Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz - BlnDSG) in der Fassung vom 17. Dezember 1990

§ 20a Verarbeitung personenbezogener Daten für das AbgeordnetenhausDie Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen ist zulässig, wenn diese vom Abgeordnetenhaus, dessen verfassungsmäßigen Organen, seinen Mitgliedern oder den Fraktionen des Abgeordnetenhauses im Rahmen ihrer Aufgaben verlangt werden. Personenbezogene Daten dürfen für diese Institutionen zur Erfüllung ihrer Aufgaben nur verarbeitet werden, wenn nicht überwiegende private Interessen an der Geheimhaltung zwingend entgegenstehen. Diese Befugnis gilt auch für besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679; dabei sind gegebenenfalls die gebotenen Vorkehrungen parlamentarischer Geheimhaltung zu treffen.

§ 35a Verarbeitung zu besonderen Untersuchungszwecken (1) Setzt der Senat Sachverständige oder sonstige Beauftragte mit der Untersuchung von in besonderem öffentlichen Interesse liegenden Sachverhalten ein, die die Aufgabenerfüllung der für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständigen öffentlichen Stellen sowie die Aufgabe des Verfassungsschutzes betreffen, ist die Verarbeitung personenbezogener Daten durch diese Sachverständigen oder sonstigen Beauftragten zulässig, soweit sie zur Erfüllung ihrer Aufgaben erforderlich ist. Die Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten bleiben unberührt.(2) Die Sachverständigen oder sonstigen Beauftragten sind unbeschadet ihrer Berichtspflicht gegenüber dem Senat auch nach Beendigung der Beauftragung zur Verschwiegenheit über alle Angelegenheiten verpflichtet, die ihnen bei Ausübung ihrer Tätigkeit bekannt werden.

§ 1 Zweck(1) Dieses Gesetz trifft in den Teilen 1 und 2 sowohl ergänzende als auch abweichende Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung.(2) Darüber hinaus erfolgt in den Teilen 1 und 3 dieses Gesetzes die Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89; L 127 vom 23.5.2018, S. 9).(3) In den Teilen 1 und 4 trifft dieses Gesetz Regelungen für die Verarbeitung personenbezogener Daten, die weder in den Anwendungsbereich der Verordnung (EU) 2016/679 noch der Richtlinie (EU) 2016/680 fallen.

§ 10 Rechtsstellung(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit steht nach Maßgabe dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis.(2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit handelt bei der Erfüllung ihrer oder seiner Aufgaben und bei der Ausübung ihrer oder seiner Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen.(3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit untersteht der Rechnungsprüfung des Rechnungshofs, soweit hierdurch ihre oder seine Unabhängigkeit nicht beeinträchtigt wird.(4) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit sieht von allen mit den Aufgaben dieses Amtes nicht zu vereinbarenden Handlungen ab und übt während der Amtszeit keine andere mit diesem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf sie oder er neben diesem Amt kein weiteres besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung, dem Aufsichtsrat oder dem Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.(5) Die oder der Berliner Beauftragte für Datenschutz ist, auch nach Beendigung des Amtsverhältnisses, verpflichtet, über die ihr oder ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Berliner Beauftragten für Datenschutz und Informationsfreiheit erforderlich.(6) Im Übrigen wird die Rechtsstellung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit durch Vertrag geregelt. Soweit in diesem Gesetz und im Vertrag keine abweichenden Bestimmungen getroffen worden sind, finden die für Beamtinnen und Beamte des Landes Berlin geltenden Vorschriften in dem Umfang sinngemäß Anwendung, als sie dem Wesen des Amtsverhältnisses entsprechen.(7) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist berechtigt, zu seinem oder ihrem Jahresbericht vor dem Abgeordnetenhaus zu erscheinen und zu reden. Sie oder er ist darüber hinaus berechtigt, vor den Ausschüssen des Abgeordnetenhauses zu erscheinen und zu reden; sie oder er kann von der Mehrheit der Mitglieder des Abgeordnetenhauses oder eines Ausschusses auch dazu verpflichtet werden.

§ 11 Aufgaben(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat unbeschadet anderer in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben,1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu überwachen und durchzusetzen,2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären, wobei spezifische Maßnahmen für Kinder besondere Beachtung finden,3. das Abgeordnetenhaus, den Senat und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte auf Grund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden des Bundes, der Länder oder anderer Mitgliedstaaten der Europäischen Union zusammenzuarbeiten,6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführenden innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten,8. Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,10. Beratung in Bezug auf die in § 55 genannten Verarbeitungsvorgänge zu leisten und11. Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zudem die Aufgabe nach § 46 wahr.(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das Abgeordnetenhaus oder einen seiner Ausschüsse, den Senat, sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit richten. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vor dem Erlass von Gesetzen, Rechtsverordnungen oder Verwaltungsvorschriften anzuhören, wenn sie die Verarbeitung personenbezogener Daten betreffen.(3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.(4) Die Erfüllung der Aufgaben der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anfragen, insbesondere im Fall von häufiger Wiederholung, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

§ 3 Verarbeitung personenbezogener DatenAußerhalb des Anwendungsbereichs der Richtlinie (EU) 2016/680 ist die nicht in besonderen Rechtsvorschriften geregelte Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist und1. schutzwürdige Belange der betroffenen Personen wegen der Kategorien der personenbezogenen Daten, wegen der Zwecke der Verarbeitung, wegen der Dauer der Verarbeitung oder wegen ihrer Offenkundigkeit nicht entgegenstehen oder2. Bundesrecht vollzogen wird und dieses die Verarbeitung personenbezogener Daten nicht abschließend regelt.

§ 8 Zuständigkeit(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist Aufsichtsbehörde für die öffentlichen Stellen des Landes Berlin.(2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht-öffentlicher Stellen und öffentlicher Stellen, soweit diese am Wettbewerb teilnehmen.(3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist nicht zuständig für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit oder über die vom Rechnungshof in unabhängiger Tätigkeit vorgenommenen Verarbeitungen personenbezogener Daten.

§ 29 Ordnungswidrigkeiten, Strafvorschriften(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Vorschriften über den Datenschutz personenbezogene Daten, die nicht offenkundig sind, unbefugt verarbeitet. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden.(2) Wer die in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder eine andere Person zu bereichern oder eine andere Person zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft.(3) Die Tat nach Absatz 2 wird nur auf Antrag verfolgt. Antragsberechtigt ist die betroffene Person, der Verantwortliche und die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit.(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Straf- oder Bußgeldverfahren gegen die meldepflichtige oder benachrichtigende Person oder deren in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung der meldepflichtigen oder benachrichtigenden Person verwendet werden.

§ 20 Videoüberwachung(1) Die Verarbeitung personenbezogener Daten in öffentlich zugänglichen Räumen mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) ist zulässig, soweit sie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.(2) Videoüberwachte Bereiche sind so zu kennzeichnen, dass Personen vor dem Betreten über den Umstand der Videoüberwachung sowie über den Namen und die Kontaktdaten des Verantwortlichen informiert werden.(3) Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist.(4) Für die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs gilt abweichend von Absatz 3, dass1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies für die Verhütung oder Verfolgung von Straftaten erforderlich ist, und2. für diesen Zweck ihre Übermittlung ausschließlich an die Polizei Berlin und an die Strafverfolgungsbehörden zulässig ist.Der Verantwortliche hat durch ein mit der Polizei Berlin abzustimmendes Sicherheitskonzept zu gewährleisten, dass Aufzeichnungen spätestens nach 48 Stunden gelöscht werden, sofern deren Speicherung nicht für einen der Zwecke des Satzes 1 Nummer 1 erforderlich ist.(5) Unbeschadet der Verpflichtung des Verantwortlichen zur Löschung auf Grund anderer Vorschriften sind nach Absatz 1 erhobene personenbezogene Daten unverzüglich zu löschen, wenn schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.

§ 20a Verarbeitung personenbezogener Daten zu Zwecken parlamentarischer Kontrolle(1) Die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen ist zulässig, wenn diese vom Abgeordnetenhaus, dessen verfassungsmäßigen Organen, seinen Mitgliedern oder den Fraktionen des Abgeordnetenhauses im Rahmen ihrer Aufgaben verlangt werden. Personenbezogene Daten dürfen für diese Institutionen zur Erfüllung ihrer Aufgaben nur verarbeitet werden, wenn nicht überwiegende private Interessen an der Geheimhaltung zwingend entgegenstehen. Diese Befugnis gilt auch für besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679; dabei sind gegebenenfalls die gebotenen Vorkehrungen parlamentarischer Geheimhaltung zu treffen.(2) Soweit es im Rahmen der Mitwirkung an der Erfüllung der Aufgaben eines Untersuchungsausschusses des Abgeordnetenhauses, des Parlamentes eines anderen Landes oder des Deutschen Bundestages erforderlich ist, kann die oder der für die Verarbeitung der Daten Verantwortliche anordnen, dass personenbezogene Daten, auch abweichend von Vorschriften über deren Löschung oder Vernichtung, für einen befristeten Zeitraum nicht gelöscht oder vernichtet werden. Dies gilt auch für den Fall, dass ein Untersuchungsausschuss noch nicht eingesetzt ist, ein solcher aber bereits im Parlament beantragt worden ist. Die Anordnung kann auch Akten und sonstige amtliche Unterlagen einschließen, die keine personenbezogenen Daten enthalten. Die Anordnung soll einen Zeitraum von zwei Jahren nicht überschreiten; Verlängerungen für einen Zeitraum von jeweils nicht mehr als einem Jahr sind zulässig. Die Anordnung trifft die Hausleitung des Verantwortlichen, sie ergeht schriftlich und ist zu begründen. Die Anordnung und ihre Begründung sind der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zur Kenntnis zu geben. Dies gilt auch für jeden Fall der Verlängerung. Der Verantwortliche hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Verarbeitung der personenbezogenen Daten, deren Löschung oder Vernichtung auf Grund einer Anordnung nach den Sätzen 1 oder 2 unterblieben ist, auf die Mitwirkung an der Erfüllung der Aufgaben des Untersuchungsausschusses begrenzt ist.

§ 2 Anwendungsbereich(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts im Sinne des § 44 des Landesorganisationsgesetzes vom 10. Juli 2025 (GVBl. S. 270) in der jeweils geltenden Fassung (öffentliche Stellen).(2) Als öffentliche Stellen gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen das Land Berlin mit absoluter Mehrheit der Anteile oder mit absoluter Mehrheit der Stimmen beteiligt ist. Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.(3) Das Abgeordnetenhaus, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten.(4) Für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit zuständigen öffentlichen Stellen gelten nur Teil 1 und Teil 3 dieses Gesetzes, soweit diese Stellen personenbezogene Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.(6) Abweichend von den Absätzen 1 und 2 gelten öffentliche Stellen, soweit diese als Unternehmen am Wettbewerb teilnehmen, als nicht-öffentliche Stellen. Insoweit sind für sie nur die Regelungen der §§ 4 bis 6 und § 20 sowie § 22 anwendbar. Im Übrigen finden für sie die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung Anwendung mit Ausnahme von § 4 und § 38 des Bundesdatenschutzgesetzes.(7) Abweichend von Absatz 1 gilt § 19 auch für nicht-öffentliche Stellen, soweit diese personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken verarbeiten. Dies gilt nicht, soweit die Verarbeitung ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erfolgt.(8) Besondere Rechtsvorschriften über den Datenschutz gehen den Bestimmungen dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung.(9) Für Verarbeitungen personenbezogener Daten im Rahmen von Tätigkeiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen, finden die Verordnung (EU) 2016/679 und Teil 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in Teil 4 oder in einem anderen Gesetz Abweichendes geregelt ist.(10) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedsstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.(11) Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.

§ 20 Videoüberwachung(1) Die Verarbeitung personenbezogener Daten in öffentlich zugänglichen Räumen mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) ist zulässig, soweit sie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.(2) Videoüberwachte Bereiche sind so zu kennzeichnen, dass Personen vor dem Betreten über den Umstand der Videoüberwachung sowie über den Namen und die Kontaktdaten des Verantwortlichen informiert werden.(3) Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist.(4) Für die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs gilt abweichend von Absatz 3, dass1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies für die Verhütung oder Verfolgung von Straftaten erforderlich ist, und2. für diesen Zweck ihre Übermittlung ausschließlich an die Polizei Berlin und an die Strafverfolgungsbehörden zulässig ist.Der Verantwortliche hat durch ein mit der Polizei Berlin abzustimmendes Sicherheitskonzept zu gewährleisten, dass Aufzeichnungen spätestens nach 72 Stunden gelöscht werden, sofern deren Speicherung nicht für einen der Zwecke des Satzes 1 Nummer 1 erforderlich ist.(5) Unbeschadet der Verpflichtung des Verantwortlichen zur Löschung auf Grund anderer Vorschriften sind nach Absatz 1 erhobene personenbezogene Daten unverzüglich zu löschen, wenn schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.

§ 13 Befugnisse(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann im Falle von Verstößen gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie andere Vorschriften über den Datenschutz, diese mit der Aufforderung beanstanden, innerhalb einer bestimmten, angemessenen Frist Stellung zu nehmen sowie Maßnahmen darzustellen, die die Verstöße beseitigen sollen.(2) Stellt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit bei Datenverarbeitungen durch öffentliche Stellen zu Zwecken außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber dem Verantwortlichen und fordert diesen zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden angemessenen Frist auf. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.(3) Sofern in den Fällen des Absatzes 1 Satz 2 und Absatz 2 Satz 1 die beanstandeten Verstöße oder Mängel auch unter Berücksichtigung der Stellungnahme weiterhin bestehen, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit dem für die öffentliche Stelle jeweils zuständigen Ausschuss des Abgeordnetenhauses Bericht erstatten und hierfür die Aufnahme auf die Tagesordnung einer Sitzung des Ausschusses verlangen, wenn ein vorheriger Einigungsversuch mit der öffentlichen Stelle erfolglos geblieben ist. Dieses Recht besteht auch ohne vorherigen Einigungsversuch, wenn die Stellungnahme nicht innerhalb der bestimmten Frist erfolgt; dies gilt auch, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die öffentliche Stelle zu einer weiteren Stellungnahme unter Setzung einer angemessenen Frist auffordert. Verfahren, Form und Frist für die Aufnahme auf die Tagesordnung des jeweils zuständigen Ausschusses richten sich nach den durch das Abgeordnetenhaus festgelegten Regelungen. Die Rechte der Abgeordneten, insbesondere zur Gestaltung der Sitzung in dem Ausschuss, bleiben unberührt. Andere Rechte der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit, insbesondere das Recht aus Artikel 58 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 und aus § 11 Absatz 2, bleiben unberührt.(4) Die öffentlichen Stellen sind verpflichtet, der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit und ihren oder seinen Beauftragten1. jederzeit Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, zu gewähren und2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.(5) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist befugt, die durch sie oder ihn festgestellten Verstöße gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den zuständigen Justizbehörden zur Kenntnis zu bringen und personenbezogene Daten zu übermitteln, soweit dies zur Durchführung des jeweiligen Ermittlungsverfahrens erforderlich ist.(6) Soweit es für die Erfüllung ihrer oder seiner Aufgaben erforderlich ist, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit personenbezogene Daten verarbeiten. Dies gilt auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, soweit ein erhebliches öffentliches Interesse dies erfordert. Ein erhebliches öffentliches Interesse nach Satz 2 liegt insbesondere vor, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Aufgaben nach Artikel 57 Absatz 1 Buchstaben a, d bis h, l, o und t der Verordnung (EU) 2016/679 und nach § 11 Absatz 1 Nummern 1, 4 bis 8 und 10 bis 11 sowie § 46 und § 68 wahrnimmt. § 16a Absatz 2 bis 4 des E-Government-Gesetzes Berlin vom 30. Mai 2016 (GVBl. S. 282), das zuletzt durch Artikel 1 des Gesetzes vom 23. Februar 2026 (GVBl. S. 78) geändert worden ist, gilt für die Berliner Beauftragte für Datenschutz und Informationsfreiheit oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit unter Beachtung ihrer oder seiner Rechtsstellung nach § 10 Absatz 2 entsprechend.(7) Soweit die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Adressatin oder Adressat eines Beschlusses des Europäischen Datenschutzausschusses ist, hat sie oder er das Recht, unter den in Artikel 263 des Vertrages über die Arbeitsweise der Europäischen Union genannten Voraussetzungen binnen zwei Monaten nach dessen Übermittlung beim Europäischen Gerichtshof eine Klage auf Nichtigerklärung des Beschlusses zu erheben.(8) Für die Verpflichtung nach Absatz 4 wird das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes, Artikel 28 Absatz 2 Satz 1 der Verfassung von Berlin) für die Betriebs- und Geschäftszeit eingeschränkt.

§ 11 Aufgaben(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat unbeschadet anderer in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben,1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften sowie der §§ 19, 20 und 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045), das zuletzt durch Artikel 10 des Gesetzes vom 9. Januar 2026 (BGBl. 2026 I Nr. 7) geändert worden ist, in der jeweils geltenden Fassung, zu überwachen und durchzusetzen,2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären, wobei spezifische Maßnahmen für Kinder besondere Beachtung finden,3. das Abgeordnetenhaus, den Senat und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte auf Grund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden des Bundes, der Länder oder anderer Mitgliedstaaten der Europäischen Union zusammenzuarbeiten,6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführenden innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten,8. Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,10. Beratung in Bezug auf die in § 55 genannten Verarbeitungsvorgänge zu leisten und11. Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zudem die Aufgabe nach § 46 wahr.(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das Abgeordnetenhaus oder einen seiner Ausschüsse, den Senat, sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit richten. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vor dem Erlass von Gesetzen, Rechtsverordnungen oder Verwaltungsvorschriften anzuhören, wenn sie die Verarbeitung personenbezogener Daten betreffen.(3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.(4) Die Erfüllung der Aufgaben der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anfragen, insbesondere im Fall von häufiger Wiederholung, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

§ 13 Befugnisse(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann im Falle von Verstößen gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie andere Vorschriften über den Datenschutz, diese mit der Aufforderung beanstanden, innerhalb einer bestimmten, angemessenen Frist Stellung zu nehmen sowie Maßnahmen darzustellen, die die Verstöße beseitigen sollen.(2) Stellt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit bei Datenverarbeitungen durch öffentliche Stellen zu Zwecken außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber dem Verantwortlichen und fordert diesen zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden angemessenen Frist auf. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.(3) Sofern in den Fällen des Absatzes 1 Satz 2 und Absatz 2 Satz 1 die beanstandeten Verstöße oder Mängel auch unter Berücksichtigung der Stellungnahme weiterhin bestehen, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit dem für die öffentliche Stelle jeweils zuständigen Ausschuss des Abgeordnetenhauses Bericht erstatten und hierfür die Aufnahme auf die Tagesordnung einer Sitzung des Ausschusses verlangen, wenn ein vorheriger Einigungsversuch mit der öffentlichen Stelle erfolglos geblieben ist. Dieses Recht besteht auch ohne vorherigen Einigungsversuch, wenn die Stellungnahme nicht innerhalb der bestimmten Frist erfolgt; dies gilt auch, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die öffentliche Stelle zu einer weiteren Stellungnahme unter Setzung einer angemessenen Frist auffordert. Verfahren, Form und Frist für die Aufnahme auf die Tagesordnung des jeweils zuständigen Ausschusses richten sich nach den durch das Abgeordnetenhaus festgelegten Regelungen. Die Rechte der Abgeordneten, insbesondere zur Gestaltung der Sitzung in dem Ausschuss, bleiben unberührt. Andere Rechte der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit, insbesondere das Recht aus Artikel 58 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 und aus § 11 Absatz 2, bleiben unberührt.(4) Die öffentlichen Stellen sind verpflichtet, der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit und ihren oder seinen Beauftragten1. jederzeit Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, zu gewähren und2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.(5) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist befugt, die durch sie oder ihn festgestellten Verstöße gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den zuständigen Justizbehörden zur Kenntnis zu bringen und personenbezogene Daten zu übermitteln, soweit dies zur Durchführung des jeweiligen Ermittlungsverfahrens erforderlich ist.(6) Soweit es für die Erfüllung ihrer oder seiner Aufgaben erforderlich ist, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit personenbezogene Daten verarbeiten. Dies gilt auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, soweit ein erhebliches öffentliches Interesse dies erfordert. Ein erhebliches öffentliches Interesse nach Satz 2 liegt insbesondere vor, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Aufgaben nach Artikel 57 Absatz 1 Buchstaben a, d bis h, l, o und t der Verordnung (EU) 2016/679 und nach § 11 Absatz 1 Nummern 1, 4 bis 8 und 10 bis 11 sowie § 46 und § 68 wahrnimmt. § 16a Absatz 2 bis 4 des E-Government-Gesetzes Berlin vom 30. Mai 2016 (GVBl. S. 282), das zuletzt durch Artikel 1 des Gesetzes vom 23. Februar 2026 (GVBl. S. 78) geändert worden ist, gilt für die Berliner Beauftragte für Datenschutz und Informationsfreiheit oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit unter Beachtung ihrer oder seiner Rechtsstellung nach § 10 Absatz 2 entsprechend.(7) Soweit die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Adressatin oder Adressat eines Beschlusses des Europäischen Datenschutzausschusses ist, hat sie oder er das Recht, unter den in Artikel 263 des Vertrages über die Arbeitsweise der Europäischen Union genannten Voraussetzungen binnen zwei Monaten nach dessen Übermittlung beim Europäischen Gerichtshof eine Klage auf Nichtigerklärung des Beschlusses zu erheben.(8) Für die Verpflichtung nach Absatz 4 wird das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes, Artikel 28 Absatz 2 Satz 1 der Verfassung von Berlin) für die Betriebs- und Geschäftszeit eingeschränkt.(9) Im Hinblick auf die Befugnisse der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit im Rahmen ihrer oder seiner Aufsichtstätigkeit über die Einhaltung der Bestimmungen der §§ 19, 20 und 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes findet Artikel 58 der Verordnung (EU) 2016/679 entsprechende Anwendung.

