umwelt-online: VV-DSG LSA - Verwaltungsvorschriften zum Gesetz zum Schutz personenbezogener Daten der Bürger - Sachsen-Anhalt - (2)
| | |
7. Zu § 7 (Einrichtung automatisierter Abrufverfahren)
Ein automatisiertes Abrufverfahren ist ein Datenverarbeitungsverfahren, in dem Einzeldaten oder ganze Datenbestände durch Abruf an einen Dritten (§ 2 Abs. 9) übermittelt (§ 2 Abs. 5 Satz 2 Nr. 3 Buchst. a Doppelbuchst. bb) werden können.
Wesentlich für den Abruf ist das Moment der Selbstbedienung. Werden Art und Umfang der zu übermittelnden Daten allein von der übermittelnden Stelle bestimmt und kann der Dritte nur den Zeitpunkt festlegen, liegt kein Abrufverfahren im Sinne des § 7 vor, so etwa bei der regelmäßigen Übermittlung der Kfz-Zulassungsdaten durch Zulassungsstellen an das Kraftfahrtbundesamt im automatisierten Verfahren. In Betracht kommt der Abruf eines Datensatzes, des Teils eines Datensatzes oder mehrerer Datensätze (eines Datenbestandes). Gegenstand eines Abrufs kann auch das Ergebnis einer Datenverarbeitung sein, z.B. des Vergleichs oder Abgleichs zweier Datenbestände.
7.1 Zulässigkeit automatisierter Abrufverfahren
Automatisierte Abrufverfahren sind wegen des erhöhten Gefährdungspotentials für das Persönlichkeitsrecht und der Änderung der Verantwortlichkeit für die Übermittlung vom Gesetzgeber nur eingeschränkt zugelassen. Eine vorweg genommene pauschalierte Prüfung muss ergeben haben, dass das Verfahren bei Abwägung der Interessen Betroffener am Ausschluss automatisierter Abrufe mit den Interessen der an Abrufen beteiligten Stellen angemessen ist. Wesentliche Faktoren sind die Dringlichkeit und die Häufigkeit von Übermittlungen. Die Prüfung erfolgt im Rahmen der Vorabkontrolle nach § 14 Abs. 2.
Außerdem müssen beim einzelnen Abruf die Voraussetzungen für eine Übermittlung im Einzelfall gegeben sein.
7.2.1 Kontrollierbarkeit
Satz 1 verlangt nur, dass die Zulässigkeit des Abrufverfahrens, nicht jedoch des einzelnen Abrufs kontrolliert werden kann. Satz 2 schreibt vor, welche Einzelheiten vor Inbetriebnahme des Verfahrens schriftlich festzulegen sind.
7.2.2 Festlegungen bei automatisierten Abrufverfahren
Technische und organisatorische Maßnahmen haben die zum Abruf bereithaltende und die zum Abruf berechtigte Stelle zu treffen. Es ist Aufgabe der verantwortlichen Stelle, die einzelnen Benutzer (die einzelnen Mitarbeiterinnen und Mitarbeiter) der abrufenden Stelle zu identifizieren und deren Abrufberechtigung festzustellen. Einzelheiten dieser und aller weiteren Maßnahmen zur Sicherheit des Verfahrens sind bei der Vereinbarung des Abrufverfahrens von der verantwortlichen Stelle und der abrufenden Stelle festzulegen. Erforderlich sind solche Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen (§ 6 Abs. 1 Satz 2).
Wegen der prinzipiellen Angreifbarkeit des öffentlichen Wählnetzes, insbesondere des Telefonnetzes, können bei besonders sensiblen Daten anstelle von Wählanschlüssen auch festgeschaltete Leitungen erforderlich sein.
Die erforderlichen Festlegungen sind unter Berücksichtigung des Ergebnisses der Vorabprüfung (Nr. 14.2.1) durch den Beauftragten für den Datenschutz (Nr. 14a.4.2.2) zu treffen.
7.3 Vorabunterrichtung des Landesbeauftragten für den Datenschutz
Die Unterrichtung des Landesbeauftragten für den Datenschutz ist so rechtzeitig durchzuführen, dass er die Zulässigkeit des Verfahrens vor dessen Einrichtung prüfen kann. Die Unterrichtung erfolgt, sofern alle beteiligten Stellen seiner Kontrolle unterliegen, nur durch die Stelle, die die Daten zum Abruf bereithält. Für die Unterrichtung können Auszüge aus Entwürfen zum Verfahrensverzeichnis verwendet werden. Das Ergebnis der Vorabkontrolle sollte schriftlich festgehalten werden.
7.4 Protokollierung und Prüfung einzelner Abrufe
Die Prüfung der Zulässigkeit des einzelnen Abrufs kann grundsätzlich nur im Nachhinein, also nach erfolgtem Abruf, durch Auswertung von Abrufprotokollierungen erfolgen.
Der Umfang der Protokollierung ist jeweils für das einzelne Abrufverfahren festzulegen. Zumindest für einen Teil der Abrufe werden Zeitpunkt und Inhalt (Anfragetext und Antworttext) sowie abrufende Stelle und abrufende Person dokumentiert. Eine Vollprotokollierung, d. h. eine lückenlose Protokollierung aller Abrufe mit allen genannten Details, ist grundsätzlich nicht gefordert. Gleichwohl kann sie unter besonderen Umständen geboten sein. Solche Umstände können sich aus der Sensibilität der gespeicherten Daten, der Art des Übertragungsweges, aus dem Benutzerkreis oder aus allen drei Kriterien ergeben. Selbst wenn alle Anforderungen des § 6 erfüllt sind, ist ein Eindringen über die Online-Verbindung in den Datenbestand durch Unbefugte nicht auszuschließen. Zwar dient die Einrichtung geeigneter Stichprobenverfahren der Gewährleistung der Kontrolle (durch den Landesbeauftragten für den Datenschutz oder die Aufsichtsbehörde), es ist aber vor allem Sache der verantwortlichen Stelle zu überprüfen, ob unbefugt auf die von ihr gespeicherten Daten zugegriffen wird. Dies schließt aber eine Schadenersatzpflicht der abrufenden Stelle für eintretende Schäden nicht aus.
Liegen keine besonderen Umstände vor, so erfolgt die Protokollierung in Form einer Auswahl oder ausschnittsweise, wobei sich die Ausschnitte auf Zeiträume, Benutzer oder Benutzergruppen, Datenarten oder Dateninhalte beziehen oder an definierte Ereignisse (z.B. Abrufhäufigkeit) anknüpfen können. Die Auswahl sollte flexibel und situationsangemessen sein. Eine statistisch gleichmäßige (repräsentative) Berücksichtigung des Gesamtaufkommens der Abrufe ist nicht geboten. Eine gezielte Auswahl nach bestimmten Kriterien, zu denen auch Zufallskriterien gehören können, erscheint am Wirkungsvollsten. Von entscheidender Bedeutung für die Missbrauchsprävention ist, dass die Art und Weise der Protokollierung nicht vorhersehbar ist; es muss immer das Risiko einer Protokollierung und Nachprüfung bestehen.
