Archiv ¹⁹⁹³

Teil 1
Allgemeine Vorschriften

Art. 1 Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt für die Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Für den Landtag gilt dieses Gesetz nur, soweit er in Verwaltungsangelegenheiten tätig wird. Für den Obersten Rechnungshof und die Gerichte gilt Teil 2 Kapitel 5 nur, soweit diese in Verwaltungsangelegenheiten tätig werden. Art. 38 gilt auch für nicht öffentliche Stellen, soweit die Verarbeitung nicht ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erfolgt.

(2) Öffentliche Stellen sind auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen - ungeachtet der Beteiligung nicht öffentlicher Stellen - eine oder mehrere der in Abs. 1 Satz 1 genannten juristischen Personen des öffentlichen Rechts unmittelbar oder durch eine solche Vereinigung beteiligt sind. Öffentlich rechtliche Finanzdienstleistungsunternehmen sowie ihre Zusammenschlüsse und Verbände gelten als nicht öffentliche Stellen.

(3) Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. Die Zuständigkeit des Landesbeauftragten für den Datenschutz (Landesbeauftragter) nach Art. 15 bleibt hiervon unberührt.

(4) Soweit nicht öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten für sie die Vorschriften für öffentliche Stellen.

(5) Soweit besondere Rechtsvorschriften über den Datenschutz oder über Verfahren der Rechtspflege auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.

(6) Die Vorschriften dieses Gesetzes gelten nicht für die Verarbeitung personenbezogener Daten zur Ausübung des Begnadigungsrechts.

Teil 2
Verarbeitung personenbezogener Daten

Kapitel 1
Allgemeines

Art. 2 Anwendung der Verordnung (EU) 2016/679

Für die Verarbeitung personenbezogener Daten durch öffentliche Stellen gelten vorbehaltlich anderweitiger Regelungen die Vorschriften der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO) auch außerhalb des sachlichen Anwendungsbereichs des Art. 2 Abs. 1 und 2 DSGVO. Die Art. 30, 35 und 36 DSGVO gelten nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Kapitel 2
Grundsätze der Verarbeitung

Art. 3 Sicherstellung des Datenschutzes, Verantwortlicher
(zu Art. 4 Nr. 7 DSGVO)

(1) Die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts sowie die privatrechtlichen Vereinigungen, auf die dieses Gesetz gemäß Art. 1 Abs. 1 und 2 Anwendung findet, haben für ihren Bereich die Ausführung der DSGVO, dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.

(2) Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist die für die Verarbeitung zuständige öffentliche Stelle, soweit nichts anderes bestimmt ist.

Art. 4 Rechtmäßigkeit der Verarbeitung
(zu Art. 6 Abs. 1 bis 3 DSGVO)

(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.

(2) Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind bei der betroffenen Person mit ihrer Kenntnis zu erheben.Bei Dritten dürfen personenbezogene Daten erhoben werden, wenn

1. dies durch Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird,
2. die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht,
3. die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht oder
4. die Daten von einer anderen öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.

In den Fällen des Satzes 2 Nr. 2 und 3 dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. Werden Daten bei der betroffenen Person ohne ihre Kenntnis erhoben, gilt Satz 2 Nr. 1 und 2 entsprechend.

Art. 5 Übermittlung
(zu Art. 6 Abs. 2 bis 4 DSGVO)

(1) Eine Übermittlung personenbezogener Daten ist zulässig, wenn

1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
2. der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.

(2) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person oder Dritter offensichtlich überwiegen.

(3) Wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gilt Art. 28 Abs. 1 bis 4, 9 und 10 DSGVO hierfür entsprechend. Kann der nach Art. 28 Abs. 3 DSGVO erforderliche Vertrag oder das andere Rechtsinstrument vor der Verarbeitung nicht schriftlich oder elektronisch abgefasst werden, muss dies unverzüglich nachgeholt werden.

(4) Werden personenbezogene Daten an eine andere öffentliche Stelle auf deren Ersuchen übermittelt, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. Die ersuchte Stelle übermittelt Daten nur, wenn das Ersuchen im Rahmen der Aufgaben des Empfängers liegt. Im Übrigen trägt sie die Verantwortung nur dann, wenn besonderer Anlass zur Prüfung der Zulässigkeit besteht.

Art. 6 Zweckbindung
(zu Art. 6 Abs. 3 und 4 DSGVO)

(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten dürfen, dürfen diese auch zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, zur Erstellung von Geschäftsstatistiken, zur Rechnungsprüfung, zur Durchführung eigener Organisationsuntersuchungen oder zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung und zur Gewährleistung der Netz- und Informationssicherheit sowie, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen, zu eigenen Ausbildungs- oder Prüfungszwecken verarbeiten.