§ 19 Verarbeitung personenbezogener Daten zu Zwecken der freien Meinungsäußerung und der Informationsfreiheit(1) Soweit personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet werden, gelten von Kapitel II bis VII sowie IX der Verordnung (EU) 2016/679 nur Artikel 5 Absatz 1 Buchstabe f sowie Artikel 24 und 32. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass die Haftung nur Schäden umfasst, die durch eine Verletzung des Datengeheimnisses oder durch unzureichende technische oder organisatorische Maßnahmen im Sinne des Artikels 5 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 eintreten.(2) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 Satz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, sind diese zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst, und bei einer Übermittlung der Daten gemeinsam zu übermitteln.

§ 20 Videoüberwachung(1) Die Beobachtung öffentlich zugänglicher Räume mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) sowie die Verarbeitung der dadurch erhobenen personenbezogenen Daten ist zulässig, soweit sie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, zur Wahrnehmung des Hausrechts oder zur Kontrolle von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Der erforderliche Schutz von Einrichtungen, Anlagen oder Teilen davon im Sinne des § 28 Absatz 1 des Katastrophenschutzgesetzes vom 7. Juni 2021 (GVBl. S. 610), das durch Artikel 7 Nummer 5 des Gesetzes vom 11. Dezember 2025 (GVBl. S. 590) geändert worden ist, in der jeweils geltenden Fassung, von staatlichen Einrichtungen der kritischen Infrastruktur, die Einrichtungen nach § 28 Absatz 1 des Katastrophenschutzgesetzes entsprechen, von zur Aufrechterhaltung der Staats- und Regierungsfunktionen unabdingbar notwendigen Einrichtungen, die einen mit Einrichtungen nach § 28 Absatz 1 des Katastrophenschutzgesetzes vergleichbaren Schutzbedarf aufweisen, sowie ziviler Objekte, deren Ausfall die zivile Verteidigungsfähigkeit dauerhaft einschränken würde oder denen neben der zivilen auch eine militärische Bedeutung zukommt, dient dem öffentlichen Interesse und geht schutzwürdigen Interessen der betroffenen Personen in der Regel vor.(2) Videoüberwachte Bereiche sind so zu kennzeichnen, dass Personen vor dem Betreten über den Umstand der Videoüberwachung sowie über den Namen und die Kontaktdaten des Verantwortlichen informiert werden. Satz 1 gilt nicht in den Fällen des Absatzes 1 Satz 2, soweit dies den erforderlichen Schutz von Einrichtungen, Anlagen oder Teilen davon oder ziviler Objekte im Sinne des Absatzes 1 Satz 2 beeinträchtigen würde; § 23 Absatz 2 Satz 1 und 2 gilt entsprechend.(3) Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist.(4) Für die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs gilt abweichend von Absatz 3, dass1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies für die Verhütung oder Verfolgung von Straftaten erforderlich ist, und2. für diesen Zweck ihre Übermittlung ausschließlich an die Polizei Berlin und an die Strafverfolgungsbehörden zulässig ist.Der Verantwortliche hat durch ein mit der Polizei Berlin abzustimmendes Sicherheitskonzept zu gewährleisten, dass Aufzeichnungen spätestens nach 72 Stunden gelöscht werden, sofern deren Speicherung nicht für einen der Zwecke des Satzes 1 Nummer 1 erforderlich ist.(5) Unbeschadet der Verpflichtung des Verantwortlichen zur Löschung auf Grund anderer Vorschriften sind nach Absatz 1 erhobene personenbezogene Daten unverzüglich zu löschen, wenn schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.

§ 24 Auskunftsrecht der betroffenen Person(1) Unbeschadet von § 17 Absatz 4 besteht das Recht der betroffenen Person auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, sofern die Erteilung der Auskunft hinter dem öffentlichen Interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter aus zwingenden Gründen zurücktreten muss. Ein Fall des Satzes 1 liegt insbesondere vor, wenn die Erteilung der Auskunft1. die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes erhebliche Nachteile bereiten würde,2. die Verfolgung von Straftaten und Ordnungswidrigkeiten gefährden würde oder3. dazu führen würde, dass Tatsachen, die nach einer öffentlichen Interessen dienenden Rechtsvorschrift oder zum Schutz der Rechte und Freiheiten anderer Personen geheim zu halten sind, aufgedeckt werden.(2) Bezieht sich das Auskunftsersuchen auf personenbezogene Daten, die von Stellen des Verfassungsschutzes, der Gerichte, der Staatsanwaltschaft und der Polizei oder von Landesfinanzbehörden, soweit diese personenbezogene Daten für Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zu Zwecken der Strafverfolgung speichern, sowie vom Bundesnachrichtendienst, des Amtes für den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, von anderen Behörden im Geschäftsbereich des für Verteidigung zuständigen Bundesministeriums übermittelt wurden, ist eine Auskunft nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt für die Erteilung einer Auskunft, die sich auf die Übermittlung personenbezogener Daten an diese Stellen bezieht. Hierfür dürfen personenbezogene Daten der betroffenen Person im erforderlichen Umfang verarbeitet werden. Die Zustimmung nach Satz 1 und 2 darf nur versagt werden, wenn dies zum Schutz der in Artikel 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 genannten Rechtsgüter notwendig ist.(3) Die vollständige oder teilweise Ablehnung eines Antrags auf Auskunft bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. Sowohl die Entscheidung über die Ablehnung des Antrags auf Auskunft als auch die Entscheidung über das Absehen von der Begründung obliegt der Leiterin oder dem Leiter des für die Datenverarbeitung Verantwortlichen. Die Entscheidung kann an eine der Leitung unmittelbar nachgeordnete Person übertragen werden. Die Gründe der Ablehnung sind zu dokumentieren. Soweit der Antrag auf Auskunft abgelehnt wird, hat der Verantwortliche die betroffene Person darauf hinzuweisen, dass sie ihr Auskunftsrecht auch über die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit ausüben kann. Macht die betroffene Person von ihrem Recht nach Satz 5 Gebrauch, ist auf ihr Verlangen der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit die Auskunft zu erteilen, soweit nicht die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie oder ihn stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Ausnahme zugestimmt hat.(4) Unterbleibt die Auskunft in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Auskunftspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist ab Fortfall des Hinderungsgrundes nach, spätestens jedoch nach Ablauf von zwei Wochen.(5) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffentliche Stelle nicht automatisiert verarbeitet werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.(6) Sind personenbezogene Daten in Akten gespeichert, so kann die betroffene Person bei der datenverarbeitenden Stelle zusätzlich zu der Auskunft nach Artikel 15 der Verordnung (EU) 2016/679 Einsicht in die Akten verlangen. Werden die Akten nicht zur betroffenen Person geführt, so können Hinweise zum Auffinden der zur betroffenen Person gespeicherten personenbezogenen Daten gefordert werden, wenn das Auffinden auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre. Die Einsichtnahme ist grundsätzlich unzulässig, wenn die Daten der betroffenen Person mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. Im Übrigen gelten für die Verweigerung der Einsicht in die Akten die Absätze 1 bis 3 entsprechend.(7) Der Senat legt dem Abgeordnetenhaus bis zum 30. Juni 2020 einen Bericht über die Anwendung der Absätze 1 bis 5 vor.(8) Der Rechnungshof ist zur Erteilung von Auskünften nach Artikel 15 der Verordnung (EU) 2016/679 nicht verpflichtet, soweit er im Rahmen seiner unabhängigen Tätigkeit personenbezogene Daten verarbeitet.

§ 26 Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung(1) Soweit die Verarbeitung personenbezogener Daten automatisiert erfolgt, hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Maßnahmen zu ergreifen, die gewährleisten, dass1. personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können,2. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat,3. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können und4. bei der Bereitstellung personenbezogener Daten eine Trennung der Daten nach den jeweils verfolgten Zwecken und betroffenen Personen möglich ist.(2) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und zu dokumentieren. Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen.(3) Werden Systeme und Dienste, die für Verarbeitungen nach Absatz 1 genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung erforderlichen personenbezogenen Daten zugegriffen werden kann. Diese Maßnahmen müssen insbesondere Folgendes gewährleisten:1. die Wartung darf nur durch autorisiertes Personal erfolgen,2. jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,3. die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern und4. es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können.Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Verordnung (EU) 2016/679 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des Artikels 45 oder 46 der Verordnung (EU) 2016/679 vorliegen.(4) Die Regelungen der Verordnung (EU) 2016/679 werden durch die Absätze 1 bis 3 nicht eingeschränkt.

§ 48 Auftragsverarbeitung(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.(2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.(3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.(4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon auf Grund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 62 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;6. Überprüfungen, die von dem Verantwortlichen oder einer oder einem von diesem beauftragten Prüferin oder Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;8. alle gemäß § 50 erforderlichen Maßnahmen ergreift und9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in §§ 50 bis 53 und 55 genannten Pflichten unterstützt.(6) Der Vertrag oder das andere Rechtsinstrument nach Absatz 5 ist schriftlich oder elektronisch abzufassen.(7) Die Absätze 1 bis 6 gelten entsprechend, wenn die Wartung automatisierter Verfahren durch Dritte im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.(8) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

§ 50 Anforderungen an die Sicherheit der Datenverarbeitung(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten.(2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns, Löschens oder Entfernens von Datenträgern (Datenträgerkontrolle),3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).Eine geeignete Maßnahme, die zur Verwirklichung der Zwecke nach Satz 1 Nummer 2 bis 5 und 8 beiträgt, besteht in der Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.(4) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und zu dokumentieren. Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen.(5) Werden Systeme und Dienste, die für automatisierte Verarbeitungen genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann. Diese Maßnahmen müssen insbesondere Folgendes gewährleisten:1. die Wartung darf nur durch autorisiertes Personal erfolgen,2. jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,3. die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern,4. es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können.Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach § 48 Absatz 5 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Richtlinie (EU) 2016/680 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des § 64 oder 65 vorliegen.

§ 56 Verzeichnis von Verarbeitungstätigkeiten(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,2. die Zwecke der Verarbeitung,3. die Herkunft regelmäßig empfangener personenbezogener Daten,4. Angaben über die Rechtsgrundlage der Verarbeitung,5. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,6. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,7. gegebenenfalls die Verwendung von Profiling,8. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation sowie geplante Übermittlungen,9. wenn möglich, die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten,10. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 50 und11. Kategorien zugriffsberechtigter Personen oder Personengruppen.(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls der oder des Datenschutzbeauftragten,2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 50.(3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zur Verfügung zu stellen.

§ 58 Unterscheidung zwischen verschiedenen Kategorien betroffener PersonenDer Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,3. strafrechtlich Verurteilte,4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und5. andere Personen im Zusammenhang mit einer Straftat, wie insbesondere Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim anschließenden Strafverfahren als Zeuginnen oder Zeugen in Betracht kommen oder Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den in den Nummern 1 bis 3 genannten Personen in Kontakt oder in Verbindung stehen.

§ 67 Sonstige Datenübermittlung an Empfänger in Drittstaaten(1) Der Verantwortliche kann bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 64 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung seiner Aufgaben unbedingt erforderlich ist und1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,2. er die Übermittlung an die in § 64 Absatz 1 Nummer 1 genannten Stellen für wirkungslos oder ungeeignet hält, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und3. er dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.(2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 64 Absatz 1 Nummer 1 genannten Behörden unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist.(3) Für Übermittlungen nach Absatz 1 gilt § 65 Absatz 2 und 3 entsprechend.(4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind.(5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.

§ 1 Zweck(1) Dieses Gesetz trifft in den Teilen 1 und 2 sowohl ergänzende als auch abweichende Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72). (2) Darüber hinaus erfolgt in den Teilen 1 und 3 dieses Gesetzes die Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89). (3) In den Teilen 1 und 4 trifft dieses Gesetz Regelungen für die Verarbeitung personenbezogener Daten, die weder in den Anwendungsbereich der Verordnung (EU) 2016/679 noch der Richtlinie (EU) 2016/680 fallen.

§ 10 Rechtsstellung(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit steht nach Maßgabe dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis. (2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit handelt bei der Erfüllung ihrer oder seiner Aufgaben und bei der Ausübung ihrer oder seiner Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen. (3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit untersteht der Rechnungsprüfung des Rechnungshofs, soweit hierdurch ihre oder seine Unabhängigkeit nicht beeinträchtigt wird. (4) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit sieht von allen mit den Aufgaben dieses Amtes nicht zu vereinbarenden Handlungen ab und übt während der Amtszeit keine andere mit diesem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf sie oder er neben diesem Amt kein weiteres besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung, dem Aufsichtsrat oder dem Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. (5) Die oder der Berliner Beauftragte für Datenschutz ist, auch nach Beendigung des Amtsverhältnisses, verpflichtet, über die ihr oder ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Berliner Beauftragten für Datenschutz und Informationsfreiheit erforderlich. (6) Im Übrigen wird die Rechtsstellung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit durch Vertrag geregelt. Soweit in diesem Gesetz und im Vertrag keine abweichenden Bestimmungen getroffen worden sind, finden die für Beamtinnen und Beamte des Landes Berlin geltenden Vorschriften in dem Umfang sinngemäß Anwendung, als sie dem Wesen des Amtsverhältnisses entsprechen.

§ 11 Aufgaben(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat unbeschadet anderer in der Verordnung (EU) 2016/679 genannten Aufgaben die Aufgaben, 1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu überwachen und durchzusetzen,2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären, wobei spezifische Maßnahmen für Kinder besondere Beachtung finden,3. das Abgeordnetenhaus, den Senat und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte auf Grund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden des Bundes, der Länder oder anderer Mitgliedstaaten der Europäischen Union zusammenzuarbeiten,6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführenden innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten,8. Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,10. Beratung in Bezug auf die in § 55 genannten Verarbeitungsvorgänge zu leisten und11. Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten. Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zudem die Aufgabe nach § 46 wahr.(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das Abgeordnetenhaus oder einen seiner Ausschüsse, den Senat, sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit richten. (3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. (4) Die Erfüllung der Aufgaben der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anfragen, insbesondere im Fall von häufiger Wiederholung, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

§ 12 Tätigkeitsbericht(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit erstellt einen Jahresbericht über ihre oder seine Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen, einschließlich der verhängten Sanktionen und der Maßnahmen nach Artikel 58 Absatz 2 der Verordnung (EU) 2016/679, enthalten kann. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit übermittelt den Bericht dem Abgeordnetenhaus und dem Senat und macht ihn der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich. (2) Der Senat legt dem Abgeordnetenhaus zu dem Tätigkeitsbericht innerhalb von sechs Monaten nach dessen Vorlage eine Stellungnahme vor, soweit der Tätigkeitsbericht seinen Zuständigkeitsbeziehungsweise Verantwortungsbereich betrifft.

§ 13 Befugnisse(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann im Falle von Verstößen gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie andere Vorschriften über den Datenschutz, diese mit der Aufforderung beanstanden, innerhalb einer bestimmten, angemessenen Frist Stellung zu nehmen sowie Maßnahmen darzustellen, die die Verstöße beseitigen sollen. (2) Stellt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit bei Datenverarbeitungen durch öffentliche Stellen zu Zwecken außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber dem Verantwortlichen und fordert diesen zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden angemessenen Frist auf. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen. (3) Sofern in den Fällen des Absatzes 1 Satz 2 und Absatz 2 Satz 1 die beanstandeten Verstöße oder Mängel auch unter Berücksichtigung der Stellungnahme weiterhin bestehen, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit dem für die öffentliche Stelle jeweils zuständigen Ausschuss des Abgeordnetenhauses Bericht erstatten und hierfür die Aufnahme auf die Tagesordnung einer Sitzung des Ausschusses verlangen, wenn ein vorheriger Einigungsversuch mit der öffentlichen Stelle erfolglos geblieben ist. Dieses Recht besteht auch ohne vorherigen Einigungsversuch, wenn die Stellungnahme nicht innerhalb der bestimmten Frist erfolgt; dies gilt auch, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit die öffentliche Stelle zu einer weiteren Stellungnahme unter Setzung einer angemessenen Frist auffordert. Verfahren, Form und Frist für die Aufnahme auf die Tagesordnung des jeweils zuständigen Ausschusses richten sich nach den durch das Abgeordnetenhaus festgelegten Regelungen. Die Rechte der Abgeordneten, insbesondere zur Gestaltung der Sitzung in dem Ausschuss, bleiben unberührt. Andere Rechte der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit, insbesondere das Recht aus Artikel 58 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 und aus § 11 Absatz 2, bleiben unberührt. (4) Die öffentlichen Stellen sind verpflichtet, der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit und ihren oder seinen Beauftragten 1. jederzeit Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, zu gewähren und2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen. (5) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist befugt, die durch sie oder ihn festgestellten Verstöße gegen Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den zuständigen Justizbehörden zur Kenntnis zu bringen und personenbezogene Daten zu übermitteln, soweit dies zur Durchführung des jeweiligen Ermittlungsverfahrens erforderlich ist. (6) Soweit es für die Erfüllung ihrer oder seiner Aufgaben erforderlich ist, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit personenbezogene Daten verarbeiten. Dies gilt auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, soweit ein erhebliches öffentliches Interesse dies erfordert. Ein erhebliches öffentliches Interesse nach Satz 2 liegt insbesondere vor, wenn die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Aufgaben nach Artikel 57 Absatz 1 Buchstaben a, d bis h, l, o und t der Verordnung (EU) 2016/679 und nach § 11 Absatz 1 Nummern 1, 4 bis 8 und 10 bis 11 sowie § 46 und § 68 wahrnimmt.(7) Soweit die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit Adressatin oder Adressat eines Beschlusses des Europäischen Datenschutzausschusses ist, hat sie oder er das Recht, unter den in Artikel 263 des Vertrages über die Arbeitsweise der Europäischen Union genannten Voraussetzungen binnen zwei Monaten nach dessen Übermittlung beim Europäischen Gerichtshof eine Klage auf Nichtigerklärung des Beschlusses zu erheben. (8) Für die Verpflichtung nach Absatz 4 wird das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes, Artikel 28 Absatz 2 Satz 1 der Verfassung von Berlin) für die Betriebs- und Geschäftszeit eingeschränkt.

