörter „nach Art. 27a des Bayerischen Datenschutzgesetzes“ gestrichen.
b)
Abs. 2 wird wie folgt geändert:
aa)
In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb)
In Satz 2 wird das Wort „nutzen“ durch die Wörter „auslesen und verwenden“ ersetzt.
c)
In Abs. 3 Satzteil vor Nr. 1 werden die Wörter „Das Erheben, Verarbeiten und Nutzen“ durch die Wörter „Die Verarbeitung“ ersetzt.
d)
In Abs. 4 werden die Wörter „Die speichernde Stelle“ durch die Wörter „Der Verantwortliche“ ersetzt.
4.
In Art. 31 Abs. 9 Satz 2 wird die Angabe „oder Abs. 3 Satz 1 des“ durch die Angabe „oder Abs. 3 Satz 2“ ersetzt.
5.
In Art. 31a Satz 1 werden die Wörter „erheben und“ gestrichen.
(8) Art. 2 Abs. 2 Satz 4 des Heilberufe-Kammergesetzes (HKaG) in der Fassung der Bekanntmachung vom 6. Februar 2002 (GVBl. S. 42, BayRS 2122-3-G), das zuletzt durch Art. 7a des Gesetzes vom 24. April 2017 (GVBl. S. 78) geändert worden ist, wird wie folgt gefasst:
4Soweit es zur Erfüllung der Aufgaben nach Satz 1 Halbsatz 2 und Satz 3 erforderlich ist, ist die Berufsvertretung abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) berechtigt, die in den jeweiligen Verfahrensakten enthaltenen personenbezogenen Gesundheitsdaten zu verarbeiten.“
(9) Das Bayerische Rettungsdienstgesetz (BayRDG) vom 22. Juli 2008 (GVBl. S. 429, BayRS 215-5-1-I), das zuletzt durch § 2 des Gesetzes vom 27. März 2017 (GVBl. S. 46) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
In Art. 47 Abs. 1 Satz 1 Satzteil vor Nr. 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
3.
In Art. 53 Abs. 1 Nr. 7 werden die Wörter „Datenerhebung, -verarbeitung, und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
(10) Das Gesetz über die Errichtung und den Betrieb Integrierter Leitstellen (ILSG) vom 25. Juli 2002 (GVBl. S. 318, BayRS 215-6-1-I), das zuletzt durch § 1 Nr. 192 der Verordnung vom 22. Juli 2014 (GVBl. S. 286) geändert worden ist, wird wie folgt geändert:
1.
In der Überschrift werden vor der Angabe „ILSG“ die Wörter „Integrierte Leitstellen-Gesetz –“ eingefügt.
2.
Art. 9 wird wie folgt geändert:
a)
Abs. 1 wird wie folgt geändert:
aa)
Im Satzteil vor Nr. 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb)
In Nr. 1 wird nach dem Wort „ist“ das Komma gestrichen.
b)
In Abs. 3 Satz 5 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.
(11) Das Bayerische Schwangerenhilfeergänzungsgesetz (BaySchwHEG) vom 9. August 1996 (GVBl. S. 328, BayRS 2170-8-G), das zuletzt durch § 1 Nr. 15 des Gesetzes vom 8. April 2013 (GVBl. S. 174) geändert worden ist, wird wie folgt geändert:
1.
Art. 5 Abs. 2 wird wie folgt geändert:
a)
Satz 1 wird aufgehoben.
b)
In Satz 2 wird die Satznummerierung gestrichen.
2.
In Art. 6 Abs. 3 werden in Halbsatz 1 die Wörter „dieser Unterrichtung nicht widersprochen“ durch die Wörter „in eine solche Unterrichtung eingewilligt“ ersetzt und in Halbsatz 2 die Wörter „ihr Widerspruchsrecht“ durch die Wörter „das Einwilligungserfordernis“ ersetzt.
3.
Art. 9 wird aufgehoben.
(12) Die Spielbankordnung (SpielbO) vom 13. Juni 1996 (GVBl. S. 232, BayRS 2187-1-1-I), die zuletzt durch Verordnung vom 16. April 2013 (GVBl. S. 240) geändert worden ist, wird wie folgt geändert:
1.
In § 6 Abs. 3 Satz 3 werden nach dem Wort „Union“ die Wörter „oder des Europäischen Wirtschaftsraums“ eingefügt.
2.
