Saarländisches Datenschutzgesetz Vom 16. Mai 2018*

§ 15 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten(1) 1Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen oder elektronischen Freigabe. 2In der Freigabeerklärung ist zu bestätigen, dass1. die Verarbeitung im Einklang mit Artikel 5 und Artikel 6 der Verordnung (EU) 2016/679 erfolgt,2. ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten und3. für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.3Die Freigabe erfolgt durch den Verantwortlichen. 4Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordnung (EU) 2016/679 vereinbart werden. 5Die Freigabeerklärung ist dem Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 beizufügen.(2) Absatz 1 Satz 1 gilt nicht für1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,3. Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen,4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,7. Zimmer-, Inventar- und Softwareverzeichnisse,8. Bibliothekskataloge und Fundstellenverzeichnisse oder9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an betroffene Personen genutzt werden.(3) 1Das Verzeichnis nach Artikel 30 der Verordnung (EU) 2016/679 einschließlich der Freigabeerklärung nach Absatz 1 kann von jedermann unentgeltlich eingesehen werden. 2Dies gilt nicht für Angaben nach Artikel 30 Absatz 1 Satz 2 Buchstabe g und Absatz 2 Buchstabe d der Verordnung (EU) 2016/679, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. 3Satz 1 gilt nicht für1. Verfahren der Verfassungsschutzbehörde,2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen und3. Verfahren der Steuerfahndungsoweit die verantwortliche Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

§ 19 Wahrnehmung der Aufgaben nach Artikel 57 und Artikel 59 der Verordnung (EU) 2016/679; sonstige Aufgaben und Mitwirkungspflichten(1) 1Die oder der Landesbeauftragte für Datenschutz nimmt die Aufgaben nach Artikel 57 der Verordnung (EU) 2016/679 wahr. 2Dabei kontrolliert sie oder er die Einhaltung der Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes und anderer datenschutz-rechtlicher Bestimmungen.(2) 1Vor dem Erlass von Rechts- und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, ist die oder der Landesbeauftragte für Datenschutz zu hören. 2Sie oder er ist bei Planungen des Landes oder der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts zum Aufbau automatisierter Informationssysteme rechtzeitig zu unterrichten, sofern in den Systemen personenbezogene Daten verarbeitet werden sollen.(3) 1Die Landesregierung nimmt zu den sie betreffenden Teilen des Tätigkeitsberichts der oder des Landesbeauftragten für Datenschutz nach Artikel 59 der Verordnung (EU) 2016/679 gegenüber dem Landtag schriftlich oder elektronisch Stellung. 2Diese soll innerhalb von sechs Monaten nach Vorlage des Tätigkeitsberichts dem Landtag zugeleitet werden.

§ 2 Anwendungsbereich des Gesetzes(1) 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten im Anwendungsbereich der Verordnung (EU) 2016/679 durch die Behörden und sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände sowie der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). 2Als öffentliche Stellen gelten auch Vereinigungen ungeachtet ihrer Rechtsform, die Aufgaben öffentlicher Verwaltung wahrnehmen und an denen eine oder mehrere der in Satz 1 genannten Stellen mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind; Gleiches gilt für weitere Beteiligungen dieser Vereinigungen. 3Nehmen nicht öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes. 4Für den Landtag und für die Gerichte, den Rechnungshof sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz nur, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Fünften Abschnitts.(2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden haben.(3) 1Soweit öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten sie als nicht öffentliche Stellen. 2Mit Ausnahme der Vorschriften über die Aufsichtsbehörde sind ergänzend zur Verordnung (EU) 2016/679 die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097), in der jeweils geltenden Fassung einschließlich der Straf- und Bußgeldvorschriften anwendbar.(4) Die Vorschriften dieses Gesetzes gehen denen des Saarländischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.(5) 1Besondere Rechtsvorschriften des Bundes oder des Landes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. 2Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. 3Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.(6) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.

§ 1 Zweck(1) 1Dieses Gesetz trifft die ergänzenden Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72), in der jeweils geltenden Fassung. 2Gleichzeitig regelt es in den Grenzen der Verordnung (EU) 2016/679 spezifische Anforderungen an die Verarbeitung personenbezogener Daten.(2) Darüber hinaus trifft dieses Gesetz Regelungen für die Verarbeitung personenbezogener Daten, die nicht in den Anwendungsbereich des Unionsrechts im Sinne von Artikel 2 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 fallen.