§ 14 Verarbeitung besonderer Kategorien personenbezogener Daten(1) Neben den in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 unmittelbar genannten Ausnahmen vom Verarbeitungsverbot können besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in Ausgestaltung von Artikel 9 Absatz 2 Buchstaben b, h und i verarbeitet werden, wenn dies erforderlich ist 1. damit der Verantwortliche oder die betroffene Person die ihm oder ihr aus dem Dienst- und Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen oder ihren diesbezüglichen Pflichten nachkommen kann,2. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit der Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen oder Diensten im Gesundheits- oder Sozialbereich unter den Voraussetzungen des Artikels 9 Absatz 3 der Verordnung (EU) 2016/679 oder3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 3 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten. (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist über Absatz 1 hinaus in Ausgestaltung von Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 zulässig, wenn sie erforderlich ist 1. zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit oder2. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls, und die Interessen des Verantwortlichen an der Datenverarbeitung die Interessen der betroffenen Person überwiegen. (3) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören: 1. die Maßnahmen gemäß § 26,2. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,3. Beschränkung des Zugangs für dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen zu personenbezogenen Daten und4. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke, die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

§ 15 Verarbeitung zu anderen Zwecken(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck, als demjenigen, zu dem die personenbezogenen Daten erhoben wurden, ist auf Grund von Artikel 6 Absatz 4 Satz 1 1. Halbsatz der Verordnung (EU) 2016/679 in Verbindung mit den in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Zielen zulässig, wenn 1. sie zum Schutz lebenswichtiger Interessen einer natürlichen Person erforderlich und die betroffene Person aus rechtlichen oder tatsächlichen Gründen nicht in der Lage ist, die Einwilligung zu erteilen;2. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist;3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden erforderlich erscheint;4. die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht schutzwürdige Interessen der betroffenen Person offensichtlich entgegenstehen;5. sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der internen Revision, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient; der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse erforderlich ist;6. sie zu Aus- und Fortbildungszwecken erforderlich ist und schutzwürdige Belange der betroffenen Person dem nicht entgegenstehen; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verarbeitet werden. Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden. (2) Absatz 1 Satz 1 Nummer 2 und 3 findet keine Anwendung, wenn die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis unterliegen und sie der datenverarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind. (3) In den Fällen des Absatzes 1 Satz 1 Nummer 2, 3 und 5 unterbleibt abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 eine Information der betroffenen Person über die Verarbeitung personenbezogener Daten, soweit und solange der Zweck der Verarbeitung gefährdet würde. Die Gründe für ein Absehen von der Information sind zu protokollieren. § 23 Absatz 3 gilt entsprechend. (4) Sind personenbezogene Daten derart verbunden, dass ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist, so tritt an die Stelle der Trennung ein Verwertungsverbot nach Maßgabe des Absatzes 1 für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung dienen. (5) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach § 14 Absatz 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 14 Absatz 1 vorliegen.

§ 16 Verantwortlichkeit bei der Übermittlung personenbezogener Daten(1) Erfolgt die Übermittlung auf Grund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung für die Rechtmäßigkeit der Übermittlung. Die übermittelnde Stelle hat lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht. Die ersuchende Stelle hat in dem Ersuchen die für diese Prüfung erforderlichen Angaben zu machen. (2) Erfolgt die Übermittlung durch ein automatisiertes Verfahren auf Abruf nach § 21, trägt die abrufende Stelle die Verantwortung für die Rechtmäßigkeit der Übermittlung. Die übermittelnde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die übermittelnde Stelle gewährleistet, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.

§ 17 Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken(1) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679, ist auch ohne Einwilligung für die Erfüllung einer Aufgabe zu im öffentlichen Interesse liegenden wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke zulässig, wenn das öffentliche Interesse an der Durchführung des Vorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der Zweck nicht auf andere Weise erreicht werden kann. Nach Satz 1 übermittelte Daten dürfen nicht für andere Zwecke verarbeitet werden. (2) Die Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck oder dem statistischen Zweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis eine Anonymisierung erfolgt, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können; sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert. Die Daten sind zu löschen, sobald der Zweck erreicht ist. Für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 bleibt § 14 Absatz 3 unberührt. (3) Öffentliche Stellen, die wissenschaftliche und historische Forschung betreiben, dürfen personenbezogene Daten nur veröffentlichen, wenn 1. die betroffene Person eingewilligt hat oder2. die Veröffentlichung für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte erforderlich ist, es sei denn, dass schutzwürdige Interessen der betroffenen Person überwiegen. (4) Die in Artikel 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.

§ 18 Verarbeitung personenbezogener BeschäftigtendatenVerarbeiten öffentliche Stellen personenbezogene Beschäftigtendaten im Beschäftigungskontext, gelten in Ergänzung zur Verordnung (EU) 2016/679 §§ 26, 32 bis 37, 41, 43 und 44 des Bundesdatenschutzgesetzes in der jeweils geltenden Fassung entsprechend.

§ 19 Verarbeitung personenbezogener Daten zu Zwecken der freien Meinungsäußerung und der Informationsfreiheit(1) Soweit personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken, einschließlich der rechtmäßigen Verarbeitung auf Grund der §§ 22 und 23 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie in der im Bundesgesetzblatt Teil III, Gliederungsnummer 440-3, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 3 § 31 des Gesetzes vom 16. Februar 2001 (BGBl. I S. 266) geändert worden ist, verarbeitet werden, gelten von Kapitel II bis VII sowie IX der Verordnung (EU) 2016/679 nur Artikel 5 Absatz 1 Buchstabe f sowie Artikel 24 und 32. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass die Haftung nur Schäden umfasst, die durch eine Verletzung des Datengeheimnisses oder durch unzureichende technische oder organisatorische Maßnahmen im Sinne des Artikels 5 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 eintreten.(2) Führt die Verarbeitung personenbezogener Daten gemäß Absatz 1 Satz 1 zur Verbreitung von Gegendarstellungen der betroffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, sind diese zu den gespeicherten Daten zu nehmen und dort für dieselbe Zeitdauer aufzubewahren, wie die Daten selbst, und bei einer Übermittlung der Daten gemeinsam zu übermitteln.

§ 2 Anwendungsbereich(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts im Sinne des § 28 des Allgemeinen Zuständigkeitsgesetzes (öffentliche Stellen).(2) Als öffentliche Stellen gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen das Land Berlin mit absoluter Mehrheit der Anteile oder mit absoluter Mehrheit der Stimmen beteiligt ist. Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.(3) Das Abgeordnetenhaus, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten.(4) Für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit zuständigen öffentlichen Stellen gelten nur Teil 1 und Teil 3 dieses Gesetzes, soweit diese Stellen personenbezogene Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.(6) Abweichend von den Absätzen 1 und 2 gelten öffentliche Stellen, soweit diese als Unternehmen am Wettbewerb teilnehmen, als nicht-öffentliche Stellen. Insoweit sind für sie nur die Regelungen der §§ 4 bis 6 und § 20 sowie § 22 anwendbar. Im Übrigen finden für sie die für nicht-öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) in der jeweils geltenden Fassung Anwendung mit Ausnahme von § 4 und § 38 des Bundesdatenschutzgesetzes.(7) Abweichend von Absatz 1 gilt § 19 auch für nicht-öffentliche Stellen, soweit diese personenbezogene Daten in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit zu journalistischen, künstlerischen oder literarischen Zwecken verarbeiten. Dies gilt nicht, soweit die Verarbeitung ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erfolgt.(8) Besondere Rechtsvorschriften über den Datenschutz gehen den Bestimmungen dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung.(9) Für Verarbeitungen personenbezogener Daten im Rahmen von Tätigkeiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen, finden die Verordnung (EU) 2016/679 und Teil 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in Teil 4 oder in einem anderen Gesetz Abweichendes geregelt ist.(10) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedsstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.(11) Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.

§ 20 Videoüberwachung(1) Die Verarbeitung personenbezogener Daten in öffentlich zugänglichen Räumen mit Hilfe optisch-elektronischer Einrichtungen (Videoüberwachung) ist zulässig, soweit sie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. (2) Videoüberwachte Bereiche sind so zu kennzeichnen, dass Personen vor dem Betreten über den Umstand der Videoüberwachung sowie über den Namen und die Kontaktdaten des Verantwortlichen informiert werden. (3) Eine Verarbeitung zu anderen Zwecken ist nur zulässig, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. (4) Für die Verarbeitung personenbezogener Daten aus öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs gilt abweichend von Absatz 3, dass 1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies für die Verhütung oder Verfolgung von Straftaten erforderlich ist, und2. für diesen Zweck ihre Übermittlung ausschließlich an den Polizeipräsidenten in Berlin und an die Strafverfolgungsbehörden zulässig ist. Der Verantwortliche hat durch ein mit dem Polizeipräsidenten in Berlin abzustimmendes Sicherheitskonzept zu gewährleisten, dass Aufzeichnungen spätestens nach 48 Stunden gelöscht werden, sofern deren Speicherung nicht für einen der Zwecke des Satzes 1 Nummer 1 erforderlich ist. (5) Unbeschadet der Verpflichtung des Verantwortlichen zur Löschung auf Grund anderer Vorschriften sind nach Absatz 1 erhobene personenbezogene Daten unverzüglich zu löschen, wenn schutzwürdige Interessen der betroffenen Person einer weiteren Speicherung entgegenstehen.

§ 21 Gemeinsames Verfahren und automatisiertes Verfahren auf Abruf(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in oder aus einem gemeinsamen Datenbestand (gemeinsames Verfahren) oder die Übermittlung an Dritte auf Abruf (automatisiertes Verfahren auf Abruf) ermöglicht, ist nur zulässig, soweit dieses Verfahren unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vor der Einrichtung zu unterrichten. Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn die Einrichtung durch Gesetz oder auf Grund eines Gesetzes zugelassen ist. (2) Unbeschadet des Artikels 26 der Verordnung (EU) 2016/679 ist für gemeinsame Verfahren insbesondere festzulegen, welche Verfahrensweise angewendet wird und welche Stelle jeweils für die Festlegung, Änderung, Fortentwicklung und Einhaltung von fachlichen und technischen Vorgaben für das gemeinsame Verfahren verantwortlich ist. (3) Nicht-öffentliche Stellen können sich an gemeinsamen Verfahren und automatisierten Abrufverfahren beteiligen, wenn eine Rechtsvorschrift dies zulässt und sie sich insoweit den Vorschriften dieses Gesetzes unterwerfen. (4) Für die Einrichtung gemeinsamer Verfahren und automatisierter Abrufverfahren für verschiedene Zwecke innerhalb einer öffentlichen Stelle gelten die Absätze 1 und 2 entsprechend. (5) Die Absätze 1 bis 4 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung offen stehen oder deren Veröffentlichung zulässig wäre. (6) Die Absätze 1, 3 und 5 gelten für die Zulassung regelmäßiger automatisierter Datenübermittlungen entsprechend.

§ 22 Fernmess- und Fernwirkdienste(1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) in Wohnungen oder Geschäftsräumen nur vornehmen oder mittels einer Übertragungseinrichtung in Wohnungen oder Geschäftsräumen andere Wirkungen nur auslösen (Fernwirkdienste), wenn die betroffene Person zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes der Dienste unterrichtet worden ist und nach der Unterrichtung schriftlich oder elektronisch eingewilligt hat. Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung. (2) Die Einrichtung von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die betroffene Person in zumutbarer Weise erkennen kann, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist, und wenn der Teilnehmer den Dienst jederzeit abschalten kann, soweit dies mit dem Vertragszweck vereinbar ist. (3) Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, dass die betroffene Person nach Absatz 1 Satz 1 einwilligt. Wird die Einwilligung verweigert oder widerrufen, dürfen der betroffenen Person keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen. (4) Soweit im Rahmen von Fernmess- und Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Artikel 7 und 8 der Verordnung (EU) 2016/679 bleiben unberührt.

§ 23 Informationspflicht bei Erhebung von personenbezogenen Daten(1) Neben den in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen besteht keine Pflicht zur Information der betroffenen Person über die Erhebung ihrer personenbezogenen Daten, sofern die Erteilung der Information hinter dem öffentlichen Interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter aus zwingenden Gründen zurücktreten muss. Ein Fall des Satzes 1 liegt insbesondere vor, wenn die Erteilung der Information 1. die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes erhebliche Nachteile bereiten würde,2. die Verfolgung von Straftaten und Ordnungswidrigkeiten gefährden würde oder3. dazu führen würde, dass Tatsachen, die nach einer öffentlichen Interessen dienenden Rechtsvorschrift oder zum Schutz der Rechte und Freiheiten anderer Personen geheim zu halten sind, aufgedeckt werden. (2) Die Entscheidung über das Absehen von der Information trifft die Leitung der öffentlichen Stelle oder eine von ihr bestimmte, bei der öffentlichen Stelle beschäftigte Person. Die Gründe für ein Absehen von der Information sind zu dokumentieren und der oder dem behördlichen Datenschutzbeauftragten mitzuteilen. Der Verantwortliche ergreift auch weitere geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. (3) Unterbleibt die Information in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist ab Fortfall des Hinderungsgrundes nach, spätestens jedoch nach Ablauf von zwei Wochen. (4) Der Rechnungshof ist zur Erteilung von Informationen nach Artikel 14 der Verordnung (EU) 2016/679 nicht verpflichtet, soweit er im Rahmen seiner unabhängigen Tätigkeit personenbezogene Daten verarbeitet.

§ 24 Auskunftsrecht der betroffenen Person(1) Unbeschadet von § 17 Absatz 4 besteht das Recht der betroffenen Person auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 nicht, sofern die Erteilung der Auskunft hinter dem öffentlichen Interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter aus zwingenden Gründen zurücktreten muss. Ein Fall des Satzes 1 liegt insbesondere vor, wenn die Erteilung der Auskunft 1. die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes erhebliche Nachteile bereiten würde,2. die Verfolgung von Straftaten und Ordnungswidrigkeiten gefährden würde oder3. dazu führen würde, dass Tatsachen, die nach einer öffentlichen Interessen dienenden Rechtsvorschrift oder zum Schutz der Rechte und Freiheiten anderer Personen geheim zu halten sind, aufgedeckt werden. Die betroffene Person kann keine Auskunft über personenbezogene Daten verlangen, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind und deren Verarbeitung durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. (2) Bezieht sich das Auskunftsersuchen auf personenbezogene Daten, die von Stellen des Verfassungsschutzes, der Gerichte, der Staatsanwaltschaft und der Polizei oder von Landesfinanzbehörden, soweit diese personenbezogene Daten für Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder zu Zwecken der Strafverfolgung speichern, sowie vom Bundesnachrichtendienst, des Amtes für den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, von anderen Behörden im Geschäftsbereich des für Verteidigung zuständigen Bundesministeriums übermittelt wurden, ist eine Auskunft nur mit Zustimmung dieser Stellen zulässig. Gleiches gilt für die Erteilung einer Auskunft, die sich auf die Übermittlung personenbezogener Daten an diese Stellen bezieht. Hierfür dürfen personenbezogene Daten der betroffenen Person im erforderlichen Umfang verarbeitet werden. Die Zustimmung nach Satz 1 und 2 darf nur versagt werden, wenn dies zum Schutz der in Artikel 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 genannten Rechtsgüter notwendig ist. (3) Die vollständige oder teilweise Ablehnung eines Antrags auf Auskunft bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. Sowohl die Entscheidung über die Ablehnung des Antrags auf Auskunft als auch die Entscheidung über das Absehen von der Begründung obliegt der Leiterin oder dem Leiter des für die Datenverarbeitung Verantwortlichen. Die Entscheidung kann an eine der Leitung unmittelbar nachgeordnete Person übertragen werden. Die Gründe der Ablehnung sind zu dokumentieren. Soweit der Antrag auf Auskunft abgelehnt wird, hat der Verantwortliche die betroffene Person darauf hinzuweisen, dass sie ihr Auskunftsrecht auch über die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit ausüben kann. Macht die betroffene Person von ihrem Recht nach Satz 5 Gebrauch, ist auf ihr Verlangen der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit die Auskunft zu erteilen, soweit nicht die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie oder ihn stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Ausnahme zugestimmt hat. (4) Unterbleibt die Auskunft in den Fällen des Absatzes 1 wegen eines vorübergehenden Hinderungsgrundes, kommt der Verantwortliche der Auskunftspflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen Frist ab Fortfall des Hinderungsgrundes nach, spätestens jedoch nach Ablauf von zwei Wochen. (5) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffentliche Stelle nicht automatisiert verarbeitet werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht. (6) Sind personenbezogene Daten in Akten gespeichert, so kann die betroffene Person bei der datenverarbeitenden Stelle zusätzlich zu der Auskunft nach Artikel 15 der Verordnung (EU) 2016/679 Einsicht in die Akten verlangen. Werden die Akten nicht zur betroffenen Person geführt, so können Hinweise zum Auffinden der zur betroffenen Person gespeicherten personenbezogenen Daten gefordert werden, wenn das Auffinden auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre. Die Einsichtnahme ist grundsätzlich unzulässig, wenn die Daten der betroffenen Person mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, dass ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. Im Übrigen gelten für die Verweigerung der Einsicht in die Akten die Absätze 1 bis 3 entsprechend. (7) Der Senat legt dem Abgeordnetenhaus bis zum 30. Juni 2020 einen Bericht über die Anwendung der Absätze 1 bis 5 vor. (8) Der Rechnungshof ist zur Erteilung von Auskünften nach Artikel 15 der Verordnung (EU) 2016/679 nicht verpflichtet, soweit er im Rahmen seiner unabhängigen Tätigkeit personenbezogene Daten verarbeitet.

§ 25 Recht auf LöschungSoweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, sind personenbezogene Daten zu löschen, wenn die Übernahme der angebotenen Unterlagen von dem öffentlichen Archiv als nicht archivwürdig abgelehnt oder wenn nach Ablauf der in § 7 Absatz 1 Satz 2 des Archivgesetzes des Landes Berlin vom 14. März 2016 (GVBl. S. 96) bestimmten Frist nach dem Angebot keine Entscheidung über die Archivwürdigkeit getroffen wurde. Soweit eine Verpflichtung nach Satz 1 besteht, tritt an die Stelle des Rechts auf Löschung nach Artikel 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 die Verpflichtung des Verantwortlichen, die Unterlagen unverzüglich dem öffentlichen Archiv anzubieten.

§ 26 Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung(1) Soweit die Verarbeitung personenbezogener Daten automatisiert erfolgt, hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Maßnahmen zu ergreifen, die gewährleisten, dass 1. personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können,2. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat,3. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können und4. bei der Bereitstellung personenbezogener Daten eine Trennung der Daten nach den jeweils verfolgten Zwecken und betroffenen Personen möglich ist. (2) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und in einem Datenschutzkonzept zu dokumentieren. Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen. (3) Werden Systeme und Dienste, die für Verarbeitungen nach Absatz 1 genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung erforderlichen personenbezogenen Daten zugegriffen werden kann. Diese Maßnahmen müssen insbesondere Folgendes gewährleisten: 1. die Wartung darf nur durch autorisiertes Personal erfolgen,2. jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,3. die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern und4. es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können. Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Verordnung (EU) 2016/679 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des Artikels 45 oder 46 der Verordnung (EU) 2016/679 vorliegen.(4) Die Regelungen der Verordnung (EU) 2016/679 werden durch die Absätze 1 bis 3 nicht eingeschränkt.

§ 27 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen PersonErgänzend zu Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 gilt § 23 Absatz 1 für die Verpflichtung des Verantwortlichen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person zu benachrichtigen, entsprechend.

§ 28 GeldbußenGegen öffentliche Stellen im Sinne des § 2 Absatz 1 und 2 sowie Stellen, die nach § 2 Absatz 3 den Bestimmungen dieses Gesetzes unterliegen, werden keine Geldbußen verhängt.

§ 29 Ordnungswidrigkeiten, Strafvorschriften(1) Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes sowie anderer Vorschriften über den Datenschutz personenbezogene Daten, die nicht offenkundig sind, unbefugt verarbeitet. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden. (2) Wer die in Absatz 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder eine andere Person zu bereichern oder zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft. (3) Die Tat nach Absatz 2 wird nur auf Antrag verfolgt. Antragsberechtigt ist die betroffene Person, der Verantwortliche und die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit. (4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Straf- oder Bußgeldverfahren gegen die meldepflichtige oder benachrichtigende Person oder deren in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung der meldepflichtigen oder benachrichtigenden Person verwendet werden.

§ 3 Verarbeitung personenbezogener DatenDie Verarbeitung personenbezogener Daten ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. Diese Regelung tritt am 30. Juni 2020 außer Kraft.

§ 30 Anwendungsbereich(1) Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. (2) Absatz 1 findet zudem Anwendung auf diejenigen öffentlichen Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. (3) Soweit Teil 3 Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.

