Art. 17 Verarbeitung und Nutzung

(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn

1. es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und
2. es für die Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.

(2) Abweichend von Absatz 1 Nr. 2 ist das Speichern, Verändern oder Nutzen personenbezogener Daten für andere Zwecke zulässig, wenn

1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder die Beteiligung von Trägern öffentlicher Belange bestimmt,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, daß es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, daß er in Kenntnis des anderen Zwecks seine Einwilligung hierzu verweigern würde,
4. die Daten für den anderen Zweck auf Grund einer durch Rechtsvorschrift festgelegten Auskunfts- oder Meldepflicht beim Betroffenen erhoben werden dürfen und der Betroffene dieser Pflicht nicht nachgekommen ist,
5. Angaben des Betroffenen überprüft werden sollen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
6. Angaben des Betroffenen zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben verglichen werden sollen,
7. es zur Entscheidung über die Verleihung von staatlichen Orden oder Ehrenzeichen oder von sonstigen staatlichen Ehrungen erforderlich ist,
8. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die speichernde Stelle die Daten veröffentlichen dürfte,
9. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit oder Ordnung oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
10. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinn des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinn des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist oder,
11. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluß der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.

(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, der Erstellung von Geschäftsstatistiken, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen für die speichernde Stelle oder der Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung dient. Das gilt auch für die Verarbeitung und Nutzung zu Ausbildungs- oder Prüfungszwecken durch die speichernde Stelle, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.

(4) Personenbezogene Daten in automatisierten Dateien im Sinn des Art. 2 Abs. 3 sowie personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verarbeitet oder genutzt werden.

(5) Sind mit personenbezogenen Daten, die nach den Absätzen 1 bis 3 durch Weitergabe innerhalb der speichernden Stelle genutzt werden dürfen, weitere personenbezogene Daten des Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Weitergabe auch dieser Daten zulässig, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen oder Dritter entgegenstehen. Eine darüber hinausgehende Nutzung oder Verarbeitung dieser Daten ist nur zulässig, soweit die Daten auch hierfür hätten weitergegeben werden dürfen.

Art. 18 Datenübermittlung an öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden Stelle liegenden Aufgaben erforderlich ist und für Zwecke erfolgt, für die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulässig wäre.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht. Art. 8 Abs. 3 bleibt unberührt.

(3) Die empfangende Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur zulässig, wenn für diese Zwecke eine Nutzung nach Art. 17 Abs. 2 bis 4 zulässig wäre.

(4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen oder Dritter entgegenstehen. Eine Nutzung oder Verarbeitung dieser Daten durch den Empfänger ist nur zulässig, soweit die Daten auch hierfür hätten übermittelt werden dürfen.

Art. 19 Datenübermittlung an nicht-öffentliche Stellen

(1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn

1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulassen würden oder
2. die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Freistaates Bayern, eines anderen Landes oder des Bundes Nachteile bereiten würde.

(4) Die nicht-öffentliche Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind. Sie ist von der übermittelnden Stelle darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 auch für die anderen Zwecke zulässig wäre und die übermittelnde Stelle zugestimmt hat.

Art. 20 Datenübermittlung an öffentlich-rechtliche Religionsgesellschaften

Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften ist in entsprechender Anwendung von Art. 18 zulässig, wenn sichergestellt ist, daß bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen sind.

Art. 21 Datenübermittlung an Stellen im Ausland ¹⁴

(1) Für die Übermittlung personenbezogener Daten an öffentliche Stellen innerhalb der Mitgliedstaaten der Europäischen Union oder der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder an Organe und Einrichtungen der Europäischen Union gelten Art. 18 Abs. 1, Art. 22 und 23 sowie für die Übermittlung an nicht-öffentliche Stellen innerhalb der Mitgliedstaaten der Europäischen Union oder der anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum Art. 19 Abs. 1 und 3, soweit nicht besondere Rechtsvorschriften anzuwenden sind.