Die Protokolldaten müssen nicht in Papierform vorliegen; es reicht aus, wenn sie maschinenlesbar verfügbar sind.
Eine allgemeine Aussage, wie lange. die Protokolle aufzubewahren sind, ist nicht möglich. Im Allgemeinen wird eine Aufbewahrungsdauer von längstens einem Jahr angemessen sein. Die verantwortliche Stelle muss in jedem Fall eine schriftliche Festlegung zur Aufbewahrungsdauer treffen.
7.5 Automatisierte Abrufe von allgemein zugänglichen Daten
Absatz 5 trifft Ausnahmeregelungen für den Abruf von allgemein zugänglichen Daten (z.B. Autorenverzeichnis einer öffentlichen Bibliothek; Nr. 2.1.3).
7.6 Abrufverfahren innerhalb öffentlicher Stellen
Bei Abrufverfahren innerhalb einer öffentlichen Stelle finden keine Übermittlungen an Dritte statt. Um Risiken für das Recht auf informationelle Selbstbestimmung bei dieser Form (stellen-)interner Datenweitergabe zu begegnen, ist bei der Einrichtung eines solchen Verfahrens eine Güterabwägung entsprechend Abs. 1 vorzunehmen. Ferner gelten Abs. 1 Satz 1 und 3 sowie Abs. 4 entsprechend. Auch ohne ausdrückliche Nennung des Abs. 5 unterliegt der interne Abruf von jedermann zugänglichen Daten keinen Beschränkungen.
8. Zu § 8 (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag)
§ 8 umfasst nur jene Fälle, in denen die tatsächliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten für eine andere Stelle erfolgt, der Auftraggeber aber für die Verarbeitung und deren Ergebnisse nach außen verantwortlich bleibt. Bedienen sich öffentliche Stellen zur Erledigung ihrer Aufgaben gemeinsamer Rechenzentren oder Rechenzentren anderer öffentlicher oder privater Stellen, liegt Auftragsdatenverarbeitung vor. Auftragsdatenverarbeitung ist auch gegeben bei externer Datenverarbeitung, Datenerfassung auf Datenträgern, Mikroverfilmung von Unterlagen, Vernichtung von Schriftgut und Datenträgern sowie bei der Auftragsarchivierung. Auftragsdatenverarbeitung liegt im Regelfall nicht vor, wenn personenbezogene Daten im Rahmen einer (teilweise) übertragenen Sachaufgabe erhoben, verarbeitet oder genutzt werden, z.B. bei der Berechnung und Zahlbarmachung von Personalausgaben durch eine zentrale Bezügestelle. Es handelt sich hierbei um Fälle der Funktionsübertragung.
Die Art der Rechtsbeziehung zwischen Auftraggeber und Auftragnehmer (Dienstvertrag, Werksvertrag, gemischtes Vertragsverhältnis) ist unbeachtlich.
§ 8 ist auch dann anwendbar, wenn der Auftragnehmer Daten in nichtautomatisierten Verfahren verarbeitet oder nutzt, weil das Gesetz nicht darauf abstellt, welches Verfahren angewendet wird.
Eine Handreichung zur Auslagerung von Aufgaben (Outsourcing) einschließlich Vertragsmustern ist unter http://www.sachsenanhalt.de/LPSA/index.php?id=20554" abrufbar
8.1 Verantwortlichkeit
Bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag bleibt der Auftraggeber verantwortliche Stelle. Er trägt die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften und bleibt Adressat der Rechte des Betroffenen. Bei ihm ist das Verfahrensverzeichnis (Nr. 14.3) zu führen.
8.2.1 Auswahl des Auftragnehmers
Dem Auftraggeber obliegt bei der Auswahl des Auftragnehmers eine besondere Sorgfaltspflicht.
8.2.2 Form und Inhalt des Auftrags
Der Auftrag ist schriftlich zu erteilen. Dies ist auch zu beachten, wenn eine nichtöffentliche Stelle mit der Vernichtung von Akten betraut wird (Nr. 8.6.2). Zu den erforderlichen Festlegungen des Auftraggebers gehören unter anderem die Abgrenzung der Verantwortungsbereiche von Auftraggeber und Auftragnehmer, Regelungen des Verfahrens zum Test und zur Freigabe der Programme, Verfahren zur Fortschreibung, Änderung, Löschung und Sperrung sowie die Vorgabe der erforderlichen technischen und organisatorischen Maßnahmen nach § 6. Ist der Auftragnehmer eine nichtöffentliche Stelle kann vereinbart werden, dass nur Beschäftigte eingesetzt werden, die nach dem Verpflichtungsgesetz verpflichtet sind; dies kommt insbesondere in Betracht, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, die durch Berufs- oder besondere Amtsgeheimnisse geschützt sind.
8.2.3 Auftragserteilung durch die Fachaufsichtsbehörde
Von der Möglichkeit der Auftragserteilung durch die Fachaufsichtsbehörde dürfte dann Gebrauch gemacht werden, wenn für nachgeordnete Behörden mit gleicher Aufgabenstellung der Auftragnehmer aus Rationalisierungsgründen ein einheitliches Verfahren anwenden soll. Der Umfang der Weisungsbefugnisse von Fachaufsichtsbehörden und verantwortlicher Stelle gegenüber dem Auftragnehmer ist eindeutig abzugrenzen.
8.3 Weisungsgebundenheit des Auftragnehmers
Der Auftragnehmer ist an die Weisungen des Auftraggebers gebunden. Den Auftragnehmer trifft aber eine Hinweispflicht gegenüber dem Auftraggeber und, unter bestimmten Voraussetzungen eine Pflicht zur Information des Landesbeauftragten für den Datenschutz, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt.
8.4 Öffentliche Stellen als Auftragnehmer 12
Da der Auftragnehmer in dieser Funktion nicht selbst verantwortliche Stelle ist, finden auf ihn nicht alle Vorschriften des DSG LSA Anwendung. Soweit öffentliche Stellen des Landes als Auftragnehmer (öffentliche Auftragnehmer) tätig werden, haben sie die in Abs. 4 genannten Vorschriften zu beachten. Für die meisten anderen Auftragnehmer trifft § 11 Abs. 4 BDSG vergleichbare Regelungen.
