Erster Abschnitt
Allgemeine Vorschriften
§ 1: Aufgabe und Gegenstand des Datenschutzes
(1) Aufgabe dieses Gesetzes ist es, die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen zu regeln, um
1 . das Recht des einzelnen zu schützen, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, soweit keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften zugelassen sind (informationelles Selbstbestimmungsrecht),
2. die auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Ordnung vor einer Gefährdung infolge der automatisierten Datenverarbeitung zu bewahren.
(2) Dieses Gesetz schützt personenbezogene Daten, die von Behörden oder sonstigen öffentlichen Stellen erhoben, gespeichert, verändert, übermittelt, gesperrt, gelöscht oder sonst genutzt werden.
§ 2: Anwendungsbereich
(1) Zum Schutz personenbezogener Daten nach Maßgabe dieses Gesetzes sind alle Behörden und sonstigen öffentlichen Stellen (insbesondere nicht- rechtsfähige Anstalten, Krankenhausbetriebe, Eigenbetriebe und Gerichte) des Landes Berlin und der landesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (§ 28 des Allgemeinen Zuständigkeitsgesetzes) verpflichtet. Dies gilt auch für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen.
(2) Für landesunmittelbare Anstalten des öffentlichen Rechts, die am Wettbewerb teilnehmen, gelten die §§ 3, 6, 9 bis 17 und 30 dieses Gesetzes nicht. Für sie gelten die §§ 11, 27 Abs. 2, 28 bis 31 , 33 bis 35, 39, 40 und 44 des Bundesdatenschutzgesetzes.
(3) Soweit personenbezogene Daten im Anwendungsbereich des Gesetzes über das Verfahren der Berliner Verwaltung verarbeitet werden, gelten die Vorschriften des Berliner Datenschutzgesetzes.
(4) Dieses Gesetz regelt den Schutz personenbezogener Daten für die Behörden und sonstigen öffentlichen Stellen umfassend. Andere Landesgesetze können für bestimmte Behörden und sonstige öffentliche Stellen einzelne notwendige Abweichungen von diesem Gesetz vorschreiben; im übrigen richtet sich der Datenschutz auch in diesen Fällen nach den Vorschriften dieses Gesetzes.
§ 3: Verarbeitung personenbezogener Daten im Auftrag
(1) Die Vorschriften dieses Gesetzes gelten für die Behörden und sonstigen öffentlichen Stellen auch insoweit, als personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. In diesen Fällen ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen ( § 5 Abs. 1) sorgfältig auszuwählen.
(2) Für die Behörden und sonstigen öffentlichen Stellen gelten die §§ 9 bis 17 dieses Gesetzes nicht, soweit sie personenbezogene Daten im Auftrag verarbeiten. In diesen Fällen ist die Verarbeitung personenbezogener Daten nur im Rahmen der Weisungen des Auftraggebers zulässig. Weisungen, die sich auf eine Datenverarbeitung richten, die gegen dieses Gesetz oder andere Rechtsvorschriften über den Datenschutz verstoßen, sind nicht auszuführen. Der Auftraggeber sowie dessen Aufsichtsbehörde sind unverzüglich zu unterrichten. Dasselbe gilt, wenn Daten verarbeitet werden sollen, die nach Ansicht des Auftragnehmers unter Verstoß gegen Rechtsvorschriften erlangt worden sind.
(3) Für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen dem Land Berlin oder einer landesunmittelbaren Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, gelten die Vorschriften des Vierten Abschnittes entsprechend, soweit sie in den Fällen des Absatzes 1 Satz 1 im Auftrag tätig werden. Hinsichtlich der Befugnisse nach § 28 Abs. 1 wird das Grundrecht der Unverletzlichkeit der Wohnung (Artikel 13 des Grundgesetzes, Artikel 19 Abs. 2 Satz 1 der Verfassung von Berlin) für die Betriebs- und Geschäftszeit eingeschränkt.
(4) Sofern die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchge- führt wird, der Kontrolle des Berliner Datenschutzbeauftragten unterwirft. Wird die Datenverarbeitung in einem anderen Bundesland durchgeführt, ist sicherzustellen, daß sich der Auftragnehmer der Kontrolle des jeweiligen Landesbeauftragten unterwirft. Der Auftraggeber hat den Datenschutzbeauftragten und die Aufsichtbehörde nach § 33 Abs. 1 dieses Gesetzes über die Beauftragung zu unterrichten.
