Siehe Fn.: *
Änderung der Überschrift und des einleitenden Absatzes siehe ^{12 12}

Bezug:

1. RdErl. des MI vom 17.08.1993 (MBl. LSA S. 2105)
2. RdErl. des MI vom 14.10.1993 (MBl. LSA S. 2485), geändert durch RdErl. vom 15.02.1995 (MBl. LSA S. 388)

Mit dem Datenschutzgesetz Sachsen-Anhalt (VV DSG LSA) i. d. F. der Bek. vom 18.02.2002 (GVBl. LSA S. 54), zuletzt geändert durch Art. 15 des Gesetzes vom 18.11.2005 (GVBl. LSA S. 698, 701), in der jeweils geltenden Fassung hat der Landesgesetzgeber allgemeine datenschutzrechtliche Vorschriften für Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden, der Landkreise und der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie für Vereinigungen solcher Körperschaften, Anstalten und Stiftungen getroffen. Zugleich hat der Landesgesetzgeber für die genannten Stellen von der in § 12 Abs. 2 des Bundesdatenschutzgesetzes (BDSG) i. d. F. der Bek. Vom 14.1.2003 (BGBl. I S. 66), zuletzt geändert durch Art. 1 des Gesetzes vom 14.08.2009 (BGBl. I S. 2814), in der jeweils geltenden Fassung, genannten Möglichkeit Gebrauch gemacht, den Datenschutz, durch Landesrecht zu regeln, auch soweit Bundesrecht ausgeführt wird.

Adressaten des Zweiten Abschnittes des Bundesdatenschutzgesetzes sind im öffentlichen Bereich grundsätzlich nur öffentliche Stellen des Bundes. Für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG) richtet sich die Zulässigkeit der Datenverarbeitung grundsätzlich nach dem Dritten Abschnitt des Bundesdatenschutzgesetzes.

1. Zu § 1 (Zweck des Gesetzes)

1.1 Zweck des Gesetzes ¹²

Nach Art. 6 Abs. 1 der Verfassung des Landes Sachsen-Anhalt hat jeder das Recht auf Schutz seiner personenbezogenen Daten; in dieses Recht darf unter Beachtung des Zitiergebotes nach Art. 20 Abs. 1 der Landesverfassung nur durch oder aufgrund eines Gesetzes eingegriffen werden. Dabei sind insbesondere Inhalt, Zweck und Ausmaß der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten zu bestimmen und das Recht auf Auskunft, Löschung und Berichtigung näher zu regeln.

Entsprechend den Vorgaben der Landesverfassung trifft das DSG LSA für die öffentlichen Stellen des Landes die für die Gewährleistung des Rechts auf informationelle Selbstbestimmung erforderlichen bereichsübergreifenden Regelungen. Das Gesetz berücksichtigt, dass aufgrund der Gemeinschaftsbezogenheit und -gebundenheit der Einzelnen und des dadurch bestehenden Spannungsverhältnisses zwischen dem Persönlichkeitsrecht der Einzelnen und den Interessen der Allgemeinheit die Einzelnen im überwiegenden Allgemeininteresse bestimmte Einschränkungen ihres Rechts auf informationelle Selbstbestimmung hinnehmen müssen. Es gibt hierfür vorbehaltlich bereichsspezifischer Regelungen die erforderliche rechtliche Grundlage. Des Weiteren sieht das DSG LSA organisatorische und verfahrensrechtliche Vorkehrungen vor, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.

1.2 Datensparsamkeit und Datenvermeidung

Die Pflichten zur Datensparsamkeit und Datenvermeidung sind Konkretisierungen des Grundsatzes der Verhältnismäßigkeit bei der Gestaltung von Datenverarbeitungsverfahren. Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist soweit wie möglich zu vermeiden. Auf die Kenntnis der Identität Betroffener während der Datenverarbeitungsvorgänge ist zu verzichten, soweit dies sachgerecht und technisch möglich ist. Reicht eine anonymisierte oder pseudonymisierte Erhebung, Verarbeitung oder Nutzung von Daten aus, ist davon Gebrauch zu machen. Nach dem letzten Halbsatz muss die Anonymisierung und Pseudonymisierung nur erfolgen, wenn der durch diese Maßnahmen verursachte Aufwand in einem angemessenen Verhältnis zu dem vom Gesetz verlangten Schutz der Daten steht. Die Ausführungen zu § 6 Abs. 1 Satz 2 gelten entsprechend.

2. Zu § 2 (Begriffsbestimmungen)

2.1 Allgemeine Begriffsbestimmungen

Die Begriffsbestimmungen entsprechen grundsätzlich denen des § 3 BDSG. Sie weichen mitunter vom üblichen Sprachgebrauch, aber auch von Begriffsinhalten der Informationstechnologie ab. Um eine gleichmäßige Anwendung des Gesetzes zu erreichen, ist von Folgendem auszugehen:

2.1.1 Personenbezogene Daten

Einzelangaben sind Daten, die eine natürliche lebende Person (Betroffene oder Betroffener) bestimmen oder bestimmbar machen (z.B. Name, Personalnummer, Sozialversicherungsnummer, Personalausweisnummer, Kfz-Kennzeichen). Einzelangaben sind aber auch Daten, die in der Person der Betroffenen liegende oder auf die Betroffenen bezogene Sachverhalte beschreiben (z.B. Adresse, Einkommen, Familienstand, Geburtsdatum, Staatsangehörigkeit, Krankheit, Zeugnisnoten, Berufsbezeichnung); auch Werturteile, Planungs- und Prognosedaten über Betroffene gehören dazu. Einzelangaben in diesem Sinne sind nicht nur Daten, an deren Geheimhaltung die Betroffenen Interesse haben (Geheimnisse), sondern auch jedwede andere Angaben zur Person.

Die Einzelangaben können persönliche oder sachliche Verhältnisse einer Person betreffen (z.B. Familienstand, Geschlecht, Geburtsdatum einerseits, Besitz, Eigentum, Kraftfahrzeug, Wasserverbrauch andererseits). Die Unterscheidung ist wegen der gleichen Rechtsfolge nicht begriffserheblich, in der Praxis oft fließend.

Nicht personenbezogen und damit vom Schutzbereich des Gesetzes nicht erfasst sind Daten über juristische Personen (AG, KG auf Aktien) oder über Personenvereinigungen (z.B. offene Handelsgesellschaften, nicht rechtsfähige Vereine), soweit kein Rückschluss auf eine natürliche Person möglich ist. Dieser Rückschluss ist nicht gegeben, soweit eine natürliche Person nur in ihrer Eigenschaft als Organ oder z.B. als Geschäftsführer oder Geschäftsführerin einer juristischen Person erfasst ist. Der Schutz von Daten über juristische Personen und andere in Satz 1 genannte Stellen bestimmt sich gegebenenfalls nach

1. allgemeinen Vorschriften, z.B. nach § 1 Abs. 1 Satz 1 des Verwaltungsverfahrensgesetzes Sachsen-Anhalt (VwVfG LSA) vom 18.11.2005 (GVBl. LSA S. 698, 699) i. V. m. § 30 des Verwaltungsverfahrensgesetzes (VwVfG), § 203 des Strafgesetzbuches (StGB)
2. speziellen Regelungen wie § 16 des Bundesstatistikgesetzes (BStatG) vom 22.01.1987 (BGBl. I S. 462, 565), zuletzt geändert durch Art. 2 des Gesetzes vom 09.06.2005 (BGBl. I S. 1534), in der jeweils geltenden Fassung.

Die natürliche Person muss bestimmt (z.B. durch Identifizierungsdaten wie Name und Anschrift, Personalnummer, Kontonummer) oder bestimmbar sein (z.B. durch Bezugnahme auf andere Daten oder äußere Umstände). Aggregierte Daten (Summendaten), wie sie z.B. in der Statistik anfallen, sind nicht personenbezogen; enthält die statistische Gruppe nur Angaben über eine oder zwei Personen, so sind die Daten grundsätzlich wieder personenbezogen.

Bei personenbezogenen Daten, bei denen die verantwortliche Stelle Namen und Anschrift der Betroffenen nicht kennt, ist sie von der Einhaltung solcher Bestimmungen entbunden, die eine solche Kenntnis voraussetzen.