(2) Für die Übermittlung personenbezogener Daten an Stellen außerhalb der Mitgliedstaaten der Europäischen Union und der anderen Vertragsstaaten des Abkommens über den Eu-ropäischen Wirtschaftsraum sowie an über- und zwischenstaatliche Stellen gelten Art. 19 Abs. 1 und 3, Art. 22 und 23 entsprechend nach Maßgabe der Sätze 2 bis 5, soweit nicht besondere Rechtsvorschriften anzuwenden sind. Die Datenübermittlung ist nur zulässig, wenn das Drittland oder die über- oder zwischenstaatliche Stelle ein angemessenes Datenschutzniveau gewährleistet. Die Angemessenheit des Datenschutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei Datenübermittlungen von Bedeutung sind; insbesondere werden die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung oder Nutzung, das Herkunfts- und das Endbestimmungsland, die in dem Drittland geltenden Rechtsvorschriften sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt. Ist kein angemessenes Datenschutzniveau gewährleistet, so ist die Übermittlung nur zulässig, wenn

1. die Betroffenen ihre Einwilligung gegeben haben,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen der übermittelnden Stelle und den Betroffenen oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung der Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse Betroffener von der übermittelnden Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen Betroffener erforderlich ist,
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind oder
7. die empfangende Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; diese Garantien können sich insbesondere aus Vertragsklauseln ergeben.

Datenübermittlungen, die nach Satz 4 Nr. 7 vorgenommen werden, sind dem Staatsministerium des Innern, für Bau und Verkehr mitzuteilen.

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.

(4) Der Empfänger ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie ihm übermittelt werden.

Art. 21a Videobeobachtung und Videoaufzeichnung (Videoüberwachung) ^{08 09 17}

(1) Mit Hilfe von optischelektronischen Einrichtungen sind die Erhebung (Videobeobachtung) und die Speicherung (Videoaufzeichnung) personenbezogener Daten zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,

1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen

zu schützen. Es dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden.

(2) Die Videoüberwachung und die erhebende Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Daten dürfen für den Zweck verarbeitet und genutzt werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über die Tatsache der Speicherung entsprechend Art. 10 Abs. 8 zu benachrichtigen.

(5) Die Videoaufzeichnungen und daraus gefertigte Unterlagen sind spätestens zwei Monate nach der Datenerhebung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.

(6) Art. 26 bis 28 gelten für die Videoaufzeichnung entsprechend. Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz einer Videoaufzeichnung neben den in Art. 26 Abs. 3 Satz 1 genannten Beschreibungen die räumliche Ausdehnung und Dauer der Videoaufzeichnung, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen.

Art. 22 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen

Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Person oder Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der speichernden Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn sie von der zur Verschwiegenheit verpflichteten Person oder Stelle auch für diesen Zweck übermittelt werden dürften und die zur Verschwiegenheit verpflichtete Person oder Stelle in die Zweckänderung eingewilligt hat. Die Übermittlung an eine nicht-öffentliche Stelle ist darüber hinaus nur zulässig, wenn die zur Verschwiegenheit verpflichtete Person oder Stelle eingewilligt hat.

Art. 23 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.

(2) Die Übermittlung personenbezogener Daten an andere als öffentliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur zulässig, wenn diese sich verpflichten, übermittelte Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschriften der Absätze 3 und 4 einzuhalten.

(3) Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn der Betroffene eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist.

Art. 24 (aufgehoben) ¹⁵

Vierter Abschnitt
Durchführung des Datenschutzes bei öffentlichen Stellen

Art. 25 Sicherstellung des Datenschutzes, behördliche Datenschutzbeauftragte

(1) Die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts sowie die privatrechtlichen Vereinigungen, auf die dieses Gesetz gemäß Art. 2 Abs. 2 Anwendung findet, haben für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.

(2) Öffentliche Stellen, die personenbezogene Daten mit Hilfe von automatisierten Verfahren verarbeiten oder nutzen, haben einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu bestellen. Mehrere öffentliche Stellen können gemeinsam einen ihrer Beschäftigten bestellen; bei Staatsbehörden kann die Bestellung auch durch eine höhere Behörde erfolgen.

(3) Die behördlichen Datenschutzbeauftragten sind in dieser Eigenschaft der Leitung der öffentlichen Stelle oder deren ständigen Vertretung unmittelbar zu unterstellen; bei obersten Dienstbehörden können sie auch dem Ministerialdirektor (Amtschef), in Gemeinden einem berufsmäßigen Gemeinderatsmitglied unterstellt werden. Sie sind in ihrer Eigenschaft als behördliche Datenschutzbeauftragte weisungsfrei. Sie können sich in Zweifelsfällen unmittelbar an den Landesbeauftragten für den Datenschutz wenden. Sie dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Sie sind im erforderlichen Umfang von der Erfüllung sonstiger dienstlicher Aufgaben freizustellen. Die Beschäftigten öffentlicher Stellen können sich in Angelegenheiten des Datenschutzes an ihre behördlichen Datenschutzbeauftragten wenden.

