§ 4 Zulässigkeit der Datenerhebung, -verarbeitung und
-nutzung
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
sind nur zulässig, soweit dieses Gesetz oder eine andere
Rechtsvorschrift
dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine
Mitwirkung dürfen sie nur erhoben werden, wenn eine
Rechtsvorschrift
dies vorsieht oder zwingend voraussetzt oder a) die zu erfüllende
Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine
Erhebung
bei anderen Personen oder Stellen erforderlich macht oder b) die
Erhebung
beim Betroffenen einen unverhältnismäßigen Aufwand
erfordern
würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende
schutzwürdige Interessen des Betroffenen beeinträchtigt
werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist
er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von
der verantwortlichen Stelle über die Identität der
verantwortlichen
Stelle, die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung
und
die Kategorien von Empfängern nur, soweit der Betroffene nach den
Umständen des Einzelfalles nicht mit der Übermittlung an
diese
rechnen muss, zu unterrichten. Werden personenbezogene Daten beim
Betroffenen
aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet,
oder ist die Erteilung der Auskunft Voraussetzung für die
Gewährung
von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die
Freiwilligkeit
seiner Angaben hinzuweisen. Soweit nach den Umständen des
Einzelfalles
erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift
und über die Folgen der Verweigerung von Angaben aufzuklären.
§ 24 Kontrolle durch den Bundesbeauftragten für den
Datenschutz
(1) Der Bundesbeauftragte für den Datenschutz kontrolliert bei
den öffentlichen Stellen des Bundes die Einhaltung der
Vorschriften
dieses Gesetzes und anderer Vorschriften über den Datenschutz.
(2) Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf von
öffentlichen Stellen des Bundes erlangte personenbezogene Daten
über
den Inhalt und die näheren Umstände des Brief-, Post- und
Fernmeldeverkehrs
und personenbezogene Daten, die einem Berufs- oder besonderen
Amtsgeheimnis,
insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung,
unterliegen.
Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels
10 des Grundgesetzes wird insoweit eingeschränkt. Personenbezogene
Daten, die der Kontrolle durch die Kommission nach § 15 des
Artikel
10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den
Bundesbeauftragten,
es sei denn, die Kommission ersucht den Bundesbeauftragten, die
Einhaltung
der Vorschriften über den Datenschutz bei bestimmten
Vorgängen
oder in bestimmten Bereichen zu kontrollieren und ausschließlich
ihr darüber zu berichten. Der Kontrolle durch den
Bundesbeauftragten
unterliegen auch nicht personenbezogene Daten in Akten über die
Sicherheitsüberprüfung,
wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im
Einzelfall
gegenüber dem Bundesbeauftragten widerspricht.
(3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten
nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
(4) Die öffentlichen Stellen des Bundes sind verpflichtet, den
Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer
Aufgaben zu unterstützen. Ihnen ist dabei insbesondere Auskunft zu
ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die
gespeicherten
Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im
Zusammenhang mit der Kontrolle nach Absatz 1 stehen, jederzeit Zutritt
in alle Diensträume zu gewähren. Die in § 6 Abs. 2 und
§
19 Abs. 3 genannten Behörden gewähren die Unterstützung
nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders
Beauftragten. Satz 2 gilt für diese Behörden nicht, soweit
die
oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft
oder Einsicht die Sicherheit des Bundes oder eines Landes
gefährden
würde.
(5) Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der
öffentlichen
Stelle mit. Damit kann er Vorschläge zur Verbesserung des
Datenschutzes,
insbesondere zur Beseitigung von festgestellten Mängeln bei der
Verarbeitung
oder Nutzung personenbezogener Daten, verbinden. § 25 bleibt
unberührt.
(6) Absatz 2 gilt entsprechend für die öffentlichen Stellen,
die für die Kontrolle der Einhaltung der Vorschriften über
den
Datenschutz in den Ländern zuständig sind.
§ 28 Datenerhebung, -verarbeitung und -nutzung für
eigene
Zwecke
(1) Das Erheben, Speichern, Verändern oder Übermitteln
personenbezogener
Daten oder ihre Nutzung als Mittel für die Erfüllung eigener
Geschäftszwecke ist zulässig, wenn es der Zweckbestimmung
eines
Vertragsverhältnisses oder vertragsähnlichen
Vertrauensverhältnisses
mit dem Betroffenen dient, soweit es zur Wahrung berechtigter
Interessen
der verantwortlichen Stelle erforderlich ist und kein Grund zu der
Annahme
besteht, dass das schutzwürdige Interesse des Betroffenen an dem
Ausschluss
der Verarbeitung oder Nutzung überwiegt, oder wenn die Daten
allgemein
zugänglich sind oder die verantwortliche Stelle sie
veröffentlichen
dürfte, es sei denn, dass das schutzwürdige Interesse des
Betroffenen
an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem
berechtigten
Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Bei
der Erhebung personenbezogener Daten sind die Zwecke, für die die
Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.