§ 4: Begriffsbestimmungen
(1) Im Sinne dieses Gesetzes sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Entsprechendes gilt für Daten über Verstorbene, es sei denn, daß schutzwürdige Belange des Betroffenen nicht mehr beeinträchtigt werden können.
(2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Im Sinne der nachfolgenden Vorschriften ist
1 . Erheben das Beschaffen von Daten über den Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger,
3. Verändern das inhaltliche Umgestalten gespeicherter Daten, ungeachtet der dabei angewendeten Verfahren,
4. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an einen Dritten in der Weise, daß die Daten durch die datenverarbeitende Stelle an den Dritten weitergegeben werden oder daß der Dritte zum Abruf bereitgehaltene Daten abruft,
5. Sperren das Verhindern weiterer Verarbeitung gespeicherter Daten,
6. Löschen das Beseitigen gespeicherter Daten,
7. Nutzen jede sonstige Verwendung personenbezogener Daten.
(3) Im Sinne dieses Gesetzes ist
1 . datenverarbeitende Stelle jede Behörde oder sonstige öffentliche Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten läßt; nimmt diese unterschiedliche gesetzliche Aufgaben wahr, gilt diejenige Organisationseinheit als datenverarbeitende Stelle, der die Aufgabe zugewiesen ist;
2. Dritter jede Person oder Stelle außerhalb der datenverarbeitenden Stelle, ausgenommen der Betroffene oder diejenigen Personen und Stellen, die in den Fällen der Nummer 1 im Geltungsbereich des Grundgesetzes im Auftrag tätig werden ;
3. eine Datei eine Sammlung von Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei) oder eine gleichartig aufgebaute Sammlung von Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nicht automatisierte Datei);
4. eine Akte jede sonstigen amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger.
§ 5: Technische und organisatorische Maßnahmen
(1) Jede Behörde oder sonstige öffentliche Stelle, die für sich oder im Auftrag personenbezogene Daten verarbeitet, hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die Beachtung der in Absatz 3 genannten Anforderungen, zu gewährleisten. Die Art und Weise der Maßnahmen richtet sich nach dem jeweiligen Stand der Technik.
(2) Werden personenbezogene Daten in nicht automatisierten Dateien oder Akten verarbeitet, so sind insbesondere Maßnahmen zu treffen, um den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.
(3) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,
1 . Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
2. zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),
4. die Benutzung von Datenverarbeitungssystemen mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte zu verhindern (Benutzerkontrolle),
5. zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
6. aufzuzeichnen, an welche Stellen wann welche personenbezogenen Daten übermittelt worden sind (Übermittlungskontrolle),
7. zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
8. zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
9. zu gewährleisten, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).
(4) Der Senat setzt durch Rechtsverordnung die in Absatz 2 und 3 genannten Anforderungen nach dem jeweiligen Stand der Technik fest. Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zur Gewährleistung der Durchführung dieses Gesetzes gesichert erscheinen läßt. Bei der Bestimmung des Standes der Technik sind insbesondere vergleichbare Verfahren, Einrichtungen oder Betriebsweisen heranzuziehen, die mit Erfolg im Betrieb erprobt worden sind.
Zweiter Abschnitt
Voraussetzungen der Datenverarbeitung und Rechte der Betroffenen
§ 6: Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
1. dieses Gesetz oder
2. eine besondere Rechtsvorschrift sie erlaubt oder
3. der Betroffene eingewilligt hat.
Die Verarbeitung personenbezogener Daten ist nach diesem Gesetz zulässig, wenn wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung schutzwürdige Belange der Betroffenen nicht beeinträchtigt werden. Satz 1 Nr. 2 gilt nur, wenn die Rechtsvorschrift einen diesem Gesetz vergleichbaren Datenschutz gewährleistet.
(2) Werden aufgrund einer Rechtsvorschrift des Bundes personenbezogene Daten verarbeitet, ohne daß die Verarbeitung im einzelnen geregelt ist, finden die §§ 13-15 des Bundesdatenschutzgesetzes Anwendung.