§ 7 wird wie folgt geändert:
a)
Abs. 4 wird aufgehoben.
b)
Der bisherige Abs. 5 wird Abs. 4 und die Angabe „Art. 21a Abs. 5 BayDSG“ wird durch die Angabe „Art. 24 Abs. 4 des Bayerischen Datenschutzgesetzes“ ersetzt.
c)
Der bisherige Abs. 6 wird Abs. 5 und in Satz 1 und 2 Satzteil vor Nr. 1 werden jeweils die Wörter „oder genutzt“ gestrichen.
(13) Das Vermessungs- und Katastergesetz (VermKatG) in der in der Bayerischen Rechtssammlung (BayRS 219-1-F) veröffentlichten bereinigten Fassung, das zuletzt durch § 1 des Gesetzes vom 17. Juli 2015 (GVBl. S. 243) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
In Art. 5 Abs. 2 wird die Fußnote 1 gestrichen.
3.
Der Überschrift des Art. 8 wird das Wort „, Verordnungsermächtigung“ angefügt.
4.
Art. 9 wird wie folgt geändert:
a)
In Abs. 1 wird die Fußnote 3 gestrichen.
b)
In Abs. 3 wird die Fußnote 4 gestrichen.
5.
Art. 11 wird wie folgt geändert:
a)
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
b)
Abs. 1 wird wie folgt geändert:
aa)
In Satz 2 wird das Wort „Antag“ durch das Wort „Antrag“ ersetzt.
bb)
In Satz 6 werden die Wörter „und Nutzung“ gestrichen.
6.
Art. 13 wird wie folgt geändert:
a)
In Abs. 1 Satz 3 werden die Fußnoten 5 und 6 gestrichen.
b)
In Abs. 4 wird die Fußnote 7 gestrichen.
7.
In Art. 16 wird die bisherige Fußnote 9 die Fußnote 1.
(14) Das Bayerische Hochschulgesetz (BayHSchG) vom 23. Mai 2006 (GVBl. S. 245, BayRS 2210-1-1-K), das zuletzt durch Gesetz vom 19. Dezember 2017 (GVBl. S. 568) geändert worden ist, wird wie folgt geändert:
1.
In Art. 6 Abs. 2 Satz 2 wird die Angabe „Art. 23 Abs. 4“ durch die Angabe „Art. 25 Abs. 3“ ersetzt.
2.
In Art. 42 Abs. 4 Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
(15) Das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen (BayEUG) in der Fassung der Bekanntmachung vom 31. Mai 2000 (GVBl. S. 414, 632, BayRS 2230-1-1-K), das zuletzt durch Gesetz vom 19. Dezember 2017 (GVBl. S. 571) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
In der Überschrift zum Zweiten Teil Abschnitt VIII sowie in der Überschrift zu Art. 59 werden jeweils die Wörter „und sonstiges Personal“ angefügt.
3.
Die Überschrift des Zweiten Teils Abschnitt XIII wird wie folgt gefasst:
„Abschnitt XIII Kommerzielle und politische Werbung, Verarbeitung personenbezogener Daten“
4.
Art. 85 wird wie folgt geändert:
a)
Die Überschrift wird wie folgt gefasst:
„Art. 85 Verarbeitung personenbezogener Daten“
b)
Abs. 1 wird wie folgt geändert:
aa)
In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb)
Satz 4 wird wie folgt gefasst:
4Die betroffenen Personen sind zur Angabe der Daten verpflichtet.“
c)
In Abs. 2 werden die Sätze 1 und 2 wie folgt gefasst:
1Eine Übermittlung der in Abs. 1 genannten Daten über Schülerinnen und Schüler sowie über Erziehungsberechtigte zu anderen Zwecken als zu denjenigen, zu denen die Daten gespeichert wurden, ist nur zulässig, wenn die Voraussetzungen des Art. 6 Abs. 2 Nr. 2 oder Nr. 3 Buchst. a, b, d oder Buchst. e des Bayerischen Datenschutzgesetzes (BayDSG) vorliegen.2Im Übrigen gilt Art. 5 Abs. 1 Satz 2, Abs. 2 und 4 BayDSG.“
5.
In Art. 85a Abs. 1 Satz 1 Halbsatz 1 werden die Wörter „gemäß Art. 6 des Bayerischen Datenschutzgesetzes (BayDSG)“ durch die Wörter „als Auftragsverarbeiter gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO)“ ersetzt.
6.
Art. 89 wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt: „Verordnungsermächtigung“
b)
In Abs. 1 Satz 3 wird nach Nr. 10 folgende Nr. 10a eingefügt: „10a. Art und Umfang des Einsatzes von Verfahren zur Verarbeitung personenbezogener Daten,“
7.