8.5 Von öffentlichen Stellen beherrschte Auftragnehmer 12
Von Adressaten des DSG LSA beherrschte privatrechtlich organisierte Auftragnehmer unterliegen der Kontrolle des Landesbeauftragten für den Datenschutz, soweit sie für öffentliche Stellen im Sinne des § 3 Abs. 1 personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Bei Auftragsdatenverarbeitung für nichtöffentliche Stellen verbleibt es bei der Kontrollkompetenz der Aufsichtsbehörde nach § 38 BDSG.
8.6.1 Unterwerfung des Auftragnehmers 12
Der Auftraggeber hat vertraglich sicherzustellen, dass sich der Auftragnehmer, auf den das DSG LSA nicht anzuwenden ist, der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.
Die Unterwerfung führt im Fall der Auftragsdatenverarbeitung bei Auftragnehmern innerhalb des Landes zu einer Doppelüberwachung. Zuständig kraft Gesetzes ist die Aufsichtsbehörde nach § 38 BDSG und aufgrund Unterwerfung zusätzlich der Landesbeauftragte für den Datenschutz. Bei Auftragnehmern außerhalb des Landes schafft die Unterwerfung eine Kontrollkompetenz des Landesbeauftragten für den Datenschutz. Allerdings wird er regelmäßig nicht außerhalb des Landes prüfen, weil eine Prüfung grundsätzlich im Wege der Amtshilfe durch die originär zuständige Kontrollinstanz durchgeführt werden kann. Dies entspricht den Zusammenarbeitsregelungen nach § 26 Abs. 4 BDSG und Art. 28 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31).
8.6.2 Unterrichtung des Landesbeauftragten für den Datenschutz über Auftragserteilung 12
Nach Satz 2 hat der Auftraggeber den Landesbeauftragten für den Datenschutz von der Auftragserteilung an einen Auftragnehmer, der nicht unter das DSG LSA fällt, zu unterrichten. Diese Pflicht besteht auch, wenn eine nichtöffentliche Stelle mit der Vernichtung von Akten betraut wird.
9.1 Zulässigkeit der Datenerhebung
Öffentliche Stellen dürfen personenbezogene Daten nur für die jeweilige (Fach-) Aufgabe erheben. Die erhebende Stelle muss sowohl örtlich als auch sachlich zuständig sein. Die Zuständigkeit muss nicht durch Rechtsvorschrift begründet sein; sie kann auch auf einer Verwaltungsanordnung beruhen.
Bei der Beurteilung der Erforderlichkeit ist ein strenger Maßstab anzulegen. Die Erhebung ist auf das zum Erreichen des angegebenen Ziels erforderliche Minimum zu beschränken. Es ist jedoch möglich, mit Einwilligung der Betroffenen auch solche Daten zu erheben, die der Erfüllung der Aufgabe lediglich dienen oder sie erleichtern, z.B. Angabe der Telefonnummer durch einen Antragsteller. Eine Erhebung personenbezogener Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken ist unzulässig.
9.2.1 Erhebung bei Betroffenen
Aus dem Recht auf informationelle Selbstbestimmung ergibt sich grundsätzlich die Befugnis der Einzelnen, selbst über die Preisgabe ihrer personenbezogenen Daten zu entscheiden. Daher legt Abs. 2 Satz 1 fest, dass personenbezogene Daten grundsätzlich bei den Betroffenen selbst mit ihrer Kenntnis zu erheben sind. Ausnahmen hiervon sind die Erhebung bei Betroffenen ohne ihre Kenntnis (verdeckte Erhebung) sowie die Erhebung bei Dritten, z.B. Auskunftsersuchen an nichtöffentliche Stellen und Übermittlungsersuchen an andere öffentliche Stellen.
9.2.2.1 Erhebung ohne Mitwirkung der Betroffenen aufgrund einer Rechtsvorschrift
Die Erhebung ohne Mitwirkung der Betroffenen ist zulässig, wenn eine besondere Rechtsvorschrift dies ausdrücklich vorsieht (z.B. § 15 Abs. 5 SOG LSA, § 13 Abs. 3 MG LSA). Ferner ist sie zulässig, wenn eine Rechtsvorschrift die Erhebung ohne Mitwirkung der Betroffenen nicht ausdrücklich regelt, aber nach ihrem Inhalt diese Erhebungsweise zwingend voraussetzt. Solche Regelungen finden sich insbesondere in Rechtsvorschriften, die vor dem Urteil des Bundesverfassungsgerichtes vom 15.12.1983 zum Volkszählungsgesetz - Volkszählungsurteil - (BVerfGE 65; 1 = NJW 1984 S. 419) erlassen wurden (z.B. Auskunftspflicht nach § 95 LHO, ferner bezüglich der Vorfeldermittlungen der Steuerfahndung § 93 Abs. 1 Satz 3, § 208 Abs. 1 Nr. 3 Abgabenordnung - AO - i. d. F. der Bek. Vom 1.10.2002, BGBl. I S. 3866; 2003 I S. 61, zuletzt geändert durch Art. 8 des Gesetzes vom 20.07.2007, BGBl. I S. 1566, in der jeweils geltenden Fassung).
9.2.2.2 Erhebung ohne Mitwirkung der Betroffenen aus sonstigen Gründen
Wann die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, wird durch die Bezugnahme auf § 10 Abs. 2 konkretisiert (Nr. 10.2). Liegen zur Aufgabenerfüllung erforderliche Daten einer anderen öffentlichen Stelle vor und hat diese die Daten zum gleichen Zweck bei Betroffenen erhoben, für den die um Übermittlung ersuchende Behörde die Daten benötigt, ist eine nochmalige Erhebung bei Betroffenen grundsätzlich nach Abs. 2 Satz 2 Nr. 2b entbehrlich.
9.2.2.2.1 Güterabwägung
Die schutzwürdigen Interessen lassen sich abstrakt nicht abschließend fassen. Gemeint ist die Persönlichkeitssphäre im weitesten Sinne; besonderes Gewicht haben verfassungsrechtlich geschützte Positionen der Betroffenen. Ob Interessen der Betroffenen überwiegend schutzwürdig sind, ist durch Abwägung der Interessen der öffentlichen Stelle mit denen der jeweils betroffenen Person festzustellen. Haben Betroffene der Verarbeitung der sie betreffenden Daten widersprochen, ist dies Anhaltspunkt dafür, dass ihre schutzwürdigen Interessen beeinträchtigt sein können (Nr. 4.4.1).
9.3 Hinweise bei der Datenerhebung bei Betroffenen
Sofern personenbezogene Daten bei Betroffenen erhoben werden, sind die Hinweise so zu geben, dass allen Anforderungen des Abs. 3 Satz 1 bis 3 entsprochen wird. Hierauf ist bei der Vordruckgestaltung zu achten. Ein Muster ist als Anlage 2 beigefügt. Nummer 4.2 Sätze 3 und 4 gelten entsprechend.