(2) Eine Verarbeitung zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, ist unbeschadet der Bestimmungen der DSGVO zulässig, wenn

1. offensichtlich ist, dass die Verarbeitung im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung hierzu verweigern würde,
2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte,
3. die Verarbeitung erforderlich ist
   1. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
   2. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
   3. zur Durchführung wissenschaftlicher oder historischer Forschung, das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
   4. zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person,
   5. zur Überprüfung von Angaben der betroffenen Person, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
   6. zum Vergleich von Angaben der betroffenen Person zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben oder
   7. zur Sicherung des Steuer- und Zollaufkommens.

(3) Art. 9 DSGVO und die Art. 8 und 24 Abs. 3 bleiben unberührt.

(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, dürfen nicht zu anderen Zwecken verarbeitet werden.

Art. 7 Besondere automatisierte Verfahren
(zu Art. 6 Abs. 3, Art. 26 DSGVO)

(1) Öffentliche Stellen dürfen automatisierte Verfahren, welche die Übermittlung personenbezogener Daten durch Abruf ermöglichen, nur einrichten, soweit

1. der Abruf aus Datenbeständen erfolgt, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen, oder
2. das Verfahren die Rechte und Freiheiten der betroffenen Personen und die Aufgaben der beteiligten Stellen angemessen berücksichtigt.

Für Abrufe nach Satz 1 Nr. 2

1. trägt der Empfänger die Verantwortung für die Zulässigkeit des einzelnen Abrufs,
2. hat die einrichtende Stelle zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann; sie prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.

(2) Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.

Art. 8 Verarbeitung besonderer Kategorien personenbezogener Daten
(zu Art. 9 DSGVO)

(1) Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie erforderlich ist

1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder auf Grund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, oder
5. für die in Art. 6 Abs. 2 Nr. 3 Buchst. a bis c genannten Zwecke.

Bei Verarbeitungen nach Satz 1 bleibt Art. 6 Abs. 1 unberührt.

(2) Bei der Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. Diese Maßnahmen sind in dem Verzeichnis nach Art. 30 DSGVO darzustellen.

(3) Art. 26 Abs. 2 und Art. 27 Abs. 2 bleiben unberührt.

Kapitel 3
Rechte der betroffenen Person

Art. 9 Informationspflicht
(zu Art. 13, 14 DSGVO)

(1) Eine Pflicht zur Information der betroffenen Person besteht unbeschadet sonstiger Bestimmungen dann nicht, soweit und solange ein Fall des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d vorliegt.

(2) In den Fällen des Art. 4 Abs. 2 Satz 2 ist eine nicht öffentliche Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

Art. 10 Auskunftsrecht der betroffenen Person
(zu Art. 15 DSGVO)

(1) Ob einer Person Auskunft erteilt wird, dass personenbezogene Daten an die Staatsanwaltschaft, Polizei, Finanzverwaltung, Organe der überörtlichen Rechnungsprüfung, den Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder andere Behörden des Bundesministeriums der Verteidigung übermittelt wurden, entscheidet der Verantwortliche im Einvernehmen mit den Stellen, an die diese Daten übermittelt wurden. Dies gilt auch für die Auskunft über personenbezogene Daten, die dem Verantwortlichen von einer der in Satz 1 genannten Stellen übermittelt wurden.

(2) Unbeschadet des Abs. 1 unterbleibt die Auskunft, soweit

1. die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde,
2. die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union - einschließlich Währungs-, Haushalts- und Steuerangelegenheiten - gefährden würde,
3. personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen,
4. personenbezogene Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist oder
5. personenbezogene Daten weder automatisiert verarbeitet werden noch in einem Dateisystem gespeichert sind oder gespeichert werden sollen und
   1. die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, oder
   2. der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.

(3) Wird die Auskunft nicht oder nur eingeschränkt erteilt,

1. sind die Gründe dafür aktenkundig zu machen,
2. ist die betroffene Person unter Darlegung der Gründe zu unterrichten, soweit dies nicht einem der in Abs. 2 Nr. 1 bis 3 genannten Zwecke zuwiderliefe, und
3. ist auf Verlangen der betroffenen Person uneingeschränkte Auskunft der Aufsichtsbehörde zu erteilen.

Die Aufsichtsbehörde darf der betroffenen Person ohne Zustimmung der in Abs. 1 Satz 1 genannten Stellen keine Informationen mitteilen, die Rückschlüsse auf deren Erkenntnisstand zulassen.

(4) Art. 25 Abs. 4, Art. 26 Abs. 3 und Art. 27 Abs. 4 bleiben unberührt.

Kapitel 4
Verantwortlicher und Auftragsverarbeiter

Art. 11 Datengeheimnis
(zu Art. 32 Abs. 4 DSGVO)

Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das Datengeheimnis besteht nach dem Ende ihrer Tätigkeit fort.

