Inhalt

BayDSG
in Kraft ab: 30.12.2015
Fassung: 23.07.1993
Gesamtansicht
Link abrufen
Vorheriges Dokument (inaktiv)
Nächstes Dokument (inaktiv)

Bayerisches Datenschutzgesetz
(BayDSG)
Vom 23. Juli 1993
(GVBl. S. 498)
BayRS 204-1-I

Zuletzt geändert durch Art. 9a Abs. 8 Bayerisches E-Government-Gesetz vom 22. 12. 2015
(GVBl. S. 458)
Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das nach Anhörung des Senats hiermit bekanntgemacht wird:

Inhaltsübersicht

Erster Abschnitt Allgemeine Bestimmungen
Art. 1 Zweck des Gesetzes
Art. 2 Anwendungsbereich des Gesetzes
Art. 3 Öffentliche Stellen, die am Wettbewerb teilnehmen
Art. 4 Begriffsbestimmungen
Art. 5 Datengeheimnis
Art. 6 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
Art. 7 Technische und organisatorische Maßnahmen
Art. 8 Einrichtung automatisierter Abrufverfahren
Zweiter Abschnitt Schutzrechte
Art. 9 Anrufung des Landesbeauftragten für den Datenschutz
Art. 10 Auskunft und Benachrichtigung
Art. 11 Berichtigung
Art. 12 Löschung, Sperrung
Art. 13 Benachrichtigung nach Datenübermittlung
Art. 14 Schadensersatz
Dritter Abschnitt Rechtsgrundlagen der Datenerhebung, -verarbeitung und -nutzung
Art. 15 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
Art. 16 Erhebung
Art. 17 Verarbeitung und Nutzung
Art. 18 Datenübermittlung an öffentliche Stellen
Art. 19 Datenübermittlung an nicht-öffentliche Stellen
Art. 20 Datenübermittlung an öffentlich-rechtliche Religionsgesellschaften
Art. 21 Datenübermittlung an Stellen im Ausland
Art. 21a Videobeobachtung und Videoaufzeichnung (Videoüberwachung)
Art. 22 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
Art. 23 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
Art. 24 (aufgehoben)
Vierter Abschnitt Durchführung des Datenschutzes bei öffentlichen Stellen
Art. 25 Sicherstellung des Datenschutzes, behördliche Datenschutzbeauftragte
Art. 26 Datenschutzrechtliche Freigabe automatisierter Verfahren
Art. 27 Verfahrensverzeichnis
Art. 27a Gemeinsame Verfahren
Art. 28 Ausnahmen von der Freigabepflicht, Rechtsverordnungsermächtigung
Fünfter Abschnitt Landesbeauftragter für den Datenschutz
Art. 29 Ernennung und Rechtsstellung
Art. 30 Aufgaben
Art. 31 Beanstandungen
Art. 32 Unterstützung durch die öffentlichen Stellen
Art. 33 Datenschutzkommission
Sechster Abschnitt Aufsichtsbehörde für den Datenschutz bei nicht-öffentlichen Stellen
Art. 34 Landesamt für Datenschutzaufsicht
Art. 35 Unabhängigkeit der Aufsichtsbehörde
Siebter Abschnitt Allgemeines Auskunftsrecht
Art. 36 Recht auf Auskunft
Achter Abschnitt Ordnungswidrigkeiten, Strafvorschrift, Schlußvorschriften
Art. 37 Ordnungswidrigkeiten, Strafvorschrift
Art. 38 Inkrafttreten
Art. 1
Zweck des Gesetzes
Zweck dieses Gesetzes ist es, die einzelnen davor zu schützen, daß sie bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch öffentliche Stellen in unzulässiger Weise in ihrem Persönlichkeitsrecht beeinträchtigt werden.
Art. 2
Anwendungsbereich des Gesetzes
(1) Die Vorschriften dieses Gesetzes – ausgenommen der Sechste Abschnitt – gelten für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Behörden, Gerichte und sonstige öffentliche Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts.
(2) 1Die Vorschriften dieses Gesetzes gelten auch für Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen – ungeachtet der Beteiligung nicht-öffentlicher Stellen –
1.
eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts beteiligt sind, oder
2.
außer einer oder mehrerer der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts auch eine oder mehrere der in § 2 Abs. 1 des Bundesdatenschutzgesetzes genannten juristischen Personen des öffentlichen Rechts oder Vereinigungen beteiligt sind, wenn sie keine öffentlichen Stellen des Bundes gemäß § 2 Abs. 3 des Bundesdatenschutzgesetzes sind.
2Beteiligt sich eine Vereinigung des privaten Rechts, auf die dieses Gesetz nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des privaten Rechts, so findet Satz 1 entsprechende Anwendung.
(3) Für personenbezogene Daten in automatisierten Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden, gelten von den Vorschriften dieses Gesetzes nur die Art. 5, 7, 17 Abs. 4, Art. 25, 29 bis 31, 32 Abs. 1 bis 3, Art. 33 und 37.
(4) Die Vorschriften dieses Gesetzes gelten nicht für die Ausübung des Begnadigungsrechts.
(5) Die Vorschriften dieses Gesetzes gelten für den Landtag nur, soweit er in Verwaltungsangelegenheiten tätig wird.
(6) In bezug auf Gerichte und den Obersten Rechnungshof gelten der Vierte, Fünfte und Siebte Abschnitt sowie Art. 9 nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
(7) Soweit besondere Rechtsvorschriften über den Datenschutz oder über Verfahren der Rechtspflege auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.
(8) Die Vorschriften dieses Gesetzes gehen denen des Bayerischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten erhoben, verarbeitet oder genutzt werden.
(9) Dieses Gesetz läßt die Verpflichtung zur Wahrung der in § 203 Abs. 1 des Strafgesetzbuchs genannten Geheimnisse unberührt.
Art. 3
Öffentliche Stellen, die am Wettbewerb teilnehmen
(1) 1Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie sowie für ihre Zusammenschlüsse und Verbände die Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des Zweiten Abschnitts.2 Art. 2 Abs. 7 bleibt unberührt.3Für die Durchführung und die Kontrolle des Datenschutzes gelten an Stelle der §§ 4d bis 4g und 38 des Bundesdatenschutzgesetzes die Art. 9 und 25 bis 33.