9.3.2 Pflicht oder Obliegenheit zur Auskunft und Folgen verweigerter Auskunft
Die Betroffenen sind in jedem Fall über die für die Erhebung einschlägige Rechtsvorschrift aufzuklären, ferner über die Folgen der Verweigerung von Angaben (z.B. Erfüllen eines Ordnungswidrigkeitentatbestandes, Ablehnung einer beantragten Leistung, eventuell verzögerte Bearbeitung wegen des Ausschlusses telefonischer Rückfragen bei Nichtangabe der Telefonnummer).
9.3.3.2 Zweck der Erhebung, Verarbeitung oder Nutzung
Der Zweck der Erhebung bestimmt sich nach der Aufgabe, für die die Daten erhoben werden (z.B. Vollzug baurechtlicher Vorschriften, Sicherung des Straßenverkehrs), nicht nach dem meist engeren Anlass der Erhebung (vgl. OVG Münster, Urteil vom 05.12.1988 - 13 A 1885/88, NJW 1989 S. 2966). Öffentliche Aufgaben werden grundsätzlich durch das jeweilige Fachgesetz umschrieben.
Neben dem Zweck der Erhebung ist den Betroffenen auch der Zweck der nachfolgenden Nutzung oder Verarbeitung zu nennen.
9.3.3.3 Vorgesehene Übermittlungsempfänger
Bei der Unterrichtung über den Zweck der Verarbeitung sind Betroffene gleichzeitig über die Dritten, an die Übermittlungen vorgesehen sind, zu unterrichten. Eine uneingeschränkte Pflicht, über vorgesehene Übermittlungen an Sicherheitsbehörden zu unterrichten, besteht nicht. Die Unterrichtung hängt von der Zustimmung der genannten Sicherheitsbehörden ab. Nicht vorgesehen ist eine Unterrichtung über die Weitergabe personenbezogener Daten an Personen oder Stellen, die nicht Dritte (Nrn. 2.9 und 2.5.3) sind, z.B. an
9.4 Hinweise bei der Datenerhebung bei Dritten
Bei der Datenerhebung bei Dritten ist, soweit es sich dabei um nichtöffentliche Stellen (Nr. 12.1) handelt, im Falle der Auskunftspflicht auch auf die Folgen der Verweigerung einer Auskunftserteilung hinzuweisen.
Benötigen Dritte zur Beurteilung des Auskunftsersuchens weitere Angaben (z.B. für die Prüfung der Übermittlungsvoraussetzungen) sind diese, um unzulässige Übermittlungen auszuschließen, auf das unbedingt erforderliche Maß zu beschränken. Die Übermittlungsbeschränkungen nach § 12 sind zu beachten.
9.5 Benachrichtigung der Betroffenen
Grundsätzlich hat eine Benachrichtigung der jeweils Betroffenen zu erfolgen, wenn personenbezogene Daten nicht bei ihnen erhoben worden sind. Von der Unterrichtung kann abgesehen werden, wenn
Betroffene werden nicht benachrichtigt, wenn eine Auskunft nach § 15 Abs. 2 nicht erfolgt oder nach § 15 Abs. 4 unterbleibt.
10. Zu § 10 (Datenspeicherung, -veränderung und -nutzung)
10.1 Zulässigkeit
Die Zulässigkeit des Speicherns, Veränderns oder Nutzens personenbezogener Daten ist daran geknüpft, dass es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben (Nr. 9.1) erforderlich ist und es für Zwecke erfolgt, für die die Daten erhoben worden sind.
10.1.1 Bindung an den Erhebungszweck
Ob das Speichern, Verändern oder Nutzen personenbezogener Daten im Rahmen des Erhebungszwecks liegt, ist im Falle der Einwilligung nach deren Inhalt zu prüfen. Ansonsten ist der Verwendungszweck regelmäßig in einer Rechtsvorschrift festgelegt oder aus ihr ableitbar. Es kann sowohl sehr enge Zweckbindungen geben (z.B. bei Gesundheitsdaten), als auch weite, z.B. innerhalb der Steuerverwaltung. So dient die Weitergabe von Steuerdaten Steuerpflichtiger innerhalb des Finanzamtes oder deren Übermittlung an andere zuständige Finanzämter grundsätzlich dem einheitlichen Zweck der Steuererhebung bei Steuerpflichtigen.
Für die Annahme eines gemeinsamen Zwecks reicht es regelmäßig nicht aus, dass zwischen verschiedenen Aufgaben Ähnlichkeit besteht oder die Aufgaben in einem gewissen zeitlichen, räumlichen oder sachlichen Zusammenhang stehen.
10.1.2 Bindung an den Zweck der erstmaligen Speicherung
Als nicht erhoben gelten solche Daten, die der verantwortlichen Stelle ohne Anforderung zugegangen sind, z.B. unverlangte Mitteilungen Dritter oder aufgrund besonderer Rechtsvorschrift durch öffentliche Stellen übermittelte Daten.
10.1.2.1 Unzulässig zugegangene oder erhobene Daten
Bestehen in Fällen des Abs. 1 Satz 2 Anhaltspunkte dafür, dass die personenbezogenen Daten der verantwortlichen Stelle unter Verletzung datenschutzrechtlicher Vorschriften zugegangen oder von ihr erhoben worden sind, gilt Folgendes:
Die Pflicht zur Rechtmäßigkeit staatlichen Verwaltungshandelns verbietet grundsätzlich, bisher rechtswidrige Verfahrensweisen oder rechtswidrig zustande gekommene personenbezogene Datensammlungen durch den Beginn eines neuen Verwaltungsverfahrens mit dem Status der Rechtmäßigkeit zu versehen. Zwar gilt im Verwaltungsrecht nicht das im Strafprozess anerkannte enge Beweisverwertungsverbot (z.B. § 136a Abs. 3 Satz 2 StPO), doch kann schon aus dem Grundsatz der Einheitlichkeit der Rechtsordnung der darin zum Ausdruck kommende Rechtsgedanke nicht völlig ignoriert werden. Eine Speicherung, Veränderung und Nutzung solcher Daten ist auf jeden Fall dann ausgeschlossen, wenn die Daten von der öffentlichen Stelle nicht auch auf zulässige Weise hätten erlangt werden können.
10.2 Allgemeine Zweckdurchbrechungstatbestände 12
Absatz 2 regelt, in welchen Fällen die Zweckbindung im überwiegenden Allgemeininteresse oder im Interesse Betroffener durchbrochen werden darf. Es besteht aber keine Verpflichtung zur Zweckänderung. Die verantwortliche Stelle entscheidet über die Zweckänderung - auch ohne ausdrückliche Erwähnung im DSG LSA - unter Beachtung des Grundsatzes der Verhältnismäßigkeit.