(4) Die behördlichen Datenschutzbeauftragten haben die Aufgabe, auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz in der öffentlichen Stelle hinzuwirken. Sie können die zur Überwachung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz erforderliche Einsicht in Dateien und Akten der öffentlichen Stelle nehmen, soweit nicht gesetzliche Regelungen entgegenstehen; sie dürfen Akten mit personenbezogenen Daten, die dem Arztgeheimnis unterliegen, Akten über die Sicherheitsüberprüfung und nicht in Dateien geführte Personalakten nur mit Einwilligung der Betroffenen einsehen. Sie sind zur Verschwiegenheit über Personen verpflichtet, die ihnen in ihrer Eigenschaft als behördliche Datenschutzbeauftragte Tatsachen anvertraut haben, sowie über diese Tatsachen selbst, soweit sie nicht davon durch diese Personen befreit werden.

Art. 26 Datenschutzrechtliche Freigabe automatisierter Verfahren ¹⁵

(1) Der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, bedarf der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle. Eine datenschutzrechtliche Freigabe nach Satz 1 ist nicht erforderlich für Verfahren, welche durch den Vorstand der Anstalt für Kommunale Datenverarbeitung in Bayern bereits datenschutzrechtlich freigegeben worden sind, soweit diese Verfahren unverändert übernommen werden; das Gleiche gilt für Verfahren, welche durch das fachlich zuständige Staatsministerium oder die von ihm ermächtigte öffentliche Stelle für den landesweiten Einsatz datenschutzrechtlich freigegeben worden sind. Für wesentliche Änderungen von Verfahren gelten die Sätze 1 und 2 entsprechend.

(2) Die datenschutzrechtliche Freigabe hat folgende Angaben zu enthalten:

1. Bezeichnung des Verfahrens,
2. Zweck und Rechtsgrundlage der Erhebung, Verarbeitung oder Nutzung,
3. Art der gespeicherten Daten,
4. Kreis der Betroffenen,
5. Art der regelmäßig zu übermittelnden Daten und deren Empfänger,
6. Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung,
7. verarbeitungs- und nutzungsberechtigte Personengruppen,
8. im Fall des Art. 6 Abs. 1 bis 3 die Auftragnehmer,
9. Empfänger vorgesehener Datenübermittlungen in Drittländer.

(3) Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten rechtzeitig vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens eine Verfahrensbeschreibung mit den in Absatz 2 aufgeführten Angaben zur Verfügung zu stellen; zugleich ist eine allgemeine Beschreibung der Art der für das Verfahren eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach Art. 7 und 8 beizugeben. Die behördlichen Datenschutzbeauftragten erteilen die datenschutzrechtliche Freigabe, soweit nicht schon eine datenschutzrechtliche Freigabe nach Absatz 1 Sätze 2 und 3 vorliegt. Wird ihren datenschutzrechtlichen Einwendungen nicht Rechnung getragen, so legen sie die Entscheidung über die datenschutzrechtliche Freigabe den Personen vor, denen sie nach Art. 25 Abs. 3 Satz 1 unterstellt sind; bei den in Art. 15 Abs. 7 genannten Daten haben sie zuvor eine Stellungnahme des Landesbeauftragten für den Datenschutz einzuholen.

Art. 27 Verfahrensverzeichnis

(1) Die behördlichen Datenschutzbeauftragten führen ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden.

(2) In dem Verzeichnis sind für jedes automatisierte Verfahren die in Art. 26 Abs. 2 genannten Angaben fest zu halten.

(3) Das Verfahrensverzeichnis kann von jedem kostenfrei eingesehen werden. Dies gilt nicht bei Behörden der Staatsanwaltschaft, bei Justizvollzugsanstalten, bei Führungsaufsichtsstellen, bei Stellen der Gerichts- und Bewährungshilfe und bei Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. Art. 10 Abs. 5 gilt entsprechend.

Art. 27a Gemeinsame Verfahren ¹⁵

(1) Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung oder Nutzung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen (gemeinsame Verfahren) ist nur zulässig, soweit dies unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen nach Art. 7 Risiken für die Rechte und Freiheiten der Betroffenen vermieden werden können.