(2) 1Soweit öffentlich-rechtliche Versicherungsunternehmen am Wettbewerb teilnehmen, gelten für sie die Vorschriften des Bundesdatenschutzgesetzes, die auf privatrechtliche Versicherungsunternehmen anzuwenden sind.2Für öffentlich-rechtliche Kreditinstitute sowie für ihre Zusammenschlüsse und Verbände gelten die Vorschriften des Bundesdatenschutzgesetzes, die auf privatrechtliche Kreditinstitute anzuwenden sind.3 Art. 2 Abs. 7 bleibt unberührt.
(3) Die Anstalt für Kommunale Datenverarbeitung in Bayern unterliegt den Vorschriften dieses Gesetzes auch, soweit sie am Wettbewerb teilnimmt.
Art. 4
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen (Betroffene).
(2) 1Öffentliche Stellen im Sinn dieses Gesetzes sind die in Art. 2 Abs. 1 und 2 bezeichneten Stellen und Vereinigungen.2Öffentliche Stellen im Sinn der Art. 18 und 24 sind darüber hinaus die öffentlichen Stellen des Bundes gemäß § 2 des Bundesdatenschutzgesetzes und der anderen Länder nach § 2 des Bundesdatenschutzgesetzes und der jeweils maßgeblichen Landesdatenschutzgesetze.3Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter Satz 1 oder 2 fallen.4Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle.
(3) 1Eine Datei ist
1.
eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei) oder
2.
jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei).
2Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, daß sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.
(4) 1Akten sind alle sonstigen amtlichen oder dienstlichen Zwecken dienenden Unterlagen; dazu zählen auch Bild- und Tonträger.2Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.
(5) Erheben ist das Beschaffen von Daten über Betroffene.
(6) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.2Im einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1.
Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
2.
Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3.
Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte in der Weise, daß
a)
die Daten durch die speichernde Stelle an Dritte weitergegeben werden oder
b)
Dritte Daten einsehen oder abrufen, die von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehalten werden,
4.
Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5.
Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(7) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, insbesondere die Weitergabe von Daten innerhalb der speichernden Stelle an Teile derselben Stelle mit anderen Aufgaben oder anderem örtlichem Zuständigkeitsbereich.
(8) Anonymisieren ist das Verändern personenbezogener Daten derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(9) Speichernde Stelle ist jede öffentliche Stelle, die personenbezogene Daten für sich selbst speichert oder durch andere im Auftrag speichern läßt.
(10) 1Dritte sind alle Personen oder Stellen außerhalb der speichernden Stelle.2Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(11) Ist in diesem Gesetz eine schriftliche Erklärung angeordnet, kann an ihre Stelle eine elektronische Erklärung treten.
Art. 5
Datengeheimnis
1Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).2Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
Art. 6
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) 1Werden personenbezogene Daten durch andere Stellen im Auftrag erhoben, verarbeitet oder genutzt, bleibt der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.2Die im Zweiten Abschnitt genannten Rechte sind ihm gegenüber geltend zu machen.
(2) 1Auftragnehmer sind unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.2Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.3Der Auftraggeber hat sich soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.
(3) 1Ist eine öffentliche Stelle Auftragnehmer, so gelten für sie nur die Art. 5, 7, 25, 29 bis 31, 32 Abs. 1 bis 3, Art. 33 und 37.2Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.3Ist er der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) 1Die Absätze 1 bis 3 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.2Ist eine schriftliche Auftragserteilung nach Absatz 2 Satz 2 nicht möglich, so ist diese unverzüglich nachzuholen.
Art. 7
Technische und organisatorische Maßnahmen
(1) 1Öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
1.
Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2.
zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3.
die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4.
zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
5.
zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
6.
zu gewährleisten, daß überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle),
7.
zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8.
zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9.
zu verhindern, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
10.
die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
Art. 8
Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten an Dritte durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.
(2) 1Die beteiligten Stellen haben zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens kontrolliert werden kann.2Hierzu haben sie schriftlich festzulegen:
1.
die Aufgaben, zu deren Erfüllung personenbezogene Daten verarbeitet werden und die Rechtsgrundlage der Verarbeitung,
2.
die Datenempfänger,
3.
die Art der zu übermittelnden Daten,
4.
die nach Art. 7 erforderlichen technischen und organisatorischen Maßnahmen.
(3) 1Die Zulässigkeit des einzelnen Abrufs beurteilt sich nach den für die Erhebung und Übermittlung geltenden Vorschriften.2Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger.3Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlaß besteht.4Die speichernde Stelle hat zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.5Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufs oder der Übermittlung des Gesamtbestands.
(4) Die Absätze 1 bis 3 gelten nicht für den Abruf aus Datenbeständen, die allen, sei es ohne oder nach besonderer Zulassung, zur Benutzung offenstehen.
Art. 9
Anrufung des Landesbeauftragten für den Datenschutz
Jeder kann sich an den Landesbeauftragten für den Datenschutz mit dem Vorbringen wenden, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen in seinen Rechten verletzt worden zu sein.
Art. 10
Auskunft und Benachrichtigung
(1) 1Die speichernde Stelle hat den Betroffenen auf Antrag Auskunft zu erteilen über
1.
die zur Person gespeicherten Daten,
2.
den Zweck und die Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung,
3.
die Herkunft der Daten und die Empfänger übermittelter Daten, soweit diese Angaben gespeichert sind,
4.
die Empfänger regelmäßiger Datenübermittlungen,
5.
im Fall des Art. 6 Abs. 1 bis 3 die Auftragnehmer,
6.
im Fall des Art. 15 Abs. 6 den strukturierten Ablauf der automatisierten Verarbeitung oder Nutzung seiner Daten und die dabei herangezogenen Entscheidungskriterien.
2Dies gilt nicht für personenbezogene Daten, die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen.
(2) Für die Auskunft werden Kosten nicht erhoben, es sei denn, daß mit der Auskunftserteilung ein besonderer Verwaltungsaufwand verbunden ist.
(3) 1In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden.2Sind die personenbezogenen Daten nicht in automatisierten Dateien gespeichert, so wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht.3Die speichernde Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
(4) 1Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaft, an Polizeidienststellen, an Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, an Verfassungsschutzbehörden, an den Bundesnachrichtendienst, an den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, an andere Behörden des Bundesministeriums der Verteidigung, so ist sie nur mit Zustimmung dieser Stellen zulässig.2Für die Versagung der Zustimmung durch Behörden des Freistaates Bayern gilt Absatz 5 entsprechend.
(5) Die Auskunftserteilung unterbleibt, soweit
1.
die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen gefährden würde,
2.
die Auskunft die öffentliche Sicherheit oder Ordnung, die Sicherheit des Staates, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union – einschließlich Währungs-, Haushalts- und Steuerangelegenheiten – gefährden würde oder
3.
personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muß.