(2) Für einen anderen Zweck dürfen sie nur unter den
Voraussetzungen
des Absatzes 1 Satz 1 Nr. 2 und 3 übermittelt oder genutzt werden.
(3) Die Übermittlung oder Nutzung für einen anderen Zweck
ist auch zulässig: soweit es zur Wahrung berechtigter Interessen
eines
Dritten oder zur Abwehr von Gefahren für die staatliche und
öffentliche
Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist, oder
für
Zwecke der Werbung, der Markt- und Meinungsforschung, wenn es sich um
listenmäßig
oder sonst zusammengefasste Daten über Angehörige einer
Personengruppe
handelt, die sich auf a) eine Angabe über die Zugehörigkeit
des
Betroffenen zu dieser Personengruppe, b) Berufs-, Branchen- oder
Geschäftsbezeichnung,
c) Namen, d) Titel, e) akademische Grade, f) Anschrift und g)
Geburtsjahr
beschränken und kein Grund zu der Annahme besteht, dass der
Betroffene
ein schutzwürdiges Interesse an dem Ausschluss der
Übermittlung
oder Nutzung hat, oder wenn es im Interesse einer Forschungseinrichtung
zur Durchführung wissenschaftlicher Forschung erforderlich ist,
das
wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens
das Interesse des Betroffenen an dem Ausschluss der Zweckänderung
erheblich überwiegt und der Zweck der Forschung auf andere Weise
nicht
oder nur mit unverhältnismäßigem Aufwand erreicht
werden
kann.
In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, dass dieses
Interesse
besteht, wenn im Rahmen der Zweckbestimmung eines
Vertragsverhältnisses
oder vertragsähnlichen Vertrauensverhältnisses gespeicherte
Daten
übermittelt werden sollen, die sich auf strafbare Handlungen, auf
Ordnungswidrigkeiten sowie bei Übermittlung durch den Arbeitgeber
auf arbeitsrechtliche Rechtsverhältnisse beziehen.
(4) Widerspricht der Betroffene bei der verantwortlichen Stelle der
Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung
oder der Markt- oder Meinungsforschung, ist eine Nutzung oder
Übermittlung
für diese Zwecke unzulässig. Der Betroffene ist bei der
Ansprache
zum Zweck der Werbung oder der Markt- oder Meinungsforschung über
die verantwortliche Stelle sowie über das Widerspruchsrecht nach
Satz
1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des
Betroffenen
nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat
er
auch sicherzustellen, dass der Betroffene Kenntnis über die
Herkunft
der Daten erhalten kann. Widerspricht der Betroffene bei dem Dritten,
dem
die Daten nach Absatz 3 übermittelt werden, der Verarbeitung oder
Nutzung für Zwecke der Werbung oder der Markt- oder
Meinungsforschung,
hat dieser die Daten für diese Zwecke zu sperren.
(5) Der Dritte, dem die Daten übermittelt worden sind, darf diese
nur für den Zweck verarbeiten oder nutzen, zu dessen
Erfüllung
sie ihm übermittelt werden. Eine Verarbeitung oder Nutzung
für
andere Zwecke ist nichtöffentlichen Stellen nur unter den
Voraussetzungen
der Absätze 2 und 3 und öffentlichen Stellen nur unter den
Voraussetzungen
des § 14 Abs. 2 erlaubt. Die übermittelnde Stelle hat ihn
darauf
hinzuweisen.
(6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten
personenbezogener
Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist
zulässig,
soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3
eingewilligt
hat, wenn dies zum Schutz lebenswichtiger Interessen des Betroffenen
oder
eines Dritten erforderlich ist, sofern der Betroffene aus physischen
oder
rechtlichen Gründen außerstande ist, seine Einwilligung zu
geben,
es sich um Daten handelt, die der Betroffene offenkundig
öffentlich
gemacht hat, dies zur Geltendmachung, Ausübung oder Verteidigung
rechtlicher
Ansprüche erforderlich ist und kein Grund zu der Annahme besteht,
dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss
der Erhebung, Verarbeitung oder Nutzung überwiegt, oder dies zur
Durchführung
wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche
Interesse
an der Durchführung des Forschungsvorhabens das Interesse des
Betroffenen
an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich
überwiegt
und der Zweck der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem
Aufwand erreicht werden kann.