(2) Die Betroffenen können ihre Rechte gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle für die Datenverarbeitung verantwortlich ist.

(3) Die beteiligten Stellen haben vorab festzulegen und zu dokumentieren, für welchen Bereich der Datenverarbeitung jede der beteiligten Stellen verantwortlich ist. lm Rahmen der technischen und organisatorischen Maßnahmen nach Art. 7 ist insbesondere sicherzustellen, dass der Zugriff auf Daten nur denjenigen Bediensteten möglich ist, die für diese Maßnahmen zuständig sind.

(4) Gemeinsame Verfahren, die besondere Risiken für die Rechte und Freiheiten der Betroffenen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.

Art. 28 Ausnahmen von der Freigabepflicht, Rechtsverordnungsermächtigung ¹⁵

(1) Für automatisierte Verfahren,

1. die dem internen Verwaltungsablauf dienen,
2. die ausschließlich Zwecken der Datensicherung und Datenschutzkontrolle dienen oder
3. deren einziger Zweck das Führen eines Registers ist, das auf Grund einer Rechtsvorschrift zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,

ist keine Freigabe erforderlich.

(2) Die Bestellung behördlicher Datenschutzbeauftragter, die datenschutzrechtliche Freigabe und die Führung eines Verfahrensverzeichnisses sind nicht erforderlich, wenn in öffentlichen Stellen ausschließlich automatisierte Verfahren eingesetzt werden, von denen unter Berücksichtigung der erhobenen, verarbeiteten oder genutzten Daten eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen unwahrscheinlich ist. Die Staatsministerien regeln für ihren Geschäftsbereich und für die unter ihrer Aufsicht stehenden juristischen Personen des öffentlichen Rechts durch Rechtsverordnung, bei welchen öffentlichen Stellen die Voraussetzungen des Satzes 1 erfüllt sind. In der Rechtsverordnung sind die in Art. 26 Abs. 2 genannten Angaben fest zu halten; diese Angaben sind nicht erforderlich für automatisierte Verfahren, die dem internen Verwaltungsablauf dienen, wie Registraturverfahren, ausschließlich der Erstellung von Texten dienende Verfahren, Kommunikationsverzeichnisse und Anschriftenverzeichnisse für die Versendung an die Betroffenen.

Fünfter Abschnitt
Landesbeauftragter für den Datenschutz

Art. 29 Ernennung und Rechtsstellung ^09a

(1) Der Landtag wählt auf Vorschlag der Staatsregierung einen Landesbeauftragten für den Datenschutz. Die Ernennung, Entlassung und Abberufung erfolgt durch den Präsidenten des Landtags. Der Landesbeauftragte für den Datenschutz ist Beamter auf Zeit und wird für die Dauer von sechs Jahren berufen. Wiederwahl ist zulässig. Vor Ablauf seiner Amtszeit kann der Landesbeauftragte für den Datenschutz auf seinen Antrag entlassen werden; ohne seine Zustimmung kann er vor Ablauf seiner Amtszeit nur mit Zweidrittelmehrheit der Mitgliederzahl des Landtags abberufen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt.

(2) Der Landesbeauftragte für den Datenschutz ist in Ausübung seines Amts unabhängig und nur dem Gesetz unterworfen; er kann sich jederzeit an den Landtag wenden. Er untersteht der Dienstaufsicht des Präsidenten des Landtags. Der Landesbeauftragte für den Datenschutz ist oberste Dienstbehörde im Sinn des § 96 der Strafprozeßordnung und des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes; die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken sowie die Zeugenaussage bedürfen der Zustimmung des Präsidenten des Landtags.

(3) Der Landesbeauftragte für den Datenschutz bedient sich einer Geschäftsstelle, die beim Landtag eingerichtet wird; Verwaltungsangelegenheiten der Geschäftsstelle werden vom Landtagsamt wahrgenommen, soweit sie nicht der Zuständigkeit des Landesbeauftragten für den Datenschutz unterliegen. Die Stellen sind im Einvernehmen mit dem Landesbeauftragten für den Datenschutz zu besetzen. Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit dem Landesbeauftragten für den Datenschutz versetzt, abgeordnet oder umgesetzt werden. Der Landesbeauftragte für den Datenschutz ist Dienstvorgesetzter dieser Mitarbeiter. Sie sind in ihrer Tätigkeit nach diesem Gesetz nur an seine Weisungen gebunden und unterstehen ausschließlich seiner Dienstaufsicht.