Art. 113a wird wie folgt geändert:
a)
In Abs. 1 Satz 1 wird die Angabe „gemäß Art. 6 BayDSG“ durch die Wörter „als Auftragsverarbeiter gemäß Art. 28 DSGVO“ ersetzt.
b)
In Abs. 3 Satz 1 werden die Wörter „und nutzen“ gestrichen.
8.
Art. 113c Abs. 3 wird wie folgt geändert:
a)
In Satz 1 werden die Wörter „Betroffenen erheben, verarbeiten und nutzen“ durch die Wörter „betroffenen Personen verarbeiten“ ersetzt.
b)
Satz 2 wird wie folgt gefasst: „2Dabei stellen die in Satz 1 genannten Stellen sicher, dass nur insoweit personenbezogene Daten verarbeitet werden, als das öffentliche Interesse die schutzwürdigen Belange der betroffenen Personen erheblich überwiegt und der Zweck der Evaluation auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.“
c)
In Satz 3 werden die Wörter „und Nutzung“ gestrichen.
d)
Satz 4 wird wie folgt gefasst: „4Die Art. 13 und 14 DSGVO gelten mit der Maßgabe, dass die Information vor der Durchführung einer Evaluation schriftlich erfolgt; die betroffenen Personen sind dabei zusätzlich auch über das Ziel des Vorhabens, die Art ihrer Beteiligung an der Untersuchung, sowie über die zur Einsichtnahme in die personenbezogenen Daten Berechtigten zu informieren.“
(16) Das Bayerische Pressegesetz (BayPrG) in der Fassung der Bekanntmachung vom 19. April 2000 (GVBl. S. 340, BayRS 2250-1-I), das zuletzt durch § 1 Nr. 290 der Verordnung vom 22. Juli 2014 (GVBl. S. 286) geändert worden ist, wird wie folgt geändert:
1.
In Art. 1 wird folgende Überschrift eingefügt:
„Recht der freien Meinungsäußerung und Pressefreiheit“
2.
In Art. 2 wird folgende Überschrift eingefügt:
„Errichtung von Verlagen und Pressebetrieben“.
3.
Art. 3 wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Aufgaben der Presse“.
b)
In Abs. 3 wird nach dem Wort „Strafgesetzbuchs“ die Angabe „(StGB)“ eingefügt.
4.
In Art. 4 wird folgende Überschrift eingefügt:
„Auskunftsrecht“.
5.
In Art. 5 wird folgende Überschrift eingefügt:
„Verantwortlicher Redakteur“.
6.
In Art. 6 wird folgende Überschrift eingefügt:
„Druckwerke; Zeitungen und Zeitschriften“.
7.
In Art. 7 wird folgende Überschrift eingefügt:
„Impressum bei Druckwerken“.
8.
Art. 8 wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Impressum bei Zeitungen und Zeitschriften“.
b)
Dem Abs. 3 werden die folgenden Sätze 3 bis 7 angefügt:
“3Die Bekanntgabe der Inhaber- und Beteiligungsverhältnisse hat mindestens Vornamen, Namen, Beruf und Wohnort zu enthalten
1.
des Einzelkaufmanns,
2.
aller persönlich haftenden Gesellschafter,
3.
von Aktionären, die mehr als 25 % des Kapitals halten,
4.
von Gesellschaftern einer Gesellschaft mit beschränkter Haftung mit einer Stammeinlage von mehr als 5 % des Stammkapitals,
5.
der Mitglieder
a)
des Aufsichtsrats einer Aktiengesellschaft unter Nennung des vorsitzenden Mitglieds und
b)
des Vorstands einer Genossenschaft.
7Die Bezeichnung des Berufs muss bei Bestehen eines Dienstverhältnisses den Dienstgeber erkennen lassen; bei Personen, die Inhaber oder Mitinhaber anderer wirtschaftlicher Unternehmen sind, müssen diese Unternehmen mit den Angaben über den Beruf genannt werden.
6Werden Beteiligungen von politischen Parteien oder Wählergruppen gehalten, ist darauf unter bruchteilsmäßiger Angabe der Höhe der Beteiligung hinzuweisen.
5Ist an einer Verlagsgesellschaft eine andere Gesellschaft zu mehr als einem Viertel beteiligt, so sind über diese Gesellschaft die gleichen Angaben zu machen wie sie in den Sätzen 3 und 4 für den Verlag selbst vorgeschrieben sind.
