Niedersächsisches Datenschutzgesetz (NDSG) 

(1) 1Dieser Teil trifft ergänzende Regelungen zur Datenschutz-Grundverordnung für die Verarbeitung personenbezogener Daten 1.durch Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungena)des Landes,b)der Kommunen undc)der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechtsund deren Vereinigungen ungeachtet ihrer Rechtsform (öffentliche Stellen) sowie2.durch Personen und Stellen außerhalb des öffentlichen Bereichs (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter Nummer 1 fallen), soweit ihnen Aufgaben der öffentlichen Verwaltung übertragen sind,soweit die Datenverarbeitung in den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung fällt oder nach § 2 auf die Datenverarbeitung die Regelungen der Datenschutz-Grundverordnung anzuwenden sind. 2Personen und Stellen nach Satz 1 Nr. 2 sind öffentliche Stellen im Sinne der Vorschriften dieses Teils, soweit ihnen Aufgaben der öffentlichen Verwaltung übertragen sind. 3§ 2 Abs. 3 des Bundesdatenschutzgesetzes bleibt unberührt. (2) Für die Gerichte sowie für die Behörden der Staatsanwaltschaft gelten die Vorschriften dieses Teils nur, soweit sie Verwaltungsaufgaben wahrnehmen.(3) Für den Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten gelten die Vorschriften dieses Teils nur, soweit sie Verwaltungsaufgaben wahrnehmen.(4) Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen und dabei personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeiten, finden für sie selbst, ihre Zusammenschlüsse und Verbände die für nicht öffentliche Stellen geltenden Vorschriften Anwendung.(5) Für öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten sowie deren Vereinigungen gelten § 12 dieses Gesetzes und im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften. (6) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten gehen den Vorschriften dieses Teils vor.

Die Regelungen der Datenschutz-Grundverordnung finden auch Anwendung 1.mit Ausnahme der Artikel 30, 35 und 36 der Datenschutz-Grundverordnung über Artikel 2 Abs. 1 der Datenschutz-Grundverordnung hinaus auf die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen, und 2.über Artikel 2 Abs. 2 Buchst. a der Datenschutz-Grundverordnung hinaus auf die Verarbeitung personenbezogener Daten a)zum Zweck der Vorbereitung öffentlicher Auszeichnungen und Ehrungen, soweit in § 15 Abs. 2 nichts anderes bestimmt ist, b)in Begnadigungsverfahren, soweit in § 16 Satz 2 nichts anderes bestimmt ist, und c)im Rahmen einer sonstigen nicht in den sachlichen Anwendungsbereich des Unionsrechts fallenden Tätigkeit, die nicht unter Artikel 2 Abs. 2 Buchst. b bis d der Datenschutz-Grundverordnung fällt, soweit die Datenverarbeitung durch Rechtsvorschrift nicht speziell geregelt ist.

(1) 1Die Übermittlung personenbezogener Daten an eine öffentliche Stelle ist zulässig, soweit sie zur Erfüllung der Aufgaben der übermittelnden Stelle oder der empfangenden Stelle erforderlich ist und die Daten für den Zweck erhoben worden sind oder die Voraussetzungen für eine Zweckänderung vorliegen. 2Die Übermittlung personenbezogener Daten an eine nicht öffentliche Stelle ist zulässig, soweit 1.sie zur Erfüllung der Aufgaben der übermittelnden Stelle erforderlich ist und die Daten für den Zweck erhoben worden sind oder die Voraussetzungen für eine Zweckänderung vorliegen oder2.die empfangende Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft macht und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an der Geheimhaltung überwiegt.3Bei einer Übermittlung nach Satz 2 hat sich der Empfänger gegenüber der übermittelnden öffentlichen Stelle zu verpflichten, die Daten nur für den Zweck zu verarbeiten, zu dem sie ihm übermittelt wurden. 4An öffentlich-rechtliche Religionsgesellschaften ist die Übermittlung nur zulässig, sofern sichergestellt ist, dass bei dem Empfänger eine Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung erfolgt. (2) 1Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung aufgrund eines Ersuchens einer öffentlichen Stelle, so trägt diese die Verantwortung. 3Die übermittelnde Stelle hat dann lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden Stelle hält. 4Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen. 5Erfolgt die Übermittlung durch automatisierten Abruf (§ 7), so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger. (3) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen oder einer anderen Person so verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht berechtigte Interessen der betroffenen oder einer anderen Person an deren Geheimhaltung offensichtlich überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