(7) Das Erheben von besonderen Arten personenbezogener Daten (§
3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der
Gesundheitsvorsorge,
der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung
oder für die Verwaltung von Gesundheitsdiensten erforderlich ist
und
die Verarbeitung dieser Daten durch ärztliches Personal oder durch
sonstige Personen erfolgt, die einer entsprechenden
Geheimhaltungspflicht
unterliegen. Die Verarbeitung und Nutzung von Daten zu den in Satz 1
genannten
Zwecken richtet sich nach den für die in Satz 1 genannten Personen
geltenden Geheimhaltungspflichten. Werden zu einem in Satz 1 genannten
Zweck Daten über die Gesundheit von Personen durch Angehörige
eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs
genannten
Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung
von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln
mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter
den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu
befugt
wäre.
(8) Für einen anderen Zweck dürren die besonderen Arten
personenbezogener
Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6
Nr.
1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt
werden.
Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies
zur
Abwehr von erheblichen Gefahren für die staatliche und
öffentliche
Sicherheit sowie zur Verfolgung von Straftaten von erheblicher
Bedeutung
erforderlich ist.
(9) Organisationen, die politisch, philosophisch, religiös oder
gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen,
dürfen
besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben,
verarbeiten
oder nutzen, soweit dies für die Tätigkeit der Organisation
erforderlich
ist. Dies gilt nur für personenbezogene Daten ihrer Mitglieder
oder
von Personen, die im Zusammenhang mit deren Tätigkeitszweck
regelmäßig
Kontakte mit ihr unterhalten. Die Übermittlung dieser
personenbezogenen
Daten an Personen oder Stellen außerhalb der Organisation ist nur
unter
den Voraussetzungen des § 4aAbs. 3 zulässig. Absatz 3 Nr. 2
gilt
entsprechend.
§ 35 Berichtigung, Löschung und Sperrung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig
sind.
(2) Personenbezogene Daten können außer in den Fällen
des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden.
Personenbezogene
Daten sind zu löschen, wenn ihre Speicherung unzulässig ist,
es sich um Daten über die rassische oder ethnische Herkunft,
politische
Meinungen, religiöse oder philosophische Überzeugungen oder
die
Gewerkschaftszugehörigkeit, über Gesundheit oder das
Sexualleben,
strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre
Richtigkeit
von der verantwortlichen Stelle nicht bewiesen werden kann, sie
für
eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die
Erfüllung
des Zwecks der Speicherung nicht mehr erforderlich ist, oder sie
geschäftsmäßig
zum Zweck der Übermittlung verarbeitet werden und eine
Prüfung
jeweils am Ende des vierten Kalenderjahres beginnend mit ihrer
erstmaligen
Speicherung ergibt, dass eine längerwährende Speicherung
nicht
erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit im
Fall des Absatzes 2 Nr. 3 einer Löschung gesetzliche,
satzungsmäßige
oder vertragliche Aufbewahrungsfristen entgegenstehen, Grund zu der
Annahme
besteht, dass durch eine Löschung schutzwürdige Interessen
des
Betroffenen beeinträchtigt würden, oder eine Löschung
wegen
der besonderen Art der Speicherung nicht oder nur mit
unverhältnismäßig
hohem Aufwand möglich ist.
(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre
Richtigkeit
vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die
Unrichtigkeit feststellen lässt.
(5) Personenbezogene Daten dürfen nicht für eine
automatisierte
Verarbeitung oder Verarbeitung in nicht automatisierten Dateien
erhoben,
verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der
verantwortlichen
Stelle widerspricht und eine Prüfung ergibt, dass das
schutzwürdige
Interesse des Betroffenen wegen seiner besonderen persönlichen
Situation
das Interesse der verantwortlichen Stelle an dieser Erhebung,
Verarbeitung
oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine
Rechtsvorschrift
zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit
bestritten wird, müssen bei der geschäftsmäßigen
Datenspeicherung
zum Zweck der Übermittlung außer in den Fällen des
Absatzes
2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie
aus allgemein zugänglichen Quellen entnommen und zu
Dokumentationszwecken
gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten
für
die Dauer der Speicherung seine Gegendarstellung beizufügen. Die
Daten
dürfen nicht ohne diese Gegendarstellung übermittelt werden.
(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener
Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit
der
Speicherung sind die Stellen zu verständigen, denen im Rahmen
einer
Datenübermittlung diese Daten zur Speicherung weitergegeben
werden,
wenn dies keinen unverhältnismäßigen Aufwand erfordert
und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.
(8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur
übermittelt oder genutzt werden, wenn es zu wissenschaftlichen
Zwecken,
zur Behebung einer bestehenden Beweisnot oder aus sonstigen im
überwiegenden
Interesse der verantwortlichen Stelle oder eines Dritten liegenden
Gründen
unerlässlich ist und die Daten hierfür übermittelt oder
genutzt werden dürften, wenn sie nicht gesperrt wären.