§ 10 Beschränkung der Informationspflicht bei Erhebung der personenbezogenen Daten nach Artikel 13 und Artikel 14 der Verordnung (EU) 2016/679(1) Bei der Erhebung personenbezogener Daten sieht der Verantwortliche von einer Information der betroffenen Person nach Artikel 13 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 ab, soweit und solange1. die Weitergabe der Information die öffentliche Sicherheit gefährden oder dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,2. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährdet würde oder3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim zu halten sind.(2) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten an Staatsanwaltschaften, Polizeidienststellen und andere für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten zuständige Stellen, Verfassungsschutzbehörden, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst, ist von diesen Stellen die Zustimmung einzuholen.(3) Sieht der Verantwortliche von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.

§ 11 Beschränkung des Auskunftsrechts der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679(1) 1Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaft, an Polizeidienststellen, an Landesfinanzbehörden, soweit diese personenbezogene Daten für Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeiten, an Verfassungsschutzbehörden, an den Bundesnachrichtendienst, an den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, an andere Behörden des Bundesministers der Verteidigung, entscheidet der Verantwortliche über die Auskunft mit Zustimmung der Stellen, an die diese Daten übermittelt wurden. 2Gleiches gilt für die Übermittlung personenbezogener Daten von diesen Behörden.(2) Die Auskunft unterbleibt unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 soweit1. die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde,2. die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse eines Landes, des Bundes oder der Europäischen Union - einschließlich Währungs-, Haushalts- und Steuerangelegenheiten - gefährden würde,3. personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person geheim gehalten werden müssen oder4. personenbezogene Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.(3) 1Die Ablehnung der Auskunft bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. 2Wird der betroffenen Person keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Landesbeauftragten für Datenschutz zu erteilen mit der Maßgabe, dass sowohl die Auskunft als auch die Gründe für die Ablehnung nicht der betroffenen Person von der oder dem Landesbeauftragten für Datenschutz mitgeteilt werden. 3Die Mitteilung der oder des Landesbeauftragten für Datenschutz an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand der in Absatz 1 Satz 1 genannten öffentlichen Stellen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt. 4Die Auskunft an die oder den Landesbeauftragten für Datenschutz ist nicht zu erteilen, wenn die jeweils zuständige oberste Landesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes, in Angelegenheiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen, gefährdet würde. 5Die Gründe der Ablehnung nach Satz 1 und Satz 4 sind aktenkundig zu machen.(4) Über personenbezogene Daten, die nicht automatisiert verarbeitet werden und auch nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht offensichtlich außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.

§ 12 Beschränkung der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Artikel 34 der Verordnung (EU) 2016/679(1) Der Verantwortliche sieht über Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 hinaus von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ab, soweit und solange1. die Information die öffentliche Sicherheit gefährden oder dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,2. dies zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist,3. die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen geheim zu halten sind oder4. die Information die Sicherheit von informationstechnischen Systemen gefährden würde.(2) § 10 Absatz 3 gilt entsprechend.

§ 13 Datengeheimnis1Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmerinnen oder Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu verarbeiten; dies gilt auch nach Beendigung ihrer Tätigkeit. 2Diese Personen sind über die bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten.

§ 14 Datenschutz-Folgenabschätzung(1) 1Eine Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 durch den Verantwortlichen kann unterbleiben, soweit1. eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Ministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder2. der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Datenschutz-Folgenabschätzung erfolgt ist, es sei denn, dass dies in der Rechtsgrundlage ausdrücklich bestimmt ist.2Die Ministerien stellen den öffentlichen Stellen die Ergebnisse der von ihnen und der von ihnen ermächtigten öffentlichen Stellen durchgeführten Datenschutz-Folgenabschätzungen zur Verfügung.(2) 1Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das auch zum Einsatz durch andere öffentliche Stellen bestimmt ist, so führt sie, sofern die Voraussetzungen des Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 bei diesem Verfahren vorliegen, die Datenschutz-Folgenabschätzung nach Artikel 35 und 36 der Verordnung (EU) 2017/679 durch. 2Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Datenschutz-Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.