10.2.1 Rechtsvorschrift
Soweit eine Rechtsvorschrift die Zweckänderung ausdrücklich vorsieht, geht diese Vorschrift gemäß § 3 Abs. 3 vor.
10.2.2 Einwilligung
Die Zulässigkeit der Zweckänderung mit Einwilligung Betroffener ergibt sich auch aus § 4 Abs. 1.
10.2.3 Mutmaßliche Einwilligung
Nummer 3 stellt die Betroffenen von sie belastenden Mehrfacherhebungen frei und kommt grundsätzlich nur zur Anwendung, wenn den jeweils Betroffenen aus der Zweckänderung der Daten ausschließlich Vorteile erwachsen. Dies ist nicht der Fall, wenn Betroffene wegen der Verletzung einer gesetzlichen Auskunftspflicht oder Obliegenheit belangt werden können.
10.2.4 Prüfung von Angaben Betroffener
Nummer 4 lässt, soweit erforderlich eine Zweckänderung zur Prüfung von Angaben der Betroffenen in anderen Verfahren zu. Es müssen tatsächliche Anhaltspunkte für die Unrichtigkeit der Angaben bestehen, z.B. der begründete Verdacht der Leistungserschleichung. Nicht zulässig ist ein Abgleich zwischen verschiedenen Datenbeständen, um solche Verdachtsfälle zu ermitteln; in solchen Fällen mag es zwar tatsächliche Anhaltspunkte für die Erschleichung von Leistungen geben, sie liegen aber (noch) nicht in der Person der Betroffenen.
10.2.5 Allgemein zugängliche Daten (Nr. 2.1.3)
Allgemein zugängliche Quellen sind insbesondere Veröffentlichungen in Zeitungen, im Rundfunk oder in Telefonbüchern und Adressbüchern. Schutzwürdige Interessen der Betroffenen an dem Ausschluss der Zweckänderung überwiegen offensichtlich, wenn es such z.B. um Daten über Vorstrafen handelt und ihre zeitlich unbeschränkte Verwendung die Resozialisierung gefährdet, Urteil des BVerfG vom 05.06.1973 (BVerfG 35, 202). Dies gilt in besonderem Maße, wenn ein Verwertungsverbot nach § 51 des Bundeszentralregistergesetzes i. d. F. der Bek. vom 21.09.1984 (BGBl. I S. 1229), zuletzt geändert durch Art. 2 Abs. 3 des Gesetzes vom 17.03.2007 (BGBl. I S. 314), in der jeweils geltenden Fassung besteht.
10.2.6.1 Gemeinwohl oder Gefahrenabwehr
Wann eine Zweckänderung aus Gründen des Gemeinwohls erforderlich ist, muss unter Berücksichtigung der höchstrichterlichen Rechtsprechung zum Gemeinwohl oder zum Wohl der Allgemeinheit ermittelt werden. Der abstrakte Rechtsbegriff des Gemeinwohls deckt eine Vielzahl von Sachverhalten und Zwecken ab; er bedarf daher der Konkretisierung im einzelnen Fall (BVerfGE 24, 367, 403). Der Begriff lässt sich nicht für alle denkbaren Fälle verlässlich bestimmen. Vielmehr ist von Fall zu Fall zu prüfen, ob übergeordnete Gründe vorliegen, die eine Beeinträchtigung von Einzelinteressen rechtfertigen. Dabei ist die Beachtung der Normen, die das Zusammenleben der Menschen verbindlich regeln und deren Beachtung im Ganzen als überragend notwendig angesehen werden muss, höher einzustufen als das Individualinteresse.
Es reicht nicht jeder Nachteil für das Gemeinwohl aus, die Zweckänderung zu rechtfertigen. Erforderlich ist die Abwehr eines erheblichen Nachteils. Hierzu ist eine Güterabwägung vorzunehmen, ob die Zweckänderung personenbezogener Daten zur Erreichung des Zwecks geeignet und erforderlich ist und bei einer Gesamtabwägung zwischen der Schwere des Eingriffs und dem Gewicht der ihn rechtfertigenden Gründe die Grenze des Zumutbaren noch gewahrt ist (BVerfGE 71, 183, 196 und BVerfGE 78, 77, 85). Bei einem lediglich fiskalischen Nachteil dürfte nur im Ausnahmefall eine Zweckänderung zulässig sein.
Soweit eine Zweckänderung zur Abwehr einer sonstigen gegenwärtigen erheblichen Gefahr für die öffentliche Sicherheit zugelassen ist, wird auf die entsprechenden Begriffsbestimmungen in § 3 Nrn. 1, 3b, c SOG LSA und die Ausführungsbestimmungen hierzu (RdErl. des MI vom 24.11.1993, MBl. LSA 1994 S. 14, zuletzt geändert durch RdErl. vom 9. 2001, MBl. LSA S. 893) verwiesen.
10.2.7 Verfolgung von Straftaten oder Ordnungswidrigkeiten
Eine Zweckänderung für Zwecke der Verfolgung von Straftaten oder Ordnungswidrigkeiten liegt nicht vor, wenn die öffentliche Stelle im Rahmen ihrer ureigenen Aufgabenstellung Ordnungswidrigkeiten verfolgt oder Straftaten zur Anzeige bringt. Adressaten dieser Regelung sind grundsätzlich diejenigen öffentlichen Stellen, die nicht originär mit Aufgaben der Strafverfolgung und der Ahndung von Ordnungswidrigkeiten betraut sind. Die Befugnisse der Polizei und Staatsanwaltschaft ergeben sich aus der StPO.
10.2.8 Schwerwiegende Beeinträchtigung anderer
Nicht jede Beeinträchtigung der Rechte einer anderen Person rechtfertigt eine Zweckänderung. Eine schwerwiegende Beeinträchtigung ist vor allem anzunehmen beider Gefährdung bedeutsamer Rechtsgüter wie Leben, Gesundheit, Freiheit, nicht unwesentlicher Vermögenswerte sowie anderer strafrechtlich geschützter Güter. Es muss eine hinreichende Wahrscheinlichkeit geben, dass der Schaden in absehbarer Zeit eintritt oder der Schaden muss bereits entstanden sein. Bei der Güterabwägung der widerstreitenden Interessen muss das rechtliche Interesse privater Dritter das Interesse der jeweils betroffenen Person am Ausschluss der Zweckänderung überwiegen. Ein rechtliches Interesse besteht, wenn Dritte personenbezogene Daten Betroffener zur Verfolgung von Rechten benötigen.
