umwelt-online: VV-DSG LSA - Verwaltungsvorschriften zum Gesetz zum Schutz personenbezogener Daten der Bürger - Sachsen-Anhalt - (3)
| | |
14. Zu § 14 (Durchführung des Datenschutzes)
14.1.1 Verantwortlichkeit für die Durchführung des Datenschutzes 12
Datenschutz ist Teil jeder (Fach-) Aufgabe. Dementsprechend liegt die Pflicht zur Einhaltung datenschutzrechtlicher Vorgaben grundsätzlich bei jeder verantwortlichen Stelle selbst.
Besonderes Gewicht hat der Gesetzgeber der Selbstkontrolle der Verwaltung beigemessen. Aus diesem Grund haben die obersten Landesbehörden und die sonstigen in Satz 1 genannten Stellen jeweils für ihren Organisationsbereich die Ausführung des DSG LSA sowie anderer Vorschriften über den Datenschutz sicherzustellen. Es müssen die organisatorischen Voraussetzungen für eine effektive Durchsetzung des Datenschutzes geschaffen werden. Aus der Verantwortung für die Sicherstellung des Datenschutzes folgt auch die Pflicht sicherzustellen, dass nur solche automatisierten Verfahren eingesetzt werden, die mit den Rechtsvorschriften über den Datenschutz in Einklang stehen. Orientierungshilfen für eine diesbezügliche Prüfung können sich aus Empfehlungen, Checklisten ergeben, die von den Datenschutzbeauftragten des Bundes und der Länder ins Internet eingestellt sind.
14.1.2 Unterrichtung des Landesbeauftragten für den Datenschutz 12
Um bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung von automatisierten Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Vorkehrungen zum Datenschutz treffen zu können, besteht die Pflicht, den Landesbeauftragten für den Datenschutz rechtzeitig und unaufgefordert zu unterrichten. Dabei ist der zuständige Beauftragte für den Datenschutz nach § 14a einzubinden. Die frühzeitige Einbindung des Landesbeauftragten für den Datenschutz bei grundlegenden Planungen bietet die Möglichkeit, dass die in der jeweiligen Projektierungs- und Realisierungsphase aus rechtlicher und technischer Sicht zu beachtenden Anforderungen des Datenschutzes nicht vernachlässigt werden. Hierdurch kann späteren zeit- und kostenaufwändigen Umplanungen entgegengewirkt werden. Die Unterrichtung ist an keine besondere Form gebunden.
Grundlegend sind solche Planungen, die den Aufbau oder die wesentliche Änderung bedeutsamer Automationsverfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen. Als bedeutsam sind Verfahren insbesondere dann anzusehen, wenn sie landesweit oder ressortübergreifend zur Anwendung kommen (z.B. Personalverwaltungs- oder Dokumentenmanagementsysteme). Gleiches gilt für ressortspezifische Anwendungen, wenn sehr große Datenmengen bzw. die Daten einer Vielzahl von Personen verarbeitet werden (z.B. bei zu Übermittlungszwecken geführten Registern). Erfasst werden auch Planungen zur Gestaltung der technischen Infrastruktur, wie z.B. des e Goverment-Konzepts, soweit es um die Prüfung der Erforderlichkeit oder die Realisierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheitsziele des § 6 Abs. 2 im Allgemeinen geht. Die Unterrichtung über die anstehende Einrichtung von Abrufverfahren nach § 7 Abs. 3 bleibt unberührt.
Am Beispiel des e Government-Maßnahmeplans bedeutet dies: Die Unterrichtung obliegt der Stelle, die das jeweilige Verfahren plant oder ändert. So ist entsprechend dem e Government-Aktionsplan das Ministerium des Innern für die Bereitstellung der Basiskomponenten verantwortlich. Dem jeweiligen Fachressort obliegt dagegen die Zuständigkeit für die Umsetzung der einzelnen Leitprojekte. Die Regelung erfasst nicht Träger der Selbstverwaltung; diese sind aber nicht gehindert, entsprechend § 14 Abs. 1 Satz 2 zu verfahren. Dies gilt insbesondere in Fällen, in denen eine Beratung durch den Landesbeauftragten für den Datenschutz nach § 22 Abs. 4 gewünscht wird.
14.1.3 Anhörung des Landesbeauftragten für den Datenschutz beim Erlass von Vorschriften 12
Nach § 14 Abs. 1 Satz 3 ist der Landesbeauftragte für den Datenschutz vor dem Erlass von Rechts- und Verwaltungsvorschriften, die den Umgang mit personenbezogenen Daten regeln, zu hören; siehe hierzu auch § 40 Satz 2 der Gemeinsamen Geschäftsordnung der Ministerien - Allgemeiner Teil - (GGO LSA I, Beschluss der LReg. vom 15.03.2005, MBL. LSA S. 207, 231, zuletzt geändert durch Beschluss vom 20.03.2012, - MBl. LSA S. 145). Die Pflicht zur Anhörung besteht auch, wenn nachgeordnete Landesbehörden oder der Aufsicht des Landes unterstehende juristische Personen einschlägige Rechtsvorschriften erlassen
14.2 Vorabkontrolle
Regelmäßig wird die Vereinbarkeit von Verfahren mit dem Datenschutz im Rahmen ihrer Freigabe geprüft. Das Gesetz verzichtet auf formelle Festlegungen zur Freigabe für die Mehrzahl der Verfahren. Abstrakte Festlegungen könnten die Besonderheiten der einzelnen Verfahren nicht ausreichend berücksichtigen. Eine gesonderte Vorabprüfung ist nur vorgesehen, wenn mit personenbezogenen Daten besonderer Art (Nr. 2.1.2) umgegangen wird oder das Erheben, Verarbeiten oder Nutzen darauf gerichtet ist, die Persönlichkeit Betroffener zu bewerten (§ 4a). Ferner ist die Vorabkontrolle für automatisierte Abrufverfahren (§ 7) und den Einsatz mobiler personenbezogener Datenträger (§ 25) vorgeschrieben. Hierbei ist zu prüfen, ob das Verfahren datenschutzrechtlich zulässig ist und die vorgesehenen technischen und organisatorischen Maßnahmen ausreichen. Grundlage der Vorabprüfung sind die in § 23 Abs. 1 Satz 2 Nr. 1 genannten Unterlagen sowie Entwürfe für das Verfahrensverzeichnis. Vorabkontrollen sind auch im Anwendungsbereich des SOG LSA und des VerfSchG LSA durchzuführen.
14.3 Verfahrensverzeichnis
Absatz 3 verpflichtet die verantwortlichen Stellen, über die eingesetzten automatisierten Verfahren, mit deren Hilfe personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ein Verzeichnis zu führen. Geführt wird es grundsätzlich durch Beauftragte für den Datenschutz (Nr. 14a.4.1). Die Festlegungen, die im Verfahrensverzeichnis zu treffen sind, ergeben sich aus Satz 1 Nrn. 1 bis 9. Es wird empfohlen, das Verfahrensverzeichnis nach dem Muster der Anlage 3 zu führen. Die Führung kann auch in automatisierter Form erfolgen. Auf die Übergangsregelungen des § 32 zu früheren Dateifestlegungen nach § 14 Abs. 2 Satz 2, Errichtungsanordnungen nach § 33 Abs. 1 SOG LSA und Dateianordnungen nach § 13 Abs. 1 VerfSchG LSA wird verwiesen (Nr. 32.1.1).
Nach Satz 2 können die Festlegungen zum Verfahrensverzeichnis auch zentral von den in Abs. 1 genannten Stellen für ihren Organisationsbereich getroffen werden. Diese Möglichkeit dient der Verwaltungsvereinfachung, insbesondere wenn mehrere Stellen gleiche Verfahren betreiben. Zentrale Festlegungen müssen der jeweiligen verantwortlichen Stelle zugänglich sein, z.B. in Form von Abdrucken.