Art. 12 Behördliche Datenschutzbeauftragte
(zu Art. 35 Abs. 2, Art. 37 bis 39 DSGVO)

(1) Behördliche Datenschutzbeauftragte erhalten insbesondere

1. Zugang zu dem Verzeichnis nach Art. 30 DSGVO und
2. Gelegenheit zur Stellungnahme vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden.

Art. 24 Abs. 5 bleibt unberührt.

(2) Behördliche Datenschutzbeauftragte dürfen Tatsachen, die ihnen in Ausübung ihrer Funktion anvertraut wurden, und die Identität der mitteilenden Personen nicht ohne deren Einverständnis offenbaren.

(3) Behördliche Datenschutzbeauftragte staatlicher Behörden können durch eine höhere Behörde bestellt werden.

Art. 13 Benachrichtigung bei Datenschutzverletzungen (zu Art. 34 DSGVO)

Die Benachrichtigung kann auch unter den Voraussetzungen des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d unterbleiben.

Art. 14 Datenschutz-Folgenabschätzung
(zu Art. 35 DSGVO)

(1) Eine Datenschutz-Folgenabschätzung (Folgenabschätzung) durch den Verantwortlichen kann unterbleiben, soweit

1. eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Staatsministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
2. der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Folgenabschätzung erfolgt ist, es sei denn, dass in der Rechtsvorschrift etwas anderes bestimmt ist.

(2) Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Art. 35 Abs. 1 DSGVO bei diesem Verfahren vorliegen, die Folgenabschätzung nach den Art. 35 und 36 DSGVO durchführen. Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.

Kapitel 5
Unabhängige Aufsichtsbehörden

Abschnitt 1
Landesbeauftragter für den Datenschutz

Art. 15 Ernennung und Aufgaben ²³
(zu Art. 51 bis 58 DSGVO)

(1) Der Landesbeauftragte nach Art. 33a der Verfassung ist zuständige Aufsichtsbehörde nach Art. 51 DSGVO und überwacht die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. Der Landesbeauftragte ist Beamter auf Zeit. Die Ernennung, Entlassung und Abberufung erfolgt durch den Präsidenten des Landtags.

(2) Die Aufsicht durch den Landesbeauftragten erstreckt sich nicht auf Akten zu einer Sicherheitsüberprüfung, soweit die betroffenen Personen der Aufsicht schriftlich gegenüber dem Verantwortlichen widersprochen haben. Der Verantwortliche unterrichtet die betroffenen Personen in allgemeiner Form über ihr Widerspruchsrecht nach Satz 1.

(3) Der Landtag oder die Staatsregierung können den Landesbeauftragten unbeschadet seiner Unabhängigkeit ersuchen, zu bestimmten Vorgängen aus seinem Aufgabenbereich Stellung zu nehmen.

(4) Der Landesbeauftragte bedient sich einer Geschäftsstelle, die beim Landtag eingerichtet wird. Verwaltungsangelegenheiten der Geschäftsstelle werden vom Landtagsamt wahrgenommen, soweit sie nicht der Zuständigkeit des Landesbeauftragten unterliegen.

Art. 16 Ergänzende Rechte und Befugnisse
(zu Art. 57, 58 DSGVO)

(1) Der Landesbeauftragte ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Verarbeitung personenbezogener Daten zur Einsicht vorzulegen. Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten verarbeiten.

(2) Die Verpflichtungen nach Abs. 1 gelten für

1. Einrichtungen der Rechtspflege, soweit sie strafverfolgend, strafvollstreckend oder strafvollziehend tätig werden,
2. Behörden, soweit sie Steuern verwalten oder strafverfolgend oder in Bußgeldverfahren tätig werden, und
3. Polizei und Verfassungsschutzbehörden

nur gegenüber dem Landesbeauftragten selbst und gegenüber den von ihm schriftlich besonders damit Beauftragten. Abs. 1 Satz 2 und 3 gilt für diese Stellen nicht, soweit das jeweils zuständige Staatsministerium im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährden würde.

(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten rechtzeitig über ihre Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten.

(4) Unbeschadet der Bestimmungen des Art. 58 DSGVO kann der Landesbeauftragte festgestellte Verstöße gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz beanstanden und ihre Behebung in angemessener Frist fordern. Er kann die nach Art. 3 Abs. 1 für die Sicherstellung des Datenschutzes verantwortliche Stelle sowie die Rechts- und Fachaufsichtsbehörde hierüber verständigen. Werden die beanstandeten Verstöße nicht behoben, kann der Landesbeauftragte von den in Satz 2 genannten Stellen binnen angemessener Frist geeignete Maßnahmen fordern. Nach fruchtlosem Fristablauf kann der Landesbeauftragte den Landtag und die Staatsregierung verständigen.