2.1.2 Personenbezogene Daten besonderer Art

Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben sind besonders schützenswert. Sie werden entsprechend § 3 Abs. 9 BDSG als personenbezogene Daten besonderer Art definiert. Die Erhebung, Verarbeitung oder Nutzung solcher Daten ist zusätzlichen formellen (§ 14 Abs. 2 Satz 1) und materiellen (§ 26 Abs. 1) Anforderungen unterworfen.

2.1.3 Allgemein zugängliche personenbezogene Daten

Personenbezogene Daten sind dann allgemein zugänglich, wenn sie jedermann ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgeltes frei verwenden kann. Hierzu zählen insbesondere personenbezogene Daten, die allgemein zugänglichen Quellen entnommen werden können (z.B. Tageszeitungen, Telefonbüchern, Internet).

2.2 Automatisiertes Verfahren

2.2.1.1 Die Definition des automatisierten Verfahrens beschränkt sich auf die Beschreibung der wesentlichen Kriterien, nämlich dass durch den gesteuertem Einsatz von Technik ohne weiteres menschliches Zutun die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten abläuft. Die Definition ist so offen formuliert, dass sie auch künftigen technischen Entwicklungen gerecht wird. Es kommt nicht auf die Speicherung in einer einzelnen Datei an. Entscheidend ist auch nicht, wie viele personenbezogene Daten, oder Merkmale erhoben, verarbeitet oder genutzt werden. Regelungsgegenstand sind Vorgänge oder Vorgangsreihen; diese sind mit dem Begriff Verfahren umschrieben

Auf das Vorliegen eines automatisierten Verfahrens stellen eine Vielzahl von Regelungen des Gesetzes ab, z.B. die Regelungen zum Verfahrensverzeichnis (§ 14 Abs. 3), zur Einsetzung des Beauftragten für den Datenschutz (§ 14a Abs. 1) und zur Gefährdungshaftung (§ 18 Abs. 2).

2.2.1.2a Datei ¹²

Das Gesetz verwendet einen doppelten Dateibegriff. Es unterscheidet zwischen automatisierten und nichtautomatisierten Dateien. Der Dateibegriff hat bei Anwendung des DSG LSA nur geringe Bedeutung. Das DSG LSA regelt die materielle Zulässigkeit des Umgangs öffentlicher Stellen mit personenbezogenen Daten grundsätzlich unabhängig davon, ob automatisierte Verfahren eingesetzt werden oder ob die Daten in nichtautomatisierten Dateien oder Akten enthalten sind. Der Dateibegriff ist nur bei der Anwendung einzelner Regelungen des DSG LSA bedeutsam, insbesondere bei solchen verfahrensrechtlicher Art.

2.2.1.2b Automatisierte Datei

Im zweiten Halbsatz wird die bisherige Definition der automatisierten Datei beibehalten. Dies ist erforderlich, weil der Begriff automatisierte Datei in vielen bereichsspezifischen Rechtsvorschriften zum Datenschutz noch verwendet wird. Automatisierte Dateien sind sämtliche elektronisch verarbeiteten Datenbestände personenbezogenen Inhalts, die automatisiert ausgewertet werden können. Von dem Begriff erfasst werden auch Bild- und Tonaufzeichnungen in digitalisierter Form, bei denen eine Auswertbarkeit durch automatisierte Verfahren gegeben ist.

2.2a Nichtautomatisierte Datei

Nichtautomatisierte Datei ist jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen (mindestens zwei) geordnet, umgeordnet und ausgewertet werden kann (z.B. Kartei, Register, Sammlung von ausgefüllten Antragsvordrucken; nicht aber eine Liste, da sie - ohne physische Veränderung - nicht umgeordnet werden kann). Gleichartig aufgebaut ist eine Sammlung von Daten, die sich entweder auf einem einzigen Datenträger oder auf mehreren physisch gleichartigen Datenträgem (z.B. Karteikarten) befindet. Die darauf gespeicherten Daten müssen auf dem Datenträger in einer bestimmten Ordnung enthalten sein, also in einer für die weitere Verarbeitung geeigneten Weise formalisiert sein.

2.3 Akte ¹²

Obwohl das DSG LSA - anders als das BDSG für den nichtöffentlichen Bereich - bei seiner Anwendung nicht auf den Umgang mit personenbezogenen Daten in automatisierten Verfahren und in oder aus nichtautomatisierten Dateien beschränkt ist, kommt der Definition der Akte Bedeutung zu. Das Gesetz trifft für Akten einzelne differenzierende Regelungen, die auf die Besonderheiten dieses Mediums abstellen. Akte ist abweichend vom allgemeinen Sprachgebrauch jede sonstige amtlichen, dienstlichen oder Geschäftszwecken dienende Unterlage, die nicht Datei ist. Bild- und Tonträger sind danach Akten, sofern sie nicht bereits als nichtautomatisierte Dateien einzustufen sind oder Teil eines automatisierten Verfahrens sind. Nicht vom Aktenbegriff erfasst werden Notizen und Vorentwürfe. Die Sonderregelungen für Akten und Aktensammlungen gelten nicht, soweit diese durch automatisierte Verfahren umgeordnet und ausgewertet werden können. Das entsprechende Verfahren muss eingerichtet und einsatzbereit sein.

2.4 Erheben

Erheben ist die zielgerichtete (= mit Wissen und Wollen) Beschaffung oder Entgegennahme personenbezogener Daten, und zwar auch dann, wenn der Vorgang nicht in eine Verarbeitung oder Nutzung einmündet. Beispiel: Eine Befragung ergibt, dass keine weiteren Maßnahmen zu treffen sind. Die Übermittlung auf Ersuchen ist seitens der ersuchenden Stelle (Stelle, an die übermittelt werden soll) stets auf eine Erhebung gerichtet.

2.5 Verarbeitung

2.5.2.1 Speichern

Speichern ist das Erfassen, Aufnehmen oder Aufbewahren (z.B. gezielte Aneignung zum Zwecke eigener Verwendung) personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Datenträger ist jeder Informationsträger, auf dem Daten lesbar festgehalten sind, z.B. auch eine Liste oder ein einzelnes Blatt. Bereits die Kenntnisnahme unaufgefordert mitgeteilter personenbezogener Daten mit dem Ziele ihrer weiteren Verwendung ist Speichern. Das Speichern endet mit dem Löschen der Daten.

2.5.2.3 Übermitteln

Übermitteln setzt grundsätzlich voraus, dass personenbezogene Daten zielgerichtet in den Einflussbereich eines Dritten (Nr. 2.9) gelangen. Auch eine unbeabsichtigte, aber tatsächlich erfolgte Übermittlung kann zielgerichtet sein.

Weitergeben umfasst sowohl die physische Übergabe, Aushändigung oder Übersendung von Datenträgern als auch die bloße Informationsvermittlung (z.B. fernmündlich oder durch schlüssiges Verhalten). Hierbei ist nicht erforderlich, dass der Dritte die Daten tatsächlich zur Kenntnis nimmt. Zum Weitergeben innerhalb der verantwortlichen Stelle und an Auftragnehmer siehe Nrn. 2.6 und 2.9.

Eine Übermittlung durch Einsicht oder Abruf liegt nur vor, wenn der Dritte von der verantwortlichen Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten tatsächlich einsieht oder abruft.

Ein Unterfall der Übermittlung ist die Veröffentlichung. Hierbei handelt es sich um die ungezielte Weitergabe von Daten an unbestimmte Dritte, z.B. in einem Presseorgan. Das Merkmal der Veröffentlichung ist aber auch erfüllt, wenn Daten zum Abruf für unbestimmte Dritte, also für jedermann, bereitgehalten werden.

2.5.2.4 Sperren

Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen; sie dürfen nur noch unter eingeschränkten Voraussetzungen übermittelt oder genutzt werden (Nr. 16.5).