(1) Zu dem Zweck einer Verarbeitung personenbezogener Daten zählt auch die Verarbeitung1.zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung und zur Durchführung von Organisationsuntersuchungen sowie2.zu Ausbildungs- und Prüfungszwecken, soweit nicht berechtigte Interessen der betroffenen Person an der Geheimhaltung der Daten überwiegen.(2) Eine Verarbeitung von personenbezogenen Daten zu einem anderen Zweck als dem, für den die Daten erhoben wurden, ist zulässig, soweit und solange1.die Datenverarbeitung zur Abwehr einer Gefahr für die öffentliche Sicherheit oder zur Abwehr von erheblichen Nachteilen für das Wohl des Bundes oder eines Landes erforderlich ist,2.die Datenverarbeitung zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Strafvollstreckung oder zur Vollstreckung von Geldbußen erforderlich ist,3.die Datenverarbeitung zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte und Freiheiten einer anderen Person erforderlich ist,4.die Datenverarbeitung erforderlich ist, um Angaben der betroffenen Person, an deren Richtigkeit aufgrund tatsächlicher Anhaltspunkte Zweifel bestehen, zu überprüfen,5.die Datenverarbeitung zum Schutz der betroffenen Person erforderlich ist oder6.die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, es sei denn, dass schutzwürdige Interessen der betroffenen Person der Datenverarbeitung offensichtlich entgegenstehen.(3) Personenbezogene Daten, die einem Berufsgeheimnis oder einem besonderen Amtsgeheimnis unterliegen und der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind, dürfen nicht nach Absatz 2 zu anderen Zwecken verarbeitet werden.(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Gewährleistung der Datensicherheit oder des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht nach Absatz 2 zu anderen Zwecken verarbeitet werden.(5) Eine Information der betroffenen Person nach Artikel 13 Abs. 3 und Artikel 14 Abs. 4 der Datenschutz-Grundverordnung über die Datenverarbeitung nach Absatz 2 Nrn. 1 bis 4 erfolgt nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde.

Die Einrichtung eines automatisierten Abrufverfahrens oder eines gemeinsamen automatisierten Dateisystems, in oder aus dem mehrere Daten verarbeitende öffentliche Stellen personenbezogene Daten verarbeiten, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können.

Die Verantwortlichen können von der Erteilung der Information nach Artikel 13 Abs. 1 bis 3 und Artikel 14 Abs. 1, 2 und 4 der Datenschutz-Grundverordnung absehen, soweit und solange 1.die Information die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde,2.dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist oder3.die Information dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift im öffentlichen Interesse oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird.

(1) 1Bezieht sich eine nach Artikel 15 der Datenschutz-Grundverordnung verlangte Auskunft auf personenbezogene Daten, die an 1.eine Behörde der Staatsanwaltschaft, eine Polizeidienststelle oder eine andere zur Verfolgung von Straftaten zuständige Stelle,2.eine Verfassungsschutzbehörde, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst oder3.das Bundesministerium der Verteidigung oder eine Behörde seines nachgeordneten Bereichsübermittelt wurden, so ist dieser Behörde vor der Erteilung der Auskunft Gelegenheit zur Stellungnahme zu geben. 2Im Fall des Satzes 1 Nr. 3 ist dies nur erforderlich, wenn die Erteilung der Auskunft die Sicherheit des Bundes berühren könnte. 3Die Sätze 1 und 2 gelten entsprechend für personenbezogene Daten, die von einer Behörde nach Satz 1 übermittelt wurden. (2) 1Die Verantwortlichen können die Erteilung einer Auskunft ablehnen, soweit und solange 1.die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde,2.dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist oder3.die Auskunft dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift im öffentlichen Interesse oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird.2Abgelehnt werden kann auch eine Auskunft über personenbezogene Daten, die ausschließlich zu Zwecken der Gewährleistung der Datensicherheit oder der Datenschutzkontrolle verarbeitet werden und durch geeignete technische und organisatorische Maßnahmen gegen eine Verarbeitung zu anderen Zwecken geschützt sind, wenn die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordern würde. (3) Die Ablehnung der Auskunft ist zu begründen, soweit nicht durch die Mitteilung der Gründe der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.(4) 1Wird der betroffenen Person eine Auskunft nicht erteilt, so ist die Auskunft auf Verlangen der betroffenen Person der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde (§ 18 Abs. 1 Satz 2) zu erteilen. 2Die Mitteilung der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt. (5) Über personenbezogene Daten, die nicht automatisiert verarbeitet werden und die in einem Dateisystem weder gespeichert sind noch gespeichert werden sollen (§ 2 Nr. 1), wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.