Art. 17 Datenschutzkommission ²⁴

(1) Der Landtag bildet zur Unterstützung des Landesbeauftragten eine Datenschutzkommission. Sie besteht aus zehn Mitgliedern. Der Landtag bestellt sechs Mitglieder aus seiner Mitte nach Maßgabe der Stärke seiner Fraktionen; dabei wird das Verfahren nach Sainte-Laguë/Schepers angewandt. Für Fraktionen, die hiernach nicht zum Zuge kommen, kann der Landtag jeweils ein weiteres Mitglied bestellen, auch wenn sich dadurch die Zahl der Mitglieder nach Satz 2 erhöht. Ferner bestellt der Landtag jeweils ein weiteres Mitglied auf Vorschlag

1. der Staatsregierung,
2. der kommunalen Spitzenverbände,
3. des Staatsministeriums für Gesundheit, Pflege und Prävention aus dem Bereich der gesetzlichen Sozialversicherungsträger und
4. des Verbands freier Berufe in Bayern e. V.

Für jedes Mitglied der Datenschutzkommission wird zugleich ein stellvertretendes Mitglied bestellt.

(2) Die Mitglieder der Datenschutzkommission werden jeweils für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.

(3) Die Datenschutzkommission tritt auf Antrag jedes ihrer Mitglieder oder des Landesbeauftragten zusammen. Den Vorsitz führt ein Mitglied des Landtags. Die Datenschutzkommission gibt sich eine Geschäftsordnung.

(4) Die Mitglieder der Datenschutzkommission haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(5) Die Mitglieder der Datenschutzkommission erhalten vom Landesbeauftragten Reisekostenvergütung nach den Bestimmungen des Bayerischen Reisekostengesetzes wie Ehrenbeamte.

Abschnitt 2
Landesamt für Datenschutzaufsicht

Art. 18 Einrichtung und Aufgaben
(zu Art. 51 bis 58 und 85 DSGVO)

(1) Das Landesamt für Datenschutzaufsicht (Landesamt) ist Aufsichtsbehörde nach Art. 51 DSGVO und nach § 40 des Bundesdatenschutzgesetzes für nicht öffentliche Stellen. Im Anwendungsbereich des Art. 38 findet Art. 58 Abs. 1 Buchst. b, c, e und f sowie Abs. 2 Buchst. c bis j DSGVO keine Anwendung.

(2) Sitz des Landesamts ist Ansbach.

(3) Der Präsident des Landesamts ist Beamter auf Zeit und wird durch die Staatsregierung für die Dauer von fünf Jahren ernannt.

(4) Das Landesamt kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere öffentliche Stellen des Freistaates Bayern übertragen, soweit dadurch seine Unabhängigkeit nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene Daten der beschäftigten Personen übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.

Abschnitt 3
Unabhängigkeit und Zusammenarbeit der Aufsichtsbehörden

Art. 19 Unabhängigkeit und Rechtsstellung
(zu Art. 52 bis 54 DSGVO)

(1) Zum Leiter einer Aufsichtsbehörde kann ernannt werden, wer

1. bei der Ernennung das 35. Lebensjahr vollendet hat,
2. die Voraussetzungen für den Einstieg in die vierte Qualifikationsebene erfüllt und
3. durch einschlägige Berufserfahrung die erforderlichen Kenntnisse des Datenschutzrechts nachweisen kann.

Die Wiederernennung ist zulässig.

(2) Wird ein Beamter oder Richter auf Lebenszeit zum Leiter einer Aufsichtsbehörde ernannt, gilt er für die Dauer der Amtszeit als ohne Bezüge beurlaubt. Für Disziplinarmaßnahmen gegen den Leiter einer Aufsichtsbehörde gilt Art. 6 des Rechnungshofgesetzes entsprechend.

(3) Die Stellen der Aufsichtsbehörden sind auf Vorschlag des Leiters der jeweiligen Aufsichtsbehörde zu besetzen. Die Bediensteten können, sofern die Aufsichtsbehörde nicht selbst für diese Anordnungen zuständig ist, nur mit dessen Einvernehmen versetzt, abgeordnet oder umgesetzt werden. Der Leiter einer Aufsichtsbehörde ist Dienstvorgesetzter der Bediensteten. 4 Die Bediensteten sind in ihrer Tätigkeit nur an dessen Weisungen gebunden und unterstehen ausschließlich seiner Dienstaufsicht. Die Aufsichtsbehörde ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung (StPO), des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes und des Art. 18 Abs. 2 Satz 1 des Bayerischen Disziplinargesetzes. Der Leiter einer Aufsichtsbehörde kann die Disziplinarbefugnisse im Einzelfall teilweise oder vollständig auf die Landesanwaltschaft Bayern übertragen.