4Außerdem sind alle stillen Beteiligungen aufzuführen unter genauer Bezeichnung der stillen Gesellschafter sowie alle Treuhandverhältnisse unter genauer Bezeichnung von Treuhänder und Treugeber.“
9.
In Art. 9 wird folgende Überschrift eingefügt:
„Anzeige und Reklametexte“.
10.
In Art. 10 wird folgende Überschrift eingefügt:
„Gegendarstellung“.
11.
Art. 10a wird Art. 11 und wird wie folgt gefasst:
“Art. 11
Datenschutz
(1) 1Soweit Unternehmen der Presse personenbezogene Daten zu journalistischen Zwecken verarbeiten, ist es den hiermit befassten Personen untersagt, diese Daten zu anderen Zwecken zu verarbeiten (Datengeheimnis).2Diese Personen sind bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.3Das Datengeheimnis besteht nach Beendigung ihrer Tätigkeit fort.
(2) Die Prüfung von Beschwerden nach Art. 77 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) obliegt den Einrichtungen der freiwilligen Selbstkontrolle.“
12.
Der bisherige Art. 11 wird Art. 12 und wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Strafrechtliche Verantwortlichkeit“.
b)
Abs. 2 wird aufgehoben.
c)
Der bisherige Abs. 3 wird Abs. 2.
13.
Der bisherige Art. 12 wird Art. 13 und es wird folgende Überschrift eingefügt:
„Ordnungswidrigkeiten“.
14.
Der bisherige Art. 13 wird Art. 14 und es wird folgende Überschrift eingefügt:
„Strafvorschriften“.
15.
Der bisherige Art. 14 wird Art. 15 und wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Verjährung bei Straftaten und Ordnungswidrigkeiten“.
b)
In Abs. 1 Nr. 1 bis 3 werden jeweils die Wörter „des Strafgesetzbuchs“ durch die Angabe „StGB“ ersetzt.
c)
In Abs. 2 wird die Angabe „Art. 12“ durch die Angabe „Art. 13“ ersetzt.
16.
Der bisherige Art. 15 wird Art. 16 und es wird folgende Überschrift eingefügt: „Beschlagnahme“.
17.
Der bisherige Art. 16 wird Art. 17 und wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Umfang der Beschlagnahme“.
b)
In Abs. 2 werden die Wörter „(Drucksatz, Druckform, Platten, Klischees)“ durch die Wörter „wie etwa Drucksatz, Druckform, Platten oder Klischees“ ersetzt.
18.
Der bisherige Art. 17 wird Art. 18 und es wird folgende Überschrift eingefügt:
„Nachrichtenagenturen, Pressebüros“.
19.
Der bisherige Art. 18 wird Art. 19 und wird wie folgt geändert:
a)
Es wird folgende Überschrift eingefügt:
„Durchführungsbestimmungen; Inkrafttreten“.
b)
Dem Abs. 1 wird folgender Abs. 1 vorangestellt:
„(1) Verwaltungsvorschriften, die nur den Geschäftsbereich eines Staatsministeriums betreffen, werden von diesem im Einvernehmen mit dem Staatsministerium des Innern und Integration erlassen.“
c)
Der bisherige Abs. 1 wird Abs. 2.
d)
Der bisherige Abs. 2 wird aufgehoben.
(17) Das Bayerische Rundfunkgesetz (BayRG) in der Fassung der Bekanntmachung vom 22. Oktober 2003 (GVBl. S. 792, BayRS 2251-1-S), das zuletzt durch § 1 des Gesetzes vom 20. Dezember 2016 (GVBl. S. 427) geändert worden ist, wird wie folgt geändert:
1.
Art. 6 wird wie folgt geändert:
a)
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
b)
In Abs. 3 Satz 1 Nr. 1 wird die Fußnote 1 gestrichen.
2.
In Art. 17 Abs. 3 wird die Satznummerierung gestrichen.
3.
Art. 18 wird wie folgt geändert:
a)
In Abs. 2 wird die Angabe „Art. 11 Abs. 2 und 3“ durch die Angabe „Art. 12 Abs. 2“ ersetzt.
b)
In Abs. 4 werden die Wörter „Art. 14 Abs. 1 Sätze 1 und 2 Nrn. 1 und 3“ durch die Wörter „Art. 15 Abs. 1 Satz 1 und 2 Nr. 1 und 3“ ersetzt.
4.