(4) Die Personal- und Sachmittel der Geschäftsstelle werden im Einzelplan des Landtags gesondert ausgewiesen.

Art. 30 Aufgaben ^{11 15}

(1) Der Landesbeauftragte für den Datenschutz kontrolliert bei den öffentlichen Stellen die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz. Werden personenbezogene Daten in Akten verarbeitet oder genutzt, kontrolliert der Landesbeauftragte für den Datenschutz die Erhebung, Verarbeitung oder Nutzung, wenn der Betroffene ihm hinreichende Anhaltspunkte dafür darlegt, daß er dabei in seinen Rechten verletzt worden ist oder wenn dem Landesbeauftragten für den Datenschutz hinreichende Anhaltspunkte für eine derartige Verletzung vorliegen.

(2) Die Kontrolle durch den Landesbeauftragten für den Datenschutz erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung. Akten über die Sicherheitsprüfung unterliegen seiner Kontrolle nicht, wenn Betroffene der Kontrolle der auf sie bezogenen Daten widersprochen haben. Unbeschadet des Kontrollrechts des Landesbeauftragten für den Datenschutz unterrichtet die speichernde Stelle die Betroffenen in allgemeiner Form über das ihnen zustehende Widerspruchsrecht. Der Widerspruch ist schriftlich gegenüber der speichernden Stelle zu erklären.

(3) Die Kontrolle durch den Landesbeauftragten für den Datenschutz erstreckt sich nicht auf personenbezogene Daten, die der Kontrolle durch die Kommission nach Art. 2 des Gesetzes zur Ausführung des Gesetzes zu Artikel 10 Grundgesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten für den Datenschutz, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen und in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.

(4) Die Kontrolle durch den Landesbeauftragten für den Datenschutz über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Verfolgung von Straftaten ist erst nach Abschluß des Strafverfahrens zulässig. Sie erstreckt sich nicht auf eine Datenerhebung, die gerichtlich überprüft wurde. Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend.

(5) Der Landesbeauftragte für den Datenschutz erstattet dem Landtag und der Staatsregierung alle zwei Jahre einen Bericht über seine Tätigkeit. Er gibt dabei auch einen Überblick über die technischen und organisatorischen Maßnahmen nach Art. 7 und regt Verbesserungen des Datenschutzes an. Der Bericht ist in der Datenschutzkommission vorzuberaten.

(6) Der Landtag oder die Staatsregierung können den Landesbeauftragten für den Datenschutz ersuchen, bestimmte Vorgänge aus seinem Aufgabenbereich zu überprüfen.

(7) Der Landesbeauftragte für den Datenschutz und das Landesamt für Datenschutzaufsicht tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus und unterstützen sich gegenseitig bei ihrer Aufgabenwahrnehmung.

(8) Auf die Tätigkeit des Landesbeauftragten für den Datenschutz finden Art. 2 bis 6 des Bayerischen E-Government-Gesetzes Anwendung.

Art. 31 Beanstandungen

(1) Der Landesbeauftragte für den Datenschutz beanstandet festgestellte Verstöße gegen dieses Gesetz oder andere Vorschriften über den Datenschutz und fordert ihre Behebung in angemessener Frist. Der Landesbeauftragte für den Datenschutz verständigt von der Beanstandung die nach Art. 25 Abs. 1 für die Sicherstellung des Datenschutzes verantwortliche Stelle. Bei juristischen Personen des öffentlichen Rechts, die der Aufsicht des Freistaates Bayern unterstehen, verständigt er darüber hinaus auch die Aufsichtsbehörde.

(2) Wird die Beanstandung nicht behoben, so fordert der Landesbeauftragte für den Datenschutz von der für die Sicherstellung des Datenschutzes nach Art. 25 Abs. 1 verantwortlichen Stelle binnen angemessener Frist geeignete Maßnahmen. Absatz 1 Satz 3 gilt entsprechend. Hat dies nach Ablauf dieser Frist keinen Erfolg, verständigt er den Landtag und die Staatsregierung.

(3) Der Landesbeauftragte für den Datenschutz kann von einer Beanstandung absehen, insbesondere wenn es sich um unerhebliche oder inzwischen behobene Mängel handelt.

Art. 32 Unterstützung durch die öffentlichen Stellen

(1) Der Landesbeauftragte für den Datenschutz ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Einsicht vorzulegen. Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten erheben, verarbeiten oder nutzen.