Für Verbunddateien, die beim Bundeskriminalamt oder dem Bundesamt für Verfassungsschutz geführt werden, reicht es aus, eine Kopie der entsprechenden Errichtungs- oder Dateianordnung, die die zuständige Bundesbehörde erstellt hat, zum Verfahrensverzeichnis zu nehmen.
14.4 Ausnahmen von der Aufnahme in das Verfahrensverzeichnis
Absatz 4 nimmt einzelne Verfahren von der Pflicht zur Aufnahme in das Verfahrensregister aus.
14.4.1 Register
Nummer 1 betrifft zur Information der Öffentlichkeit bestimmte Register, deren Führung aufgrund von Rechtsvorschriften vorgesehen ist (z.B. Grundbuch). Durch diese Rechtsvorschriften ist ausreichende Transparenz für die Betroffenen gegeben.
14.4.2 Verfahren zur Unterstützung der allgemeinen Bürotätigkeit
Auch Verfahren, die ausschließlich der Unterstützung der allgemeinen Bürotätigkeit dienen, sind grundsätzlich nicht in das Verfahrensverzeichnis aufzunehmen. Dies gilt grundsätzlich nur, wenn das Verfahren keine Beeinträchtigung der Rechte Betroffener erwarten lässt. Eine solche Beeinträchtigung ist nicht zu erwarten, wenn ein Verfahren ausschließlich dient
Die Ausnahmeregelung gilt nicht für Verfahren, die über die beschriebenen Hilfsfunktionen hinausgehen. So dienen z.B. von Notaren zu führende Bücher auch als Nachweise über die ordnungsgemäße Erledigung ihrer Amtsgeschäfte.
14.a Zu § 14a (Beauftragter für den Datenschutz)
14a.1.1 Pflicht zur Einsetzung von Beauftragten für den Datenschutz
Für öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist eine Beauftragte für den Datenschutz oder ein Beauftragter für den Datenschutz einzusetzen. Die öffentlichen Stellen sind grundsätzlich mit den verantwortlichen Stellen im Sinne des § 2 Abs. 8 identisch. Die Einsetzung hat schriftlich zu erfolgen; hierfür sollte das Muster der Anlage 4 verwendet werden.
Die Einsetzung von Beauftragten für den Datenschutz ist für solche öffentlichen Stellen nicht vorgesehen, die ausschließlich Verfahren im Sinne des § 14 Abs. 4 Nr. 2 durchführen (Nr. 14.4.2).
14a.1.2 Einsetzen von Beauftragten für den Datenschutz im nachgeordneten Bereich
Im nachgeordneten Bereich können Beauftragte für den Datenschutz auch durch Dienstaufsicht führende Behörden eingesetzt werden. Das erleichtert die Einsetzung einer Person als Beauftragten für den Datenschutz für mehrere Stellen, z.B. durch ein Schulamt für die unterstehenden Schulen.
14a.1.3 Notare und Beliehene
Notare und Beliehene (Nr. 3.1.2) haben Beauftragte für den Datenschutz erst einzusetzen, wenn fünf oder mehr Beschäftigte mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der durchschnittlich Beschäftigten, auch wenn diese nicht vollbeschäftigt sind. Zu den Beschäftigten zählen auch Auszubildende.
14a.2.1 Anforderungen an Beauftragte für den Datenschutz
Beauftragte für den Datenschutz können nur natürliche Personen sein. Sie müssen fachkundig sein. Diese Personen müssen über die technischen, rechtlichen und organisatorischen Kenntnisse verfügen, die sie, abhängig von den Gegebenheiten der öffentlichen Stelle, in die Lage versetzen, ihre Aufgabe wahrzunehmen. Die Anforderungen an die Fachkunde sind nicht einheitlich, sondern hängen unter anderem von der Größe der öffentlichen Stelle, der Sensibilität der Daten und der eingesetzten Technik ab. Gefordert sind mindestens
Verfügen Beauftragte für den Datenschutz nicht von Anfang an über die erforderlichen Kenntnisse, müssen sie jedenfalls die Fähigkeit haben, sich diese Kenntnisse anzueignen.
Beauftragte für den Datenschutz müssen zuverlässig, also integer, verschwiegen und verantwortungsbewusst sein. Zweifel an der Zuverlässigkeit bestehen z.B. bei erheblichen Interessenkonflikten (Nr. 14a.2.4).
14a.2.2 Organisatorische Stellung von Beauftragten für den Datenschutz
Beauftragte für den Datenschutz sind in dieser Funktion, also insbesondere bei Wahrnehmung, ihrer Beratungs- und Kontrolltätigkeit nach Abs. 4 Satz 2, weisungsfrei. Die Weisungsfreiheit entbindet Beauftragte für den Datenschutz jedoch nicht davon, nach Recht und Gesetz zu handeln, z.B. bei der Auskunftserteilung gegenüber Betroffenen.
Beauftragte für den Datenschutz sind in den Organigrammen der öffentlichen Stellen gesondert anzuführen. Die besondere Stellung der Beauftragten für den Datenschutz wird dadurch deutlich, dass sie sich unmittelbar an die Leitung der öffentlichen Stellen wenden können. Außerhalb ihrer Funktion sind Beauftragte für den Datenschutz an den Dienstweg gebunden. Auch können sie sich grundsätzlich nicht unmittelbar an den Landesbeauftragten für den Datenschutz wenden; dieses Recht steht ihnen nur zu, wenn Zweifelsfragen im Rahmen der Vorabkontrolle auftreten.
14a.2.3 Benachteiligungsverbot
Satz 3 sichert die Unabhängigkeit durch ein ausdrückliches Benachteiligungsverbot. Dadurch sind Beauftragte für den Datenschutz vor Umsetzungen, Kündigungen oder anderen Beeinträchtigungen geschützt, die aus einer nicht genehmen Wahrnehmung ihrer Funktion als Beauftragte für den Datenschutz herrühren könnten. Ob eine Benachteiligung vorliegt, kann gerichtlich überprüft werden.
14a.2.4 Art und Umfang der Tätigkeit
Grundsätzlich werden Beauftragte für den Datenschutz Angehörige des öffentlichen Dienstes sein. Sie müssen nicht Beschäftigte der Stelle sein, für die sie die Funktion des Beauftragten für den Datenschutz ausüben. Beauftragte für den Datenschutz müssen nicht hauptberuflich tätig sein. Im Einzelfall kann es ausreichen, die Funktion stundenweise oder fallbezogen auszuüben. Nehmen Beauftragte für den Datenschutz auch andere Aufgaben wahr, sind sie von diesen freizustellen, soweit es die Tätigkeit als Beauftragte für den Datenschutz erfordert. Es ist darauf zu achten, dass durch die sonstigen Aufgaben keine erheblichen Interessenkonflikte entstehen können. Dies kann z.B. bei Entscheidungskompetenzen in den Bereichen
Die Einsetzung externer Beauftragter für den Datenschutz ist nicht ausgeschlossen. Sie kommt insbesondere bei öffentlichen Stellen im Sinne des § 3 Abs. 2 Nr. 1 (z.B. Eigenbetrieben) in Betracht. Sofern externe Beauftragte für den Datenschutz eingesetzt werden, sind diese bei Vorliegen der Voraussetzungen nach dem Verpflichtungsgesetz zur gewissenhaften Erfüllung ihrer Obliegenheiten zu verpflichten.
14a.3 Rechte und Pflichten der Beauftragten für den Datenschutz
14a.3.1/2 Einsicht in Datenverarbeitungsvorgänge
Um ihre Aufgaben erfüllen zu können, haben Beauftragte für den Datenschutz das Recht, Einsicht in Vorgänge über die Verarbeitung personenbezogener Daten zu nehmen. Die Kenntnisnahme ist auf das zur Aufgabenerledigung unerlässliche Maß zu beschränken. Der Einsicht entgegenstehende Berufs- oder besondere Amtsgeheimnisse sind zu beachten.