Die Verantwortlichen können von der Benachrichtigung nach Artikel 34 der Datenschutz-Grundverordnung absehen, soweit und solange 1.die Benachrichtigung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde,2.dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist,3.die Benachrichtigung dazu führen würde, dass ein Sachverhalt, der nach einer Rechtsvorschrift im öffentlichen Interesse oder wegen der Rechte und Freiheiten einer anderen Person geheim zu halten ist, aufgedeckt wird oder4.die Benachrichtigung die Sicherheit von automatisierten Informationssystemen gefährden würde.

(1) Die beamtenrechtlichen Vorschriften über das Führen von Personalakten des § 50 des Beamtenstatusgesetzes und der §§ 88 bis 95 des Niedersächsischen Beamtengesetzes (NBG) sind für alle nicht beamteten Beschäftigten einer öffentlichen Stelle entsprechend anzuwenden, soweit tarifvertraglich nichts anderes geregelt ist. (2) 1Werden Feststellungen über die Eignung einer Bewerberin oder eines Bewerbers für ein Dienst- oder Arbeitsverhältnis durch ärztliche oder psychologische Untersuchungen oder Tests getroffen, so darf die Einstellungsbehörde von der untersuchenden Person oder Stelle in der Regel nur das Ergebnis der Eignungsuntersuchung und Feststellungen über Faktoren anfordern, die die gesundheitliche Eignung beeinträchtigen können. 2Weitere personenbezogene Daten darf sie nur anfordern, wenn sie die Bewerberin oder den Bewerber zuvor schriftlich über die Gründe dafür unterrichtet hat. (3) 1§ 108a Abs. 1 Satz 1 Nrn. 2 bis 4 und Sätze 2 bis 5 und Abs. 2 NBG ist für alle Bewerberinnen und Bewerber um ein Arbeits-, Ausbildungs- oder Praktikantenverhältnis bei einer Polizeibehörde oder der Polizeiakademie Niedersachsen entsprechend anzuwenden, wenn diese Behörde Einstellungsbehörde ist. 2Die Regelungen des Niedersächsischen Sicherheitsüberprüfungsgesetzes bleiben unberührt.

(1) 1Öffentliche Stellen dürfen personenbezogene Daten einschließlich Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung für ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben verarbeiten oder an andere Stellen zu diesem Zweck übermitteln, wenn die Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der betroffenen Person der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der betroffenen Person überwiegt. 2Das Ergebnis der Abwägung und seine Begründung sind aufzuzeichnen. 3Über die Verarbeitung ist die oder der Datenschutzbeauftragte nach Artikel 37 der Datenschutz-Grundverordnung zu unterrichten. (2) 1Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken verarbeitet, so sind sie von der Forschungseinrichtung zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, getrennt zu speichern. 3Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Im Rahmen von wissenschaftlichen oder historischen Forschungsvorhaben dürfen personenbezogene Daten nur veröffentlicht werden, wenn1.die betroffene Person eingewilligt hat oder2.dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.(4) 1Personenbezogene Daten dürfen an Empfängerinnen und Empfänger, auf die die Vorschriften dieses Teils keine Anwendung finden, zu wissenschaftlichen oder historischen Forschungszwecken nur übermittelt werden, wenn sich diese verpflichtet haben, die Daten ausschließlich für das von ihnen bezeichnete Forschungsvorhaben und nach Maßgabe der Absätze 1 bis 3 zu verarbeiten und Schutzmaßnahmen nach § 17 oder gleichwertige Maßnahmen zu treffen. 2Die Übermittlung ist der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde frühzeitig anzuzeigen. (5) Die Verantwortlichen können von einer Gewährung der Rechte aus den Artikeln 15, 16, 18 und 21 der Datenschutz-Grundverordnung absehen, soweit und solange die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der jeweiligen wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und der Ausschluss dieser Rechte für die Erfüllung dieser Zwecke notwendig ist.