§ 31 BegriffsbestimmungenEs bezeichnen die Begriffe: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;7. „Verantwortlicher“ die juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;10. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden;11. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;12. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;13. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;14. „besondere Kategorien personenbezogener Daten“a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,b) genetische Daten,c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,d) Gesundheitsdaten unde) Daten zum Sexualleben oder zur sexuellen Orientierung; 15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;16. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;17. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

§ 32 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten(1) Personenbezogene Daten müssen 1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung darf nicht außer Verhältnis zu diesem Zweck stehen,4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden und5. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. (2) Personenbezogene Daten dürfen nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht. (3) Der Verantwortliche ist für die Einhaltung der Absätze 1 und 2 verantwortlich und muss deren Einhaltung nachweisen können. Dies gilt entsprechend für die Regelungen in § 34 und § 35 Absatz 1 bis 3.

§ 33 Verarbeitung besonderer Kategorien personenbezogener Daten(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie erforderlich ist 1. zur Aufgabenerfüllung,2. zur Wahrung lebenswichtiger Interessen einer natürlichen Person oder3. wenn sie sich auf Daten bezieht, die von der betroffenen Person offensichtlich öffentlich gemacht wurden. (2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein 1. verbindliche Verfahrensvorschriften, die spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle festlegen,2. die Festlegung von besonderen Aussonderungsprüffristen,3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,5. die von anderen Daten getrennte Verarbeitung,6. die Pseudonymisierung personenbezogener Daten,7. die Verschlüsselung personenbezogener Daten oder8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

§ 34 Verarbeitung zu anderen ZweckenEine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 30 Absatz 1 und 2 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener Daten zu einem anderen, in § 30 Absatz 1 und 2 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.

§ 35 Verarbeitung zu wissenschaftlichen, historischen, archivarischen und statistischen Zwecken(1) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten, ist auch ohne Einwilligung für die Erfüllung einer der in § 30 Absatz 1 und 2 genannten Aufgaben zu im öffentlichen Interesse liegenden, wissenschaftlichen oder historischen Forschungszwecken oder für archivarische oder statistische Zwecke zulässig, wenn das öffentliche Interesse an der Durchführung des Vorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der jeweilige Zweck nicht auf andere Weise erreicht werden kann. Nach Satz 1 übermittelte Daten dürfen nicht für andere Zwecke verarbeitet werden. (2) Der Verantwortliche sieht geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vor. Die Daten sind insbesondere zu anonymisieren, sobald dies nach dem jeweiligen Zweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis eine Anonymisierung erfolgt, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der jeweilige Zweck dies erfordert. Sie sind zu löschen, sobald der jeweilige Zweck erreicht ist. (3) Die in den §§ 41 bis 44 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beeinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Auskunftsrecht nach § 43 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. (4) Diese Regelung tritt am 30. September 2025 außer Kraft.

§ 36 Einwilligung(1) Soweit die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf der Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung der betroffenen Person nachweisen können. (2) Erfolgt die Einwilligung der betroffenen Person durch schriftliche oder elektronische Erklärung und betrifft diese Erklärung noch andere Sachverhalte, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen. (4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Die betroffene Person ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern kann. (5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

§ 37 Verarbeitung auf Weisung des VerantwortlichenJede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.

§ 38 DatengeheimnisMit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.

§ 39 Automatisierte Einzelentscheidung(1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist, die geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bietet, zumindest aber das Recht auf persönliches Eingreifen seitens des Verantwortlichen. (2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden. (3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.

§ 4 Benennung(1) Öffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen, die am Wettbewerb teilnehmen. (2) Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden. (3) Für die auf Grund Absatz 1 Satz 1 oder Absatz 2 benannte Person wird eine Vertreterin oder ein Vertreter benannt. Für die Vertreterin oder den Vertreter gelten die Vorschriften dieses Kapitels entsprechend. (4) Die oder der Datenschutzbeauftragte wird auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens benannt, das sie oder er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner Fähigkeit zur Erfüllung der in § 6 genannten Aufgaben. (5) Die oder der Datenschutzbeauftragte kann Beschäftigte oder Beschäftigter der öffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. (6) Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit mit.

§ 40 Gemeinsames Verfahren und automatisiertes Verfahren auf AbrufDie Vorschrift des § 21 findet mit der Maßgabe Anwendung, dass § 49 an die Stelle des Artikels 26 der Verordnung (EU) 2016/679 tritt. Zudem findet § 16 Absatz 2 Anwendung.

§ 41 Allgemeine Informationen zu DatenverarbeitungenDer Verantwortliche hat für jedermann zugänglich zumindest Informationen zur Verfügung zu stellen über 1. die Zwecke der von ihm vorgenommenen Verarbeitungen,2. die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,3. den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten,4. das Recht, die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit anzurufen und5. die Erreichbarkeit der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit.

§ 42 Benachrichtigung betroffener Personen(1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten Maßnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die folgenden Angaben zu enthalten: 1. die in § 41 genannten Angaben,2. die Rechtsgrundlage der Verarbeitung,3. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,4. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten, bei Übermittlungen an Empfänger in Drittländern oder internationale Organisationen auch Angaben dazu sowie5. erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen Daten ohne Wissen der betroffenen Person erhoben wurden. (2) In den Fällen des Absatzes 1 kann der Verantwortliche die Benachrichtigung insoweit und solange aufschieben, einschränken oder unterlassen, wie andernfalls 1. die Erfüllung der in § 30 Absatz 1 und 2 genannten Aufgaben,2. die öffentliche Sicherheit oder3. Rechtsgüter Dritter gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse der betroffenen Person überwiegt. (3) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (4) Im Fall der Einschränkung nach Absatz 2 gilt § 43 Absatz 7 entsprechend.

§ 43 Auskunftsrecht(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über 1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,2. die verfügbaren Informationen über die Herkunft der Daten,3. die Zwecke der Verarbeitung und deren Rechtsgrundlage,4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, bei Übermittlungen an Empfänger in Drittländern oder internationale Organisationen auch Angaben dazu,5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,7. das Recht nach § 46, die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit anzurufen,8. Angaben zur Erreichbarkeit der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie9. das Bestehen einer automatisierten Entscheidungsfindung und Informationen über die involvierte Logik. (2) Absatz 1 gilt nicht für personenbezogene Daten, die in der Verarbeitung eingeschränkt sind und die nur deshalb verarbeitet werden, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. (3) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffentliche Stelle nicht automatisiert verarbeitet werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht. (4) Der Verantwortliche kann unter den Voraussetzungen des § 42 Absatz 2 von der Auskunft nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder vollständig einschränken. (5) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (6) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 42 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde. (7) Wird die betroffene Person nach Absatz 6 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit ausüben. Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 46 die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit anrufen oder gerichtlichen Rechtsschutz suchen kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zu erteilen, soweit nicht die zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie oder ihn stattgefunden hat. Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden Auskunft zustimmt. Der Verantwortliche darf die Zustimmung nur insoweit und solange verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschränken könnte. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat zudem die betroffene Person über ihr Recht auf gerichtlichen Rechtsschutz zu unterrichten. (8) Der Verantwortliche hat die sachlichen und rechtlichen Gründe für die Entscheidung zu dokumentieren.

§ 44 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist. (2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen. (3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn 1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 30 Absatz 1 oder 2 dienen, weiter aufbewahrt werden müssen oder3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck, der ihrer Löschung entgegenstand oder sonst mit Einwilligung der betroffenen Person verarbeitet werden. (4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist. (5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er der öffentlichen Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen. Die Empfänger haben die Daten in eigener Verantwortung zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken. (6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung, Vervollständigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 42 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde. (7) § 43 Absatz 7 und 8 findet entsprechende Anwendung.

§ 45 Verfahren für die Ausübung der Rechte der betroffenen Person(1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet besonderer Formvorschriften und insbesondere der Anforderungen gemäß § 50 Absatz 3 Satz 1 Nummer 8 soll er bei der Beantwortung von Anträgen grundsätzlich die für den Antrag gewählte Form verwenden. (2) Bei Anträgen hat der Verantwortliche die betroffene Person unbeschadet des § 43 Absatz 6 und des § 44 Absatz 6 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren wurde. (3) Die Erteilung von Informationen nach § 41, die Benachrichtigungen nach den §§ 42 und 52 und die Bearbeitung von Anträgen nach den §§ 43 und 44 erfolgen unentgeltlich. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 43 und 44 kann der Verantwortliche entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, auf Grund des Antrags tätig zu werden. In diesem Fall muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des Antrags belegen können. (4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den §§ 43 oder 44 gestellt hat, soll er von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.

§ 46 Anrufung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch öffentliche Stellen zu den in § 30 genannten Zwecken in ihren Rechten verletzt worden zu sein. Dies gilt nicht für die Verarbeitung von personenbezogenen Daten durch die Gerichte, soweit diese die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 47 hinzuweisen. (2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer Aufsichtsbehörde des Bundes, eines anderen Landes oder in einem anderen Mitgliedstaat der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.

§ 47 Rechtsschutz gegen Entscheidungen oder bei Untätigkeit der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit(1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine sie betreffende verbindliche Entscheidung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit vorgehen. (2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit mit einer Beschwerde nach § 46 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

§ 48 Auftragsverarbeitung(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen. (2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird. (3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen. (4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon auf Grund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters. (5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter 1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen unverzüglich zu informieren;2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht;5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß § 62 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt;6. Überprüfungen, die von dem Verantwortlichen oder einer oder einem von diesem beauftragten Prüferin oder Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;8. alle gemäß § 50 erforderlichen Maßnahmen ergreift und9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in §§ 50 bis 53 und 55 genannten Pflichten unterstützt. (6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen. (7) Die Absätze 1 bis 6 gelten entsprechend, wenn die Wartung automatisierter Verfahren durch Dritte im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. (8) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

§ 49 Gemeinsam VerantwortlicheLegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen.

§ 5 Stellung(1) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. (2) Die öffentliche Stelle unterstützt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 6, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt. (3) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Die oder der Datenschutzbeauftragte berichtet unmittelbar der höchsten Leitungsebene der öffentlichen Stelle. Die oder der Datenschutzbeauftragte darf von der öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden. (4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. (5) Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Personen sowie über Umstände, die Rückschlüsse auf die betroffenen Personen zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffenen Personen befreit wird. (6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

§ 50 Anforderungen an die Sicherheit der Datenverarbeitung(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. (2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass 1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können. (3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken: 1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns, Löschens oder Entfernens von Datenträgern (Datenträgerkontrolle),3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit). Eine geeignete Maßnahme, die zur Verwirklichung der Zwecke nach Satz 1 Nummer 2 bis 5 und 8 beiträgt, besteht in der Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. (4) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung einer automatisierten Verarbeitung personenbezogener Daten sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse zu ermitteln und in einem Datenschutzkonzept zu dokumentieren. Entsprechend der technischen Entwicklung und bei Änderungen der mit den Verarbeitungsvorgängen verbundenen Risiken ist die Ermittlung der Maßnahmen in angemessenen Abständen zu wiederholen. (5) Werden Systeme und Dienste, die für automatisierte Verarbeitungen genutzt werden, gewartet, so ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann. Diese Maßnahmen müssen insbesondere Folgendes gewährleisten: 1. die Wartung darf nur durch autorisiertes Personal erfolgen,2. jeder Wartungsvorgang darf nur mit Wissen und Wollen der speichernden Stelle erfolgen,3. die unbefugte Entfernung oder Übertragung personenbezogener Daten im Rahmen der Wartung ist zu verhindern,4. es ist sicherzustellen, dass alle Wartungsvorgänge kontrolliert und nach der Durchführung nachvollzogen werden können. Soweit eine Wartung durch Auftragsverarbeiter erfolgt, muss der Vertrag oder das Rechtsinstrument nach § 48 Absatz 5 Regelungen enthalten, die sicherstellen, dass der Auftragsverarbeiter keine personenbezogenen Daten, die ihm zur Kenntnis gelangen, an andere Stellen übermittelt. Die Durchführung von Wartungsarbeiten mit der Möglichkeit der Kenntniserlangung personenbezogener Daten durch Stellen außerhalb des Geltungsbereichs der Richtlinie (EU) 2016/680 ist nur zulässig, wenn sie erforderlich sind und bei einer Übermittlung die Voraussetzungen des § 64 oder 65 vorliegen.

§ 51 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zu melden, es sei denn, dass die Verletzung voraussichtlich zu keiner Gefahr für die Rechtsgüter natürlicher Personen führt. Erfolgt die Meldung an die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit nicht innerhalb von 72 Stunden, ist die Verzögerung zu begründen. (2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden. (3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten: 1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,2. den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen. (5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen. (6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln. (7) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.

§ 52 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen. (2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 51 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten. (3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn 1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht, oder3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat. (5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 42 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person auf Grund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.

§ 53 Durchführung einer Datenschutz-Folgenabschätzung(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen. (2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden. (3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen. (4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten: 1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen. (5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.

§ 54 Zusammenarbeit mit der oder dem Berliner Beauftragten für Datenschutz und InformationsfreiheitDer Verantwortliche hat mit der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit bei der Erfüllung ihrer oder seiner Aufgaben zusammenzuarbeiten.

§ 55 Anhörung der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit anzuhören, wenn 1. aus einer Datenschutz-Folgenabschätzung nach § 53 hervorgeht, dass die Verarbeitung trotz Abhilfemaßnahmen eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte oder2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen. (2) Der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit sind im Falle des Absatzes 1 vorzulegen: 1. die nach § 53 durchgeführte Datenschutz-Folgenabschätzung,2. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,3. Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,4. Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen Maßnahmen und Garantien und5. Name und Kontaktdaten der oder des Datenschutzbeauftragten. Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können. (3) Falls die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren. (4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.

§ 56 Verzeichnis von Verarbeitungstätigkeiten(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten: 1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,2. die Zwecke der Verarbeitung,3. die Herkunft regelmäßig empfangener personenbezogener Daten,4. Angaben über die Rechtsgrundlage der Verarbeitung,5. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,6. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,7. gegebenenfalls die Verwendung von Profiling,8. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation sowie geplante Übermittlungen,9. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten,10. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 50 und11. Kategorien zugriffsberechtigter Personen oder Personengruppen. (2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat: 1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls der oder des Datenschutzbeauftragten,2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 50. (3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen. (4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit zur Verfügung zu stellen.

§ 57 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen(1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten (Datensparsamkeit). Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist. (2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

§ 58 Unterscheidung zwischen verschiedenen Kategorien betroffener PersonenDer Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien: 1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,3. strafrechtlich Verurteilte,4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und5. andere Personen im Zusammenhang mit einer Straftat oder Personen, die mit den in den Nummern 1 bis 3 genannten Personen in Kontakt oder in Verbindung stehen.

§ 59 Unterscheidung zwischen Tatsachen und persönlichen EinschätzungenDer Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persönlichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persönlichen Einschätzung beruhenden Beurteilung zugrunde liegen.

§ 6 Aufgaben(1) Der oder dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: 1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 53;4. Zusammenarbeit mit der Aufsichtsbehörde;5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß § 55 und gegebenenfalls Beratung zu allen sonstigen Fragen. (2) Die in Absatz 1 genannten Aufgaben der oder des Datenschutzbeauftragten beziehen sich nicht auf die Verarbeitung von personenbezogenen Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit und durch den Rechnungshof im Rahmen seiner unabhängigen Tätigkeit. (3) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (4) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

§ 60 Verfahren bei Übermittlungen(1) Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen. (2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden. (3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels V des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union errichtet wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.

§ 61 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung(1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind und unvollständige Daten zu vervollständigen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist. (2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist. (3) § 44 Absatz 3 bis 5 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem Empfänger mitzuteilen. (4) Unbeschadet von in Rechtsvorschriften festgesetzten Höchstspeicher- oder Löschfristen hat der Verantwortliche für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten werden.

§ 62 Protokollierung(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren: 1. Erhebung,2. Veränderung,3. Abfrage,4. Offenlegung einschließlich Übermittlung,5. Kombination und6. Löschung. (2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen. (3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden. (4) Die Protokolldaten sind nach Ablauf von zwei Jahren seit ihrer Erstellung zu löschen. (5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen.

§ 63 Vertrauliche Meldung von VerstößenDer Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.

§ 64 Allgemeine Voraussetzungen(1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn 1. die Stelle oder internationale Organisation für die in § 30 Absatz 1 und 2 genannten Zwecke zuständig ist und2. die Europäische Kommission gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat. (2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert. (3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaats genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die für die Erteilung der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu unterrichten. (4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu berücksichtigen, insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung und das in dem Drittstaat oder der internationalen Organisation, an den oder an die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung an den anderen Drittstaat oder die andere internationale Organisation zulässig wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt werden.

§ 65 Datenübermittlung bei geeigneten Garantien(1) Liegt entgegen § 64 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 64 auch dann zulässig, wenn 1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder2. der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen. (2) Der Verantwortliche hat Übermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. Die Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen. (3) Der Verantwortliche hat die Berliner Beauftragte oder den Berliner Beauftragten für Datenschutz und Informationsfreiheit jährlich über Übermittlungen zu unterrichten, die auf Grund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.

§ 66 Datenübermittlung ohne geeignete Garantien(1) Liegt entgegen § 64 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des § 65 Absatz 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 64 auch dann zulässig, wenn die Übermittlung erforderlich ist 1. zum Schutz lebenswichtiger Interessen einer natürlichen Person,2. zur Wahrung berechtigter Interessen der betroffenen Person,3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,4. im Einzelfall für die in § 30 genannten Zwecke oder5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 30 genannten Zwecken. (2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen. (3) Für Übermittlungen nach Absatz 1 gilt § 65 Absatz 2 und 3 entsprechend.

§ 67 Sonstige Datenübermittlung an Empfänger in Drittstaaten(1) Der Verantwortliche kann bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 64 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung seiner Aufgaben erforderlich ist und 1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,2. er die Übermittlung an die in § 64 Absatz 1 Nummer 1 genannten Stellen für wirkungslos oder ungeeignet hält, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und3. er dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist. (2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 64 Absatz 1 Nummer 1 genannten Behörden unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos oder ungeeignet ist. (3) Für Übermittlungen nach Absatz 1 gilt § 65 Absatz 2 und 3 entsprechend. (4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten, die übermittelten personenbezogenen Daten nur für den Zweck zu verarbeiten, für den sie übermittelt worden sind. (5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit bleiben unberührt.

§ 68 Gegenseitige Amtshilfe(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat den Datenschutzaufsichtsbehörden des Bundes und der Länder sowie in den anderen Mitgliedstaaten der Europäischen Union Informationen zu übermitteln und Amtshilfe zu leisten, soweit dies für eine einheitliche Umsetzung und Anwendung der Richtlinie (EU) 2016/680 erforderlich ist. Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme von Nachprüfungen und Untersuchungen. (2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat alle geeigneten Maßnahmen zu ergreifen, um Amtshilfeersuchen unverzüglich und spätestens innerhalb eines Monats nach deren Eingang nachzukommen. (3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit darf Amtshilfeersuchen nur ablehnen, wenn 1. sie oder er für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie oder er durchführen soll, nicht zuständig ist oder2. ein Eingehen auf das Ersuchen gegen Rechtsvorschriften verstoßen würde. (4) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die ersuchende Aufsichtsbehörde des anderen Staates über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren, die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie oder er hat im Fall des Absatzes 3 die Gründe für die Ablehnung des Ersuchens zu erläutern. (5) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die Informationen, um die sie oder er von der Aufsichtsbehörde des anderen Staates ersucht wurde, in der Regel elektronisch und in einem standardisierten Format zu übermitteln. (6) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Amtshilfeersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbehörde des Bundes, des jeweiligen Landes oder des anderen Mitgliedstaates der Europäischen Union die Erstattung entstandener Ausgaben vereinbart hat. (7) Ein Amtshilfeersuchen der oder des Berliner Beauftragten für Datenschutz und Informationsfreiheit hat alle erforderlichen Informationen zu enthalten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.

§ 69 Schadensersatz und Entschädigung(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach einer nach Maßgabe der Richtlinie (EU) 2016/680 erlassenen Vorschrift rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht-automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist. (2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen. (3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welcher von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger. (4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.(5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.

§ 7 ErrichtungDie oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist eine oberste Landesbehörde.

§ 70 Ordnungswidrigkeiten, StrafvorschriftenFür Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten nach § 30 Absatz 1 Satz 1 oder Absatz 2 findet § 29 entsprechende Anwendung.