14a.3.3 Auskunfts- und Einsichtsrechte
Innerhalb der verantwortlichen Stelle stehen Beauftragten für den Datenschutz die gleichen Kontroll-, Auskunfts- und Einsichtsrechte wie dem Landesbeauftragten für den Datenschutz zu. Bedienstete können sich grundsätzlich ohne Einhaltung des Dienstweges an Beauftragte für den Datenschutz wenden, auch dann, wenn es sich nicht um eigene Angelegenheiten handelt. Sie sind nämlich stelleninterne Kontroll- und Beratungseinrichtungen.
14a.3.4 Verschwiegenheitspflicht
Nach Satz 4 dürfen Beauftragte für den Datenschutz die Identität Betroffener, die sieh an sie wenden, nicht gegen deren Willen preisgeben. Sofern einer Angelegenheit nicht anonymisiert nachgegangen werden kann, haben Beauftragte für den Datenschutz die Betroffenen hier von zu unterrichten. Die Betroffenen haben dann selbst zu entscheiden, ob ihre Identität aufgedeckt werden soll.
14a.4 Aufgaben der Beauftragten für den Datenschutz
14a.4.1 Führen des Verfahrensverzeichnisses
Beauftragte für den Datenschutz führen das Verfahrensverzeichnis nach § 14 Abs. 3 Satz 1. Mithin erteilen sie hieraus auch Auskünfte an Interessierte.
Verfahren der Personalvertretungen werden entsprechend dem Urteil des BAG vom 29.10.1997 (NJW 1998, 2466) nicht in das vom Beauftragten für den Datenschutz geführte Verfahrensverzeichnis aufgenommen. Die Personalvertretung ist zwar Teil der verantwortlichen Stelle, unterliegt aber wegen ihrer Unabhängigkeit nicht der Kontrolle des Beauftragten für den Datenschutz, sondern nur der des Landesbeauftragten für den Datenschutz.
14a.4.2 Unterstützungspflicht 12
Beauftragte für den Datenschutz sind verpflichtet, die öffentlichen Stellen bei der Ausführung der Vorschriften des DSG LSA und anderer datenschutzrechtlicher Vorschriften zu unterstützen. Die Verantwortlichkeit für den Datenschutz liegt unverändert bei den verantwortlichen öffentlichen Stellen. Beauftragte für den Datenschutz haben dementsprechend keine Weisungsbefugnisse innerhalb der öffentlichen Stellen. Gleichwohl haben sie eine Garantenstellung innerhalb der öffentlichen Stellen. Ihre Aufgaben sind in Nr. 1 bis 3 nicht abschließend aufgezählt.
14a.4.2.1 Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften
Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften umfasst z.B. die Prüfung
Dazu gehört es auch, Hinweise und Vorschläge zu unterbreiten
14a.4.2.2 Vorabkontrolle
Beauftragte für den Datenschutz haben die Vorabkontrolle durchzuführen (Nr. 14.2).
14a.4.2.3 Vertrautmachen mit datenschutzrechtlichen Vorschriften
Beauftragte für den Datenschutz haben die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen mit den einschlägigen datenschutzrechtlichen Vorschriften vertraut zu machen. Die Bedeutung und die Notwendigkeit des Datenschutzes ist verständlich zu machen. Beauftragte für den Datenschutz können dazu Mitarbeiterschulungen vornehmen, soweit solche nicht im Rahmen der zentralen Mitarbeiterfortbildung erfolgen.
§ 15 regelt im Interesse der Transparenz die grundsätzlich umfassende Auskunftserteilung an Betroffene. Der Anspruch kann formlos geltend gemacht werden. Während eines laufenden Verwaltungsverfahrens werden die Regelungen des § 15 durch § 1 VwVfG LSA i. V. m. § 29 * VwVfG LSA verdrängt. Zuständig für die Auskunftserteilung ist die verantwortliche Stelle. Gehen Auskunftsersuchen bei Auftragnehmern ein, sind diese an den Auftraggeber weiterzuleiten, sofern nicht der Auftragnehmer zur Auskunftserteilung berechtigt worden ist.
Bei der Auskunftserteilung muss die Identität von Antragstellern hinreichend überprüft sein.
Fernmündliche Auskünfte sind nur zulässig, wenn die antragstellende Person identifiziert werden kann (z.B. durch Rückruf).
(* Red. Anm. : § 29 VwVfg LSA ist nicht vorhanden, Verlinkung zum gleichlautenden § des VwVfG des Bundes)
15.1.1.1 Auskunft über personenbezogene Daten und deren Herkunft und Übermittlung 10
Der Auskunftsanspruch besteht für alle zur Person gespeicherten Daten. Die ausdrückliche Erwähnung von Daten über die Herkunft oder ihre erfolgte Übermittlung hat nur klarstellende Bedeutung, verpflichtet die öffentliche Stelle aber nicht, solche Daten ausschließlich für Auskunftszwecke zu speichern.
Auskunft ist auch zu erteilen über die Dritten, an die personenbezogene Daten übermittelt worden sind; siehe auch die Sonderregelung des § 15 Abs. 3 Satz 1. Voraussetzung ist, dass die Tatsache der Übermittlung gespeichert ist; dies ist zumindest befristet überwiegend der Fall. Unter Berücksichtigung des Urteils des Europäischen Gerichtshofes vom 07.05.2009 - C 553/07 -erscheint eine Speicherung von Angaben über erfolgte Übermittlungen mindestens so lange angezeigt, wie eine Pflicht zur Verständigung von Stellen, denen Daten übermittelt worden sind, über erfolgte Berichtigungen, Sperrungen und Löschungen nach § 16 Abs. 6 besteht Eine solche Speicherung erfolgt aber regelmäßig nicht, wenn die Übermittlung im Abrufverfahren erfolgt ist. Hier greift eine Sonderregelung (Nr. 15.1.1.3). § 15 Abs. 2 Nr. 1 bleibt unberührt.
15.1.1.2 Auskunft über Verarbeitung oder Nutzung
Als Rechtsgrundlage der Verarbeitung oder Nutzung kommt, soweit keine andere Rechtsvorschrift vorgeht, § 4 (Einwilligung) oder § 10 Abs. 1 in Betracht. Zum Zweck der Speicherung siehe Nrn. 9.3.3.2 und 10.1.1.
15.1.1.3 Auskunft über Dritte, an die Übermittlungen vorgesehen sind
Den Betroffenen ist Auskunft über alle die Dritten zu erteilen, an die Übermittlungen vorgesehen sind. Dies sind insbesondere Stellen, an die bei Vorliegen bestimmter Voraussetzungen oder zu bestimmten Stichtagen von Amts wegen Daten übermittelt werden. Dazu gehören auch die Stellen, die Übermittlungen durch Abruf (§ 7) bewirken können.
15.1.1.4 Automatisierte Entscheidungen
Im Fall automatisierter Entscheidungen wird auch über den logischen Aufbau der automatisierten Verarbeitung oder Nutzung Auskunft erteilt. Durch Transparenz soll den Betroffenen veranschaulicht werden, was mit ihren Daten geschieht. Die Grenzen des Auskunftsrechts können beim Schutz von Betriebs- oder Geschäftsgeheimnissen (z.B. Auskünften über die verwendete Software) liegen.
15.1.3 Auskunft aus Akten
Personenbezogene Daten in Sachakten können nur schwer personenbezogen selektiert werden. Es wird daher nur Auskunft erteilt, soweit die Betroffenen Angaben machen, die das Auffinden der Daten ermöglichen. Ferner wird dem erhöhten Verwaltungsaufwand bei der Auskunftserteilung aus Akten in der Weise Rechnung getragen, dass der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von Betroffenen geltend gemachten Informationsinteresse stehen darf. Diese Prognose ist im Einzelfall zu erstellen.