(3) Wird die Datenverarbeitung auf die Einwilligung des Betroffenen gestützt, so ist dieser in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten sowie den Zweck der Übermittlung. Der Betroffene ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, daß er die Einwilligung verweigern kann.
(4) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, so ist der Betroffene darauf schriftlich besonders hinzuweisen.
(5) Die Einwilligung ist unwirksam, wenn sie durch Androhung ungesetzlicher Nachteile oder durch fehlende Aufklärung bewirkt wurde.
Bis zum 31.7.95 gültige Fassung
§ 7 Rechte des Betroffenen
Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf
1 . Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten (§ 16),
2. Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten (§ 17),
3. Schadenersatz und Unterlassung (§ 18),
4. Anrufung des Datenschutzbeauftragten (§ 27),
5. Einsicht in das beim Berliner Datenschutzbeauftragten geführte Register (§ 25).
§ 8: Datengeheimnis
(1) Dienstkräften von Behörden und sonstigen öffentlichen Stellen, die Daten für sich oder im Auftrag verarbeiten, ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten.
(2) Die Dienstkräfte sind bei der Aufnahme ihrer Tätigkeit nach Maßgabe des Absatzes 1 zu verpflichten. lhre Pflichten bestehen auch nach Beendigung ihrer Tätigkeit fort.
§ 9: Erforderlichkeit
(1) Nach Maßgabe der nachfolgenden Vorschriften ist die Verarbeitung personenbezogener Daten nur zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Gesetz der datenverarbeitenden Stelle zugewiesenen Aufgaben und für den jeweils damit verbundenen Zweck erforderlich ist.
(2) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist, so sind die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung derjeweiligen Aufgabe erforderlich sind, über Absatz 1 hinaus zulässig. Diese Daten unterliegen insoweit einem Verwertungsverbot.
§ 10: Erheben
(1) Personenbezogene Daten sind unter der Voraussetzung des § 6 Abs. 1 grundsätzlich bei dem Betroffenen mit seiner Kenntnis zu erheben.
(2) Werden Daten beim Betroffenen mit seiner Kenntnis erhoben, so ist er in geeigneter Weise über den Zweck der Datenerhebung aufzuklären. Die Aufklärungspflicht umfaßt bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Werden Daten bei dem Betroffenen auf Grund einer durch Rechtsvorschrift festgelegten Auskunftspflicht erhoben, so ist er auf die Rechtsgrundlage hinzuweisen. lm übrigen ist er darauf hinzuweisen, daß er die Auskunft verweigern kann. Sind die Angaben für die Gewährung einer Leistung erforderlich, so ist er über die möglichen Folgen einer Nichtbeantwortung aufzuklären.
(3) Bei Behörden und sonstigen öffentlichen Stellen dürfen Daten im Einzelfall ohne seine Kenntnis nur erhoben werden, wenn
1. eine Rechtsvorschrift dies erlaubt,
2. der Betroffene in diese Form der Erhebung eingewilligt hat oder
3. eine rechtzeitige Kenntnisgabe an den Betroffenen nicht möglich ist und keine Anhaltspunkte dafür bestehen, daß schutzwürdige Belange des Betroffenen beeinträchtigt werden könnten.
(4) Beim Betroffenen und bei Dritten außerhalb des öffentlichen Bereichs dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dieses vorsieht.
(5) Werden Daten beim Betroffenen ohne seine Kenntnis erhoben, so ist er davon zu benachrichtigen, sobald die rechtmäßige Erfüllung der Aufgaben dadurch nicht mehr gefährdet wird. Die Benachrichtigung umfaßt die Angabe der Rechtsgrundlage und die in Absatz 2 Satz 1 und 2 vorgesehene Aufklärung.
§ 11: Zweckbindung
(1) Personenbezogene Daten dürfen grundsätzlich nur zu dem Zweck weiterverarbeitet werden, zu dem sie erhoben oder gespeichert worden sind. Personenbezogene Daten, von denen eine Behörde oder sonstige öffentliche Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für Zwecke genutzt werden, für die sie erstmals gespeichert worden sind.
(2) Sollen personenbezogene Daten zu Zwecken weiterverarbeitet werden, für die sie nicht erhoben oder gespeichert worden sind, so ist dies nur zulässig, wenn eine der Voraussetzungen des § 6 Abs. 1 vorliegt.