(6) 1Die Ablehnung der Auskunftserteilung durch Behörden der Staatsanwaltschaft, durch Justizvollzugsanstalten und Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, bedarf keiner Begründung.2Die Ablehnung der Auskunftserteilung durch sonstige öffentliche Stellen bedarf keiner Begründung, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.3In den Fällen der Sätze 1 und 2 ist der Betroffene darauf hinzuweisen, daß er sich an den Landesbeauftragten für den Datenschutz wenden kann.
(7) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Landesbeauftragten für den Datenschutz zu erteilen, soweit nicht die Staatskanzlei, die Staatsministerien, die sonstigen obersten Dienststellen des Staates oder die obersten Aufsichtsbehörden jeweils für ihren Zuständigkeitsbereich im Einzelfall feststellen, daß dadurch die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährdet würde.2Die Mitteilung des Landesbeauftragten für den Datenschutz an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der speichernden Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(8) 1Werden in einer Datei zur Person Betroffener Daten gespeichert, die weder von den Betroffenen mit ihrer Kenntnis erhoben noch von ihnen mitgeteilt worden sind, so hat die speichernde Stelle die Betroffenen von der Tatsache der Speicherung zu benachrichtigen und dabei die Art der Daten sowie die Zweckbestimmung und die Rechtsgrundlage der Speicherung zu nennen; Absatz 1 Satz 2 gilt entsprechend.2Die Benachrichtigung erfolgt zum Zeitpunkt der Speicherung oder im Fall einer beabsichtigten Übermittlung spätestens mit deren Durchführung.3Dienen die Daten der Erstellung einer beabsichtigten Mitteilung an Betroffene, kann die Benachrichtigung mit dieser Mitteilung verbunden werden.4Die Sätze 1 bis 3 gelten nicht, wenn
1.
eine Rechtsvorschrift die Speicherung der personenbezogenen Daten ausdrücklich vorsieht,
2.
die Betroffenen auf andere Weise Kenntnis von der Tatsache der Speicherung erlangt haben, oder
3.
die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert.
5Absatz 5 gilt entsprechend.
(9) 1Die Absätze 1 bis 8 gelten für Gerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden.2Absatz 6 Satz 3 und Absatz 7 gelten für den Obersten Rechnungshof nur, soweit er in Verwaltungsangelegenheiten tätig wird.3Absatz 8 gilt nicht für Behörden der Staatsanwaltschaft, für Justizvollzugsanstalten, für Führungsaufsichtsstellen und für Stellen der Gerichts- und Bewährungshilfe.
Art. 11
Berichtigung
1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.2Wird bei personenbezogenen Daten in Akten festgestellt, daß sie unrichtig sind, oder wird ihre Richtigkeit vom Betroffenen bestritten, so ist dies in den Akten zu vermerken oder auf sonstige Weise festzuhalten.
Art. 12
Löschung, Sperrung
(1) Personenbezogene Daten in Dateien sind zu löschen, wenn
1.
ihre Speicherung unzulässig ist oder
2.
ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist.
(2) Personenbezogene Daten in Dateien sind zu sperren, wenn
1.
ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt oder
2.
eine Löschung nach Absatz 1 wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
(3) 1Personenbezogene Daten in Akten sind zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, daß ihre Speicherung unzulässig ist.2Stellt die speichernde Stelle im Einzelfall fest, daß der gesamte Akt ausschließlich unzulässig gespeicherte Daten enthält, so sind die personenbezogenen Daten zu löschen.
(4) 1Personenbezogene Daten in Akten sind ferner zu sperren, wenn die speichernde Stelle im Einzelfall feststellt, daß ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist und ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden.2Stellt die speichernde Stelle im Einzelfall fest, daß der gesamte Akt zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist, sind die personenbezogenen Daten zu löschen.
(5) An die Stelle einer Löschung tritt eine Sperrung, wenn Grund zu der Annahme besteht, daß durch eine Löschung die schutzwürdigen Interessen des Betroffenen beeinträchtigt würden.
(6) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn
1.
es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerläßlich oder zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen oder zur Rechnungsprüfung erforderlich ist und
2.
die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
(7) Daten, die wegen Unzulässigkeit der Speicherung gesperrt sind, dürfen ohne Einwilligung des Betroffenen nicht mehr übermittelt oder genutzt werden, es sei denn, daß dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen oder zur Rechnungsprüfung erforderlich ist.
(8) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden sind und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht (Art. 6 Abs. 4 Bayerisches Archivgesetz oder auf Grund der entsprechenden Festlegungen der Träger von Archiven sonstiger öffentlicher Stellen nach Abschnitt III des Bayerischen Archivgesetzes) entschieden worden ist.
Art. 13
Benachrichtigung nach Datenübermittlung
Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen diese Daten übermittelt wurden, es sei denn, dass die Verständigung sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist.
Art. 14
Schadensersatz
(1) 1Fügt eine öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen zum Ersatz dieses Schadens verpflichtet.2Die Ersatzpflicht entfällt, soweit die öffentliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
(2) 1Fügt eine öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung seiner personenbezogenen Daten einen Schaden zu, ist sie dem Betroffenen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet.2Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.3Der Anspruch ist insgesamt bis zu einem Betrag in Höhe von 125.000 Euro begrenzt.4Ist auf Grund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 125.000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht.5Sind bei einer Datei mehrere Stellen speicherungsberechtigt und sind Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(4) 1Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, so gilt § 254 des Bürgerlichen Gesetzbuchs.2Auf die Verjährung finden die Vorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.
(6) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
Art. 15
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn
1.
dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder
2.
der Betroffene eingewilligt hat.
(2) Wird eine Einwilligung eingeholt, so sind Betroffene auf den Zweck der Erhebung, Verarbeitung oder Nutzung, auf die Empfänger vorgesehener Übermittlungen sowie unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern können.
(3) 1Die Einwilligung ist schriftlich oder elektronisch zu erteilen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.2Im Bereich der wissenschaftlichen Forschung liegen solche besonderen Umstände auch dann vor, wenn der bestimmte Forschungszweck durch die schriftliche oder elektronische Einwilligung erheblich beeinträchtigt würde.3In diesem Fall sind der Hinweis gemäß Absatz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des wissenschaftlichen Forschungszwecks ergibt, festzuhalten.