§ 71 Öffentliche Auszeichnungen und Ehrungen(1) Zur Vorbereitung und Durchführung öffentlicher Auszeichnungen oder Ehrungen dürfen die zuständigen Stellen sowie die von ihnen besonders beauftragten Stellen die dazu erforderlichen personenbezogenen Daten einschließlich besonderer Kategorien personenbezogener Daten auch ohne Kenntnis der betroffenen Person verarbeiten. Die Verarbeitung dieser Daten für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig. (2) Auf Anforderung der in Absatz 1 genannten Stellen dürfen andere öffentliche Stellen die zur Vorbereitung der Auszeichnung oder Ehrung erforderlichen Daten übermitteln. (3) Die Artikel 13, 14, 15 und 19 der Verordnung (EU) 2016/679 sind nicht anzuwenden.

§ 72 Übergangsvorschriften(1) Vor dem 6. Mai 2016 eingerichtete automatisierte Verarbeitungssysteme sind in Ausnahmefällen, in denen dies mit einem unverhältnismäßigen Aufwand verbunden ist, spätestens bis zum 6. Mai 2023 mit § 62 Absatz 1 und 2 in Einklang zu bringen. (2) Die oder der zum Zeitpunkt des Inkrafttretens dieses Gesetzes im Amt befindliche Berliner Beauftragte für Datenschutz und Informationsfreiheit gilt als nach § 9 Absatz 1 Satz 1 ernannt. Ihre oder seine statusrechtliche Stellung bleibt unberührt. Die Amtszeit gilt nach § 9 Absatz 3 Satz 1 als zum 28. Januar 2016 begonnen. Der Aushändigung einer Ernennungsurkunde bedarf es nicht.

§ 8 Zuständigkeit(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist Aufsichtsbehörde für die öffentlichen Stellen des Landes Berlin. Die Vorschriften dieses Kapitels gelten auch für Auftragsverarbeiter, soweit sie nicht-öffentliche Stellen sind, bei denen dem Land die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Landes ist. (2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht-öffentlicher Stellen und öffentlicher Stellen, soweit diese am Wettbewerb teilnehmen. (3) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist nicht zuständig für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit oder über die vom Rechnungshof in unabhängiger Tätigkeit vorgenommenen Verarbeitungen personenbezogener Daten.

§ 9 Ernennung und Beendigung des Amtsverhältnisses(1) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit wird vom Abgeordnetenhaus mit den Stimmen der Mehrheit seiner Mitglieder gewählt und von der Präsidentin oder dem Präsidenten des Abgeordnetenhauses ernannt. Sie oder er nimmt zugleich die Aufgaben der oder des Landesbeauftragten für das Recht auf Akteneinsicht nach § 18 Absatz 1 des Berliner Informationsfreiheitsgesetzes vom 15. Oktober 1999 (GVBl. S. 561), das zuletzt durch Artikel 21 des Gesetzes vom 2. Februar 2018 (GVBl. S. 160) geändert worden ist, wahr und führt die Amts- und Funktionsbezeichnung „Berliner Beauftragter für Datenschutz und Informationsfreiheit“ in weiblicher oder männlicher Form. Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit muss über die zur Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Sie oder er muss über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst besitzen. (2) Die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit leistet vor der Präsidentin oder dem Präsidenten des Abgeordnetenhauses folgenden Eid: „Ich schwöre, mein Amt gerecht und unparteiisch getreu dem Grundgesetz, der Verfassung von Berlin und den Gesetzen zu führen und meine ganze Kraft dafür einzusetzen, so wahr mir Gott helfe.“ Der Eid kann auch ohne religiöse Beteuerung geleistet werden. (3) Die Amtszeit beträgt fünf Jahre. Das Amtsverhältnis endet mit Ablauf der Amtszeit, durch Entlassung oder Rücktritt. Nach dem Ende der Amtszeit bleibt die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit auf Aufforderung des Präsidiums des Abgeordnetenhauses bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers im Amt, längstens jedoch für neun Monate. Die einmalige Wiederwahl ist zulässig. Vor Ablauf der Amtszeit kann die oder der Berliner Beauftragte für Datenschutz und Informationsfreiheit entlassen werden, wenn sie oder er eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung der Aufgaben nicht mehr erfüllt sind.

§ 10 Erheben (1) Personenbezogene Daten sind unter der Voraussetzung des § 6 Abs. 1 und des § 6 a Abs. 1 und 2 grundsätzlich bei dem Betroffenen mit seiner Kenntnis zu erheben. (2) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist er in geeigneter Weise über den Zweck der Datenerhebung aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Werden Daten bei dem Betroffenen auf Grund einer durch Rechtsvorschrift festgelegten Auskunftspflicht erhoben, so ist er auf die Rechtsgrundlage hinzuweisen. Im übrigen ist er darauf hinzuweisen, daß er die Auskunft verweigern kann. Sind die Angaben für die Gewährung einer Leistung erforderlich, so ist er über die möglichen Folgen einer Nichtbeantwortung aufzuklären. (3) Bei Behörden und sonstigen öffentlichen Stellen dürfen Daten im Einzelfall ohne seine Kenntnis nur erhoben werden, wenn 1. eine Rechtsvorschrift dies erlaubt, 2. der Betroffene in diese Form der Erhebung eingewilligt hat oder 3. eine rechtzeitige Kenntnisgabe an den Betroffenen nicht möglich ist und keine Anhaltspunkte dafür bestehen, daß schutzwürdige Belange des Betroffenen beeinträchtigt werden könnten. (4) Beim Betroffenen und bei Dritten außerhalb des öffentlichen Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dieses vorsieht. (5) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er davon zu benachrichtigen, sobald die rechtmäßige Erfüllung der Aufgaben dadurch nicht mehr gefährdet wird. Die Benachrichtigung umfaßt die Angabe der Rechtsgrundlage und die in Absatz 2 Satz 1 und 2 vorgesehene Aufklärung.

§ 11 Zweckbindung (1) Personenbezogene Daten dürfen grundsätzlich nur zu dem Zweck weiterverarbeitet werden, zu dem sie erhoben oder gespeichert worden sind. Personenbezogene Daten, von denen eine Behörde oder sonstige öffentliche Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für Zwecke genutzt werden, für die sie erstmals gespeichert worden sind. (2) Sollen personenbezogene Daten zu Zwecken weiterverarbeitet werden, für die sie nicht erhoben oder gespeichert worden sind, so ist dies nur zulässig, wenn 1. eine der Voraussetzungen des § 6 Abs. 1 oder des § 6 a Abs. 1 oder 2 vorliegt, 2. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 3. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint. Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der datenverarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, findet Satz 1 Nr. 2 und 3 keine Anwendung. (3) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachen nicht oder nur mit unvertretbar großem Aufwand möglich ist, so tritt an die Stelle der Trennung ein Verwertungsverbot nach Maßgabe des Absatzes 2 für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung dienen. (4) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der internen Revision, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. Der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse unverzichtbar ist. Zu Aus- und Fortbildungszwecken dürfen personenbezogene Daten nur verwendet werden, wenn dies unerläßlich ist und schutzwürdige Belange des Betroffenen dem nicht entgegenstehen; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verwendet werden. (5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verwendet werden.

§ 12 Datenübermittlung innerhalb des öffentlichen Bereichs (1) Die Übermittlung personenbezogener Daten an Behörden und sonstige öffentliche Stellen ist zulässig, wenn eine der Voraussetzungen des § 11 Abs. 2 Satz 1 Nr. 1 bis 3 vorliegt. Werden die Daten von einer Behörde oder sonstigen öffentlichen Stelle zur Erfüllung des gleichen Zwecks benötigt, zu dem die Daten erhoben worden sind, ist die Übermittlung personenbezogener Daten an Behörden und sonstige öffentliche Stellen ferner zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Gesetz der übermittelnden Stelle oder der Behörde oder sonstigen öffentlichen Stelle zugewiesenen Aufgabe erforderlich ist. (2) Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgemeinschaften ist in entsprechender Anwendung der Vorschriften über die Datenübermittlung an Behörden und sonstige öffentliche Stellen zulässig, sofern sichergestellt ist, daß bei dem Empfänger hinreichende Datenschutzmaßnahmen getroffen werden. (3) Über die Zulässigkeit der Datenübermittlung entscheidet die übermittelnde Stelle.

§ 14 Datenübermittlung an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes (1) Für die Übermittlung personenbezogener Daten an Behörden oder sonstige öffentliche Stellen im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union gilt § 12 Abs. 1 entsprechend. (2) Die Übermittlung personenbezogener Daten an Behörden oder sonstige öffentliche Stellen außerhalb des Geltungsbereichs der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union ist nur zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaft oder einer internationalen Vereinbarung ausdrücklich geregelt ist und wenn ein angemessenes Datenschutzniveau gewährleistet ist. Die Angemessenheit des Datenschutzniveaus ist von der übermittelnden Stelle unter Berücksichtigung aller Umstände der beabsichtigten Datenübermittlung zu beurteilen, insbesondere nach der Art der Daten, ihrer Zweckbestimmung, der Dauer der geplanten Verarbeitung, dem Herkunfts- und dem Endbestimmungsland, den für den Empfänger geltenden Rechtsnormen sowie den für ihn geltenden Standesregeln und Sicherheitsmaßnahmen. (3) Ist in den Fällen des Absatzes 2 kein angemessenes Datenschutzniveau gewährleistet, ist eine Übermittlung personenbezogener Daten zulässig, wenn 1. der Betroffene eingewilligt hat, 2. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 3. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist, 4. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind, oder 5. für die Übermittlung oder eine Kategorie von Übermittlungen insbesondere durch eine vertragliche Vereinbarung ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte sichergestellt werden. Die Stelle, an die die Daten übermittelt werden, ist auf die Zweckbindung nach § 11 Abs. 1 hinzuweisen. (4) Die Senatsverwaltung für Inneres, der Berliner Beauftragte für Datenschutz und Informationsfreiheit und der behördliche Datenschutzbeauftragte sind über eine geplante Datenübermittlung nach den Absätzen 2 und 3 rechtzeitig zu unterrichten. Sie ist in der Dateibeschreibung nach § 19 Abs. 2 zu verzeichnen. (5) Die Absätze 2 bis 4 finden keine Anwendung, soweit im Rahmen des internationalen Rechtshilfeverkehrs personenbezogene Daten übermittelt werden, die nicht automatisiert verarbeitet werden und auch nicht in Dateien gespeichert sind oder gespeichert werden sollen. In diesem Fall ist eine Übermittlung personenbezogener Daten an Behörden oder sonstige öffentliche Stellen außerhalb des Geltungsbereichs der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union zulässig, wenn 1. die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaft oder einer internationalen Vereinbarung ausdrücklich geregelt ist oder 2. für den Empfänger gleichwertige Datenschutzregelungen gelten und bei einer Übermittlung an öffentliche Stellen die Voraussetzungen der §§ 9 und 11 erfüllt sind.

§ 15 Automatisiertes Abrufverfahren (1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten durch Dritte darf durch Behörden oder sonstige öffentliche Stellen nur eingerichtet werden, wenn ein Gesetz dies ausdrücklich zuläßt. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. (2) Der Senat setzt durch Rechtsverordnung die Einzelheiten bei der Einrichtung automatisierter Abrufverfahren fest. Die Rechtsverordnung hat den Datenempfänger, die Datenart und den Zweck des Abrufs festzulegen. Sie hat Maßnahmen zur Datensicherung und zur Kontrolle vorzusehen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. (3) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dieses gilt nicht für den Betroffenen. (4) Die Absätze 1 und 3 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffentlichung zulässig wäre. (5) Die Absätze 1, 2 und 4 sind auf die Zulassung regelmäßiger automatisierter Datenübermittlungen entsprechend anzuwenden.

§ 15 a Verbot automatisierter Einzelentscheidungen Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine Entscheidung nach Satz 1 kann durch Gesetz zugelassen werden, wenn es die Wahrung der berechtigten Interessen des Betroffenen sicherstellt.

§ 17 Berichtigung, Sperrung und Löschung von Daten, Widerspruchsrecht (1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Der Betroffene ist vor der Berichtigung zu hören. (2) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und solange sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt. Sie sind ferner zu sperren, wenn ihre Kenntnis für die datenverarbeitende Stelle zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen; sie dürfen nicht mehr verarbeitet, insbesondere übermittelt oder sonst genutzt werden, es sei denn, daß die Nutzung zu wissenschaftlichen Zwecken oder zur Behebung einer bestehenden Beweisnot unerläßlich ist und der Betroffene in die Nutzung eingewilligt hat. (3) Personenbezogene Daten sind zu löschen, wenn ihre Kenntnis für die datenverarbeitende Stelle zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. Sie sind zu löschen, wenn ihre Speicherung unzulässig war oder wenn es in den Fällen des Absatzes 2 Satz 2 der Betroffene verlangt. In den Fällen des Satzes 2 1. Alternative ist der Betroffene vor der Löschung zu hören. Das gleiche gilt, wenn die Daten ohne Beteiligung des Betroffenen erhoben wurden und eine Benachrichtigung nach § 10 Abs. 5 nicht erfolgt ist. (4) In den Fällen des Absatzes 2 Satz 2 und des Absatzes 3 Satz 1 und 2 kann die datenverarbeitende Stelle die Daten anstelle der dort vorgeschriebenen Sperrung oder Löschung einem dem öffentlichen Recht unterliegenden Archiv überantworten. Dazu ist die Einwilligung des Betroffenen in den Fällen des Absatzes 3 Satz 2 erforderlich. (5) Von der Berichtigung nach Absatz 1, der Sperrung nach Absatz 2 und der Löschung nach Absatz 3 sind unverzüglich die Stellen zu verständigen, denen die Daten im Rahmen regelmäßiger Datenübermittlung übermittelt wurden. (6) Sind personenbezogene Daten in Akten gespeichert und ist eine Sperrung nicht durch Vervielfältigen und Unkenntlichmachen möglich, so ist die Sperrung nach Absatz 2 Satz 2 nur durchzuführen, wenn die gesamte zur Person des Betroffenen geführte Akte zur Erfüllung der dort genannten Aufgaben nicht mehr erforderlich ist. Die Löschung nach Absatz 3 Satz 1 kann der Betroffene in diesem Fall nicht verlangen. (7) Wenn der Betroffene schriftlich Widerspruch gegen die Datenverarbeitung erhebt und begründet, dass der rechtmäßigen Verarbeitung seiner Daten ein schutzwürdiges besonderes persönliches Interesse entgegensteht, ist die Verarbeitung der Daten nur zulässig, wenn im Einzelfall das öffentliche Interesse an der Datenverarbeitung gegenüber dem persönlichen Interesse des Betroffenen überwiegt; dem Betroffenen ist das Ergebnis der Abwägung mit Begründung schriftlich mitzuteilen.

§ 18 Schadenersatz- und Unterlassungsanspruch (1) Wird der Betroffene durch eine nach diesem Gesetz oder anderen Rechtsvorschriften über den Datenschutz rechtswidrige Datenverarbeitung in seinen schutzwürdigen Belangen beeinträchtigt, so hat ihm diejenige Behörde oder sonstige öffentliche Stelle, die die Daten verarbeitet oder nach § 3 Abs. 1 verarbeiten läßt, den daraus entstandenen Vermögensschaden zu ersetzen. Sind weitere Rechtsverletzungen zu besorgen, so kann der Betroffene Unterlassung verlangen. In schweren Fällen kann der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen. (2) Sind an einer automatisierten Bearbeitung mehrere Stellen beteiligt und lässt sich die speichernde Stelle nicht feststellen, so haftet jede dieser Stellen. (3) Schadenersatz- und Unterlassungsansprüche auf Grund anderer Vorschriften bleiben unberührt.

§ 2 Anwendungsbereich (1) Zum Schutz personenbezogener Daten nach Maßgabe dieses Gesetzes sind alle Behörden und sonstigen öffentlichen Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts ( § 28 des Allgemeinen Zuständigkeitsgesetzes ) verpflichtet. Dies gilt auch für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen. (2) Betrifft die Datenverarbeitung frühere, bestehende oder künftige dienst- oder arbeitsrechtliche Rechtsverhältnisse, so gelten anstelle der §§ 9 bis 17 dieses Gesetzes § 28 Abs. 1 und 3 Nr. 1 , §§ 31 , 33 bis 35 , 39 und 43 des Bundesdatenschutzgesetzes , soweit nichts anderes geregelt ist. Dies gilt auch für die Verarbeitung in Akten. (3) Für öffentliche Stellen, die am Wettbewerb teilnehmen, gelten die §§ 3 , 6 , 6 a , 9 bis 17 und 30 dieses Gesetzes nicht. Für sie gelten die §§ 11 , 27 Abs. 2 , §§ 28 bis 31 , 33 bis 35 , 39 , 40 und 43 des Bundesdatenschutzgesetzes . (4) Soweit personenbezogene Daten im Anwendungsbereich des Gesetzes über das Verfahren der Berliner Verwaltung verarbeitet werden, gelten die Vorschriften des Berliner Datenschutzgesetzes. (5) Dieses Gesetz regelt den Schutz personenbezogener Daten für die Behörden und sonstigen öffentlichen Stellen umfassend. Andere Landesgesetze können für bestimmte Behörden und sonstige öffentliche Stellen einzelne notwendige Abweichungen von diesem Gesetz vorschreiben; im übrigen richtet sich der Datenschutz auch in diesen Fällen nach den Vorschriften dieses Gesetzes.

§ 20 (1) Die Behörden und sonstigen öffentlichen Stellen haben dem Abgeordnetenhaus, dessen verfassungsmäßigen Organen und den Fraktionen des Abgeordnetenhauses die von diesen im Rahmen ihrer Aufgaben verlangten Auskünfte über Daten zu erteilen. Personenbezogene Daten dürfen an diese Institutionen zur Erfüllung ihrer Aufgaben nur herausgegeben werden, wenn die in § 28 Abs. 3 Satz 1 Nr. 3 und Satz 2 des Bundesdatenschutzgesetzes genannten Voraussetzungen erfüllt sind. (2) Dieselbe Verpflichtung besteht gegenüber den Bezirksverordnetenversammlungen, ihren verfassungsmäßigen Organen und ihren Fraktionen, soweit diese im Rahmen ihrer Zuständigkeiten Auskünfte über Daten verlangen. (3) Gesetzesvorlagen müssen Angaben über die Daten, die für den Vollzug des Gesetzes mit Datenverarbeitungsanlagen erforderlich sind, und über die Form der vorgesehenen Datenverarbeitung enthalten.

§ 21 Bestellung und Entlassung (1) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit wird vom Abgeordnetenhaus mit den Stimmen der Mehrheit seiner Mitglieder gewählt und vom Präsidenten des Abgeordnetenhauses ernannt. Er nimmt zugleich die Aufgaben des Landesbeauftragten für das Recht auf Akteneinsicht nach § 18 Abs. 1 des Berliner Informationsfreiheitsgesetzes vom 15. Oktober 1999 (GVBl. S. 561), das durch Artikel XXII des Gesetzes vom 16. Juli 2001 (GVBl. S. 260) geändert worden ist, wahr und führt die Amts- und Funktionsbezeichnung "Berliner Beauftragter für Datenschutz und Informationsfreiheit“ in männlicher oder in weiblicher Form. (2) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit leistet vor dem Präsidenten des Abgeordnetenhauses folgenden Eid: "Ich schwöre, mein Amt gerecht und unparteiisch getreu dem Grundgesetz , der Verfassung von Berlin und den Gesetzen zu führen und meine ganze Kraft dafür einzusetzen, so wahr mir Gott helfe.“ Der Eid kann auch ohne religiöse Beteuerung geleistet werden. (3) Die Amtszeit des Berliner Beauftragten für Datenschutz und Informationsfreiheit beträgt fünf Jahre; nach dem Ende der Amtszeit bleibt er auf Aufforderung des Präsidiums des Abgeordnetenhauses bis zur Ernennung eines Nachfolgers im Amt. Die Wiederwahl ist zulässig. Vor Ablauf seiner Amtszeit kann der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen seinen Willen nur entlassen werden, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen.

§ 22 Rechtsstellung (1) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit steht nach Maßgabe dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis. (2) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit wird als oberste Landesbehörde eingerichtet; er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der Dienstaufsicht des Präsidenten des Abgeordnetenhauses. (3) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit darf neben seinem Amt kein weiteres besoldetes Amt und kein Gewerbe ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. Seine Rechtsstellung wird im übrigen durch Vertrag geregelt. (4) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist berechtigt und kann von der Mehrheit des Abgeordnetenhauses oder eines Ausschusses verpflichtet werden, vor dem Parlament oder dem betreffenden Ausschuß zu erscheinen und zu reden. Er ist vor dem Erlass von den Datenschutz betreffenden Gesetzen, Rechtsverordnungen und Verwaltungsvorschriften anzuhören.