10.2.9 Forschung
Aus Art. 5 des Grundgesetzes ergibt sich kein subjektives Recht, zu Zwecken der Forschung personenbezogene Daten zu erhalten. Die widerstreitenden Interessen zweier Grundrechtsträger, der Forscher und der Betroffenen, sind in der Weise in praktische Konkordanz zu bringen, dass das wissenschaftliche Interesse das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegen muss.
Der Zweck der Forschung darf auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können. Hierfür ist der Aufwand an Zeit, Kosten und Arbeitskraft in Relation zum Nutzen zu stellen. Reichen für das Forschungsvorhaben aggregierte oder anonymisierte Daten aus und sind diese vorhanden oder lassen sie sich ohne unverhältnismäßigen Aufwand durch die verantwortliche Stelle herstellen, ist eine Übermittlung personenbezogener Daten für Forschungszwecke ausgeschlossen. Gegebenenfalls kann die Anonymisierung im Wege der Auftragsdatenverarbeitung herbeigeführt werden.
10.3 Zweckidentität
10.3.1 Aufsichts- und Kontrollbefugnisse
Eine Zweckänderung liegt nicht vor, wenn personenbezogene Daten zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen verarbeitet oder genutzt werden.
Die Einschränkung auf Organisationsuntersuchungen für die verantwortliche Stelle schließt nicht aus, dass diese Untersuchungen durch dienst- oder fachaufsichtsführende Stellen durchgeführt werden. Im Rahmen der Ressortverantwortung ist es Sache der Ministerien, die Aufgabenerledigung im nachgeordneten Bereich zu steuern und zu beaufsichtigen.
10.3.2 Ausbildungs- und Prüfungszwecke
Eine Zweckänderung liegt auch dann nicht vor, wenn innerhalb der verantwortlichen Stelle personenbezogene Daten zu Ausbildungs- und Prüfungszwecken verarbeitet oder genutzt werden; überwiegende schutzwürdige Interessen der Betroffenen dürfen jedoch nicht entgegenstehen (Nr. 9.2.2.2.1). Vorbehaltlich bereichsspezifischer Regelungen ist somit ausgeschlossen, dass Originalakten mit personenbezogenem Inhalt ohne Anonymisierung auch außerhalb der verantwortlichen Stelle zu Ausbildungszwecken verwendet werden.
10.4 Zweckbindung von Daten, die aus Gründen der Datenschutzkontrolle oder der Datensicherung gespeichert sind
Eine Zweckänderung personenbezogener Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, liegt nicht vor, wenn diese Daten zur dienst-, arbeits-, haftungs- oder strafrechtlichen Ahndung bei der Kontrolle aufgedeckter Verstöße verwendet werden.
Anders als nach § 22 Abs. 3 SOG LSA ist eine Zweckänderung zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person nicht ausdrücklich zugelassen. In einem solchen Fall muss eine Berufung auf rechtfertigenden Notstand (§ 34 StGB) erfolgen. Aufgrund des Vorrangs des Bundesrechts steht Abs. 4 einer Beschlagnahme nach § 94 StPO nicht entgegen.
Unter Datensicherung versteht das Gesetz hier die Gesamtheit der Maßnahmen im Sinne des § 6.
11. Zu § 11 (Datenübermittlung an öffentliche Stellen)
11.1 Zulässigkeit
Absatz 1 lässt im Prinzip eine Übermittlung personenbezogener Daten innerhalb des öffentlichen Bereichs materiell unter den gleichen Voraussetzungen zu, die auch für die Speicherung, Veränderung und Nutzung innerhalb der verantwortlichen Stelle nach § 10 gelten. Nach Nr. 2 muss die Übermittlung im Rahmen des Erhebungszwecks liegen; anderenfalls müssen die Voraussetzungen für eine Zweckänderung im Sinne des § 10 Abs. 2 erfüllt sein.
11.1.1.1 Übermittlung in Erfüllung einer eigenen Aufgabe
Eine Übermittlung gehört zu den eigenen Aufgaben der verantwortlichen (übermittelnden) Stelle, wenn dieser Stelle Benachrichtigungs- oder Beteiligungspflichten obliegen (z.B. Pflicht zur Beteiligung anderer Behörden im Rahmen der Erteilung einer Baugenehmigung). Gleiches gilt dann, wenn die verantwortliche Stelle Daten ohne Ersuchen bei Vorliegen der Voraussetzungen des § 10 Abs. 2 Nrn. 6 bis 8 übermittelt.
11.1.1.2 Übermittlung zur Erfüllung von Aufgaben Dritter
Für die Erforderlichkeit einer Übermittlung nach Nr. 1, zweite Alternative, kommt es darauf an, ob der Dritte, an den die Daten übermittelt werden, auf die Kenntnis der Daten angewiesen ist. Nicht entscheidend ist, ob er die Daten auch auf andere Weise erhalten kann. Bei einer Übermittlung auf Ersuchen kann grundsätzlich davon ausgegangen werden, dass seitens des Dritten geprüft worden ist, dass die Daten nicht vorrangig bei Betroffenen zu erheben sind (Nr. 9.2).
Bei der Übermittlung auf Ersuchen liegt grundsätzlich Amtshilfe vor. Das Übermittlungsersuchen ist, soweit nicht bereichsspezifische Regelungen wie §§ 111 bis 115 AO 1977 oder §§ 3 bis 7 SGB X eingreifen, nach §§ 4 bis 8 VwVfG LSA zu behandeln. Sind die Voraussetzungen für eine Zweckänderung nicht erfüllt, steht der Leistung von Amtshilfe ein rechtlicher Hinderungsgrund im Sinne des § 5 Abs. 2 Satz 1 Nr. 1 VwVfG LSA entgegen. Hält sich die ersuchte Stelle nicht für verpflichtet, dem Übermittlungsersuchen nachzukommen, verfährt sie nach § 5 Abs. 5 VwVfG LSA.
11.2 Verantwortung für die Zulässigkeit
Die Verantwortung ist geteilt zwischen der übermittelnden Stelle und dem Dritten, an den die Daten übermittelt werden. Soweit die Übermittlung Amtshilfe ist, wird eine teilweise von § 7 VwVfG LSA abweichende Regelung zur Verantwortungsteilung getroffen.
Nach Satz 1 trägt die Verantwortung für die Zulässigkeit der Übermittlung grundsätzlich die übermittelnde Stelle. Bei Übermittlungen auf Ersuchen weist Satz 2 dem Dritten, an den die Daten übermittelt werden, die Verantwortung für die Zulässigkeit der Übermittlung zu. Satz 3 verpflichtet die übermittelnde Stelle dann nur zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten liegt. Hierzu ist die verantwortliche Stelle grundsätzlich auf entsprechende Darlegungen der ersuchenden Stelle angewiesen.