(4) 1Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.2Bei elektronischer Einwilligung ist sicherzustellen, dass
1.
der Betroffene die Einwilligung bewusst und eindeutig erteilt hat,
2.
er sich über ihren Inhalt nachträglich informieren und sie mit Wirkung für die Zukunft widerrufen kann und
3.
die Einwilligung protokolliert wird.
(5) 1Widersprechen Betroffene einer bestimmten Erhebung, Verarbeitung oder Nutzung und ergibt eine Abwägung im Einzelfall, dass das schutzwürdige Interesse eines Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der öffentlichen Stelle an der Erhebung, Verarbeitung oder Nutzung dieser Daten überwiegt, so dürfen insoweit personenbezogene Daten nicht erhoben, verarbeitet oder genutzt werden.2Satz 1 gilt nicht, wenn eine Rechtsvorschrift die Erhebung, Verarbeitung oder Nutzung anordnet.
(6) 1Entscheidungen, die für Betroffene eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung oder Nutzung zum Zweck der Bewertung einzelner Persönlichkeitsmerkmale gestützt werden.2Satz 1 gilt nicht, soweit
1.
eine Rechtsvorschrift dies ausdrücklich vorsieht,
2.
damit dem Begehren der Betroffenen stattgegeben wird, oder
3.
den Betroffenen die Tatsache einer Entscheidung nach Satz 1 mitgeteilt wird und ihnen Gelegenheit gegeben wird, ihren Standpunkt geltend zu machen; die öffentliche Stelle ist verpflichtet, nach Eingang der Stellungnahme ihre Entscheidung erneut zu prüfen.
(7) 1Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben, ist über die Vorschriften dieses Abschnitts hinaus nur zulässig, wenn
1.
eine Rechtsvorschrift dies ausdrücklich vorsieht,
2.
die Betroffenen eingewilligt haben, wobei sich die Einwilligung ausdrücklich auf diese Daten beziehen muss,
3.
es zum Schutz lebenswichtiger Interessen Betroffener oder Dritter erforderlich ist, sofern die Betroffenen aus physischen oder rechtlichen Gründen außerstande sind, ihre Einwilligung zu geben,
4.
es sich um Daten handelt, die Betroffene offenkundig öffentlich gemacht haben,
5.
es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung erforderlich ist,
6.
es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinn des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinn des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
7.
es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
8.
es erforderlich ist, um den Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts Rechnung zu tragen, oder
9.
es zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.
2 Art. 20 bleibt unberührt.
(8) 1Die Absätze 5 bis 7 gelten für Strafgerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden.2Die Absätze 5 bis 7 gelten nicht für Behörden der Staatsanwaltschaft, für Justizvollzugsanstalten, für Führungsaufsichtsstellen und für Stellen der Gerichts- und Bewährungshilfe.
Art. 16
Erhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist.
(2) 1Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind beim Betroffenen mit seiner Kenntnis zu erheben.2Personenbezogene Daten dürfen bei Dritten nur erhoben werden, wenn
1.
eine Rechtsvorschrift eine solche Erhebung vorsieht oder zwingend voraussetzt,
2.
a)
die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht oder
b)
die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht
und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden, oder
3.
die Daten nach Art. 18 Abs. 1 oder einer anderen Rechtsvorschrift von einer öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.
3Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, gelten die Nummern 1 und 2 Buchst. a des Satzes 2 entsprechend.
(3) 1Werden personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist der Erhebungszweck ihm gegenüber anzugeben.2Werden sie beim Betroffenen auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.3Auf Verlangen ist der Betroffene über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.4Bei einer Datenerhebung auf schriftlichem Weg ist die Rechtsvorschrift stets anzugeben.
(4) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
Art. 17
Verarbeitung und Nutzung
(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn
1.
es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und
2.
es für die Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
(2) Abweichend von Absatz 1 Nr. 2 ist das Speichern, Verändern oder Nutzen personenbezogener Daten für andere Zwecke zulässig, wenn
1.
eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder die Beteiligung von Trägern öffentlicher Belange bestimmt,
2.
der Betroffene eingewilligt hat,
3.
offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis des anderen Zwecks seine Einwilligung hierzu verweigern würde,
4.
die Daten für den anderen Zweck auf Grund einer durch Rechtsvorschrift festgelegten Auskunfts- oder Meldepflicht beim Betroffenen erhoben werden dürfen und der Betroffene dieser Pflicht nicht nachgekommen ist,
5.
Angaben des Betroffenen überprüft werden sollen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
6.
Angaben des Betroffenen zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben verglichen werden sollen,
7.
es zur Entscheidung über die Verleihung von staatlichen Orden oder Ehrenzeichen oder von sonstigen staatlichen Ehrungen erforderlich ist,
8.
die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle die Daten veröffentlichen dürfte,
9.
es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit oder Ordnung oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
10.
es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinn des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinn des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist oder
11.
es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, der Erstellung von Geschäftsstatistiken, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen für die speichernde Stelle oder der Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung dient.2Das gilt auch für die Verarbeitung und Nutzung zu Ausbildungs- oder Prüfungszwecken durch die speichernde Stelle, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.
(4) Personenbezogene Daten in automatisierten Dateien im Sinn des Art. 2 Abs. 3 sowie personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verarbeitet oder genutzt werden.
(5) 1Sind mit personenbezogenen Daten, die nach den Absätzen 1 bis 3 durch Weitergabe innerhalb der speichernden Stelle genutzt werden dürfen, weitere personenbezogene Daten des Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Weitergabe auch dieser Daten zulässig, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen oder Dritter entgegenstehen.2Eine darüber hinausgehende Nutzung oder Verarbeitung dieser Daten ist nur zulässig, soweit die Daten auch hierfür hätten weitergegeben werden dürfen.
Art. 18
Datenübermittlung an öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden Stelle liegenden Aufgaben erforderlich ist und für Zwecke erfolgt, für die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulässig wäre.
(2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.2Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung.3In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht.4 Art. 8 Abs. 3 bleibt unberührt.
(3) 1Die empfangende Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind.2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur zulässig, wenn für diese Zwecke eine Nutzung nach Art. 17 Abs. 2 bis 4 zulässig wäre.
(4) 1Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen oder Dritter entgegenstehen.2Eine Nutzung oder Verarbeitung dieser Daten durch den Empfänger ist nur zulässig, soweit die Daten auch hierfür hätten übermittelt werden dürfen.
Art. 19
Datenübermittlung an nicht-öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn
1.
sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulassen würden oder
2.
die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten.2Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Freistaates Bayern, eines anderen Landes oder des Bundes Nachteile bereiten würde.