Die Art. 21 und 22 werden wie folgt gefasst:
“Art. 21
Rundfunkdatenschutzbeauftragter
(1) 1Es besteht ein Rundfunkdatenschutzbeauftragter.2Er ist zuständige Aufsichtsbehörde im Sinn des Art. 51 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) für
1.
den Bayerischen Rundfunk und
2.
dessen Beteiligungsunternehmen im Sinn des § 16c Abs. 3 Satz 1 RStV, wenn sie ihren Sitz in Bayern haben, soweit die beteiligten Rundfunkdatenschutzbeauftragten keine abweichende, eindeutige Zuständigkeitsregelung getroffen haben.
3Die Ernennung erfolgt durch den Rundfunkrat mit Zustimmung des Verwaltungsrats für die Dauer von vier Jahren.4Eine dreimalige Wiederernennung ist zulässig.5Der Rundfunkdatenschutzbeauftragte muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, nachgewiesen durch ein abgeschlossenes Hochschulstudium, sowie über Erfahrung und Sachkunde im Bereich des Schutzes personenbezogener Daten verfügen.6Das Amt des Rundfunkdatenschutzbeauftragten kann nicht neben anderen Aufgaben innerhalb des Bayerischen Rundfunks oder einem seiner Beteiligungs- und Hilfsunternehmen wahrgenommen werden.
(2) 1Das Amt endet mit Ablauf der Amtszeit, mit Rücktritt oder Enthebung vom Amt oder mit Erreichen des gesetzlichen Renteneintrittsalters.2Tarifvertragliche Regelungen bleiben unberührt.3Der Rundfunkdatenschutzbeauftragte kann seines Amtes nur enthoben werden, wenn er eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.4Dies geschieht durch Beschluss des Rundfunkrats auf Vorschlag des Verwaltungsrats.5Der Rundfunkdatenschutzbeauftragte ist vor der Entscheidung zu hören.
(3) 1Dem Rundfunkdatenschutzbeauftragten ist die für die Erfüllung seiner Aufgaben und Befugnisse notwendige Personal-, Finanz- und Sachausstattung zur Verfügung zu stellen.2Die erforderlichen Mittel sind jährlich, öffentlich und gesondert im Haushaltsplan des Bayerischen Rundfunks auszuweisen und dem Rundfunkdatenschutzbeauftragten im Haushaltsvollzug zuzuweisen.3Der Rundfunkdatenschutzbeauftragte ist in der Wahl seiner Mitarbeiter frei.4Sie unterstehen allein seiner Leitung.
(4) 1Der Rundfunkdatenschutzbeauftragte ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen.2Er unterliegt keiner Rechts- oder Fachaufsicht.3Der Dienstaufsicht des Verwaltungsrats sowie einer Finanzkontrolle untersteht er nur insoweit, als seine Unabhängigkeit bei der Ausübung seines Amtes dadurch nicht beeinträchtigt wird.
(5) Das Nähere, insbesondere die Grundsätze der Vergütung, beschließt der Rundfunkrat mit Zustimmung des Verwaltungsrats durch Satzung.
(6) 1Der Rundfunkdatenschutzbeauftragte hat die Aufgaben und Befugnisse entsprechend den Art. 57, 58 Abs. 1 bis 5 DSGVO.2Bei der Zusammenarbeit mit anderen Aufsichtsbehörden hat er den Informantenschutz zu wahren, soweit die Datenverarbeitung zu journalistischen Zwecken betroffen ist.3Der Rundfunkdatenschutzbeauftragte verhängt keine Geldbußen gegenüber dem Bayerischen Rundfunk.
(7) 1Stellt der Rundfunkdatenschutzbeauftragte Verstöße gegen Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies gegenüber dem Intendanten und fordert ihn zur Stellungnahme innerhalb einer angemessenen Frist auf.2Gleichzeitig unterrichtet er den Verwaltungsrat.3Von einer Beanstandung und Unterrichtung kann abgesehen werden, wenn es sich um unerhebliche Mängel handelt oder wenn ihre unverzügliche Behebung sichergestellt ist.
(8) 1Die vom Intendanten nach Abs. 7 Satz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Rundfunkdatenschutzbeauftragten getroffen worden sind.2Der Intendant leitet dem Verwaltungsrat gleichzeitig eine Abschrift der Stellungnahme gegenüber dem Rundfunkdatenschutzbeauftragten zu.
(9) 1Der Rundfunkdatenschutzbeauftragte erstattet den Bericht über seine Tätigkeit im Sinn des Art. 59 DSGVO auch den Organen des Bayerischen Rundfunks.2Der Bericht wird unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie personenbezogener Daten der Beschäftigten des Bayerischen Rundfunks veröffentlicht, wobei eine Veröffentlichung im Online-Angebot des Bayerischen Rundfunks ausreichend ist.