(2) Für

1. Einrichtungen der Rechtspflege, soweit sie strafverfolgend, strafvollstreckend oder strafvollziehend tätig werden,
2. Behörden, soweit sie Steuern verwalten oder strafverfolgend oder in Bußgeldverfahren tätig werden und
3. Polizei und Verfassungsschutzbehörden

gilt Absatz 1 nur gegenüber dem Landesbeauftragten für den Datenschutz selbst und gegenüber den von ihm schriftlich besonders damit Beauftragten. Die Sätze 2 und 3 des Absatzes 1 gelten für diese Stellen nicht, soweit das jeweils zuständige Staatsministerium im Einzelfall feststellt, daß die Auskunft oder Einsicht die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährden würde.

(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten für den Datenschutz rechtzeitig über Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über Planungen bedeutender Automationsvorhaben, sofern sie die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen.

(4) Die öffentlichen Stellen sind verpflichtet, die nach Art. 27 zu führenden Verfahrensverzeichnisse dem Landesbeauftragten für den Datenschutz auf Anforderung zuzuleiten.

Art. 33 Datenschutzkommission ¹⁴

(1) Beim Landtag wird eine Datenschutzkommission gebildet. Sie besteht aus zehn Mitgliedern. Der Landtag bestellt sechs Mitglieder aus seiner Mitte nach Maßgabe der Stärke seiner Fraktionen; dabei wird das Verfahren nach Sainte-Lagué/Schepers angewandt. Für Fraktionen die hiernach nicht zum Zuge kommen, kann der Landtag jeweils ein weiteres Mitglied bestellen, auch wenn sich dadurch die Zahl der Mitglieder nach Satz 2 erhöht. Ferner bestellt der Landtag jeweils ein weiteres Mitglied auf Vorschlag

1. der Staatsregierung,
2. der kommunalen Spitzenverbände,
3. des Staatsministeriums für Gesundheit und Pflege aus dem Bereich der gesetzlichen Sozialversicherungsträger und
4. des Verbands freier Berufe e.V. in Bayern.

Für jedes Mitglied der Datenschutzkommission wird zugleich ein stellvertretendes Mitglied bestellt.

(2) Die Mitglieder der Datenschutzkommission werden für fünf Jahre, die Mitglieder des Landtags für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.

(3) Die Datenschutzkommission unterstützt den Landesbeauftragten für den Datenschutz in seiner Arbeit. Sie gibt sich eine Geschäftsordnung.

(4) Die Datenschutzkommission tritt auf Antrag jedes ihrer Mitglieder oder des Landesbeauftragten für den Datenschutz zusammen. Den Vorsitz führt ein Mitglied des Landtags.

(5) Der Landesbeauftragte für den Datenschutz nimmt an allen Sitzungen teil. Er verständigt die Datenschutzkommission von Beanstandungen nach Art. 31 Abs. 1. Vor Maßnahmen nach Art. 31 Abs. 2 ist der Datenschutzkommission Gelegenheit zur Stellungnahme zu geben.

(6) Die Mitglieder des Beirats haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

(7) Die Mitglieder der Datenschutzkommission erhalten vom Landesbeauftragten für den Datenschutz Reisekostenvergütung in entsprechender Anwendung der Bestimmungen des Bayerischen Reisekostengesetzes.

Sechster Abschnitt   ¹¹
Aufsichtsbehörde für den Datenschutz bei nichtöffentlichen Stellen

Art. 34 Landesamt für Datenschutzaufsicht ¹¹

(1) Zuständige Aufsichtsbehörde gemäß § 38 Abs. 6 des Bundesdatenschutzgesetzes für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich des Dritten Abschnitts des Bundesdatenschutzgesetzes ist das Landesamt für Datenschutzaufsicht.

(2) Sitz des Landesamts für Datenschutzaufsicht ist Ansbach.

Art. 35 Unabhängigkeit der Aufsichtsbehörden ^{11 14}

(1) Der Präsident des Landesamts für Datenschutzaufsicht ist Beamter auf Zeit und wird durch die Staatsregierung für die Dauer von fünf Jahren ernannt. Die Wiederernennung ist zulässig. Zum Präsidenten des Landesamts für Datenschutzaufsicht kann nur ernannt werden, wer die Befähigung zum Richteramt besitzt und über die erforderliche Verwaltungserfahrung verfügt. Wird ein Beamter oder ein Richter auf Lebenszeit von der Staatsregierung zum Präsidenten des Landesamts für Datenschutzaufsicht ernannt, gilt er für die Dauer der Amtszeit als ohne Bezüge beurlaubt. Der Präsident des Landesamts für Datenschutzaufsicht kann ohne seine Zustimmung vor Ablauf der Amtszeit nur entlassen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt.