§ 23 Verschwiegenheitspflicht Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Präsidenten des Abgeordnetenhauses weder vor Gericht noch außergerichtlich Aussagen oder Erklärungen abgeben.

§ 24 Aufgaben und Befugnisse (1) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den Behörden und sonstigen öffentlichen Stellen. Zu diesem Zweck kann er Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere kann er den Senat und einzelne Mitglieder des Senats sowie die übrigen Behörden und sonstigen öffentlichen Stellen in Fragen des Datenschutzes beraten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist bei der Vorabkontrolle nach § 5 Abs. 3 zu beteiligen, wenn sie den beabsichtigten Einsatz verwaltungsübergreifender Verfahren betrifft. Er hat darüber hinaus die Befugnisse, die den für Datenschutz zuständigen Aufsichts- und Kontrollbehörden durch internationale oder europäische Rechtsakte zugewiesen werden. (2) Ausgenommen von Absatz 1 sind die Gerichte, soweit sie nicht in Verwaltungsangelegenheiten tätig werden. Setzen Gerichte zur Erfüllung ihrer gesetzlichen Aufgaben automatische Datenverarbeitungsanlagen ein, so unterliegt unbeschadet der richterlichen Unabhängigkeit die Ordnungsmäßigkeit und Rechtmäßigkeit der Verfahren der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit. (3) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit beobachtet die Auswirkungen der automatischen Datenverarbeitung auf die Arbeitsweise und die Entscheidungsbefugnisse der Behörden und sonstigen öffentlichen Stellen dahingehend, ob sie zu einer Beschränkung der Kontrollmöglichkeiten durch das Abgeordnetenhaus oder die Bezirksverordnetenversammlungen führen. Er kann Maßnahmen zum Schutz gegen derartige Auswirkungen anregen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist über die Einführung neuer Automationsvorhaben und wesentliche Änderungen automatisierter Datenverarbeitungen im Bereich der Behörden und sonstigen öffentlichen Stellen zu informieren. (4) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit arbeitet mit den Behörden und sonstigen öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, und mit den Aufsichtsbehörden nach § 38 des Bundesdatenschutzgesetzes zusammen. Er ist berechtigt, an diese Stellen personenbezogene Daten zu übermitteln, soweit dies zur Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften erforderlich ist. Er ist ferner berechtigt, für diese Stellen auf ihr Ersuchen die Einhaltung datenschutzrechtlicher Vorschriften zu kontrollieren und in diesem Zusammenhang personenbezogene Daten zu erheben und sie an diese Stellen zu übermitteln; dies gilt auch, wenn sich eine nicht öffentliche Stelle durch Vertrag seiner Kontrolle unterworfen hat. Er leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). (5) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihm durch Beschwerden, Anfragen, Hinweise und Beratungsersuchen bekannt werden, zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Gesetz und dem Bundesdatenschutzgesetz erforderlich ist. Er darf im Rahmen von Kontrollmaßnahmen im Einzelfall personenbezogene Daten auch ohne Kenntnis des Betroffenen erheben, wenn nur auf diese Weise festgestellt werden kann, ob ein datenschutzrechtlicher Mangel besteht. Die nach den Sätzen 1 und 2 erhobenen und verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden. Soweit der Berliner Beauftragte für Datenschutz und Informationsfreiheit von seinem Strafantragsrecht nach § 32 Abs. 3 Gebrauch macht, ist er befugt, der Staatsanwaltschaft personenbezogene Daten zu übermitteln, soweit dies zur Durchführung des Ermittlungsverfahrens erforderlich ist.

§ 25 - aufgehoben -

§ 26 Beanstandungen (1) Stellt der Berliner Beauftragte für Datenschutz und Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies 1. bei Behörden und sonstigen öffentlichen Stellen der Hauptverwaltung gegenüber dem zuständigen Mitglied des Senats, im übrigen gegenüber dem Präsidenten des Abgeordnetenhauses oder dem Präsidenten des Rechnungshofs, 2. bei Behörden und sonstigen öffentlichen Stellen der Bezirksverwaltungen gegenüber den Bezirksämtern, 3. bei den landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen des Satzes 1 Nr. 2 und 3 unterrichtet der Berliner Beauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch das für die Aufsicht zuständige Mitglied des Senats. (2) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche Mängel handelt. (3) Mit der Beanstandung kann der Berliner Beauftragte für Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden. (4) Die nach Absatz 1 Satz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Berliner Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 1 Satz 1 Nr. 2 und 3 genannten Stellen leiten dem für die Aufsicht zuständigen Mitglied des Senats eine Abschrift ihrer Stellungnahme an den Berliner Beauftragten für Datenschutz und Informationsfreiheit zu.

§ 27 Anrufung Jedermann kann sich an den Berliner Beauftragten für Datenschutz und Informationsfreiheit wenden, wenn er der Ansicht ist, daß bei der Verarbeitung personenbezogener Daten durch Behörden oder sonstige öffentliche Stellen gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften verstoßen worden ist oder ein solcher Verstoß bevorsteht. Dies gilt auch für Dienstkräfte der Behörden und sonstigen öffentlichen Stellen, ohne daß der Dienstweg einzuhalten ist.

§ 28 Unterstützung (1) Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, den Berliner Beauftragten für Datenschutz und Informationsfreiheit und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen sind dabei insbesondere 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen und Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme, 2. die in Nummer 1 genannten Unterlagen und Akten herauszugeben und Kopien von Unterlagen, von automatisierten Dateien, von deren Verfahren und von organisatorischen Regelungen zur Mitnahme zur Verfügung zu stellen, 3. jederzeit Zutritt in alle Diensträume und Zugriff auf elektronische Einrichtungen zu gewähren. Satz 2 gilt für die in § 19 a Abs. 1 Satz 7 genannten Aufgaben nicht, soweit das jeweils zuständige Mitglied des Senats im Einzelfall feststellt, daß die Einsicht in die Unterlagen und Akten die Sicherheit des Bundes oder eines Landes gefährdet. Auf Antrag des Berliner Beauftragten für Datenschutz und Informationsfreiheit hat die Senatsverwaltung dies im zuständigen Ausschuß des Abgeordnetenhauses in geheimer Sitzung zu begründen. Die Entscheidung des Ausschusses kann veröffentlicht werden. (2) Berufs- und Amtsgeheimnisse entbinden nicht von der Unterstützungspflicht.

§ 3 Verarbeitung personenbezogener Daten im Auftrag (1) Die Vorschriften dieses Gesetzes gelten für die Behörden und sonstigen öffentlichen Stellen auch insoweit, als personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. In diesen Fällen ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen ( § 5 Abs. 1 ) sorgfältig auszuwählen. Der Auftrag ist unter Festlegung des Gegenstandes und des Umfangs der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse schriftlich zu erteilen. Der Auftraggeber hat sich von der Einhaltung der Maßnahmen nach Satz 3 zu überzeugen. (2) Für die Behörden und sonstigen öffentlichen Stellen gelten die §§ 9 bis 17 dieses Gesetzes nicht, soweit sie personenbezogene Daten im Auftrag verarbeiten. In diesen Fällen ist die Verarbeitung personenbezogener Daten nur im Rahmen der Weisungen des Auftraggebers zulässig. Weisungen, die sich auf eine Datenverarbeitung richten, die gegen dieses Gesetz oder andere Rechtsvorschriften über den Datenschutz verstoßen, sind nicht auszuführen. Der Auftraggeber sowie dessen Aufsichtsbehörde sind unverzüglich zu unterrichten. Dasselbe gilt, wenn Daten verarbeitet werden sollen, die nach Ansicht des Auftragnehmers unter Verstoß gegen Rechtsvorschriften erlangt worden sind. (3) Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen dem Land Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, gelten die Vorschriften des Vierten Abschnittes entsprechend, soweit sie in den Fällen des Absatzes 1 Satz 1 im Auftrag tätig werden. Hinsichtlich der Befugnisse nach § 28 Abs. 1 wird das Grundrecht der Unverletzlichkeit der Wohnung ( Artikel 13 des Grundgesetzes , Artikel 19 Abs. 2 Satz 1 der Verfassung von Berlin ) für die Betriebs- und Geschäftszeit eingeschränkt. (4) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit unterwirft. Wird die Datenverarbeitung in einem anderen Bundesland oder in einem Mitgliedstaat der Europäischen Union durchgeführt, ist sicherzustellen, dass der Auftragnehmer einer Datenschutzkontrolle durch die jeweils zuständige Stelle unterliegt. Der Auftraggeber hat den Berliner Beauftragten für Datenschutz und Informationsfreiheit über die Beauftragung zu unterrichten.

§ 30 Datenverarbeitung für wissenschaftliche Zwecke (1) Zum Zwecke wissenschaftlicher Forschung dürfen datenverarbeitende Stellen personenbezogene Daten ohne Einwilligung des Betroffenen nur für bestimmte Forschungsarbeiten übermitteln, 1. soweit dessen schutzwürdige Belange wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung nicht beeinträchtigt werden, oder 2. wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Betroffenen erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise erreicht werden kann. Die Übermittlung bedarf der vorherigen Zustimmung der obersten Landesbehörde oder einer von dieser bestimmten Stelle; dies gilt nicht für die öffentlichen Stellen nach § 2 Abs. 3 . Die Zustimmung muß den Empfänger, die Art der zu übermittelnden personenbezogenen Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen und ist dem Berliner Beauftragten für Datenschutz und Informationsfreiheit mitzuteilen. (2) Sobald der Forschungszweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern; die Merkmale sind zu löschen, sobald der Forschungszweck erreicht ist. (3) Eine Verarbeitung der nach Absatz 1 übermittelten Daten zu anderen als Forschungszwecken ist unzulässig. Die nach Absatz 1 Satz 2 übermittelten Daten dürfen nur mit Einwilligung des Betroffenen weiterübermittelt werden. (4) Soweit die Vorschriften dieses Gesetzes auf den Empfänger keine Anwendung finden, dürfen personenbezogene Daten nur übermittelt werden, wenn sich der Empfänger verpflichtet, die Vorschriften der Absätze 2 und 3 einzuhalten, und sich der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit unterwirft. (5) Die wissenschaftliche Forschung betreibenden öffentlichen Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn a) der Betroffene eingewilligt hat oder b) dieses für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerläßlich ist. (6) Unter den Voraussetzungen des Absatzes 1 darf die datenverarbeitende Stelle personenbezogene Daten ohne Einwilligung des Betroffenen selbst zum Zwecke wissenschaftlicher Forschung verarbeiten.

§ 31 Datenverarbeitung durch den Sender Freies Berlin (1) Soweit der Sender Freies Berlin personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet, gelten an Stelle dieses Gesetzes § 22 a des Berliner Pressegesetzes vom 15. Juni 1965 (GVBl. S. 744), das zuletzt durch Artikel VI des Gesetzes vom 30. Juli 2001 (GVBl. S. 305) geändert worden ist, und § 41 Abs. 2 und 3 des Bundesdatenschutzgesetzes entsprechend. (2) Der Sender Freies Berlin bestellt einen Beauftragten für den Datenschutz, der die Vorschriften über den Datenschutz im journalistisch-redaktionellen Bereich frei von Weisungen überwacht. An ihn kann sich jedermann wenden, wenn er annimmt, bei der Verarbeitung personenbezogener Daten zu journalistisch-redaktionellen oder literarischen Zwecken in seinen Rechten verletzt worden zu sein. Beanstandungen richtet der Beauftragte für den Datenschutz an den Intendanten und unterrichtet gleichzeitig den Rundfunkrat. Die Dienstaufsicht obliegt dem Verwaltungsrat.

§ 31 c Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den §§ 16 und 17 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein.

§ 32 Straftaten (1) Wer unbefugt personenbezogene Daten, die nicht offenkundig sind, 1. übermittelt oder verändert oder 2. abruft oder sich aus in Behältnissen verschlossenen Dateien verschafft, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. (3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt ist der Betroffene. Antragsberechtigt ist auch der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist auch gegen den Willen des Betroffenen antragsberechtigt.

§ 33 Aufsichtsbehörde nach dem Bundesdatenschutzgesetz (1) Aufsichtsbehörde nach dem Bundesdatenschutzgesetz für die Datenverarbeitung nicht öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Er untersteht insoweit der Rechtsaufsicht des Senats, die entsprechend den §§ 10 bis 13 des Allgemeinen Zuständigkeitsgesetzes ausgeübt wird. (2) Die Aufsichtsbehörde erhält von den Gewerbeämtern Durchschriften der An-, Um- bzw. Abmeldungen von Betrieben, die nach dem Kenntnisstand der Gewerbeämter der Meldepflicht des § 4 d des Bundesdatenschutzgesetzes unterfallen. Wenn der Aufsichtsbehörde im Rahmen ihrer rechtmäßigen Aufgabenerfüllung Tatsachen bekannt werden, die auf eine gewerberechtliche Unzuverlässigkeit hindeuten, kann sie diese Tatsachen den Gewerbeämtern mitteilen. (3) Die Aufsichtsbehörde ist befugt, personenbezogene Daten, die ihr im Rahmen von Beschwerden und Anfragen bekannt werden, zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben nach dem Bundesdatenschutzgesetz erforderlich ist. Sie darf personenbezogene Daten im Rahmen von Kontrollmaßnahmen im Einzelfall auch ohne Kenntnis der Betroffenen erheben, wenn nur auf diese Weise festgestellt werden kann, ob ein datenschutzrechtlicher Mangel besteht. Die nach den Sätzen 1 und 2 verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden.

§ 34 Besondere Regelungen Abweichend von § 13 ist die Einwilligung des Betroffenen nicht erforderlich bei der Übermittlung personenbezogener Daten aus den Anzeigen Gewerbetreibender nach den §§ 14 und 55 c der Gewerbeordnung , soweit die Übermittlung zur rechtmäßigen Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist oder soweit der Dritte ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht.

§ 3a Wartung (1) Datenverarbeitungssysteme sind so zu gestalten, dass bei ihrer Wartung möglichst nicht auf personenbezogene Daten zugegriffen werden kann. Sofern dies nicht sichergestellt ist, hat die datenverarbeitende Stelle durch technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann. Dabei sind insbesondere folgende Anforderungen zu erfüllen: Es ist 1. sicherzustellen, dass nur dafür autorisiertes Personal die Wartung vornimmt, 2. sicherzustellen, dass jeder Wartungsvorgang nur mit Wissen und Wollen der speichernden Stelle erfolgen kann, 3. zu verhindern, dass personenbezogene Daten im Rahmen der Wartung unbefugt entfernt oder übertragen werden, 4. sicherzustellen, dass alle Wartungsvorgänge während der Durchführung kontrolliert werden können, 5. sicherzustellen, dass alle Wartungsvorgänge nach der Durchführung nachvollzogen werden können, 6. zu verhindern, dass bei der Wartung Programme unbefugt aufgerufen werden können, die für die Wartung nicht benötigt werden, 7. zu verhindern, dass bei der Wartung Datenverarbeitungsprogramme unbefugt verändert werden können, und 8. die Wartung so zu organisieren und zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. (2) Eine Wartung durch andere Stellen darf über die Anforderungen nach Absatz 1 hinaus nur auf Grund schriftlicher Vereinbarungen erfolgen. Darin sind folgende Regelungen zu treffen: 1. Art und Umfang der Wartung, 2. Abgrenzung der Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer, 3. eine Protokollierungspflicht beim Auftraggeber und die Verpflichtung des Auftragnehmers, Weisungen des Auftraggebers zum Umgang mit den Daten auszuführen und sich an dessen Weisungen zu halten, 4. die Daten dürfen ausschließlich für den Zweck der Wartung verwendet werden, 5. Sicherstellung, dass keine Datenübermittlung an andere Stellen durch den Auftragnehmer erfolgt, 6. Löschung der Daten nach Abschluss der Wartungsarbeiten, 7. die technische Verbindung muss vom Auftraggeber hergestellt werden, sofern dies nicht möglich ist, ist ein Rückrufverfahren verbindlich festzulegen, 8. Anwesenheit des Systemverwalters ist möglichst sicherzustellen, 9. Verschlüsselung von personenbezogenen Daten auf dem Übertragungsweg nach dem jeweiligen Stand der Technik und 10. für den Fall, dass ein Auftragnehmer außerhalb der Mitgliedstaaten der Europäischen Union tätig wird, sind stets die jeweiligen Regelungen des § 14 über die Übermittlung personenbezogener Daten an ausländische und internationale Stellen anzuwenden. Die mit Wartungsarbeiten betrauten Personen sind zur Wahrung des Datengeheimnisses zu verpflichten. (3) Ist bei Wartungsarbeiten nur ein Zugriff auf Daten in verschlüsselter, pseudonymisierter oder anonymisierter Form gegeben, so dass die mit der Wartung betraute Stelle Betroffene nicht reidentifizieren kann, so sind nur Maßnahmen nach Absatz 2 Satz 1 und 3 erforderlich. Ein Zugriff darf nur zweckgebunden erfolgen. (4) Im Sinne dieses Gesetzes ist 1. Wartung die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören die Installation, Pflege, Überprüfung und Korrektur der Software sowie die Überprüfung und Reparatur oder der Austausch von Hardware, 2. Fernwartung die Wartung der Hard- und Software von Datenverarbeitungsanlagen, die von einem Ort außerhalb der Stelle, bei der die Verarbeitung personenbezogener Daten erfolgt, mittels Einrichtung zur Datenübertragung vorgenommen wird, und 3. Verschlüsselung das Ersetzen von Klartextbegriffen oder Zeichen durch andere in der Weise, dass der Klartext nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wieder lesbar gemacht werden kann.

§ 4 Begriffsbestimmungen (1) Im Sinne dieses Gesetzes sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Entsprechendes gilt für Daten über Verstorbene, es sei denn, daß schutzwürdige Belange des Betroffenen nicht mehr beeinträchtigt werden können. (2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Im Sinne der nachfolgenden Vorschriften ist 1. Erheben das Beschaffen von Daten über den Betroffenen, 2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger, 3. Verändern das inhaltliche Umgestalten gespeicherter Daten, ungeachtet der dabei angewendeten Verfahren, 4. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, daß die Daten durch die datenverarbeitende Stelle an den Dritten weitergegeben werden oder daß der Dritte zum Abruf bereitgehaltene Daten abruft, 5. Sperren das Verhindern weiterer Verarbeitung gespeicherter Daten, 6. Löschen das Beseitigen gespeicherter Daten, 7. Nutzen jede sonstige Verwendung personenbezogener Daten. (3) Im Sinne dieses Gesetzes ist 1. datenverarbeitende Stelle jede Behörde oder sonstige öffentliche Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt; nimmt diese unterschiedliche gesetzliche Aufgaben wahr, gilt diejenige Organisationseinheit als datenverarbeitende Stelle, der die Aufgabe zugewiesen ist, 2. Empfänger jede Person oder Stelle, die Daten erhält, 3. Dritter jede Person oder Stelle außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Personen und Stellen, die in den Fällen der Nummer 1 im Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union Daten im Auftrag verarbeitet, 4. automatisierte Datenverarbeitung jede durch Einsatz eines gesteuerten technischen Verfahrens selbständig ablaufende Datenverarbeitung, 5. eine Datei eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht automatisierte Datei), 6. eine Akte jede sonstigen amtlichen oder dienstlichen Zwecken dienende Unterlage, soweit sie nicht Datei im Sinne von Nummer 5 ist; dazu zählen auch Bild- und Tonträger, nicht jedoch Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen, 7. Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, 8. Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren, 9. mobiles personenbezogenes Speicher- und Verarbeitungsmedium ein Datenträger, a) der an den Betroffenen ausgegeben wird, b) auf dem personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und c) bei dem der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.