Der Datenschutzbeauftragte des Bayerischen Rundfunks nach Art. 37 DSGVO wird vom Intendanten mit Zustimmung des Verwaltungsrats benannt.“
5.
In Art. 26 wird die bisherige Fußnote 2 Fußnote 1.
(18) Das Bayerische Mediengesetz (BayMG) in der Fassung der Bekanntmachung vom 22. Oktober 2003 (GVBl. S. 799, BayRS 2251-4-S/W), das zuletzt durch § 2 des Gesetzes vom 20. Dezember 2016 (GVBl. S. 427; 2017 S. 17) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
In Art. 12 Abs. 2 Satz 2 Nr. 10 werden die Wörter „des Gesetzes zur Ausführung des Rundfunkstaatsvertrags, des Jugendmedienschutz-Staatsvertrags und des Rundfunkbeitragsstaatsvertrags“ durch die Wörter „des Ausführungsgesetzes Rundfunk“ ersetzt.
3.
Art. 13 wird wie folgt geändert:
a)
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
b)
In Abs. 1 Satz 1 Nr. 1 wird die Fußnote 1 gestrichen.
4.
In Art. 14 Abs. 1 Satz 2 Nr. 2 werden die Wörter „des Gesetzes zur Ausführung des Rundfunkstaatsvertrags, des Jugendmedienschutz-Staatsvertrags und des Rundfunkbeitragsstaatsvertrags“ durch die Wörter „des Ausführungsgesetzes Rundfunk“ ersetzt.
5.
Art. 20 wird wie folgt gefasst:
“Art. 20
Datenschutz
(1) 1Es besteht ein Medienbeauftragter für den Datenschutz (Mediendatenbeauftragter).2Er ist zuständige Aufsichtsbehörde im Sinn des Art. 51 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) für
1.
die Landeszentrale,
2.
die Unternehmen, an denen die Landeszentrale zu mindestens 50 Prozent beteiligt ist und deren Geschäftszweck im Aufgabenbereich der Landeszentrale nach Art. 11 liegt und
3.
die Anbieter.
3Die Ernennung des Mediendatenbeauftragten erfolgt durch den Medienrat mit Zustimmung des Verwaltungsrats für die Dauer von vier Jahren.4Eine dreimalige Wiederernennung ist zulässig.5Der Mediendatenbeauftragte muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, nachgewiesen durch ein abgeschlossenes Hochschulstudium, sowie über Erfahrung und Sachkunde im Bereich des Schutzes personenbezogener Daten verfügen.6Das Amt des Mediendatenbeauftragten kann nicht neben anderen Aufgaben innerhalb der Stellen nach Satz 2 ausgeübt werden.
(2) 1Das Amt des Mediendatenbeauftragten endet mit Ablauf der Amtszeit, mit Rücktritt oder Enthebung vom Amt oder mit Erreichen des gesetzlichen Renteneintrittsalters.2Tarifvertragliche Regelungen bleiben unberührt.3Der Mediendatenbeauftragte kann seines Amtes nur enthoben werden, wenn er eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.4Dies geschieht durch Beschluss des Medienrats auf Vorschlag des Verwaltungsrats.5Der Mediendatenbeauftragte ist vor der Entscheidung zu hören.
(3) 1Dem Mediendatenbeauftragten ist die für die Erfüllung seiner Aufgaben und Befugnisse notwendige Personal-, Finanz- und Sachausstattung zur Verfügung zu stellen.2Die erforderlichen Mittel sind jährlich, öffentlich und gesondert im Haushaltsplan der Landeszentrale auszuweisen und dem Mediendatenbeauftragten im Haushaltsvollzug zuzuweisen.3Der Mediendatenbeauftragte ist in der Wahl seiner Mitarbeiter frei.4Sie unterstehen allein seiner Leitung.
(4) 1Der Mediendatenbeauftragte ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen.2Er unterliegt keiner Rechts- oder Fachaufsicht.3Der Dienstaufsicht des Verwaltungsrats sowie einer Finanzkontrolle untersteht er nur insoweit, als seine Unabhängigkeit bei der Ausübung seines Amtes dadurch nicht beeinträchtigt wird.
(5) Das Nähere, insbesondere die Grundsätze der Vergütung, beschließt der Medienrat mit Zustimmung des Verwaltungsrats durch Satzung.