15.1.4 Art der Auskunft
Die Auskunftserteilung kann auch durch Gewährung von Akteneinsicht erfolgen. Hierbei dürfen Betroffenen grundsätzlich nicht personenbezogene Daten unbeteiligter Dritter zur Kenntnis gelangen. Auch beschränkt sich die Auskunftserteilung auf die Teile der Akte, die personenbezogene Daten der betroffenen Person enthalten. Ein Recht auf Auskunft über Akteninhalte ohne Personenbezug ergibt sich nicht nach § 15, sondern gegebenenfalls aus anderen Gesetzen.
15.1a Auskunft über Daten, die aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen
Bei den in Abs. 1a genannten personenbezogenen Daten handelt es sich regelmäßig um gesperrte Daten im Sinne des § 16 Abs. 3. Soweit Betroffene über Daten, die nach § 16 Abs. 3 Satz 1 Nr. 2 gesperrt sind, Auskunft begehren, ist die Ablehnung einer Auskunftserteilung grundsätzlich ermessensfehlerhaft.
15.2 Ausnahmen von der Auskunftspflicht
In Fällen des Abs. 2 besteht nur keine Auskunftspflicht, jedoch kein Auskunftsverbot.
15.2.1 Zwecke der Datensicherung oder der Datenschutzkontrolle
Datensicherung ist hier im Sinne von technischen Maßnahmen nach § 6 zu verstehen.
15.3 Unterrichtung des Landesbeauftragten für den Datenschutz bei Auskunftsverweigerung
Die Unterrichtung des Landesbeauftragten für den Datenschutz über die Versagung der Zustimmung zur Auskunftserteilung durch die genannten Sicherheitsbehörden erfolgt unverzüglich durch die für die Auskunftserteilung zuständige Stelle.
15.4 Auskunftsverweigerungsgründe 10
Der verantwortlichen Stelle steht bei Prüfung der Auskunftsverweigerungsgründe nach Nr. 1 bis 3 gemäß dem Urteil des BVerwG vom 03.09.1991 (BVerwGE 89, 14 = JZ 1992, 360) kein Ermessens- oder Beurteilungsspielraum zu. Es handelt sich um gerichtlich voll nachprüfbare unbestimmte Rechtsbegriffe. Die Auskunftsverweigerung ist nur dann gerechtfertigt, wenn das Interesse Betroffener an der Auskunftserteilung zurücktreten muss.
15.4.1 Gefährdung der Aufgabenerfüllung
Durch eine Häufung von Auskunftsersuchen wird die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben grundsätzlich nicht im Sinne der Nr. 1 gefährdet. Der Schutz der Funktionsfähigkeit der Behörden vor übermäßiger Belastung durch Auskunftsersuchen lässt sich erreichen, indem in solchen Fällen zunächst nur Zwischenbescheide und die Auskünfte selbst in angemessener Frist erteilt werden. Die ordnungsgemäße Erfüllung von Sicherheitsaufgaben der Polizei wäre aber z.B. dann gefährdet, wenn die Polizei im Rahmen der Bekämpfung besonders gefährlicher Kriminalität eingesetzte Informanten preisgeben müsste. Gegenüber diesem Geheimhaltungsinteresse kann dem Auskunftsinteresse Betroffener jedoch ausnahmsweise dann Vorrang zukommen, wenn ausreichende Anhaltspunkte dafür vorliegen, dass Informanten die Behörde wider besseres Wissen oder leichtfertig falsch über Betroffene informiert haben.
15.4.2 Gefährdung der öffentlichen Sicherheit oder Bereitung von Nachteilen für das Wohl des Bundes oder eines Landes
Die öffentliche Sicherheit wäre gefährdet, wenn im Falle der Auskunftserteilung die verfassungsmäßige Ordnung insgesamt oder wesentliche Rechtsgüter Einzelner wie Leib, Leben oder Freiheit beeinträchtigt würden.
Vom Wohl des Bundes oder eines Landes sind nur wesentliche Interessen erfasst, die den Bestand oder die Funktionsfähigkeit des Staates betreffen. Hierzu zählen die innere und äußere Sicherheit des Bundes oder eines Landes und die freundschaftlichen Beziehungen zu anderen Staaten. Wegen dieser hohen Anforderungen ist die Ausnahmeregelung praktisch nicht bedeutsam.
15.4.3 Geheimhaltungsinteressen
Eine Rechtsvorschrift, nach der Daten oder die Tatsache ihrer Speicherung geheimgehalten werden müssen, ist z.B. § 61 Abs. 2 PStG. Ob personenbezogene Daten ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen, ist durch eine Güterabwägung im Einzelfall festzustellen. Diese Güterabwägung entfällt, wenn der Dritte der Auskunftserteilung zugestimmt hat. Die öffentliche Stelle ist aber grundsätzlich nicht verpflichtet, die Zustimmung des Dritten einzuholen.
15.5 Begründung der Ablehnung
Grundsätzlich ist die Ablehnung einer Auskunftserteilung zu begründen, soweit nicht einer der im Gesetz aufgezählten Ausnahmefälle vorliegt. In diesen Fällen sind die Betroffenen darauf hinzuweisen, dass sie sich an den Landesbeauftragten für den Datenschutz wenden können.
15.7 Kosten der Auskunft
Für die Auskunft werden Gebühren und Auslagen grundsätzlich nicht erhoben. Dies gilt nicht in Fällen des Abs. 1a, wenn mit der Auskunft besonderer Verwaltungsaufwand verbunden ist. In Angelegenheiten der Landesverwaltung und des übertragenen Wirkungskreises bestimmt sich die Gebühr nach § 1 i. V. m. lfd. Nr. 1 Tarifstellen 2.1., 2.2.1, 2.2.4 oder 2.2.5 der Anlage der Allgemeinen Gebührenordnung des Landes Sachsen-Anhalt (AllGO LSA) vom 30.08.2004 (GVBl. LSA S. 554), zuletzt geändert durch Verordnung vom 25.07.2007 (GVBl. LSA S. 279), in der jeweils geltenden Fassung.
16. Zu § 16 (Berichtigung, Löschung und Sperrung von Daten)
16.1 Berichtigung
Die Berichtigung kann durch Verändern, Löschen oder Speichern erfolgen. Die Unrichtigkeit gespeicherter personenbezogener Daten kann darauf beruhen, dass Daten von Anfang an falsch waren (z.B. unrichtiges Geburtsdatum) oder sich nachträglich geändert haben (z.B. Änderung des Familienstandes).
Während in automatisierten Verfahren zu berichtigende Daten überschrieben werden können, ist dies in Akten regelmäßig nicht möglich. Der Akteninhalt baut aufeinander auf. Auch ist der Grundsatz der Aktenvollständigkeit (Beschluss des BVerfG vom 06.06.1983, NJW S. 2135) und der Urkundencharakter von Akten zu beachten. Deshalb wird die Berichtigung in einer Akte nach Satz 2 regelmäßig nur durch entsprechende Vermerke und Querverweise vorgenommen.
16.2 Löschung
16.2.1.1 Unzulässig gespeicherte Daten
Bei der Beurteilung, ob ein personenbezogenes Datum im Sinne der Nr. 1 unzulässig gespeichert ist, wird grundsätzlich auf den Zeitpunkt der Speicherung abgestellt.