2.5.2.5 Löschen

Mit dem Löschen endet die Verarbeitung der Daten. Löschen liegt vor, wenn die Daten von Menschen auch unter Zuhilfenahme technischer Mittel nicht mehr zur Kenntnis genommen werden können. Das kann in verschiedener Form geschehen. Auf Papier können Schriftzeichen durch Ausstreichen, Überschreiben oder Schwärzen unkenntlich gemacht werden, aber auch durch Vernichten des Datenträgers (z.B. Verbrennen oder Zerkleinern im Reißwolf). Auf maschinenlesbaren Datenträgern sind Daten dann unkenntlich, wenn durch technische oder organisatorische Mittel sichergestellt ist, dass sie von niemandem mehr zur Kenntnis genommen werden können. Das kann z.B. durch Neuformatierung von Magnetschichten (z.B. Überschreiben) geschehen, wenn die Daten danach für den Lesekopf der Verarbeitungsanlage nicht mehr lesbar gemacht werden können. Ein Datenbestand ist erst dann vollständig gelöscht, wenn auch die Datenträger, die der Datensicherung dienen (Duplikate, Archivbänder). gelöscht wurden.

2.6 Nutzen ¹²

Nutzen ist jede Verwendung personenbezogener Daten, die nicht den Begriff der Verarbeitung erfüllt. Dies betrifft wiederum Dateien wie Akten. Das Nutzen ist ein Auffangtatbestand, der immer dann greift, wenn eine Verwendung der Daten keiner Phase der Datenverarbeitung zugeordnet werden kann. Damit wird sichergestellt, dass jeder Umgang mit personenbezogenen Daten vom Gesetz erfasst wird. Nutzen ist insbesondere die Verwendung personenbezogener Daten innerhalb der verantwortlichen Stelle, z.B. die interne Weitergabe an eine andere Organisationseinheit innerhalb der gleichen Behörde. Die daran beteiligten Organisationseinheiten sind zueinander grundsätzlich nicht Dritte (Nr. 2.9).

Eine Nutzung liegt auch vor, wenn ein Datenabgleich durchgeführt wird. Fehlt bei der Informationsverwendung der Personenbezug, liegt ein Nutzen im Sinne des DSG LSA nicht vor.

2.7 Anonymisieren

Es wird klargestellt, dass personenbezogene Daten nicht nur dann anonymisiert sind, wenn ein Personenbezug überhaupt nicht mehr herstellbar ist, sondern auch dann, wenn die Zuordnung nur noch mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft möglich wäre (faktische Anonymisierung). Je sensibler die Daten sind, desto größer muss der Aufwand sein, sie zu repersonifizieren.

2.7a Pseudonymisieren ¹²

Pseudonymisieren ist das Verändern personenbezogener Daten durch Verwendung einer Zuordnungsfunktion derart, dass mit verhältnismäßigem Aufwand Einzelangaben nur in Kenntnis dieser Funktion einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. An die Stelle identifizierbarer Daten tritt ein Pseudonym, das es ermöglicht, Daten ohne Kenntnis der Identität des Betroffenen zu nutzen. Bei der Wahl der Zuordnungsfunktionen ist darauf zu achten, dass die Pseudonyme möglichst wenig Informationsgehalt aufweisen. Pseudonyme können von unterschiedlichen Personen vergeben werden:

1. durch die betroffene Person,
2. durch einen vertrauenswürdigen Dritten, der allein die Zuordnungsfunktion kennt (z.B. pseudonymisierter Signaturschlüssel nach § 7 des Signaturgesetzes vom 16.05.2001, BGBl. I S. 876, zuletzt geändert durch Art. 4 des Gesetzes vom 26.02.2007, BGBl. I S. 179, in der jeweils geltenden Fassung),
3. durch den Datenverwender.

Im Rahmen des DSG LSA kommen kurz- und mittelfristig vor allem die Varianten nach Buchst. a und c in Betracht.

2.8 Verantwortliche Stelle

Verantwortliche Stelle ist diejenige Stelle, die Daten für die ihr übertragenen Aufgaben selbst erhebt, verarbeitet oder nutzt oder durch Auftragnehmer erheben, verarbeiten oder nutzen lässt. Werden personenbezogene Daten im Auftrag verarbeitet, ist im Rahmen des Auftrages der Auftragnehmer nicht verantwortliche Stelle; dies ist vielmehr der jeweilige Auftraggeber. Verantwortliche Stellen sind grundsätzlich nicht die juristischen Personen des öffentlichen Rechts selbst, sondern deren Behörden und die von ihnen getragenen sonstigen öffentlichen Stellen. Das Gesetz geht vom organisatorischen und nicht vom funktionalen Stellenbegriff aus; d. h. verschiedene Organisationseinheiten einer Behörde sind grundsätzlich zueinander nicht Dritte, wohl aber Empfänger (Nr. 2.10). Außenstellen einer Behörde sind Teile der verantwortlichen Stelle, soweit sie nicht organisatorisch verselbständigt sind.

2.9 Dritter

2.9.1 Grundsätzlich ist jeder außerhalb der verantwortlichen Stelle Dritter. Außerhalb der verantwortlichen Stelle steht jede natürliche oder juristische Person, Gesellschaft oder andere Personenvereinigung des privaten Rechts sowie jede öffentliche Stelle, die nicht mit der verantwortlichen Stelle identisch oder ein Teil von ihr ist. Maßgebend ist die juristische, nicht die wirtschaftliche Betrachtungsweise.

2.9.2 Als Dritte gelten nicht

1. Betroffene oder
2. diejenigen Stellen, die im Inland, in einem anderen Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.

2.10 Empfänger

Der Begriff Empfänger steht für alle, die Daten erhalten in ihrer Eigenschaft als

1. Dritte,
2. Personen oder Stellen, die für die verantwortliche Stelle personenbezogene Daten im Auftrag verarbeiten oder nutzen, oder
3. anderer Organisationsteil der verantwortlichen Stelle, dem Daten für andere Zwecke zur Verfügung gestellt werden.

Die Einbeziehung anderer Organisationsteile der verantwortlichen Stelle berücksichtigt den Beschluss des BVerfG vom 18.12.1987 (NJW 1988 S. 959), wonach auch innerhalb einer verantwortlichen Stelle eine aufgabenspezifische Trennung im Umgang mit personenbezogenen Daten besteht (informationelle Gewaltenteilung). Die stelleninterne Weitergabe personenbezogener Daten ist grundsätzlich keine Übermittlung, sondern ein Unterfall der Nutzung. Diese Differenzierung hat überwiegend formale Bedeutung, da die materiellen Voraussetzungen der internen Weitergabe nach § 10 und der Übermittlung im öffentlichen Bereich nach § 11 regelmäßig übereinstimmen.

Nicht Empfänger im Sinne des Gesetzes sind Betroffene.

2.11 Mobiler personenbezogener Datenträger

Dies ist ein Datenträger, der alle Voraussetzungen des Abs. 11 Nrn. 1 bis 3 erfüllt. Die Definition des mobilen personenbezogenen Datenträgers erfasst nicht nur intelligente Medien, insbesondere Chipkarten, sondern auch nicht intelligente Medien, z.B. Magnetkarten oder maschinenlesbare Ausweise. Es wird nicht nur auf Prozesse abgestellt, die auf dem Medium ablaufen, sondern auch auf solche, die durch das Medium in anderen Datenverarbeitungssystemen ausgelöst werden.

Je nach Verwendung können mittels solcher Datenträger Bewegungsprofile erstellt oder beim Einlesen des Datenträgers gespeicherte Daten unbewusst anderen verfügbar gemacht werden. Um diesen Risiken für die Gewährleistung des Rechts auf informationelle Selbstbestimmung zu begegnen, ist vor dem Einsatz mobiler Datenträger nach § 14 Abs. 2 die Vorabkontrolle vorgeschrieben.

Soweit RFID-Tags durch öffentliche Stellen an Betroffene ausgegeben werden und unmittelbar der Verarbeitung personenbezogener Daten dienen, handelt es sich um Datenträger im Sinne des § 2 Abs. 11.

3. Zu § 3 (Anwendungsbereich)

Grundsätzlicher Anwendungsbereich

Die Vorschrift legt den Anwendungsbereich des DSG LSA und die Ausnahmen hiervon fest. Dabei stellt das DSG LSA grundsätzlich nur auf die Eigenschaft des Adressaten als einer öffentlichen Stelle ab, ohne danach zu differenzieren, ob dieser hoheitlich oder fiskalisch handelt.