Das Übermittlungsersuchen muss so abgefasst sein, dass die ersuchte Stelle erkennen kann, ob die Übermittlung im Rahmen des Erhebungszwecks liegt oder die Voraussetzungen für. eine Zweckänderung vorliegen. Für die Darlegung gilt der Grundsatz: Soviel Informationen wie nötig, so wenig Informationen wie möglich. Eine weitergehende Prüfung der Zulässigkeitsvoraussetzungen stellt die ersuchte Stelle nur dann an, wenn dazu besonderer Anlass besteht, z.B. bei Zweifeln, ob der Dritte, an den die Daten übermittelt werden, die Daten speichern darf.
Fernmündliche Übermittlungen sind nur zulässig, soweit sich die mit der Übermittlung betraute Person von der Identität der Person, an die übermittelt wird, durch Rückruf vergewissert hat. Bei Übermittlungen per Telefax sollte auch geprüft werden, ob der Adressat unter der bekannten Anschlussnummer erreichbar ist.
11.3 Zweckbindung übermittelter Daten
Nach Satz 1 darf der Dritte, an den die Daten übermittelt werden, die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Der Hinweis auf § 9 Abs. 1 und 2 bedeutet, dass bei der Verwendung personenbezogener Daten durch den Dritten, insbesondere bei der Übermittlung über mehrere Stufen, der Verwendungszweck von dem ursprünglichen Erhebungszweck nicht so stark abweichen darf, dass Betroffene nicht mehr nachvollziehen können, wer was wann und bei welcher Gelegenheit über sie wissen kann (BVerfGE 65, 1, 43).
Im Übrigen lässt Satz 2 zu, dass der Dritte, an den die Daten übermittelt werden, unter den Voraussetzungen des § 10 Abs. 2 die übermittelten Daten für andere Zwecke verarbeitet oder nutzt als den Übermittlungszweck.
11.4 Kirchen, Religionsgesellschaften und Weltanschauungsgemeinschaften des öffentlichen Rechts 12
11.4.1 Gleichsetzung mit öffentlichen Stellen bei Übermittlungen 12
Treffen Kirchen, Religionsgesellschaften und Weltanschauungsgemeinschaften des öffentlichen Rechts ausreichende Datenschutzmaßnahmen, können ihnen nach Absatz 4 Satz 1 personenbezogene Daten unter den gleichen Voraussetzungen wie öffentlichen Stellen übermittelt werden. Nicht zu den Stellen im Sinne des Absatzes 4 gehören die privatrechtlich organisierten Einrichtungen und Werke der Kirchen (z.B. Diakonisches Werk, Caritas); an diese Stellen erfolgen Übermittlungen wie an andere Stellen außerhalb des öffentlichen Bereichs.
11.4.2 Feststellung ausreichender Datenschutzmaßnahmen 12
Gemäß § 11 Abs. 4 Satz 2 DSG LSA stellt das für den Datenschutz zuständige Ministerium fest, dass die nachstehend genannten öffentlich-rechtlichen Religionsgesellschaften Kirchengesetze und Anordnungen über die Zulässigkeit der Verarbeitung personenbezogener Daten, zur Gewährleistung der Zweckbindung übermittelter Daten, über die Rechte der Betroffenen, über die technischen und organisatorischen Maßnah- men zur Datensicherung sowie über die Überwachung des Datenschutzes erlassen und hinreichende Vorkehrungen zu deren Vollzug getroffen haben:
Die Feststellung bezieht sich auf die im Land Sachsen-Anhalt gelegenen Teile der genannten Landeskirchen und (Erz-)Bistümer.
Falls an weitere öffentlich-rechtliche Religionsgesellschaften Daten übermittelt werden sollen, ist das Vorliegen ausreichender Datenschutzmaßnahmen im Einzelfall von der verantwortlichen Stelle, die um Übermittlung ersucht wird, ZU überprüfen (§ 11 Abs. 4 Satz 2 DSG LSA).
11.5 Nicht abtrennbare Daten
Bei der herkömmlichen Informationsverarbeitung in Akten sind weitere personenbezogene Daten der Betroffenen oder Dritter häufig so eng mit den zu übermittelnden Daten verbunden, dass sie bei der Übermittlung nicht oder nur mit unvertretbarem Aufwand voneinander getrennt werden können (z.B. Angaben zu verschiedenen Verfahren oder Personen auf einem einzelnen Blatt; Querverweise innerhalb einer Akte, die zum Verständnis und der richtigen Bewertung einer Information erforderlich sind). En einem solchen Fall kann es unmöglich sein, bei einer Übermittlung die überschüssigen Informationen abzutrennen. Denkbar ist auch, dass die Abtrennung der überschüssigen Informationen nur mit unverhältnismäßigem Aufwand (Nr. 10.2.9) möglich ist. Diese Voraussetzung ist nicht erfüllt, wenn die überschüssigen Informationen ohne besondere Umstände durch Übersendung nur eines Teils der Akte oder auszugsweiser Kopien abgetrennt werden können. Überschüssige Informationen dürfen nicht mitübermittelt werden, soweit berechtigte Interessen (gleichzusetzen mit schutzwürdigen Interessen im Sinne von Nr. 9.2.2.2.1) der betroffenen Person oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen.
Überschüssige Informationen dürfen von dem Dritten, an den übermittelt wurde, nicht verarbeitet oder genutzt werden.
Für personenbezogene Daten aus ehemaligen Einrichtungen trifft § 34 Abs. 3 eine abweichende und strengere Regelung.
Die Regelungen des Abs. 5 gelten nicht für Übermittlungen an Stellen öffentlich-rechtlicher Religionsgesellschaften.
11.6 Stelleninterne Weitergabe
Absatz 6 überträgt die Regelung des Abs. 5 Satz 1 auf Fälle der Weitergabe überschüssiger Informationen innerhalb einer öffentlichen Stelle (Nr. 2.6).
12. Zu § 12 (Datenübermittlung an nichtöffentliche Stellen)
12.1 Zulässigkeit der Übermittlung
§ 12 begründet keinen Anspruch privater Dritter auf Übermittlung personenbezogener Daten. Wenn sich ein solcher Anspruch nicht aus anderen Rechtsvorschriften ergibt, steht die Übermittlung bei Vorliegen der übrigen Voraussetzungen im pflichtgemäßen Ermessen der verantwortlichen Stelle.
12.1.1 Übermittlung als Aufgabe der übermittelnden Stelle
Gehört die Datenübermittlung zu den eigenen Aufgaben der übermittelnden Stelle, ist diese unter den gleichen Voraussetzungen zulässig wie innerhalb des öffentlichen Bereichs (Nr. 11.1.1.1).
