LDSG

Landesdatenschutzgesetz

Landesdatenschutzgesetz für Baden-Württemberg

Vom 12.6.2018 (GBl. 2018, 173)

Zuletzt geändert am 6.12.2022 (GBl. S. 622, 631)

Geltungsbereich: Baden-Württemberg (BW)

ABSCHNITT 1
Allgemeine Bestimmungen
§ 1Zweck des Gesetzes
ABSCHNITT 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 4Zulässigkeit der Verarbeitung personenbezogener Daten
ABSCHNITT 3
Rechte der betroffenen Person
§ 8Beschränkung der Informationspflicht
ABSCHNITT 5
Unabhängige Aufsichtsbehörden
§ 20Errichtung
ABSCHNITT 6
Sanktionen
§ 28Ordnungswidrigkeiten

§ 3

Sicherstellung des Datenschutzes

(1) 1 Bei der Datenverarbeitung sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. 2 Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. 3 Zu den Maßnahmen können insbesondere gehören:

1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung [EU] 2016/679 erfolgt,
2. Maßnahmen, die die nachträgliche Überprüfung und Feststellung gewährleisten, ob und von wem personenbezogene Daten erfasst, verändert oder gelöscht worden sind,
3. die Sensibilisierung und Schulung der an Verarbeitungsvorgängen Beteiligten,
4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der öffentlichen Stelle und von Auftragsverarbeitern,
5. die Pseudonymisierung personenbezogener Daten,
6. die Verschlüsselung personenbezogener Daten,
7. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen, einschließlich der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
8. die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und
9. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung personenbezogener Daten für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung [EU] 2016/679 sicherstellen.

(2) 1 Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). 2 Das Datengeheimnis besteht nach Beendigung ihrer Tätigkeit fort.

ABSCHNITT 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 4

Zulässigkeit der Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der öffentlichen Stelle liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die der öffentlichen Stelle übertragen wurde, erforderlich ist.

§ 5

Datenverarbeitung zu anderen Zwecken

(Ergänzung zu Artikel 6 Absatz 3 und 4 der Verordnung [EU] 2016/679)

(1) 1 Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist unbeschadet der Bestimmungen der Verordnung [EU] 2016/679 zulässig, wenn

1. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist,
2. sie zum Schutz der betroffenen Person oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte und Freiheiten einer anderen Person erforderlich ist,
3. sich bei der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten von erheblicher Bedeutung ergeben und die Unterrichtung der für die Verhütung, Verfolgung oder Vollstreckung zuständigen Behörden erforderlich ist oder
4. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
soweit die Verarbeitung notwendig und verhältnismäßig ist.

(2) 1 Eine Verarbeitung gilt als mit den ursprünglichen Zwecken vereinbar, wenn sie

1. für die Wahrnehmung von Aufsichts- und Kontrollbefugnissen benötigt wird oder
2. der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen oder der Prüfung und Wartung von automatisierten Verfahren dient.
2 Dies gilt auch für die Verarbeitung zu eigenen Aus- und Fortbildungszwecken, soweit schutzwürdige Belange der betroffenen Person nicht entgegenstehen.

(3) Abweichend von Artikel 13 der Verordnung [EU] 2016/679 erfolgt eine Information der betroffenen Person über die Datenverarbeitung nach Absatz 1 Nummern 1 bis 4 nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde und die Interessen der öffentlichen Stelle an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.

(4) Personenbezogene Daten, die ausschließlich zum Zweck der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage verarbeitet werden, dürfen nur für diesen Zweck und hiermit in Zusammenhang stehende Maßnahmen gegenüber Beschäftigten verarbeitet werden oder soweit dies zur Verhütung oder Verfolgung von Straftaten gegen Leib, Leben oder Freiheit einer Person erforderlich ist.

§ 6

Übermittlung personenbezogener Daten

(1) Die Übermittlung personenbezogener Daten zu anderen als ihren Erhebungszwecken ist zulässig, wenn

1. sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 5 zulassen würden oder
2. der Empfänger eine nichtöffentliche Stelle ist, die ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.

(2) 1 Die Verantwortung für die Zulässigkeit der Übermittlung personenbezogener Daten trägt die übermittelnde öffentliche Stelle. 2 Erfolgt die Übermittlung an eine öffentliche Stelle im Geltungsbereich des Grundgesetzes auf deren Ersuchen, trägt diese die Verantwortung und erteilt die Informationen nach Artikel 14 der Verordnung [EU] 2016/679. 3 Die übermittelnde öffentliche Stelle hat im Falle des Satzes 2 lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben der ersuchenden öffentlichen Stelle liegt. 4 Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht.

(3) 1 Erfolgt die Übermittlung aufgrund eines automatisierten Verfahrens, welches die Übermittlung personenbezogener Daten durch Abruf ermöglicht, trägt die Verantwortung für die Rechtmäßigkeit des Abrufs der Dritte, an den übermittelt wird. 2 Die übermittelnde Stelle prüft die Zulässigkeit des Abrufs nur, wenn dazu Anlass besteht. 3 Sie hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.

Teste LX Pro.

LX Gesetze auf allen Geräten nutzen
  • Teste LX Pro auf all deinen Geräten – kostenlos und unverbindlich.
  • Zugriff auf alle Gesetze und Funktionen.
  • Der Probemonat endet automatisch.
Jetzt Probemonat starten ×

Alle Gesetze.
Ein Preis.

LX Gesetze auf allen Geräten nutzen
  • Mit LX Pro Zugriff auf alle Gesetze und Funktionen.
  • Zugang endet automatisch – keine Kündigung nötig.
LX Pro aktivieren ×