(4) 1Die nicht-öffentliche Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind.2Sie ist von der übermittelnden Stelle darauf hinzuweisen.3Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 auch für die anderen Zwecke zulässig wäre und die übermittelnde Stelle zugestimmt hat.
Art. 20
Datenübermittlung an öffentlich-rechtliche Religionsgesellschaften
Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung von Art. 18 zulässig, wenn sichergestellt ist, daß bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.
Art. 21
Datenübermittlung an Stellen im Ausland
(1) Für die Übermittlung personenbezogener Daten an öffentliche Stellen innerhalb der Mitgliedstaaten der Europäischen Union oder der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder an Organe und Einrichtungen der Europäischen Union gelten Art. 18 Abs. 1, Art. 22 und 23 sowie für die Übermittlung an nicht-öffentliche Stellen innerhalb der Mitgliedstaaten der Europäischen Union oder der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum Art. 19 Abs. 1 und 3, soweit nicht besondere Rechtsvorschriften anzuwenden sind.
(2) 1Für die Übermittlung personenbezogener Daten an Stellen außerhalb der Mitgliedstaaten der Europäischen Union und der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum sowie an über- und zwischenstaatliche Stellen gelten Art. 19 Abs. 1 und 3, Art. 22 und 23 entsprechend nach Maßgabe der Sätze 2 bis 5, soweit nicht besondere Rechtsvorschriften anzuwenden sind.2Die Datenübermittlung ist nur zulässig, wenn das Drittland oder die über- oder zwischenstaatliche Stelle ein angemessenes Datenschutzniveau gewährleistet.3Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei Datenübermittlungen von Bedeutung sind; insbesondere werden die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung oder Nutzung, das Herkunfts- und das Endbestimmungsland, die in dem Drittland geltenden Rechtsvorschriften sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt.4Ist kein angemessenes Datenschutzniveau gewährleistet, so ist die Übermittlung nur zulässig, wenn
1.
die Betroffenen ihre Einwilligung gegeben haben,
2.
die Übermittlung für die Erfüllung eines Vertrags zwischen der übermittelnden Stelle und den Betroffenen oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung der Betroffenen getroffen worden sind, erforderlich ist,
3.
die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse Betroffener von der übermittelnden Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4.
die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5.
die Übermittlung für die Wahrung lebenswichtiger Interessen Betroffener erforderlich ist,
6.
die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind oder
7.
die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; diese Garantien können sich insbesondere aus Vertragsklauseln ergeben.
5Datenübermittlungen, die nach Satz 4 Nr. 7 vorgenommen werden, sind dem Staatsministerium des Innern, für Bau und Verkehr mitzuteilen.
(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.
Art. 21a
Videobeobachtung und Videoaufzeichnung (Videoüberwachung)
(1) 1Mit Hilfe von optisch-elektronischen Einrichtungen sind die Erhebung (Videobeobachtung) und die Speicherung (Videoaufzeichnung) personenbezogener Daten zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,
1.
um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2.
um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen
zu schützen.
2Es dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden.
(2) Die Videoüberwachung und die erhebende Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Daten dürfen für den Zweck verarbeitet und genutzt werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über die Tatsache der Speicherung entsprechend Art. 10 Abs. 8 zu benachrichtigen.
(5) Die Videoaufzeichnungen und daraus gefertigte Unterlagen sind spätestens drei Wochen nach der Datenerhebung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.
(6) 1 Art. 26 bis 28 gelten für die Videoaufzeichnung entsprechend.2Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz einer Videoaufzeichnung neben den in Art. 26 Abs. 3 Satz 1 genannten Beschreibungen die räumliche Ausdehnung und Dauer der Videoaufzeichnung, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen.
Art. 22
Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat.2Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn sie von der zur Verschwiegenheit verpflichteten Person oder Stelle auch für diesen Zweck übermittelt werden dürften und die zur Verschwiegenheit verpflichtete Person oder Stelle in die Zweckänderung eingewilligt hat.3Die Übermittlung an eine nicht-öffentliche Stelle ist darüber hinaus nur zulässig, wenn die zur Verschwiegenheit verpflichtete Person oder Stelle eingewilligt hat.
Art. 23
Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, übermittelte Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschriften der Absätze 3 und 4 einzuhalten.
(3) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist.2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können.3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn der Betroffene eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.
Art. 24
(aufgehoben)
Art. 25
Sicherstellung des Datenschutzes, behördliche Datenschutzbeauftragte
(1) Die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts sowie die privatrechtlichen Vereinigungen, auf die dieses Gesetz gemäß Art. 2 Abs. 2 Anwendung findet, haben für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.
(2) 1Öffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, haben einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen.2Mehrere öffentliche Stellen können gemeinsam einen ihrer Beschäftigten bestellen; bei Staatsbehörden kann die Bestellung auch durch eine höhere Behörde erfolgen.
(3) 1Die behördlichen Datenschutzbeauftragten sind in dieser Eigenschaft der Leitung der öffentlichen Stelle oder deren ständigen Vertretung unmittelbar zu unterstellen; bei obersten Dienstbehörden können sie auch dem Ministerialdirektor (Amtschef), in Gemeinden einem berufsmäßigen Gemeinderatsmitglied unterstellt werden.2Sie sind in ihrer Eigenschaft als behördliche Datenschutzbeauftragte weisungsfrei.3Sie können sich in Zweifelsfällen unmittelbar an den Landesbeauftragten für den Datenschutz wenden.4Sie dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden.5Sie sind im erforderlichen Umfang von der Erfüllung sonstiger dienstlicher Aufgaben freizustellen.6Die Beschäftigten öffentlicher Stellen können sich in Angelegenheiten des Datenschutzes an ihre behördlichen Datenschutzbeauftragten wenden.
(4) 1Die behördlichen Datenschutzbeauftragten haben die Aufgabe, auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz in der öffentlichen Stelle hinzuwirken.2Sie können die zur Überwachung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz erforderliche Einsicht in Dateien und Akten der öffentlichen Stelle nehmen, soweit nicht gesetzliche Regelungen entgegenstehen; sie dürfen Akten mit personenbezogenen Daten, die dem Arztgeheimnis unterliegen, Akten über die Sicherheitsüberprüfung und nicht in Dateien geführte Personalakten nur mit Einwilligung der Betroffenen einsehen.3Sie sind zur Verschwiegenheit über Personen verpflichtet, die ihnen in ihrer Eigenschaft als behördliche Datenschutzbeauftragte Tatsachen anvertraut haben, sowie über diese Tatsachen selbst, soweit sie nicht davon durch diese Personen befreit werden.