16.2.1.2 Nicht mehr erforderliche Daten
Personenbezogene Daten sind zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben nicht mehr erforderlich, wenn die Voraussetzungen für eine weitere Speicherung im Sinne des § 10 nicht mehr vorliegen. Ob die Löschungsvoraussetzungen der Nr. 2 vorliegen, wird grundsätzlich nach Ablauf von Regelfristen für die Löschung (§ 14 Abs. 3 Satz 1 Nr. 7) geprüft, ansonsten bei der laufenden Bearbeitung. Dabei ist zu berücksichtigen, dass die öffentliche Verwaltung verpflichtet ist, Verwaltungsvorgänge zum Zwecke der Kontrolle durch die Rechts- und Fachaufsichtsbehörden, die Gerichte, den Landesrechnungshof sowie den Landtag verfügbar zu halten. Zur Aufgabenerfüllung gehören auch solche Dokumentationspflichten.
16.2.2 Löschung in Akten
Mit Rücksicht auf die Besonderheiten der Aktenführung erfolgt in Fällen des Satzes 1 Nr. 2 eine Löschung personenbezogener Daten in Akten nur, wenn die gesamte Akte zur Aufgabenerledigung nicht mehr erforderlich ist. Diese Voraussetzung liegt grundsätzlich nicht schon im Zeitpunkt der letzten inhaltlichen Bearbeitung vor, sondern erst bei Ablauf der regelmäßig durch Verwaltungsvorschriften bestimmten Aufbewahrungsfristen. Bis dahin werden die Akten noch zur Dokumentation, Rechnungsprüfung benötigt. Die nicht mehr aktuell benötigten Daten sind aber nach Abs. 3 zu sperren.
16.3 Sperrung statt Löschung
16.3.1.1 Gesetzliche Aufbewahrungsfristen
Gesetzliche Aufbewahrungsfristen, die der Löschung entgegenstehen, können sich z.B. aus haushaltsrechtlichen Vorschriften oder Bestimmungen des Steuerrechtes ergeben.
Aufbewahrungsfristen können auch Satzungen der der Rechtsaufsicht des Landes unterliegenden Körperschaften, Anstalten oder Stiftungen des öffentlichen Rechtes vorsehen.
16.3.1.2 Schutzwürdige Interessen Betroffener
Grund zu der Annahme, dass durch eine Löschung schutzwürdige Interessen Betroffener beeinträchtigt werden, besteht in der Regel dann, wenn
16.3.1.3 Art der Speicherung
In automatisierten Verfahren dürfte. die besondere Art der Speicherung einer Löschung nur ausnahmsweise entgegenstehen, z.B. bei Mikroverfilmung. Bereits bei der Auswahl des Speichermediums wird zu berücksichtigen sein, ob die Daten Änderungen unterliegen oder grundsätzlich unverändert bleiben, z.B. aus Gründen der Beweissicherung. Ob bei Akten die Löschung nur mit unverhältnismäßig hohem Aufwand (Nr. 11.5) möglich ist, muss im Einzelfall geprüft werden. Soweit es sich um Daten im Sinne des Abs. 2 Satz 1 Nr. 1 handelt, ist auch die Sensibilität der Daten besonders zu berücksichtigen.
16.4 Bestrittene Daten
Die Richtigkeit personenbezogener Daten muss von Betroffenen substantiell bestritten werden. Die einfache Behauptung, die Daten seien unrichtig, reicht nicht aus. Die Betroffenen können aber vorbehaltlich gesetzlicher Auskunfts- oder Mitwirkungspflichten nicht angehalten werden, die richtigen Daten mitzuteilen.
16.5 Umgang mit gesperrten Daten
16.5.1 Erhöhte Anforderungen
Nach Nr. 1 muss die Übermittlung oder Nutzung zu den genannten Zwecken unerlässlich sein. Der verantwortlichen Stelle oder dein Dritten muss also der Zugriff auf die erforderlichen Daten auf andere Weise grundsätzlich nicht möglich sein.
16.5.2 Allgemeine Anforderungen
Neben den Anforderungen der Nr. müssen stets auch die Voraussetzungen für eine Übermittlung oder Nutzung nach §§ 10 bis 13 erfüllt sein.
16.6.1.1 Verständigung Dritter
Grundsätzlich sind Dritte, denen Daten übermittelt wurden, über Berichtigungen, die Sperrung bestrittener Daten sowie die Löschung oder Sperrung wegen Unzulässigkeit der Speicherung zu verständigen. Es kommt nicht darauf an, ob die Übermittlung regelmäßig oder im Einzelfall erfolgt ist. Die Unterrichtungspflicht besteht grundsätzlich unabhängig davon, ob ein automatisiertes Verfahren vorliegt oder die Daten in nichtautomatisierten Dateien oder in Akten verarbeitet oder genutzt werden.
16.6.1.2 Ausnahmen von der Pflicht zur Verständigung Dritter
Die Unterrichtung unterbleibt, wenn sie
16.6.2 Verständigung bei interner Weitergabe
Satz 2 erstreckt die Pflicht zur Verständigung auf Fälle der Datenweitergabe innerhalb der verantwortlichen Stelle.
16.7 Übermittlung von Daten an des zuständige Archiv
Nach § 9 des Landesarchivgesetzes (ArchG-LSA) vom 28.06.1995 (GVBl. LSA S. 190), zuletzt geändert durch Art. 2 des Gesetzes vom 18.06.2004 (GVBl. LSA S. 335, 341), in der jeweils geltenden Fassung, sind personenbezogene Daten vor der beabsichtigten Löschung dem jeweils zuständigen Archiv anzubieten. Die Übermittlung der Daten an das Archiv, deren Archivwürdigkeit vom Archiv im Benehmen mit der anbietenden (der verantwortlichen) Stelle festgestellt wird, ist zulässig. Daten können gelöscht werden, wenn das Archiv im Benehmen mit der verantwortlichen Stelle festgestellt hat, dass keine Archivwürdigkeit im Sinne des § 2 Abs. 4 ArchG-LSA vorliegt.
17. Zu § 17 (Unabdingbare Rechte des Betroffenen)
17.1 Unabdingbare Rechte
Die Rechte auf Auskunft, Berichtigung, Löschung und Sperrung können nicht bindend ausgeschlossen oder beschränkt werden. Bei weiteren Rechten, z.B. der jederzeitigen Widerrufbarkeit der Einwilligung (Nr. 4.2.4), ist das jedoch möglich; siehe aber Nr. 29.1.4/5.
Allgemeines
Wird Betroffenen durch eine verantwortliche Stelle durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung ihrer Daten ein Schaden zugefügt, kann dies Schadenersatzansprüche auslösen. § 18 regelt aber nicht die Haftung für Schäden, die dadurch eintreten, dass Dritte, denen personenbezogene Daten anderer (der Betroffenen) übermittelt worden sind, auf die Richtigkeit dieser Daten vertrauten. Die Haftung hierfür richtet sich nach anderen Vorschriften.
Absatz 1 regelt die Verschuldenshaftung, Abs. 2 die Gefährdungshaftung. § 18 regelt die Haftung nicht abschließend. Im Einzelfall kommt daneben oder anstelle der Haftung nach § 18 auch eine Haftung aufgrund einer anderen Vorschrift in Betracht; vgl. auch Nr. 3.3.
Für Streitigkeiten aus § 18 ist nach § 40 Abs. 2 Satz 1 VwGO der ordentliche Rechtsweg gegeben.
18.1 Verschuldenshaftung
18.1.1.1 Gegenstand der Haftung
Gehaftet wird für Schäden aus unzulässiger oder unrichtiger Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Es kommt nicht darauf an, ob der Schaden beim automatisierten oder nichtautomatisierten Umgang mit den Daten eingetreten ist.
18.1.1.2 Umfang der Haftung
Die Haftung ist betragsmäßig nicht begrenzt. Gehaftet wird sowohl für Vermögens- als auch für Nichtvermögensschäden.