(1) 1Die oder der Landesbeauftragte für den Datenschutz leitet eine von der Landesregierung unabhängige oberste Landesbehörde mit Sitz in Hannover. 2Diese Behörde ist Aufsichtsbehörde im Sinne des Artikels 51 Abs. 1 der Datenschutz-Grundverordnung für die Datenverarbeitung im Anwendungsbereich der Vorschriften dieses Teils. (2) Neben der nach Artikel 53 Abs. 2 der Datenschutz-Grundverordnung erforderlichen Qualifikation, Erfahrung und Sachkunde, insbesondere im Bereich des Schutzes personenbezogener Daten, soll die oder der Landesbeauftragte für den Datenschutz die Befähigung zum Richteramt haben. (3) 1Die oder der Landesbeauftragte für den Datenschutz wird nach der Wahl durch den Landtag auf die Dauer von acht Jahren in ein Beamtenverhältnis auf Zeit berufen. 2Die einmalige Wiederwahl ist zulässig. 3Die Amtszeit verlängert sich bis zur Berufung einer Nachfolgerin oder eines Nachfolgers, längstens jedoch um sechs Monate. (4) 1Für die Landesbeauftragte für den Datenschutz oder den Landesbeauftragten für den Datenschutz gilt keine Altersgrenze. 2§ 37 NBG ist nicht anzuwenden. (5) 1Eine Amtsenthebung nach Artikel 53 Abs. 4 der Datenschutz-Grundverordnung erfolgt durch Beschluss des Landtages. 2Der Beschluss bedarf der Mehrheit von zwei Dritteln der Mitglieder des Landtages. (6) 1Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde wählt ihr eigenes Personal aus. 2Das Personal untersteht ausschließlich der Leitung der oder des Landesbeauftragten für den Datenschutz. 3Soweit dienstrechtliche Befugnisse der Landesregierung zustehen, werden Stellen auf Vorschlag der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde besetzt. 4Soweit dienstrechtliche Befugnisse der Landesregierung zustehen, können die Beschäftigten ohne ihre Zustimmung nur im Einvernehmen mit der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde versetzt, abgeordnet oder umgesetzt werden. (7) 1Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde darf Aufgaben der Personalverwaltung ganz oder teilweise auf eine andere Behörde übertragen. 2In diesem Fall dürfen personenbezogene Daten aus der Personalakte auch ohne Einwilligung der betroffenen Person an diese Behörde übermittelt und von ihr verarbeitet werden, soweit dies für die Erfüllung der übertragenen Aufgabe erforderlich ist. (8) Der Landesrechnungshof hat die Rechnungsprüfung bei der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde so durchzuführen, dass die Unabhängigkeit im Sinne des Artikels 52 Abs. 1 der Datenschutz-Grundverordnung nicht beeinträchtigt wird.

(1) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde nimmt ihre Aufgaben als Aufsichtsbehörde nach der Datenschutz-Grundverordnung auch in Bezug auf die Vorschriften dieses Teils und andere datenschutzrechtliche Bestimmungen wahr. (2) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ist bei Planungen des Landes, der Kommunen, der kommunalen Anstalten und der gemeinsamen kommunalen Anstalten, der kommunalen Zweckverbände sowie des Bezirksverbands Oldenburg und des Regionalverbandes "Großraum Braunschweig" zum Aufbau automatisierter Informationssysteme frühzeitig zu unterrichten.