Art. 26
Datenschutzrechtliche Freigabe automatisierter Verfahren
(1) 1Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle.2Eine datenschutzrechtliche Freigabe nach Satz 1 ist nicht erforderlich für Verfahren, welche durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern bereits datenschutzrechtlich freigegeben worden sind, soweit diese Verfahren unverändert übernommen werden; das Gleiche gilt für Verfahren, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind.3Für wesentliche Änderungen von Verfahren gelten die Sätze 1 und 2 entsprechend.
(2)(3) Die datenschutzrechtliche Freigabe hat folgende Angaben zu enthalten:
1.
Bezeichnung des Verfahrens,
2.
Zweck und Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung,
3.
Art der gespeicherten Daten,
4.
Kreis der Betroffenen,
5.
Art der regelmäßig zu übermittelnden Daten und deren Empfänger,
6.
Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung,
7.
verarbeitungs- und nutzungsberechtigte Personengruppen,
8.
im Fall des Art. 6 Abs. 1 bis 3 die Auftragnehmer,
9.
Empfänger vorgesehener Datenübermittlungen in Drittländer.
1Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den in Absatz 2 aufgeführten Angaben zur Verfügung zu stellen; zugleich ist eine allgemeine Beschreibung der Art der für das Verfahren eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach Art. 7 und 8 beizugeben.2Die behördlichen Datenschutzbeauftragten erteilen die datenschutzrechtliche Freigabe, soweit nicht schon eine datenschutzrechtliche Freigabe nach Absatz 1 Sätze 2 und 3 vorliegt.3Wird ihren datenschutzrechtlichen Einwendungen nicht Rechnung getragen, so legen sie die Entscheidung über die datenschutzrechtliche Freigabe den Personen vor, denen sie nach Art. 25 Abs. 3 Satz 1 unterstellt sind; bei den in Art. 15 Abs. 7 genannten Daten haben sie zuvor eine Stellungnahme des Landesbeauftragten für den Datenschutz einzuholen.
Art. 27
Verfahrensverzeichnis
(1) Die behördlichen Datenschutzbeauftragten führen ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden.
(2) In dem Verzeichnis sind für jedes automatisierte Verfahren die in Art. 26 Abs. 2 genannten Angaben fest zu halten.
(3) 1Das Verfahrensverzeichnis kann von jedem kostenfrei eingesehen werden.2Dies gilt nicht bei Behörden der Staatsanwaltschaft, bei Justizvollzugsanstalten, bei Führungsaufsichtsstellen, bei Stellen der Gerichts- und Bewährungshilfe und bei Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern.3 Art. 10 Abs. 5 gilt entsprechend.
Art. 27a
Gemeinsame Verfahren
(1) Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung oder Nutzung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen (gemeinsame Verfahren) ist nur zulässig, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen nach Art. 7 Risiken für die Rechte und Freiheiten der Betroffenen vermieden werden können.
(2) Die Betroffenen können ihre Rechte gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle für die Datenverarbeitung verantwortlich ist.
(3) 1Die beteiligten Stellen haben vorab festzulegen und zu dokumentieren, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist.2Im Rahmen der technischen und organisatorischen Maßnahmen nach Art. 7 ist insbesondere sicherzustellen, dass der Zugriff auf Daten nur denjenigen Bediensteten möglich ist, die für diese Maßnahmen zuständig sind.
(4) Gemeinsame Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.
Art. 28
Ausnahmen von der Freigabepflicht, Rechtsverordnungsermächtigung
(1) Für automatisierte Verfahren,
1.
die dem internen Verwaltungsablauf dienen,
2.
die ausschließlich Zwecken der Datensicherung und Datenschutzkontrolle dienen oder
3.
deren einziger Zweck das Führen eines Registers ist, das auf Grund einer Rechtsvorschrift zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,
ist keine Freigabe erforderlich.
(2) 1Die Bestellung behördlicher Datenschutzbeauftragter, die datenschutzrechtliche Freigabe und die Führung eines Verfahrensverzeichnisses sind nicht erforderlich, wenn in öffentlichen Stellen ausschließlich automatisierte Verfahren eingesetzt werden, von denen unter Berücksichtigung der erhobenen, verarbeiteten oder genutzten Daten eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen unwahrscheinlich ist.2Die Staatsministerien regeln für ihren Geschäftsbereich und für die unter ihrer Aufsicht stehenden juristischen Personen des öffentlichen Rechts durch Rechtsverordnung, bei welchen öffentlichen Stellen die Voraussetzungen des Satzes 1 erfüllt sind.3In der Rechtsverordnung sind die in Art. 26 Abs. 2 genannten Angaben fest zu halten; diese Angaben sind nicht erforderlich für automatisierte Verfahren, die dem internen Verwaltungsablauf dienen, wie Registraturverfahren, ausschließlich der Erstellung von Texten dienende Verfahren, Kommunikationsverzeichnisse und Anschriftenverzeichnisse für die Versendung an die Betroffenen.
Art. 29
Ernennung und Rechtsstellung
(1) 1Der Landtag wählt auf Vorschlag der Staatsregierung einen Landesbeauftragten für den Datenschutz.2Die Ernennung, Entlassung und Abberufung erfolgt durch den Präsidenten des Landtags.3Der Landesbeauftragte für den Datenschutz ist Beamter auf Zeit und wird für die Dauer von sechs Jahren berufen.4Wiederwahl ist zulässig.5Vor Ablauf seiner Amtszeit kann der Landesbeauftragte für den Datenschutz auf seinen Antrag entlassen werden; ohne seine Zustimmung kann er vor Ablauf seiner Amtszeit nur mit Zweidrittelmehrheit der Mitgliederzahl des Landtags abberufen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt.
(2) 1Der Landesbeauftragte für den Datenschutz ist in Ausübung seines Amts unabhängig und nur dem Gesetz unterworfen; er kann sich jederzeit an den Landtag wenden.2Er untersteht der Dienstaufsicht des Präsidenten des Landtags.3Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinn des § 96 der Strafprozeßordnung und des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes; die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken sowie die Zeugenaussage bedürfen der Zustimmung des Präsidenten des Landtags.