18.1.1.3 Anspruchsberechtigte und Anspruchsgegner
Anspruchsberechtigt sind nur Betroffene (Nr. 2.1.1), also ausschließlich natürliche Personen, mit deren auf sie bezogenen Daten unzulässig oder unrichtig umgegangen worden ist. Anspruchsgegner ist die verantwortliche Stelle (Nr. 2.8), also die Stelle, die im Einzelfall die unzulässige Erhebung, Verarbeitung oder Nutzung vorgenommen und den dadurch eingetretenen Schaden verursacht hat.
18.1.1.4 Verjährung, Mitverschulden, Haftung Mehrerer
Im Gegensatz zu Abs. 2 trifft Abs. 1 keine Regelungen zur Verjährung, zum Mitverschulden und zur gesamtschuldnerischen Haftung. Die Regelungen des BGB zur Verjährung nach §§ 194 bis 218 BGB, zum Mitverschulden in § 254 BGB und zur gesamtschuldnerischen Haftung nach § 840 BGB sind unmittelbar anwendbar. Die regelmäßige Verjährungsfrist beträgt nach § 195 BGB drei Jahre; der Beginn der Verjährungsfrist bestimmt sich nach § 199 Abs. 1 BGB.
18.1.2 Haftungsfreizeichnung
Liegt eine unzulässige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vor, wird vermutet, dass die verantwortliche Stelle daran ein Verschulden trifft. Darin liegt eine Beweislastumkehr zu Gunsten der Betroffenen. Die verantwortliche Stelle kann sich von der Haftung freizeichnen. Sie muss nachweisen, dass sie den Umstand, durch den der Schaden entstanden ist, nicht zu vertreten hat. Dies ist der Fall, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Hat den Schaden ein Auftragnehmer verursacht, muss die verantwortliche Stelle nachweisen, dass sie bei dessen Auswahl und Beaufsichtigung die erforderliche Sorgfalt hat walten lassen.
18.2 Gefährdungshaftung
18.2.1.1 Gegenstand der Haftung
Beim Umgang mit personenbezogenen Daten in automatisierten Verfahren sind die Daten, technisch gesehen, unbegrenzt nutzbar. Hiermit sind besondere Risiken für das Recht auf informationelle Selbstbestimmung verbunden. Aus diesem Grund wird für Schäden aus unzulässiger oder unrichtiger automatisierter Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unabhängig von einem Verschulden gehaftet. Die Unzulässigkeit oder Unrichtigkeit muss unmittelbare Folge des Einsatzes des automatisierten Verfahrens (Nr. 2.2.1.1) sein. Liegt ein Verschulden vor, wird auch nach Abs. 1 gehaftet.
18.2.1.2 Anspruchsberechtigte und Anspruchsgegner
Auf die Ausführungen zu Nr. 18.1.1.3 wird verwiesen; siehe aber Nr. 18.2.5.
18.2.2 Umfang der Haftung
Gehaftet wird für Vermögensschäden und Nichtvermögensschäden. Nichtvermögensschäden sind angemessen in Geld zu ersetzen. Abweichend von sonstigen Regelungen zur Gefährdungshaftung ist bei einer Verletzung des Persönlichkeitsrechts nicht gefordert, dass es sich um eine schwere Verletzung des Rechts handelt. Die Höhe einer eventuellen Entschädigung richtet sich aber nach der Schwere der Verletzung.
18.2.3/4 Höhe der Haftung
Wie bei Gefährdungshaftung üblich, ist die Haftung der Höhe nach begrenzt. Die Haftungshöchstsumme liegt für die eingetretenen materiellen und immateriellen Schäden zusammen bei 125.000 Euro für jedes schädigende Ereignis. Sind mehrere Betroffene geschädigt, erhöht sich die Haftungssumme je schädigendes Ereignis auf 250.000 Euro. Reicht dieser Betrag nicht aus, werden die Schadensersatzleistungen anteilig gekürzt.
18.2.5 Mehrere Pflichtige
Für automatisierte Verfahren, z.B. Verbundverfahren, sind teilweise mehrere Stellen verantwortlich. In einem solchen Fall ist es denkbar, dass keine der beteiligten Stellen nachweisen kann, welche den eingetretenen Schaden verursacht hat. In diesem Fall sind auch Geschädigte nicht in der Lage, die verantwortliche Stelle festzustellen. Die beteiligten Stellen haften dann als Gesamtschuldner.
18.2.6 (aufgehoben)
19. Zu § 19 (Anrufung des Landesbeauftragten für den Datenschutz)
19.1 Recht auf Anrufung
Die Anrufung des Landesbeauftragten für den Datenschutz ist eine Sonderform des jedermann verfassungsrechtlich garantierten Petitionsrechts. Es besteht ein Anspruch auf Tätigwerden des Landesbeauftragten für den Datenschutz in angemessener Frist sowie auf Bescheidung. Wie der Landesbeauftragte für den Datenschutz tätig wird, entscheidet dieser unter Berücksichtigung seiner unabhängigen Rechtsstellung und der ihm eingeräumten Befugnisse. Das Anrufungsrecht steht nur Betroffenen (Nr. 2.1.1) zu. Die von Betroffenen behauptete Rechtsverletzung muss in Zusammenhang mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten stehen. Gegenstand muss eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts sein; eine abgeschlossene Rechtsverletzung ist aber nicht erforderlich.
Das Benachteiligungsverbot gilt nur bei der Anrufung in eigenen Angelegenheiten und in gesetzlich vorgesehenen Vertretungsfällen. Mitarbeiter des öffentlichen Dienstes sind insoweit nicht an die Einhaltung des Dienstweges gebunden. In fremden Angelegenheiten können sich dagegen Bedienstete der unmittelbaren oder mittelbaren Landesverwaltung nur in Ausnahmefällen unter Umgehung des Dienstweges an den Landesbeauftragten für den Datenschutz wenden.
19.2 Beschränkung des Anrufungsrechts
Die Beschränkung des Anrufungsrechts bezüglich der Gerichte steht in Zusammenhang mit § 22 Abs. 1 Satz 2. Danach unterliegen die Gerichte der Kontrolle durch den Landesbeauftragten für den Datenschutz nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
22. Zu § 22 (Aufgaben und Befugnisse)
22.1 Der Kontrolle unterliegende Stellen
22.1.1 Adressaten der Kontrolle 12
Der Kontrolle des Landesbeauftragten für den Datenschutz unterliegen grundsätzlich alle in § 3 Abs. 1 genannten Adressaten des DSG LSA; hinzu kommen nach Maßgabe des § 8 Abs. 5 von öffentlichen Stellen beherrschte privatrechtlich organisierte Auftragnehmer (Nr. 8.5). Nicht der Kontrolle des Landesbeauftragten für den Datenschutz unterliegen öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten (Nr. 3.2.2).
22.1.2 Sonderregelung für Gerichte
Gerichte sind der Kontrolle nur insoweit unterworfen, als sie in Verwaltungsangelegenheiten tätig werden. Keine Verwaltungsangelegenheiten sind vor allein die rechtsprechende Tätigkeit und die freiwillige Gerichtsbarkeit. Verwaltungsangelegenheiten sind z.B. die Führung des allgemeinen Geschäftsbetriebs und andere Tätigkeiten, die nicht Bestandteil von Verfahren der Rechtspflege sind.
22.2aVerfolgung und Ahndung von Ordnungswidrigkeiten 12
Der Landesbeauftragte für den Datenschutz ist nach § 22 Abs. 2a Nr. 5 für die Verfolgung und Ahndung von Ordnungswidrigkeiten nach § 31a zuständig
22.3 Kontrolle bei Vorliegen von Berufs- oder besonderen Amtsgeheimnissen
Der Landesbeauftragte für den Datenschutz kann auch personenbezogene Daten kontrollieren, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. Dies gilt gemäß § 24 Abs. 2 i. V. m. § 24 Abs. 6 BDSG auch, wenn der Landesbeauftragte für den Datenschutz z.B. nach § 81 Abs. 2 SGB X die Verarbeitung von Sozialdaten entsprechend §§ 24 bis 26 BDSG bei seiner Kontrolle unterliegenden öffentlichen Stellen überprüft.