(2) Der Präsident des Landesamts für Datenschutzaufsicht ist in Ausübung des Amts unabhängig und nur dem Gesetz unterworfen. Für die Ausübung der Dienstaufsicht gegenüber dem Präsidenten des Landesamts für Datenschutzaufsicht gelten die für den Präsidenten des Obersten Rechnungshofs anzuwendenden Vorschriften entsprechend. Das Landesamt für Datenschutzaufsicht ist oberste Dienstbehörde im Sinn des § 96 der Strafprozessordnung und des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes.

(3) Die Haushaltsmittel des Landesamts für Datenschutzaufsicht werden im Einzelplan des Staatsministeriums des Innern, für Bau und Verkehr gesondert ausgewiesen. Die Erhebung von Kosten (Gebühren und Auslagen) durch das Landesamt für Datenschutzaufsicht bestimmt sich nach dem Kostengesetz.

Siebter Abschnitt
Allgemeines Auskunftsrecht ¹⁵

Art. 36 Recht auf Auskunft ^{11 15}

(1) Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und

1. bei personenbezogenen Daten eine Übermittlung an nicht-öffentliche Stellen zulässig ist und
2. Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.

Die Auskunft kann verweigert werden, soweit

1. Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
2. sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
3. ein unverhältnismäßiger Aufwand entsteht.

(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.

(3) Ausgenommen von der Auskunft nach Abs. 1 sind

1. Verschlusssachen,
2. einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
3. zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern der Betroffene nicht eingewilligt hat.

(4) Öffentliche Stellen im Sinn des Abs. 1 sind nicht

1. der Landtag, der Oberste Rechnungshof und die Staatlichen Rechnungsprüfungsämter, der Bayerische Kommunale Prüfungsverband, der Landesbeauftragte für den Datenschutz und das Landesamt für Datenschutzaufsicht,
2. die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
3. die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
4. die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
5. Finanzbehörden in Verfahren nach der Abgabenordnung,
6. Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
7. die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
8. die kommunalen Spitzenverbände.

Datei- und Aktenbestandteile der in Satz 1 genannten oder für Angelegenheiten im Sinn von Art. 2 Abs. 4 zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.

(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.

Achter Abschnitt
Ordnungswidrigkeiten, Strafvorschrift, Schlußvorschriften ¹⁵

Art. 37 Ordnungswidrigkeiten, Strafvorschrift

(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer unbefugt von diesem Gesetz oder von nach Art. 2 Abs. 7 diesem Gesetz vorgehenden Rechtsvorschriften geschützte personenbezogene Daten, die nicht offenkundig sind,

1. speichert, verändert oder übermittelt,
2. zum Abruf mittels automatisierten Verfahrens bereithält oder
3. abruft oder sich oder einem anderen aus Dateien verschafft.

(2) Ferner kann mit Geldbuße bis zu dreißigtausend Euro belegt werden, wer

1. die Übermittlung von durch dieses Gesetz  oder durch nach Art. 2 Abs. 7 diesem Gesetz vorgehenden Rechtsvorschriften geschützten personenbezogenen Daten, die nicht offenkundig sind, durch unrichtige Angaben erschleicht,
2. entgegen Art. 19 Abs. 4 Satz 1, Art. 22 Satz 1 oder Art. 23 Abs. 1 die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt oder
3. entgegen Art. 23 Abs. 3 Satz 3 die in Art. 23 Abs. 3 Satz 2 bezeichneten Merkmale mit den Einzelangaben zusammenführt.

(3) Wer eine der in den Absätzen 1 und 2 bezeichneten Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die Betroffenen, die speichernde öffentliche Stelle und der Landesbeauftragte für den Datenschutz.

Art. 38 Inkrafttreten ^{13 15}

Dieses Gesetz tritt am 1. März 1994 in Kraft. Abweichend von Satz 1 treten Art. 8 Abs. 3 Sätze 4 und 5 erst am 1. März 1995 in Kraft.

Art. 39 weggefallen ^{13 15}

ENDE