(6) 1Der Mediendatenbeauftragte hat die Aufgaben und Befugnisse entsprechend den Art. 57, 58 Abs. 1 bis 5 DSGVO.2Bei der Zusammenarbeit mit anderen Aufsichtsbehörden hat er den Informantenschutz zu wahren, soweit die Datenverarbeitung zu journalistischen Zwecken betroffen ist.3Der Mediendatenbeauftragte verhängt keine Geldbußen gegenüber der Landeszentrale.
(7) 1Stellt der Mediendatenbeauftragte Verstöße gegen Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies gegenüber dem Präsidenten und fordert ihn zur Stellungnahme innerhalb einer angemessenen Frist auf.2Gleichzeitig unterrichtet er den Verwaltungsrat.3Von einer Beanstandung und Unterrichtung kann abgesehen werden, wenn es sich um unerhebliche Mängel handelt oder wenn ihre unverzügliche Behebung sichergestellt ist.
(8) 1Die vom Präsidenten nach Abs. 7 Satz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Mediendatenbeauftragten getroffen worden sind.2Der Präsident leitet dem Verwaltungsrat gleichzeitig eine Abschrift der Stellungnahme gegenüber dem Mediendatenbeauftragten zu.
(9) 1Der Mediendatenbeauftragte erstattet den Bericht über seine Tätigkeit im Sinn des Art. 59 DSGVO auch den Organen der Landeszentrale nach Art. 10 Abs. 2 Nr. 1 bis 3.2Der Bericht wird unter Wahrung von Betriebs- und Geschäftsgeheimnissen sowie personenbezogener Daten der Beschäftigten der Stellen nach Abs. 1 Satz 2 veröffentlicht, wobei eine Veröffentlichung auf der Internetseite der Landeszentrale ausreichend ist.
(10) Der Datenschutzbeauftragte der Landeszentrale nach Art. 37 DSGVO wird vom Präsidenten mit Zustimmung des Verwaltungsrats benannt.“
6.
In Art. 22 Abs. 1 Satz 1 werden die Wörter „Kosten (Gebühren und Auslagen)“ durch die Wörter „Gebühren und Auslagen (Kosten)“ ersetzt.
7.
In Art. 31 Satz 1 werden die Wörter „(Frequenzen und Kanäle)“ gestrichen.
8.
In Art. 35 Abs. 1 Nr. 1 werden die Wörter „(ortsübliche Empfangbarkeit)“ gestrichen.
9.
In Art. 36 Abs. 3 werden die Wörter „, erstmals zum 30. Juni 2009 entsprechend Art. 31 Abs. 1 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten – Universaldienstrichtlinie (ABl EG Nr. L 108 S. 51)“ durch die Wörter „entsprechend Art. 31 Abs. 1 der Richtlinie 2002/22/EG“ ersetzt.
10.
In Art. 37 wird in der Überschrift die bisherige Fußnote 3 gestrichen.
11.
In Art. 38 Satz 1 werden die Wörter „Art. 14 Abs. 1 Sätze 1 und 2 Nr. 1 und 3“ durch die Wörter „Art. 15 Abs. 1 Satz 1 und 2 Nr. 1 und 3“ ersetzt.
12.
In Art. 41 Abs. 1 Satz 1 wird die bisherige Fußnote 4 die Fußnote 1.
(19) Das Bayerische Statistikgesetz (BayStatG) vom 10. August 1990 (GVBl. S. 270, BayRS 290-1-I), das zuletzt durch Gesetz vom 27. März 2017 (GVBl. S. 54) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 3 wird wie folgt geändert:
a)
Die Überschrift wird wie folgt gefasst: „Art. 3 Anwendbarkeit der Datenschutz-Grundverordnung und des Bayerischen Datenschutzgesetzes“.
b)
Abs. 1 wird wie folgt gefasst:
„(1) Die Ansprüche nach den Art. 15, 16, 18 und 21 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) bestehen nicht, soweit diese Rechte die Verwirklichung statistischer Zwecke ernsthaft beeinträchtigen würden.“
c)
Abs. 2 wird aufgehoben.
d)
Der bisherige Abs. 3 wird Abs. 2 und das Wort „weitergegeben“ wird durch das Wort „übermittelt“ ersetzt.
3.
In Art. 5 Abs. 5 Satz 1 werden die Wörter „oder nutzen“ gestrichen.
4.
Art. 7 wird aufgehoben.
5.
In Art. 14 Abs. 2 Satz 3 werden die Wörter „oder nutzen“ gestrichen.
6.
