Dieses Gesetz trifft ergänzende Regelungen zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1, ber. ABl. L 314 vom 22. November 2016, S. 72) in der jeweils geltenden Fassung sowie Regelungen für die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt.
(1) 1 Dieses Gesetz gilt nach Maßgabe von Absatz 2 bis 7 für die Verarbeitung personenbezogener Daten durch Behörden und sonstige Stellen des Landes, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). 2 Die öffentliche Stelle ist zugleich Verantwortlicher nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679, soweit dieses Gesetz nichts anderes bestimmt. 3 Dieses Gesetz gilt nicht für die Verarbeitung personenbezogener Daten
(2) 1 Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts mit absoluter Mehrheit der Anteile oder absoluter Mehrheit der Stimmen beteiligt sind. 2 Beteiligt sich eine juristische Person oder sonstige Vereinigung des privaten Rechts nach Satz 1 an einer weiteren Vereinigung des privaten Rechts, findet Satz 1 entsprechende Anwendung. 3 Nehmen nichtöffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.
(3) 1 Soweit besondere Rechtsvorschriften des Bundes oder des Landes auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2 Die Vorschriften dieses Gesetzes gehen denen des Landesverwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(4) 1 Soweit die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit stattfindet, die nicht in den sachlichen Anwendungsbereich der Verordnung (EU) 2016/679 oder der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4. Mai 2016, S. 89) fällt, gelten die Regelungen der Verordnung (EU) 2016/679 und dieses Gesetz entsprechend, sofern die Verarbeitung nicht in besonderen Rechtsvorschriften geregelt ist. 2 Die Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 gelten nur, soweit die Verarbeitung personenbezogener Daten automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3 Auf die Prüfungstätigkeit des Rechnungshofs und der staatlichen Rechnungsprüfungsämter finden Artikel 30 und Kapitel VI der Verordnung (EU) 2016/679 sowie §§ 25 und 26 dieses Gesetzes keine Anwendung.
(5) Dieses Gesetz gilt für den Landtag sowie unbeschadet des Absatz 1 Nummer 3 für die Gerichte nur, soweit sie in Verwaltungsangelegenheiten tätig werden.
(6) 1 Soweit öffentliche Stellen als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen, sind die für nichtöffentliche Stellen geltenden datenschutzrechtlichen Vorschriften entsprechend anzuwenden. 2 Satz 1 gilt nicht für Zweckverbände.
(7) Die Vorschriften dieses Gesetzes gelten nicht für die Verarbeitung personenbezogener Daten zur Ausübung des Begnadigungsrechts.
(1) 1 Bei der Datenverarbeitung sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. 2 Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. 3 Zu den Maßnahmen können insbesondere gehören:
(2) 1 Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). 2 Das Datengeheimnis besteht nach Beendigung ihrer Tätigkeit fort.
Die Verarbeitung personenbezogener Daten ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der öffentlichen Stelle liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die der öffentlichen Stelle übertragen wurde, erforderlich ist.
(Ergänzung zu Artikel 6 Absatz 3 und 4 der Verordnung [EU] 2016/679)
(1) 1 Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist unbeschadet der Bestimmungen der Verordnung [EU] 2016/679 zulässig, wenn
(2) 1 Eine Verarbeitung gilt als mit den ursprünglichen Zwecken vereinbar, wenn sie
(3) Abweichend von Artikel 13 der Verordnung [EU] 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 1 Nummern 1 bis 4 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde und die Interessen der öffentlichen Stelle an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.
(4) Personenbezogene Daten, die ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage verarbeitet werden, dürfen nur für diesen Zweck und hiermit in Zusammenhang stehende Maßnahmen gegenüber Beschäftigten verarbeitet werden oder soweit dies zur Verhütung oder Verfolgung von Straftaten gegen Leib, Leben oder Freiheit einer Person erforderlich ist.