(3) Sind personenbezogene Daten in Akten derart verbunden, daß ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachen nicht oder nur mit unvertretbar großem Aufwand möglich ist, so tritt an die Stelle der Trennung ein Verwertungsverbot nach Maßgabe des Absatzes 2 für die Daten, die nicht dem Zweck der jeweiligen Verarbeitung dienen.
(4) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. Der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse unverzichtbar ist. Zu Aus- und Fortbildungszwecken dürfen personenbezogene Daten nur verwendet werden, wenn dies unerläßlich ist und schutzwürdige Belange des Betroffenen dem nicht entgegenstehen ; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verwendet werden.
(5) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verwendet werden.
§ 12: Datenübermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an Behörden und sonstige öffentliche Stellen ist zulässig, wenn eine der Voraussetzungen des § 6 Abs. 1 vorliegt. Werden die Daten vom Empfänger zur Erfüllung des gleichen Zwecks benötigt, zu dem die Daten erhoben worden sind, ist die Übermittlung personenbezogener Daten an Behörden und sonstige öffentliche Stellen ferner zulässig, wenn sie zur rechtmäßigen Erfüllung der durch Gesetz der übermittelnden Stelle oder dem Empfänger zugewiesenen Aufgabe erforderlich ist.
(2) Die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgemeinschaften ist in entsprechender Anwendung derVorschriften über die Datenübermittlung an Behörden und sonstige öffentliche Stellen zulässig, sofern sichergestellt ist, daß bei dem Empfänger hinreichende Datenschutzmaßnahmen getroffen werden.
(3) Über die Zulässigkeit der Datenübermittlung entscheidet die übermittelnde Stelle.
§ 13: Datenübermittlung an Stellen außerhalb des öffentlichen Bereichs
Die Übermittlung personenbezogener Daten an Personen und andere Stellen außerhalb des öffentlichen Bereichs sowie an landesunmittelbare Anstalten des öffentlichen Rechts, die am Wettbewerb teilnehmen, ist zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat.
§ 14: Datenübermittlung an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes
(1) Die Übermittlung personenbezogener Daten an Behörden oder sonstige öffentliche Stellen außerhalb des Geitungsbereichs des Grundgesetzes sowie an über- oder zwischenstaatliche Stellen ist zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaften oder einer internationalen Vereinbarung ausdrücklich geregelt ist.
(2) Eine Übermittlung ist auch zulässig, wenn für den Empfänger gleichwertige Datenschutzregelungen gelten und bei einer Übermittlung an öffentliche Stellen die Voraussetzungen der §§ 9 und 11 erfüllt sind. Die Übermittlung unterbieibt, soweit Grund zu der Annahme besteht, daß sie gegen den Zweck eines deutschen Gesetzes, insbesondere gegen § 1 Abs. 1, verstoßen würde.
§ 15: Automatisiertes Abrufverfahren
(1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten durch Dritte darf durch Behörden oder sonstige öffentliche Stelien nur eingerichtet werden, wenn ein Gesetz dies ausdrücklich zuläßt. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.
(2) Der Senat setzt durch Rechtsverordnung die Einzeiheiten bei der Einrichtung automatisierter Abrufverfahren fest. Der Berliner Datenschutzbeauftragte ist vorher zu hören. Die Rechtsverordnung hat den Datenempfänger, die Datenart und den Zweck des Abrufs festzulegen. Sie hat Maßnahmen zur Datensicherung und zur Kontrolle vorzusehen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen.
(3) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen Bereichs zum automatisierten Abruf nicht bereitgehalten werden ; dieses gilt nicht für den Betroffenen.
(4) Die Absätze 1 und 3 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offenstehen oder deren Veröffentlichung zulässig wäre.
§ 16: Auskunft und Benachrichtigung
(1) Werden personenbezogene Daten in einer Datei gespeichert, so ist dem Betroffenen von der datenverarbeitenden Stelle auf Antrag gebührenfrei Auskunft zu erteilen über
1. die zu seiner Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Verarbeitung,
3. die Herkunft der Daten und die Empfänger von Übermittlungen innerhalb der letzten zwei Jahre.