Als Ausfluss des Rechts auf informationelle Selbstbestimmung haben Betroffene aber das Recht, hinsichtlich ihrer personenbezogenen Daten, die sich in Akten über die Sicherheitsüberprüfung befinden, der Kontrolle der auf sie bezogenen Daten zu widersprechen. Für personenbezogene Daten, die dem Post- und Fernmeldegeheimnis nach Art. 10 des Grundgesetzes unterliegen, ergibt sich dieses Recht unmittelbar aus § 24 Abs. 2 Satz 4 BDSG i. V. m. § 24 Abs. 6 BDSG. Im Übrigen besteht das allgemeine Einwendungsrecht nach § 4 Abs. 4 auch gegenüber dem Landesbeauftragten für den Datenschutz.
Nach Satz 3 hat die verantwortliche Stelle die Betroffenen in allgemeiner Form über das Widerspruchsrecht zu unterrichten. Eine unterbliebene Unterrichtung schließt die Kontrolle durch den Landesbeauftragten für den Datenschutz nicht aus, denn die Verpflichtung zur Unterrichtung besteht unbeschadet des Kontrollrechts.
Eine allgemeine Information (z.B. Hausmitteilung, Aushang) genügt. Es empfiehlt sich jedoch, die Unterrichtung im Einzelfall mit der Bitte, den Fragebogen für die Sicherheitsüberprüfung auszufüllen, zu verbinden. Die Unterrichtung sollte mit folgendem Hinweis versehen werden:
"Der Landesbeauftragte für den Datenschutz ist vom Landtag gewählt worden. Er ist unabhängig. Seine Aufgabe ist es, alle öffentlichen Stellen des Landes zu kontrollieren und zu beraten, damit beim Umgang mit personenbezogenen Daten das Persönlichkeitsrecht nicht beeinträchtigt wird. Seine Tätigkeit dient also dem Interesse des Einzelnen. Soweit Betroffene von ihrem Widerspruchsrecht Gebrauch machen, üben sie damit Verzicht auf eine Unterstützung durch den Landesbeauftragten für den Datenschutz bei der Gewährleistung des Persönlichkeitsschutzes."
Betroffene haben den Widerspruch an den Landesbeauftragten für den Datenschutz zu richten; dessen Anschrift lautet: Landesbeauftragter für den Datenschutz Sachsen-Anhalt, Leiterstraße 9, 39104 Magdeburg, oder Postfach 19 47, 39009 Magdeburg.
Geht der Widerspruch bei der verantwortlichen Stelle ein, leitet sie ihn an den Landesbeauftragten für den Datenschutz weiter.
22.4.1 Beratung
Neben der Kontrolle hat der Landesbeauftragte für den Datenschutz die Aufgabe der Beratung. Behörden der unmittelbaren Landesverwaltung richten Beratungsersuchen grundsätzlich nicht unmittelbar an den Landesbeauftragten für den Datenschutz, sondern haben den Dienstweg einzuhalten. Entsprechend verfahren Gemeinden, Landkreise und sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts in Angelegenheiten des übertragenen Wirkungskreises (Auftragsangelegenheiten). In der Regel ist eine Anfrage zunächst an die Beauftragte oder den Beauftragten für den Datenschutz der eigenen Dienststelle gemäß § 14a zu richten.
Geboten ist ein Ersuchen um Beratung durch den Landesbeauftragten für den Datenschutz stets, wenn oberste Landesbehörden allgemeine Erlassregelungen vorbereiten, die auch den Umgang mit personenbezogenen Daten regeln. Bei Gesetzesvorhaben der Landesregierung, die den Umgang mit personenbezogenen Daten betreffen, ist der Landesbeauftragte für den Datenschutz spätestens im Rahmen der Anhörung einzubinden.
Die Empfehlungen des Landesbeauftragten für den Datenschutz sind nicht bindend; sie ersetzen insbesondere nicht die erforderliche Mitzeichnung durch das Ministerium des Innern bei Grundsatzangelegenheiten des Datenschutzes.
22.4.2 (aufgehoben)
22.8 Anzeige von Verstößen
Absatz 8 stellt klar, dass der Grundsatz der Zweckbindung den Landesbeauftragten für den Datenschutz nicht hindert, gegenüber der zuständigen Strafverfolgungs- oder Ordnungswidrigkeitenbehörde die Ahndung datenschutzrechtlicher Verstöße anzuregen. Falls ein arbeits-, dienst- oder gegebenenfalls auch standesrechtliches Vorgehen in Betracht kommt, kann der Landesbeauftragte für den Datenschutz ein solches gegenüber der dafür zuständigen Stelle anregen, falls dies geboten erscheint.
23. Zu § 23 (Durchführung der Aufgaben)
23.1 Unterstützung des Landesbeauftragten für den Datenschutz
Die Pflicht zur Unterstützung des Landesbeauftragten für den Datenschutz besteht nicht nur bei Kontrollen, sondern auch, wenn er nach § 22 Abs. 4 beratend oder nach § 22 Abs. 5 und 6 tätig wird.
23.2.2 Ausschluss der Unterstützung
Die Ausnahme, wonach die in Satz 1 genannten Stellen dem Landesbeauftragten für den Datenschutz Auskünfte sowie die Einsicht in Unterlagen und Akten versagen sowie den Zutritt zu Diensträumen verwehren können, wird kaum praktische Bedeutung erlangen. Von der Staatswohlklausel kann nur die fachlich zuständige oberste Landesbehörde Gebrauch machen.
23.3 Mitteilung des Kontrollergebnisses
Das Ergebnis der Kontrolle durch den Landesbeauftragten für den Datenschutz hat die überprüfte öffentliche Stelle, soweit es sich um eine Aufgabe des übertragenen Wirkungskreises oder um eine Stelle der unmittelbaren Landesverwaltung handelt, der zuständigen Aufsichtsbehörde mitzuteilen.
24. Zu § 24 (Beanstandungen durch den Landesbeauftragten für den Datenschutz)
Der Landesbeauftragte für den Datenschutz kann beanstanden, wenn
vorliegen. In der Regel wird es sich auch bei Buchst. c um Verstöße gegen Bestimmungen des DSG LSA oder bereichsspezifische Datenschutzvorschriften handeln, z.B. Mängel in der Einwilligungserklärung (Nr. 4.2). Mängel bei der Unterrichtung hinsichtlich einer Datenerhebung (Nr. 9.3), unzureichende technisch-organisatorische Vorkehrungen (Nrn. 6.1 bis 6.2.6), unzulässige Durchbrechung des Zweckbindungsgebotes (Nr. 10.2).
Die Beanstandung ist kein Verwaltungsakt und somit nicht durch Widerspruch und Anfechtungsklage anfechtbar. Der in der Beanstandung zum Ausdruck kommenden Rechtsauffassung. des Landesbeauftragten für den Datenschutz fehlt neben der verbindlichen Außenwirkung auch das Merkmal der Regelung (vgl. Beschluss des BVerwG vom 05.02.1992, DÖV S. 536). In Angelegenheiten des übertragenen Wirkungskreises scheidet auch eine andere Klageart gegen eine Beanstandung des Landesbeauftragten für den Datenschutz von vornherein aus.
24.1.1 Adressat der Beanstandungen
Nach Nr. 1 ist Adressat einer Beanstandung bei der unmittelbaren Landesverwaltung die (fachlich) zuständige oberste Landesbehörde; dies folgt aus der Ressortverantwortung.