(4) Der Leiter einer Aufsichtsbehörde darf

1. kein Gewerbe, keinen Beruf und kein anderes bezahltes Amt ausüben,
2. weder der Leitung noch dem Aufsichts- oder Verwaltungsrat eines auf Erwerb ausgerichteten Unternehmens angehören,
3. keiner Regierung, keiner gesetzgebenden Körperschaft des Bundes oder eines Landes und keinem kommunalen Vertretungsorgan angehören,
4. nicht gegen Vergütung als Schiedsrichter tätig sein, außergerichtliche Gutachten abgeben oder Vorträge halten und
5. keinerlei sonstige Tätigkeiten ausüben, die mit dem Amt nicht zu vereinbaren sind oder die Unabhängigkeit beeinträchtigen können.

Satz 1 Nr. 5 gilt auch für ehemalige Leiter bis zum Ablauf von zwei Jahren nach dem Ausscheiden aus dem Amt.

(5) Der Leiter einer Aufsichtsbehörde sowie deren Bedienstete unterliegen unabhängig von der jeweiligen Ausgestaltung ihres persönlichen Dienstverhältnisses den für Beamte geltenden Verschwiegenheitspflichten. Der Leiter einer Aufsichtsbehörde entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit er sowie die Bediensteten der Aufsichtsbehörde über Angelegenheiten, die dieser Verschwiegenheitspflicht unterliegen, vor Gericht oder außergerichtlich aussagen oder Erklärungen abgeben; wenn er nicht mehr im Amt ist, ist die Genehmigung des amtierenden Leiters der Aufsichtsbehörde erforderlich.

(6) Die Erhebung von Kosten für Amtshandlungen der Aufsichtsbehörden bestimmt sich nach dem Kostengesetz. Unbeschadet des Art. 57 Abs. 4 DSGVO sind Amtshandlungen für die betroffene Person und für den Datenschutzbeauftragten kostenfrei. Die Aufsichtsbehörden unterliegen der Rechnungsprüfung durch den Obersten Rechnungshof nur, soweit ihre Unabhängigkeit hierdurch nicht beeinträchtigt wird.

Art. 20 Anrufung der Aufsichtsbehörden
(zu Art. 77 DSGVO)

(1) Jeder kann sich an die Aufsichtsbehörden mit dem Vorbringen wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. Durch die Anrufung der Aufsichtsbehörden dürfen der betroffenen Person keine Nachteile entstehen.

(2) Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden bestehen nicht.

Art. 21 Zusammenarbeit
(zu Art. 51 DSGVO)

(1) Die bayerischen Aufsichtsbehörden tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus und unterstützen sich gegenseitig bei ihrer Aufgabenwahrnehmung. Eine Aufsichtsbehörde ist berechtigt, zum Zwecke der Aufsicht personenbezogene Daten an andere Aufsichtsbehörden zu übermitteln.

(2) Soweit mehrere Aufsichtsbehörden für eine Angelegenheit des Europäischen Datenschutzausschusses zuständig sind, üben sie ihre Mitwirkungsrechte einvernehmlich aus.

Kapitel 6
Sanktionen

Art. 22 Geldbußen
(zu Art. 83 DSGVO)

Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.

Art. 23 Ordnungswidrigkeiten, Strafvorschrift
(zu Art. 84 DSGVO)

(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer personenbezogene Daten, die durch eine öffentliche Stelle im Sinne des Art. 1 Abs. 1, 2 oder Abs. 4 verarbeitet werden und nicht offenkundig sind,

1. unbefugt
   1. speichert, verändert oder übermittelt,
   2. zum Abruf mittels automatisierten Verfahrens bereithält oder
   3. abruft oder sich oder einem anderen aus Dateien verschafft oder
2. durch unrichtige Angaben erschleicht.

(2) Wer eine der in Abs. 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die Aufsichtsbehörde.

(3) Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 werden keine Geldbußen nach Abs. 1 verhängt.

(4) Eine Unterrichtung nach Art. 33 oder Art. 34 DSGVO darf in einem Straf- oder Ordnungswidrigkeitenverfahren gegen den Verantwortlichen oder einen seiner in § 52 Abs. 1 StPO bezeichneten Angehörigen nur mit seiner Zustimmung verwendet werden.

Kapitel 7
Besondere Verarbeitungssituationen

Art. 24 Videoüberwachung
(zu Art. 6 DSGVO)

(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optischelektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,

1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen

zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.

(2) Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen. Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht.

(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.