§ 16 Rechtsstellung der oder des Landesbeauftragten für Datenschutz(1) 1Die oder der Landesbeauftragte für Datenschutz ist Aufsichtsbehörde1. gemäß Artikel 51 der Verordnung (EU) 2016/679 bei der Verarbeitung gemäß § 2,2. nach § 40 des Bundesdatenschutzgesetzes für die Datenverarbeitung nicht öffentlicher Stellen.2Die Aufsichtsbehörde ist bei der Präsidentin oder dem Präsidenten des Landtages des Saarlandes angegliedert und führt die Bezeichnung „Landesbeauftragte für Datenschutz“ oder „Landesbeauftragter für Datenschutz“. 3Sie oder er leitet das Unabhängige Datenschutzzentrum Saarland.(2) Der oder dem Landesbeauftragten für Datenschutz obliegt auch die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften bei der Verarbeitung gemäß § 3.(3) Die oder der Landesbeauftragte für Datenschutz ist hilfeleistende Behörde nach Artikel 13 Absatz 2 Buchstabe a des Übereinkommens vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (BGBl. 1985 II S. 538, 539) in Verbindung mit Artikel 2 des Gesetzes zu dem Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten vom 13. März 1985 (BGBl. II S. 538).(4) Die oder der Landesbeauftragte für Datenschutz ist bei der Ausübung ihrer oder seiner Aufgaben völlig unabhängig und an Weisungen nicht gebunden.(5) 1Der oder dem Landesbeauftragten für Datenschutz ist die für die Erfüllung ihrer oder seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen. 2Die Mittel sind im Einzelplan des Landtages in einem gesonderten Kapitel auszuweisen. 3Die oder der Landesbeauftragte für Datenschutz ist im Rahmen ihrer oder seiner Zuständigkeit oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung und oberste Aufsichtsbehörde im Sinne des § 99 der Verwaltungsgerichtsordnung, des § 119 des Sozialgerichtsgesetzes sowie des § 86 der Finanzgerichtsordnung.(6) 1Die Beamtinnen und Beamten bei der oder dem Landesbeauftragten für Datenschutz werden auf deren oder dessen Vorschlag durch die Präsidentin oder den Präsidenten des Landtages ernannt. 2Dienstvorgesetzte oder Dienstvorgesetzter der Beamtinnen und Beamten ist die oder der Landesbeauftragte für Datenschutz, an deren oder dessen Weisungen sie ausschließlich gebunden sind. 3Die oder der Landesbeauftragte für Datenschutz übt für die bei ihr oder ihm tätigen Beamtinnen und Beamten die Aufgaben und Befugnisse der obersten Dienstbehörde aus. 4Die Tarifbeschäftigten werden auf Vorschlag der oder des Landesbeauftragten für Datenschutz von der Präsidentin oder dem Präsidenten des Landtages eingestellt und entlassen.(7) Die oder der Landesbeauftragte für Datenschutz kann Aufgaben der Personalverwaltung und Personalwirtschaft auf die Landtagsverwaltung und auf andere Stellen des Landes übertragen, soweit hierdurch die völlige Unabhängigkeit der oder des Landesbeauftragten für Datenschutz nicht beeinträchtigt wird.(8) 1Die oder der Landesbeauftragte für Datenschutz bestellt eine Mitarbeiterin oder einen Mitarbeiter zur Stellvertreterin oder zum Stellvertreter. 2Die Stellvertreterin oder der Stellvertreter führt die Geschäfte, wenn die oder der Landesbeauftragte für Datenschutz an der Ausübung des Amtes verhindert ist. 3§ 17 Absatz 1 Satz 1 gilt entsprechend.

§ 17 Ernennung und Amtszeit(1) 1Die oder der Landesbeauftragte für Datenschutz muss neben der erforderlichen Erfahrung und Sachkunde nach Artikel 53 Absatz 2 der Verordnung (EU) 2016/679, insbesondere im Bereich des Schutzes personenbezogener Daten, die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst haben. 2Die oder der Landesbeauftragte für Datenschutz wird durch den Landtag für sechs Jahre gewählt und in ein Beamtenverhältnis auf Zeit berufen. 3Sie oder er wird von der Präsidentin oder dem Präsidenten des Landtages ernannt. 4Die Wiederwahl und die Ernennung für weitere Amtszeiten sind zulässig. 5Das Amt ist bis zum Eintritt der Nachfolge weiterzuführen, längstens jedoch sechs Monate nach Ablauf der Amtszeit.(2) 1Die oder der Landesbeauftragte für Datenschutz kann außer auf eigenen Antrag nur im Wege der Amtsenthebung nach Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 wegen einer begangenen schweren Verfehlung oder einer nicht mehr erfüllten Voraussetzung für die Wahrnehmung ihrer oder seiner Aufgaben durch die Präsidentin oder den Präsidenten des Landtages nach Abwahl durch den Landtag des Saarlandes entlassen werden, wenn eine entsprechende Anwendung der Vorschriften über die Amtsenthebung von Richtern auf Lebenszeit dies rechtfertigt. 2Die Dienstaufsicht übt die Präsidentin oder der Präsident des Landtages aus, soweit die Unabhängigkeit der oder des Landesbeauftragten für Datenschutz hierdurch nicht beeinträchtigt wird.