3.1 Öffentliche Stelle ¹²

Abs. 1 führt die Adressaten des DSG LSA an. Satz 1 trifft zugleich eine Legaldefinition öffentlicher Stellen des Landes. Hierzu gehören nicht die Kirchen (Nr. 11.4), wohl aber die Ortskrankenkasse, die allerdings in ihrer Eigenschaft als Leistungsträger bereichsspezifischen Datenschutzvorschriften des Zehnten Buches Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - ( SGB X) i. d. F. der Bek. vom 18.01.2001 (BGBl. I S. 130), zuletzt geändert durch Art. 263 der Verordnung vom 31.10.2006 (BGBl. I S. 2407), in der jeweils geltenden Fassung unterfällt.

3.1.1.1 Behörde

Behörde ist entsprechend § 1 Abs. 2 VwVfG LSA jede organisatorisch selbständige Stelle, der Aufgaben der öffentlichen Verwaltung zur eigenverantwortlichen Wahrnehmung übertragen sind (z.B. auch die Landtagsverwaltung, der Gerichtspräsident). Äußeres Zeichen der organisatorischen Selbständigkeit ist insbesondere die Befugnis zum eigenverantwortlichen Auftreten im eigenen Namen nach außen. Amtsträger oder Dienststellen, die nach den maßgeblichen organisatorischen Bestimmungen nur im Namen und mit Wirkung für und gegen andere Stellen handeln können, insbesondere Ämter, Sachgebiete, Dezernate, Referate und Abteilungen einer Behörde, sind nicht selbst Behörde oder öffentliche Stelle im Sinne dieses Gesetzes.

3.1.1.2 Organe der Rechtspflege

Zu den Organen der Rechtspflege zählen neben den Gerichten, soweit sie in ihrer originären Funktion der Streitentscheidung in Rechtssachen und im Bereich der freiwilligen Gerichtsbarkeit tätig werden, die Staatsanwaltschaften, die Strafvollzugsbehörden, die Gerichtsvollzieher und die Schiedspersonen. Auch Notare sind Organe der Rechtspflege, da sie Träger eines öffentlichen Amtes sind, durch Hoheitsakt bestellt werden und der Dienstaufsicht der Landesjustizverwaltung unterliegen. Nach § 1 der Bundesrechtsanwaltsordnung in der im BGBl. III, Gliederungs-Nr. 303-8, veröffentlichten bereinigten Fassung, zuletzt geändert durch Art. 1 des Gesetzes vom 26.03.2007 (BGBl. I S. 358), in der jeweils geltenden Fassung, sind auch Rechtsanwälte Organe der Rechtspflege; sie werden aber von § 3 deshalb nicht erfasst, weil es an einer öffentlich-rechtlichen Organisationsform fehlt. Für Rechtsanwälte gelten die für nichtöffentliche Stellen einschlägigen Vorschriften des Bundesdatenschutzgesetzes.

3.1.1.3 Andere öffentlich-rechtlich organisierte Einrichtungen

Andere öffentlich-rechtlich organisierte Einrichtungen sind nach außen eigenverantwortlich handelnde Stellen, die keine Behördeneigenschaft besitzen, z.B. der Landtag als Parlament, Stellen mit lediglich fiskalischen Aufgaben und öffentliche Wettbewerbsunternehmen.

3.1.1.4 Vereinigungen ¹²

Vereinigungen juristischer Personen des öffentlichen Rechts sind ungeachtet ihrer Rechtsform öffentliche Stellen (z.B. die kommunalen Spitzenverbände). Vereinigungen in diesem Sinne sind auch Personen- oder Kapitalgesellschaften (des privaten Rechts), bei denen ausschließlich Adressaten des DSG LSA (das Land, die Gemeinden, die Landkreise und sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts) Gesellschafter sind oder sämtliche Anteile halten. Dies gilt auch, wenn die Vereinigung nur von einer juristischen Person des öffentlichen Rechts gebildet ist, gegebenenfalls über eine Schachtelbeteiligung.

Der Begriff der Vereinigung ist hier nach dem Normzweck so auszulegen, dass entscheidendes weiteres Kriterium die Erfüllung einer öffentlichen Aufgabe ist. Im Bereich der Daseinsvorsorge ist von einer solchen Aufgabe nur auszugehen, wenn sich die öffentliche Hand der Wahrnehmung nicht entziehen kann, weil ein dringender öffentlicher Bedarf für eine wirtschaftliche Betätigung der öffentlichen Hand besteht. Dies ist z.B. bei Aufgaben des öffentlichen Personennahverkehrs der Fall. Soweit die Vereinigungen - ganz oder teilweise - keine öffentlichen Aufgaben in diesem Sinne erfüllen (z.B. Energieversorgung, Wohnungswirtschaft, Betrieb einer jedermann zugänglichen Kfz-Werkstatt), gilt für sie - wie für andere nichtöffentliche Stellen - uneingeschränkt das BDSG.

Stehen die Vereinigungen bei Erledigung einer öffentlichen Aufgabe im oben beschriebenen Sinne faktisch oder potentiell im Wettbewerb, ist § 3 Abs. 2 Nr. 1 anzuwenden. Die Kontrolle erfolgt in diesem Fall durch den Landesbeauftragten für den Datenschutz unter überwiegender Anwendung des BDSG.

3.1.2 Beliehene

Nichtöffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen (beliehene Unternehmer), sind z.B. die Kfz-Sachverständigen des TÜV und die Öffentlich bestellten Vermessungsingenieure. Soweit diese Stellen im Rahmen der Beleihung tätig werden, gelten sie als öffentliche Stellen.

Im Übrigen sind nichtöffentliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG).

3.2 Ausnahmen vom Anwendungsbereich des DSG LSA ¹²

3.2.1 Am Wettbewerb teilnehmende öffentliche Unternehmen

Soweit Unternehmen, die öffentlich-rechtlich organisiert sind (z.B. Eigenbetriebe oder selbständige Anstalten des öffentlichen Rechts) am Wettbewerb teilnehmen, werden sie den materiellen Datenschutzbestimmungen, die das Bundesdatenschutzgesetz für den nichtöffentlichen Bereich trifft, unterworfen. Diese Vorschriften kommen gemäß § 1 Abs. 2 Nr. 3 bzw. § 27 BDSG grundsätzlich nur zur Anwendung, wenn personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen oder in oder aus nichtautomatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden, nicht aber bei herkömmlicher Informationsverarbeitung in Akten. Die Unternehmen sind verpflichtet, die Durchführung des Datenschutzes gemäß § 14 zu gewährleisten. Sie haben Verfahrensverzeichnisse nach § 14 Abs. 3 zu führen und Beauftragte für den Datenschutz nach § 14a einzusetzen. Zu beachten sind ferner die Regelungen über den Umgang mit Personal- und Bewerberdaten in § 28 und zum Fernmessen und Fernwirken in § 29. Die Unternehmen unterliegen der Kontrolle durch den Landesbeauftragten für den Datenschutz in §§ 19, 22 bis 24.

3.2.1.1 Krankenhäuser

Krankenhäuser in öffentlich-rechtlicher Trägerschaft gehören zu den öffentlich-rechtlichen Wettbewerbsunternehmen. Bei Erledigung hoheitlicher Aufgaben (z.B. Zwangseinweisungen) nehmen sie nicht am Wettbewerb teil. Soweit Krankenhausträger ein entsprechendes Unternehmen in ihrer Eigenschaft als Sozialleistungsträger nach § 35 des Ersten Buches Sozialgesetzbuch - Allgemeiner Teil - (SGB I) vom 11.12.1975 (BGBl. I S. 3015), zuletzt geändert durch Art. 2 Abs. 15 des Gesetzes vom 05.12.2006 (BGBl. I S. 2748) in der jeweils geltenden Fassung, betreiben, unterliegt das Krankenhaus nach Maßgabe des § 81 Abs. 4 Satz 3 SGB X einzelnen Vorschriften des ersten und zweiten Abschnitts des Bundesdatenschutzgesetzes (Nr. 3.3).