§ 5 Technische und organisatorische Maßnahmen (1) Die Ausführungen der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Die Art und Weise der Maßnahmen hat für den angestrebten Schutzzweck angemessen zu sein und richtet sich nach dem jeweiligen Stand der Technik. (2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität), 3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität), 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), und 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz). (3) Vor einer Entscheidung über den Einsatz oder eine wesentliche Änderung der automatisierten Datenverarbeitung sind die zu treffenden technischen und organisatorischen Maßnahmen auf der Grundlage einer Risikoanalyse und eines Sicherheitskonzepts zu ermitteln. Dazu gehört bei Verfahren, mit denen Daten verarbeitet werden, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen oder die zur Verfolgung von Straftaten und Ordnungswidrigkeiten erhoben werden, eine Vorabkontrolle hinsichtlich möglicher Gefahren für das Recht auf informationelle Selbstbestimmung. Entsprechend der technischen Entwicklung ist die Ermittlung in angemessenen Abständen zu wiederholen. Soweit trotz der realisierbaren Sicherheitsmaßnahmen untragbare Risiken verbleiben, die nicht durch Maßnahmen nach den Absätzen 1 und 2 oder eine Modifizierung der automatisierten Datenverarbeitung verhindert werden können, darf ein Verfahren nicht eingesetzt werden. (4) Werden personenbezogene Daten nicht automatisiert verarbeitet, so findet Absatz 2 Nr. 1 bis 4 entsprechende Anwendung. (5) Die automatisierte Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist.

§ 5 a Datenvermeidung Die Planung, Gestaltung und Auswahl informationstechnischer Produkte und Verfahren haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

§ 7 Rechte des Betroffenen Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf 1. Auskunft, Benachrichtigung und Einsichtnahme ( § 16 ), 2. Berichtigung, Sperrung, Löschung und Widerspruch ( § 17 ), 3. Schadenersatz und Unterlassung ( § 18 ), 4. Einsicht in Beschreibungen und Verzeichnisse ( § 19 a ), 5. Anrufung des Berliner Beauftragten für Datenschutz und Informationsfreiheit ( § 27 ). Auf diese Rechte kann der Betroffene nicht wirksam verzichten.

§ 8 Datengeheimnis (1) Dienstkräften von Behörden und sonstigen öffentlichen Stellen, die Daten für sich oder im Auftrag verarbeiten, ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Diese Verpflichtung ist für Personen, die bei nicht öffentlichen Auftragnehmern öffentlicher Stellen dienstlichen Zugang zu personenbezogenen Daten haben, vertraglich sicherzustellen. (2) Die Dienstkräfte sind bei der Aufnahme ihrer Tätigkeit nach Maßgabe des Absatzes 1 zu verpflichten. Ihre Pflichten bestehen auch nach Beendigung ihrer Tätigkeit fort.

§ 16 Auskunft, Benachrichtigung und Einsichtnahme (1) Werden personenbezogene Daten in einem automatisierten Verfahren oder in einer Datei gespeichert, so ist dem Betroffenen von der datenverarbeitenden Stelle auf Antrag gebührenfrei Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, 2. den Zweck und die Rechtsgrundlage der Verarbeitung, 3. die Herkunft der Daten und die Empfänger von Übermittlungen innerhalb der letzten zwei Jahre, 4. den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten. (2) Werden personenbezogene Daten automatisiert verarbeitet, so ist der Betroffene von dieser Tatsache schriftlich oder elektronisch zu benachrichtigen. Die Benachrichtigung umfaßt einen Hinweis auf die Dateibeschreibung nach § 19 Abs. 2 . Die Benachrichtigung kann zusammen mit der Erhebung erfolgen. (3) Die Absätze 1 und 2 gelten nicht für personenbezogene Daten, die ausschließlich zum Zweck der Datensicherung gespeichert sind. (4) Sind personenbezogene Daten in Akten gespeichert, so kann der Betroffene bei der datenverarbeitenden Stelle Einsicht in die Akten verlangen. Werden die Akten zur Person des Betroffenen geführt, so hat er sie zu bezeichnen. Werden die Akten nicht zur Person des Betroffenen geführt, so hat er Angaben zu machen, die das Auffinden der zu seiner Person gespeicherten Daten mit angemessenem Aufwand ermöglichen. Die Einsichtnahme ist unzulässig, wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, daß ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist; in diesem Fall ist dem Betroffenen Auskunft nach Absatz 1 zu erteilen. Im übrigen kann mit Einwilligung des Betroffenen statt Einsicht Auskunft gewährt werden. (5) Die Absätze 1, 2 und 4 gelten nicht, soweit eine Abwägung ergibt, daß die dort gewährten Rechte des Betroffenen hinter dem öffentlichen Interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter aus zwingenden Gründen zurücktreten müssen; die wesentlichen Gründe sind dem Betroffenen im einzelnen mitzuteilen. Die Entscheidung trifft der Leiter der datenverarbeitenden Stelle oder dessen Stellvertreter. Werden Auskunft oder Einsicht nicht gewährt, so ist der Betroffene darauf hinzuweisen, daß er sich an den Berliner Beauftragten für Datenschutz und Informationsfreiheit wenden kann. Die datenverarbeitende Stelle muß dem Berliner Beauftragten für Datenschutz und Informationsfreiheit die Gründe der Auskunfts- oder Einsichtsverweigerung darlegen.

§ 19 Durchführung des Datenschutzes und Dateibeschreibung (1) Die datenverarbeitenden Stellen, in den Fällen des § 4 Abs. 3 Nr. 1 Halbsatz 2 auch die jeweiligen Behörden oder sonstigen öffentlichen Stellen, und die Aufsichtsbehörden haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Sie haben insbesondere dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gewährleistet ist. (2) Für automatisierte Verarbeitungen hat die datenverarbeitende Stelle schriftlich oder elektronisch festzulegen: 1. Name und Anschrift der datenverarbeitenden Stelle, 2. Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung, 3. Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien, 4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden, 5. Herkunft regelmäßig empfangener Daten, 6. zugriffsberechtigte Personen oder Personengruppen, 7. Fristen für die Sperrung und Löschung der Daten, 8. geplante Übermittlung personenbezogener Daten an Behörden oder sonstige öffentliche Stellen außerhalb des Geltungsbereichs der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union, 9. Betriebsart des Verfahrens, Art der Geräte, Stellen, bei denen sie aufgestellt sind, und das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung, 10. Beschreibung der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung ( § 5 Abs. 3 Satz 1 ), 11. Ergebnisse der Vorabkontrollen ( § 19 a Abs. 1 Satz 3 Nr. 1 ). (3) Absatz 2 findet keine Anwendung auf Dateien, die bei automatisierter Verarbeitung ausschließlich aus verarbeitungstechnischen Gründen vorübergehend vorgehalten werden.

§ 6 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder 2. eine besondere Rechtsvorschrift sie erlaubt oder 3. der Betroffene eingewilligt hat. Die Verarbeitung personenbezogener Daten ist nach diesem Gesetz zulässig, wenn wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung schutzwürdige Belange der Betroffenen nicht beeinträchtigt werden. Satz 1 Nr. 2 gilt nur, wenn die Rechtsvorschrift einen diesem Gesetz vergleichbaren Datenschutz gewährleistet. (2) Werden aufgrund einer Rechtsvorschrift des Bundes personenbezogene Daten verarbeitet, ohne daß die Verarbeitung im einzelnen geregelt ist, finden die §§ 13 bis 15 des Bundesdatenschutzgesetzes Anwendung. (3) Wird die Datenverarbeitung auf die Einwilligung des Betroffenen gestützt, so ist dieser in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten sowie den Zweck der Übermittlung. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß er die Einwilligung verweigern kann. (4) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, so ist der Betroffene darauf schriftlich oder elektronisch besonders hinzuweisen. (5) Die Einwilligung des Betroffenen ist nur wirksam, wenn sie auf seiner freien Entscheidung beruht. Sie ist insbesondere unwirksam, wenn sie durch Androhung ungesetzlicher Nachteile oder durch fehlende Aufklärung bewirkt wurde. Soweit besondere Kategorien personenbezogener Daten nach § 6 a Abs. 1 verarbeitet werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. (6) Die Einwilligung kann auch elektronisch erklärt werden. Es muss dabei sichergestellt werden, dass die Anforderungen zum Nachweis der Authentizität der Einwilligung jenen Anforderungen entsprechen, die für das zu Grunde liegende Verwaltungshandeln verlangt werden.

§ 29 Berichte und Gutachten (1) Auf Anforderung des Abgeordnetenhauses oder des Senats hat der Berliner Beauftragte für Datenschutz und Informationsfreiheit Gutachten zu erstellen und Berichte zu erstatten. (2) Er hat dem Abgeordnetenhaus und dem Senat jährlich einen Bericht über das Ergebnis seiner Tätigkeit vorzulegen. Der Senat legt dem Abgeordnetenhaus regelmäßig innerhalb von drei Monaten nach Vorlage des Berichts eine Stellungnahme zu dem Bericht vor. (3) Auf Ersuchen des Abgeordnetenhauses, des Petitionsausschusses des Abgeordnetenhauses oder des Senats hat der Berliner Beauftragte für Datenschutz und Informationsfreiheit ferner Hinweisen auf Angelegenheiten und Vorgänge, die seinen Aufgabenkreis unmittelbar betreffen, nachzugehen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann sich jederzeit an das Abgeordnetenhaus wenden.

§ 19 a Behördlicher Datenschutzbeauftragter (1) Die Behörden und sonstigen öffentlichen Stellen haben Datenschutzbeauftragte (behördliche Datenschutzbeauftragte) sowie jeweils einen Vertreter schriftlich zu bestellen. Für mehrere Behörden oder sonstige öffentliche Stellen kann ein gemeinsamer Datenschutzbeauftragter bestellt werden. Die behördlichen Datenschutzbeauftragten haben insbesondere 1. bei den mit besonderen Risiken für Rechte und Freiheiten von Betroffenen verbundenen Verarbeitungen vor Beginn der Verarbeitung eine Prüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach § 5 durchzuführen (Vorabkontrolle), 2. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen, 3. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen und 4. die Behörde oder sonstige öffentliche Stelle bei der Sicherstellung des Datenschutzes zu unterstützen; sie unterstützen auch die Personalvertretungen bei der Sicherstellung des Datenschutzes, soweit bei diesen personenbezogene Daten verarbeitet werden. Der behördliche Datenschutzbeauftragte führt die Beschreibungen nach § 19 . Diese können von jeder Person unentgeltlich eingesehen werden. Dies gilt nicht für die Angaben zu § 19 Abs. 2 Nr. 9 bis 11 , soweit dadurch die Sicherheit des technischen Verfahrens beeinträchtigt wird. Dies gilt ferner nicht für Beschreibungen für Aufgaben des Verfassungsschutzes, der Gefahrenabwehr, der Strafverfolgung und der Steuerverwaltung, soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt, sowie für öffentliche Stellen, die am Wettbewerb teilnehmen. (2) Zum behördlichen Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird. Er muss in einem Dienst- oder Arbeitsverhältnis bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts stehen. Seine Bestellung kann gegen seinen Willen nur aus wichtigem Grund in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden. Er kann sich in Angelegenheiten des Datenschutzes unmittelbar an den Leiter der jeweiligen Behörde oder sonstigen öffentlichen Stelle wenden und unterliegt in Datenschutzangelegenheiten keinen Weisungen. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er ist zur Verschwiegenheit über die Identität Betroffener sowie über die Umstände, die Rückschlüsse auf Betroffene zulassen, verpflichtet, soweit er davon nicht durch den Betroffenen befreit wird. (3) Der behördliche Datenschutzbeauftragte ist befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Die jeweilige Behörde oder sonstige öffentliche Stelle hat den behördlichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Er ist über Vorhaben der automatisierten Verarbeitung rechtzeitig zu unterrichten. (4) Der behördliche Datenschutzbeauftragte kann sich jederzeit an den Berliner Beauftragten für Datenschutz und Informationsfreiheit wenden. In Zweifelsfällen der Vorabkontrolle ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit zu konsultieren.

§ 31 b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit der Einsatz der Videoüberwachung zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die datenverarbeitende Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (3a) Für Daten, die in öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs nach Absatz 1 erhoben oder nach Absatz 3 Satz 1 gespeichert werden, gilt anstelle von Absatz 3 Satz 2, dass 1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies zur Abwehr oder für die Verfolgung von Straftaten erforderlich ist, und 2. für diesen Zweck ihre Übermittlung ausschließlich an den Polizeipräsidenten in Berlin und an die Strafverfolgungsbehörden zulässig ist. Aufzeichnungen, deren Speicherung weder für die Abwehr noch für die Verfolgung von Straftaten erforderlich ist, sind spätestens nach 24 Stunden zu löschen. Dies ist durch ein mit dem Polizeipräsidenten in Berlin abzustimmendes Sicherheitskonzept zu gewährleisten. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung, die Identität der verarbeitenden Stelle sowie über die Zweckbestimmung der Verarbeitung zu benachrichtigen. Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. eine Abwägung ergibt, dass das Benachrichtigungsrecht des Betroffenen hinter dem öffentlichen Interesse an der Geheimhaltung aus zwingenden Gründen zurücktreten muss, 2. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 3. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 4. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. Die verantwortliche Stelle legt schriftlich oder elektronisch fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 3 oder 4 abgesehen wird. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

§ 6 a Verarbeitung besonderer Kategorien personenbezogener Daten (1) Personenbezogene Daten im Sinne des Artikels 8 Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) -EG-Datenschutzrichtlinie- dürfen nur verarbeitet werden, wenn angemessene Garantien zum Schutz des Rechts auf informationelle Selbstbestimmung bestehen und eine besondere Rechtsvorschrift, die den Zweck der Verarbeitung bestimmt, dies erlaubt. (2) Die Verarbeitung dieser Daten ist auch zulässig, wenn der Betroffene ausdrücklich eingewilligt hat oder die Verarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus rechtlichen oder tatsächlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben. (3) Die Absätze 1 und 2 finden keine Anwendung, wenn 1. Daten auf der Grundlage von § 2 Abs. 2 oder § 30 verarbeitet werden oder 2. die Datenverarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

§ 18a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Dritten (1) Wird einer datenverarbeitenden Stelle bekannt, dass bei ihr gespeicherte personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, so hat sie dies unverzüglich dem Betroffenen und dem Berliner Beauftragten für Datenschutz und Informationsfreiheit mitzuteilen. (2) Die Benachrichtigung des Betroffenen nach Absatz 1 darf nur solange aufgeschoben werden, wie die verantwortliche Stelle zunächst angemessene Maßnahmen zur Sicherung der Daten ergreifen muss. Ergreift sie diese Maßnahmen nicht unverzüglich, so duldet die Benachrichtigung des Betroffenen keinen Aufschub. Satz 1 gilt entsprechend, soweit eine unverzügliche Benachrichtigung des Betroffenen die Strafverfolgung gefährden würde. Die Betroffenen sind über die Art der unrechtmäßigen Kenntniserlangung und über Maßnahmen zur Minderung möglicher nachteiliger Folgen zu unterrichten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, tritt an ihre Stelle eine angemessene Information der Öffentlichkeit.

§ 19 a Behördlicher Datenschutzbeauftragter (1) Die Behörden und sonstigen öffentlichen Stellen haben Datenschutzbeauftragte (behördliche Datenschutzbeauftragte) sowie jeweils einen Vertreter schriftlich zu bestellen. Für mehrere Behörden oder sonstige öffentliche Stellen kann ein gemeinsamer Datenschutzbeauftragter bestellt werden. Die behördlichen Datenschutzbeauftragten haben insbesondere 1. bei den mit besonderen Risiken für Rechte und Freiheiten von Betroffenen verbundenen Verarbeitungen vor Beginn der Verarbeitung eine Prüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach § 5 durchzuführen (Vorabkontrolle), 2. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen, 3. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen und 4. die Behörde oder sonstige öffentliche Stelle bei der Sicherstellung des Datenschutzes zu unterstützen; sie unterstützen auch die Personalvertretungen bei der Sicherstellung des Datenschutzes, soweit bei diesen personenbezogene Daten verarbeitet werden. Der behördliche Datenschutzbeauftragte führt die Beschreibungen nach § 19 . Diese können von jeder Person unentgeltlich eingesehen werden. Dies gilt nicht für die Angaben zu § 19 Abs. 2 Nr. 9 bis 11 , soweit dadurch die Sicherheit des technischen Verfahrens beeinträchtigt wird. Dies gilt ferner nicht für Beschreibungen für Aufgaben des Verfassungsschutzes, der Gefahrenabwehr, der Strafverfolgung und der Steuerverwaltung, soweit die datenverarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt, sowie für öffentliche Stellen, die am Wettbewerb teilnehmen. (2) Zum behördlichen Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird. Er muss in einem Dienst- oder Arbeitsverhältnis bei einer Behörde oder sonstigen öffentlichen Stelle des Landes Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts stehen. Seine Bestellung kann gegen seinen Willen nur aus wichtigem Grund in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs widerrufen werden. Die Kündigung des Arbeitsverhältnisses des nach Absatz 1 bestellten behördlichen Datenschutzbeauftragten ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die Behörden und sonstigen öffentlichen Stellen zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach Abberufung als behördlicher Datenschutzbeauftragter ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die Behörden und sonstigen öffentlichen Stellen zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt sind. Der behördliche Datenschutzbeauftragte kann sich in Angelegenheiten des Datenschutzes unmittelbar an den Leiter der jeweiligen Behörde oder sonstigen öffentlichen Stelle wenden und unterliegt in Datenschutzangelegenheiten keinen Weisungen. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er ist zur Verschwiegenheit über die Identität Betroffener sowie über die Umstände, die Rückschlüsse auf Betroffene zulassen, verpflichtet, soweit er davon nicht durch den Betroffenen befreit wird. (3) Der behördliche Datenschutzbeauftragte ist befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist. Die jeweilige Behörde oder sonstige öffentliche Stelle hat den behördlichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Er ist über Vorhaben der automatisierten Verarbeitung rechtzeitig zu unterrichten. (4) Der behördliche Datenschutzbeauftragte kann sich jederzeit an den Berliner Beauftragten für Datenschutz und Informationsfreiheit wenden. In Zweifelsfällen der Vorabkontrolle ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit zu konsultieren. (5) Zum Erwerb und zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die Behörden und sonstigen öffentlichen Stellen dem behördlichen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.

§ 2 Anwendungsbereich (1) Zum Schutz personenbezogener Daten nach Maßgabe dieses Gesetzes sind alle Behörden und sonstigen öffentlichen Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts ( § 28 des Allgemeinen Zuständigkeitsgesetzes ) verpflichtet. Dies gilt auch für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen. (2) Betrifft die Datenverarbeitung frühere, bestehende oder künftige dienst- oder arbeitsrechtliche Rechtsverhältnisse, so gelten anstelle der §§ 9 bis 17 dieses Gesetzes § 28 Absatz 2 Nummer 2 , §§ 31 bis 35 , 39 und 43 des Bundesdatenschutzgesetzes , soweit nichts anderes geregelt ist. Dies gilt auch für die Verarbeitung in Akten. (3) Für öffentliche Stellen, die am Wettbewerb teilnehmen, gelten die §§ 3 , 6 , 6 a , 9 bis 17 und 30 dieses Gesetzes nicht. Für sie gelten die §§ 11 , 27 Abs. 2 , §§ 28 bis 35 , 39 , 40 , 42a und 43 des Bundesdatenschutzgesetzes . (4) Soweit personenbezogene Daten im Anwendungsbereich des Gesetzes über das Verfahren der Berliner Verwaltung verarbeitet werden, gelten die Vorschriften des Berliner Datenschutzgesetzes . (5) Dieses Gesetz regelt den Schutz personenbezogener Daten für die Behörden und sonstigen öffentlichen Stellen umfassend. Andere Landesgesetze können für bestimmte Behörden und sonstige öffentliche Stellen einzelne notwendige Abweichungen von diesem Gesetz vorschreiben; im übrigen richtet sich der Datenschutz auch in diesen Fällen nach den Vorschriften dieses Gesetzes.

§ 20 (1) Die Behörden und sonstigen öffentlichen Stellen haben dem Abgeordnetenhaus, dessen verfassungsmäßigen Organen und den Fraktionen des Abgeordnetenhauses die von diesen im Rahmen ihrer Aufgaben verlangten Auskünfte über Daten zu erteilen. Personenbezogene Daten dürfen an diese Institutionen zur Erfüllung ihrer Aufgaben nur herausgegeben werden, wenn die in § 28 Absatz 1 Satz 1 Nummer 2 oder 3 des Bundesdatenschutzgesetzes genannten Voraussetzungen erfüllt sind. (2) Dieselbe Verpflichtung besteht gegenüber den Bezirksverordnetenversammlungen, ihren verfassungsmäßigen Organen und ihren Fraktionen, soweit diese im Rahmen ihrer Zuständigkeiten Auskünfte über Daten verlangen. (3) Gesetzesvorlagen müssen Angaben über die Daten, die für den Vollzug des Gesetzes mit Datenverarbeitungsanlagen erforderlich sind, und über die Form der vorgesehenen Datenverarbeitung enthalten.