(2) Werden personenbezogene Daten in einer automatisierten Datei gespeichert, so ist der Betroffene von dieser Tatsache schriftlich zu benachrichtigen. Die Benachrichtigung umfaßt einen Hinweis auf die Dateibeschreibung nach § 19 Abs. 2 sowie die Meldung zum Dateienregister nach § 25 Abs. 1 außer in den Fällen des § 25 Abs. 1 Sätze 5 und 7. Die Benachrichtigung kann zusammen mit der Erhebung erfolgen.
(3) Die Absätze 1 und 2 gelten nicht für personenbezogene Daten, die ausschließlich zum Zweck der Datensicherung gespeichert sind.
(4) Sind personenbezogene Daten in Akten gespeichert, so kann der Betroffene bei der datenverarbeitenden Stelle Einsicht in die Akten verlangen. Werden die Akten zur Person des Betroffenen geführt, so hat er sie zu bezeichnen. Werden die Akten nicht zur Person des Betroffenen geführt, so hat er Angaben zu machen, die das Auffinden der zu seiner Person gespeicherten Daten mit angemessenem Aufwand ermöglichen. Die Einsichtnahme ist unzulässig, wenn die Daten des Betroffenen mit Daten Dritter oder geheimhaltungsbedürftigen nicht personenbezogenen Daten derart verbunden sind, daß ihre Trennung nach verschiedenen Zwecken auch durch Vervielfältigen und Unkenntlichmachung nicht oder nur mit unverhäitnismäßig großem Aufwand möglich ist; in diesem Fali ist dem Betroffenen Auskunft nach Absatz 1 zu erteilen. im übrigen kann mit Einwllligung des Betroffenen statt Einsicht Auskunft gewährt werden. § 29 Abs. 1 und 3 des Verwaltungsverfahrensgesetzes bleibt unberührt.
(5) Die Absätze 1, 2 und 4 gelten nicht, soweit eine Abwägung ergibt, daß die dort gewährten Rechte des Betroffenen hinter dem öffentlichen interesse an der Geheimhaltung oder einem überwiegenden Geheimhaltungsinteresse Dritter aus zwingenden Gründen zurücktreten müssen ; die wesentlichen Gründe sind dem Betroffenen im einzeinen mitzuteilen. Die Entscheidung trifft der Leiter der datenverarbeitenden Stelle oder dessen Stellvertreter. Werden Auskunft oder Einsicht nicht gewährt, so ist der Betroffene darauf hinzuweisen, daß er sich an den Berliner Datenschutzbeauftragten wenden kann. Die datenverarbeitende Stelle muß dem Datenschutzbeauftragten die Gründe der Auskunfts- oder Einsichtsverweigerung darlegen.
§ 17: Berichtigung, Sperrung und Löschung von Daten
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Der Betroffene ist vor der Berichtigung zu hören.
(2) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und solange sich weder die Richtigkeit noch die Unrichtigkeit feststelien läßt. Sie sind ferner zu sperren, wenn ihre Kenntnis für die datenverarbeitende Stelle zur rechtmäßigen Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen ; sie dürfen nicht mehr verarbeitet, insbesondere übermitteit oder sonst genutzt werden, es sei denn, daß die Nutzung zu wissenschaftlichen Zwecken oder zur Behebung einer bestehenden Beweisnot unerläßlich ist und der Betroffene in die Nutzung eingewilligt hat.
(3) Personenbezogene Daten sind zu iöschen, wenn ihre Kenntnis für die datenverarbeitende Stelle zur rechtmäßigen Erfüilung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. Sie sind zu iöschen, wenn ihre Speicherung unzulässig war oder wenn es in den Fällen des Absatzes 2 Satz 2 der Betroffene verlangt. in den Fällen des Satzes 2 1. Alternative ist der Betroffene vor der Löschung zu hören. Das gieiche gilt, wenn die Daten ohne Beteiligung des Betroffenen erhoben wurden und eine Benachrichtigung nach § 10 Abs. 5 nicht erfolgt ist.
(4) in den Fällen des Absatzes 2 Satz 2 und des Absatzes 3 Satz 1 und 2 kann die datenverarbeitende Stelle die Daten anstelie der dort vorgeschriebenen Sperrung oder Löschung einem dem öffentlichen Recht unterliegenden Archiv überantworten. Dazu ist die Einwilligung des Betroffenen in den Fällen des Absatzes 3 Satz 2 erforderlich.