3.2.1.2 Krankenkassen

Soweit sich Krankenkassen, die der Aufsicht des Landes unterstehen (z.B. die Ortskrankenkasse, Innungskrankenkassen, Landwirtschaftliche Krankenkassen oder bestimmte Betriebskrankenkassen) darum bemühen, freiwillig Versicherte im Sinne des § 9 des Fünften Buches Sozialgesetzbuch - Gesetzliche Krankenversicherung - (SGB V) vom 20.12.1988 (BGBl. I S. 2477), zuletzt geändert durch Art. 6 Abs. 3 des Gesetzes vom 20.07.2007 (BGBl. I S. 1574, in der jeweils geltenden Fassung, zu gewinnen oder nicht mehr Versicherungspflichtige als freiwillig Versicherte zu übernehmen, stehen sie damit im Wettbewerb zu privaten Krankenversicherungen. Sie werden insoweit aber nicht zu Wettbewerbsunternehmen im Sinne des § 3 Abs. 2 Nr. 1; die Beziehungen zwischen Krankenkasse und freiwillig Versicherten bestimmen sich ausschließlich nach Sozialleistungsrecht.

3.2.2 Öffentlichrechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten ^{10 12}

Öffentlichrechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten unterliegen allen Vorschriften des Bundesdatenschutzgesetzes, die auf entsprechende privatrechtliche Unternehmen anzuwenden sind, also auch der Kontrolle der Aufsichtsbehörde nach § 38 BDSG. Im Übrigen ist nur § 28 zu beachten, der den Umgang mit Personal- und Bewerberdaten regelt.

Öffentlichrechtliche Versicherungsanstalten, bei denen Beitrittszwang besteht, nehmen insoweit nicht am Wettbewerb teil und. fallen deshalb insoweit in den Anwendungsbereich des DSG LSA. Dieses gilt auch für organisatorisch und aufgabenmäßig verselbständigte Teile öffentlich-rechtlicher Kreditinstitute und Versicherungsanstalten, die dem Wettbewerb nicht zugängliche Aufgaben der öffentlichen Verwaltung wahrnehmen, z.B. die Investitionsbank Sachsen-Anhalt, soweit sie über die Vergabe von Subventionen und Wohnungsbaufördermitteln entscheidet.

3.2.3 Ausübung des Gnadenrechts ¹²

Auch wenn wegen verfahrensmäßiger Besonderheiten bei der Ausübung des Gnadenrechts das DSG LSA nicht gilt, sollte im Interesse des Persönlichkeitsschutzes soweit wie möglich entsprechend den materiellrechtlichen Vorgaben des DSG LSA verfahren werden.

3.3 Andere Rechtsvorschriften

3.3.1 Subsidiarität des DSG LSA ¹²

Das DSG LSA gilt nur subsidiär. Soweit andere Rechtsvorschriften auf personenbezogene Daten anzuwenden sind, haben sie Vorrang, z.B.

1. das Gesetz über die öffentliche Sicherheit und Ordnung des Landes Sachsen-Anhalt (SOG LSA) i. d. F. der Bek. vom 23.09.2003 (GVBl. LSA S. 214),
2. das Gesetz über den Verfassungsschutz im Land Sachsen-Anhalt ( VerfSchG-LSA) i. d. F. der Bek. vom 06.04.2006 (GVBl. LSA S. 236), zuletzt geändert durch Gesetz vom 16.11.2006 (GVBl. LSA S. 524), und
3. das Meldegesetz des Landes Sachsen-Anhalt ( MG LSA) i. d. F. der Bek. vom 11.08.2004 (GVBl. LSA S. 506), zuletzt geändert durch Art. 17 des Gesetzes vom 18.11.2005 (GVBl. LSA S. 698, 702),

in der jeweils geltenden Fassung. Vorrang haben auch solche Rechtsvorschriften, die keine Datenschutzregelungen treffen, aber auf personenbezogene Daten anzuwenden sind, z.B. § 71 LHO hinsichtlich der Pflicht zur Buchführung. Der Umfang des Vorrangs anderer Rechtsvorschriften ist bei der Herausgabe von Verwaltungsvorschriften hierzu allgemein, im Übrigen anlässlich der laufenden Bearbeitung im Einzelfall zu ermitteln.

Treffen de anderen Rechtsvorschriften nur teilweise Regelungen, gilt ergänzend das DSG LSA. Zum Beispiel ist die Pflicht zu technischen und organisatorischen Maßnahmen im Sinne des § 6 nicht im SOG LSA geregelt.

Für Rechtsvorschriften des Bundes ergibt sich der Vorrang bereits aus Art. 71, 72 oder 31 des Grundgesetzes. Solche Regelungen sind z.B.

1. §§ 67 bis 85 SGB X,
2. § 16, 21 und 22 des Passgesetzes vom 19.04.1986 (BGBl. I S. 537), zuletzt geändert durch Art. 1 des Gesetzes vom 20.07.2007 (BGBl. I S. 1566),
3. § 61 des Personenstandsgesetzes in der im BGBl. III, Gliederungs-Nr. 211-1, veröffentlichten bereinigten Fassung,
4. §§ 86 bis 91a des Aufenthaltsgesetzes vom 30.07.2004 (BGBl. I S. 1950), zuletzt geändert durch Art. 6 des Gesetzes vom 20.07.2007 (BGBl. I S. 1566) und
5. §§ 474 bis 495 der Strafprozessordnung (StPO)

in der jeweils geltenden Fassung.

3.3.2 Berufs- oder besondere Amtsgeheimnisse

Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. So ist z.B. das Arztgeheimnis nur standesrechtlich geregelt, auch wenn dessen Verletzung nach § 203 StGB strafbewehrt ist.

3.4 Abgrenzung zum VwVfG LSA i. V. m dem VwVfG ¹²

Bei der Ermittlung des Sachverhalts im Verwaltungsverfahren ist das DSG LSA gegenüber dem VwVfG LSA i. V. m dem VwVfG vorrangig; dies ist insbesondere bei Anwendung des Untersuchungsgrundsatzes (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 24 VwVfG) und der Beiziehung von Beweismitteln (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 26 VwVfG) zu beachten. Eine um Amtshilfe ersuchte Behörde darf bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Amtshilfe nur leisten, soweit dies insbesondere nach § 11 DSG LSA zulässig ist. Ansonsten bestehen rechtliche Hinderungsgründe im Sinne des § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 5 Abs. 2 Satz 1 Nr. 2 VwVfG.

4. Zu § 4 (Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung)

4.1 Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung ¹²

Ob eine Erhebung, Verarbeitung öder Nutzung personenbezogener Daten zulässig ist, kann sich aus anderen Rechtsvorschriften (Nr. 3.3) oder dem DSG LSA selbst ergeben (z.B. §§ 4, 9, 10, 11). Gemeint sind damit materielle Rechtsnormen im weitesten Sinne; z.B. auch kommunale Satzungen und Satzungen sonstiger öffentlich-rechtlicher Körperschaften (z.B. der IHK). Ein Schluss von der Aufgabe auf die Befugnis ist grundsätzlich nicht möglich.

Die entsprechende Rechtsvorschrift muss die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ausdrücklich erlauben oder vorschreiben.

4.2 Einwilligung

Soweit die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von der Einwilligung Betroffener abhängig gemacht wird, ist eine informierte Einwilligung vorgesehen. Die Einwilligung ist die vorherige Zustimmung Betroffener. Die Betroffenen müssen handlungsfähig (§ 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 12 VwVfG) sein (z.B. Religionsmündigkeit ab Vollendung des 14. Lebensjahres nach § 5 des Gesetzes über die religiöse Kindererziehung in der im BGBl. III, Gliederungs-Nr. 404-9, veröffentlichten bereinigten Fassung, geändert durch Art. 7 § 31 des Betreuungsgesetzes vom 12.09.1990, BGBl. I S. 2002 in der jeweils geltenden Fassung, eigene Meldepflicht nach § 9 Abs. 3 MG LSA ab Vollendung des 16. Lebensjahres). Sind Betroffene nicht handlungsfähig, erteilen die gesetzlichen Vertreter oder im Rahmen ihres Aufgabenkreises Betreuer im Sinne des Betreuungsgesetzes die Einwilligung.

Ein Muster für Einwilligungserklärungen ist als Anlage 1 beigefügt.

Die Einwilligung kann genutzt werden, um im Falle der Zweckänderung vom Grundsatz der Erhebung bei Betroffenen abzuweichen. Hierdurch können die Betroffenen über die Fälle des § 10 Abs. 2 Nr. 3 hinaus von Mehrfacherhebungen freigestellt werden.

4.2.1 Allgemeine Anforderungen

Die Einwilligung muss hinreichend bestimmt sein. Besondere Bedeutung kommt der Information der Betroffenen zu.