(3) 1Der Landesbeauftragte für den Datenschutz bedient sich einer Geschäftsstelle, die beim Landtag eingerichtet wird; Verwaltungsangelegenheiten der Geschäftsstelle werden vom Landtagsamt wahrgenommen, soweit sie nicht der Zuständigkeit des Landesbeauftragten für den Datenschutz unterliegen.2Die Stellen sind im Einvernehmen mit dem Landesbeauftragten für den Datenschutz zu besetzen.3Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit dem Landesbeauftragten für den Datenschutz versetzt, abgeordnet oder umgesetzt werden.4Der Landesbeauftragte für den Datenschutz ist Dienstvorgesetzter dieser Mitarbeiter.5Sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen gebunden und unterstehen ausschließlich seiner Dienstaufsicht.
(4) Die Personal- und Sachmittel der Geschäftsstelle werden im Einzelplan des Landtags gesondert ausgewiesen.
Art. 30
Aufgaben
(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz.
(2) 1Die Kontrolle durch den Landesbeauftragten für den Datenschutz erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung.2Akten über die Sicherheitsprüfung unterliegen seiner Kontrolle nicht, wenn Betroffene der Kontrolle der auf sie bezogenen Daten widersprochen haben.3Unbeschadet des Kontrollrechts des Landesbeauftragten für den Datenschutz unterrichtet die speichernde Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht.4Der Widerspruch ist schriftlich gegenüber der speichernden Stelle zu erklären.
(3) Die Kontrolle durch den Landesbeauftragten für den Datenschutz erstreckt sich nicht auf personenbezogene Daten, die der Kontrolle durch die Kommission nach Art. 2 des Gesetzes zur Ausführung des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten für den Datenschutz, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen und in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.
(4) 1Die Kontrolle durch den Landesbeauftragten für den Datenschutz über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Verfolgung von Straftaten ist erst nach Abschluß des Strafverfahrens zulässig.2Sie erstreckt sich nicht auf eine Datenerhebung, die gerichtlich überprüft wurde.3Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend.
(5) 1Der Landesbeauftragte für den Datenschutz erstattet dem Landtag und der Staatsregierung alle zwei Jahre einen Bericht über seine Tätigkeit.2Er gibt dabei auch einen Überblick über die technischen und organisatorischen Maßnahmen nach Art. 7 und regt Verbesserungen des Datenschutzes an.3Der Bericht ist in der Datenschutzkommission vorzuberaten.
(6) Der Landtag oder die Staatsregierung können den Landesbeauftragten für den Datenschutz ersuchen, bestimmte Vorgänge aus seinem Aufgabenbereich zu überprüfen.
(7) Der Landesbeauftragte für den Datenschutz und das Landesamt für Datenschutzaufsicht tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus und unterstützen sich gegenseitig bei ihrer Aufgabenwahrnehmung.
(8) Auf die Tätigkeit des Landesbeauftragten für den Datenschutz finden Art. 2 bis 6 des Bayerischen E-Government-Gesetzes Anwendung.
Art. 31
Beanstandungen
(1) 1Der Landesbeauftragte für den Datenschutz beanstandet festgestellte Verstöße gegen dieses Gesetz oder andere Vorschriften über den Datenschutz und fordert ihre Behebung in angemessener Frist.2Der Landesbeauftragte für den Datenschutz verständigt von der Beanstandung die nach 25 Abs. 1 für die Sicherstellung des Datenschutzes verantwortliche Stelle.3Bei juristischen Personen des öffentlichen Rechts, die der Aufsicht des Freistaates Bayern unterstehen, verständigt er darüber hinaus auch die Aufsichtsbehörde.
(2) 1Wird die Beanstandung nicht behoben, so fordert der Landesbeauftragte für den Datenschutz von der für die Sicherstellung des Datenschutzes nach Art. 25 Abs. 1 verantwortlichen Stelle binnen angemessener Frist geeignete Maßnahmen.2Absatz 1 Satz 3 gilt entsprechend.3Hat dies nach Ablauf dieser Frist keinen Erfolg, verständigt er den Landtag und die Staatsregierung.
(3) Der Landesbeauftragte für den Datenschutz kann von einer Beanstandung absehen, insbesondere wenn es sich um unerhebliche oder inzwischen behobene Mängel handelt.
Art. 32
Unterstützung durch die öffentlichen Stellen
(1) 1Der Landesbeauftragte für den Datenschutz ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen.2Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Einsicht vorzulegen.3Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten erheben, verarbeiten oder nutzen.
(2) 1Für
1.
Einrichtungen der Rechtspflege, soweit sie strafverfolgend, strafvollstreckend oder strafvollziehend tätig werden,
2.
Behörden, soweit sie Steuern verwalten oder strafverfolgend oder in Bußgeldverfahren tätig werden und
3.
Polizei und Verfassungsschutzbehörden
gilt Absatz 1 nur gegenüber dem Landesbeauftragten für den Datenschutz selbst und gegenüber den von ihm schriftlich besonders damit Beauftragten.
2Die Sätze 2 und 3 des Absatzes 1 gelten für diese Stellen nicht, soweit das jeweils zuständige Staatsministerium im Einzelfall feststellt, daß die Auskunft oder Einsicht die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährden würde.
(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten für den Datenschutz rechtzeitig über Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über Planungen bedeutender Automationsvorhaben, sofern sie die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen.
(4) Die öffentlichen Stellen sind verpflichtet, die nach Art. 27 zu führenden Verfahrensverzeichnisse dem Landesbeauftragten für den Datenschutz auf Anforderung zuzuleiten.
Art. 33
Datenschutzkommission
(1) 1Beim Landtag wird eine Datenschutzkommission gebildet.2Sie besteht aus zehn Mitgliedern.3Der Landtag bestellt sechs Mitglieder aus seiner Mitte nach Maßgabe der Stärke seiner Fraktionen; dabei wird das Verfahren nach Sainte-Laguë/Schepers angewandt.4Für Fraktionen, die hiernach nicht zum Zuge kommen, kann der Landtag jeweils ein weiteres Mitglied bestellen, auch wenn sich dadurch die Zahl der Mitglieder nach Satz 2 erhöht.5Ferner bestellt der Landtag jeweils ein weiteres Mitglied auf Vorschlag
1.
der Staatsregierung,
2.
der kommunalen Spitzenverbände,
3.
des Staatsministeriums für Gesundheit und Pflege aus dem Bereich der gesetzlichen Sozialversicherungsträger und
4.
des Verbands freier Berufe e.V. in Bayern.
6Für jedes Mitglied der Datenschutzkommission wird zugleich ein stellvertretendes Mitglied bestellt.