(5) Von der Berichtigung nach Absatz 1, der Sperrung nach Absatz 2 und der Löschung nach Absatz 3 sind unverzüglich die Stellen zu verständigen, denen die Daten im Rahmen regelmäßiger Datenübermittlung übermittelt wurden.
(6) Sind personenbezogene Daten in Akten gespeichert und ist eine Sperrung nicht durch Vervielfältigen und Unkenntlichmachen möglich, so ist die Sperrung nach Absatz 2 Satz 2 nur durchzuführen, wenn die gesamte zur Person des Betroffenen geführte Akte zur Erfüllung der dort genannten Aufgaben nicht mehr erforderlich ist. Die Löschung nach Absatz 3 Satz 1 kann der Betroffene in diesem Fall nicht verlangen.
§ 18: Schadenersatz- und Unterlassungsanspruch
(1) Wird der Betroffene durch eine nach diesem Gesetz oder anderen Rechtsvorschriften über den Datenschutz rechtswidrige Datenverarbeitung in seinen schutzwürdigen Belangen beeinträchtigt, so hat ihm diejenige Behörde oder sonstige öffentliche Stelle, die die Daten verarbeitet oder nach § 3 Abs. 1 verarbeiten läßt, den daraus entstandenen Vermögensschaden zu ersetzen. Sind weitere Rechtsverletzungen zu besorgen, so kann der Betroffene Unterlassung verlangen. In schweren Fällen kann der Betroffene auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangen.
(2) Schadenersatz- und Unterlassungsansprüche auf Grund anderer Vorschriften bleiben unberührt.
§ 19: Durchführung des Datenschutzes, Dateibeschreibung und behördliche Datenschutzbeauftragte
(1) Die datenverarbeitenden Stellen, in den Fällen des § 4 Abs. 3 Nr. 1 Halbsatz 2 auch die jeweiligen Behörden oder sonstigen öffentlichen Stellen, und die Aufsichtsbehörden haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. Sie haben insbesondere dafür zu sorgen, daß die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, gewährleistet ist.
(2) Die datenverarbeitenden Stellen haben für jede Datei in einer Beschreibung schriftlich festzulegen
1. die Bezeichnung der Datei und ihre Zweckbestimmung,
2. die Art der gespeicherten Daten und die Rechtsgrundlage ihrer Verarbeitung,
3. den Kreis der Betroffenen,
4. die Art regelmäßig zu übermitteinder Daten, ihre Empfänger und die Herkunft regelmäßig empfangener Daten,
5. Fristen für die Sperrung und Löschung der Daten,
6. die technischen und organisatorischen Maßnahmen nach § 5 und
7. bei automatisierten Verfahren die Betriebsart des Verfahrens, die Art der Geräte, die Stellen, bei denen sie aufgestelit sind, und das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.
(3) Absatz 2 findet keine Anwendung auf nichtautomatisierte Dateien, aus denen keine Daten an Dritte übermitteit werden, und auf Dateien, die bei automatisierter Verarbeitung ausschließlich aus verarbeitungstechnischen Gründen vorübergehend vorgehalten werden.
(4) Die datenverarbeitende Stelle oder die iihrem Auftrag tätige Stelle ist verpflichtet, in einem Verzeichnis der Geräte, mit denen personenbezogene Daten automatisiert verarbeitet werden, festzulegen
1. den Typ und die Art der Geräte,
2. den Hersteller,
3. die Anzahl und den Standort der Geräte,
4. das verwendete Betriebssystem,
5. die Möglichkeiten zur Datenfernverarbeitung und Datenübertragung und
6. verwendete Standard- und Anwenderprogramme.
Das Verzeichnis ist laufend auf dem neuesten Stand zu halten. Weitere in das Verzeichnis aufzunehmende Angaben über die Ausstattung der Geräte und deren Verwendung bestimmt der Senat durch Rechtsverordnung.
(5) Zur Wahrnehmung dieser Aufgaben bestellen die Behörden und sonstigen öffentlichen Stellen Datenschutzbeauftragte (behördliche Datenschutzbeauftragte). Für sie gelten die §§ 36 und 37 des Bundesdatenschutzgesetzes entsprechend.