(1) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde hat ihre Befugnisse nach Artikel 58 Abs. 1 bis 3 der Datenschutz-Grundverordnung auch in Bezug auf die Vorschriften dieses Teils und andere datenschutzrechtliche Bestimmungen. (2) 1Bestehen Anhaltspunkte dafür, dass eine Datenverarbeitung gegen die Datenschutz-Grundverordnung, die Vorschriften dieses Teils oder andere datenschutzrechtliche Bestimmungen verstößt, so kann die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde den Verantwortlichen oder den Auftragsverarbeiter auffordern, innerhalb einer bestimmten Frist Stellung zu nehmen. 2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde unterrichtet gleichzeitig die Rechts- oder Fachaufsichtsbehörde über die Aufforderung. 3In der Stellungnahme nach Satz 1 soll auch dargestellt werden, wie die Folgen eines Verstoßes beseitigt und künftige Verstöße vermieden werden sollen. 4Die Verantwortlichen und Auftragsverarbeiter leiten der Rechts- oder Fachaufsichtsbehörde eine Abschrift ihrer Stellungnahme zu. (3) 1Auch Behörden und sonstige öffentliche Stellen des Landes können gerichtlich gegen sie betreffende verbindliche Entscheidungen der von der oder dem Landesbeauftragen für den Datenschutz geleiteten Behörde vorgehen. 2Die Klage hat aufschiebende Wirkung. (4) 1Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde bei der Wahrnehmung ihrer Aufgaben zu unterstützen. 2Dazu haben sie der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde insbesondere jederzeit Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde zur Erfüllung ihrer Aufgaben für erforderlich hält, zu gewähren. 3Auf Verlangen der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde sind alle Unterlagen über die Verarbeitung personenbezogener Daten innerhalb einer bestimmten Frist vorzulegen. (5) Die Befugnis, Geldbußen zu verhängen, steht der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde gegenüber öffentlichen Stellen nur zu, soweit diese als Unternehmen am Wettbewerb teilnehmen.

(1) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde überwacht in ihrem Bereich die Einhaltung der Bestimmungen der §§ 19 bis 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) vom 23. Juni 2021 (BGBl. I S. 1982; 2022 S. 1045), zuletzt geändert durch Artikel 4 des Gesetzes vom 12. August 2021 (BGBl. I S. 3544), in der jeweils geltenden Fassung. (2) Im Hinblick auf die Befugnisse der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde im Rahmen ihrer Aufsichtstätigkeit über die Einhaltung der Bestimmungen nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz findet Artikel 58 der Datenschutz-Grundverordnung entsprechende Anwendung. (3) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ist Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten (OWiG) in der Fassung vom 19. Februar 1987 (BGBl. I S. 602), zuletzt geändert durch Artikel 5 des Gesetzes vom 14. März 2023 (BGBl. 2023 I Nr. 73), in der jeweils geltenden Fassung, in den Fällen des § 28 Abs. 1 Nrn. 10 bis 13 TTDSG, soweit nicht die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gemäß § 28 Abs. 3 Nr. 2 TTDSG Verwaltungsbehörde im Sinne des § 36 Abs. 1 Nr. 1 OWiG ist.

Die Landesregierung nimmt zu dem Tätigkeitsbericht der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde nach Artikel 59 der Datenschutz-Grundverordnung innerhalb von sechs Monaten gegenüber dem Landtag Stellung.

1Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ist auch Aufsichtsbehörde im Sinne des Artikels 51 Abs. 1 der Datenschutz-Grundverordnung in Verbindung mit § 40 des Bundesdatenschutzgesetzes1.für die Datenverarbeitung durch nicht öffentliche Stellen und2.für die Datenverarbeitung durch öffentliche Stellen, soweit nach § 1 Abs. 4 oder Abs. 5 die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes anzuwenden sind. 2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde nimmt dabei ihre Aufgaben und Befugnisse als Aufsichtsbehörde nach der Datenschutz-Grundverordnung auch in Bezug auf andere datenschutzrechtliche Bestimmungen wahr.

(1) 1Dieser Teil gilt für die öffentlichen Stellen im Sinne des § 1 Abs. 1 Satz 1 Nr. 1 Buchst. a und b sowie des § 1 Abs. 1 Satz 2, die zuständig sind für die Verarbeitung personenbezogener Daten zur Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, soweit sie zum Zweck der Erfüllung dieser Aufgaben personenbezogene Daten verarbeiten. 2Satz 1 gilt auch für diejenigen öffentlichen Stellen, die für die Vollstreckung und den Vollzug von Strafen, von Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 StGB, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. (2) Absatz 1 gilt auch für diejenigen öffentlichen Stellen, die Ordnungswidrigkeiten verfolgen und ahnden sowie Sanktionen vollstrecken.(3) 1Andere Rechtsvorschriften des Bundes- oder des Landesrechts, in denen die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, für die in Absatz 1 genannten Stellen besonders geregelt ist, gehen den Vorschriften dieses Teils vor. 2Soweit diese besonderen Vorschriften keine abschließenden Regelungen enthalten, sind die Vorschriften dieses Teils ergänzend anzuwenden. 3Die Sätze 1 und 2 gelten auch für die in Absatz 2 genannten öffentlichen Stellen.