(2) Die Mitglieder der Datenschutzkommission werden für fünf Jahre, die Mitglieder des Landtags für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.
(3) 1 Die Datenschutzkommission unterstützt den Landesbeauftragten für den Datenschutz in seiner Arbeit.2 Sie gibt sich eine Geschäftsordnung.
(4) 1 Die Datenschutzkommission tritt auf Antrag jedes ihrer Mitglieder oder des Landesbeauftragten für den Datenschutz zusammen.2Den Vorsitz führt ein Mitglied des Landtags.
(5) 1Der Landesbeauftragte für den Datenschutz nimmt an allen Sitzungen teil.2Er verständigt die Datenschutzkommission von Beanstandungen nach Art. 31 Abs. 1.3Vor Maßnahmen nach Art. 31 Abs. 2 ist der Datenschutzkommission Gelegenheit zur Stellungnahme zu geben.
(6) 1Die Mitglieder der Datenschutzkommission haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren.2Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(7) Die Mitglieder der Datenschutzkommission erhalten vom Landesbeauftragten für den Datenschutz Reisekostenvergütung in entsprechender Anwendung der Bestimmungen des Bayerischen Reisekostengesetzes.

Sechster Abschnitt Aufsichtsbehörde für den Datenschutz bei nicht-öffentlichen Stellen

Art. 34
Landesamt für Datenschutzaufsicht
(1) Zuständige Aufsichtsbehörde gemäß § 38 Abs. 6 des Bundesdatenschutzgesetzes für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes ist das Landesamt für Datenschutzaufsicht.
(2) Sitz des Landesamts für Datenschutzaufsicht ist Ansbach.
Art. 35
Unabhängigkeit der Aufsichtsbehörde
(1) 1Der Präsident des Landesamts für Datenschutzaufsicht ist Beamter auf Zeit und wird durch die Staatsregierung für die Dauer von fünf Jahren ernannt.2Die Wiederernennung ist zulässig.3Zum Präsidenten des Landesamts für Datenschutzaufsicht kann nur ernannt werden, wer die Befähigung zum Richteramt besitzt und über die erforderliche Verwaltungserfahrung verfügt.4Wird ein Beamter oder ein Richter auf Lebenszeit von der Staatsregierung zum Präsidenten des Landesamts für Datenschutzaufsicht ernannt, gilt er für die Dauer der Amtszeit als ohne Bezüge beurlaubt.5Der Präsident des Landesamts für Datenschutzaufsicht kann ohne seine Zustimmung vor Ablauf der Amtszeit nur entlassen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt.
(2) 1Der Präsident des Landesamts für Datenschutzaufsicht ist in Ausübung des Amts unabhängig und nur dem Gesetz unterworfen.2Für die Ausübung der Dienstaufsicht gegenüber dem Präsidenten des Landesamts für Datenschutzaufsicht gelten die für den Präsidenten des Obersten Rechnungshofs anzuwendenden Vorschriften entsprechend.3Das Landesamt für Datenschutzaufsicht ist oberste Dienstbehörde im Sinn des § 96 der Strafprozessordnung und des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes.
(3) 1Die Haushaltsmittel des Landesamts für Datenschutzaufsicht werden im Einzelplan des Staatsministeriums des Innern, für Bau und Verkehr gesondert ausgewiesen.2Die Erhebung von Kosten (Gebühren und Auslagen) durch das Landesamt für Datenschutzaufsicht bestimmt sich nach dem Kostengesetz.

Siebter Abschnitt Allgemeines Auskunftsrecht

Art. 36
Recht auf Auskunft
(1) 1Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und
1.
bei personenbezogenen Daten eine Übermittlung an nicht-öffentliche Stellen zulässig ist und
2.
Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.
2Die Auskunft kann verweigert werden, soweit
1.
Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
2.
sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
3.
ein unverhältnismäßiger Aufwand entsteht.
(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.
(3) Ausgenommen von der Auskunft nach Abs. 1 sind
1.
Verschlusssachen,
2.
einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
3.
zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern der Betroffene nicht eingewilligt hat.
(4) 1Öffentliche Stellen im Sinn des Abs. 1 sind nicht
1.
der Landtag, der Oberste Rechnungshof und die Staatlichen Rechnungsprüfungsämter, der Bayerische Kommunale Prüfungsverband, der Landesbeauftragte für den Datenschutz und das Landesamt für Datenschutzaufsicht,
2.
die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
3.
die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
4.
die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
5.
Finanzbehörden in Verfahren nach der Abgabenordnung,
6.
Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
7.
die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
8.
die kommunalen Spitzenverbände.
2Datei- und Aktenbestandteile der in Satz 1 genannten oder für Angelegenheiten im Sinn von Art. 2 Abs. 4 zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.
(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.

Achter Abschnitt Ordnungswidrigkeiten, Strafvorschrift, Schlußvorschriften

Art. 37
Ordnungswidrigkeiten, Strafvorschrift
(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer unbefugt von diesem Gesetz oder von nach Art. 2 Abs. 7 diesem Gesetz vorgehenden Rechtsvorschriften geschützte personenbezogene Daten, die nicht offenkundig sind,
1.
speichert, verändert oder übermittelt,
2.
zum Abruf mittels automatisierten Verfahrens bereithält oder
3.
abruft oder sich oder einem anderen aus Dateien verschafft.
(2) Ferner kann mit Geldbuße bis zu dreißigtausend Euro belegt werden, wer
1.
die Übermittlung von durch dieses Gesetz oder durch nach Art. 2 Abs. 7 diesem Gesetz vorgehenden Rechtsvorschriften geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2.
entgegen Art. 19 Abs. 4 Satz 1, Art. 22 Satz 1 oder Art. 23 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt oder
3.
entgegen Art. 23 Abs. 3 Satz 3 die in Art. 23 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.
(3) 1Wer eine der in den Absätzen 1 und 2 bezeichneten Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.2Die Tat wird nur auf Antrag verfolgt.3Antragsberechtigt sind die Betroffenen, die speichernde öffentliche Stelle und der Landesbeauftragte für den Datenschutz.
Art. 38
Inkrafttreten
1Dieses Gesetz tritt am 1. März 1994 in Kraft.2Abweichend von Satz 1 treten Art. 8 Abs. 3 Sätze 4 und 5 erst am 1. März 1995 in Kraft.
Art. 39
(nicht mehr belegt)
München, den 23. Juli 1993
Der Bayerische Ministerpräsident
Dr. Edmund Stoiber