§ 18 Rechte und Pflichten(1) 1Die oder der Landesbeauftragte für Datenschutz sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und übt während ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. 2Insbesondere darf sie oder er neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben sowie weder der Leitung, dem Aufsichtsrat oder dem Verwaltungsrat eines auf Erwerb gerichteten Unternehmens, noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. 3Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. 4Sie oder er hat der Präsidentin oder dem Präsidenten des Landtages Mitteilung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. 5Die Präsidentin oder der Präsident des Landtages entscheidet über die Verwendung der Geschenke.(2) 1Die oder der Landesbeauftragte für Datenschutz ist verpflichtet, über die ihr oder ihm amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 3Die oder der Landesbeauftragte für Datenschutz trifft die Entscheidungen nach § 59 des Saarländischen Beamtengesetzes für sich, vormalige Landesbeauftragte für Datenschutz und ihre oder seine Mitarbeiterinnen und Mitarbeiter in eigener Verantwortung. 4Wird eine Beamtin oder ein Beamter oder eine Richterin oder ein Richter zur oder zum Landesbeauftragten für Datenschutz ernannt, so ruhen für die Dauer der Amtszeit die in dem Dienstverhältnis begründeten Rechte und Pflichten mit Ausnahme der Pflicht zur Verschwiegenheit und des Verbots zur Annahme von Belohnungen und Geschenken.(3) In den nach diesem Gesetz begründeten Zuständigkeiten vertritt die oder der Landesbeauftragte für Datenschutz das Saarland im gerichtlichen Verfahren.(4) 1Die oder der Landesbeauftragte für Datenschutz kann sich jederzeit an den Landtag wenden. 2Sie oder er kann an den Sitzungen der Ausschüsse des Landtages teilnehmen und sich zu Fragen äußern, die für den Datenschutz von Bedeutung sind.(5) Die oder der Landesbeauftragte für Datenschutz unterliegt der Rechnungsprüfung durch den Rechnungshof, soweit hierdurch ihre oder seine Unabhängigkeit im Sinne von Artikel 52 Absatz 1 der Verordnung (EU) 2016/679 nicht beeinträchtigt wird.