(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle im Sinne des § 23 Abs. 1 und 2 ist zulässig, soweit und solange sie zur Erfüllung der in ihrer Zuständigkeit liegenden und in § 23 Abs. 1 und 2 genannten Aufgabe erforderlich und verhältnismäßig ist. (2) Personenbezogene Daten müssen1.auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,2.für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden und3.sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, wobei alle angemessenen Maßnahmen zu treffen sind, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.(3) 1Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unerlässlich ist. 2Für den Schutz bei der Verarbeitung besonderer Kategorien personenbezogener Daten für die in § 23 genannten Zwecke ist § 17 Abs. 2 bis 4 entsprechend anwendbar. (4) 1Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 23 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. 2Die Verarbeitung personenbezogener Daten zu einem anderen, in § 23 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist. (5) 1Die Verarbeitung kann zu im öffentlichen Interesse liegenden Archivzwecken oder statistischen Zwecken erfolgen. 2Für die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken ist § 13 Abs. 1 bis 4 entsprechend anwendbar, wobei die Rechte der betroffenen Person auf Auskunft nach § 51, Berichtigung und Einschränkung der Verarbeitung nach § 52 nicht bestehen, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der jeweiligen wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und der Ausschluss dieser Rechte für die Erfüllung dieser Zwecke notwendig ist. (6) 1Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen erfolgt. 2Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit nicht berechtigte Interessen der betroffenen Personen an der Geheimhaltung der Daten überwiegen.

(1) 1Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass unrichtige sowie ohne sachlichen Grund unvollständige oder nicht mehr aktuelle personenbezogene Daten nicht übermittelt oder sonst bereitgestellt werden. 2Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der personenbezogenen Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. 3Bei jeder Übermittlung personenbezogener Daten hat er, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen. (2) 1Hat der Verantwortliche unrichtige personenbezogene Daten übermittelt oder war die Übermittlung unzulässig, so hat er dies dem Empfänger mitzuteilen. 2Der Empfänger hat die übermittelten unrichtigen Daten zu berichtigen oder die unzulässig übermittelten Daten nach § 28 zu löschen oder in ihrer Verarbeitung einzuschränken. (3) 1Hat der Verantwortliche personenbezogene Daten nach § 28 Abs. 1 Satz 1 Nr. 1 gelöscht oder nach § 28 Abs. 2 Satz 1 Nr. 1 oder 2 in der Verarbeitung eingeschränkt, so hat er anderen Empfängern, denen er die Daten übermittelt hat, diese Maßnahmen mitzuteilen. 2Der Empfänger hat die Daten zu löschen oder in ihrer Verarbeitung einzuschränken. (4) 1Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. 2Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend gekennzeichnet werden. (5) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen Union und in Schengen assoziierten Staaten keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche Datenübermittlungen gelten.(6) § 5 Abs. 2 und 3 ist bei der Übermittlung im Anwendungsbereich dieses Teils entsprechend anwendbar.

(1) 1Vor der Inbetriebnahme neu anzulegender Datenverarbeitungssysteme hat der Verantwortliche die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anzuhören, wenn 1.aus einer Datenschutz-Folgenabschätzung nach § 39 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder 2.die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien und Verfahren, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte.2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen. (2) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ist bei der Ausarbeitung von Rechts- und Verwaltungsvorschriften anzuhören, die die Verarbeitung personenbezogener Daten betreffen.(3) Der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde sind die in Artikel 36 Abs. 3 der Datenschutz-Grundverordnung genannten Informationen sowie auf Anforderung weitere Informationen vorzulegen, die sie benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können. (4) 1Falls die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, so kann sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. 2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. 3Sie hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren und die Gründe für die Verzögerung mitzuteilen. (5) 1Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, so kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 4 genannten Frist beginnen. 2In diesem Fall sind die Empfehlungen der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde nachträglich zu berücksichtigen, wobei die Art und Weise der Verarbeitung insoweit gegebenenfalls anzupassen ist.