12.1.2 Übermittlung im Interesse der Stelle, an die übermittelt wird
Bei Übermittlungen, die nicht zur Aufgabenerfüllung der übermittelnden Stelle erforderlich sind, muss nach Nr. 2 zwischen den berechtigten Interessen des Dritten, an den die Daten übermittelt werden, und den schutzwürdigen Interessen der jeweils betroffenen Person abgewogen werden. Grundsätzlich muss die Interessenabwägung in jedem Einzelfall nach dem Verhältnismäßigkeitsprinzip vorgenommen werden. Gruppen- und Massenauskünfte, z.B. zu Werbezwecken, sind wegen fehlender Einzelabwägung in der Regel nicht zulässig.
Als berechtigtes Interesse ist jedes ideelle oder wirtschaftliche Interesse anzusehen, das mit der Rechtsordnung in Einklang steht. Das berechtigte Interesse muss an Hand des Zwecks, zu dem die Kenntnis der Daten erstrebt wird, beurteilt werden. Der Dritte, an den die Daten übermittelt werden, muss ein eigenes Interesse an der Kenntnis der Daten haben.
Der Dritte, an den die Daten übermittelt werden, hat sein berechtigtes Interesse an der Kenntnis der Daten nicht zu beweisen, sondern lediglich glaubhaft zu machen. Das bedeutet, dass die Tatsachen, aus denen sich das berechtigte Interesse ergibt, nicht zur vollen Überzeugung der übermittelnden Stelle feststehen müssen; es reicht vielmehr aus, dass nach ihrer Wertung eine überwiegende Wahrscheinlichkeit hierfür besteht. Der Dritte, an den die Daten übermittelt werden, kann sich zur Glaubhaftmachung aller Beweismittel bedienen (§ 294 Abs. 1 der Zivilprozessordnung - ZPO).
12.3.1 Vorherige Unterrichtung
Die Betroffenen gehen grundsätzlich davon aus, dass öffentliche Stellen über sie gespeicherte personenbezogene Daten nicht außerhalb der eigenen Aufgabenstellung an nichtöffentliche Stellen übermitteln. Wird hiervon nach Abs. 1 Nr. 2 abgewichen, ist die übermittelnde Stelle grundsätzlich verpflichtet, die jeweils Betroffenen von der beabsichtigten Übermittlung vorher unter Hinweis auf die Möglichkeit, Einwendungen (Nr: 4.4.1) zu erheben, zu unterrichten.
Die Unterrichtung unterbleibt, wenn durch sie eine Vereitelung von Rechtsansprüchen zu befürchten wäre (z.B. Wegzug eines Schuldners mit unbekannter Adresse).
12.3.2 Ausschluss der vorherigen Unterrichtung
Die Pflicht zur Unterrichtung besteht nicht, wenn damit zu rechnen ist, dass die Betroffenen auf andere Weise Kenntnis von der Übermittlung erlangen. Hiervon ist z.B. auszugehen, wenn sich der Dritte, an den die Daten übermittelt werden, mit der betroffenen Person in Verbindung setzt. Auch in einem solchen Fall ist unter Berücksichtigung der Interessenlage der jeweils Betroffenen und der Sensibilität der Daten zu prüfen, ob der Verzicht auf die vorherige Unterrichtung der betroffenen Person vertretbar erscheint.
12.4 Zweckbindung
Nach Satz 1 darf der Dritte, an den die Daten übermittelt werden, die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dem sie ihm übermittelt worden sind. Auf diese Zweckbindung ist nach Satz 2 durch die verantwortliche (übermittelnde) Stelle hinzuweisen. Nach Satz 3 kann die übermittelnde Stelle einer Zweckänderung zustimmen, wenn sie die Daten auch für den anderen Zweck übermitteln dürfte. Die Nichtbeachtung der Zweckbindung steht nach § 31 Abs. 2 Nr. 2 unter Strafandrohung oder kann nach § 31a Abs. 2 Nr. 1 als Ordnungswidrigkeit verfolgt werden.
13. Zu § 13 (Datenübermittlung ins Ausland sowie an über- oder zwischenstaatliche Stellen)
13.1 Gleichstellung ausländischer mit inländischen Stellen
Die Übermittlung an öffentliche und nichtöffentliche Stellen innerhalb der Europäischen Union, an entsprechende Stellen in Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vom 02.05.1992 (BGBl. II 1993 S. 266), die nicht zugleich EU-Staaten sind (Nr. 2.9.2), sowie an Einrichtungen der Europäischen Gemeinschaften ist unter den gleichen materiellen Voraussetzungen zulässig, die für Übermittlungen im Inland gelten.
13.2 Übermittlung an ausländische Stellen, die nicht gleichgestellt sind
13.2.1 Keine Differenzierung zwischen öffentlichen und nichtöffentlichen Stellen
Für die Übermittlung an andere als unter Nr. 13.1 aufgeführte Stellen gelten regelmäßig die gleichen Grundsätze wie für Übermittlungen an nichtöffentliche Stellen. Es wird nicht danach unterschieden, ob die Stelle, der Daten übermittelt werden, eine öffentliche oder nichtöffentliche Stelle ist. Der Verzicht auf die Unterscheidung reduziert Verwaltungsaufwand. Außerdem wird verhindert, dass entsprechende ausländische öffentliche Stellen bei der Übermittlung privilegiert sind.
13.2.2 Angemessenes Datenschutzniveau
Die Stelle, an die Daten übermittelt werden, muss grundsätzlich über ein angemessenes Datenschutzniveau verfügen. Ein angemessenes Datenschutzniveau ist gegeben, wenn unter Berücksichtigung aller Umstände, die bei der Übermittlung bedeutsam sind, wie der Art der Daten, der Zweckbestimmung und der im Empfängerland geltenden Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen, ein dem innereuropäischen Standard gleichwertiger Schutz personenbezogener Daten gegeben ist.
13.2.3 Fehlendes angemessenes Datenschutzniveau
Die Fälle, in denen eine Übermittlung in ein Drittland erfolgen darf, das über kein ausreichendes Datenschutzniveau verfügt, sind in § 13 Abs. 2 Satz 3 abschließend aufgeführt.
13.2a Sonderregelungen
Absatz 2a stellt klar, dass die in §§ 25 bis 30a getroffenen Sonderregelungen auch bei der Übermittlung an ausländische Stellen zu beachten sind.
13.3 Verantwortlichkeit
Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle und zwar auch im Fall des Abs. 1. Dies gilt vorbehaltlich besonderer Rechtsvorschriften auch für Übermittlungen aufgrund supranationalen Rechts oder eines ratifizierten Staatsvertrages.
| | . | |