§ 22 Rechtsstellung (1) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit steht nach Maßgabe dieses Gesetzes in einem öffentlich-rechtlichen Amtsverhältnis. (2) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit wird als oberste Landesbehörde eingerichtet; er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er untersteht der Dienstaufsicht des Präsidenten des Abgeordnetenhauses, soweit seine Unabhängigkeit dadurch nicht beeinträchtigt wird. (3) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit darf neben seinem Amt kein weiteres besoldetes Amt und kein Gewerbe ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. Seine Rechtsstellung wird im übrigen durch Vertrag geregelt. (4) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist berechtigt und kann von der Mehrheit des Abgeordnetenhauses oder eines Ausschusses verpflichtet werden, vor dem Parlament oder dem betreffenden Ausschuß zu erscheinen und zu reden.

§ 24 Aufgaben und Befugnisse (1) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den Behörden und sonstigen öffentlichen Stellen. Zu diesem Zweck kann er Empfehlungen zur Verbesserung des Datenschutzes geben; insbesondere kann er den Senat und einzelne Mitglieder des Senats sowie die übrigen Behörden und sonstigen öffentlichen Stellen in Fragen des Datenschutzes beraten. Er ist vor dem Erlass von Gesetzen, Rechtsverordnungen und Verwaltungsvorschriften anzuhören, wenn sie die Verarbeitung personenbezogener Daten betreffen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist bei der Vorabkontrolle nach § 5 Abs. 3 zu beteiligen, wenn sie den beabsichtigten Einsatz verwaltungsübergreifender Verfahren betrifft. Er hat darüber hinaus die Befugnisse, die den für Datenschutz zuständigen Aufsichts- und Kontrollbehörden durch internationale oder europäische Rechtsakte zugewiesen werden. (2) Ausgenommen von Absatz 1 sind die Gerichte, soweit sie nicht in Verwaltungsangelegenheiten tätig werden. Setzen Gerichte zur Erfüllung ihrer gesetzlichen Aufgaben automatische Datenverarbeitungsanlagen ein, so unterliegt unbeschadet der richterlichen Unabhängigkeit die Ordnungsmäßigkeit und Rechtmäßigkeit der Verfahren der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit. (3) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit beobachtet die Auswirkungen der automatischen Datenverarbeitung auf die Arbeitsweise und die Entscheidungsbefugnisse der Behörden und sonstigen öffentlichen Stellen dahingehend, ob sie zu einer Beschränkung der Kontrollmöglichkeiten durch das Abgeordnetenhaus oder die Bezirksverordnetenversammlungen führen. Er kann Maßnahmen zum Schutz gegen derartige Auswirkungen anregen. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist über die Einführung neuer Automationsvorhaben und wesentliche Änderungen automatisierter Datenverarbeitungen im Bereich der Behörden und sonstigen öffentlichen Stellen zu informieren. (4) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit arbeitet mit den Behörden und sonstigen öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz im Bund und in den Ländern zuständig sind, und mit den Aufsichtsbehörden nach § 38 des Bundesdatenschutzgesetzes zusammen. Er ist berechtigt, an diese Stellen personenbezogene Daten zu übermitteln, soweit dies zur Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften erforderlich ist. Er ist ferner berechtigt, für diese Stellen auf ihr Ersuchen die Einhaltung datenschutzrechtlicher Vorschriften zu kontrollieren und in diesem Zusammenhang personenbezogene Daten zu erheben und sie an diese Stellen zu übermitteln; dies gilt auch, wenn sich eine nicht öffentliche Stelle durch Vertrag seiner Kontrolle unterworfen hat. Er leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). (5) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist befugt, personenbezogene Daten, die ihm durch Beschwerden, Anfragen, Hinweise und Beratungsersuchen bekannt werden, zu verarbeiten, soweit dies zur Erfüllung seiner Aufgaben nach diesem Gesetz und dem Bundesdatenschutzgesetz erforderlich ist. Er darf im Rahmen von Kontrollmaßnahmen im Einzelfall personenbezogene Daten auch ohne Kenntnis des Betroffenen erheben, wenn nur auf diese Weise festgestellt werden kann, ob ein datenschutzrechtlicher Mangel besteht. Die nach den Sätzen 1 und 2 erhobenen und verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden. Soweit der Berliner Beauftragte für Datenschutz und Informationsfreiheit von seinem Strafantragsrecht nach § 32 Abs. 3 Gebrauch macht, ist er befugt, der Staatsanwaltschaft personenbezogene Daten zu übermitteln, soweit dies zur Durchführung des Ermittlungsverfahrens erforderlich ist.

§ 3 Verarbeitung personenbezogener Daten im Auftrag (1) Die Vorschriften dieses Gesetzes gelten für die Behörden und sonstigen öffentlichen Stellen auch insoweit, als personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. In diesen Fällen ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen ( § 5 Abs. 1 ) sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 5 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die vom Auftragnehmer vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber hat sich von der Einhaltung der Maßnahmen nach Satz 3 zu überzeugen. (2) Für die Behörden und sonstigen öffentlichen Stellen gelten die §§ 9 bis 17 dieses Gesetzes nicht, soweit sie personenbezogene Daten im Auftrag verarbeiten. In diesen Fällen ist die Verarbeitung personenbezogener Daten nur im Rahmen der Weisungen des Auftraggebers zulässig. Weisungen, die sich auf eine Datenverarbeitung richten, die gegen dieses Gesetz oder andere Rechtsvorschriften über den Datenschutz verstoßen, sind nicht auszuführen. Der Auftraggeber sowie dessen Aufsichtsbehörde sind unverzüglich zu unterrichten. Dasselbe gilt, wenn Daten verarbeitet werden sollen, die nach Ansicht des Auftragnehmers unter Verstoß gegen Rechtsvorschriften erlangt worden sind. (3) Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen dem Land Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, gelten die Vorschriften des Vierten Abschnittes entsprechend, soweit sie in den Fällen des Absatzes 1 Satz 1 im Auftrag tätig werden. Hinsichtlich der Befugnisse nach § 28 Abs. 1 wird das Grundrecht der Unverletzlichkeit der Wohnung ( Artikel 13 des Grundgesetzes , Artikel 19 Abs. 2 Satz 1 der Verfassung von Berlin ) für die Betriebs- und Geschäftszeit eingeschränkt. (4) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Kontrolle des Berliner Beauftragten für Datenschutz und Informationsfreiheit unterwirft. Wird die Datenverarbeitung in einem anderen Bundesland oder in einem Mitgliedstaat der Europäischen Union durchgeführt, ist sicherzustellen, dass der Auftragnehmer einer Datenschutzkontrolle durch die jeweils zuständige Stelle unterliegt. Der Auftraggeber hat den Berliner Beauftragten für Datenschutz und Informationsfreiheit über die Beauftragung zu unterrichten.

§ 33 Aufsichtsbehörde nach dem Bundesdatenschutzgesetz (1) Aufsichtsbehörde nach dem Bundesdatenschutzgesetz für die Datenverarbeitung nicht öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Er nimmt die ihm zugewiesenen Aufgaben unabhängig wahr und ist nur dem Gesetz unterworfen. § 22 Absatz 4 und § 29 Absatz 1 gelten entsprechend. (2) Die Aufsichtsbehörde erhält von den Gewerbeämtern Durchschriften der An-, Um- bzw. Abmeldungen von Betrieben, die nach dem Kenntnisstand der Gewerbeämter der Meldepflicht des § 4 d des Bundesdatenschutzgesetzes unterfallen. Wenn der Aufsichtsbehörde im Rahmen ihrer rechtmäßigen Aufgabenerfüllung Tatsachen bekannt werden, die auf eine gewerberechtliche Unzuverlässigkeit hindeuten, kann sie diese Tatsachen den Gewerbeämtern mitteilen. (3) Die Aufsichtsbehörde ist befugt, personenbezogene Daten, die ihr im Rahmen von Beschwerden und Anfragen bekannt werden, zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben nach dem Bundesdatenschutzgesetz erforderlich ist. Sie darf personenbezogene Daten im Rahmen von Kontrollmaßnahmen im Einzelfall auch ohne Kenntnis der Betroffenen erheben, wenn nur auf diese Weise festgestellt werden kann, ob ein datenschutzrechtlicher Mangel besteht. Die nach den Sätzen 1 und 2 verarbeiteten Daten dürfen nicht zu anderen Zwecken weiterverarbeitet werden.

§ 35a Übergangsregelung Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 des Bundesdatenschutzgesetzes in der bis zum 31. August 2009 geltenden Fassung weiter anzuwenden für Zwecke der Werbung bis zum 31. August 2012.

§ 31 b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit der Einsatz der Videoüberwachung zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die datenverarbeitende Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (3a) Für Daten, die in öffentlich zugänglichen Räumen des öffentlichen Personennahverkehrs nach Absatz 1 erhoben oder nach Absatz 3 Satz 1 gespeichert werden, gilt anstelle von Absatz 3 Satz 2, dass 1. sie für einen anderen Zweck nur verarbeitet werden dürfen, soweit dies zur Abwehr oder für die Verfolgung von Straftaten erforderlich ist, und 2. für diesen Zweck ihre Übermittlung ausschließlich an den Polizeipräsidenten in Berlin und an die Strafverfolgungsbehörden zulässig ist. Aufzeichnungen, deren Speicherung weder für die Abwehr noch für die Verfolgung von Straftaten erforderlich ist, sind spätestens nach 48 Stunden zu löschen. Dies ist durch ein mit dem Polizeipräsidenten in Berlin abzustimmendes Sicherheitskonzept zu gewährleisten. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung, die Identität der verarbeitenden Stelle sowie über die Zweckbestimmung der Verarbeitung zu benachrichtigen. Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. eine Abwägung ergibt, dass das Benachrichtigungsrecht des Betroffenen hinter dem öffentlichen Interesse an der Geheimhaltung aus zwingenden Gründen zurücktreten muss, 2. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 3. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 4. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. Die verantwortliche Stelle legt schriftlich oder elektronisch fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 3 oder 4 abgesehen wird. (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

§ 31 Datenverarbeitung durch den Sender Freies Berlin (1) Soweit der Sender Freies Berlin personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet, gelten an Stelle dieses Gesetzes § 22 a des Berliner Pressegesetzes und § 41 Abs. 2 und 3 des Bundesdatenschutzgesetzes entsprechend. (2) Der Sender Freies Berlin bestellt einen Beauftragten für den Datenschutz, der die Vorschriften über den Datenschutz im journalistisch-redaktionellen Bereich frei von Weisungen überwacht. An ihn kann sich jedermann wenden, wenn er annimmt, bei der Verarbeitung personenbezogener Daten zu journalistisch-redaktionellen oder literarischen Zwecken in seinen Rechten verletzt worden zu sein. Beanstandungen richtet der Beauftragte für den Datenschutz an den Intendanten und unterrichtet gleichzeitig den Rundfunkrat. Die Dienstaufsicht obliegt dem Verwaltungsrat.

§ 15 Gemeinsame Verfahren und automatisierte Abrufverfahren (1) Die Einrichtung eines automatisierten Verfahrens, das mehreren datenverarbeitenden Stellen die Verarbeitung personenbezogener Daten in oder aus einem gemeinsamen Datenbestand (gemeinsame Verfahren) oder die Übermittlung personenbezogener Daten an Dritte durch Abruf (automatisierte Abrufverfahren) ermöglicht, ist nur zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit der Datenverarbeitung im Einzelfall, insbesondere über die Zweckbindung und die erforderlichen technischen und organisatorischen Maßnahmen, bleiben unberührt. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit ist vorab zu unterrichten. (2) Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens ist über die Angaben nach § 19 Absatz 2 hinaus schriftlich insbesondere festzulegen, 1. welche Verfahrensweise angewendet wird und welche Stelle jeweils für die Festlegung, Änderung, Fortentwicklung und Einhaltung von fachlichen und technischen Vorgaben für das gemeinsame Verfahren verantwortlich ist, 2. welche der beteiligten Stellen jeweils für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ist und 3. welche technischen und organisatorischen Maßnahmen nach § 5 Absatz 2, 3 und 5 für die Durchführung des gemeinsamen Verfahrens zu treffen sind. Die nach Satz 1 Nummer 1 verantwortlichen Stellen bestimmen eine der beteiligten Stellen, deren Datenschutzbeauftragter oder Datenschutzbeauftragte eine Kopie der von den beteiligten Stellen nach § 19 jeweils zu erstellenden Beschreibungen verwahrt, diese zusammen mit den Angaben nach Satz 1 Nummer 1 bis 3 zur Einsicht nach § 19a Absatz 1 Satz 5 bereithält und die Datenschutzbeauftragten der übrigen verantwortlichen Stellen entsprechend informiert. § 19a Absatz 1 Satz 6 und 7 gilt entsprechend. (3) Die Betroffenen können ihre Rechte nach § 7 Satz 1 Nummer 1 bis 4 gegenüber jeder der an dem gemeinsamen Verfahren beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der betroffenen Daten verantwortlich ist. Die Stelle, an die sich der Betroffene oder die Betroffene wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter. Das Auskunftsrecht nach § 16 erstreckt sich auch auf die Angaben nach Absatz 2 Satz 1 Nummer 2. (4) Die an einem automatisierten Abrufverfahren beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen: 1. den Anlass und Zweck des Abrufverfahrens, 2. die Empfänger und Empfängerinnen der Daten, 3. die Art der zu übermittelnden Daten sowie 4. die nach § 5 erforderlichen technischen und organisatorischen Maßnahmen. Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde getroffen werden. (5) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger oder die Empfängerin der Daten. Die übermittelnde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die übermittelnde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. (6) Nicht-öffentliche Stellen können sich an gemeinsamen Verfahren und automatisierten Abrufverfahren beteiligen, wenn eine Rechtsvorschrift dies zulässt und sie sich insoweit den Vorschriften dieses Gesetzes unterwerfen. (7) Für die Einrichtung gemeinsamer Verfahren und automatisierter Abrufverfahren für verschiedene Zwecke innerhalb einer öffentlichen Stelle gelten die Absätze 1 bis 5 entsprechend. (8) Die Absätze 1 bis 7 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre. (9) Die Absätze 1, 4, 6 und 8 sind auf die Zulassung regelmäßiger automatisierter Datenübermittlungen entsprechend anzuwenden.

§ 2 Anwendungsbereich (1) Zum Schutz personenbezogener Daten nach Maßgabe dieses Gesetzes sind alle Behörden und sonstigen öffentlichen Stellen (insbesondere nichtrechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts ( § 28 des Allgemeinen Zuständigkeitsgesetzes ) verpflichtet. Dies gilt auch für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen. (2) Betrifft die Datenverarbeitung frühere, bestehende oder künftige dienst- oder arbeitsrechtliche Rechtsverhältnisse, so gelten anstelle der §§ 9 bis 17 dieses Gesetzes § 28 Absatz 2 Nummer 2 , §§ 31 bis 35 , 39 und 43 des Bundesdatenschutzgesetzes , soweit nichts anderes geregelt ist. Dies gilt auch für die Verarbeitung in Akten. (3) Für öffentliche Stellen, die am Wettbewerb teilnehmen, gelten die §§ 3 , 6 , 6 a , 9 bis 17 , 18a und 30 dieses Gesetzes nicht. Für sie gelten die §§ 11 , 27 Abs. 2 , §§ 28 bis 35 , 39 , 40 , 42a und 43 des Bundesdatenschutzgesetzes . (4) Soweit personenbezogene Daten im Anwendungsbereich des Gesetzes über das Verfahren der Berliner Verwaltung verarbeitet werden, gelten die Vorschriften des Berliner Datenschutzgesetzes . (5) Dieses Gesetz regelt den Schutz personenbezogener Daten für die Behörden und sonstigen öffentlichen Stellen umfassend. Andere Landesgesetze können für bestimmte Behörden und sonstige öffentliche Stellen einzelne notwendige Abweichungen von diesem Gesetz vorschreiben; im übrigen richtet sich der Datenschutz auch in diesen Fällen nach den Vorschriften dieses Gesetzes.

§ 26 Beanstandungen (1) Stellt der Berliner Beauftragte für Datenschutz und Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzvorschriften oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies 1. bei Behörden und sonstigen öffentlichen Stellen der Hauptverwaltung gegenüber dem zuständigen Mitglied des Senats, im übrigen gegenüber dem Präsidenten des Abgeordnetenhauses oder dem Präsidenten des Rechnungshofs, 2. bei Behörden und sonstigen öffentlichen Stellen der Bezirksverwaltungen gegenüber den Bezirksämtern, 3. bei den landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. In den Fällen des Satzes 1 Nr. 2 und 3 unterrichtet der Berliner Beauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch das für die Aufsicht zuständige Mitglied des Senats. (2) Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche Mängel handelt. (3) Mit der Beanstandung kann der Berliner Beauftragte für Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden. (4) Die nach Absatz 1 Satz 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung des Berliner Beauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die in Absatz 1 Satz 1 Nummer 2 und 3 genannten Stellen leiten dem für die Aufsicht zuständigen Mitglied des Senats ihre Stellungnahme an den Berliner Beauftragten für Datenschutz und Informationsfreiheit ebenfalls zu.

§ 31 a Fernmeß- und Fernwirkdienste (1) Öffentliche Stellen dürfen ferngesteuerte Messungen oder Beobachtungen (Fernmeßdienste) in Wohnungen oder Geschäftsräumen nur vornehmen oder mittels einer Übertragungseinrichtung in Wohnungen oder Geschäftsräumen andere Wirkungen nur auslösen (Fernwirkdienste), wenn der Betroffene zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes der Dienste unterrichtet worden ist und nach der Unterrichtung schriftlich eingewilligt hat. Der Betroffene kann seine Einwilligung jederzeit widerrufen. Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung. (2) Die Einrichtung von Fernmeß- und Fernwirkdiensten ist nur zulässig, wenn der Betroffene erkennen kann, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist, und wenn der Teilnehmer den Dienst jederzeit abschalten kann, soweit dies mit dem Vertragszweck vereinbar ist. (3) Eine Leistung, der Abschluß oder die Abwicklung eines Vertragsverhältnisses dürfen nicht davon abhängig gemacht werden, daß der Betroffene nach Absatz 1 Satz 1 einwilligt. Verweigert oder widerruft er seine Einwilligung, so dürfen ihm keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen. (4) Soweit im Rahmen von Fernmeß- und Fernwirkdiensten personenbezogene Daten erhoben werden, dürfen diese nur zu den vereinbarten Zwecken verarbeitet werden. Sie sind zu löschen, wenn sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

§ 1 Aufgabe und Gegenstand des Datenschutzes (1) Aufgabe dieses Gesetzes ist es, die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen zu regeln, um 1. das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind (informationelles Selbstbestimmungsrecht), 2. die auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Ordnung vor einer Gefährdung infolge der automatisierten Datenverarbeitung zu bewahren. (2) Dieses Gesetz schützt personenbezogene Daten, die von Behörden oder sonstigen öffentlichen Stellen erhoben, gespeichert, verändert, übermittelt, gesperrt, gelöscht oder sonst genutzt werden.

§ 13 Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs Die Übermittlung personenbezogener Daten an Personen und andere Stellen außerhalb des öffentlichen Bereichs sowie an landesunmittelbare Anstalten des öffentlichen Rechts, die am Wettbewerb teilnehmen, ist zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat.

§ 35 Änderung des Gesetzes über das Verfahren der Berliner Verwaltung (Änderungsanweisungen)

§ 36 Inkrafttreten, Außerkrafttreten (1) Dieses Gesetz tritt am Tage nach der Verkündung im Gesetz- und Verordnungsblatt für Berlin in Kraft. (2) (Aufhebungsanweisungen) (3) Die Senatsverwaltung für Inneres wird ermächtigt, das Berliner Datenschutzgesetz mit neuer fortlaufender Paragraphenfolge bekanntzumachen und dabei Unstimmigkeiten des Wortlauts zu beseitigen.

§ 9 Erforderlichkeit (1) Nach Maßgabe der nachfolgenden Vorschriften ist die Verarbeitung personenbezogener Daten nur zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Gesetz der datenverarbeitenden Stelle zugewiesenen Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist. (2) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist, so sind die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, über Absatz 1 hinaus zulässig. Diese Daten unterliegen insoweit einem Verwertungsverbot.