(4) Die nach Abs. 1 erhobenen und gespeicherten Daten sowie daraus gefertigte Unterlagen sind spätestens zwei Monate nach der Erhebung zu löschen, soweit sie nicht zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.

(5) Öffentliche Stellen haben ihrem behördlichen Datenschutzbeauftragten unbeschadet des Art. 35 Abs. 2 DSGVO rechtzeitig vor dem Einsatz einer Videoüberwachung den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen und ihm Gelegenheit zur Stellungnahme zu geben.

Art. 25 Verarbeitung zu Forschungszwecken
(zu Art. 89 DSGVO)

(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.

(2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, gesondert zu speichern. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(4) Die Art. 15, 16, 18 und 21 DSGVO sind nicht anzuwenden, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und diese Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.

Art. 26 Verarbeitung zu Archivzwecken
(zu Art. 89 DSGVO)

(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorgesehen werden.

(2) Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.

(3) Ein Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen.

(4) Art. 16 DSGVO ist nicht anzuwenden. Die betroffene Person kann verlangen, dass dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beigefügt wird, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.

(5) Die Art. 18 Abs. 1 Buchst. a, b und d sowie Art. 20 und 21 DSGVO sind nicht anzuwenden, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und diese Beschränkung für die Erfüllung der Archivzwecke notwendig ist.

(6) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht entschieden worden ist.

Art. 27 Staatliche und kommunale Auszeichnungen und Ehrungen

(1) Zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen oder Ehrungen dürfen personenbezogene Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, auch ohne Kenntnis der betroffenen Person verarbeitet werden.

(2) Andere öffentliche Stellen dürfen die zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen und Ehrungen erforderlichen personenbezogenen Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, an die dafür zuständigen Stellen übermitteln.

(3) Eine Verarbeitung der personenbezogenen Daten nach Abs. 1 für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.

(4) Soweit eine Verarbeitung ausschließlich für die in Abs. 1 genannten Zwecke erfolgt, sind die Art. 13 bis 16, 19 und 20 DSGVO nicht anzuwenden.

(5) Die nach Abs. 1 gespeicherten personenbezogenen Daten sind zu löschen, sobald sie für den dort genannten Zweck nicht mehr erforderlich sind. Eine Löschung von Name, Vorname, Geburtsdatum, Anschrift und Kommunikationsdaten kann unterbleiben.

(6) Abweichend von Art. 58 Abs. 2 DSGVO steht dem Landesbeauftragten bei der Überwachung der Anwendung von den Abs. 1 bis 5 nur das Beanstandungsrecht nach Art. 16 Abs. 4 zu.

Kapitel 8
Verarbeitungen im Anwendungsbereich der Richtlinie (EU) 2016/680

Art. 28 Anwendungsbereich dieses Kapitels

(1) Die Vorschriften dieses Kapitels gelten, soweit nichts anderes bestimmt ist, für die Verarbeitung personenbezogener Daten durch

1. die Polizei,
2. die Gerichte in Strafsachen und die Staatsanwaltschaften,
3. die Strafvollstreckungs- und Justizvollzugsbehörden,
4. die Behörden des Maßregelvollzugs

zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Die Vorschriften dieses Kapitels gelten auch für sonstige Behörden im Sinne des Art. 1 Abs. 1 Satz 1, soweit diese personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden.

(2) Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 abweichend von Art. 2 nur Anwendung:

1. aus dem Kapitel I DSGVO über allgemeine Bestimmungen Art. 4 DSGVO,
2. aus dem Kapitel II DSGVO über Grundsätze die Art. 5, 6 Abs. 1 Satz 1 Buchst. a und e, Art. 7 und 11 Abs. 1 DSGVO,
3. aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 24 Abs. 1 und 2, Art. 25 Abs. 1 und 2, Art. 28 Abs. 1 bis 4, 9 und 10, Art. 29, 31, 34, 36 Abs. 4, Art. 37 Abs. 1 und 3 bis 7, Art. 38 und 39 DSGVO,
4. aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 51 bis 54, 55 Abs. 1 und 3 und Art. 59 DSGVO,
5. aus dem Kapitel VII DSGVO über Zusammenarbeit und Kohärenz Art. 61 Abs. 1 bis 7 und 9 DSGVO und
6. aus dem Kapitel VIII DSGVO über Rechtsbehelfe, Haftung und Sanktionen die Art. 77, 78 Abs. 1 bis 3 DSGVO.

Im Übrigen finden aus dem Kapitel II DSGVO über Grundsätze Art. 9 Abs. 1 und 2, aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 26, 30, 32 und 33 DSGVO sowie aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 57 und 58 DSGVO nach Maßgabe der nachfolgenden Vorschriften dieses Kapitels Anwendung.