(1) 1Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft zu erteilen über 1.die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,2.den Zweck und die Rechtsgrundlage der Verarbeitung,3.die verfügbaren Informationen über die Herkunft der Daten,4.die Empfänger oder die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, und5.die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer.2Der Verantwortliche hat die betroffene Person auf ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten durch den Verantwortlichen und das Bestehen des Rechts nach § 55, die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anzurufen, hinzuweisen und deren Kontaktdaten mitzuteilen. (2) Absatz 1 gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Gewährleistung der Datensicherheit oder der Datenschutzkontrolle verarbeitet werden, wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.(3) 1Der Verantwortliche kann die Auskunftserteilung einschränken oder ablehnen, soweit und solange 1.die Auskunft die Erfüllung der in § 23 bezeichneten Aufgaben gefährden würden, 2.die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes einen Nachteil bereiten würde oder3.die Auskunft die Interessen einer anderen Person an der Geheimhaltung gefährden würde,es sei denn, das Informationsinteresse der betroffenen Person überwiegt das Interesse an der Vermeidung dieser Gefahren. 2Die Auskunftserteilung kann auch eingeschränkt oder abgelehnt werden, soweit und solange die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift geheim gehalten werden müssen. (4) 1Bezieht sich die Auskunftserteilung auf personenbezogene Daten, die an die Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung übermittelt wurden, so ist sie nur mit Zustimmung dieser Stellen zulässig. 2Satz 1 gilt entsprechend für personenbezogene Daten, die von einer Behörde nach Satz 1 übermittelt wurden. (5) 1Der Verantwortliche hat die betroffene Person über die Ablehnung oder die Einschränkung der Auskunftserteilung unverzüglich schriftlich zu unterrichten. 2Die Ablehnung oder Einschränkung der Auskunft nach Satz 1 ist zu begründen, es sei denn, dass durch die Mitteilung der Gründe der mit der Ablehnung oder Einschränkung der Auskunft verfolgte Zweck gefährdet würde. 3Soweit die Ablehnung oder die Einschränkung der Auskunftserteilung nicht nach Satz 2 begründet wird, sind die Gründe hierfür aktenkundig zu machen. (6) 1Wird die betroffene Person nach Absatz 5 über die Ablehnung oder die Einschränkung der Auskunftserteilung unterrichtet, so kann die betroffene Person ihr Auskunftsrecht auch über die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ausüben. 2Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 55 die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anrufen oder gerichtlichen Rechtsschutz suchen kann. 3Auf Verlangen der betroffenen Person erteilt der Verantwortliche der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde die begehrte Auskunft und stellt dieser die nach Absatz 5 Satz 3 dokumentierten Gründe für die Ablehnung oder Einschränkung der Auskunftserteilung zur Verfügung, es sei denn, es liegt ein Ausschlussgrund nach § 57 Abs. 7 Satz 1 vor. 4Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch sie erfolgt sind, oder über die Gründe, aus denen eine Überprüfung nicht erfolgt ist. 5Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. 6Die Mitteilung der von dem oder der Landesbeauftragten für den Datenschutz geleiteten Behörde an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern er nicht einer weitergehenden Auskunft zustimmt. 7Der Verantwortliche darf die Zustimmung nur soweit und solange verweigern, wie er nach Absatz 3 von einer Auskunft absehen oder sie einschränken könnte.

(1) 1Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. 2Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder der Beurteilung, sondern die Tatsache, dass die Aussage oder Beurteilung so erfolgt ist. 3Hat der Verantwortliche eine Berichtigung vorgenommen, so hat er einer Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. 4Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, so tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. 5In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. 6Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist. (2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn ihre Verarbeitung unzulässig oder ihre Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.(3) § 28 Abs. 2 und 3 und § 32 Abs. 2 und 3 sind anwendbar. (4) 1Der Verantwortliche hat die betroffene Person über eine Verweigerung der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung und über die Gründe hierfür schriftlich zu unterrichten. 2Dies gilt nicht, wenn die Erteilung dieser Informationen eine Gefährdung im Sinne des § 51 Abs. 3 mit sich bringen würde. 3Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde. 4§ 51 Abs. 6 ist entsprechend anwendbar.