§ 20 Wahrnehmung der Befugnisse der oder des Landesbeauftragten für Datenschutz nach Artikel 58 der Verordnung (EU) 2016/679; sonstige Befugnisse(1) Die Befugnisse der oder des Landesbeauftragten für Datenschutz nach Artikel 58 der Verordnung (EU) 2016/679 beziehen sich auf die Kontrolle der Einhaltung der Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes und anderer datenschutzrechtlicher Bestimmungen sowie auf Verstöße gegen diese Vorschriften.(2) 1Zusätzlich zu den Befugnissen nach Artikel 58 Absatz 1 bis Absatz 3 der Verordnung (EU) 2016/679 kann die oder der Landesbeauftragte für Datenschutz im Falle von Verstößen im Sinne von Absatz 1 diese mit der Aufforderung beanstanden, innerhalb einer bestimmten Frist Stellung zu nehmen. 2Gleichzeitig ist auch die zuständige Rechts- oder Fachaufsichtsbehörde zu unterrichten. 3Die Beanstandung nach Satz 1 soll auch die Maßnahmen darstellen, die die Verstöße beseitigen sollen. 4Die Stellungnahme ist vom Verantwortlichen der oder dem Landesbeauftragten für Datenschutz und der zuständigen Fach- und Rechtsaufsichtsbehörde zuzuleiten.(3) 1Die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679 und nach Absatz 2 dieser Vorschrift übt die oder der Landesbeauftragte für Datenschutz gegenüber dem Verantwortlichen aus. 2Bei den Gemeinden und Gemeindeverbänden sowie bei den sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts sowie bei Vereinigungen im Sinne von § 2 Absatz 1 übt die oder der Landesbeauftragte für Datenschutz die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679 und nach Absatz 2 dieser Vorschrift gegenüber dem vertretungsberechtigten Organ aus.(4) 1Die öffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere1. Auskunft auf die Fragen zu erteilen sowie Einsicht in alle Vorgänge und Aufzeichnungen zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen,2. jederzeit - auch unangemeldet - ungehinderten Zutritt zu allen Diensträumen zu gewähren.3In den Fällen des § 3 Absatz 1 dürfen die Befugnisse nach Satz 1 und Satz 2 nur von der oder dem Landesbeauftragten für Datenschutz persönlich ausgeübt werden, wenn die oberste Landesbehörde im Einzelfall feststellt, dass die Sicherheit des Bundes oder eines Landes dies gebietet. 4In diesem Fall müssen personenbezogene Daten einer betroffenen Person, der von der Daten verarbeitenden Stelle Vertraulichkeit besonders zugesichert worden ist, auch ihr gegenüber nicht offenbart werden.(5) 1Die oder der Landesbeauftragte für Datenschutz ist im Rahmen der ihr oder ihm durch § 16 Absatz 1 und 2 zugewiesenen Aufgaben zuständig für die Verfolgung und Ahndung von Ordnungswidrigkeiten. 2Die Befugnis, Geldbußen zu verhängen, steht der oder dem Landesbeauftragten gegenüber Behörden und öffentlichen Stellen nur zu, soweit diese als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.(6) Die oder der Landesbeauftragte für Datenschutz kann Empfehlungen zur Verbesserung des Datenschutzes geben, insbesondere kann sie oder er den Landtag, die Landesregierung und die sonstigen öffentlichen Stellen in Fragen des Datenschutzes beraten.(7) Auf Ersuchen des Landtages, des Petitionsausschusses des Landtages oder des für den Datenschutz zuständigen Landtagsausschusses kann die oder der Landesbeauftragte für Datenschutz ferner Hinweisen auf Angelegenheiten und Vorgänge, die ihren oder seinen Aufgabenbereich unmittelbar betreffen, nachgehen.(8) Der Landtag, seine Ausschüsse und die Landesregierung können die Landesbeauftragte oder den Landesbeauftragten für Datenschutz um die Erstattung von Gutachten und Stellungnahmen oder die Durchführung von Untersuchungen in Datenschutzfragen ersuchen.

§ 21 Kostenerhebung(1) 1In der Funktion als Aufsichtsbehörde nach § 40 des Bundesdatenschutzgesetzes kann die oder der Landesbeauftragte für Datenschutz unbeschadet des Artikels 57 Absatz 3 der Verordnung (EU) 2016/679 für Amtshandlungen und sonstige öffentlich-rechtliche Leistungen nach der Verordnung (EU) 2016/679 und dem Bundesdatenschutzgesetz Gebühren und Auslagen erheben. 2Die Gebühren und Auslagen fließen dem Land zu.(2) Die Landesregierung wird ermächtigt, die gebührenpflichtigen Tatbestände und Gebührensätze im Einvernehmen mit der oder dem Landesbeauftragten für Datenschutz durch Rechtsverordnung nach § 5 des Gesetzes über die Erhebung von Verwaltungs- und Benutzungsgebühren im Saarland vom 24. Juni 1964 (Amtsbl. S. 629), zuletzt geändert durch Artikel 3 Absatz 2 des Gesetzes vom 15. Februar 2006 (Amtsbl. S. 474, 530), in der jeweils geltenden Fassung, festzulegen.(3) 1Gebühren und Auslagen für Untersuchungen nach Artikel 57 Absatz 1 Buchstabe f und h der Verordnung (EU) 2016/679 werden nur erhoben, wenn ein Verstoß gegen die Verordnung (EU) 2016/679, das Bundesdatenschutzgesetz oder eine andere Bestimmung über den Datenschutz festgestellt wird. 2Untersuchungen oder Beratungen einfacher Art und die Beratung nicht öffentlicher Stellen ohne Gewinnerzielungsabsicht sind insoweit kostenfrei.(4) Die Höhe der Verwaltungsgebühr ist nach dem Verwaltungsaufwand und der Bedeutung der Angelegenheit für die Beteiligten zu bemessen.(5) 1Die oder der Landesbeauftragte für Datenschutz entscheidet in eigener Verantwortung über die Ermäßigung oder Befreiung von Gebühren und Auslagen, soweit dies aus Gründen der Billigkeit oder aus öffentlichem Interesse geboten ist. 2Im Übrigen findet das Gesetz über die Erhebung von Verwaltungs- und Benutzungsgebühren im Saarland entsprechende Anwendung.