(3) Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 keine Anwendung

1. aus Kapitel 2 über Grundsätze der Verarbeitung die Art. 6 Abs. 2 bis 4, Art. 7 und 8 Abs. 1,
2. das Kapitel 3 über Rechte der betroffenen Person,
3. aus Kapitel 4 über Verantwortliche und Auftragsverarbeiter Art. 14 Abs. 1 Nr. 1 und Abs. 2,
4. aus Kapitel 5 über unabhängige Aufsichtsbehörden Art. 18,
5. aus Kapitel 6 über Sanktionen Art. 22 und
6. aus Teil 3 über Meinungsäußerungs- und Informationsfreiheit Art. 38.

Art. 29 Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen ¹⁸

(1) Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in Art. 28 Abs. 1 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in Art. 28 Abs. 1 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist, die Voraussetzungen des Art. 9 Abs. 2 Buchst. c und e DSGVO vorliegen oder dies in einer Rechtsvorschrift vorgesehen ist.

(3) Zur Vermeidung von DNA-Trugspuren können Personen, die regelmäßig Aufgaben im Rahmen polizeilicher oder strafprozessualer Ermittlungen wahrnehmen und dabei möglicherweise mit Spurenmaterial in Kontakt geraten, mit deren schriftlicher Zustimmung Körperzellen entnommen und molekulargenetisch untersucht werden, um hieraus gewonnene DNA-Identifizierungsmuster zu verarbeiten und mit Spurenmaterial automatisiert abzugleichen. Die Entnahme der Körperzellen erfolgt mittels eines Mundschleimhautabstrichs oder eines hinsichtlich seiner Eingriffsintensität vergleichbaren Verfahrens. Vor Erteilung der Zustimmung ist die betroffene Person über den Zweck der Verarbeitung sowie das Verfahren der Erkennung von DNA-Trugspuren zu belehren und darüber aufzuklären, dass sie die Zustimmung verweigern sowie jederzeit widerrufen kann. Die Verwendung der entnommenen Körperzellen ist nur zur Feststellung des DNA-Identifizierungsmusters nach Satz 1, die Verarbeitung des DNA-Identifizierungsmusters nur zu den in Satz 1 genannten Zwecken zulässig.

(4) Die DNA-Identifizierungsmuster werden in einer hierfür eingerichteten polizeilichen Datei gespeichert. Eine Datenschutzfolgenabschätzung ist nicht erforderlich.

(5) Die DNA-Identifizierungsmuster sind zu pseudonymisieren. Abgleiche mit diesen sind zu protokollieren. Die Protokolldaten sind eigenständig zu speichern und dürfen nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung verwendet werden. Soweit die Protokolldaten hierfür nicht mehr benötigt werden, spätestens aber nach Ablauf des dritten Kalenderjahres, das dem Jahr der Protokollierung folgt, sind sie zu löschen.

(6) Die nach Abs. 3 gewonnenen Körperzellen sind zu vernichten und die erhobenen Daten zu löschen, wenn sie für die genannten Zwecke nicht mehr erforderlich sind. Die Vernichtung der Körperzellen und die Löschung der erhobenen Daten hat spätestens drei Jahre nach dem Zeitpunkt zu erfolgen, zu dem die betroffene Person letztmals mit Spurenmaterial in Kontakt treten konnte.

Art. 30 Gemeinsam Verantwortliche

Die Angabe der Anlaufstelle für die betroffenen Personen nach Art. 26 Abs. 1 Satz 3 DSGVO ist verpflichtend. Art. 26 Abs. 2 DSGVO findet keine Anwendung.

Art. 31 Verzeichnis von Verarbeitungstätigkeiten

In dem Verzeichnis nach Art. 30 Abs. 1 DSGVO werden zusätzlich die Rechtsgrundlage der Verarbeitung sowie gegebenenfalls die Verwendung von Profiling aufgenommen. Art. 30 Abs. 5 DSGVO findet keine Anwendung.

Art. 32 Anforderungen an die Sicherheit der Verarbeitung

(1) Art. 32 Abs. 3 und 4 DSGVO findet keine Anwendung.

(2) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche oder der Auftragsverarbeiter auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
3. zu verhindern, dass
   1. Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
   2. personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
   3. automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
   4. bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
4. zu gewährleisten, dass
   1. die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
   2. überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
   3. nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
   4. eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
   5. alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
   6. gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
   7. personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).

Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Wenn Daten von oder an den Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind die Informationen nach Art. 33 Abs. 3 DSGVO unverzüglich auch an diesen zu melden.