4.2.2 Form

Soweit nicht wegen besonderer Umstände eine andere Form oder ein anderer Inhalt angemessen ist, bedarf die Einwilligung der Schriftform (§ 126 des Bürgerlichen Gesetzbuches - BGB und muss die Art der Daten, die Form ihrer Verarbeitung und die Dritten, an die Übermittlungen vorgesehen sind, bestimmen. Ist damit zu rechnen, dass die Daten von manuellen in automatisierte Verfahren übernommen werden, sollte die Einwilligung auch zur automatisierten Verarbeitung eingeholt werden.

Die Ersetzung der Schriftform durch die elektronische Form (mit qualifizierter elektronischer Signatur) kann nach § 126a BGB oder für die öffentlich-rechtliche Verwaltungstätigkeit nach § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 3a Abs. 2 VwVfG erfolgen. Eine geringerwertige als die qualifizierte elektronische Signatur kommt in Betracht, wenn nach § 4 Abs. 2 Satz 2 wegen des Vorliegens besonderer Umstände von der Schriftform abgewichen.

4.2.3 Mehrzahl von Erklärungen

Die Einwilligung kann auch zusammen mit anderen Erklärungen schriftlich erteilt werden; sie ist dann aber drucktechnisch besonders hervorzuheben.

4.2.4 Widerruf

Das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ist abdingbar (Nr. 17.1). Haben sich Betroffene einmal mit der Erhebung, Verarbeitung oder Nutzung einverstanden erklärt, so wird bei unveränderten Verhältnissen davon ausgegangen werden können, dass die Einwilligung weiterhin Gültigkeit besitzt und nicht erneut eingeholt werden muss.

4.3 - 4.3.2 (aufgehoben)

4.4 Einwendungsrecht

4.4.1 Recht der Betroffenen

Die Betroffenen haben das Recht, sich gegen die Erhebung, Verarbeitung oder Nutzung ihrer Daten zu wenden, auch wenn die rechtlichen Voraussetzungen für den Umgang mit den Daten dem Grunde nach vorliegen. Für das Erheben von Einwendungen ist keine bestimmte Form vorgeschrieben. Wenn die Behörde bei der gebotenen Abwägung zu dem Ergebnis kommt, dass die von der betroffenen Person vorgetragenen besonderen persönlichen Gründe das öffentliche Interesse an der Erhebung, Verarbeitung oder Nutzung der Daten überwiegen, dann muss der Umgang mit den Daten unterbleiben oder so gestaltet werden, wie es dem Anliegen der betroffenen Person entspricht. Die Einwendung kann z.B. darauf gerichtet sein, dass eine Angelegenheit, die höchstpersönliche Daten zum Gegenstand hat, nicht von zum Bekanntenkreis der betroffenen Person gehörenden Mitarbeitern bearbeitet wird. Solche Personen sind nicht nach § 1 Abs. 1 Satz 1 VwVfG LSA i. V. m. § 20 VwVfG vom Handeln ausgeschlossen. Das Ergebnis der Abwägung ist den Betroffenen mitzuteilen. Gegen eine ablehnende Entscheidung kann Widerspruch nach den Regeln des Verwaltungsprozessrechts eingelegt werden (§§ 68 bis 70 der Verwaltungsgerichtsordnung (VwGO) i. d. F. der Bek. vom 19.03.1991 (BGBl. I S. 686), zuletzt geändert durch Art. 3 des Gesetzes vom 21.12.2006, BGBl. I S. 3316, in der jeweils geltenden Fassung).

4.4.2 Ausschluss des Einwendungsrechts

Das Einwendungsrecht besteht nur eingeschränkt gegenüber Sicherheitsbehörden, Strafverfolgungsorganen und Stellen der Finanzverwaltung.

4.a Zu 4a (Automatisierte Einzelentscheidungen)

4a.1 Verbot der alleinigen automatisierten Einzelentscheidung ¹²

Für eine betroffene Person nachteilige Entscheidungen, die auf einer Bewertung ihrer Persönlichkeitsmerkmale beruhen, dürfen vorbehaltlich einer spezialgesetzlichen Regelung nicht allein auf das Ergebnis einer automatisierten Verarbeitung gestützt sein. Solche Entscheidungen müssen letztlich immer von einer natürlichen Person verantwortet werden. § 91 Abs. 4 des Landesbeamtengesetzes (LBG LSA) vom 15.12.2009 (GVBI. LSA S. 648), zuletzt geändert durch Artikel 1 des Gesetzes vom 17.02.2012 (GVBI. LSA S. 52)in der jeweils geltenden Fassung geht nach § 3 Abs. 3 Satz 1 vor.

Das Verbot kommt dann zum Tragen, wenn mehrere Informationen über die Persönlichkeit der betroffenen Person zusammengeführt werden und einer rein automatisierten Bewertung unterzogen werden sollen. Die ausgewerteten Informationen müssen dabei eine gewisse Komplexität (z.B. Angaben über die berufliche Leistung, die Zuverlässigkeit) aufweisen. Bloße Vorentscheidungen, wie etwa die automatisierte Vorauswahl im Vorfeld einer Personalbesetzung (automatisierter Abgleich des Personalbestandes anhand bestimmter Suchkriterien wie Alter, Ausbildung, Zusatzqualifikation) sind nicht erfasst, auch nicht reine Messwerte.

4a.2 Ausnahmen vom Verbot automatisierter Einzelentscheidungen

Das Verbot automatisierter Einzelentscheidungen im Sinne des Abs. 1 gilt nicht, wenn

1. ein Gesetz solche Entscheidungen ausdrücklich vorsieht oder
2. die Betroffenen vorher Gelegenheit zur Stellungnahme erhalten und damit auf die Entscheidung Einfluss nehmen können.

5. Zu § 5 (Datengeheimnis) ¹²

Während das DSG LSA im Allgemeinen nur Regelungen für die datenverarbeitenden Stellen enthält, wendet es sich in § 5 unmittelbar an die bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen und untersagt jede Erhebung, Verarbeitung oder Nutzung, die nicht durch die zur jeweilig rechtmäßigen Aufgabenerfüllung gehörenden Zwecke gerechtfertigt ist. Eine Verletzung des Datengeheimnisses wird in den meisten Fällen gleichzeitig eine Verletzung der Amtsverschwiegenheit oder einen Verstoß gegen die arbeitsvertragliche Schweigepflicht darstellen; auch kann zugleich eine Verletzung spezieller Geheimhaltungsvorschriften, z.B. der Schweigepflicht nach § 10 des Landespersonalvertretungsgesetzes Sachsen-Anhalt (PersVG LSA) i. d. F. der Bek. vom 16.03.2004 (GVBl. LSA S. 205, 491), zuletzt geändert durch Art. 3 des Gesetzes vom 21.03.2006 (GVBl. LSA S. 102, 122, in der jeweils geltenden Fassung, vorliegen. Die zur Wahrung des Datengeheimnisses Verpflichteten sind grundsätzlich Beamte oder Richter im statusrechtlichen Sinne; anderenfalls stehen sie in einem sonstigen öffentlich-rechtlichen Amtsverhältnis oder sind nach dem Verpflichtungsgesetz vom 02.03.1974, BGBl. I S. 469, geändert durch § 1 Nr. 4 des Gesetzes vom 15.08.1974 (BGBl. I S. 1942) in der jeweils geltenden Fassung verpflichtet und dementsprechend Amtsträger im Sinne des § 11 Abs. 1 Nr. 2 StGB.

Verstöße gegen das Datengeheimnis können dienstrechtlich verfolgt und nach § 31 und anderen einschlägigen Rechtsvorschriften (z.B. § 203 StGB) mit Freiheits- oder Geldstrafe geahndet werden. Sie können auch Anlass einer außerordentlichen Kündigung sein.

Eine förmliche Verpflichtung auf das Datengeheimnis sieht das DSG LSA nicht vor. Es empfiehlt sich allerdings ein Hinweis oder eine Belehrung über die Pflichten nach dem DSG LSA.