§ 22 Verarbeitung von Beschäftigtendaten(1) 1Öffentliche Stellen dürfen personenbezogene Daten von Bewerbern oder Beschäftigten nur verarbeiten, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienst- oder Betriebsvereinbarung dies vorsieht. 2§ 7 gilt ergänzend.(2) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.(3) Zur Aufdeckung von Straftaten oder einer erheblichen Dienstpflichtverletzung dürfen personenbezogene Daten von Beschäftigten nach Absatz 1 oder 2 nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Dienst- oder Arbeitsverhältnis eine Straftat oder eine erhebliche Dienstpflichtverletzung begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.(4) Die nach Absatz 1 gespeicherten personenbezogenen Daten von Beschäftigten dürfen durch den Verantwortlichen zur Ermöglichung von Auswertungen zu den in Absatz 1 genannten Zwecken zusammengeführt und für die Dauer der Speicherung in den Quellsystemen vorgehalten werden.(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.(6) Eine Veröffentlichung der Daten von Beschäftigten ist unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 nur zulässig, wenn diese zum Zweck der Information der Allgemeinheit oder der anderen Beschäftigten erforderlich ist und ihr keine schutzwürdigen Interessen der betroffenen Person entgegenstehen.(7) 1Daten, die vor Beginn eines Dienst- oder Arbeitsverhältnisses erhoben wurden, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt. 2Dies gilt nicht, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt werden. 3Die betroffene Person ist hiervon zu verständigen.(8) 1Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. 2Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.(9) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.

§ 23 Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken(1) 1Die Verarbeitung personenbezogener Daten einschließlich solcher nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zu bestimmten wissenschaftlichen oder historischen Forschungszwecken ist zulässig, soweit dies für die Durchführung der wissenschaftlichen oder historischen Forschung erforderlich ist, insbesondere der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann, und wenn das öffentliche, insbesondere das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person am Unterbleiben der Verarbeitung erheblich überwiegt. 2Bei der Verarbeitung personenbezogener Daten zu bestimmten wissenschaftlichen oder historischen Forschungszwecken sind diese zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 3Ist dies nicht möglich, sind sie zu pseudonymisieren. 4Die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, sind getrennt zu speichern. 5Die Merkmale sind zu löschen, sobald der Forschungszweck dies zulässt.(2) 1Soweit die Vorschriften dieses Gesetzes auf den Empfänger der Daten keine Anwendung finden, dürfen diesem nur personenbezogene Daten übermittelt werden, wenn sich der Empfänger verpflichtet, die übermittelten Daten nur zu den bereits bestimmten Forschungszwecken zu verarbeiten und die Vorschriften der Absätze 1 und 3 einzuhalten. 2Die übermittelnde Stelle unterrichtet die Landesbeauftragte oder den Landesbeauftragten für Datenschutz.(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen unbeschadet des Artikels 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 personenbezogene Daten nur veröffentlichen, soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist und überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen.(4) Ein Anspruch auf Auskunft nach Artikel 15, auf Berichtigung nach Artikel 16, auf Einschränkung der Verarbeitung nach Artikel 18 und auf Widerspruch nach Artikel 21 der Verordnung (EU) 2016/679 besteht nicht, soweit und solange die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt.

§ 24 Verarbeitung zu Archivzwecken(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte der betroffenen Personen vorgesehen werden.(2) 1Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß § 8 Absatz 2 vor.(3) 1Ein Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen. 2Die Auskunft unterbleibt ferner in den Fällen des § 11 Absatz 2. 3§ 11 Absatz 3 gilt entsprechend. 4Nach dem Tod der betroffenen Personen kann der Auskunftsanspruch nach Satz 1 durch den Ehegatten, den Lebenspartner, die Kinder oder die Eltern geltend gemacht werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.(4) 1Ein Recht der betroffenen Person auf Berichtigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht. 2Die betroffene Person kann verlangen, dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beizufügen, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. 3Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.(5) Die in Artikel 18, 19, 20 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen.(6) 1Soweit öffentliche Stellen verpflichtet sind, gespeicherte personenbezogene Unterlagen aufgrund einer Rechtsvorschrift einem Archiv zur Übernahme anzubieten, ist eine Löschung oder Vernichtung personenbezogener Daten erst zulässig, nachdem die Unterlagen dem Archiv angeboten und von diesem nicht als archivwürdig übernommen worden sind. 2Dies gilt auch, wenn das Archiv nicht innerhalb einer durch Rechtsvorschrift bestimmten Frist über die Übernahme entschieden hat.