Art. 34 Aufsicht durch den Landesbeauftragten für den Datenschutz

(1) Art. 57 Abs. 1 Buchst. j bis s, u und v DSGVO sowie Art. 58 Abs. 1 Buchst. c, Abs. 2 Buchst. c bis j, Abs. 3 Buchst. c bis j DSGVO finden keine Anwendung. Übt der Landesbeauftragte für die betroffene Person deren Rechte aus, hat er darüber hinaus die Rechtmäßigkeit der Verarbeitung zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis dieser Überprüfung zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen werden kann. Die Mitteilung an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.

(2) Die Aufsicht durch den Landesbeauftragten über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Ermittlung, Aufdeckung oder Verfolgung von Straftaten ist erst nach Abschluss des Strafverfahrens zulässig. Sie erstreckt sich nicht auf eine Datenverarbeitung, die gerichtlich überprüft wurde. Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend.

(3) Wird eine Beschwerde bei einer sachlich unzuständigen Aufsichtsbehörde eingereicht, gibt diese die Beschwerde unverzüglich an die sachlich zuständige Aufsichtsbehörde ab und unterrichtet die beschwerdeführende Person. In diesem Fall hat die abgebende Stelle die betroffene Person über die Weiterleitung zu unterrichten und ihr auf Ersuchen weitere Unterstützung zu leisten.

Art. 35 Automatisierte Einzelentscheidungen

(1) Entscheidungen, die für die betroffene Person mit einer nachteiligen Rechtsfolge verbunden sind oder sie erheblich beeinträchtigen, einschließlich Profiling, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung gestützt werden, es sei denn, eine Rechtsvorschrift lässt dies ausdrücklich zu.

(2) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Daten im Sinne des Art. 9 Abs. 1 DSGVO benachteiligt werden, ist verboten.

Art. 36 Vertrauliche Meldung von Datenschutzverstößen

Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können. Art. 12 Abs. 2 gilt für die zur Entgegennahme dieser Meldungen betraute Stelle entsprechend.

Art. 37 Schadenersatz

(1) Hat eine öffentliche Stelle einer betroffenen Person durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz rechtswidrige Verarbeitung ihrer personenbezogenen Daten einen Schaden zugefügt, ist ihr Rechtsträger der betroffenen Person zum Ersatz dieses Schadens verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist. Sind bei einer Datei mehrere Stellen speicherungsberechtigt und sind Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.

(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.

(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.

(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.

(6) Der Rechtsweg vor den ordentlichen Gerichten steht offen.

Teil 3
Meinungsäußerungs- und Informationsfreiheit

Art. 38 Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken
(zu Art. 85 DSGVO)

(1) Werden personenbezogene Daten zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs. 2 genannten Rechte zu. Im Übrigen gelten für Verarbeitungen im Sinne des Satzes 1 Kapitel I, Art. 5 Abs. 1 Buchst. f, Art. 24 und 32, Kapitel VIII, X und XI DSGVO. Art. 82 DSGVO gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Art. 5 Abs. 1 Buchst. f, Art. 24 und 32 DSGVO gehaftet wird.

(2) Führt die journalistische, künstlerische oder literarische Verarbeitung personenbezogener Daten zur Verbreitung von Gegendarstellungen, zu Verpflichtungserklärungen, gerichtlichen Entscheidungen oder Widerrufen, sind diese zu den gespeicherten Daten zu nehmen, dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst und bei einer Übermittlung der Daten gemeinsam mit diesen zu übermitteln.

Art. 39 Allgemeines Auskunftsrecht
(zu Art. 86 DSGVO)

(1) Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und

1. bei personenbezogenen Daten eine Übermittlung an nicht öffentliche Stellen zulässig ist und
2. Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.

Die Auskunft kann verweigert werden, soweit

1. Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
2. sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
3. ein unverhältnismäßiger Aufwand entsteht.

(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.

(3) Ausgenommen von der Auskunft nach Abs. 1 sind

1. Verschlusssachen,
2. einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
3. zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern die betroffene Person nicht eingewilligt hat.

(4) Abs. 1 ist nicht anzuwenden auf

1. den Landtag, den Obersten Rechnungshof, die Staatlichen Rechnungsprüfungsämter, die Staatlichen Rechnungsprüfungsstellen der Landratsämter, den Kommunalen Prüfungsverband und die Aufsichtsbehörden im Sinne des Art. 51 DSGVO,
2. die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
3. die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
4. die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
5. Finanzbehörden in Verfahren nach der Abgabenordnung,
6. Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
7. die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
8. die kommunalen Spitzenverbände.

Datei- und Aktenbestandteile der in Satz 1 genannten oder für Begnadigungsangelegenheiten zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.

(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.

Teil 4
Schlussvorschriften

Art. 39a (aufgehoben) ²⁵

Art 39b (aufgehoben) ²⁵

Art. 40 Inkrafttreten ²⁵

Dieses Gesetz tritt am 25. Mai 2018 in Kraft.

ENDE