6. Zu § 6 (Technische und organisatorische Maßnahmen)

6.1 Datensicherheit ¹²

Das DSG LSA verwendet in § 6 nicht den Begriff Datensicherheit, regelt aber diesem Zweck dienende Maßnahmen, soweit sie für den Datenschutz von Bedeutung sind, also dem Schutz des Persönlichkeitsrechts dienen. Durch geeignete technische und organisatorische Vorkehrungen soll die Erfüllung der Vorschriften des DSG LSA gewährleistet werden, also der Beeinträchtigung schutzwürdiger Interessen Betroffener bei der Datenverarbeitung entgegengewirkt werden.

Datensicherheit bezeichnet also zunächst einen Zustand und beinhaltet darüber hinaus die Umsetzung aller technischen und organisatorischen Maßnahmen, die von einer öffentlichen Stelle zu treffen sind, um eine Verletzung des Persönlichkeitsrechts Einzelner bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten zu verhindern. Diese Maßnahmen sind sowohl für automatisierte als auch für nichtautomatisierte Verfahren zu treffen und umzusetzen. Ziel aller getroffenen technischen und organisatorischen Maßnahmen ist eine störungsfreie und gegen Missbrauch gesicherte Datenverarbeitung. Maßnahmen der Datensicherheit sind für jede Art von Datenverarbeitung unerlässlich; besonders wichtig sind sie in automatisierten Verfahren. Jede Störung oder Verzögerung der Datenverarbeitung kann schwerwiegende Folgen haben.

6.1.1 Pflicht zur Datensicherheit

Nach Satz 1 sind Maßnahmen zur Gewährleistung der Datensicherheit unabhängig von der Art des Umgangs mit personenbezogenen Daten zu treffen. Der Verweis auf die Absätze 2 und 3 stellt klar, dass je nachdem, ob personenbezogene Daten automatisiert oder nichtautomatisiert erhoben, verarbeitet oder genutzt werden, unterschiedliche Anforderungen bestehen.

6.1.1.1 Verpflichtete Stelle

Zu den technischen und organisatorischen Maßnahmen ist jede öffentliche Stelle verpflichtet, die selbst oder im Auftrag solcher Stellen personenbezogene Daten erhebt, verarbeitet oder nutzt. Verpflichtet ist somit einmal die verantwortliche Stelle im Sinne des § 2 Abs. 8, zum anderen aber auch ein öffentlicher Auftragnehmer im Sinne des § 8 Abs. 4. Für andere Auftragnehmer ergibt sich die entsprechende Pflicht aus den für sie einschlägigen Datenschutzvorschriften, z.B. bei Auftragnehmern im Sinne des § 8 Abs. 5 oder 6, § 11 Abs. 4 BDSG.

Beauftragt eine verantwortliche Stelle ganz oder teilweise eine andere Stelle mit der Durchführung der Erhebung, Verarbeitung oder Nutzung, dann ist die Verantwortung für die Durchführung der Maßnahmen zwischen Auftraggeber und Auftragnehmer verteilt.

6.1.1.2 Pflichten der öffentlichen Stelle als Auftraggeber

Der Auftraggeber hat nach § 8 Abs. 2 Satz 1 bei Erteilung des Auftrages die vom Auftragnehmer vorgesehenen technischen und organisatorischen Maßnahmen zu berücksichtigen. Die Wirksamkeit dieser Maßnahmen ist ein Auswahlkriterium für die Vergabe des Auftrages. Dem Auftraggeber müssen aber nicht notwendigerweise alle im Einzelnen getroffenen Maßnahmen offengelegt werden; dies könnte zu einer Ausspähung führen.

6.1.1.3 Überprüfung der Maßnahmen des Auftragnehmers

Der Auftraggeber hat sich nach Maßgabe des § 8 Abs. 2 Satz 4 beim Auftragnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

6.1.2 Angemessenheit der einzelnen Maßnahmen ¹²

Eine Datensicherheitsmaßnahme ist nicht schon allein deshalb zu treffen, weil sie objektiv geeignet ist, ein Höchstmaß an Datensicherheit zu gewährleisten. Alle Maßnahmen stehen unter dem Grundsatz der Angemessenheit (Abs. 1 Satz 2). Eine Maßnahme braucht dann nicht getroffen zu werden, wenn der durch sie verursachte Aufwand im Verhältnis zu dem vom Gesetz verlangten Schutz der Daten unangemessen groß wäre. Dieser Grundsatz darf jedoch nicht dazu führen, die dem DSG LSA unterliegende Datenverarbeitung ohne jede Sicherheitsmaßnahme zu lassen. Soweit im Einzelfall eine Anforderung nicht durch angemessene Maßnahmen voll erfüllt wird, ist die dadurch entstehende Lücke durch entsprechende Maßnahmen zur Erfüllung anderer Anforderungen zu schließen.

Ob eine Maßnahme als verhältnismäßig anzusehen ist, kann nur an Hand der konkreten Umstände des Einzelfalles entschieden werden. Dabei ist zwischen dem vom DSG LSA verlangten Schutz der Daten und dem durch die Maßnahme verursachten Aufwand abzuwägen.

Als Entscheidungshilfen bei der Angemessenheitsprüfung können neben der Art der verarbeiteten Daten und ihrer Schutzwürdigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen; so erfordern z.B. Angaben über gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen weitergehende Schutzvorkehrungen. Gleiches gilt, je mehr Daten über Betroffene gespeichert werden (z.B. mit Hilfe einer Datenbank).

Es sind immer alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Ausführung der Vorschriften des DSG LSA zu gewährleisten. Satz 3 verpflichtet dazu, das Sicherheitskonzept fortzuschreiben, d. h. die Technikentwicklung zu beobachten und dementsprechend die Schutzmaßnahmen zu überprüfen und bei Bedarf neu einzurichten.

6.1.3 Auswahl der Maßnahmen

Der zur Datensicherheit Verpflichtete muss in eigener Verantwortung unter den in Betracht kommenden technischen und organisatorischen Maßnahmen jene auswählen, die den vorgeschriebenen Schutz der Daten gewährleisten. Sie sind vor dem Einsatz eines neuen oder geänderten Verfahrens im Einzelnen festzulegen und mit Beginn des Einsatzes zu realisieren. Im Falle der Auftragsdatenverarbeitung wirken Auftraggeber und Auftragnehmer zusammen. Für das gesamte Verfahren trägt der Auftraggeber die Verantwortung.

Für die Wirksamkeit der Datensicherheit ist die Summe aller Maßnahmen entscheidend. Die Datensicherheit ist dann ausreichend, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz gegen die Beeinträchtigung schutzwürdiger Interessen der Betroffenen beim Umgang mit ihren Daten gewährleisten.

6.2 Anforderungen bei automatisierten Verfahren ¹²

Die neu eingeführten sechs Sicherheitsziele sind technologieunabhängig und zeigen einen Sicherheitsrahmen auf, der auch bei neuen Formen der Datenverarbeitung anwendbar ist. Das DSG LSA greift teilweise die auch für Sicherheit in der Informationstechnik (IT Sicherheit) notwendigen Sicherheitsziele auf (Vertraulichkeit, Integrität, Verfügbarkeit), teilweise geht es mit den in Abs. 2 festgelegten weiteren Sicherheitszielen (Authentizität, Revisionsfähigkeit, Transparenz) im Interesse eines wirksamen Schutzes der personenbezogenen Daten darüber hinaus. Abhängig von den jeweiligen technischen Gegebenheiten sind im Einzelfall die Maßnahmen festzulegen, die den geforderten Sicherheitsrahmen erfüllen. Die Maßnahmen müssen zur Erreichung des angestrebten Schutzniveaus angemessen sein und das verbleibende Restrisiko tragbar machen. Dementsprechend ist vor dem Einsatz eines automatisierten Verfahrens

1. der Grad der Schutzbedürftigkeit der personenbezogenen Daten festzustellen,
2. eine Bedrohungs- und Risikoanalyse durchzuführen,
3. ein auf dem IT-Sicherheitskonzept basierendes Datensicherheitskonzept zu erstellen und umzusetzen sowie
4. eine entsprechende Kontrolle und Fortschreibung des Datensicherheitskonzeptes zu gewährleisten.

Diese Vorgehensweise ist auch Grundlage für die Verfahrensfreigabe und die Vorabkontrolle gemäß § 14 Abs. 2.