§ 25 Videoüberwachung(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,1. um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder2. um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachenzu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.(2) Der Umstand der Videoüberwachung, Name und Kontaktdaten der verantwortlichen Stelle sowie die Möglichkeit, beim Verantwortlichen die Informationen nach Artikel 13 der Verordnung (EU) 2016/679 zu erhalten, sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.(4) 1Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung entsprechend Artikel 13 und 14 der Verordnung (EU) 2016/679. 2§ 10 gilt entsprechend.(5) 1Die nach Absatz 1 erhobenen Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des verfolgten Zwecks nicht mehr erforderlich sind. 2Dies gilt nicht, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit, zur Verfolgung von Straftaten oder zur Geltendmachung von zivilrechtlichen Ansprüchen erforderlich sind.(6) Öffentliche Stellen haben ihren behördlichen Datenschutzbeauftragten unbeschadet des Artikel 35 Absatz 2 der Verordnung (EU) 2016/679 rechtzeitig vor dem Einsatz einer Videoüberwachung nach Absatz 1 den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Absatz 2 und die vorgesehenen Auswertungen mitzuteilen.

§ 26 Gerichtlicher RechtsschutzFür Streitigkeiten zwischen einer öffentlichen Stelle oder natürlichen Person und der oder dem Landesbeauftragten für Datenschutz über Rechte gemäß § 3 Absatz 1 in Verbindung mit Artikel 78 Absatz 1 und 2 und Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 gilt § 20 Absatz 1 bis 6 des Bundesdatenschutzgesetzes entsprechend.

§ 27 Ordnungswidrigkeiten und Strafvorschrift(1) Ordnungswidrig handelt, wer entgegen der Verordnung (EU) 2016/679, diesem Gesetz oder einer anderen Rechtsvorschrift zum Schutz personenbezogener Daten geschützte personenbezogene Daten, die nicht offenkundig sind, unbefugt1. erhebt, speichert, verwendet, verändert, übermittelt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht,2. abruft, sich oder einem anderen verschafft oder durch unrichtige oder unvollständige Angaben ihre Übermittlung an sich oder andere veranlasst.(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden.(3) Die oder der Landesbeauftragte für Datenschutz ist Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 5 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist, in der jeweils geltenden Fassung.(4) 1Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine der in Absatz 1 genannten Handlungen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Der Versuch ist strafbar. 3Die Tat wird nur auf Antrag verfolgt. 4Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die oder der Landesbeauftragte für Datenschutz.

§ 28 Einschränkung eines GrundrechtsDas Grundrecht auf informationelle Selbstbestimmung nach Artikel 2 Satz 2 der Verfassung des Saarlandes wird durch dieses Gesetz eingeschränkt.

§ 3 Entsprechende Anwendung(1) Die Regelungen der Verordnung (EU) 2016/679 und dieses Gesetzes finden entsprechende Anwendung für Tätigkeiten, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen, soweit nicht gesetzlich etwas Abweichendes geregelt ist.(2) Absatz 1 gilt auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen; Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 sind auf diese Verarbeitung nicht anzuwenden.

§ 4 Rechtmäßigkeit der Verarbeitung personenbezogener Daten(1) Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der oder des Verantwortlichen liegenden Aufgabe erforderlich ist.(2) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgabe erforderlich ist.(3) Die Übermittlung personenbezogener Daten an nicht öffentliche Stellen ist zulässig, wenn1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist,2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder3. es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich istund der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden.(4) Der Verantwortliche ist verpflichtet, vertraglich sicherzustellen, dass ein Auftragsverarbeiter, auf den dieses Gesetz keine Anwendung findet, dessen Vorschriften beachtet.