24.1.2 Unterrichtung der Aufsichtsbehörde
Zuständige Aufsichtsbehörde im Sinne der Nr. 2 ist bei Gemeinden, Landkreisen und den sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen in Angelegenheiten des eigenen Wirkungskreises die Rechtsaufsichtsbehörde, des übertragenen Wirkungskreises die Fachaufsichtsbehörde.
24.2 Stellungnahmen zu Beanstandungen
Stellen der mittelbaren Landesverwaltung verkehren im Falle einer Beanstandung unmittelbar mit dem Landesbeauftragten für den Datenschutz. Die zuständige Aufsichtsbehörde erhält lediglich eine Abschrift der Stellungnahme an den Landesbeauftragten für den Datenschutz. Im übertragenen Wirkungskreis sind Weisungen der Fachaufsichtsbehörde zu beachten.
Stellen der unmittelbaren Landesverwaltung geben Stellungnahmen zu Beanstandungen des Landesbeauftragten für den Datenschutz auf dem Dienstweg ab.
25. Zu § 25 (Automatisierte Verfahren mittels mobiler personenbezogener Datenträger)
25.1 Zulässigkeit des Verfahrens
Automatisierte Verfahren, die auf mobilen personenbezogenen Datenträgern oder durch solche Datenträger ablaufen, dürfen von öffentlichen Stellen nur unter den Voraussetzungen der Nrn. 1 bis 3 eingesetzt werden. Ein Verfahren läuft auf dem Datenträger ab, wenn auf diesem selbst Daten der betroffenen Person verarbeitet werden. Es handelt sich hierbei um intelligente Datenträger (insbesondere Chipkarten), die § 6c Abs. 1 BDSG als mobile personenbezogene Speicher- und Verarbeitungsmedien definiert. Durch mobile personenbezogene Datenträger laufen Verfahren ab, soweit die Verwendung von intelligenten Datenträgern durch die Betroffenen korrespondierend zu den auf den Datenträgern stattfindenden Prozessen zur automatisierten Erhebung, Verarbeitung oder Nutzung von Daten bei einer öffentlichen Stelle führt (z.B. Führung sogenannter Schattenkonten). Aber auch die Verwendung nicht intelligenter mobiler personenbezogener Datenträger (z.B. Magnetkarten, nur maschinenlesbare Ausweise) durch die Betroffenen kann die automatische Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch öffentliche Stellen auslösen, z.B. bei der Arbeitszeiterfassung.
25.1.1 Zulassung durch oder aufgrund einer Rechtsvorschrift
Der Einsatz des Verfahrens ist durch Rechtsvorschrift vorgesehen, wenn ein Gesetz, eine Verordnung, eine Satzung oder gegebenenfalls auch eine Dienstvereinbarung dies vorsieht. Regelt eine Rechtsvorschrift nicht unmittelbar den Einsatz mobiler personenbezogener Datenträger, sondern lässt lediglich die Umsetzung einer Rechtsvorschrift den Einsatz solcher Datenträger geboten erscheinen, ist ein entsprechendes Verfahren als aufgrund einer Rechtsvorschrift vorgesehen zu betrachten. Dies gilt z.B.:
Soweit öffentliche Bedienstete zu Zwecken der Zeiterfassung oder des e-Government mobile personenbezogene Datenträger zu verwenden haben, liegt dies im Übrigen im Rahmen des Direktionsrechts des Dienstherrn oder Arbeitgebers. Auch hierdurch ist der Einsatz der Datenträger als aufgrund einer Rechtsvorschrift vorgesehen anzusehen.
25.1.2 Einwilligung
Mit Einwilligung (§ 4) der Betroffenen ist der Einsatz von Verfahren mittels mobiler personenbezogener Datenträger stets zulässig.
25.1.3 Kontrolle von Zugangs- oder Zugriffsberechtigungen
Nr. 3 regelt ausdrücklich die Zulässigkeit des Einsatzes von Verfahren mittels mobiler personenbezogener Datenträger zur Kontrolle von Zugangs- oder Zugriffsberechtigungen, z.B. im Rahmen der Objektsicherung oder technisch-organisatorischer Maßnahmen nach § 6.
25.2 Grenzen der Erhebung, Verarbeitung oder Nutzung
Es dürfen im Rahmen des Verfahrens nicht mehr personenbezogene Daten erhoben, verarbeitet oder genutzt werden, als zur Erreichung des nach Abs. 1 zulässigen Zwecks erforderlich sind. Die Regelung konkretisiert das Prinzip der Datensparsamkeit (Nr. 1.2).
25.3 Transparenz des Verfahrens
Betroffene, die mobile personenbezogene Datenträger gegenüber öffentlichen Stellen verwenden, müssen darauf vertrauen können, dass mit ihren Daten ordnungsgemäß umgegangen und ein Missbrauch des Datenträgers durch Unbefugte verhindert wird. Um sich hier von überzeugen zu können, muss das Verfahren für die Betroffenen transparent sein. Dies setzt Folgendes voraus:
25.3.1 Unterrichtung über die Stelle, die das Verfahren einsetzt
Die Betroffenen müssen Kenntnis über die Identität und die Anschrift der Stelle haben, die das jeweilige Verfahren einsetzt. Multifunktionale mobile personenbezogene Datenträger (z.B. Chipkarten) können durchaus für Verfahren verschiedener Stellen (auch öffentlicher oder nichtöffentlicher Stellen nebeneinander) eingesetzt werden. Die das Verfahren einsetzende Stelle muss auch nicht mit der ausgebenden Stelle identisch sein.
25.3.2 Unterrichtung über die Funktionsweise
Die Betroffenen müssen darüber unterrichtet sein, wie der Datenträger funktioniert und welche Art von Daten, nicht welches einzelne Datum, verarbeitet wird.
25.3.3 Unterrichtung über die Möglichkeit der Wahrnehmung von Rechten
Die Betroffenen müssen unterrichtet sein, wie sie ihre Rechte auf Auskunft, Berichtigung, Sperrung oder Löschung geltend machen können. Hierzu gehört es, dass die das jeweilige Verfahren einsetzende Stelle den Betroffenen die Möglichkeit gibt, sich über die auf dem Datenträger gespeicherten Daten zu informieren, z.B. durch das Vorhalten von Lesegeräten im erforderlichen Umfang.
25.3.4 Unterrichtung über Maßnahmen bei Verlust oder Zerstörung
Die Betroffenen müssen wissen, was bei Verlust oder Zerstörung des Datenträgers zu veranlassen ist. Ansonsten bestünde die Gefahr, dass Unbefugte den Datenträger verwenden, dass Unbefugten unter Umständen auf dem Datenträger gespeicherte Daten zur Kenntnis gelangen oder mittels des Datenträgers gespeicherte Daten nicht mehr aktuell gehalten werden können.
25.4 Erkennbarkeit ablaufender Prozesse
Der Vorgang des Erhebens, Verarbeitens oder Nutzens mittels mobiler personenbezogener Datenträger muss für die Betroffenen erkennbar sein. .Es darf beim Einsatz mobiler personenbezogener Datenträger keine heimliche Informationsbeschaffung geben. Auch dürfen Prozesse für die Betroffenen nicht ungewollt ablaufen, etwa durch Abbuchung von einem Guthabenkonto, ohne dass die Betroffenen dies merken können. Nicht gefordert ist, dass die Betroffenen stets auch erkennen, welche Daten im Einzelnen erhoben, verarbeitet oder genutzt werden. Der Vorgang des Erhebens, Verarbeitens oder Nutzens ist für Betroffene stets erkennbar, wenn sie gezielt handeln müssen, z.B. beim Eingeben des Datenträgers in ein dafür bestimmtes Eingabegerät. Im Falle berührungsloser Funktion ist der Vorgang durch entsprechenden Hinweis erkennbar zu machen, z.B. durch ein akustisches Signal. Nur in Ausnahmefällen wird ein deutlicher und unübersehbarer schriftlicher Hinweis genügen.
| | . | |