6.2.1 Vertraulichkeit

Vertraulichkeit ist gewährleistet, wenn die gespeicherten Daten nicht in die Hände Unbefugter geraten können. Das Ziel kann durch unterschiedliche Maßnahmen erreicht werden wie die sichere Aufbewahrung oder Unterbringung der verwendeten Hardware und Backup-Datenträger, die Nutzung von Verschlüsselungssoftware bei der Speicherung in unsicheren Umgebungen (z.B. Notebook, Laptop, lokaler PC) und bei der Datenübertragung in Netzwerken oder durch vertrauliche Behandlung von Angaben über verwendete Hard- und Software und die Systemkonfiguration. Beispiele:

1. sichere Unterbringung von Rechentechnik (z.B. Serverräume),
2. Schutz von Serverräumen vor unbefugtem Zugang,
3. Ausschluss der Nutzung von privater Hard- oder Software für dienstliche Belange oder Ausschluss der Nutzung dienstlicher Hard- oder Software für private Belange,
4. Sicherung von Hard- und Softwareschnittstellen,
5. Einsatz von Verschlüsselungsverfahren bei der Datenspeicherung oder der Datenübertragung (z.B. im lokalen Netz einer Behörde - LAN -, im Intranet des Landes - WAN - oder im Internet),
6. Einrichtung einer an der Aufgabenstellung orientierten restriktiven Benutzerverwaltung und Rechtevergabe (Sicherstellung des Zugriffs Berechtigter ausschließlich auf ihre Programme und ihren Datenbestand),
7. Ausnutzung und Aktivierung der Sicherheitseinstellungen von Betriebssystemen, Datenbankbetriebssystemen und anderen Verarbeitungsprogrammen,
8. Einrichtung von zuverlässigen Identifikations- und Authentisierungsmechanismen,
9. Festlegung von Anmeldeversuchsbeschränkungen (z.B. Sperrung der Benutzung nach mehr als drei Fehlversuchen),
10. Einrichtung von Zeitbeschränkungen, die sich an der regelmäßigen Arbeitszeit orientieren.

6.2.2 Integrität

Integrität ist gewährleistet, wenn Datenbestände unversehrt, vollständig und aktuell sind, also verlässlich richtig. Integrität muss während der Erhebung, allen Phasen der Verarbeitung und bei der Nutzung gegeben sein. Unter anderem muss gewährleistet sein, dass Daten nicht durch Computerviren oder andere Schadsoftware verfälscht werden. Dies ist beim Anschluss an das weltweite Internet besonders wichtig. Beispiele:

1. Plausibilitätskontrollen bei der Eingabe von Daten,
2. regelmäßige Überprüfung und Aktualisierung der Datenbestände,
3. Kontrolle der Durchführung von Reparaturen, Wartung oder Fernwartung von Hard- und Software durch Fremdfirmen,
4. Einsatz von Technologien zum Schutz vor schadenstiftender Software,
5. Einsatz von sogenannten Firewall-Systemen (Firewall = Brandschutzmauer) zur Abschottung von Verwaltungsnetzen gegenüber Fremdnetzen (z.B. dem Internet).

6.2.3 Verfügbarkeit

Verfügbarkeit liegt vor, wenn Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können. Die Verfügbarkeit bezieht sich nicht nur auf die gespeicherten personenbezogenen Daten im engeren Sinne, sondern gleichermaßen auf die Hardware und die zur Verarbeitung erforderlichen Programme. Ein DV-System muss also in seiner Gesamtheit die vorgesehene Funktionalität bieten und zeitgerecht zur Verfügung stehen. Beispiele:

1. Maßnahmen zur Ausfallsicherheit des Verfahrens (z.B. Ersatz-Server; Einsatz redundanter Datenträger; schnelle Wiederanlaufverfahren oder Wiedereinspielung eines Datenbestandes; Ersatz-Rechenzentren),
2. Einsatz von Technik für eine unterbrechungsfreie Stromversorgung der Hardware (USV),
3. Durchführung einer zeitnahen und regelmäßigem Datensicherung des Datenbestandes (Backup) und der Überprüfung des Backup-Datenbestandes auf Nutzbarkeit,
4. Schutz vor Vandalismus oder gefährlichen äußeren Einflüssen (Feuer, Wasser, starke mechanische Belastung, magnetische Störungen),
5. Aufbewahrung von Datenträgern und sonstigen Backup-Medien in einem sogenannten DATA-Safe oder einem Datensicherungsraum (mit entsprechenden RAL-Prüfsiegeln).

6.2.4 Authentizität

Die Authentizität ist hauptsächlich bei elektronisch übertragenen Dokumenten bedroht. Dem kann durch Verfahren begegnet werden, bei denen die Herkunft der Daten nachvollziehbar ist. Bei der Bewertung der Verfahren sind verwendete Hardwarekomponenten und Programme einzubeziehen, z.B. beim e-Government oder beim elektronischen Zahlungsverkehr. Beispiel: Einsatz von Signaturverfahren, bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von den Betroffenen autorisiert (z.B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z.B. bei Datenübermittlung).

6.2.5 Revisionsfähigkeit

Revisionsfähig sind Daten, wenn nachprüfbar ist, wie Daten in einen Datenbestand gelangt sind und welche Veränderungen sie im Laufe der Zeit erfahren haben. Nachprüfbar muss sein, wer für das Aufnehmen bestimmter Daten in einen Datenbestand oder ihr Entfernen daraus die Verantwortung trägt. Dabei ist jedoch zu bedenken, dass Protokollierungsdaten selbst ein datenschutzrechtliches Risiko bergen. Sie unterliegen deshalb einer engen Zweckbindung nach § 10 Abs. 4. Beispiele:

1. Auswertung von Protokolldateien,
2. Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert oder gelöscht hat, woher oder wohin Daten übermittelt wurden (z.B. Auswertungstools für Protokolldateien).

6.2.6 Transparenz

Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren. Die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvollziehbar wird. Dieses Sicherungsziel steht in unmittelbarem Zusammenhang mit § 15 (Auskunft) und § 23 (Durchführung der Aufgaben). Beispiele:

1. Dokumentation der Freigabe oder der Vorabkontrolle nach § 14 Abs. 2,
2. Dokumentation von wesentlichen Programmveränderungen oder laufende Fortschreibung der Programmdokumentation, so dass ein Verfahren in allen Verarbeitungsschritten dokumentiert ist und in zumutbarer Zeit nachvollzogen werden kann,
3. ordnungsgemäße Führung des Verfahrensverzeichnisses gemäß § 14 Abs. 3.

6.3 Nichtautomatisierte Verfahren

Nichtautomatisierte Verfahren sind solche Verfahren, in denen die Verfahrensschritte ohne Hilfe programmgesteuerter Geräte ablaufen. Dabei ist es unerheblich, ob diesen Verfahren automatisierte Verfahren vorausgehen oder nachfolgen. Datenverarbeitung in nichtautomatisierten Verfahren findet z.B. in manuellen Karteien, Sammlungen gleichartiger Formblätter oder herkömmlichen Akten statt.

Sammlungen von Datenträgern, die zugleich in automatisierten Verfahren verarbeitet werden, unterliegen hinsichtlich ihrer automatisierten Verarbeitung dem Abs. 2, hinsichtlich ihrer nichtautomatisierten Verarbeitung dem Abs. 3. Auch für diese Verfahren sind jedoch nach Abs. 1 geeignete technische und organisatorische Maßnahmen zu treffen, um der Beeinträchtigung schutzwürdiger Belange Betroffener entgegenzuwirken. Der Verhinderung des Zugriffs durch Unbefugte (Vertraulichkeit) kommt zentrale Bedeutung zu. Wenn dies erreicht ist, dann ist in aller Regel auch ausgeschlossen, dass jemand unbefugt Daten zur Kenntnis nehmen oder diese verändern oder löschen kann.

Notwendigkeit und Umfang einzelner Maßnahmen der Datensicherheit beurteilen sich nach den in Nrn. 6.1.1 bis 6.1.3 dargestellten Grundsätzen.

Besonders in nachstehenden Bereichen sind Maßnahmen angezeigt:

1. Erfassen und Bearbeiten von Daten,
2. Weitergeben von Daten, ihr Bereithalten zur Einsichtnahme und der Transport von Datenträgern,
3. Aufbewahren von Daten,
4. Vernichten von Datenträgern.

Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorgangs werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung, z.B. mittels eines Aktenvernichters zu gewährleisten.

.