§ 5 Erhebung personenbezogener Daten1Werden personenbezogene Daten bei einem Dritten erhoben, ist dieser auf Verlangen auf den Erhebungszweck hinzuweisen, soweit dadurch schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden. 2Werden die Daten auf Grund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, ist der Dritte auf die Auskunftspflicht und sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.

§ 6 Verantwortung bei der Übermittlung personenbezogener Daten(1) 1Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung aufgrund eines Ersuchens einer öffentlichen Stelle, trägt diese die Verantwortung. 3Die übermittelnde Stelle hat dann lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers hält. 4Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die ersuchende Stelle hat in dem Ersuchen der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.(2) Erfolgt die Übermittlung durch automatisierten Abruf, so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Empfänger.(3) Sind mit personenbezogenen Daten, die auf Grund von Rechtsvorschriften im Sinne des Artikels 6 Absatz 1 Buchstabe c oder Buchstabe e der Verordnung (EU) 2016/679 verarbeitet werden, weitere personenbezogene Daten der betroffenen Person oder Dritter so in Akten verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht Rechte und Freiheiten der betroffenen Person oder anderer Personen an deren Geheimhaltung überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

§ 7 Zweckbindung, Zweckänderung(1) 1Zu dem Zweck einer Verarbeitung personenbezogener Daten durch öffentliche Stellen zählt auch die Verarbeitung zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zur Durchführung von Organisationsuntersuchungen und zur Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung sowie zu statistischen Zwecken des Verantwortlichen. 2Dies gilt auch für die Verarbeitung zu Aus-, Fort-, Weiterbildungs- und Prüfungszwecken, soweit nicht schutzwürdige Interessen der betroffenen Person an der Geheimhaltung entgegenstehen.(2) Eine Verarbeitung zu anderen als den ursprünglichen Zwecken ist zulässig, wenn1. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,2. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,3. es erforderlich ist, Angaben der betroffenen Person zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen oder4. sich bei der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint.(3) 1Abweichend von Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 2 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde. 2Sieht der Verantwortliche von einer Information der betroffenen Person ab, hat er die Gründe hierfür zu dokumentieren.(4) Ferner ist eine Zweckänderung zulässig, wenn1. die Einholung der Einwilligung der betroffenen Person nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass die Datenverarbeitung zu ihrem Schutz erfolgt und sie in Kenntnis des anderen Zweckes ihre Einwilligung erteilen würde oder2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, soweit nicht schutzwürdige Interessen der betroffenen Personen offensichtlich entgegenstehen.(5) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen nach Absatz 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 vorliegen.(6) Unterliegen die personenbezogenen Daten einem Berufsgeheimnis oder einem besonderen Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, finden die Absätze 2 und 4 keine Anwendung, es sei denn, die zur Verschwiegenheit verpflichtete Person oder Stelle hat eingewilligt.(7) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verarbeitet werden.

§ 8 Verarbeitung besonderer Kategorien personenbezogener Daten(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist unbeschadet der in Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 genannten Ausnahmen zulässig, soweit es erforderlich ist1. zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,2. zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,3. zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,4. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,5. zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,6. zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,7. für die in § 7 Absatz 1 genannten Zwecke.(2) 1Bei der Verarbeitung besonderer Kategorien personenbezogener Daten sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. 2Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,4. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,5. Pseudonymisierung personenbezogener Daten,6. Verschlüsselung personenbezogener Daten,7. dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,8. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

§ 9 Verarbeitung personenbezogener Daten zu Zwecken der parlamentarischen Kontrolle(1) 1Die Landesregierung darf personenbezogene Daten einschließlich Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten an den Landtag in dem dafür erforderlichen Umfang verarbeiten. 2Eine Übermittlung der Daten zu einem der in Satz 1 genannten Zwecke ist nicht zulässig, wenn dies wegen des streng persönlichen Charakters der Daten für die betroffene Person unzumutbar ist oder wenn der Eingriff in ihr informationelles Selbstbestimmungsrecht unverhältnismäßig ist. 3Dies gilt nicht, wenn im Hinblick auf § 2 Absatz 2 oder durch sonstige geeignete Maßnahmen sichergestellt ist, dass schutzwürdige Interessen der betroffenen Personen nicht beeinträchtigt werden. 4Besondere gesetzliche Übermittlungsverbote bleiben unberührt.(2) 1Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise öffentlich zugänglich gemacht werden. 2Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der betroffenen Personen beeinträchtigt werden.