Art. 18 Abs. 1 wird wie folgt geändert:
a)
In Satz 1 werden die Satznummerierung sowie die Wörter „oder genutzt“ gestrichen.
b)
Satz 2 wird aufgehoben.
7.
Art. 19 wird wie folgt geändert:
a)
In Satz 1 Satzteil vor Nr. 1 werden die Wörter „Die zu Befragenden sind“ durch die Wörter „Ergänzend zu den Informationspflichten nach den Art. 13 und 14 DSGVO sind die zu Befragenden“ ersetzt.
b)
In Nr. 1 wird das Wort „Zweck,“ und die Wörter „und ihre Rechtsgrundlage“ gestrichen.
8.
In Art. 20 Abs. 3 Satz 1 werden die Wörter „oder nutzen“ gestrichen.
9.
Der Überschrift des Art. 21 wird das Wort „, Verordnungsermächtigung“ angefügt.
10.
Art. 25 wird wie folgt gefasst:
“Art. 25
Durchführung von Statistiken
Die Art. 5 Abs. 3, Art. 12 bis 15, 17, 18 Abs. 1, 2 und 4 bis 7 sowie Art. 19 gelten entsprechend.“
11.
Abschnitt V wird aufgehoben.
(20) Das Bayerische Naturschutzgesetz (BayNatSchG) vom 23. Februar 2011 (GVBl. S. 82, BayRS 791-1-U), das zuletzt durch § 2 des Gesetzes vom 21. Februar 2018 (GVBl. S. 48) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
Art. 55 wird wie folgt geändert:
a)
Abs. 2 wird wie folgt gefasst:
(2) Die Information nach Art. 14 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) kann durch ortsübliche Bekanntmachung in der Gemeinde erfolgen.
b)
Abs. 3 wird aufgehoben.
(21) Das Bayerische Fischereigesetz (BayFiG) in der Fassung der Bekanntmachung vom 10. Oktober 2008 (GVBl. S. 840; 2009 S. 6, BayRS 793-1-L), das zuletzt durch § 1 Nr. 407 der Verordnung vom 22. Juli 2014 (GVBl. S. 286) geändert worden ist, wird wie folgt geändert:
1.
Die Inhaltsübersicht wird gestrichen.
2.
In Art. 64 Abs. 1 Satz 1 Nr. 10 werden die Wörter „das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten“ durch die Wörter „die Verarbeitung personenbezogener Daten“ ersetzt.
3.
Art. 79 wird wie folgt geändert:
a)
Abs. 1 wird aufgehoben.
b)
Im bisherigen Abs. 2 wird die Absatzbezeichnung „(2)“ gestrichen.
Art. 40
Inkrafttreten, Außerkrafttreten
(1) Dieses Gesetz tritt am 25. Mai 2018 in Kraft.
(2) Mit Ablauf des 24. Mai 2018 treten außer Kraft:
1.
das Bayerische Datenschutzgesetz (BayDSG) vom 23. Juli 1993 (GVBl. S. 498, BayRS 204-1-I), das zuletzt durch § 2 des Gesetzes vom 24. Juli 2017 (GVBl. S. 388) geändert worden ist,
2.
die Verordnung zur Durchführung des Gesetzes über die Presse in der in der Bayerischen Rechtssammlung (BayRS 2250-1-1-I) veröffentlichten bereinigten Fassung, die zuletzt durch Verordnung vom 1. Juli 2005 (GVBl. S. 303) geändert worden ist,
3.
§ 3 Abs. 2 bis 4 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 25. Juli 2000 (GVBl. S. 488),
4.
§ 3 Abs. 3 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 10. Dezember 2007 (GVBl. S. 903),
5.
§ 3 Abs. 2 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 2. April 2009 (GVBl. S. 50),
6.
§ 3 Abs. 2 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 8. Dezember 2009 (GVBl. S. 609),
7.
Art. 10 Abs. 2 des Dritten Verwaltungsreformgesetzes (3. VwReformG) vom 23. November 2001 (GVBl. S. 734),
8.
Art. 9 Nr. 2, Art. 11 Nr. 8, Art. 14, 17, 19 des 2. Verwaltungsmodernisierungsgesetzes (2. VerwModG) vom 26. Juli 2005 (GVBl. S. 287),
9.
§ 2 Abs. 2 des Gesetzes zur Änderung des Bayerischen Datenschutzgesetzes vom 2. April 2009 (GVBl. S. 49).
München, den 15. Mai 2018
Der Bayerische Ministerpräsident
Dr. Markus Söder