(1) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde nach § 18 ist auch Aufsichtsbehörde nach Artikel 41 Abs. 1 der Richtlinie (EU) 2016/680. (2) Sie hat die Aufgabe,1.die Anwendung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften zu überwachen und durchzusetzen, 2.die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären,3.den Landtag, die Landesregierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,4.die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus der Umsetzung der Richtlinie (EU) 2016/680 entstehenden Pflichten zu sensibilisieren, 5.auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aus den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten, 6.sich mit Beschwerden einer betroffenen Person, auch wenn sie von einer Stelle, einer Organisation oder einem Verband nach Artikel 55 der Richtlinie (EU) 2016/680 eingelegt wurden, zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere über eine notwendige Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde, 7.mit anderen Aufsichtsbehörden auch durch Informationsaustausch zusammenzuarbeiten und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften zu gewährleisten, 8.Untersuchungen über die Anwendung der Vorschriften dieses Teils und sonstiger Vorschriften über den Datenschutz zur Umsetzung der Richtlinie (EU) 2016/680 durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen öffentlichen Stelle, 9.maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,10.Beratung in Bezug auf die in § 40 genannten Verarbeitungsvorgänge zu leisten und 11.Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.(3) 1Die Aufsicht über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Ermittlung, Aufdeckung oder Verfolgung von Straftaten ist erst nach Abschluss des Strafverfahrens zulässig. 2Sie erstreckt sich nicht auf eine Datenverarbeitung, die gerichtlich überprüft wurde. 3Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend. (4) 1Der Verantwortliche hat mit der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und sie bei der Wahrnehmung ihrer Aufgaben zu unterstützen. 2Er hat ihr insbesondere 1.Auskunft zu erteilen sowie Einsicht in alle Unterlagen zu gewähren, die die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde zur Erfüllung ihrer Aufgaben für erforderlich hält,2.die in Nummer 1 genannten Unterlagen auf Verlangen innerhalb einer bestimmten Frist zu übersenden und3.den Zugang zu den Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen zu gewähren,soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. 3Die Untersuchungsbefugnis der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde erstreckt sich auch auf von öffentlichen Stellen im Sinne des § 23 Abs. 1 und 2 erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs sowie solche personenbezogene Daten, die aufgrund von Maßnahmen, die in das Recht der Unverletzlichkeit der Wohnung eingreifen, erhoben wurden. 4Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses (Artikel 10 des Grundgesetzes) sowie das Grundrecht auf Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes) werden insoweit eingeschränkt. (5) 1Bestehen Anhaltspunkte dafür, dass eine beabsichtigte Verarbeitung personenbezogener Daten gegen die Vorschriften dieses Teils oder gegen andere Rechtsvorschriften im Sinne des § 23 Abs. 3 Satz 1 verstößt, so kann die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde den Verantwortlichen oder den Auftragsverarbeiter warnen, dass die Datenverarbeitung voraussichtlich gegen die Vorschriften dieses Teils oder gegen andere Rechtsvorschriften im Sinne des § 23 Abs. 3 Satz 1 verstößt. 2Stellt die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde einen solchen Verstoß im laufenden Betrieb einer Verarbeitung personenbezogener Daten fest, so kann sie den Verstoß 1.im Fall einer verantwortlichen öffentlichen Stelle des Landes im Sinne des § 23 Abs. 1 und 2 gegenüber der zuständigen obersten Landesbehörde, 2.im Fall einer verantwortlichen Kommune dieser gegenübermit der Aufforderung beanstanden, innerhalb einer bestimmten Frist Stellung zu nehmen. 3In den Fällen des Satzes 2 Nr. 2 ist gleichzeitig die zuständige Kommunal- und Fachaufsichtsbehörde zu unterrichten. (6) Im Übrigen sind für die Aufsichtsbehörde nach Absatz 1 § 20 Abs. 5 und § 21 sowie Artikel 57 Abs. 2 bis 4 und Artikel 61 Abs. 1 bis 7 der Datenschutz-Grundverordnung entsprechend anwendbar. (7) 1Wenn eine oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet, dürfen die Rechte nach Absatz 4 nur von der oder dem Landesbeauftragten für den Datenschutz persönlich ausgeübt werden. 2In diesem Fall entscheidet die oberste Landesbehörde, ob personenbezogene Daten einer betroffenen Person, der von dem Verantwortlichen Vertraulichkeit besonders zugesichert worden ist, der oder dem Landesbeauftragten für den Datenschutz gegenüber offenbart werden. (8) 1Auch Behörden und sonstige öffentliche Stellen des Landes können gerichtlich gegen sie betreffende verbindliche Entscheidungen der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde vorgehen. 2Die Klage hat aufschiebende Wirkung.

(1) 1Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine in § 59 Abs. 1 genannte Handlung begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person zusammenführt und dadurch wieder bestimmbar macht. (2) Der Versuch ist strafbar.(3) 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde.