Gesetzentwurf
der Bundesregierung
Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutz-rechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richt-linie (EU) 2016/680
(Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)
A. Problem und Ziel
Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung unmittel-bar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von na-türlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwägungs-grund 10). Der Unionsgesetzgeber hat sich für die Handlungsform einer Verordnung ent-schieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist (Erwägungsgrund 13). Die Verordnung (EU) 2016/679 sieht eine Reihe von Öffnungsklauseln für den nationalen Gesetzgeber vor. Zugleich enthält sie konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge. Danach ist es erforderlich, auch das bereichsspezifische Datenschutzrecht auf die Vereinbarkeit mit der Verordnung (EU) 2016/679 zu überprüfen und, soweit nötig, anzupassen. Diese Anpassung ist Ge-genstand des vorliegenden Gesetzentwurfs.
Darüber hinaus dient der vorliegende Gesetzentwurf der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständi-gen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89; L 127 vom 23.5.2018, S. 9), soweit die der Richtlinie unterfallenden Staaten nach Artikel 63 der Richtlinie (EU) 2016/680 verpflichtet sind, bis zum 6. Mai 2018 die Rechts- und Verwal-tungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen.
Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustel-len, ist das bisherige Bundesdatenschutzgesetz (BDSG a. F.) durch ein neues Bundesda-tenschutzgesetz (BDSG) abgelöst worden (Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017, BGBl. I S. 2097). Mit den Änderungen der Abgaben-ordnung sowie des Ersten und des Zehnten Buches des Sozialgesetzbuchs durch Arti-kel 17, 19 und 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und an-derer Vorschriften vom 17. Juli 2017 (BGBl. I S. 2541) wurden bereits wesentliche Nor-men des Steuerrechts und des Sozialdatenschutzrechts an die Verordnung (EU) 2016/679 angepasst. Hinsichtlich der bestehenden bereichsspezifischen Datenschutzre-gelungen des Bundes ergibt sich infolge der Änderungen im allgemeinen Datenschutz-recht durch die Verordnung (EU) 2016/679, die Richtlinie (EU) 2016/680 und das sie er-gänzende neu gefasste BDSG sowie durch die Änderungen der Abgabenordnung und
– 2 –
des Sozialdatenschutzrechts weiterer gesetzlicher Anpassungsbedarf, auf den der vorlie-gende Gesetzentwurf abzielt.
B. Lösung
Durch den vorliegenden Gesetzentwurf werden die bestehenden bereichsspezifischen Datenschutzregelungen des Bundes mit folgenden Regelungsschwerpunkten an die uni-onsrechtlichen Vorgaben angepasst:
– Anpassung von Begriffsbestimmungen;
– Anpassung von Verweisungen;
– Anpassung (bzw. vereinzelt Schaffung) von Rechtsgrundlagen für die Datenverarbei-tung;
– Regelungen zu den Betroffenenrechten;
– Anpassungen aufgrund unmittelbar geltender Vorgaben der Verordnung (EU) 2016/679 zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbei-tung, zur Datenübermittlung an Drittländer oder an internationale Organisationen so-wie zu Schadenersatz und Geldbußen.
Darüber hinaus werden durch Änderungen im BDSG
– die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten zu Zwecken staatlicher Auszeichnungen und Ehrungen aus Anlass der Verordnung (EU) 2016/679 ausdrücklich normiert und damit die geltende Praxis abgesichert;
– die Voraussetzungen dafür geschaffen, dass sensible Informationen durch zivilgesell-schaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können.
Zusätzlich wird eine Rechtsgrundlage in § 24b des Bundeselterngeld- und Elternzeitge-setzes (BEEG) geschaffen, die die Datenverarbeitung zur elektronischen Unterstützung der Antragstellung eines Elterngeldantrags durch ein vom Bund verantwortetes Internet-portal erlaubt.
C. Alternativen
Keine.
D. Haushaltsausgaben ohne Erfüllungsaufwand
Keine.
E. Erfüllungsaufwand
E.1 Erfüllungsaufwand für Bürgerinnen und Bürger
Für Bürgerinnen und Bürger entsteht grundsätzlich kein neuer Erfüllungsaufwand.
– 3 –
Mit Blick auf das Bundeszentralregistergesetz (BZRG) und die registerrechtlichen Best-immungen der Gewerbeordnung (GewO) entsteht den Bürgerinnen und Bürgern ein sehr geringer zeitlicher Erfüllungsaufwand bei
– einem Antrag auf Protokolldatenauskunft, geschätzte 200 Fälle pro Jahr im Bereich Bundeszentralregister (BZR) und 50 Fälle pro Jahr im Bereich Gewerbezentralregis-ter (GZR), und
– einem formlosen Antrag auf kostenfreie Selbstauskunft aus dem GZR beim Bundes-amt für Justiz, geschätzte 100 Fälle im Jahr.
Durch die Änderung des BEEG zur Implementierung eines Internetportals zur elektroni-schen Unterstützung der Beantragung von Elterngeld verringert sich der jährlich fortlau-fende Erfüllungsaufwand für die Bürgerinnen und Bürger um etwa 1,2 Millionen Stunden.
E.2 Erfüllungsaufwand für die Wirtschaft
Für die Wirtschaft entsteht kein neuer Erfüllungsaufwand. Es werden keine Informations-pflichten neu eingeführt, geändert oder aufgehoben.
E.3 Erfüllungsaufwand der Verwaltung
Durch die Umsetzung der Anforderungen der Verordnung (EU) 2016/679 im Gesetz über die Errichtung einer Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOSG) entsteht durch die Vorgaben des § 23 BDBOSG neuer Erfüllungsaufwand. Für die technische Umsetzung der datenschutzkonformen Aus-gestaltung für das Speichern von personenbezogenen Daten in der Standortdatenbank entsteht bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) ein interner personeller Aufwand für Auswahl und Imple-mentierung von voraussichtlich 27 Personentagen sowie ein grob geschätzter Erfüllungs-aufwand für die erforderlichen Hard- und Softwarekomponenten in Höhe von rund 130 000 Euro. Die Komponenten setzen sich zusammen aus Hardware für Speicher und Ser-ver sowie aus Dienstleistungskosten und den notwendigen Softwarelizenzen, um den Speicher und den Server betreiben zu können. Zusätzlich entstehen jährlich nicht näher bezifferbare Kosten für Wartung und Pflege der Hard- und Softwarekomponenten.
Im Rahmen des Bundesbeamtengesetzes umfasst der Begriff „Einsicht“ wegen Artikel 15 Absatz 3 Verordnung (EU) 2016/679 auch das Recht des Beamten oder der Beamtin auf Aushändigung. Dadurch ergibt sich ein sehr geringer, jedoch derzeit nicht näher beziffer-barer Verwaltungsaufwand. Dieser Mehraufwand kann im Rahmen der vorhandenen Mit-tel und des vorhandenen Personals abgedeckt werden.
Durch die Umsetzung der Anforderungen der Verordnung (EU) 2016/679 im Gesetz zur Stärkung des Datenschutzes und zur Regelung der Datenverarbeitung durch das Bun-desamt für Sicherheit in der Informationstechnik (BSIG) werden in Bezug auf die Ein-schränkung von Informationspflichten und die Einschränkung der Betroffenenrechte in vielen Einzelfällen umfassende datenschutzrechtliche Prüfungen mit Abwägungs-, Be-gründungs- und Dokumentationszwang erforderlich. Hierfür entsteht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Erfüllungsaufwand in Form von Personal-kosten in Höhe von jährlich rund 315 000 Euro.
Durch die in der Verordnung (EU) 2016/679 vorgegebene Pflicht, den Tätigkeitsbericht des Beauftragten für den Datenschutz der Deutschen Welle künftig jährlich anstatt wie bisher alle zwei Jahre zu verfassen, entstehen Zusatzkosten unter 1 000 Euro pro Jahr. Die Kosten trägt die Deutsche Welle aus ihrem Etat.
– 4 –
Durch die Aufteilung der Aufsicht über die Datenverarbeitung im Zusammenhang mit jour-nalistischen Zwecken auf den Beauftragten für den Datenschutz der Deutschen Welle einerseits sowie der Aufsicht über die Datenverarbeitung für im Bereich von Verwaltungs-tätigkeiten, die keinen Bezug zu Programmtätigkeiten der Deutschen Welle haben, auf den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) anderer-seits (§ 65 Absatz 1 DWG), entsteht folgender Mehraufwand:
– Bei der oder dem BfDI entsteht durch die Einführung der zweigeteilten Aufsicht in § 65 Absatz 1 DWG durch die Aufsicht über die Datenverarbeitung im Rahmen reinen Verwaltungshandelns ein geschätzter Mehraufwand von maximal rund 3 500 Euro pro Jahr. Zudem entsteht ein geschätzter Erfüllungsaufwand bei der oder dem BfDI aufgrund des Abstimmungsbedarfs mit dem Beauftragten für den Datenschutz der Deutschen Welle in Höhe von 13 500 Euro pro Jahr.
– Für die Deutsche Welle entsteht durch die Einführung der zweigeteilten Aufsicht in § 65 Absatz 1 DWG aufgrund höheren Abstimmungsbedarfs mit der oder dem BfDI ebenfalls ein jährlicher geschätzter Erfüllungsaufwand in Höhe von 13 500 Euro.
Für das BZRG und die registerrechtlichen Bestimmungen der GewO gilt Folgendes:
– Der Registerbehörde wird durch die Einführung einer kostenfreien, formlosen Selbst-auskunft aus dem GZR ein geringfügiger einmaliger Mehraufwand entstehen, um den Ausdruck von formlosen Selbstauskünften im Arbeitsablauf zu etablieren. Der jährli-che Personal- und Sachaufwand wird angesichts der geringen Anzahl von 100 Anträ-gen pro Jahr bei rund 4 000 Euro liegen.
– Bezüglich der Einführung einer Protokolldatenauskunft wird von 200 Anträgen pro Jahr im Bereich des BZR und von 50 Anträgen pro Jahr im Bereich des GZR ausge-gangen. Da die Anträge bei den zuständigen Behörden zu stellen sind, um die Identi-tätsprüfung zu gewährleisten, entsteht den Meldeämtern bzw. den zuständigen Be-hörden ein personeller Mehraufwand in Höhe von rund 1 000 Euro; für die Berech-nung dieser Kosten wird eine Bearbeitungszeit von 4 Minuten für die Annahme und Prüfung des Antrags und die Weiterleitung der Daten an das Bundesamt für Justiz zugrunde gelegt. Die Erhebung des Zeitwerts basiert auf einer Erhebung des Statisti-schen Bundesamts.
– Bei den in das Verfahren eingebundenen Staatsanwaltschaften, Gerichten und Be-hörden, die ihr Einvernehmen zur Protokolldatenauskunft zu erklären haben, sofern sie zuvor Auskünfte zu der antragstellenden Person nach den §§ 41 und 31 BZRG sowie § 150a Absatz 1 Satz 2 oder Absatz 2 GewO bezogen haben, wird ein jährli-cher Personalaufwand von ca. 1 000 Euro entstehen, ausgehend von einer Bearbei-tungszeit von 14 Minuten pro Fall. Es wird von geschätzten 100 Fällen im Bereich des BZR und von 25 Fällen im Bereich des GZR ausgegangen, bei denen die Einholung des Einvernehmens erforderlich ist.
– Beim Bundesamt für Justiz ist für die manuelle Bearbeitung der Anträge auf Proto-kolldatenauskunft von einer Bearbeitungszeit von 60 Minuten pro Fall auszugehen. Damit werden jährlich Personal- und Sachaufwände in Höhe von rund 12 000 Euro entstehen.
Durch die neue Aufgabe in § 4e Absatz 3 FinDAG, § 4 Absatz 5 SAG, § 13a Absatz 3 AnlEntG und § 21 Absatz 6 EinSiG, die aus der Anpassung der Finanzaufsichtsgesetze an die Verordnung (EU) 2016/679 resultiert, entsteht für die oder den BfDI ein Mehrauf-wand, sofern der in den genannten Vorschriften geregelte Fall tatsächlich in der Zukunft auftreten sollte. Bezogen auf die Vergangenheit und insbesondere auch auf die Zeit der Finanzkrise hätte es nach den vorhandenen Daten keinen Anwendungsfall gegeben. Der Anwendungsbereich der bereits in § 19 Absatz 6 BDSG in der bis zum 24. Mai 2018 gel-
– 5 –
tenden Fassung und § 34 Absatz 3 BDSG 2018 vorhandenen Aufgabe wird auf die Fi-nanzaufsichtsgesetze und die dort geschaffenen Gefährdungstatbestände wie z. B. die Integrität und Stabilität der Finanzmärkte im Lichte des Artikels 15 Absatz 1 der Verord-nung (EU) 2016/679 erweitert. Betroffenen Personen wird bei Vorliegen eines der sehr eng gefassten Gefährdungstatbestände ein Auskunftsanspruch über die BfDI gewährt, wenn ihnen zuvor von der zuständigen Behörde eine datenschutzrechtliche Auskunft ver-weigert wurde. Die BfDI wird dabei für den sehr seltenen Fall des Vorliegens der Voraus-setzungen als Mittlerin für die betroffene Person deren Betroffenenrechte wahrnehmen und diese Personen in Abstimmung mit den zuständigen Behörden über das Ergebnis informieren. Diese Aufgabe beinhaltet, sofern der Fall tatsächlich künftig eintreten sollte, eine Korrespondenz sowohl mit der betroffenen Person als auch der verantwortlichen Behörde, eine datenschutzrechtliche Prüfung und eine umfassende Dokumentation bei der BfDI. Je Fall entstünde der oder dem BfDI nach eigener Schätzung ein Erfüllungsauf-wand für den gehobenen Dienst in Höhe von 1 736 Euro, für den mittleren Dienst in Höhe von 2 536 Euro und für die Arbeitsplatzpauschale in Höhe von 1 605,60 Euro (gesamt 5 877,60 Euro).
Eine vergleichbare Aufgabe, die aber in die Zuständigkeit der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde fällt, regelt § 22b Absatz 3 BörsG. Für die Erfüllung dieser Aufgabe dürfte ein vergleichbarer Aufwand bei der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde entstehen.
Durch die Implementierung eines Internetportals zur elektronischen Unterstützung der Beantragung von Elterngeld entsteht ein einmaliger geschätzter Umstellungsaufwand in Höhe von 4,5 Millionen Euro. Davon entfallen rund 3 Millionen Euro auf den Bund, der übrige geschätzte Aufwand fällt für alle teilnehmenden Länder an. Der jährlich fortlaufen-de Erfüllungsaufwand reduziert sich durch die Normänderung für die Verwaltung um ge-schätzte 25 Millionen Euro auf Ebene der Länder und Kommunen. Auf Ebene des Bundes entstehen jährliche Mehrausgaben in Höhe von 1,1 Millionen Euro.
Durch die Anpassung von § 42 Postgesetz entsteht kein zusätzlicher Erfüllungsaufwand für den Bund. Soweit Aufgaben auf die BfDI übergehen, die derzeit von der Bundesnetza-gentur wahrgenommen werden, wird der dadurch entstehende zusätzliche Personalbedarf bei der BfDI durch eine Umsetzung der dafür vorgesehenen Planstellen nach § 50 BHO von der Bundesnetzagentur zur BfDI gedeckt.
Weiterer neuer Erfüllungsaufwand für die Verwaltung entsteht durch die Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 nicht. Die bestehenden allgemeinen wie bereichsspezifischen Regelungen im Datenschutzrecht, die öffentliche Stellen betref-fen, können fortbestehen, indem die in der Verordnung (EU) 2016/679 enthaltenen Öff-nungsklauseln ausgenutzt werden.
Nach Einschätzung Niedersachsens können für die Länder Mehrausgaben durch § 3a AFIG und § 23 BDBOSG entstehen:
Bislang lag die Zuständigkeit für die Verhängung von Geldbußen gemäß § 3a AFIG zent-ral bei der Bundesanstalt für Landwirtschaft und Ernährung. Da die Zuständigkeit für da-tenschutzrechtliche Verstöße in Bezug auf das AFIG nunmehr nicht mehr zentral bei einer Behörde, sondern dezentral bei den Bundesländern liegt, wird es zu einem Mehraufwand bei den Ländern für die Übernahme dieser Aufgabe sowie der erforderlichen Abstimmung mit den anderen Bundesländern kommen. Der Umfang des Mehraufwands kann jedoch nicht beziffert werden.
Durch die Änderung des § 23 BDBOSG entsteht ein Anpassungsbedarf für die Hard- und Softwarekomponenten sowie den Personalaufwand. Nach § 15 des Verwaltungsabkom-mens über die Zusammenarbeit von Bund und Ländern beim Aufbau und Betrieb eines bundesweit einheitlichen digitalen Sprech- und Datenfunksystems für alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) in der Bundesrepublik Deutschland kön-nen diese Kosten zu 70 Prozent nach Maßgabe des Königsteiner Schlüssels auf die Län-der umgelegt werden.
– 6 –
F. Weitere Kosten
Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucher-preisniveau, sind nicht zu erwarten.
– 1 –
Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680
(Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)1)
Vom …
Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlos-sen:
Inhaltsübersicht
Artikel 1 Änderung des Staatsangehörigkeitsgesetzes
Artikel 2 Änderung des Gesetzes zur Regelung von Vermögensfragen der Sozialversi-cherung im Beitrittsgebiet
Artikel 3 Änderung des Sicherheitsüberprüfungsgesetzes
Artikel 4 Änderung des Antiterrordateigesetzes
Artikel 5 Änderung des Rechtsextremismus-Datei-Gesetzes
Artikel 6 Änderung des VIS-Zugangsgesetzes
Artikel 7 Änderung des Waffengesetzes
Artikel 8 Änderung des BDBOS-Gesetzes
Artikel 9 Änderung des Informationsfreiheitsgesetzes
Artikel 10 Änderung des Beamtenstatusgesetzes
Artikel 11 Änderung des Bundesbeamtengesetzes
Artikel 12 Änderung des Bundesdatenschutzgesetzes
Artikel 13 Änderung des BSI-Gesetzes
Artikel 14 Änderung des De-Mail-Gesetzes
Artikel 15 Änderung des E-Government-Gesetzes
Artikel 16 Änderung des Bundesmeldegesetzes
1) Dieses Gesetz dient der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo-gener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89; L 127 vom 23.5.2018, S. 9).
– 2 –
Artikel 17 Änderung des Personenstandsgesetzes
Artikel 18 Änderung des Arzneimittelgesetzes
Artikel 19 Änderung des Vierten Gesetzes zur Änderung arzneimittelrechtlicher und anderer Vorschriften
Artikel 20 Änderung des Transfusionsgesetzes
Artikel 21 Änderung des Gentechnikgesetzes
Artikel 22 Änderung des Grundstoffüberwachungsgesetzes
Artikel 23 Änderung des Gendiagnostikgesetzes
Artikel 24 Änderung des Transplantationsgesetzes
Artikel 25 Änderung des Anti-Doping-Gesetzes
Artikel 26 Änderung des Weingesetzes
Artikel 27 Änderung des Tabakerzeugnisgesetzes
Artikel 28 Änderung des Lebensmittel- und Futtermittelgesetzbuches
Artikel 29 Änderung des Krankenhausfinanzierungsgesetzes
Artikel 30 Änderung des Infektionsschutzgesetzes
Artikel 31 Änderung des IGV-Durchführungsgesetzes
Artikel 32 Änderung des Suchdienstedatenschutzgesetzes
Artikel 33 Änderung des Abfallverbringungsgesetzes
Artikel 34 Änderung des Seeversicherungsnachweisgesetzes
Artikel 35 Änderung des Jugendfreiwilligendienstegesetzes
Artikel 36 Änderung des Hilfetelefongesetzes
Artikel 37 Änderung des Bundesfreiwilligendienstgesetzes
Artikel 38 Änderung des Asylbewerberleistungsgesetzes
Artikel 39 Änderung des Aufstiegsfortbildungsförderungsgesetzes
Artikel 40 Änderung des Kulturgutschutzgesetzes
Artikel 41 Änderung des Deutsche-Welle-Gesetzes
Artikel 42 Änderung des Wohnraumförderungsgesetzes
Artikel 43 Änderung des Zweiten Dopingopfer-Hilfegesetzes
Artikel 44 Änderung des Strafrechtlichen Rehabilitierungsgesetzes
Artikel 45 Änderung des Verwaltungsrechtlichen Rehabilitierungsgesetzes
– 3 –
Artikel 46 Änderung des Beruflichen Rehabilitierungsgesetzes
Artikel 47 Änderung des AZR-Gesetzes
Artikel 48 Änderung des Asylgesetzes
Artikel 49 Änderung des Aufenthaltsgesetzes
Artikel 50 Änderung des Visa-Warndateigesetzes
Artikel 51 Änderung des Gesetzes über den Auswärtigen Dienst
Artikel 52 Änderung des Bundeszentralregistergesetzes
Artikel 53 Änderung des Siebten Gesetzes zur Änderung des Bundeszentralregisterge-setzes
Artikel 54 Änderung des Eurojust-Gesetzes
Artikel 55 Änderung des Hohe-See-Zusammenarbeitsgesetzes
Artikel 56 Änderung des Justizverwaltungskostengesetzes
Artikel 57 Änderung des Prostituiertenschutzgesetzes
Artikel 58 Änderung des Wertpapierhandelsgesetzes
Artikel 59 Änderung des Wertpapiererwerbs- und Übernahmegesetzes
Artikel 60 Änderung des Wertpapierprospektgesetzes
Artikel 61 Änderung des Börsengesetzes
Artikel 62 Änderung des Strafgesetzbuches
Artikel 63 Änderung des Schwarzarbeitsbekämpfungsgesetzes
Artikel 64 Änderung des Soldatengesetzes
Artikel 65 Änderung des Soldatinnen- und Soldatengleichstellungsgesetzes
Artikel 66 Änderung des Zivildienstgesetzes
Artikel 67 Änderung des Finanzverwaltungsgesetzes
Artikel 68 Änderung des Gesetzes über Steuerstatistiken
Artikel 69 Änderung des ZIS-Ausführungsgesetzes
Artikel 70 Änderung der Abgabenordnung
Artikel 71 Änderung des Einführungsgesetzes zur Abgabenordnung
Artikel 72 Änderung des Solidaritätszuschlaggesetzes 1995
Artikel 73 Änderung des Steuerberatungsgesetzes
Artikel 74 Änderung des Einkommensteuergesetzes
– 4 –
Artikel 75 Änderung des Umsatzsteuergesetzes
Artikel 76 Änderung des Rennwett- und Lotteriegesetzes
Artikel 77 Änderung der Bundeshaushaltsordnung
Artikel 78 Änderung des Sanierungs- und Abwicklungsgesetzes
Artikel 79 Änderung der Wirtschaftsprüferordnung
Artikel 80 Änderung des Energiestatistikgesetzes
Artikel 81 Änderung der Gewerbeordnung
Artikel 82 Änderung des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern
Artikel 83 Änderung des Medizinproduktegesetzes
Artikel 84 Änderung der Handwerksordnung
Artikel 85 Änderung des Schornsteinfeger-Handwerksgesetzes
Artikel 86 Änderung des Nationales-Waffenregister-Gesetzes
Artikel 87 Änderung des Mess- und Eichgesetzes
Artikel 88 Änderung des Strahlenschutzgesetzes
Artikel 89 Änderung des Energiewirtschaftsgesetzes
Artikel 90 Änderung des Messstellenbetriebsgesetzes
Artikel 91 Änderung des Kreditwesengesetzes
Artikel 92 Änderung des Anlegerentschädigungsgesetzes
Artikel 93 Änderung des Finanzdienstleistungsaufsichtsgesetzes
Artikel 94 Änderung des Zahlungsdiensteaufsichtsgesetzes
Artikel 95 Änderung des Einlagensicherungsgesetzes
Artikel 96 Änderung des Kapitalanlagegesetzbuches
Artikel 97 Änderung des Pfandbriefgesetzes
Artikel 98 Änderung des Versicherungsaufsichtsgesetzes
Artikel 99 Änderung des Gesetzes über Rabatte für Arzneimittel
Artikel 100 Änderung des Tiergesundheitsgesetzes
Artikel 101 Änderung des Tierschutzgesetzes
Artikel 102 Änderung des Fleischgesetzes
Artikel 103 Änderung des Marktorganisationsgesetzes
– 5 –
Artikel 104 Änderung des Gesetzes über Meldungen über Marktordnungswaren
Artikel 105 Änderung des Rinderregistrierungsdurchführungsgesetzes
Artikel 106 Änderung des Rindfleischetikettierungsgesetzes
Artikel 107 Änderung des Agrar- und Fischereifonds-Informationen-Gesetzes
Artikel 108 Änderung des InVeKoS-Daten-Gesetzes
Artikel 109 Änderung des Agrarstatistikgesetzes
Artikel 110 Änderung des Seefischereigesetzes
Artikel 111 Änderung des Fünften Vermögensbildungsgesetzes
Artikel 112 Änderung des Heimarbeitsgesetzes
Artikel 113 Änderung des Arbeitsschutzgesetzes
Artikel 114 Änderung des Berufsqualifikationsfeststellungsgesetzes
Artikel 115 Änderung des Arbeitnehmer-Entsendegesetzes
Artikel 116 Änderung des Gesetzes über die Alterssicherung der Landwirte
Artikel 117 Änderung des Zweiten Gesetzes über die Krankenversicherung der Landwirte
Artikel 118 Änderung des Bundeselterngeld- und Elternzeitgesetzes
Artikel 119 Änderung des Ersten Buches Sozialgesetzbuch
Artikel 120 Änderung des Zweiten Buches Sozialgesetzbuch
Artikel 121 Änderung des Dritten Buches Sozialgesetzbuch
Artikel 122 Änderung des Vierten Buches Sozialgesetzbuch
Artikel 123 Änderung des Fünften Buches Sozialgesetzbuch
Artikel 124 Änderung des Krankenhausentgeltgesetzes
Artikel 125 Änderung des Sechsten Buches Sozialgesetzbuch
Artikel 126 Änderung des Altersvorsorgeverträge-Zertifizierungsgesetzes
Artikel 127 Änderung der Altersvorsorge-Durchführungsverordnung
Artikel 128 Änderung des Siebten Buches Sozialgesetzbuch
Artikel 129 Änderung des Achten Buches Sozialgesetzbuch
Artikel 130 Änderung des Neunten Buches Sozialgesetzbuch
Artikel 131 Änderung des Zehnten Buches Sozialgesetzbuch
Artikel 132 Änderung des Elften Buches Sozialgesetzbuch
– 6 –
Artikel 133 Änderung des Zwölften Buches Sozialgesetzbuch
Artikel 134 Änderung des Wohngeldgesetzes
Artikel 135 Änderung des Postgesetzes
Artikel 136 Aufhebung der Postdienste-Datenschutzverordnung
Artikel 137 Änderung des Straßenverkehrsgesetzes
Artikel 138 Änderung des Fahrpersonalgesetzes
Artikel 139 Änderung des Kraftfahrsachverständigengesetzes
Artikel 140 Änderung des Gefahrgutbeförderungsgesetzes
Artikel 141 Änderung des Güterkraftverkehrsgesetzes
Artikel 142 Änderung des Fernstraßenbauprivatfinanzierungsgesetzes
Artikel 143 Änderung des Bundesfernstraßenmautgesetzes
Artikel 144 Änderung des Mautsystemgesetzes
Artikel 145 Änderung des Infrastrukturabgabengesetzes
Artikel 146 Änderung des Binnenschiffahrtsaufgabengesetzes
Artikel 147 Änderung des Seeaufgabengesetzes
Artikel 148 Änderung des Seesicherheits-Untersuchungs-Gesetzes
Artikel 149 Änderung des EU-Fahrgastrechte-Schifffahrt-Gesetzes
Artikel 150 Änderung des Schiffsunfalldatenbankgesetzes
Artikel 151 Änderung des Seearbeitsgesetzes
Artikel 152 Änderung des Luftverkehrsgesetzes
Artikel 153 Änderung des Flugunfall-Untersuchungs-Gesetzes
Artikel 154 Änderung des Luftsicherheitsgesetzes
Artikel 155 Inkrafttreten
Artikel 1
Änderung des Staatsangehörigkeitsgesetzes
Das Staatsangehörigkeitsgesetz in der im Bundesgesetzblatt Teil III, Gliederungs-nummer 102-1, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 3 des Ge-setzes vom 11. Oktober 2016 (BGBl. I S. 2218) geändert worden ist, wird wie folgt geän-dert:
– 7 –
1. § 31 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „erheben, speichern, verändern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) Satz 2 wird durch die folgenden Sätze ersetzt:
„Personenbezogene Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Ver-ordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo-gener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung untersagt ist, dürfen verarbeitet werden, soweit die personenbezogenen Daten gemäß § 37 Absatz 2 Satz 2 zur Ermittlung von Ausschlussgründen nach § 11 von den Verfassungsschutzbehörden an die Einbürgerungsbehörden über-mittelt worden sind oder die Verarbeitung sonst im Einzelfall zur Aufgabenerfül-lung erforderlich ist. Dies gilt im Rahmen der Entscheidung über die Staatsange-hörigkeit nach Artikel 116 Absatz 2 des Grundgesetzes auch in Bezug auf Daten, die sich auf die politischen, rassischen oder religiösen Gründe beziehen, wegen derer zwischen dem 30. Januar 1933 und dem 8. Mai 1945 die deutsche Staats-angehörigkeit entzogen worden ist.“
2. In § 32 Absatz 2 wird das Wort „Verwendungsregelungen“ durch das Wort „Verarbei-tungsregelungen“ ersetzt.
3. § 33 wird wie folgt geändert:
a) In Absatz 2 Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) Dem Absatz 4 wird folgender Satz 2 angefügt:
„Die Übermittlung von Angaben nach Absatz 1 zu Forschungszwecken ist nur in anonymisierter Form oder dann zulässig, wenn das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Verarbeitung erheblich überwiegt.“
4. In § 37 Absatz 2 Satz 2 wird das Wort „Verwendungsregelungen“ durch das Wort „Verarbeitungsregelungen“ ersetzt.
Artikel 2
Änderung des Gesetzes zur Regelung von Vermögensfragen der Sozialversicherung im Beitrittsgebiet
§ 7 des Gesetzes zur Regelung von Vermögensfragen der Sozialversicherung im Bei-trittsgebiet vom 20. Dezember 1991 (BGBl. I S. 2313), das zuletzt durch Artikel 17 des Gesetzes vom 29. April 1997 (BGBl. I S. 968) geändert worden ist, wird wie folgt geän-dert:
1. In Absatz 3 Satz 5 werden die Wörter „verarbeiten und nutzen“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken“ ersetzt.
– 8 –
2. Absatz 6 wird wie folgt geändert:
a) In Satz 1 wird das Wort „verwendet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ ersetzt.
b) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
3. In Absatz 7 Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
4. In Absatz 8 Satz 2 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
5. Absatz 9 wird wie folgt gefasst:
„(9) Ist der Empfänger eine nicht-öffentliche Stelle, so überwachen die Aufsichts-behörden der Länder die Anwendung der Vorschriften über den Datenschutz gemäß § 40 Absatz 1 des Bundesdatenschutzgesetzes auch insoweit, als der Anwendungs-bereich nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Auf-hebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der je-weils geltenden Fassung nicht eröffnet ist.“
6. In Absatz 10 Satz 4 wird die Angabe „§ 67d Abs. 1“ durch die Angabe „§ 67b Ab-satz 1“ ersetzt.
Artikel 3
Änderung des Sicherheitsüberprüfungsgesetzes
Das Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867), das zuletzt durch Artikel 4 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2732) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 22 wie folgt gefasst:
„§ 22 Berichtigen, Löschen und Einschränken der Verarbeitung personenbezogener Daten“.
2. In § 19 Absatz 2 Satz 4 werden die Wörter „sind die Daten zu sperren“ durch die Wör-ter „ist die Verarbeitung der Daten einzuschränken“ ersetzt.
3. § 22 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperren“ durch die Wörter „Einschränken der Verarbeitung“ ersetzt.
b) In Absatz 3 Satz 2 werden die Wörter „sind die Daten zu sperren“ durch die Wör-ter „ist die Verarbeitung der Daten einzuschränken“ ersetzt.
– 9 –
Artikel 4
Änderung des Antiterrordateigesetzes
Das Antiterrordateigesetz vom 22. Dezember 2006 (BGBl. I S. 3409), das zuletzt durch Artikel 10 des Gesetzes vom 14. August 2017 (BGBl. I S. 3202) geändert worden ist, wird wie folgt geändert:
1. In § 3 Absatz 1 Nummer 1 Buchstabe b Doppelbuchstabe rr wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
2. In § 5 Absatz 2 Satz 7 werden die Wörter „zu sperren“ durch die Wörter „in ihrer Ver-arbeitung einzuschränken“ ersetzt.
3. In § 8 Absatz 2 wird das Wort „sperren“ durch die Wörter „in ihrer Verarbeitung ein-schränken“ ersetzt.
4. In § 9 Absatz 2 wird die Angabe „§ 9“ durch die Angabe „§ 64“ ersetzt.
5. § 10 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 wird die Angabe „§ 24 Abs. 1“ durch die Angabe „§ 9 Absatz 1“ er-setzt und werden nach dem Wort „Bundesdatenschutzgesetz“ die Wörter „der oder“ eingefügt.
bb) In Satz 3 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.
b) In Absatz 3 Satz 1 wird die Angabe „§ 19“ durch die Angabe „§ 57“ ersetzt.
6. § 11 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
bb) In Satz 2 wird das Wort „Gesperrte“ durch die Wörter „In der Verarbeitung eingeschränkte“ ersetzt.
7. § 12 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Errichtungsanordnung“ durch die Wörter „Fest-legungen für die gemeinsame Datei“ ersetzt.
b) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „in einer Errichtungs-anordnung“ gestrichen.
c) In Satz 2 werden die Wörter „Die Errichtungsanordnung bedarf“ durch die Wörter „Die Festlegungen bedürfen“ ersetzt.
– 10 –
d) In Satz 3 wird das Wort „Der“ durch die Wörter „Die oder der“ und werden die Wörter „Erlass der Errichtungsanordnung“ durch die Wörter „den Festlegungen“ ersetzt.
Artikel 5
Änderung des Rechtsextremismus-Datei-Gesetzes
Das Rechtsextremismus-Datei-Gesetz vom 20. August 2012 (BGBl. I S. 1798), das zuletzt durch Artikel 11 des Gesetzes vom 14. August 2017 (BGBl. I S. 3202) geändert worden ist, wird wie folgt geändert:
1. In § 3 Absatz 1 Nummer 1 Buchstabe b Doppelbuchstabe oo wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
2. In § 5 Absatz 2 Satz 7 werden die Wörter „zu sperren“ durch die Wörter „in ihrer Ver-arbeitung einzuschränken“ ersetzt.
3. In § 9 Absatz 2 wird das Wort „sperren“ durch die Wörter „in ihrer Verarbeitung ein-schränken“ ersetzt.
4. In § 10 Absatz 2 wird die Angabe „§ 9“ durch die Angabe „§ 64“ ersetzt.
5. § 11 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 wird die Angabe „§ 24“ durch die Angabe „§ 9“ ersetzt und werden nach dem Wort „Bundesdatenschutzgesetz“ die Wörter „der oder“ eingefügt
bb) In Satz 3 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt.
b) In Absatz 3 Satz 1 wird die Angabe „§ 19“ durch die Angabe „§ 57“ ersetzt.
6. § 12 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
bb) In Satz 2 wird das Wort „Gesperrte“ durch die Wörter „In der Verarbeitung eingeschränkte“ ersetzt.
7. § 13 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Errichtungsanordnung“ durch die Wörter „Fest-legungen für die gemeinsame Datei“ ersetzt.
b) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „in einer Errichtungs-anordnung“ gestrichen.
– 11 –
c) In Satz 2 werden die Wörter „Die Errichtungsanordnung bedarf“ durch die Wörter „Die Festlegungen bedürfen“ ersetzt.
d) In Satz 3 wird das Wort „Der“ durch die Wörter „Die oder der“ und werden die Wörter „Erlass der Errichtungsanordnung“ durch die Wörter „den Festlegungen“ ersetzt.
Artikel 6
Änderung des VIS-Zugangsgesetzes
In § 4 Absatz 1 Satz 1 des VIS-Zugangsgesetzes vom 6. Mai 2009 (BGBl. I S. 1034; 2013 I S. 3212), das durch Artikel 4 des Gesetzes vom 26. Juli 2016 (BGBl. I S. 1818) geändert worden ist, wird die Angabe „§ 24“ durch die Angabe „§ 9“ ersetzt.
Artikel 7
Änderung des Waffengesetzes
Das Waffengesetz vom 11. Oktober 2002 (BGBl. I S. 3970, 4592; 2003 I S. 1957), das zuletzt durch Artikel 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2133) geändert worden ist, wird wie folgt geändert:
1. In § 5 Absatz 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
2. In § 6 Absatz 2 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffe-nen Person“ und die Wörter „auf seine Kosten“ durch die Wörter „auf Kosten der be-troffenen Person“ ersetzt.
3. In § 20 Absatz 4 Satz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
4. In § 28 Absatz 3 Satz 1 zweiter Halbsatz werden die Wörter „Speicherung und“ ge-strichen.
5. In § 41 Absatz 1 Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ und das Wort „er“ durch das Wort „sie“ ersetzt.
6. In § 43 Absatz 1 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
7. § 45 Absatz 4 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „ein Betroffener“ durch die Wörter „eine betroffene Person“ und das Wort „seine“ durch das Wort „ihre“ ersetzt.
b) In Satz 2 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffene Person“ ersetzt.
– 12 –
8. In § 46 Absatz 4 Satz 2 erster Teilsatz werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt und nach dem Wort „diese“ wird das Wort „Wohnung“ eingefügt.
9. In § 56 Satz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
Artikel 8
Änderung des BDBOS-Gesetzes
Das BDBOS-Gesetz vom 28. August 2006 (BGBl. I S. 2039), das zuletzt durch Arti-kel 1 des Gesetzes vom 5. Juni 2017 (BGBl. I S. 1474) geändert worden ist, wird wie folgt geändert:
1. Nach § 2 wird folgender § 2a eingefügt:
㤠2a
Begriffsbestimmungen
(1) Verkehrsdaten im Sinne dieses Gesetzes sind Daten, die bei der Erbringung eines Telekommunikationsdienstes im Digitalfunk BOS im Zuständigkeitsbereich der Bundesanstalt entstehen. Die Verkehrsdaten umfassen
1. die Gerätenummer zur Identifikation eines Endgerätes,
2. den Identifizierungsdatensatz der im Endgerät befindlichen Sicherheitskarte oder Teile davon,
3. die Gruppenkennung,
4. die Basisstationskennung,
5. für jedes Endgerät Datum und Uhrzeit der Einbuchung und Ausbuchung aus ei-ner Basisstation sowie erfolgloser Einbuchungsversuche,
6. den Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit sowie
7. sonstige zum Aufbau und zur Aufrechterhaltung der Dienste im Digitalfunk BOS notwendige Daten.
(2) Zuständige Stelle für den Betrieb des Digitalfunk BOS im Sinne dieses Ge-setzes ist diejenige Stelle eines Landes oder des Bundes, die in ihrem Zuständig-keitsbereich die zentrale Schnittstelle zwischen der Betriebsorganisation der Bundes-anstalt und der einsatztaktischen Nutzung des Digitalfunk BOS ist.“
2. § 15b wird wie folgt geändert:
a) Nach Absatz 2 wird folgender Absatz 2a eingefügt:
– 13 –
„(2a) Das Bundesministerium des Innern, für Bau und Heimat bestimmt durch Rechtsverordnung diejenige Stelle des Bundes, die für den Bund Zuständige Stelle für den Betrieb des Digitalfunk BOS ist.“
b) In Absatz 3 werden die Wörter „1 und 2“ durch die Wörter „1, 2 und 2a“ ersetzt.
3. Die §§ 18 bis 20 werden durch die folgenden §§ 18 bis 24 ersetzt:
㤠18
Anwendbarkeit des Bundesdatenschutzgesetzes
Für die Verarbeitung personenbezogener Daten durch die Bundesanstalt gelten die Teile 1 und 2 des Bundesdatenschutzgesetzes, soweit die §§ 19 bis 22 keine ab-weichende Regelung treffen.
§ 19
Verarbeitung von Verkehrsdaten durch die Bundesanstalt
(1) Die Bundesanstalt darf Verkehrsdaten verarbeiten, soweit dies zum Betrei-ben des Digitalfunk BOS und zur Sicherstellung der Funktionsfähigkeit des Digitalfunk BOS erforderlich ist. Die Verarbeitung ist insbesondere zulässig:
1. zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern und
2. zum technischen Kapazitäts- und Verfügbarkeitsmanagement im Rahmen der Einsatzvorbereitung, -durchführung und -nachbereitung im Digitalfunk BOS.
(2) Wenn der Bundesanstalt tatsächliche Anhaltspunkte für eine rechtswidrige Inanspruchnahme des Digitalfunk BOS vorliegen, darf sie Verkehrsdaten auch verar-beiten, soweit dies erforderlich ist, um die rechtswidrige Inanspruchnahme des Digi-talfunk BOS festzustellen und zu unterbinden; die tatsächlichen Anhaltspunkte sind aktenkundig zu machen und der behördliche Datenschutzbeauftragte ist über die be-absichtige Verarbeitung zu informieren.
(3) Soweit es zur Weiterentwicklung des Digitalfunk BOS erforderlich ist, darf die Bundesanstalt Verkehrsdaten auch für die folgenden Zwecke weiterverarbeiten:
1. zur bedarfsgerechten Gestaltung von Diensten,
2. zur Optimierung von Netzkapazitäten,
3. zur Verbesserung der Funkqualität und
4. zur Einführung von neuen Leistungsmerkmalen.
Die Verkehrsdaten von Gesprächsteilnehmern außerhalb des Digitalfunk BOS sind unverzüglich zu anonymisieren. Im Übrigen ist von den Möglichkeiten der Pseudony-misierung und Anonymisierung zum frühestmöglichen Zeitpunkt Gebrauch zu ma-chen.
(4) Zur Sicherstellung, dass die Zwecke der Absätze 1 bis 3 erfüllt werden kön-nen, dürfen Verkehrsdaten nach ihrem Entstehen 75 Tage gespeichert werden. Nach
– 14 –
Ablauf dieser Frist, sind die Verkehrsdaten zu löschen oder zu anonymisieren, es sei denn, ihre weitere Speicherung ist zu den in Absätzen 1 bis 3 genannten Zwecken er-forderlich. Die weitere Speicherung ist zu begründen und zu dokumentieren. In Ab-ständen von drei Monaten ist zu überprüfen, ob eine weitere Speicherung der Ver-kehrsdaten für die in den Absätzen 1 bis 3 genannten Zwecke erforderlich ist. Wird im Rahmen der Überprüfung festgestellt, dass eine weitere Speicherung der Verkehrs-daten nicht erforderlich ist, sind die Verkehrsdaten unverzüglich zu löschen oder zu anonymisieren.
§ 20
Übermittlung von Verkehrsdaten an die Zuständigen Stellen für den Betrieb des Digi-talfunk BOS
(1) Verkehrsdaten dürfen von der Bundesanstalt an die Zuständigen Stellen für den Betrieb des Digitalfunk BOS übermittelt und von diesen verarbeitet werden, so-weit dies erforderlich ist
1. zu den in § 19 Absatz 1 genannten Zwecken und
2. für die Überprüfung der Zuordnung von Endgeräten zu Nutzern.
(2) Um das Wiederauffinden eines abhandengekommenen Endgerätes zu un-terstützen, darf auf Antrag eines Nutzers die Bundesanstalt an die für diesen Nutzer verantwortliche Zuständige Stelle für den Betrieb des Digitalfunk BOS folgende Daten übermitteln:
1. Kennung der Basisstationen, an denen sich das Endgerät seit dem Abhanden-kommen eingebucht oder einzubuchen versucht hat, und
2. den Zeitpunkt, zu dem die jeweilige Standortinformation erfasst wurde.
Der Antrag ist durch den Nutzer über die für ihn verantwortliche Zuständige Stelle für den Betrieb des Digitalfunk BOS zu stellen und hat Angaben zur Identifizierung des Endgeräts zu enthalten.
(3) Empfänger, an die Verkehrsdaten nach den Absätzen 1 und 2 übermittelt werden, dürfen diese nur für die Zwecke verarbeiten, zu deren Erfüllung sie ihnen übermittelt werden.
§ 21
Übermittlung von Verkehrsdaten an Strafverfolgungs- und Polizeibehörden
Die Bundesanstalt übermittelt Gerichten und Strafverfolgungsbehörden zu Zwe-cken der Strafverfolgung sowie den Polizeibehörden des Bundes und der Länder zu Zwecken der Gefahrenabwehr Verkehrsdaten, soweit dies im Einzelfall zur Erfüllung der Aufgaben dieser Gerichte und Behörden erforderlich ist und die Empfänger zu der Erhebung der Verkehrsdaten berechtigt sind. Vor der Übermittlung haben die in Satz 1 genannten Gerichte und Behörden die Erfüllung der Voraussetzungen für die Erhebung der Verkehrsdaten gegenüber der Bundeanstalt nachzuweisen.
– 15 –
§ 22
Weitere Vorschriften zur Übermittlung von Verkehrsdaten
(1) Sind mit Verkehrsdaten, die übermittelt werden dürfen, weitere Verkehrsda-ten von Nutzern oder Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist auch die Übermittlung dieser Daten zulässig; eine Verarbeitung dieser Daten durch den Empfänger ist unzulässig.
(2) Die Übermittlung von Verkehrsdaten ist aktenkundig zu machen.
§ 23
Dateisystem zur Verwaltung der Standorte des Digitalfunk BOS
(1) Die Bundesanstalt führt zur Erfüllung ihrer Aufgaben ein Dateisystem zur Verwaltung der Standorte des Digitalfunk BOS. In diesem Dateisystem können auch personenbezogene Daten verarbeitet werden, insbesondere Angaben zu Mietverhält-nissen zu den Standorten des Digitalfunk BOS sowie Kontaktdaten des Vermieters der für einen Standort genutzten Liegenschaft und seiner Beschäftigten oder Beauf-tragten. Die Zuständigen Stellen für den Betrieb des Digitalfunk BOS sowie die Bun-desanstalt sind berechtigt, Daten im automatisierten Verfahren in das Dateisystem einzugeben und, soweit es zur jeweiligen Aufgabenerfüllung erforderlich ist, aus dem Dateisystem abzurufen.
(2) Die Bundesanstalt legt im Einvernehmen mit den Zuständigen Stellen für den Betrieb des Digitalfunk BOS fest, welche Personalien und welche Daten zur Erreich-barkeit von Ansprechpartnern von Vermietern der für Standorte genutzten Liegen-schaften, von Zuständigen Stellen für den Betrieb des Digitalfunk BOS sowie von sonstigen Vertragspartnern verarbeitet werden. Die Verantwortung einer Stelle im Sinne der allgemeinen Vorschriften des Datenschutzrechts trägt jede der in Absatz 1 genannten Stellen nur für die von ihr eingegebenen Daten. Die eingebende Stelle muss feststellbar sein.
(3) Die Bundesanstalt trifft für das gemeinsame Dateisystem zur Verwaltung der Standorte des Digitalfunk BOS die technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679.
(4) Die Bundesanstalt hat für Zwecke der Datenschutzkontrolle bei jedem Zugriff den Zeitpunkt des Abrufs und die abrufenden Stelle sowie die Angaben, die die Fest-stellung der abgerufenen Datensätze ermöglichen, zu protokollieren. Die protokollier-ten Daten dürfen nur für Zwecke der Datenschutzkontrolle oder der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs der Datenverarbeitungsan-lage verwendet werden. Die Protokolldaten sind spätestens am Ende des Kalender-jahres, das dem Jahr der Protokollierung folgt, zu löschen.
§ 24
Einschränkung eines Grundrechts
Durch die §§ 19 bis 22 wird das Grundrecht des Fernmeldegeheimnisses (Arti-kel 10 des Grundgesetzes) eingeschränkt.“
– 16 –
Artikel 9
Änderung des Informationsfreiheitsgesetzes
Das Informationsfreiheitsgesetz vom 5. September 2005 (BGBl. I S. 2722), das durch Artikel 2 Absatz 6 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, wird wie folgt geändert:
1. In § 5 Absatz 1 Satz 2 werden die Wörter „Besondere Arten personenbezogener Da-ten im Sinne des § 3 Abs. 9 des Bundesdatenschutzgesetzes“ durch die Wörter „Be-sondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoge-ner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-tenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
2. In § 12 Absatz 3 werden nach dem Wort „Bundesdatenschutzgesetzes“ die Wörter „in der am 24. Mai 2018 geltenden Fassung“ eingefügt.
Artikel 10
Änderung des Beamtenstatusgesetzes
§ 50 des Beamtenstatusgesetzes vom 17. Juni 2008 (BGBl. I S. 1010), das zuletzt durch Artikel 2 des Gesetzes vom 8. Juni 2017 (BGBl. I S. 1570) geändert worden ist, wird wie folgt geändert:
1. Satz 4 wird wie folgt gefasst:
„Personalaktendaten dürfen ohne Einwilligung der Beamtin oder des Beamten nur für Zwecke der Personalverwaltung oder Personalwirtschaft verarbeitet werden.“
2. In Satz 5 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
Artikel 11
Änderung des Bundesbeamtengesetzes
Das Bundesbeamtengesetz vom 5. Februar 2009 (BGBl. I S. 160), das zuletzt durch Artikel 1 des Gesetzes vom 8. Juni 2017 (BGBl. I S. 1570) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht werden die Angaben zu den §§ 109 bis 111a durch die folgen-den Angaben ersetzt:
„§ 109 Anhörung
§ 110 Auskunft
§ 111 Übermittlung von Personalaktendaten und Auskünfte an Dritte
– 17 –
§ 111a Verarbeitung von Personalaktendaten im Auftrag
§ 111b Aufgabenübertragung“.
2. § 106 wird wie folgt geändert:
a) Absatz 1 Satz 2 wird wie folgt gefasst:
„Sie ist vertraulich zu behandeln und durch technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürli-cher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da-tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung vor unbefugter Ein-sichtnahme zu schützen.“
b) Absatz 2 Satz 5 wird wie folgt gefasst:
„Wird die Personalakte weder vollständig in Schriftform noch vollständig elektro-nisch geführt, so muss sich aus dem Verzeichnis nach Satz 4 ergeben, welche Teile der Personalakte in welcher Form geführt werden.“
c) Absatz 3 wird wie folgt gefasst:
„(3) Personalaktendaten dürfen ohne Einwilligung der Beamtin oder des Be-amten nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verar-beitet werden.“
3. § 107 Absatz 2 wird wie folgt gefasst:
„(2) Den mit Angelegenheiten der Innenrevision beauftragten Beschäftigten ist Einsicht in die Personalakte zu gewähren, soweit sie die zur Erfüllung ihrer Aufgaben erforderlichen Erkenntnisse nicht durch eine in sonstiger Weise erteilte Auskunft aus der Personalakte gewinnen können. Jede Einsichtnahme nach Satz 1 ist zu doku-mentieren.“
4. § 108 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
„(2) Personenbezogene Daten dürfen ohne Einwilligung für Beihilfezwecke verarbeitet werden, soweit die Daten für diese Zwecke erforderlich sind; Näheres regelt die Rechtsverordnung nach § 80 Absatz 6. Für andere Zwecke dürfen per-sonenbezogene Daten aus der Beihilfeakte verarbeitet werden, wenn sie erfor-derlich sind
1. für die Einleitung oder Durchführung eines behördlichen oder gerichtlichen Verfahrens, das im Zusammenhang mit einem Beihilfeantrag steht, oder
2. zur Abwehr erheblicher Nachteile für das Gemeinwohl, zur Abwehr einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person.“
b) In Absatz 4 Satz 1 werden die Wörter „der betroffenen Person“ gestrichen.
– 18 –
5. Die Überschrift des § 109 wird wie folgt gefasst:
㤠109
Anhörung“.
6. § 110 wird wie folgt gefasst:
㤠110
Auskunft
(1) Das Recht der Beamtin oder des Beamten auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 umfasst auch das Recht auf Einsicht in die vollständi-ge Personalakte. Dies gilt auch nach Beendigung des Beamtenverhältnisses. Soweit keine dienstlichen Gründe entgegenstehen, werden Kopien oder Ausdrucke aus der Personalakte angefertigt. Der Beamtin oder dem Beamten ist auf Verlangen ein Aus-druck der Personalaktendaten zu überlassen, die zu ihrer oder seiner Person auto-matisiert gespeichert sind.
(2) Die Beamtin oder der Beamte hat ein Recht auf Auskunft auch über perso-nenbezogene Daten über sie oder ihn, die in anderen Akten enthalten sind und für ihr oder sein Dienstverhältnis verarbeitet werden, soweit gesetzlich nichts anderes be-stimmt ist. Das Recht auf Auskunft umfasst auch das Recht auf Einsicht in die Akten. Keine Einsicht wird gewährt, soweit die anderen Akten personenbezogene Daten Dritter oder geheimhaltungsbedürftige nicht personenbezogene Daten enthalten, die mit den Daten der Beamtin oder des Beamten derart verbunden sind, dass eine Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. Nicht der Auskunft unterliegen Sicherheitsakten.
(3) Bevollmächtigten der Beamtin oder des Beamten ist Auskunft aus der Per-sonalakte zu erteilen, soweit dienstliche Gründe nicht entgegenstehen. Das Recht auf Auskunft umfasst auch das Recht auf Einsicht in die vollständige Personalakte. Ent-sprechendes gilt für Hinterbliebene der Beamtin oder des Beamten und für Bevoll-mächtigte der Hinterbliebenen, wenn ein berechtigtes Interesse glaubhaft gemacht wird.
(4) Für Fälle der Einsichtnahme bestimmt die aktenführende Behörde, wo die Einsicht gewährt wird.“
7. § 111 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠111
Übermittlung von Personalaktendaten und Auskünfte an Dritte“.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „vorzulegen“ durch die Wörter „zu übermitteln“ er-setzt.
– 19 –
bb) In Satz 2 wird das Wort „Vorlage“ durch das Wort „Übermittlung“ ersetzt.
cc) In Satz 3 wird das Wort „vorgelegt“ durch das Wort „übermittelt“ ersetzt.
dd) In Satz 5 wird das Wort „Vorlage“ durch das Wort „Übermittlung“ ersetzt.
c) Absatz 2 wird aufgehoben.
d) Der Absatz 3 wird Absatz 2 und die Sätze 1 und 2 werden wie folgt gefasst:
„Auskünfte an Dritte dürfen ohne Einwilligung der Beamtin oder des Beamten er-teilt werden, wenn dies zwingend erforderlich ist
1. für die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder
2. für den Schutz berechtigter, höherrangiger Interessen der oder des Dritten.
In diesen Fällen wird keine Akteneinsicht gewährt.“
8. § 111a wird durch die folgenden §§ 111a und 111b ersetzt:
㤠111a
Verarbeitung von Personalaktendaten im Auftrag
(1) Die Erteilung eines Auftrags zur Verarbeitung von Personalaktendaten ein-schließlich der Inanspruchnahme einer weiteren Auftragsverarbeiterin oder eines wei-teren Auftragsverarbeiters im Sinne des Artikels 28 der Verordnung (EU) 2016/679 ist nur zulässig, wenn
1. die dort genannten Voraussetzungen vorliegen und
2. die oberste Dienstbehörde der Auftragserteilung zugestimmt hat.
Die personalverwaltende Behörde hat die Einhaltung der beamten- und datenschutz-rechtlichen Vorschriften durch die Auftragsverarbeiterin oder den Auftragsverarbeiter regelmäßig zu kontrollieren.
(2) Eine nichtöffentliche Stelle darf nur beauftragt werden, wenn
1. bei der personalverwaltenden Behörde sonst Störungen im Geschäftsablauf auf-treten können oder die Auftragsverarbeiterin oder der Auftragsverarbeiter die übertragenen Aufgaben erheblich kostengünstiger erledigen kann und
2. die bei der Auftragsverarbeiterin oder dem Auftragsverarbeiter zur Verarbeitung der Personalaktendaten befugten Personen besonders auf den Schutz der Per-sonalaktendaten verpflichtet sind.
§ 111b
Aufgabenübertragung
(1) Soweit gesetzlich nichts anderes bestimmt ist, darf die personalverwaltende Behörde mit Zustimmung der obersten Bundesbehörde Aufgaben, die ihr gegenüber Bewerberinnen und Bewerbern, Beamtinnen und Beamten sowie gegenüber ehema-
– 20 –
ligen Beamtinnen und Beamten obliegen, auf eine andere öffentliche Stelle im Sinne des § 2 Absatz 1 und 3 des Bundesdatenschutzgesetzes übertragen. Die oberste Bundesbehörde kann die Zuständigkeit für die Entscheidung über die Zustimmung auf die oberste Dienstbehörde übertragen.
(2) Soweit es zur Erfüllung der übertragenen Aufgaben erforderlich ist, darf die personalverwaltende Stelle der Stelle, der sie Aufgaben übertragen hat,
1. personenbezogene Daten von Bewerberinnen und Bewerbern sowie Personal-aktendaten von Beamtinnen und Beamten und ehemaligen Beamtinnen und Be-amten übermitteln und
2. die Führung der Personalakte übertragen.
(3) Auf Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes dürfen Aufgaben nur mit Zustimmung der obersten Dienstbehörde und nur dann über-tragen werden, wenn die Vereinigungen die Voraussetzungen des § 2 Absatz 3 Satz 1 des Bundesdatenschutzgesetzes erfüllen. § 2 Absatz 5 des Bundesdaten-schutzgesetzes gilt insoweit nicht.“
Artikel 12
Änderung des Bundesdatenschutzgesetzes
Das Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097) wird wie folgt geändert:
1. Der Inhaltsübersicht wird folgende Angabe angefügt:
„§ 86 Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen“.
2. In § 1 Absatz 4 Satz 2 wird die Angabe „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72)“ durch die Wörter „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ er-setzt.
3. In § 4 Absatz 1 Satz 1, Absatz 3 Satz 1 und Absatz 5 werden jeweils die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
4. § 9 Absatz 1 Satz 1 wird wie folgt gefasst:
„Die oder der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen am Wett-bewerb teilnehmen, sowie über Unternehmen, soweit diese für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen Daten von natürlichen oder ju-ristischen Personen verarbeiten und sich die Zuständigkeit nicht bereits aus § 115 Absatz 4 des Telekommunikationsgesetzes ergibt.“
5. § 16 wird wie folgt geändert:
a) In Absatz 3 Satz 1 Nummer 1 werden die Wörter „von öffentlichen Stellen des Bundes“ durch die Wörter „von ihrer oder seiner Aufsicht unterliegenden Stellen“ ersetzt.
b) Absatz 4 wird folgender Satz angefügt:
– 21 –
„Für nichtöffentliche Stellen besteht die Verpflichtung des Satzes 1 Nummer 1 nur während der üblichen Betriebs- und Geschäftszeiten.“
6. § 19 Absatz 2 wird folgender Satz angefügt:
„Im Zuständigkeitsbereich der oder des Bundesbeauftragten gibt die Aufsichtsbehör-de, bei der eine Beschwerde eingereicht wurde, diese, sofern eine Abgabe nach Ab-satz 1 nicht in Betracht kommt, an den Bundesbeauftragen oder die Bundesbeauf-tragte ab.“
7. § 22 Absatz 1 wird wie folgt geändert:
a) Nummer 1 wird wie folgt geändert:
aa) In Buchstabe b wird das Wort „oder“ am Ende gestrichen.
bb) In Buchstabe c wird nach dem Komma am Ende das Wort „oder“ eingefügt.
cc) Folgender Buchstabe d wird angefügt:
„d) aus Gründen eines erheblichen öffentlichen Interesses zwingend erfor-derlich ist,“.
b) Nummer 2 wird wie folgt gefasst:
„2. durch öffentliche Stellen, wenn sie
a) zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erfor-derlich ist,
b) zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wah-rung erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
c) aus zwingenden Gründen der Verteidigung oder der Erfüllung über- o-der zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinde-rung oder für humanitäre Maßnahmen erforderlich ist“.
c) Die Wörter „und soweit die Interessen des Verantwortlichen an der Datenverar-beitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interes-sen der betroffenen Person überwiegen.“ werden angefügt.
8. Folgender § 86 wird angefügt:
㤠86
Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen
(1) Zur Vorbereitung und Durchführung staatlicher Verfahren bei Auszeichnun-gen und Ehrungen dürfen sowohl die zuständigen als auch andere öffentliche und nichtöffentliche Stellen die dazu erforderlichen personenbezogenen Daten, ein-schließlich besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679, auch ohne Kenntnis der betroffenen Person verarbeiten. Für nichtöffentliche Stellen gilt insoweit § 1 Absatz 8 entsprechend. Eine
– 22 –
Verarbeitung der personenbezogenen Daten nach Satz 1 für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig.
(2) Soweit eine Verarbeitung ausschließlich für die in Absatz 1 Satz 1 genannten Zwecke erfolgt, sind die Artikel 13 bis 16, 19 und 21 der Verordnung (EU) 2016/679 nicht anzuwenden.
(3) Bei der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sieht der Verantwortli-che angemessene und spezifische Maßnahmen zur Wahrung der Rechte der be-troffenen Person gemäß § 22 Absatz 2 vor.“
Artikel 13
Änderung des BSI-Gesetzes
Das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, wird wie folgt geändert:
1. In § 2 Absatz 1 werden die Wörter „oder Übertragung“ gestrichen.
2. § 3 Absatz 1 Satz 2 wird wie folgt geändert:
a) Nach dem Wort „folgende“ werden die Wörter „wichtige im öffentlichen Interesse liegende“ eingefügt.
b) In Nummer 7 werden die Wörter „oder Übertragung“ gestrichen.
c) In Nummer 13 Satz 1 Buchstabe b werden die Wörter „Gesetz über den Militäri-schen Abschirmdienst“ durch das Wort „MAD-Gesetz“ ersetzt.
3. Nach § 3 wird folgender § 3a eingefügt:
㤠3a
Verarbeitung personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt ist zuläs-sig, wenn die Verarbeitung zur Erfüllung seiner im öffentlichen Interesse liegenden Aufgaben erforderlich ist.
(2) Die Verarbeitung personenbezogener Daten durch das Bundesamt zu ande-ren Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist un-beschadet von Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Auf-hebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der je-weils geltenden Fassung und von § 23 des Bundesdatenschutzgesetzes zulässig, wenn
1. die Verarbeitung erforderlich ist
– 23 –
a) zur Sammlung, Auswertung oder Untersuchung von Informationen über Si-cherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder
b) zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Informationstechnik und
2. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der be-troffenen Person an dem Ausschluss der Verarbeitung überwiegt.
(3) Eine Verarbeitung von besonderen Kategorien personenbezogener Daten durch das Bundesamt ist abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 und unbeschadet des § 22 Absatz 1 des Bundesdatenschutzgesetzes zu-lässig, wenn
1. die Verarbeitung erforderlich ist zur Abwehr einer erheblichen Gefahr für die Netz-, Daten- oder Informationssicherheit,
2. ein Ausschluss dieser Daten von der Verarbeitung die Erfüllung der Aufgaben des Bundesamtes unmöglich machen oder diese erheblich gefährden würde und
3. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der be-troffenen Person an dem Ausschluss dieser Daten von der Verarbeitung über-wiegt.
(4) Das Bundesamt sieht angemessene und spezifische Maßnahmen zur Wah-rung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bun-desdatenschutzgesetzes vor.“
4. § 5 wird wie folgt geändert:
a) Absatz 4 Satz 4 wird aufgehoben.
b) In Absatz 5 Satz 2 Nummer 2 wird nach dem Wort „richten“ anstelle des Punkts ein Komma gesetzt.
c) In Absatz 6 Satz 1 Nummer 3 werden die Wörter „Gesetzes über den Militäri-schen Abschirmdienst“ durch das Wort „MAD-Gesetzes“ ersetzt und wird nach dem Wort „sind“ anstelle des Punkts ein Komma gesetzt.
d) In Absatz 7 Satz 3 werden die Wörter „§ 3 Absatz 9 des Bundesdatenschutzge-setzes“ durch die Wörter „Artikels 9 Absatz 1 der Verordnung (EU) 2016/679“ er-setzt.
e) In Absatz 8 Satz 4 werden die Wörter „§ 24 des Bundesdatenschutzgesetzes“ durch die Wörter „§ 16 des Bundesdatenschutzgesetzes“ ersetzt.
5. § 5a Absatz 3 Satz 6 wird aufgehoben.
6. § 6 wird durch den folgenden § 6 ersetzt:
– 24 –
㤠6
Beschränkungen der Rechte der betroffenen Person
Für die Rechte der betroffenen Person gegen das Bundesamt gelten ergänzend zu den in der Verordnung (EU) 2016/679 enthaltenen Ausnahmen die nachfolgenden Beschränkungen. Soweit dieses Gesetz keine oder geringere Beschränkungen der Rechte der betroffenen Person enthält, gelten für die Beschränkungen im Übrigen die Regelungen des Bundesdatenschutzgesetzes ergänzend.“
7. Nach § 6 werden die folgenden §§ 6a bis 6f eingefügt:
㤠6a
Informationspflicht bei Erhebung von personenbezogenen Daten
(1) Die Pflicht zur Information gemäß Artikel 13 und Artikel 14 der Verordnung (EU) 679/2016 besteht ergänzend zu den in Artikel 13 Absatz 4 und Artikel 14 Ab-satz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn
1. die Informationserteilung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde oder
2. die Informationserteilung die öffentliche Sicherheit oder Ordnung oder die Ge-währleistung der Netz- und Informationssicherheit auf sonstige Weise gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung zu-rücktreten muss.
(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Ab-satzes 1, ergreift das Bundesamt geeignete Maßnahmen zum Schutz der berechtig-ten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Arti-kel 13 Absatz 1 und 2 und Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständli-cher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Das Bun-desamt hält schriftlich fest, aus welchen Gründen es von einer Information der be-troffenen Person abgesehen hat.
§ 6b
Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft gemäß Artikel 15 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit
1. die Auskunftserteilung die ordnungsgemäße Erfüllung der Aufgaben gefährden würde, die in der Zuständigkeit des Bundesamtes liegen,
2. die Auskunftserteilung
a) die öffentliche Sicherheit oder Ordnung oder die Gewährleistung der Netz- und Informationssicherheit gefährden würde oder
– 25 –
b) sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde oder
3. die Auskunftserteilung strafrechtliche Ermittlungen oder die Verfolgung von Straf-taten gefährden würde
und deswegen das Interesse der betroffenen Person an der Auskunftserteilung zu-rücktreten muss.
(2) § 34 Absatz 2 bis 4 des Bundesdatenschutzgesetzes gilt entsprechend.
§ 6c
Recht auf Berichtigung
(1) Das Recht der betroffenen Person auf Berichtigung und Vervollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 besteht nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde und des-wegen das Interesse der betroffenen Person an der Ausübung dieser Rechte zurück-treten muss.
(2) In den Fällen des Absatzes 1 hat die betroffene Person einen Anspruch da-rauf, den Daten für die Dauer der Verarbeitung eine Gegendarstellung beizufügen, sofern dies für eine faire und transparente Verarbeitung erforderlich ist.
§ 6d
Recht auf Löschung
(1) Im Fall der nicht automatisierten Verarbeitung besteht die Pflicht des Bun-desamtes zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 genannten Ausnahmen nicht, wenn
1. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit un-verhältnismäßig hohem Aufwand möglich ist und
2. das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.
In diesem Fall tritt an die Stelle der Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 sind nicht anzu-wenden, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
(2) Ist die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3 zurückgestellt, dürfen die Daten ohne Einwilligung der betroffenen Person nur zu diesem Zweck verwendet werden; sie sind für andere Zwecke in der Verarbeitung einzuschränken. § 5 Absatz 7 bleibt unberührt.
– 26 –
§ 6e
Recht auf Einschränkung der Verarbeitung
Die Pflicht des Bundesamtes zur Einschränkung der Verarbeitung gemäß Arti-kel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 besteht für die Dauer der Überprüfung der Richtigkeit der personenbezogenen Daten nicht, wenn
1. die Verarbeitung oder Weiterverarbeitung durch dieses Gesetz ausdrücklich ge-regelt ist oder
2. die Einschränkung der Verarbeitung die Abwehr von Gefahren für die Sicherheit in der Informationstechnik gefährden würde
und deswegen das Interesse der betroffenen Person an der Einschränkung zurück-treten muss.
§ 6f
Widerspruchsrecht
Das Recht der betroffenen Person auf Widerspruch gemäß Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 besteht nicht, wenn
1. an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Inte-ressen der betroffenen Person überwiegt, oder
2. eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet.
Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergänzend zu Ar-tikel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bundesamt geprüft hat, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwie-gen.“
8. § 8b Absatz 7 wird wie folgt angepasst:
a) Satz 1 wird wie folgt angepasst:
aa) Nach dem Wort „Daten“ wird das Wort „erhoben,“ gestrichen.
bb) Nach dem Wort „verarbeitet“ werden die Wörter „oder genutzt“ gestrichen.
cc) Nach dem Wort „Verarbeitung“ werden die Wörter „und Nutzung“ gestrichen.
b) Satz 3 wird aufgehoben.
Artikel 14
Änderung des De-Mail-Gesetzes
Das De-Mail-Gesetz vom 28. April 2011 (BGBl. I S. 666), das durch Artikel 3 des Ge-setzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
– 27 –
1. § 3 Absatz 3 wird wie folgt geändert:
a) Nach Satz 1 wird folgender Satz eingefüg:
„Soweit die Anschrift von natürlichen Personen nicht durch Verfahren nach Satz 1 Nummer 1 Buchstabe a bis e überprüft werden kann, ist sie anhand behördli-cher Dokumente zu überprüfen, die zum Zweck der Anschriftsbescheinigung ausgestellt worden sind; sofern keine behördlichen Dokumente beigebracht wer-den können, ist die Anschrift anhand sonstiger geeigneter Verfahren zur Überprü-fung der postalischen Erreichbarkeit zu überprüfen.“
b) In dem neuen Satz 5 werden die Wörter „oder nutzen“ gestrichen.
2. In § 6 Absatz 3 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verar-beitung“ ersetzt.
3. § 7 Absatz 2 Satz 1 wird wie folgt gefasst:
„Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informatio-nen unverzüglich aus dem Verzeichnisdienst zu löschen, wenn
1. der Nutzer dies verlangt,
2. die Daten aufgrund falscher Angaben ausgestellt wurden,
3. der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder
4. die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet.“
4. § 9 Absatz 1 Satz 1 wird wie folgt gefasst:
„Der akkreditierte Diensteanbieter hat den Nutzer vor der erstmaligen Nutzung des De-Mail-Kontos über die Rechtsfolgen und Kosten der Nutzung von De-Mail-Diensten, insbesondere der Nutzung des Postfach- und Versanddienstes nach § 5, des Verzeichnisdienstes nach § 7 und der Dokumentenablage nach § 8, über die Rechtsfolgen und Kosten der Sperrung und Auflösung des De-Mail-Kontos nach § 10, der Einstellung der Tätigkeit nach § 11 und der Vertragsbeendigung nach § 12 sowie über die Maßnahmen zu informieren, die notwendig sind, um einen unbefugten Zu-gang zum De-Mail-Konto zu verhindern.“
5. § 10 Absatz 4 Satz 1 wird wie folgt gefasst:
„Der akkreditierte Diensteanbieter hat ein De-Mail-Konto unverzüglich aufzulösen, wenn
1. der Nutzer dies verlangt oder
2. die zuständige Behörde die Auflösung anordnet.“
6. § 13 Absatz 3 wird aufgehoben.
7. § 15 wird wie folgt geändert:
a) Der Satz wird wie folgt gefasst:
– 28 –
„Der akkreditierte Diensteanbieter darf personenbezogene Daten des Nutzers ei-nes De-Mail-Kontos nur verarbeiten, soweit dies zur Bereitstellung der De-Mail-Dienste und deren Durchführung erforderlich ist; im Übrigen gelten die Regelun-gen des Telemediengesetzes, des Telekommunikationsgesetzes und des Bun-desdatenschutzgesetzes.“
b) Folgender Satz wird angefügt:
„Die datenschutzrechtlichen Regelungen dieser Gesetze gelten ergänzend zu der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung.“
8. § 16 wird wie folgt geändert:
a) Absatz 4 wird aufgehoben.
b) Die Absätze 5 bis 8 werden die Absätze 4 bis 7.
9. § 18 wird wie folgt geändert:
a) In Absatz 2 Satz 3 werden vor dem Wort „Bundesbeauftragten“ die Wörter „oder der“ eingefügt.
b) Absatz 3 Nummer 4 wird wie folgt gefasst:
„4. die Erfüllung der datenschutzrechtlichen Anforderungen an das Daten-schutzkonzept für die eingesetzten Verfahren und die eingesetzten informa-tionstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der oder die Bundesbeauftragte für den Daten-schutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien er-füllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewie-sen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkata-log definiert, der in der Verantwortung des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn oder sie im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informations-technik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.“
10. In § 22 Satz 2 werden vor dem Wort „Bundesbeauftragte“ die Wörter „oder die“ einge-fügt.
11. § 23 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
– 29 –
aa) In Nummer 5 werden nach der Angabe „Satz 1“ die Wörter „Nummer 2 oder 4“ eingefügt.
bb) In Nummer 6 wird nach den Wörtern „Absatz 4 Satz 1“ die Angabe „Num-mer 2“ eingefügt.
cc) In Nummer 12 wird das Komma durch das Wort „oder“ ersetzt.
dd) Die Nummern 13 und 14 werden aufgehoben.
ee) Nummer 15 wird Nummer 13.
b) In Absatz 2 werden die Wörter „Nummer 5, 6, 13 und 14“ durch die Wörter „Nummer 5 und 6“ ersetzt.
Artikel 15
Änderung des E-Government-Gesetzes
Das E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749), das zuletzt durch Ar-tikel 1 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2206) geändert worden ist, wird wie folgt geändert:
1. § 5 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Die zuständige Behörde kann erforderliche Nachweise, die von einer deut-schen öffentlichen Stelle stammen, mit der Einwilligung der am Verfahren beteiligten betroffenen Person direkt bei der ausstellenden öffentlichen Stelle elektronisch einholen.“
bb) In Satz 2 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) Absatz 3 wird aufgehoben.
2. § 11 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „mehreren verantwortlichen Stellen im Sinne des Bundesdatenschutzgesetzes“ durch die Wörter „mehreren Verantwortli-chen im Sinne des Artikels 26 der Verordnung (EU) 2016/679 des Europäi-schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da-tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
bb) Satz 2 wird aufgehoben.
– 30 –
b) In Absatz 2 Satz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
c) Absatz 3 wird aufgehoben.
d) Absatz 4 wird Absatz 3 und wird wie folgt gefasst:
„(3) Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens schließen die Verantwortlichen eine Vereinbarung nach Maßgabe des Artikels 26 Absatz 1 und 2 der Verordnung (EU) 2016/679. In dieser Vereinba-rung können auch Verantwortliche bestimmt werden, die andere Stellen mit der Verarbeitung personenbezogener Daten für das gemeinsame Verfahren gemäß Artikel 28 der Verordnung (EU) 2016/679 beauftragen dürfen.“
e) Absatz 5 wird Absatz 4 und Satz 1 wird wie folgt gefasst:
„Soweit für die beteiligten Stellen ungeachtet der Verordnung (EU) 2016/679 un-terschiedliche bundes- oder landesrechtliche Datenschutzvorschriften gelten, ist vor der Einrichtung eines gemeinsamen Verfahrens zu regeln, welche dieser Da-tenschutzvorschriften angewendet werden.“
f) Absatz 6 wird aufgehoben.
Artikel 16
Änderung des Bundesmeldegesetzes
Das Bundesmeldegesetz vom 3. Mai 2013 (BGBl. I S. 1084), das zuletzt durch Arti-kel 11 Absatz 4 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 9 wird wie folgt gefasst:
„§ 9 (weggefallen)“.
b) Die Angabe zu § 10 wird wie folgt gefasst:
„§ 10 Auskunftsrecht der betroffenen Person“.
c) Die Angabe zu § 12 wird wie folgt gefasst:
„§ 12 Recht auf Berichtigung“.
d) Die Angabe zu § 31 wird wie folgt gefasst:
„§ 31 Verarbeitungsbeschränkungen“.
2. § 2 Absatz 4 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt
b) Satz 2 wird wie folgt gefasst:
– 31 –
„Daten nicht meldepflichtiger Personen dürfen nur verarbeitet werden, wenn die betroffene Person in die Datenverarbeitung eingewilligt hat.“
3. § 4 wird wie folgt geändert:
a) In Absatz 1 Satz 3 werden nach dem Wort „Maßnahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parla-ments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
b) In Absatz 2 werden jeweils die Wörter „und genutzt“ gestrichen.
c) In Absatz 3 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
4. § 5 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „oder nutzen“ gestrichen.
bb) In Satz 2 werden nach dem Wort „Maßnahmen“ die Wörter „nach den Arti-keln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt und die Wörter „oder genutzt“ werden gestrichen.
b) In Absatz 2 Satz 1 werden die Wörter „oder genutzt“ gestrichen.
5. In § 6 Absatz 1 Satz 1 werden die Wörter „von Amts wegen“ durch die Wörter „nach Artikel 5 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679“ und es wird das Wort „ergänzen“ durch das Wort „vervollständigen“ ersetzt.
6. In § 7 Absatz 1 werden die Wörter „zu erheben, zu verarbeiten oder zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
7. In § 8 werden jeweils die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
8. § 9 wird aufgehoben.
9. § 10 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠10
Auskunftsrecht der betroffenen Person“.
b) Absatz 1 wird wie folgt gefasst:
„(1) Vor der Erteilung der Auskunft an die betroffene Person nach Artikel 15 der Verordnung (EU) 2016/679 hat die Meldebehörde die Identität der betroffe-nen Person zu überprüfen.“
– 32 –
c) Absatz 2 wird wie folgt gefasst:
„(2) Sofern die Auskunft elektronisch durch Datenübertragung über das In-ternet erteilt wird, ist sicherzustellen, dass Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 auch im Bereich der Verschlüsselungs-technik und der Authentifizierung getroffen werden, um den Datenschutz und die Datensicherheit zu gewährleisten, insbesondere im Hinblick auf die Vertraulich-keit und die Unversehrtheit der Daten, die im Melderegister gespeichert sind und an die betroffene Person übermittelt werden.“
10. § 11 wird wie folgt geändert:
a) Die Absätze 1 und 2 werden wie folgt gefasst:
„(1) Das Recht auf Auskunft der betroffenen Person über die Kategorien der übermittelten Daten und über die Empfänger der Daten nach Artikel 15 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 besteht nicht, wenn
1. eine nicht automatisierte Melderegisterauskunft nach den §§ 44, 46 und 50 Absatz 1 bis 3 erfolgt ist,
2. der Empfänger einer erweiterten Melderegisterauskunft entsprechend § 45 Absatz 2 Satz 2 ein rechtliches Interesse am Unterbleiben der Auskunft glaubhaft macht,
3. eine nicht automatisierte Datenübermittlung nach § 34 oder eine nicht auto-matisierte Datenweitergabe nach § 37 Absatz 1 erfolgt ist oder
4. die abrufende Stelle eine der in § 34 Absatz 4 Satz 1 genannten Behörden ist.
Auskunft über automatisierte Melderegisterauskünfte und über Datenübermittlun-gen im automatisierten Abrufverfahren durch öffentliche Stellen wird nur inner-halb der Frist zur Aufbewahrung der Protokolldaten nach § 40 Absatz 4 erteilt.
(2) Das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Ver-ordnung (EU) 2016/679 besteht nicht,
1. soweit der betroffenen Person die Einsicht in ein Personenstandsregister nach § 63 Absatz 1 und 3 des Personenstandsgesetzes nicht gestattet wer-den darf,
2. wenn Fälle des § 1758 des Bürgerlichen Gesetzbuches vorliegen,
3. soweit es sich um Daten zum gesetzlichen Vertreter, Ehegatten, Lebens-partner oder zu minderjährigen Kindern handelt und für diesen Personen-kreis eine Auskunftssperre nach § 51 oder ein bedingter Sperrvermerk nach § 52 gespeichert ist oder
4. wenn das Interesse der betroffenen Person an der Auskunftserteilung zu-rücktreten muss, weil
a) die Auskunft die ordnungsgemäße Erfüllung der Aufgaben im Sinne des Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 , die in der Zuständigkeit der Meldebehörde liegen, gefährden würde,
– 33 –
b) die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sich sonst nachteilig auf das Wohl des Bundes oder eines Landes aus-wirken würde,
c) die Auskunft strafrechtliche Ermittlungen gefährden würde oder
d) die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvor-schrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müs-sen.“
b) In Absatz 4 Satz 3 werden die Wörter „der verantwortlichen Stelle“ durch die Wörter „des Verantwortlichen“ und es wird das Wort „diese“ durch das Wort „die-ser“ ersetzt.
11. § 12 wird wie folgt gefasst:
㤠12
Recht auf Berichtigung
Hat die Meldebehörde die Daten auf Antrag der betroffenen Person nach Arti-kel 16 der Verordnung (EU) 2016/679 berichtigt oder vervollständigt, so gilt § 6 Ab-satz 1 Satz 2 entsprechend. Für die Dauer der Prüfung der Richtigkeit ist die Verar-beitung der Daten nicht nach Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 eingeschränkt.“
12. § 13 Absatz 2 wird wie folgt geändert:
a) In Satz 1 werden nach dem Wort „Maßnahmen“ die Wörter „nach Artikel 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
b) In Satz 2 werden die Wörter „oder genutzt“ gestrichen.
c) Satz 4 wird wie folgt geändert:
aa) Nummer 1 wird wie folgt gefasst:
„1. die betroffene Person in die Verarbeitung der Daten eingewilligt hat o-der“.
bb) In Nummer 2 werden in dem Satzteil vor Buchstabe a die Wörter „oder Nut-zung“ gestrichen.
13. § 14 Absatz 3 wird wie folgt gefasst:
„(3) Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Auf-wand möglich und ist das Interesse der betroffenen Person an der Löschung als ge-ring anzusehen, besteht das Recht der betroffenen Person auf Löschung personen-bezogener Daten und die Pflicht der Meldebehörde zur Löschung personenbezoge-ner Daten nach Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung nach Artikel 18 der Verordnung (EU) 2016/679.“
– 34 –
14. In § 16 Absatz 2 Satz 2 werden die Wörter „und nutzen“ gestrichen.
15. In § 18 Absatz 4 werden nach der Angabe „2“ die Wörter „Nummer 1 bis 3“ eingefügt.
16. § 31 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠31
Verarbeitungsbeschränkungen“.
b) In den Sätzen 1 und 2 werden jeweils die Wörter „und genutzt“ gestrichen.
17. In § 33 Absatz 1 Satz 3 wird die Angabe „Satz 2“ gestrichen.
18. § 34 Absatz 4 wird wie folgt geändert:
a) In Satz 3 werden nach dem Wort „Maßnahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
b) In Satz 4 das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
19. § 36 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „Datenempfänger“ durch das Wort „Empfänger“ er-setzt.
b) Nach Absatz 2 Satz 1 wird folgender Satz eingefügt:
„Bei einem Widerspruch hat die betroffene Person gegenüber der Meldebehörde ein Recht auf unentgeltliche Einrichtung einer Übermittlungssperre.“
20. In § 37 Absatz 2 Satz 1 werden nach dem Wort „Maßnahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
21. In § 38 Absatz 5 Satz 1 wird das Wort „Datenempfänger“ durch das Wort „Empfänger“ ersetzt.
22. § 39 wird wie folgt geändert:
a) In Absatz 1 Satz 1 werden nach dem Wort „Maßnahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
b) In Absatz 2 Satz 2 werden die Wörter „und genutzt“ gestrichen.
23. In § 40 Absatz 4 Satz 3 werden die Wörter „und genutzt“ gestrichen.
24. § 41 wird wie folgt geändert:
a) In Satz 1 wird das Wort „Datenempfänger“ durch das Wort „Empfänger“ ersetzt und werden die Wörter „oder nutzen“ gestrichen.
b) In Satz 2 werden die Wörter „oder Nutzung“ gestrichen.
25. § 42 wird wie folgt geändert:
– 35 –
a) Nach Absatz 3 Satz 2 wird folgender Satz eingefügt:
„§ 36 Absatz 2 Satz 2 gilt entsprechend.“
b) In Absatz 5 Satz 1 wird das Wort „Datenempfänger“ durch das Wort „Empfänger“ ersetzt.
26. § 44 wird wie folgt geändert:
a) Absatz 3 wird wie folgt gefasst:
„(3) Ohne Einwilligung der betroffenen Person ist die Erteilung einer einfa-chen Melderegisterauskunft nur zulässig, wenn
1. die Identität der Person, über die Auskunft begehrt wird, eindeutig festgestellt werden kann auf Grund der in der Anfrage mitgeteilten Angaben über
a) den Familiennamen,
b) den früheren Namen,
c) die Vornamen,
d) das Geburtsdatum,
e) das Geschlecht oder
f) eine Anschrift und
2. die Auskunft verlangende Person oder Stelle erklärt, die Daten weder für Zwecke der Werbung noch für Zwecke des Adresshandels zu verarbeiten.
Die Einwilligung für Zwecke der Werbung oder des Adresshandels kann gegen-über der Meldebehörde oder gegenüber der Auskunft verlangenden Person oder Stelle erklärt werden. In dem zuletzt genannten Fall hat die die Auskunft verlan-gende Person oder Stelle sie zusammen mit dem Auskunftsverlangen der Mel-debehörde vorzulegen.“
b) Absatz 4 wird wie folgt geändert:
aa) In Nummer 2 wird das Wort „oder“ durch einen Punkt ersetzt.
bb) Nummer 3 wird aufgehoben.
27. § 45 Absatz 2 wird wie folgt gefasst:
„(2) Die Meldebehörde hat die betroffene Person über die Erteilung einer erwei-terten Melderegisterauskunft unverzüglich zu unterrichten und dabei den Empfänger der Auskunft anzugeben. Die Verpflichtung nach Satz 1 besteht nicht, wenn der Emp-fänger der Auskunft glaubhaft macht, dass die Unterrichtung ein rechtliches Interes-se, insbesondere die Geltendmachung von Rechtsansprüchen, beeinträchtigen wür-de.“
28. In § 49 Absatz 6 wird die Angabe „Satz 2“ gestrichen.
29. Dem § 50 Absatz 5 wird folgender Satz angefügt:
– 36 –
„§ 36 Absatz 2 Satz 2 gilt entsprechend.“
30. In § 51 Absatz 1 wird nach dem Wort „wegen“ das Wort „unentgeltlich“ eingefügt.
31. In § 52 Absatz 1 wird in dem Satzteil vor Nummer 1 nach dem Wort „richtet“ das Wort „unentgeltlich“ eingefügt.
32. § 54 wird wie folgt geändert:
a) Absatz 1 wird wie folgt gefasst:
„(1) Ordnungswidrig handelt, wer entgegen § 19 Absatz 6 eine Wohnan-schrift anbietet oder zur Verfügung stellt.“
b) Absatz 2 wird wie folgt geändert:
aa) In Nummer 3 werden die Wörter „oder den Auszug“ gestrichen.
bb) In Nummer 10 wird das Komma durch das Wort „oder“ ersetzt.
cc) In Nummer 11 wird das Komma durch einen Punkt ersetzt.
dd) Die Nummern 12 und 13 werden aufgehoben.
c) In Absatz 3 werden die Wörter „der Absätze 1 und 2 Nummer 12 und 13“ durch die Wörter „des Absatzes 1“ ersetzt.
33. § 55 wird wie folgt geändert:
a) In Absatz 1 werden die Wörter „erhoben, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) In den Absätzen 5 und 6 wird jeweils das Wort „Datenempfänger“ durch das Wort „Empfänger“ ersetzt.
34. § 56 Absatz 1 wird wie folgt geändert:
a) In Nummer 1 werden die Wörter „oder Berichtigung“ gestrichen.
b) In Nummer 3 wird das Komma am Ende durch das Wort „und“ ersetzt.
c) Nummer 4 wird aufgehoben.
d) Die bisherige Nummer 5 wird Nummer 4.
35. § 58 wird wie folgt geändert:
a) Satz 1 wird wie folgt gefasst:
„Die Bundesregierung evaluiert die Anwendung von § 44 Absatz 3 Satz 1 Num-mer 2 und Absatz 4 auf wissenschaftlicher Grundlage vier Jahre nach Inkrafttre-ten dieses Gesetzes und berichtet hierüber dem Deutschen Bundestag und dem Bundesrat.“
b) Folgender Satz wird angefügt:
– 37 –
„Für den Zeitraum vor dem … [einsetzen: Datum des Inkrafttreten dieses Geset-zes nach Artikel 155 Absatz 1] erfolgt die Datenerhebung und Evaluierung auf der Grundlage der bis zu diesem Datum geltenden Fassung dieser Vorschrift.“
Artikel 17
Änderung des Personenstandsgesetzes
Das Personenstandsgesetz vom 19. Februar 2007 (BGBl. I S. 122), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2787) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 68 folgende Angabe eingefügt:
„68a Rechte der betroffenen Person“.
2. Nach § 68 wird folgender § 68a eingefügt:
㤠68a
Rechte der betroffenen Person
(1) Das Auskunftsrecht nach Artikel 15 Absatz 1 und das Recht auf Erhalt einer Kopie nach Artikel 15 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Auf-hebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der je-weils geltenden Fassung werden dadurch gewährleistet, dass die betroffene Person nach § 62 Einsicht in das Personenstandsregister und in die zum Personenstandsein-trag geführten Sammelakten nehmen sowie eine Auskunft aus dem Personenstands-eintrag oder der Sammelakte erhalten kann. Soweit die Auskunft zu den verarbeiteten personenbezogenen Daten nach Artikel 15 Absatz 3 der Verordnung (EU) 2016/679 durch eine gebührenfreie Kopie des amtlichen Formulars einer Personenstandsur-kunde erfolgt, ist dieses nicht vom Standesbeamten zu unterschreiben, zu siegeln oder zu beglaubigen. Das Recht auf Auskunft der betroffenen Person gemäß Arti-kel 15 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 ist beschränkt auf die Kategorien von Empfängern, gegenüber denen die im Personenstandsregister oder in den zum Registereintrag geführten Sammelakten enthaltenen personenbezogenen Daten offengelegt worden sind oder noch offen gelegt werden.
(2) Hinsichtlich der in den Personenstandsregistern enthaltenen personenbezo-genen Daten kann das Recht auf Berichtigung nach Artikel 16 der Verordnung (EU) 2016/679 nur unter den Voraussetzungen der §§ 47 bis 53 ausgeübt werden.
(3) Das Widerspruchsrecht gemäß Artikel 21 der Verordnung (EU) 2016/679 fin-det in Bezug auf die im Personenstandsregister beurkundeten Daten und die in den Sammelakten enthaltenen Dokumente keine Anwendung.“
– 38 –
Artikel 18
Änderung des Arzneimittelgesetzes
Das Arzneimittelgesetz in der Fassung der Bekanntmachung vom 12. Dezember 2005 (BGBl. I S. 3394), das zuletzt durch Artikel 1 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. § 40 wird wie folgt geändert:
a) In Absatz 1 Satz 3 Nummer 3 Buchstabe c werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt und werden die Wörter „Erhebung und“ gestrichen.
b) Absatz 2a wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
bb) Satz 2 wird wie folgt geändert:
aaa) Nummer 2 wird wie folgt gefasst:
„2. sie die Einwilligung nach Absatz 1 Satz 3 Nummer 3 Buchstabe c jederzeit widerrufen kann,“.
bbb) In Nummer 3 werden im Satzteil vor der Aufzählung die Wörter „Ab-satz 1 Satz 3 Nr. 3 Buchstabe b“ durch die Wörter „Absatz 1 Satz 3 Nummer 3 Buchstabe b oder Buchstabe c“ ersetzt und wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
cc) In Satz 3 werden die Wörter „Absatz 1 Satz 3 Nr. 3 Buchstabe b“ durch die Wörter „Absatz 1 Satz 3 Nummer 3 Buchstabe b oder Buchstabe c“ ersetzt.
2. § 42 Absatz 3 Satz 2 wird wie folgt geändert:
a) Nummer 6 wird wie folgt gefasst:
„6. die Befugnisse zur Verarbeitung personenbezogener Daten, soweit diese für die Durchführung und Überwachung der klinischen Prüfung erforderlich sind; dies gilt auch für die Verarbeitung von Daten, die nicht in einem Datei-system gespeichert sind oder gespeichert werden sollen,“.
b) In Nummer 7 Buchstabe a werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
3. In § 42b Absatz 3 Satz 4 werden die Wörter „nach § 4a des Bundesdatenschutzge-setzes einwilligender Prüfärzte“ durch die Wörter „Prüfärzten, deren Einwilligung vor-liegt,“ ersetzt.
4. In § 58a Absatz 4 Satz 6 werden die Wörter „nach Maßgabe des § 10 des Daten-schutzgesetzes“ gestrichen.
5. In § 58c Absatz 2 Satz 3 werden die Wörter „nach Maßgabe des § 10 des Bundesda-tenschutzgesetzes“ gestrichen.
– 39 –
6. § 58f wird wie folgt geändert:
a) In Satz 1 werden die Wörter „und genutzt“ gestrichen.
b) In Satz 4 werden die Wörter „und nutzen“ gestrichen.
7. § 67a Absatz 3 Satz 1 wird wie folgt gefasst:
„Das Bundesministerium wird ermächtigt, im Einvernehmen mit dem Bundesministe-rium des Innern, für Bau und Heimat und dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung mit Zustimmung des Bundesrates
1. Befugnisse zur Erhebung von Daten für die Zwecke des Absatzes 2 und Befug-nisse zur sonstigen Verarbeitung von Daten für die Zwecke der Absätze 1 und 2 einzuräumen und
2. Regelungen zu treffen hinsichtlich der Übermittlung von Daten durch Behörden des Bundes und der Länder an das Deutsche Institut für Medizinische Dokumen-tation und Information, einschließlich der personenbezogenen und betriebsbezo-genen Daten für die in diesem Gesetz geregelten Zwecke, und der Art, des Um-fangs und der Anforderungen an die Daten.“
8. § 68 Absatz 6 wird wie folgt gefasst:
„(6) In den Fällen des Absatzes 4 unterbleibt die Übermittlung personenbezoge-ner Daten, soweit schutzwürdige Interessen der betroffenen Personen überwiegen.“
Artikel 19
Änderung des Vierten Gesetzes zur Änderung arzneimittelrechtli-cher und anderer Vorschriften
In Artikel 2 Nummer 11 des Vierten Gesetzes zur Änderung arzneimittelrechtlicher und anderer Vorschriften vom 20. Dezember 2016 (BGBl. I S. 3048) wird § 40b Absatz 6 wie folgt geändert:
1. In Satz 1 werden die Wörter „schriftlich und ausdrücklich“ durch die Wörter „ausdrück-lich und entweder schriftlich oder elektronisch“ ersetzt und werden die Wörter „Erhe-bung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. In Satz 2 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbei-tung“ ersetzt.
3. In Satz 3 Nummer 2 wird im Satzteil vor der Aufzählung das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
– 40 –
Artikel 20
Änderung des Transfusionsgesetzes
Das Transfusionsgesetz in der Fassung der Bekanntmachung vom 28. August 2007 (BGBl. I S. 2169), das zuletzt durch Artikel 3 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. § 6 Absatz 2 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Satz 2 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ ein-gefügt.
2. In § 8 Absatz 2 Satz 1 Nummer 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden vor dem Wort „bestätigt“ die Wörter „oder elektronisch“ eingefügt.
3. In § 11 Absatz 2 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen,“ durch das Wort „verarbeiten,“ ersetzt.
4. In § 14 Absatz 4 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen,“ durch das Wort „verarbeiten,“ ersetzt.
5. In § 21 Absatz 1a Satz 2 werden im Satzteil vor der Aufzählung nach dem Wort „schriftlichen“ die Wörter „oder elektronischen“ eingefügt.
6. § 21a wird wie folgt geändert:
a) In Absatz 2 Satz 5 wird das Wort „genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 Nummer 3 werden nach dem Wort „schriftlichen“ die Wörter „oder elektronischen“ eingefügt
bb) In Satz 6 werden die Wörter „und Nutzung“ gestrichen.
c) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
bb) In Satz 2 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt.
cc) In Satz 5 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt.
d) In Absatz 5 Satz 4 werden die Wörter „oder genutzt“ gestrichen.
– 41 –
Artikel 21
Änderung des Gentechnikgesetzes
Das Gentechnikgesetz in der Fassung der Bekanntmachung vom 16. Dezember 1993 (BGBl. I S. 2066), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2421) geändert worden ist, wird wie folgt geändert:
1. In § 5 Satz 4 wird die Angabe „§ 17“ durch die Angabe „§ 19“ ersetzt.
2. § 16a wird wie folgt geändert:
a) In Absatz 5 werden die Wörter „der Antragsteller“ durch die Wörter „die antrag-stellende Person“ und die Wörter „der Betroffene“ durch die Wörter „die betroffe-ne Person“ ersetzt.
b) Absatz 5a wird wie folgt geändert:
aa) Die Wörter „; § 10 Abs. 2 bis 5 des Bundesdatenschutzgesetzes ist anzu-wenden“ werden gestrichen.
bb) Nach Satz 1 werden die folgenden Sätze 2 bis 6 angefügt:
„Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die Stelle, an die die Daten übermittelt werden. Die speichernde Stelle prüft die Zuläs-sigkeit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumin-dest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt, so bezieht sich die Gewährleistung der Feststellung und Über-prüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Ge-samtbestandes. § 29 Absatz 1a Satz 2 und 4 gilt entsprechend.“
c) Absatz 7 wird wie folgt gefasst:
„(7) Artikel 12 Absatz 5 und Artikel 15 Absatz 1 Buchstabe a, c und g der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) sowie § 34 des Bundesda-tenschutzgesetzes in der jeweils geltenden Fassung gelten für juristische Perso-nen entsprechend.“
3. In § 28a Absatz 3 Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffene Personen“ ersetzt.
4. § 29 wird wie folgt geändert:
a) In Absatz 1 Satz 1 werden die Wörter „ihm erhoben oder ihm“ durch die Wörter „ihr erhoben oder ihr“ ersetzt und die Wörter „und zu nutzen“ gestrichen.
b) In Absatz 1a Satz 2 werden die Wörter „und die nach § 9 des Bundesdaten-schutzgesetzes erforderlichen technischen und organisatorischen Maßnahmen“ durch die Wörter „und die erforderlichen technischen und organisatorischen
– 42 –
Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ er-setzt.
c) In Absatz 3 werden die Wörter „und genutzt“ gestrichen.
Artikel 22
Änderung des Grundstoffüberwachungsgesetzes
§ 10 des Grundstoffüberwachungsgesetzes vom 11. März 2008 (BGBl. I S. 306), das zuletzt durch Artikel 6 Absatz 7 des Gesetzes vom 13. April 2017 (BGBl. I S. 872) geän-dert worden ist:
1. Absatz 1 wird wie folgt geändert:
a) Satz 2 wird wie folgt gefasst:
„Das Bundesinstitut für Arzneimittel und Medizinprodukte trifft geeignete techni-sche und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Ver-ordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo-gener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung.“
b) Satz 3 wird aufgehoben.
2. Absatz 2 wird wie folgt gefasst:
„(2) Die Einrichtung von automatisierten Verfahren, die die Übermittlung der Da-ten nach Absatz 1 durch Abruf ermöglichen, ist zulässig, soweit diese Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben der beteiligten Stellen im Sinne des Absatzes 1 Satz 1 angemessen sind. Die beteiligten Stellen im Sinne des Absatzes 1 Satz 1 haben zu gewährleisten, dass das Abrufverfahren kontrolliert werden kann. Hierzu haben sie Folgendes schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die Daten übermittelt werden,
3. Art der zu übermittelnden Daten und
4. die erforderlichen technischen und organisatorischen Maßnahmen nach Maßga-be der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679.
Die erforderlichen Festlegungen können auch von den Fachaufsichtsbehörden getrof-fen werden. Das Bundesinstitut für Arzneimittel und Medizinprodukte unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit über die Ein-richtung des automatisierten Abrufverfahrens und über die getroffenen Festlegungen. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den die Daten übermittelt werden. Das Bundesinstitut für Arzneimittel und Medizinproduk-te prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Es hat zu gewähr-
– 43 –
leisten, dass die Übermittlung personenbezogener und sonstiger Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand dieser Daten abgerufen oder übermittelt, so bezieht sich die Ge-währleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. Die Sätze 1 bis 6 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein zugänglich sind Daten, die jeder-mann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung ei-nes Entgelts, nutzen kann.“
3. In Absatz 3 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
Artikel 23
Änderung des Gendiagnostikgesetzes
Das Gendiagnostikgesetz vom 31. Juli 2009 (BGBl. I S. 2529, 3672), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 4. November 2016 (BGBl. I S. 2460) geändert worden ist, wird wie folgt geändert:
1. In § 8 Absatz 1 wird nach Satz 2 folgender Satz 3 eingefügt:
„Die Einwilligung nach Satz 1 umfasst auch die Einwilligung in die Verarbeitung gene-tischer Daten.“
2. § 11 Absatz 3 wird wie folgt gefasst:
„(3) Die verantwortliche ärztliche Person darf das Ergebnis der genetischen Un-tersuchung oder Analyse anderen nur mit ausdrücklicher und schriftlich oder in elekt-ronischer Form vorliegender Einwilligung der betroffenen Person mitteilen.“
3. § 12 wird wie folgt geändert:
a) In Absatz 1 Satz 3 werden die Wörter „zu sperren“ durch die Wörter „in der Ver-arbeitung einzuschränken“ ersetzt und nach dem Wort „schriftlich“ die Worte „o-der in elektronischer Form“ eingefügt.
b) In Absatz 2 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Ver-arbeitung“ ersetzt.
4. § 26 wird wie folgt neu gefasst:
㤠26
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer
1. entgegen § 7 Absatz 1 oder 2, auch in Verbindung mit § 17 Absatz 4 Satz 2, oder entgegen § 17 Absatz 4 Satz 1 oder § 20 Absatz 1 Nummer 1 eine genetische Untersuchung oder Analyse vornimmt,
– 44 –
2. entgegen § 16 Absatz 2 Satz 1 mit einer genetischen Reihenuntersuchung be-ginnt oder
3. einer Rechtsverordnung nach § 6 oder einer vollziehbaren Anordnung auf Grund ei-ner solchen Rechtsverordnung zuwiderhandelt, soweit die Rechtsverordnung für ei-nen bestimmten Tatbestand auf diese Bußgeldvorschrift verweist.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Die Absätze 1 und 2 sind nicht anzuwenden, soweit die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung unmittelbar gilt.“
Artikel 24
Änderung des Transplantationsgesetzes
Das Transplantationsgesetz in der Fassung der Bekanntmachung vom 4. September 2007 (BGBl. I S. 2206), das zuletzt durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 7 wie folgt gefasst:
„§ 7 Datenverarbeitung, Auskunftspflicht“.
2. § 2 wird wie folgt geändert:
a) Absatz 3 wird wie folgt geändert:
aa) In Satz 2 wird vor dem Punkt am Ende ein Komma und werden die Wörter „und nur zu diesem Zweck nach Absatz 4 oder Absatz 4a übermittelt wer-den“ eingefügt.
bb) Satz 3 wird wie folgt geändert:
aaa) Nummer 3 wird aufgehoben.
bbb) Die Nummern 4 bis 6 werden die Nummern 3 bis 5.
b) Absatz 4 wird wie folgt geändert:
aa) Nach Satz 2 wird folgender Satz eingefügt:
„Zur Prüfung der Zulässigkeit der Anfragen an das Register und der Auskünf-te aus dem Register sind die Auskünfte sowie deren Anlass und Zweck auf-zuzeichnen.“
bb) Im neuen Satz 4 wird das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.
c) Nach Absatz 4 wird folgender Absatz 4a eingefügt:
– 45 –
„(4a) Die Auskunft nach Absatz 4 Satz 1 kann in einem automatisierten Abruf-verfahren übermittelt werden. Das automatisierte Abrufverfahren darf nur einge-richtet werden, sofern die beteiligten Stellen die technischen und organisatori-schen Maßnahmen getroffen haben, die nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung erforderlich sind. Die Verantwortung für die Zulässigkeit des einzelnen Ab-rufs trägt der Erklärende oder der von einem Krankenhaus dem Register als aus-kunftsberechtigt benannte Arzt. Die Stelle, der nach Absatz 3 Satz 1 die Aufgabe übertragen wurde, die Erklärungen zur Organ- oder Gewebespende zu speichern und darüber Auskunft zu erteilen, überprüft die Zulässigkeit der Abrufe durch ge-eignete Stichprobenverfahren und im Übrigen nur, wenn dazu Anlass besteht.“
3. § 7 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠7
Datenverarbeitung, Auskunftspflicht“.
b) Absatz 1 wird wie folgt geändert:
aa) Im Satzteil vor der Aufzählung werden die Wörter „Erhebung und Verwen-dung“ durch das Wort „Verarbeitung“ ersetzt und werden die Wörter „und die Übermittlung dieser Daten an die nach Absatz 3 Satz 1 auskunftsberechtig-ten Personen“ gestrichen.
bb) Folgender Satz wird angefügt:
„Die Übermittlung dieser Daten ist nur an die nach Absatz 3 Satz 1 aus-kunftsberechtigten Personen zulässig.“
c) In Absatz 2 Satz 1 Nummer 2 wird die Angabe „§ 2 Abs. 4“ durch die Wörter „§ 2 Absatz 4 oder Absatz 4a“ ersetzt.
4. In § 8 Absatz 2 Satz 1 Nummer 6 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
5. § 13 wird wie folgt geändert:
a) In Absatz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ und das Wort „weitergeben“ durch das Wort „übermitteln“ ersetzt.
b) Absatz 3 Satz 4 wird aufgehoben.
6. § 14 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
– 46 –
„Ist die Koordinierungsstelle, die Vermittlungsstelle oder die Gewebeeinrich-tung eine nicht-öffentliche Stelle im Geltungsbereich dieses Gesetzes, so überwachen die Aufsichtsbehörden der Länder die Anwendung der Vor-schriften über den Datenschutz gemäß § 40 Absatz 1 des Bundesdaten-schutzgesetzes auch in den Fällen, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 fallen.“
bb) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt, werden die Wörter „an die nach § 2 Abs. 4“ durch die Wörter „denen nach § 2 Absatz 4 Satz 1 oder Absatz 4a Satz 1“ und die Wörter „die Aus-kunft weitergegeben“ durch die Wörter „nach § 2 Absatz 4 Satz 4 die Aus-kunft übermittelt“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt, wird die Angabe „§ 2 Abs. 4“ durch die Wörter „§ 2 Absatz 4 oder Absatz 4a“ ersetzt und werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In den Sätzen 3 und 4 wird das Wort „verwendet“ jeweils durch das Wort „verarbeitet“ ersetzt.
cc) Satz 5 wird aufgehoben.
c) Absatz 2a wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Ärzte und anderes wissenschaftliches Personal des Entnahmekrankenhau-ses, des Transplantationszentrums, der Koordinierungsstelle nach § 11 und der Vermittlungsstelle nach § 12 dürfen personenbezogene Daten, die von dem jeweiligen Entnahmekrankenhaus, dem jeweiligen Transplantations-zentrum oder der jeweiligen Stelle nach § 11 oder § 12 im Rahmen der Or-gan- und Spendercharakterisierung beim Organ- oder Gewebespender oder im Rahmen der Organ- oder Gewebeübertragung beim Organ- oder Gewe-beempfänger erhoben oder an diese übermittelt worden sind, abweichend von Absatz 2 Satz 3 für eigene wissenschaftliche Forschungsvorhaben ver-arbeiten.“
bb) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
7. In § 15 Absatz 1 und 2 wird vor der Angabe „30 Jahre“ jeweils das Wort „mindestens“ gestrichen.
8. § 15b wird wie folgt geändert:
a) Absatz 4 Satz 1 wird wie folgt geändert:
aa) In Nummer 2 werden die Wörter „Erhebung, Verarbeitung und Übermittlung“ durch das Wort „Verarbeitung“ ersetzt.
bb) In Nummer 6 werden die Wörter „§ 14 Absatz 2 Satz 5“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
b) Absatz 7 wird wie folgt gefasst:
– 47 –
„(7) Die Transplantationsregisterstelle unterliegt der Aufsicht der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. § 16 Ab-satz 1 Satz 2 bis 4 des Bundesdatenschutzgesetzes ist nicht anzuwenden.“
9. § 15c wird wie folgt geändert:
a) In Absatz 1 Satz 4 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ er-setzt.
b) Absatz 6 wird wie folgt gefasst:
„(6) Die Vertrauensstelle unterliegt der Aufsicht der oder des Bundesbeauf-tragten für den Datenschutz und die Informationsfreiheit. § 16 Absatz 1 Satz 2 bis 4 des Bundesdatenschutzgesetzes ist nicht anzuwenden.“
10. § 15f Absatz 1 wird wie folgt geändert:
a) In Satz 3 werden die Wörter „§ 14 Absatz 2 Satz 5“ durch die Wörter „den Arti-keln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
b) In Satz 7 werden die Wörter „und nutzen“ gestrichen.
11. § 15g wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden nach dem Wort „Form“ die Wörter „zur Verwendung“ ge-strichen und werden nach dem Wort „Forschungszweck“ die Wörter „die Verwendung“ durch die Wörter „die Verarbeitung“ ersetzt.
bb) In Satz 6 werden die Wörter „oder genutzt“ gestrichen.
b) In Absatz 3 werden die Wörter „erheben und“ gestrichen.
12. In § 15h Absatz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
13. § 19 Absatz 3 wird wie folgt geändert:
a) In Nummer 1 wird die Angabe „Satz 3“ durch die Angabe „Satz 4“ ersetzt und wird das Wort „weitergibt“ durch das Wort „übermittelt“ ersetzt.
b) In den Nummern 2 und 3 wird das Wort „verwendet“ jeweils durch das Wort „ver-arbeitet“ ersetzt.
Artikel 25
Änderung des Anti-Doping-Gesetzes
Das Anti-Doping-Gesetz vom 10. Dezember 2015 (BGBl. I S. 2210), das zuletzt durch Artikel 6 Absatz 5 des Gesetzes vom 13. April 2017 (BGBl. I S. 872) geändert worden ist, wird wie folgt geändert:
1. In § 9 werden in dem Satzteil vor Nummer 1 die Wörter „erheben, zu verarbeiten und zu nutzen“ durch das Wort „verarbeiten“ ersetzt.
– 48 –
2. In § 10 Absatz 1 Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „erheben, zu verarbeiten und zu nutzen“ durch das Wort „verarbeiten“ ersetzt.
Artikel 26
Änderung des Weingesetzes
Das Weingesetz in der Fassung der Bekanntmachung vom 18. Januar 2011 (BGBl. I S. 66), das zuletzt durch Artikel 9 des Gesetzes vom 27. Juni 2017 (BGBl. I S. 1966) ge-ändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht werden in der § 34 betreffenden Zeile das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Weitergabe“ durch das Wort „Übermitt-lung“ ersetzt.
2. § 34 wird wie folgt geändert:
a) In der Überschrift werden das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.
b) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Die erhebenden Behörden sind berechtigt, Einzelangaben in Erklärungen, die nach den für den Weinbau und die Weinwirtschaft unmittelbar anzuwen-denden Rechtsakten der Europäischen Gemeinschaft oder der Europäischen Union, nach diesem Gesetz oder nach Rechtsverordnungen auf Grund die-ses Gesetzes vorgesehenen Flächenerhebungen, Erntemeldungen, Weiner-zeugungsmeldungen und Bestandsmeldungen abzugeben sind, an die zu-ständigen Bundes- und Landesbehörden für behördliche Maßnahmen zu übermitteln, soweit dies zur Durchführung der Rechtsakte der Europäischen Gemeinschaft, der §§ 27 bis 33 dieses Gesetzes oder der auf Grund dieses Gesetzes erlassenen Rechtsverordnungen erforderlich ist.“
bb) In Satz 2 wird das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.
c) Absatz 3 wird wie folgt geändert:
aa) In Satz 2 werden die Wörter „der Antragsteller“ durch die Wörter „die antrag-stellende Person“ und die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt.
bb) Folgender Satz wird angefügt:
„Die antragstellende Person verpflichtet sich gegenüber der für die Führung der Weinbaukartei zuständigen Stelle, die Daten nur für den Zweck zu verar-beiten, zu dessen Erfüllung sie ihr übermittelt werden.“
– 49 –
Artikel 27
Änderung des Tabakerzeugnisgesetzes
§ 22 Absatz 5 des Tabakerzeugnisgesetzes vom 4. April 2016 (BGBl. I S. 569) wird wie folgt geändert:
1. In Satz 1 werden die Wörter „dem Bundesdatenschutzgesetz sowie den weiteren Vorschriften zum Schutz personenbezogener Daten erheben, verarbeiten oder nut-zen“ durch die Wörter „den einschlägigen Vorschriften zum Schutz personenbezoge-ner Daten verarbeiten“ ersetzt.
2. In Satz 3 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „ver-arbeitet“ ersetzt.
Artikel 28
Änderung des Lebensmittel- und Futtermittelgesetzbuches
Das Lebensmittel- und Futtermittelgesetzbuch in der Fassung der Bekanntmachung vom 3. Juni 2013 (BGBl. I S. 1426), das zuletzt durch Artikel 1 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2147) geändert worden ist, wird wie folgt geändert:
1. In § 42 Absatz 3 Satz 2 Nummer 3 Buchstabe c werden die Wörter „sofern diese in die damit verbundene Datenübermittlung an die nach § 25 Absatz 1 des Infektions-schutzgesetzes zuständige Behörde schriftlich eingewilligt haben,“ gestrichen.
2. § 49 Absatz 4 Satz 2 wird durch die folgenden Sätze ersetzt:
„Die Daten nach Satz 1 können auch durch ein automatisiertes Abrufverfahren über-mittelt werden, sofern die beteiligten Stellen gewährleisten, dass das Abrufverfahren kontrolliert werden kann und die technischen und organisatorischen Maßnahmen, die nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung erforderlich sind, schriftlich festgelegt sind. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die abrufende Stelle. Die speichernde Stelle prüft die Zulässig-keit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewähr-leisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbe-stand personenbezogener Daten abgerufen oder übermittelt, so bezieht sich die Ge-währleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufs oder der Übermittlung des Gesamtbestandes.“
– 50 –
Artikel 29
Änderung des Krankenhausfinanzierungsgesetzes
Das Krankenhausfinanzierungsgesetz in der Fassung der Bekanntmachung vom 10. April 1991 (BGBl. I S. 886), das zuletzt durch Artikel 6 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2581) geändert worden ist, wird wie folgt geändert:
1. In § 17c Absatz 5 Satz 2 werden die Wörter „wenn der Versicherte hierzu schriftlich seine Einwilligung, die jederzeit widerrufen werden kann,“ durch die Wörter „wenn der Versicherte hierzu seine Einwilligung“ ersetzt.
2. In § 28 Absatz 4 wird im Satzteil vor der Aufzählung das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
Artikel 30
Änderung des Infektionsschutzgesetzes
Das Infektionsschutzgesetz vom 20. Juli 2000 (BGBl. I S. 1045), das zuletzt durch Ar-tikel 1 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2615) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 1a gestrichen.
2. § 1a wird aufgehoben.
3. In § 10 Absatz 3 Satz 5 werden die Wörter „verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
4. § 13 Absatz 2 Satz 4 wird wie folgt gefasst:
„Daten, die eine Identifizierung der in die Untersuchung einbezogenen Personen er-lauben, dürfen nicht erhoben werden.“
5. § 14 wird wie folgt geändert:
a) In Absatz 2 werden im Satzteil vor der Aufzählung die Wörter „verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Nummer 2 werden die Wörter „verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Nummer 4 wird das Semikolon und werden die Wörter „§ 1a bleibt unbe-rührt“ gestrichen.
c) In Absatz 8 Satz 1 Nummer 7 wird nach der Angabe „§ 10 Absatz 1“ die Angabe „und 2“ eingefügt.
6. In § 16 Absatz 1 Satz 2 werden die Wörter „und genutzt“ gestrichen.
– 51 –
7. In § 23a Satz 1 werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
8. In § 25 Absatz 3 Satz 4 werden die Wörter „und genutzt“ gestrichen.
9. In § 30 Absatz 3 Satz 4 werden die Wörter „und genutzt“ gestrichen.
Artikel 31
Änderung des IGV-Durchführungsgesetzes
Das IGV-Durchführungsgesetz vom 21. März 2013 (BGBl. I S. 566), das zuletzt durch Artikel 3 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2615) geändert worden ist, wird wie folgt geändert:
1. § 3 Absatz 2 Satz 2 wird aufgehoben.
2. § 12 wird wie folgt geändert:
a) Absatz 6 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „und nutzen“ gestrichen.
bb) Satz 2 wird aufgehoben.
b) Absatz 7 wird wie folgt geändert:
aa) In Satz 1 werden nach dem Wort „Reisenden“ die Wörter „oder ihren mögli-chen Kontaktpersonen“ eingefügt.
bb) Satz 3 wird aufgehoben.
Artikel 32
Änderung des Suchdienstedatenschutzgesetzes
Das Suchdienstedatenschutzgesetz vom 2. April 2009 (BGBl. I S. 690), das durch Ar-tikel 3 des Gesetzes vom 3. Mai 2013 (BGBl. I S. 1084) geändert worden ist, wird wie folgt geändert:
1. Die Überschrift des Gesetzes wird wie folgt gefasst:
„Gesetz zur Regelung des Datenschutzes für den Suchdienst des Deutschen Roten Kreuzes (DRK-Suchdienstdatenschutzgesetz – DRK-SDDSG)“.
2. § 1 wird wie folgt gefasst:
– 52 –
㤠1
Anwendungsbereich des Gesetzes
(1) Dieses Gesetz regelt den Umgang des Suchdienstes des Deutschen Roten Kreuzes (DRK-Suchdienst) mit personenbezogenen Daten, soweit der DRK-Suchdienste im Auftrag der Bundesregierung tätig ist.
(2) Die Vorschriften dieses Gesetzes sind nicht anzuwenden, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 des Europä-ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Perso-nen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung, unmittelbar gilt.“
3. § 2 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠2
Aufgaben des DRK-Suchdienstes“.
b) Die Absatzbezeichnung „(1)“ wird gestrichen.
c) Absatz 2 wird aufgehoben.
4. § 3 wird wie folgt geändert:
a) In Absatz 1 Satz 1 werden die Wörter „Die Suchdienste dürfen“ durch die Wörter „Der DRK-Suchdienst darf“, die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ und das Wort „ihrer“ durch das Wort „seiner“ ersetzt.
b) In Absatz 2 Satz 1 werden die Wörter „Die Suchdienste erhalten“ durch die Wör-ter „Der DRK-Suchdienst erhält“ und das Wort „ihrer“ durch das Wort „seiner“ er-setzt.
5. § 4 wird wie folgt geändert:
a) Die Überschrift „Verwendung“ wird durch die Überschrift „Verarbeitung“ ersetzt.
b) In Absatz 1 werden die Wörter „Die vorgenannten Suchdienste dürfen“ durch die Wörter „Der DRK-Suchdienst darf“, die Wörter „speichern, verändern und nutzen“ durch das Wort „verarbeiten“ und das Wort „ihrer“ durch das Wort „seiner“ und ersetzt.
c) Absatz 2 Satz 1 wird wie folgt geändert:
aa) Im Satz vor der Aufzählung wird die Angabe „§ 2 Abs. 1 Nr. 1 und Abs. 2“ durch die Angabe „§ 2 Nummer 1“ und werden die Wörter „der Suchdienste“ durch die Wörter „des DRK-Suchdienstes“ ersetzt.
bb) In Nummer 1 wird die Angabe „§ 2 Abs. 1 Nr. 1“ durch die Angabe „§ 2 Nummer 1“ ersetzt.
– 53 –
cc) In Nummer 2 wird die Angabe „§ 15“ durch die Angabe „§ 25 Absatz 1“ er-setzt.
d) In Absatz 2 Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt.
e) In Absatz 2 Satz 3 wird das Wort „Arten“ durch das Wort „Kategorien“ und wer-den die Wörter „(§ 3 Abs. 9 des Bundesdatenschutzgesetzes)“ durch die Wörter „(Artikel 9 Absatz 1 der Verordnung (EU) 2016/679)“ ersetzt.
6. § 5 wird wie folgt gefasst:
㤠5
Begrenzung der Verpflichtung zur Löschung
Die Verpflichtung des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, wenn anzunehmen ist, dass durch die Löschung schutzwürdige Belange der betroffenen Person beeinträchtigt werden.“
7. § 6 wird aufgehoben.
8. § 7 wird § 6 und wird wie folgt gefasst:
㤠6
Anwendung des Bundesdatenschutzgesetzes
Soweit in diesem Gesetz keine abweichenden Regelungen getroffen sind, sind Teil 1 und Teil 2 des Bundesdatenschutzgesetzes anzuwenden.“
9. § 8 wird § 7.
Artikel 33
Änderung des Abfallverbringungsgesetzes
§ 9 Absatz 2 Satz 2 des Abfallverbringungsgesetzes vom 19. Juli 2007 (BGBl. I S. 1462), das zuletzt durch Artikel 1 des Gesetzes vom 1. November 2016 (BGBl. I S. 2452) geändert worden ist, wird wie folgt gefasst:
„Ohne deren Mitwirkung dürfen sie nur erhoben werden,
1. wenn dies zur Erfüllung der in Absatz 1 Satz 1 genannten Aufgaben erforderlich ist und
2. wenn
a) diese Aufgaben ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich machen oder
– 54 –
b) die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand er-fordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden.“
Artikel 34
Änderung des Seeversicherungsnachweisgesetzes
§ 10 des Seeversicherungsnachweisgesetzes vom 4. Juni 2013 (BGBl. I S. 1471, 1474), das zuletzt durch Artikel 7 des Gesetzes vom 24. Mai 2016 (BGBl. I S. 1217) ge-ändert worden ist, wird wie folgt geändert:
1. In Absatz 1 Satz 2 werden die Wörter „und genutzt“ gestrichen.
2. Absatz 3 wird wie folgt gefasst:
„(3) Bei der Geltendmachung von Ansprüchen nach dem Wrackbeseitigungs-übereinkommen muss die Übermittlung personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoge-ner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-tenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und mit den sonstigen allgemeinen datenschutzrechtlichen Vorschriften erfolgen.“
3. Absatz 4 wird aufgehoben.
Artikel 35
Änderung des Jugendfreiwilligendienstegesetzes
In § 12 Satz 1 des Jugendfreiwilligendienstegesetzes vom 16. Mai 2008 (BGBl. I S. 842), das durch Artikel 30 des Gesetzes vom 20. Dezember 2011 (BGBl. I S. 2854) geändert worden ist, werden die Wörter „erheben und“ gestrichen.
Artikel 36
Änderung des Hilfetelefongesetzes
In § 4 Absatz 3 Satz 1 des Hilfetelefongesetzes vom 7. März 2012 (BGBl. I S. 448) werden die Wörter „erhoben und“ gestrichen.
– 55 –
Artikel 37
Änderung des Bundesfreiwilligendienstgesetzes
In § 12 Satz 1 des Bundesfreiwilligendienstgesetzes vom 28. April 2011 (BGBl. I S. 687), das zuletzt durch Artikel 15 Absatz 5 des Gesetzes vom 20. Oktober 2015 (BGBl. I S. 1722) geändert worden ist, werden die Wörter „erheben, verarbeiten und nut-zen“ durch das Wort „verarbeiten“ ersetzt.
Artikel 38
Änderung des Asylbewerberleistungsgesetzes
Das Asylbewerberleistungsgesetz in der Fassung der Bekanntmachung vom 5. Au-gust 1997 (BGBl. I S. 2022), das zuletzt durch Artikel 4 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2541) geändert worden ist, wird wie folgt geändert:
1. § 5a wird wie folgt geändert:
a) In Absatz 5 Satz 1 wird in dem Satzteil vor Nummer 1 das Wort „erheben“ durch das Wort „verarbeiten“ ersetzt.
b) Dem Wortlaut des Absatzes 6 wird folgender Satz vorangestellt:
„Die Maßnahmeträger dürfen die ihnen nach Absatz 5 Satz 2 übermittelten Daten zu den Zwecken verarbeiten, zu denen sie ihnen übermittelt wurden.“
2. In § 5b Absatz 3 wird in dem Satzteil vor Nummer 1 das Wort „erheben“ durch das Wort „verarbeiten“ ersetzt.
3. Dem § 12 wird folgender Absatz 8 angefügt:
„(8) Das Statistische Bundesamt und die statistischen Ämter der Länder dürfen an die obersten Bundes- und Landesbehörden Tabellen mit statistischen Ergebnissen übermitteln, auch wenn Tabellenfelder nur einen einzigen Fall ausweisen. Die über-mittelten Tabellen dürfen nur gegenüber den gesetzgebenden Körperschaften und nur für Zwecke der Planung, jedoch nicht für die Regelung von Einzelfällen verwendet werden.“
Artikel 39
Änderung des Aufstiegsfortbildungsförderungsgesetzes
In § 21 Absatz 3 Satz 1 des Aufstiegsfortbildungsförderungsgesetzes in der Fassung der Bekanntmachung vom 15. Juni 2016 (BGBl. I S. 1450), das durch Artikel 73 des Ge-setzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird das Wort „Informati-onen“ durch das Wort „Daten“ ersetzt und werden jeweils die Wörter „des oder der Be-troffenen“ durch die Wörter „der betroffenen Person oder der betroffenen Personen“ er-setzt.
– 56 –
Artikel 40
Änderung des Kulturgutschutzgesetzes
Das Kulturgutschutzgesetz vom 31. Juli 2016 (BGBl. I S. 1914), das durch Artikel 6 Absatz 13 des Gesetzes vom 13. April 2017 (BGBl. I S. 872) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 77 wie folgt gefasst:
„§ 77 Verarbeitung von Informationen einschließlich personenbezogener Daten“.
2. § 77 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠77
Verarbeitung von Informationen einschließlich personenbezogener Daten“.
b) In Absatz 1 werden im einleitenden Satzteil die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
3. In § 78 Absatz 1 werden die Wörter „von § 2 des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 25. Februar 2015 (BGBl. I S. 162) geändert worden ist,“ durch die Wörter „des § 2 des Bundesdatenschutzgesetzes“ ersetzt.
4. § 79 wird wie folgt geändert:
a) Absatz 1 wird folgender Satz 3 angefügt:
„§ 16 Absatz 2 bleibt unberührt.“
b) In Absatz 2 werden die Wörter „Datenerhebung, Datenverarbeitung und Daten-nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
c) In Absatz 3 Satz 2 werden die Wörter „§ 11 Absatz 5 Satz 2“ durch die Wörter „§ 11 Absatz 4 Satz 2“ ersetzt.
d) In Absatz 4 Satz 1 werden vor dem Wort „verarbeitet“ die Wörter „nach Maßgabe von Absatz 1“ eingefügt.
e) In Absatz 5 wird die Angabe „§ 11 Absatz 4 Satz 1 Nummer 1“ durch die Angabe „§ 11 Absatz 3 Satz 1“ ersetzt.
5. § 80 Absatz 3 Satz 2 wird aufgehoben.
– 57 –
Artikel 41
Änderung des Deutsche-Welle-Gesetzes
Das Deutsche-Welle-Gesetz in der Fassung der Bekanntmachung vom 11. Januar 2005 (BGBl. I S. 90), das zuletzt durch Artikel 80 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu Abschnitt 4 folgende Angabe einge-fügt:
„Abschnitt 5
Datenschutz §§ 63 – 66“.
2. § 20 wird wie folgt geändert:
a) In Absatz 1 werden die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Absatz 2 Satz 1 und 3 und in Absatz 3 werden nach den Wörtern „für den Da-tenschutz“ die Wörter „der Deutschen Welle“ eingefügt.
3. § 32 Absatz 3 wird wie folgt geändert:
a) Nach der Angabe „7.“ wird die Angabe „(weggefallen)“ gestrichen und die Num-mern 5 und 6 werden die Nummern 6 und 7.
b) Nummer 5 wird wie folgt gefasst:
„5. Ernennung und Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle,“.
4. § 37 wird wie folgt geändert:
a) Absatz 2 Nummer 2 wird aufgehoben und die Nummern 3 bis 8 werden die Nummern 2 bis 7.
b) In Absatz 3 Satz 1 Nummer 8 wird die Angabe „(weggefallen)“ durch die Wörter „Ernennung und Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle.“ ersetzt.
5. Nach § 62 wird folgender Abschnitt 5 eingefügt:
– 58 –
„Abschnitt 5
Datenschutz
§ 63
Datenverarbeitung zu journalistischen Zwecken
(1) Sofern die Deutsche Welle oder ein Hilfsunternehmen personenbezogene Daten zu journalistischen Zwecken verarbeitet, sind bei der Verarbeitung dieser Da-ten nur die Pflichten des Artikels 5 Absatz 1 Buchstabe f in Verbindung mit Absatz 2, des Artikels 24 und des Artikels 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Auf-hebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der je-weils geltenden Fassung zu erfüllen. Artikel 82 der Verordnung (EU) 2016/679 gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Artikel 5 Absatz 1 Buchstabe f, Artikel 24 und Artikel 32 der Verordnung (EU) 2016/679 gehaftet wird. Den betroffenen Personen stehen nur die in den Absätzen 2 bis 4 genannten Rechte zu.
(2) Führt die journalistischen Zwecken dienende Verarbeitung personenbezoge-ner Daten durch die Deutsche Welle zur Verbreitung von Gegendarstellungen der be-troffenen Person oder zu Verpflichtungserklärungen, Beschlüssen oder Urteilen über die Unterlassung der Verbreitung oder über den Widerruf des Inhalts der Daten, so sind diese Gegendarstellungen, diese Verpflichtungserklärungen, diese Beschlüsse oder Urteile über die Unterlassung der Verbreitung oder diese Widerrufe
1. zu den Daten zu nehmen, die zu der betroffenen Person gespeichert sind, und dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst sowie
2. bei einer Übermittlung der Daten, die zu der betroffenen Person gespeichert sind, gemeinsam mit diesen zu übermitteln.
(3) Wird jemand durch die Berichterstattung der Deutschen Welle in seinen Rechten beeinträchtigt, so kann die betroffene Person Auskunft verlangen über die der Berichterstattung zu Grunde liegenden, zu ihrer Person gespeicherten Daten. Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten ver-weigert werden, soweit
1. von den Daten auf die Personen, die bei der Vorbereitung, Herstellung oder Ver-breitung von Angeboten mitwirken oder mitgewirkt haben, geschlossen werden kann,
2. von den Daten auf die Einsenderin oder den Einsender oder die Gewährsträgerin oder den Gewährsträger von Beiträgen, Unterlagen oder Mitteilungen für den re-daktionellen Teil geschlossen werden kann oder
3. durch die Mitteilung von recherchierten oder sonst erlangten Daten die Erfüllung der journalistischen Aufgabe der Deutschen Welle durch Ausforschung des In-formationsbestandes beeinträchtigt würde.
(4) Die betroffene Person kann die unverzügliche Berichtigung unrichtiger per-sonenbezogener Daten oder die Hinzufügung einer eigenen Darstellung von ange-
– 59 –
messenem Umfang verlangen. Die weitere Speicherung der personenbezogenen Da-ten ist rechtmäßig, wenn dies für die Ausübung des Rechts auf freie Meinungsäuße-rung und Information oder zur Wahrnehmung berechtigter Interessen erforderlich ist.
§ 64
Der Beauftragte für den Datenschutz der Deutschen Welle
(1) Die Deutsche Welle ernennt einen Beauftragten für den Datenschutz der Deutschen Welle als Aufsichtsbehörde, der im Bereich der Datenverarbeitung zu journalistischen Zwecken an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. Das Nähere, insbesondere die Grundsätze der Ver-gütung, beschließt der Rundfunkrat mit Zustimmung des Verwaltungsrats in einer Satzung. Die Kapitel VI und VII der Verordnung (EU) 2016/679 sind auf den Beauf-tragten für den Datenschutz der Deutschen Welle entsprechend anzuwenden, soweit in den Absätzen 2 bis 6 und in § 65 keine abweichenden Regelungen getroffen wer-den.
(2) Die Ernennung des Beauftragten für den Datenschutz der Deutschen Welle erfolgt durch den Rundfunkrat mit Zustimmung des Verwaltungsrats. Der Beauftragte für den Datenschutz der Deutschen Welle wird für die Dauer von fünf Jahren ernannt. Eine zweimalige Wiederernennung ist zulässig.
(3) Der Beauftragte für den Datenschutz der Deutschen Welle muss verfügen über die für die Erfüllung seiner Aufgaben und für die Ausübung seiner Befugnisse er-forderliche
1. Qualifikation, nachgewiesen durch ein abgeschlossenes Hochschulstudium,
2. Erfahrung und
3. Sachkunde, insbesondere im Bereich des Schutzes personenbezogener Daten.
(4) Der Beauftragte für den Datenschutz der Deutschen Welle ist in der Aus-übung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er unterliegt kei-ner Rechts- oder Fachaufsicht. Der Dienstaufsicht des Verwaltungsrates untersteht er nur insoweit, als seine Unabhängigkeit bei der Ausübung seines Amtes dadurch nicht beeinträchtigt wird.
(5) Das Amt des Beauftragten für den Datenschutz der Deutschen Welle kann neben anderen Aufgaben nur wahrgenommen werden, sofern diese mit dem Amt zu vereinbaren sind und die Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle nicht gefährden.
(6) Das Amt des Beauftragten für den Datenschutz der Deutschen Welle endet mit Ablauf der Amtszeit, mit Rücktritt vom Amt oder mit Erreichen des gesetzlichen Renteneintrittsalters. Tarifvertragliche Regelungen bleiben unberührt.
(7) Der Beauftragte für den Datenschutz der Deutschen Welle kann seines Am-tes nur enthoben werden, wenn er
1. eine schwere Verfehlung begangen hat oder
2. die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.
– 60 –
Die Amtsenthebung erfolgt durch Beschluss des Rundfunkrats auf Vorschlag des Verwaltungsrats; der Beauftragte für den Datenschutz der Deutschen Welle ist vor der Entscheidung über die Amtsenthebung zu hören.
(8) Die Deutsche Welle stellt dem Beauftragten für den Datenschutz der Deut-schen Welle die Ausstattung zur Verfügung, die für die Erfüllung seiner Aufgaben und für die Ausübung seiner Befugnisse notwendig ist. Die Deutsche Welle weist die er-forderlichen Mittel jährlich, öffentlich und gesondert im Wirtschaftsplan aus und weist sie dem Beauftragten für den Datenschutz der Deutschen Welle im Haushaltsvollzug zu. Der Beauftragte für den Datenschutz der Deutschen Welle unterliegt der Finanz-kontrolle durch den Verwaltungsrat nur, soweit seine völlige Unabhängigkeit bei der Ausübung seines Amtes dadurch nicht beeinträchtigt wird. Der Beauftragte für den Datenschutz der Deutschen Welle ist in der Wahl seiner Mitarbeiter frei. Diese unter-stehen allein der Leitung des Beauftragten für den Datenschutz der Deutschen Welle.
§ 65
Aufgaben und Befugnisse des Beauftragten für den Datenschutz der Deutschen Wel-le
(1) Der Beauftragte für den Datenschutz der Deutschen Welle beaufsichtigt die Einhaltung der Datenschutzvorschriften, soweit die Deutsche Welle oder ein Hilfsun-ternehmen personenbezogene Daten zu journalistischen Zwecken verarbeitet. Der Beauftragte für den Datenschutz der Deutschen Welle hat die Aufgaben und Befug-nisse entsprechend Artikel 57 und Artikel 58 Absatz 1 bis 5 der Verordnung (EU) 2016/679. Nur soweit die Zuständigkeit des Beauftragten für den Datenschutz der Deutschen Welle nicht gegeben ist, obliegt die Aufsicht über die Einhaltung von Da-tenschutzbestimmungen dem Bundesbeauftragten für den Datenschutz und die In-formationsfreiheit.
(2) Der Beauftragte für den Datenschutz der Deutschen Welle hat bei der Zu-sammenarbeit mit anderen Aufsichtsbehörden den Informantenschutz zu wahren.
(3) Der Beauftragte für den Datenschutz der Deutschen Welle darf gegenüber der Deutschen Welle und Hilfsunternehmen keine Geldbußen verhängen.
(4) Stellt der Beauftragte für den Datenschutz der Deutschen Welle Verstöße gegen Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er dies gegenüber dem Intendanten oder den für das Hilfsunternehmen Verantwortlichen und fordert den Intendanten o-der die für das Hilfsunternehmen Verantwortlichen auf, innerhalb einer angemesse-nen Frist Stellung zu nehmen. Gleichzeitig mit der Beanstandung unterrichtet der Be-auftragte für den Datenschutz der Deutschen Welle den Verwaltungsrat über diese. Der Intendant oder die für das Hilfsunternehmen Verantwortlichen sollen in ihrer Stel-lungnahme gegenüber dem Beauftragten für den Datenschutz der Deutschen Welle die Maßnahmen darstellen, die aufgrund der Beanstandung getroffen worden sind. Gleichzeitig leiten der Intendant oder die für das Hilfsunternehmen Verantwortlichen dem Verwaltungsrat eine Abschrift der Stellungnahme zu.
(5) Von einer Beanstandung kann abgesehen werden, wenn
1. es sich um unerhebliche Mängel handelt oder
2. sichergestellt ist, dass die Mängel unverzüglich behoben werden.
– 61 –
(6) Im Tätigkeitsbericht des Beauftragten für den Datenschutz der Deutschen Welle sind auch Angaben über die Verwendung der Sach- und Personalmittel zu ma-chen, die dem Beauftragten für den Datenschutz der Deutschen Welle zur Verfügung stehen. Dabei sind die Betriebs- und Geschäftsgeheimnisse der Deutschen Welle sowie personenbezogene Daten der Beschäftigten der Deutschen Welle und von Hilfsunternehmen zu schützen. Der Beauftragte für den Datenschutz der Deutschen Welle hat den Tätigkeitsbericht zusätzlich zu den in Artikel 59 Satz 1 der Verordnung (EU) 2016/679 genannten Institutionen auch an die Organe der Deutschen Welle so-wie an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu übermitteln. Die Übermittlung kann in schriftlicher oder elektronischer Form erfolgen. Um den Bericht gemäß Artikel 59 Satz 3 der Verordnung (EU) 2016/679 der Öffent-lichkeit zugänglich zu machen, ist eine Veröffentlichung im Online-Angebot der Deut-schen Welle ausreichend.
§ 66
Der Datenschutzbeauftragte im Sinne der §§ 5 bis 7 des Bundesdatenschutzgesetzes
Neben dem Beauftragten für den Datenschutz der Deutschen Welle als Auf-sichtsbehörde benennt die Deutsche Welle einen Datenschutzbeauftragten im Sinne der §§ 5 bis 7 des Bundesdatenschutzgesetzes. Auf diesen sind die §§ 5 bis 7 des Bundesdatenschutzgesetzes anzuwenden. Der Datenschutzbeauftragte wird von dem Intendanten mit Zustimmung des Verwaltungsrats benannt.“
Artikel 42
Änderung des Wohnraumförderungsgesetzes
§ 32 Absatz 2 Satz 1 des Wohnraumförderungsgesetzes vom 13. September 2001 (BGBl. I S. 2376), das zuletzt durch Artikel 3 des Gesetzes vom 2. Oktober 2015 (BGBl. I S. 1610) geändert worden ist, wird wie folgt gefasst:
„Die zuständige Stelle darf Daten hinsichtlich
1. Wohnungen,
2. ihrer Nutzung,
3. der jeweiligen Mieter und Vermieter,
4. der Belegungsrechte und
5. der höchstzulässigen Mieten
verarbeiten, soweit dies zur Sicherung der Zweckbestimmung der Wohnungen und der sonstigen Bestimmungen der Förderzusage erforderlich ist.“
– 62 –
Artikel 43
Änderung des Zweiten Dopingopfer-Hilfegesetzes
§ 7 Absatz 1 des Zweiten Dopingopfer-Hilfegesetzes vom 28. Juni 2016 (BGBl. I S. 1546), das durch Artikel 3 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2206) geändert worden ist, wird wie folgt gefasst:
„(1) Personenbezogene Daten, einschließlich Angaben über die Gesundheit, dürfen nur verarbeitet werden, sofern dies zur Durchführung dieses Gesetzes erforderlich ist. § 23 des Bundesdatenschutzgesetzes ist nicht anzuwenden. § 76 Absatz 1 des Zehnten Buches Sozialgesetzbuch und § 200 Absatz 2 des Siebten Buches Sozialgesetzbuch gel-ten entsprechend.“
Artikel 44
Änderung des Strafrechtlichen Rehabilitierungsgesetzes
§ 25a des Strafrechtlichen Rehabilitierungsgesetzes in der Fassung der Bekanntma-chung vom 17. Dezember 1999 (BGBl. I S. 2664), das zuletzt durch Artikel 1 des Geset-zes vom 22. Dezember 2014 (BGBl. I S. 2408) geändert worden ist, wird wie folgt geän-dert:
1. In der Überschrift werden die Wörter „Verwendung personenbezogener“ durch die Wörter „Verarbeitung von personenbezogenen“ ersetzt.
2. Die Wörter „verarbeitet und genutzt werden“ werden durch die Wörter „verarbeitet werden“ ersetzt.
Artikel 45
Änderung des Verwaltungsrechtlichen Rehabilitierungsgesetzes
§ 11 des Verwaltungsrechtlichen Rehabilitierungsgesetzes in der Fassung der Be-kanntmachung vom 1. Juli 1997 (BGBl. I S. 1620), das zuletzt durch Artikel 2 des Geset-zes vom 2. Dezember 2010 (BGBl. I S. 1744) geändert worden ist, wird wie folgt geän-dert:
1. In der Überschrift werden die Wörter „Verwendung personenbezogener“ durch die Wörter „Verarbeitung von personenbezogenen“ ersetzt.
2. Die Wörter „verarbeitet und genutzt werden“ werden durch die Wörter „verarbeitet werden“ ersetzt.
– 63 –
Artikel 46
Änderung des Beruflichen Rehabilitierungsgesetzes
§ 19 des Beruflichen Rehabilitierungsgesetzes in der Fassung der Bekanntmachung vom 1. Juli 1997 (BGBl. I S. 1625), das zuletzt durch Artikel 11 des Gesetzes vom 20. November 2015 (BGBl. I S. 2010) geändert worden ist, wird wie folgt geändert:
1. In der Überschrift werden die Wörter „Verwendung personenbezogener“ durch die Wörter „Verarbeitung von personenbezogenen“ ersetzt.
2. Die Wörter „verarbeitet und genutzt werden“ werden durch die Wörter „verarbeitet werden“ ersetzt.
Artikel 47
Änderung des AZR-Gesetzes
Das AZR-Gesetz vom 2. September 1994 (BGBl. I S. 2265), das zuletzt durch Arti-kel 4 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2615) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) In der Angabe zu § 24a werden die Wörter „und Nutzen“ gestrichen.
b) In der Angabe zu Kapitel 4 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
c) In der Angabe zu § 34 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
d) Die Angabe zu Kapitel 5 wird wie folgt gefasst:
„Kapitel 5
Berichtigung von Daten, Löschung von Daten und Einschränkung der Verarbeitung“.
e) Die Angabe zu § 37 wird wie folgt gefasst:
„§ 37 Einschränkung der Verarbeitung“.
f) Der Angabe zu § 38 werden die Wörter „und der betroffenen Person“ angefügt.
2. § 1 Absatz 1 Satz 2 wird wie folgt gefasst:
„Das Bundesverwaltungsamt verarbeitet die gespeicherten Daten im Auftrag und nach Weisung des Bundesamtes für Migration und Flüchtlinge, soweit das Bundes-amt für Migration und Flüchtlinge die Daten nicht selbst verarbeitet.“
3. § 4 wird wie folgt geändert:
– 64 –
a) In Absatz 1 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“, wird das Wort „er“ durch das Wort „sie“ und das Wort „seine“ durch das Wort „ihre“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 3 wird das Wort „personenbezogene“ durch die Wörter „die Verarbei-tung personenbezogener“ ersetzt.
c) In Absatz 3 Satz 2 werden die Wörter „Der Betroffene“ durch die Wörter „Die be-troffene Person“, wird das Wort „seiner“ durch das Wort „ihrer“ und das Wort „seine“ durch das Wort „ihre“ ersetzt.
d) In Absatz 4 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ und die Wörter „seinen Willen“ durch die Wörter „Willen der be-troffenen Person“ ersetzt.
4. § 5 wird wie folgt geändert:
a) In Absatz 1 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ und wird das Wort „sein“ durch das Wort „ihr“ ersetzt.
b) In Absatz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
5. § 8 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden nach dem Wort „Aktualität“ die Wörter „nach Artikel 5 Ab-satz 1 Buchstabe d der Verordnung (EU) 2016/679 des Europäischen Par-laments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
bb) In Satz 2 Nummer 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
b) In Absatz 3 Satz 1 werden nach dem Wort „Aktualität“ die Wörter „nach Artikel 5 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679“ eingefügt.
6. § 9 Absatz 2 wird wie folgt geändert
a) In Satz 1 werden die Wörter „den Betroffenen nach § 34 und für die Unterrichtung über die Berichtigung, Löschung oder Sperrung von Daten nach § 38“ durch die Wörter „die betroffene Person nach Artikel 15 der Verordnung (EU) 2016/679 in Verbindung mit § 34“ ersetzt.
b) In Satz 2 werden nach den Wörtern „Zwecke der“ die Wörter „Mitteilung nach Ar-tikel 19 der Verordnung (EU) 2016/679,“ eingefügt.
7. § 10 wird wie folgt geändert:
– 65 –
a) In Absatz 2 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) In Absatz 3 Satz 3 werden die Wörter „zum Betroffenen“ durch die Wörter „zur betroffenen Person“ ersetzt.
8. § 12 wird wie folgt geändert:
a) In Absatz 1 Satz 2 Nummer 1 werden die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
b) In Absatz 3 werden nach dem Wort „Gruppenauskunft“ die Wörter „die Bundes-beauftragte oder“ und nach dem Wort „Datenschutz“ die Wörter „und die Informa-tionsfreiheit“ eingefügt.
9. In § 13 Absatz 2 Satz 1 werden die Wörter „den Betroffenen nach § 34, für die Unter-richtung über die Berichtigung, Löschung oder Sperrung von Daten“ durch die Wörter „die betroffene Person nach Artikel 15 der Verordnung (EU) 2016/679 in Verbindung mit § 34 sowie für die Mitteilung nach Artikel 19 der Verordnung (EU) 2016/679 und“ ersetzt.
10. In § 15 Absatz 1 Satz 1, § 17 Absatz 2, § 18 Absatz 1 Satz 1 und Absatz 3 sowie § 19 Absatz 2 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
11. In § 20 Absatz 1 Satz 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
12. In § 21 Absatz 3 Satz 3 werden die Wörter „zum Betroffenen“ durch die Wörter „zur betroffenen Person“ ersetzt.
13. § 22 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 in dem Satzteil vor Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt und die Wörter „(§ 10 Abs. 1 des Bundesdatenschutzgesetzes)“ gestrichen.
bb) In Satz 2 werden das Semikolon und die Wörter „§ 10 Abs. 3 Satz 2 des BDSG ist nicht anzuwenden“ gestrichen.
cc) In Satz 3 werden nach dem Wort „hat“ die Wörter „die Bundesbeauftragte oder“ eingefügt, werden nach dem Wort „Datenschutz“ die Wörter „und die Informationsfreiheit“ eingefügt und werden die Wörter „§ 9 des Bundesda-tenschutzgesetzes“ durch die Wörter „den Artikeln 24, 25 und 32 der Verord-nung (EU) 2016/679“ ersetzt.
b) In Absatz 2 Satz 1 werden die Wörter „der Betroffenen“ durch die Wörter „der be-troffenen Personen“ und die Wörter „§ 9 des Bundesdatenschutzgesetzes“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
14. § 24a wird wie folgt geändert:
a) In der Überschrift werden die Wörter „und Nutzen“ gestrichen.
b) Absatz 1 Satz 1 wird wie folgt geändert:
– 66 –
aa) In dem Satzteil vor Nummer 1 werden die Wörter „speichern, verändern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Nummer 3 werden jeweils die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
c) In Absatz 2 Satz 2 werden die Wörter „und nutzen“ gestrichen.
d) Absatz 3 wird wie folgt geändert:
aa) Satz 2 wird aufgehoben.
bb) In dem neuen Satz 2 wird das Wort „Sie“ durch die Wörter „Merkmale, mit denen ein Personenbezug hergestellt werden kann,“ ersetzt.
e) In Absatz 4 werden die Wörter „Speicherung, Veränderung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und die Wörter „und Nutzung“ gestrichen.
f) Absatz 5 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) In dem Satzteil vor Nummer 1 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt und werden die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
bbb) In Nummer 3 werden jeweils die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
bb) In Satz 5 werden die Wörter „und nutzen“ gestrichen.
15. In § 25 Absatz 4 Satz 3 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ und werden die Wörter „dessen Daten“ durch die Wörter „die Daten der betroffenen Person“ ersetzt.
16. § 26 Satz 1 und 2 werden wie folgt gefasst:
„An Behörden von Staaten, die nach § 1 Absatz 6 Satz 2 des Bundesdatenschutzge-setzes als Drittstaaten gelten, und an über- oder zwischenstaatliche Stellen können personenbezogene Daten übermittelt werden. Bei der Übermittlung sind Kapitel V der Verordnung (EU) 2016/679 und § 14 anzuwenden. Für eine Übermittlung an Behör-den von Mitgliedstaaten der Europäischen Union und von Staaten im Sinne des § 1 Absatz 6 Satz 1 des Bundesdatenschutzgesetzes findet auch § 15 entsprechende Anwendung.“
17. § 27 wird wie folgt geändert:
a) In Absatz 1 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
– 67 –
cc) In Satz 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
18. § 31 Absatz 1 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) In Satz 6 werden die Wörter „zum Betroffenen“ durch die Wörter „zur betroffenen Person“ ersetzt.
19. In der Überschrift des Kapitels 4 werden die Wörter „des Betroffenen“ durch die Wör-ter „der betroffenen Person“ ersetzt.
20. § 34 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
b) Absatz 1 wird wie folgt gefasst:
„(1) In dem Antrag auf Auskunft nach Artikel 15 der Verordnung (EU) 2016/679 muss die betroffene Person ihre Grundpersonalien angeben.“
c) In Absatz 2 werden die Wörter „Die Auskunftserteilung unterbleibt“ durch die Wörter „Das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Ver-ordnung (EU) 2016/679 besteht dann nicht“ und die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
d) In Absatz 3 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
e) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) Satz 4 wird wie folgt gefasst:
„Die betroffene Person ist darauf hinzuweisen, dass sie sich an die Bundes-beauftragte oder den Bundesbeauftragten für den Datenschutz und die In-formationsfreiheit wenden kann.“
f) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt und werden nach dem Wort „sein“ die Wörter „oder ihr“, nach dem Wort „Verlangen“ die Wörter „die oder“ und nach dem Wort „Datenschutz“ die Wörter „und die Informationsfreiheit“ eingefügt und werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ er-setzt.
bb) In Satz 2 werden nach dem Wort „Mitteilung“ die Wörter „der oder“ eingefügt und werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
21. In § 34a Absatz 1 Satz 1 wird die Angabe „24“ durch die Angabe „9“ ersetzt.
– 68 –
22. Die Überschrift des Kapitels 5 wird wie folgt gefasst:
„Kapitel 5
Berichtigung von Daten, Löschung von Daten und Einschränkung der Verarbeitung“.
23. In § 35 werden nach den Wörtern „gespeicherten Daten“ die Wörter „nach Artikel 5 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679“ eingefügt.
24. In § 36 Absatz 2 Satz 1 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt, werden die Wörter „seiner Daten“ durch die Wörter „der Da-ten der betroffenen Person“ ersetzt und wird das Wort „er“ durch das Wort „sie“ er-setzt.
25. § 37 wird wie folgt geändert:
a) Die Überschrift des § 37 wird wie folgt gefasst:
㤠37
Einschränkung der Verarbeitung“.
b) Absatz 1 wird wie folgt gefasst:
„(1) Ergänzend zu Artikel 18 der Verordnung (EU) 2016/679 schränkt die Registerbehörde die Verarbeitung personenbezogener Daten ein, wenn die Da-ten nur zu Zwecken der Datensicherung oder Datenschutzkontrolle gespeichert sind.“.
c) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Gesperrte“ durch die Wörter „In der Verarbeitung eingeschränkte“ ersetzt.
bb) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt und werden die Wörter „oder genutzt“ gestrichen.
cc) In Satz 3 werden die Wörter „Nach Absatz 1 Nr. 1 gesperrte“ durch die Wör-ter „In der Verarbeitung eingeschränkte“ ersetzt.
26. In § 38 Absatz 1 Satz 1 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung nach den §§ 35 bis 37“ und werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ersetzt.
27. § 40 Absatz 1 Nummer 2 wird wie folgt geändert:
a) In Buchstabe d werden die Wörter „Sperrung von Daten“ durch die Wörter „Ein-schränkung der Verarbeitung“ und werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
b) In Buchstabe e wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
– 69 –
28. In § 41 Absatz 2 Satz 2 wird das Wort „Der“ durch die Wörter „Die oder der“ ersetzt und werden nach dem Wort „Datenschutz“ die Wörter „und die Informationsfreiheit“ eingefügt.
Artikel 48
Änderung des Asylgesetzes
Das Asylgesetz in der Fassung der Bekanntmachung vom 2. September 2008 (BGBl. I S. 1798), das zuletzt durch Artikel 2 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2780) geändert worden ist, wird wie folgt geändert:
1. § 7 wird wie folgt geändert:
a) Absatz 1 Satz 2 wird wie folgt gefasst:
„Personenbezogene Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Ver-ordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo-gener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung untersagt ist, dürfen erhoben werden, soweit dies im Einzelfall zur Aufga-benerfüllung erforderlich ist.“
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der be-troffenen Person“ ersetzt.
bb) Satz 2 wird wie folgt geändert:
aaa) In dem Satzteil vor Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
bbb) In Nummer 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“, wird das Wort „er“ durch das Wort „sie“ und das Wort „seine“ durch das Wort „ihre“ ersetzt
ccc) In den Nummern 3 und 5 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
cc) In Satz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
2. § 8 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „Verwendungsregelungen“ durch das Wort „Verarbei-tungsregelungen“ ersetzt, und werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person dem“ ersetzt.
b) In Absatz 1a in dem Satzteil vor Nummer 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
– 70 –
c) Absatz 1b wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Informationen“ durch das Wort „Daten“ ersetzt.
bb) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
d) In Absatz 1c Satz 2 wird das Wort „Informationen“ durch die Wörter „personen-bezogenen Daten“ und das Wort „genutzt“ durch das Wort „verarbeitet“ ersetzt.
e) In Absatz 3 Satz 1 bis 3 werden jeweils die Wörter „und genutzt“ gestrichen.
f) In Absatz 4 werden die Wörter „Übermittlung und“ gestrichen, wird das Wort „er-fassten“ durch das Wort „erhobenen“, das Wort „sind“ durch das Wort „ist“ und das Wort „dies“ durch die Wörter „die Verarbeitung dieser Daten“ ersetzt.
g) Absatz 6 wird aufgehoben.
3. § 9 wird wie folgt geändert:
a) In Absatz 2 wird das Wort „Informationen“ durch das Wort „Daten“ ersetzt.
b) In Absatz 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
4. In § 15a Absatz 1 Satz 2 wird die Angabe „bis 8“ durch die Angabe „bis 7“ ersetzt.
5. § 16 wird wie folgt geändert:
a) In Absatz 1 Satz 5 wird das Wort „aufbewahrt“ durch das Wort „gespeichert“ er-setzt.
b) In Absatz 3 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
c) Absatz 3a wird wie folgt geändert:
aa) In Satz 4 wird das Wort „genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 6 Nummer 2 wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
d) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „und Nutzung“ gestrichen.
bb) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
6. In § 44 Absatz 3 Satz 5 werden die Wörter „verändern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
– 71 –
Artikel 49
Änderung des Aufenthaltsgesetzes
Das Aufenthaltsgesetz in der Fassung der Bekanntmachung vom 25. Februar 2008 (BGBl. I S. 162), das zuletzt durch Artikel 1 des Gesetzes vom 12. Juli 2018 (BGBl. I S. 1147) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird in der Angabe zu § 88 das Wort „Verwendungsregelun-gen“ durch das Wort „Verarbeitungsregelungen“ ersetzt.
2. In § 43 Absatz 4 Satz 1 wird nach dem Wort „Kostentragung“ ein Komma eingefügt und werden die Wörter „die erforderliche Datenübermittlung zwischen den beteiligten Stellen und“ und „durch das Bundesamt für Migration und Flüchtlinge“ gestrichen.
3. In § 45a Absatz 3 wird nach dem Wort „Kostentragung“ ein Komma eingefügt und werden die Wörter „die erforderliche Datenübermittlung zwischen den beteiligten Stel-len und“ und „durch das Bundesamt für Migration und Flüchtlinge“ gestrichen.
4. § 48 Absatz 3a Satz 8 wird aufgehoben.
5. In § 48a Absatz 1 wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
6. In § 49b in dem Satzteil vor Nummer 1 werden die Wörter „der Datei nach § 49a Abs. 1“ durch die Wörter „der Fundpapier-Datenbank“ ersetzt.
7. § 56a wird wie folgt geändert:
a) In Absatz 4 in dem Satzteil vor Nummer 1 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
b) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden nach den Wörtern „gegen unbefugte Kenntnisnahme be-sonders zu sichern“ die Wörter „unbeschadet der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
bb) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
cc) In Satz 5 wird das Wort „verwertet“ durch das Wort „verarbeitet“ ersetzt.
c) In Absatz 6 Nummer 2 bis 5 wird jeweils das Wort „weiterzugeben“ durch das Wort „übermitteln“ ersetzt.
8. In § 68 Absatz 4 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
9. § 72a wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
– 72 –
aa) In Satz 1 werden die Wörter „der Datei im Sinne von § 1 Absatz 1 des Anti-terrordateigesetzes (Antiterrordatei)“ durch die Wörter „Antiterrordatei (§ 1 Absatz 1 des Antiterrordateigesetzes)“ ersetzt.
bb) In Satz 3 werden nach den Wörtern „technische und organisatorische Maß-nahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
b) In Absatz 5 Satz 1 werden die Wörter „speichern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) In Absatz 7 werden nach den Wörtern „technische und organisatorische Maß-nahmen“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
10. In § 73 Absatz 3 Satz 3 und Absatz 3a Satz 4 werden jeweils die Wörter „speichern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
11. § 78 wird wie folgt geändert:
a) In Absatz 3 Satz 2 werden nach den Wörtern „Die gespeicherten Daten sind“ die Wörter „durch geeignete technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
b) In den Absätzen 6 und 7 Satz 1 werden jeweils die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) Absatz 8 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ und wird das Wort „dürfen“ durch das Wort „darf“ ersetzt.
bb) In Satz 2 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
12. § 78a wird wie folgt geändert:
a) In Absatz 3 werden die Wörter „speichern, übermitteln und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 4 Satz 3 werden nach dem Wort „Form“ die Wörter „nach Maßgabe der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
13. In § 82 Absatz 5 Satz 2 werden die Wörter „und genutzt“ gestrichen.
14. § 86 Satz 2 wird wie folgt gefasst:
„Personenbezogene Daten, deren Verarbeitung nach Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 untersagt ist, dürfen erhoben werden, soweit dies im Einzelfall zur Aufgabenerfüllung erforderlich ist.“
15. In der Überschrift und in Absatz 1 des § 88 wird das Wort „Verwendungsregelungen“ durch das Wort „Verarbeitungsregelungen“ ersetzt.
16. § 88a wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
– 73 –
aa) In Satz 3 werden die Wörter „an Ausländerbehörden, die Bundesagentur für Arbeit, Träger der Grundsicherung für Arbeitsuchende oder Träger der Leis-tungen nach dem Asylbewerberleistungsgesetz und Staatsangehörigkeits-behörden weitergeben“ durch die Wörter „den Ausländerbehörden, der Bun-desagentur für Arbeit, den Trägern der Grundsicherung für Arbeitsuchende oder den Trägern der Leistungen nach dem Asylbewerberleistungsgesetz und den Staatsangehörigkeitsbehörden übermitteln“ ersetzt und werden nach dem Wort „Eingliederungsvereinbarung“ ein Komma und die Wörter „zur Integration in den Arbeitsmarkt“ eingefügt.
bb) In Satz 4 werden die Wörter „und Nutzung von personenbezogenen“ durch das Wort „dieser“ ersetzt.
b) In Absatz 1a wird jeweils das Wort „Nutzung“ durch das Wort „Verarbeitung“ er-setzt.
c) In Absatz 3 Satz 2 werden die Wörter „an die Ausländerbehörde, die Bunde-sagentur für Arbeit, den Träger der Grundsicherung für Arbeitsuchende und die Staatsangehörigkeitsbehörden weitergeben“ durch die Wörter „den Ausländerbe-hörden, der Bundesagentur für Arbeit, den Trägern der Grundsicherung für Ar-beitsuchende und den Staatsangehörigkeitsbehörden übermitteln“ ersetzt und werden nach dem Wort „Eingliederungsvereinbarung“ ein Komma und die Wörter „zur Integration in den Arbeitsmarkt“ eingefügt.
17. § 89 wird wie folgt geändert:
a) Absatz 1a wird wie folgt geändert:
aa) In Satz 4 wird das Wort „genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 6 Nummer 2 wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
bb) In Satz 2 wird das Wort „überlassen“ durch das Wort „bereitgestellt“ ersetzt.
18. § 89a wird wie folgt geändert:
a) Absatz 5 Satz 2 wird wie folgt gefasst:
„Zulässig ist ein automatisiertes Abrufverfahren. Für das automatisierte Abrufver-fahren gelten die Absätze 5a bis 5c.“
b) Nach Absatz 5 werden die folgenden Absätze 5a bis 5c eingefügt:
„(5a) Die am automatisierten Abrufverfahren beteiligten Stellen gewährleisten,
1. dass im automatisierten Abrufverfahren kontrolliert werden kann, ob ein Ab-ruf zulässig ist, und
2. dass für das automatisierte Abrufverfahren die technischen und organisatori-schen Maßnahmen, die nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 erforderlich sind, schriftlich festgelegt sind.
– 74 –
(5b) Über die Zulassung öffentlicher Stellen zum automatisierten Abrufver-fahren ist die oder der Bundesbeauftragte für den Datenschutz und die Informati-onsfreiheit unter Mitteilung der Festlegungen nach Absatz 5a zu unterrichten.
(5c) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die ab-rufende Stelle. Die speichernde Stelle überprüft durch geeignete Stichprobenver-fahren, ob die Abrufe zulässig sind. Die Überprüfung erfolgt auch anlassbezo-gen.“
c) In Absatz 8 erster Halbsatz werden die Wörter „dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensi-cherheit“ durch die Wörter „geeignete technische und organisatorische Maßnah-men nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
19. In § 90c Absatz 2 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
20. § 91 wird wie folgt geändert:
a) Absatz 1 Satz 1 wird wie folgt gefasst:
„Die Daten über die Ausweisung, Zurückschiebung und Abschiebung sind zehn Jahre nach Ablauf der in § 11 Absatz 2 bezeichneten Frist zu löschen.“
b) Absatz 3 wird aufgehoben.
21. In § 91a Absatz 8 Satz 2 werden die Wörter „den Betroffenen und die Sperrung“ durch die Wörter „die betroffene Person und für die Einschränkung der Verarbeitung“ ersetzt.
22. In § 91b Nummer 3 werden das Komma und die Wörter „wenn bei diesen Stellen ein angemessenes Datenschutzniveau nach § 4b Absatz 3 des Bundesdatenschutzge-setzes gewährleistet ist“ durch die Wörter „nach Maßgabe des Kapitels V der Verord-nung (EU) 2016/679 und den sonstigen allgemeinen datenschutzrechtlichen Vor-schriften“ ersetzt.
23. In § 91d Absatz 4 Satz 4 wird das Wort „nutzen“ durch das Wort „verarbeiten“ ersetzt.
24. In § 91g Absatz 4 Satz 4 wird das Wort „nutzen“ durch das Wort „verarbeiten“ ersetzt.
25. § 99 Absatz 2 wird wie folgt geändert:
a) Satz 1 wird wie folgt geändert:
aa) In den Nummern 1 und 2 werden jeweils die Wörter „eine Datei“ durch die Wörter „ein Dateisystem“ ersetzt.
bb) In Nummer 3 werden die Wörter „eine sonstige zur Erfüllung ihrer Aufgaben erforderliche Datei“ durch die Wörter „ein sonstiges zur Erfüllung ihrer Auf-gaben erforderliches Dateisystem“ ersetzt.
b) In Satz 4 werden nach den Wörtern „richtet sich nach“ die Wörter „der Verord-nung (EU) 2016/679 und nach“ eingefügt.
– 75 –
Artikel 50
Änderung des Visa-Warndateigesetzes
Das Visa-Warndateigesetz vom 22. Dezember 2011 (BGBl. I S. 3037), das zuletzt durch Artikel 84 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 10 wird wie folgt gefasst:
„§ 10 Zweckbindung und weitere Verarbeitung der Daten“.
b) In der Angabe zu § 12 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
2. In § 5 Absatz 1 Satz 2 werden nach dem Wort „Datensicherheit“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
3. § 8 wird wie folgt geändert:
a) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „zum Betroffenen“ durch die Wörter „zur be-troffenen Person“ersetzt.
b) In Absatz 4 Satz 3 werden die Wörter „zum Betroffenen“ durch die Wörter „zur betroffenen Person“ ersetzt.
c) In Absatz 6 werden nach dem Wort „Datensicherheit“ die Wörter „nach den Arti-keln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
4. § 9 wird wie folgt geändert:
a) In Absatz 1 Satz 2 werden die Wörter „§ 9 des Bundesdatenschutzgesetzes“ durch die Wörter „Artikel 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
b) In Absatz 2 werden die Wörter „der Betroffenen“ durch die Wörter „der betroffe-nen Personen“ ersetzt.
c) In Absatz 3 werden nach dem Wort „unterrichtet“ die Wörter „die Bundesbeauf-tragte oder“ eingefügt.
d) In Absatz 4 Satz 1 werden die Wörter „zum Betroffenen“ durch die Wörter „zur betroffenen Person“ ersetzt.
5. § 10 wird wie folgt geändert:
– 76 –
a) Die Überschrift wird wie folgt gefasst:
㤠10
Zweckbindung und weitere Verarbeitung der Daten“.
b) In Satz 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
6. § 12 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
b) Absatz 1 wird wie folgt gefasst:
„(1) In dem Antrag auf Auskunft nach Artikel 15 der Verordnung (EU) 2016/679 muss die betroffene Person ihre Grundpersonalien angeben.“
c) In Absatz 2 werden die Wörter „Die Auskunftserteilung unterbleibt“ durch die Wörter „Das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Ver-ordnung (EU) 2016/679 besteht dann nicht“ und die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
d) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 4 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffe-ne Person“, wird das Wort „er“ durch das Wort „sie“ ersetzt sowie werden nach dem Wort „sich“ die Wörter „die Beauftragte oder“ eingefügt.
e) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“, wird das Wort „sein“ durch das Wort „ihr“ ersetzt und wer-den nach dem Wort „Verlangen“ die Wörter „der oder“ eingefügt.
bb) In Satz 2 werden nach dem Wort „Mitteilung“ die Wörter „der Beauftragten oder“ eingefügt und die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
7. In § 13 Absatz 1 werden nach dem Wort „unverzüglich“ die Wörter „nach Artikel 5 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679“ eingefügt.
8. § 14 wird wie folgt geändert:
a) Die Überschrift des § 14 wird wie folgt gefasst:
㤠14
Einschränkung der Verarbeitung“.
b) Absatz 1 wird wie folgt gefasst:
– 77 –
„(1) Ergänzend zu Artikel 18 der Verordnung (EU) 2016/679 tritt an die Stelle der Löschung die Einschränkung der Verarbeitung, wenn Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Interessen der betroffenen Per-son oder einer betroffenen Organisation beeinträchtigt würden. Das Bundesver-waltungsamt unterrichtet die betroffene Person über die Einschränkung der Ver-arbeitung, es sei denn, die Unterrichtung erweist sich als unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern.“
c) Absatz 2 wird wie folgt geändert:
aa) Satz 1 wird aufgehoben.
bb) Der neue Satz 1 wird wie folgt gefasst:
„Daten, die nur eingeschränkt verarbeitet werden, sind mit einem entspre-chenden Vermerk zu versehen.“
cc) In dem neuen Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt und die Wörter „oder genutzt“ gestrichen.
dd) Satz 3 wird aufgehoben.
9. In § 15 wird in Nummer 7 das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
Artikel 51
Änderung des Gesetzes über den Auswärtigen Dienst
Das Gesetz über den Auswärtigen Dienst vom 30. August 1990 (BGBl. I S. 1842), das zuletzt durch Artikel 2 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt gefasst:
„Inhaltsübersicht
Abschnitt 1
Aufgaben, Stellung und Organisation des Auswärtigen Dienstes
§ 1 Aufgaben
§ 2 Auswärtiger Dienst
§ 3 Auslandsvertretungen
§ 4 Gemeinsame Auslandsvertretungen mit anderen Staaten
– 78 –
Abschnitt 2
Einsatz, Arbeitsweise und Ausstattung des Auswärtigen Dienstes
§ 5 Personaleinsatz
§ 6 Personalreserve
§ 7 Organisation und Ausstattung
§ 8 Inspektion
§ 9 Kurier- und Fernmeldeverbindungen
§ 10 Politisches Archiv
Abschnitt 3
Rechtsverhältnisse der Angehörigen des Auswärtigen Dienstes
§ 11 Rechtsverhältnisse
§ 12 Auswahl und Ausbildung der Beamten
§ 13 Personalaustausch
Abschnitt 4
Rechte und Pflichten der Beamten
§ 14 Besondere Pflichten im Auswärtigen Dienst
§ 15 Fürsorge und Schutz
§ 16 Erkrankungen und Unfälle im Ausland
§ 17 Gesundheitsdienst und soziale Betreuung
§ 18 Urlaub der in das Ausland entsandten Beamten
Abschnitt 5
Fürsorge für Familienangehörige
§ 19 Unterstützung der Familienangehörigen
§ 20 Mitwirkung der Ehegatten an dienstlichen Aufgaben
§ 21 Vorschulische und schulische Erziehung und Ausbildung der Kinder
§ 22 Unfälle und Erkrankungen von Familienangehörigen
§ 23 Reisebeihilfen in besonderen Fällen
§ 24 Berufsausübung der Ehegatten
– 79 –
Abschnitt 6
Fürsorge in Krisenfällen und bei außergewöhnlichen Belastungen
§ 25 Maßnahmen der Krisenfürsorge
§ 26 Schadensausgleich
Abschnitt 7
Wohnungsfürsorge und Umzüge
§ 27 Wohnsitz und Wohnung
§ 28 Auslandsumzüge und Auslandstrennungsgeld
Abschnitt 8
Auslandsbezogene Leistungen
§ 29 Auslandsbesoldung des Auswärtigen Dienstes
§ 30 Fremdsprachenförderung
Abschnitt 9
Rechtsverhältnisse der nichtentsandten Beschäftigten
§ 31 Nichtentsandte Beschäftigte
§ 32 Nichtentsandte Beschäftigte deutscher Staatsangehörigkeit
§ 33 Nichtentsandte Beschäftigte anderer Staatsangehörigkeit
Abschnitt 10
Schlussvorschriften
§ 34 (weggefallen)
§ 35 Allgemeine Verwaltungsvorschriften
§ 36 Übergangsregelung
§ 37 Inkrafttreten“.
2. Die Abschnitte und Paragrafen des Gesetzes erhalten jeweils die Bezeichnung, die sich aus der Inhaltsübersicht ergibt.
3. § 34 wird aufgehoben.
– 80 –
Artikel 52
Änderung des Bundeszentralregistergesetzes
Das Bundeszentralregistergesetz in der Fassung der Bekanntmachung vom 21. Sep-tember 1984 (BGBl. I S. 1229, 1985 I S. 195), das zuletzt durch Artikel 1 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2732) geändert worden ist, wird wie folgt geändert:
1. In § 5 Absatz 1 Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
2. In § 11 Absatz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffe-ne Person“ ersetzt.
3. § 20 Absatz 2 wird wie folgt gefasst:
„(2) Legt die betroffene Person schlüssig dar, dass eine Eintragung unrichtig ist, so hat die Registerbehörde die Eintragung mit einem Sperrvermerk zu versehen, so-lange sich weder die Richtigkeit noch die Unrichtigkeit der Eintragung feststellen lässt. Die betroffene Person kann nur in diesem Fall abweichend von Artikel 18 Ab-satz 1 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung die Einschränkung der Verarbeitung der gespeicherten Daten von der Re-gisterbehörde verlangen. Die Daten dürfen außer zur Prüfung der Richtigkeit und au-ßer in den Fällen des Absatzes 3 Satz 1 ohne Einwilligung der betroffenen Person nicht verarbeitet werden. Absatz 1 Satz 5 bis 8 gilt entsprechend.“
4. In § 21 Satz 1 werden die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
5. § 21a wird wie folgt geändert:
a) In Absatz 1 Nummer 3 wird das Wort „verwendeten“ durch das Wort „verarbeite-ten“ ersetzt.
b) In Absatz 2 Satz 1 werden die Wörter „und zur Datenschutzkontrolle verwendet“ durch ein Komma und die Wörter „zur Datenschutzkontrolle und zur Auskunft aus Protokolldaten entsprechend dem Absatz 3 verarbeitet“ ersetzt.
c) Folgender Absatz 3 wird angefügt:
„(3) Soweit sich das Auskunftsrecht der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 auf Auskünfte bezieht, die einer Stelle nach den §§ 31 und 41 erteilt wurden, entscheidet die Registerbehörde über die Beschrän-kung des Auskunftsrechts nach Maßgabe des Bundesdatenschutzgesetzes im Einvernehmen mit dieser Stelle. Für die Antragsberechtigung und das Verfahren gilt § 30 entsprechend. Wird mit der Protokolldatenauskunft eine Selbstauskunft nach § 42 beantragt, gilt § 42 Satz 2 bis 5 entsprechend.“
6. § 42 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „die Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
– 81 –
b) Die Sätze 1 und 2 werden wie folgt gefasst:
„Das Auskunftsrecht nach Artikel 15 Absatz 1 der Verordnung (EU) 2016/679 wird dadurch gewährleistet, dass der betroffenen Person mitgeteilt wird, welche Eintragungen über sie im Register enthalten sind. Für die Antragsberechtigung und das Verfahren gilt § 30 Absatz 1 entsprechend.“
c) In Satz 7 werden die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
7. § 42a wird wie folgt geändert:
a) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
b) In Absatz 4 Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
c) Absatz 7 wird wie folgt gefasst:
„(7) Ist der Empfänger eine nichtöffentliche Stelle, finden die Vorschriften der Verordnung (EU) 2016/679 auch Anwendung für die nichtautomatisierte Verar-beitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
8. § 57 Absatz 2 Satz 3 wird wie folgt gefasst:
„Die Übermittlung personenbezogener Daten muss im Einklang mit Kapitel V der Verordnung (EU) 2016/679 und den sonstigen allgemeinen datenschutzrechtlichen Vorschriften stehen.“
9. In der Überschrift des § 64 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
10. § 64b wird wie folgt geändert:
a) In Absatz 1 Satz 3 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
b) Absatz 2 Satz 1 wird das Wort „Betroffener“ durch die Wörter „betroffener Perso-nen“ ersetzt.
11. § 69 Absatz 5 wird wie folgt gefasst:
„(5) § 21 Satz 2 in der ab dem 29. Juli 2017 geltenden Fassung ist erst ab dem 1. Mai 2018 anzuwenden. Bis zum 30. April 2018 ist § 21a Satz 2 in der am 20. Novem-ber 2015 geltenden Fassung weiter anzuwenden.“
– 82 –
Artikel 53
Änderung des Siebten Gesetzes zur Änderung des Bundeszent-ralregistergesetzes
Das Siebte Gesetz zur Änderung des Bundeszentralregistergesetzes vom 18. Juli 2017 (BGBl. I S. 2732) wird wie folgt geändert:
1. Artikel 2 Nummer 4 wird aufgehoben.
2. Artikel 3 Nummer 3 Buchstabe b und Nummer 5 wird aufgehoben.
3. In Artikel 6 Absatz 3 werden die Wörter „Artikel 2 Nummer 4, Artikel 3 Nummer 2 Buchstabe b, Nummer 3 Buchstabe b, Nummer 4 Buchstabe b Doppelbuchstabe cc und Nummer 5“ durch die Wörter „Artikel 3 Nummer 2 Buchstabe b und Nummer 4 Buchstabe b Doppelbuchstabe cc“ ersetzt.
Artikel 54
Änderung des Eurojust-Gesetzes
§ 8 Absatz 2 des Eurojust-Gesetzes vom 12. Mai 2004 (BGBl. I S. 902), das zuletzt durch Artikel 166 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert wor-den ist, wird wie folgt geändert:
1. In Satz 1 werden die Wörter „gilt § 19 Abs. 1 Satz 1 bis 3 und Abs. 7 des Bundesda-tenschutzgesetzes entsprechend“ durch die Wörter „gelten § 57 Absatz 1 Satz 1 und 2 Nummer 1 bis 4 und Absatz 3 sowie § 59 Absatz 3 Satz 1 des Bundesdaten-schutzgesetzes entsprechend“ ersetzt.
2. In Satz 3 werden die Wörter „gilt § 20 Abs. 1 bis 4, 6 und 7 des Bundesdatenschutz-gesetzes entsprechend“ durch die Wörter „gilt § 58 Absatz 1 bis 3 des Bundesdaten-schutzgesetzes entsprechend“ ersetzt.
Artikel 55
Änderung des Hohe-See-Zusammenarbeitsgesetzes
In § 7 Satz 1 des Hohe-See-Zusammenarbeitsgesetzes vom 25. November 2015 (BGBl. I S. 2095), das durch Artikel 5 des Gesetzes vom 10. März 2017 (BGBl. I S. 417) geändert worden ist, werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
– 83 –
Artikel 56
Änderung des Justizverwaltungskostengesetzes
In Nummer 1132 der Anlage (Kostenverzeichnis) zum Justizverwaltungskostengesetz vom 23. Juli 2013 (BGBl. I S. 2586, 2655), das zuletzt durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2732) geändert worden ist, wird im Gebührentatbestand die An-gabe „§ 150“ durch die Angabe „§ 150 Absatz 1 Satz 1“ ersetzt.
Artikel 57
Änderung des Prostituiertenschutzgesetzes
Das Prostituiertenschutzgesetz vom 21. Oktober 2016 (BGBl. I S. 2372) wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 34 wie folgt gefasst:
„§ 34 Datenverarbeitung; Datenschutz“.
2. § 34 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠34
Datenverarbeitung; Datenschutz“.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
c) In Absatz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
d) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.
bb) In Satz 2 werden die Wörter „Übermittlung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
e) In Absatz 5 Satz 4 werden die Wörter „oder nutzen“ gestrichen.
f) In Absatz 7 Satz 1 werden die Wörter „erhoben, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
3. In § 35 Absatz 4 werden die Wörter „und genutzt“ gestrichen.
– 84 –
Artikel 58
Änderung des Wertpapierhandelsgesetzes
Das Wertpapierhandelsgesetz in der Fassung der Bekanntmachung vom 9. Septem-ber 1998 (BGBl. I S. 2708), das zuletzt durch Artikel 5 des Gesetzes vom 10. Juli 2018 (BGBl. I S. 1102) geändert worden ist, wird wie folgt geändert:
1. In § 11 Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
2. In § 17 Absatz 4 Satz 3 wird das Wort „verwendet“ durch das Wort „verarbeitet“ er-setzt.
3. § 18 wird wie folgt geändert:
a) In Absatz 2 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
b) Absatz 7 wird wie folgt geändert:
aa) In Satz 5 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 7 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
c) Absatz 10 wird wie folgt geändert:
aa) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) Satz 4 wird wie folgt neu gefasst:
„Die Übermittlung personenbezogener Daten muss im Einklang mit Kapitel V der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und mit den sonstigen allgemeinen daten-schutzrechtlichen Vorschriften stehen.“
4. In § 83 Absatz 3 Satz 3 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
5. In § 110 Absatz 1 Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
– 85 –
Artikel 59
Änderung des Wertpapiererwerbs- und Übernahmegesetzes
Das Wertpapiererwerbs- und Übernahmegesetz vom 20. Dezember 2001 (BGBl. I S. 3822), das zuletzt durch Artikel 9 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist, wird wie folgt geändert:
1. § 7 Absatz 1 Satz 3 wird wie folgt gefasst:
„Bei der Übermittlung personenbezogener Daten ist § 25 Absatz 1 und 3 des Bun-desdatenschutzgesetzes anzuwenden.“
2. § 8 Absatz 2 wird wie folgt geändert:
a) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
b) In Satz 3 werden die Wörter „oder genutzt“ gestrichen.
c) In Satz 5 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
d) Folgender Satz wird angefügt:
„Die Übermittlung personenbezogener Daten an Drittländer und internationale Organisationen muss im Einklang mit Kapitel V der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz na-türlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und mit den sonsti-gen allgemeinen datenschutzrechtlichen Vorschriften stehen.“
3. In § 8 Absatz 3 Satz 1 werden die Wörter „oder genutzt“ gestrichen.
Artikel 60
Änderung des Wertpapierprospektgesetzes
Das Wertpapierprospektgesetz vom 22. Juni 2005 (BGBl. I S. 1698), das zuletzt durch Artikel 1 des Gesetzes vom 10. Juli 2018 (BGBl. I S. 1102) geändert worden ist, wird wie folgt geändert:
1. In § 26 Absatz 7 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
2. In § 28 Absatz 2 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
– 86 –
Artikel 61
Änderung des Börsengesetzes
Das Börsengesetz vom 16. Juli 2007 (BGBl. I S. 1330, 1351), das zuletzt durch Arti-kel 8 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 22a folgende Angabe eingefügt:
„§ 22b Verarbeitung personenbezogener Daten“.
2. § 3b wird wie folgt geändert:
a) In Absatz 2 Satz 1 werden die Wörter „erheben, zu verarbeiten, zu nutzen und zu speichern,“ durch das Wort „verarbeiten,“ ersetzt.
b) In Absatz 3 Satz 1 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ er-setzt.
3. Nach § 22a wird folgender § 22b eingefügt:
㤠22b
Verarbeitung personenbezogener Daten
(1) Die Börsenaufsichtsbehörde, der Börsenrat, die Geschäftsführung, die Han-delsüberwachungsstelle und der Sanktionsausschuss sind befugt, personenbezoge-ne Daten zu verarbeiten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erfor-derlich ist. Verarbeiten die in Satz 1 genannten Stellen personenbezogene Daten im Zuge einer Maßnahme zur Durchführung ihrer Aufgaben nach diesem Gesetz, stehen den betroffenen Personen die Rechte aus den Artikeln 15 bis 18 und 20 bis 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoge-ner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-tenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung nicht zu, soweit die Erfüllung der Rechte der betroffenen Personen
1. die Stabilität und Integrität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums,
2. den Zweck der Maßnahme,
3. ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundes-republik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäi-schen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finan-zielles Interesse, oder
4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefah-ren für die öffentliche Sicherheit
gefährden würde. Unter diesen Voraussetzungen sind die Börsenaufsichtsbehörde, der Börsenrat, die Geschäftsführung, die Handelsüberwachungsstelle und der Sank-
– 87 –
tionsausschuss auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit.
(2) Die jeweils betroffene Person ist über das Ende der Beschränkung in geeig-neter Form zu unterrichten, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
(3) Soweit der betroffenen Person in den Fällen des Absatzes 1 keine Auskunft erteilt wird, ist die Auskunft auf Verlangen der betroffenen Person der nach Landes-recht für den Datenschutz zuständigen Aufsichtsbehörde zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öffentliche Sicherheit des Bundes oder eines Landes oder die Stabilität und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der genannten Stellen zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmen.
(4) Soweit Personen oder Unternehmen personenbezogene Daten zur Erfüllung der Aufgaben nach Absatz 1 an die Börsenaufsichtsbehörde, den Börsenrat, die Ge-schäftsführung, die Handelsüberwachungsstelle oder den Sanktionsausschuss über-mitteln oder diese von dort erhoben werden, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.“
Artikel 62
Änderung des Strafgesetzbuches
Das Strafgesetzbuch in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322), das zuletzt durch Artikel 1 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist, wird wie folgt geändert:
1. In § 203 Absatz 4 Satz 1 werden die Wörter „Beauftragter für den Datenschutz“ durch das Wort „Datenschutzbeauftragter“ ersetzt.
2. § 355 Absatz 1 wird wie folgt gefasst:
„(1) Wer unbefugt
1. personenbezogene Daten eines anderen, die ihm als Amtsträger
a) in einem Verwaltungsverfahren, einem Rechnungsprüfungsverfahren oder einem gerichtlichen Verfahren in Steuersachen,
b) in einem Strafverfahren wegen einer Steuerstraftat oder in einem Bußgeld-verfahren wegen einer Steuerordnungswidrigkeit,
c) aus anderem Anlass durch Mitteilung einer Finanzbehörde oder durch die gesetzlich vorgeschriebene Vorlage eines Steuerbescheids oder einer Be-scheinigung über die bei der Besteuerung getroffenen Feststellungen
bekannt geworden sind, oder
– 88 –
2. ein fremdes Betriebs- oder Geschäftsgeheimnis, das ihm als Amtsträger in einem der in Nummer 1 genannten Verfahren bekannt geworden ist,
offenbart oder verwertet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstra-fe bestraft. Personenbezogene Daten eines anderen oder fremde Betriebs- oder Ge-schäftsgeheimnisse sind dem Täter auch dann als Amtsträger in einem in Satz 1 Nummer 1 genannten Verfahren bekannt geworden, wenn sie sich aus Daten erge-ben, zu denen er Zugang hatte und die er unbefugt abgerufen hat. Informationen, die sich auf identifizierte oder identifizierbare verstorbene natürliche Personen oder Kör-perschaften, rechtsfähige oder nicht rechtsfähige Personenvereinigungen oder Ver-mögensmassen beziehen, stehen personenbezogenen Daten eines anderen gleich.“
Artikel 63
Änderung des Schwarzarbeitsbekämpfungsgesetzes
Das Schwarzarbeitsbekämpfungsgesetz vom 23. Juli 2004 (BGBl. I S. 1842), das zu-letzt durch Artikel 2 Absatz 1 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2739) geändert worden ist, wird wie folgt geändert:
1. In § 2 Absatz 2 Satz 1 Nummer 6 werden die Wörter „verantwortliche Stelle“ durch das Wort „Verantwortliche“ ersetzt.
2. § 5 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 4 wird das Wort „Weiterleitung“ durch das Wort „Übermittlung“ er-setzt.
bb) In Satz 5 wird das Wort „weitergeleitet“ durch das Wort „übermittelt“ ersetzt.
b) In Absatz 3 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
3. In § 6 Absatz 2 Satz 1 wird das Wort „Datenbestände“ durch das Wort „Dateisysteme“ ersetzt.
4. § 6a wird wie folgt geändert:
a) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
cc) Satz 3 wird wie folgt gefasst:
„Bedingungen, die der übermittelnde Staat für die Verarbeitung der Daten stellt, sind zu beachten.“
b) In Absatz 6 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
– 89 –
5. In § 13 Absatz 3 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
6. § 16 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „erforderlichen“ durch die Wörter „erhobenen und übermittelten“ ersetzt.
b) In Absatz 3 werden die Wörter „und genutzt“ gestrichen.
c) In Absatz 4 Satz 2 Nummer 1 werden die Wörter „der verantwortlichen Stelle“ durch die Wörter „des Verantwortlichen“ ersetzt.
Artikel 64
Änderung des Soldatengesetzes
Das Soldatengesetz in der Fassung der Bekanntmachung vom 30. Mai 2005 (BGBl. I S. 1482), das zuletzt durch Artikel 3 des Gesetzes vom 8. Juni 2017 (BGBl. I S. 1570) geändert worden ist, wird wie folgt geändert:
1. § 29 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird durch die folgenden Sätze ersetzt:
„Über jeden Soldaten ist eine Personalakte zu führen. Sie ist vertraulich zu behandeln und durch technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Per-sonen bei der Verarbeitung personenbezogener Daten, zum freien Daten-verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung vor un-befugter Einsichtnahme zu schützen.“
bb) In dem neuen Satz 6 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
cc) Der neue Satz 7 wird aufgehoben.
b) In Absatz 2 werden die Wörter „erheben und verwenden“ durch das Wort „verar-beiten“ ersetzt.
c) Absatz 3 wird wie folgt geändert:
aa) Die Sätze 3 bis 5 werden durch die folgenden Sätze ersetzt:
„Den mit Angelegenheiten der Innenrevision beauftragten Beschäftigten ist Einsicht in die Personalakte zu gewähren, soweit sie die zur Erfüllung ihrer Aufgaben erforderlichen Erkenntnisse nicht durch eine in sonstiger Weise er-teilte Auskunft aus der Personalakte gewinnen können. Jede Einsichtnahme nach Satz 3 ist zu dokumentieren.“
– 90 –
bb) In Satz 10 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
d) Absatz 4 Satz 4 wird wie folgt gefasst:
„Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist; § 27 Absatz 3 Satz 2 und 3 des Bundesdaten-schutzgesetzes gilt entsprechend.“
e) Die Absätze 7 und 8 werden durch folgenden Absatz 7 ersetzt:
„(7) § 110 des Bundesbeamtengesetzes gilt entsprechend.“
f) Absatz 9 wird Absatz 8.
2. In § 58c Absatz 1 Satz 2 und Absatz 3 wird jeweils das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
3. § 78 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 Nummer 2 werden die Wörter „das sie zu dem in Absatz 1 genann-ten Zweck an die Auslandsvertretungen weiterübermittelt,“ gestrichen.
bb) In Satz 2 werden die Wörter „speichern und nutzen“ durch das Wort „verar-beiten“ ersetzt.
cc) In den Sätzen 4 und 6 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „einen Betroffenen“ durch die Wörter „eine be-troffene Person“ ersetzt.
bb) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
4. In § 89 Absatz 2 Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
Artikel 65
Änderung des Soldatinnen- und Soldatengleichstellungsgesetzes
Das Soldatinnen- und Soldatengleichstellungsgesetz vom 27. Dezember 2004 (BGBl. I S. 3822), das durch Artikel 88 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geändert:
1. In § 7 Absatz 2 Satz 2 werden die Wörter „nach § 4a des Bundesdatenschutzgeset-zes“ gestrichen.
2. § 20 Absatz 4 Satz 2 wird aufgehoben.
– 91 –
Artikel 66
Änderung des Zivildienstgesetzes
Das Zivildienstgesetz in der Fassung der Bekanntmachung vom 17. Mai 2005 (BGBl. I S. 1346), das zuletzt durch Artikel 3 Absatz 5 des Gesetzes vom 29. Juni 2015 (BGBl. I S. 1061) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt gefasst:
„Inhaltsübersicht
Abschnitt 1
Aufgaben und Organisation des Zivildienstes
§ 1 Aufgaben des Zivildienstes
§ 1a Aussetzung der Verpflichtung zur Ableistung des Zivildienstes
§ 2 Organisation des Zivildienstes
§ 2a Beirat für den Zivildienst
§ 3 Dienststellen
§ 4 Anerkennung von Beschäftigungsstellen
§ 5 Aufstellung der Dienstgruppen
§ 5a Übertragung von Verwaltungsaufgaben
§ 6 Kosten
Abschnitt 2
Tauglichkeit, Zivildienstausnahmen
§ 7 Tauglichkeit
§ 8 Zivildienstunfähigkeit
§ 9 Ausschluss vom Zivildienst
§ 10 Befreiung vom Zivildienst
§ 11 Zurückstellung vom Zivildienst
§ 12 Befreiungs- und Zurückstellungsanträge
§ 13 Verfahren bei der Zurückstellung
§ 14 Zivilschutz oder Katastrophenschutz
§ 14a Entwicklungsdienst
§ 14b Andere Dienste im Ausland
– 92 –
§ 14c Freiwilliges Jahr
§ 15 Sondervorschriften für Angehörige des Polizeivollzugsdienstes
§ 15a Freies Arbeitsverhältnis
§ 16 Unabkömmlichstellung
§ 17 Entscheidungen über Wehrdienstausnahmen
§ 18 Erstattung von Auslagen und Verdienstausfall
Abschnitt 3
Heranziehung zum Zivildienst
§ 19 Einberufung
§ 19a Verlegung des ständigen Aufenthaltes
§ 20 Vernehmung von Zeuginnen, Zeugen und Sachverständigen
§ 21 Widerruf des Einberufungsbescheides
§ 22 Anrechnung anderen Dienstes
§ 22a Anrechnung von Wehr- und Zivildienst anderer Staaten
§ 23 Zivildienstüberwachung
§ 23a Zuführung
Abschnitt 4
Rechtsstellung der Dienstpflichtigen
§ 24 Dauer des Zivildienstes
§ 25 Beginn des Zivildienstes
§ 25a Einweisung in der Dienststelle
§ 25b Einführung und Begleitung
§ 25c Staatsbürgerliche Rechte
§ 26 Achtung der demokratischen Grundordnung
§ 27 Grundpflichten
§ 28 Verschwiegenheit
§ 29 Politische Betätigung
§ 30 Dienstliche Anordnungen
§ 30a Pflichten der Vorgesetzten
§ 31 Dienstliche Unterkunft; Gemeinschaftsverpflegung
§ 32 Arbeitszeit; innerer Dienstbetrieb
§ 32a Verwendung bei Arbeitskämpfen
– 93 –
§ 33 Nebentätigkeit
§ 34 Haftung
§ 35 Fürsorge; Geld- und Sachbezüge; Reisekosten; Urlaub
§ 36 Personalakten und Beurteilungen
§ 36a (weggefallen)
§ 37 Beteiligung der Dienstleistenden
§ 38 Seelsorge
§ 39 Ärztliche Untersuchung
§ 40 Erhaltung der Gesundheit; ärztliche Eingriffe
§ 41 Anträge und Beschwerden
§ 41a Freiwilliger zusätzlicher Zivildienst
Abschnitt 5
Ende des Zivildienstes; Versorgung
§ 42 Ende des Zivildienstes
§ 43 Entlassung
§ 44 Zeitpunkt der Beendigung des Zivildienstes
§ 45 Ausschluss
§ 45a Mitteilungen in Strafsachen
§ 46 Dienstzeitbescheinigung und Dienstzeugnis
§ 47 Versorgung
§ 47a Versorgung in besonderen Fällen
§ 47b Unfallschutz in besonderen Fällen
§ 48 Heilbehandlung in besonderen Fällen
§ 49 Versorgungskrankengeld in besonderen Fällen
§ 50 Ausgleich für Zivildienstbeschädigungen
§ 51 Durchführung der Versorgung
§ 51a Überleitungsregelungen aus Anlass der Herstellung der Einheit Deutschlands
Abschnitt 6
Straf-, Bußgeld- und Disziplinarvorschriften
§ 52 Eigenmächtige Abwesenheit
§ 53 Dienstflucht
§ 54 Nichtbefolgen von Anordnungen
– 94 –
§ 55 Teilnahme
§ 56 Ausschluss der Geldstrafe
§ 57 Ordnungswidrigkeiten
§ 58 Dienstvergehen
§ 58a Ahndung von Dienstvergehen
§ 58b Verhältnis der Disziplinarmaßnahmen zu Strafen und Ordnungsmaßnahmen
§ 58c Förmliche Anerkennungen
§ 59 Disziplinarmaßnahmen
§ 60 Inhalt und Höhe der Disziplinarmaßnahmen
§ 61 Disziplinarvorgesetzte
§ 62 Ermittlungen
§ 62a Aussetzung des Verfahrens
§ 62b Anhörung
§ 63 Einstellung des Verfahrens
§ 64 Verhängung der Disziplinarmaßnahme
§ 65 Disziplinarverfügung; Beschwerde
§ 66 Anrufung des Verwaltungsgerichts
§ 67 Aufhebung der Disziplinarverfügung
§ 68 Vollstreckung
§ 69 Auskünfte
§ 69a Tilgung
§ 70 Gnadenrecht
Abschnitt 7
Besondere Verfahrensvorschriften
§ 71 Form und Bekanntgabe von Verwaltungsakten; Zustellungen
§ 72 Widerspruch
§ 73 Anfechtung des Einberufungsbescheides
§ 74 Ausschluss der aufschiebenden Wirkung des Widerspruchs und der Klage
§ 75 Rechtsmittel gegen Entscheidungen des Verwaltungsgerichts
§ 76 Rechte des gesetzlichen Vertreters
§ 77 Anwendungsbereich
– 95 –
Abschnitt 8
Schlussvorschriften
§ 78 Entsprechende Anwendung weiterer Rechtsvorschriften
§ 79 Vorschriften für den Spannungs- oder Verteidigungsfall
§ 80 Einschränkung von Grundrechten
§ 81 Übergangsvorschrift aus Anlass des Wehrrechtsänderungsgesetzes 2010
§ 81a Weitere Übergangsvorschrift aus Anlass des Wehrrechtsänderungsgesetzes 2010
§ 82 Übergangsvorschrift aus Anlass des Wehrrechtsänderungsgesetzes 2008
§ 83 Übergangsvorschrift aus Anlass des Gesetzes zur Einführung eines Bundesfreiwilligendienstes“.
2. Die Abschnitte und Paragrafen des Gesetzes erhalten jeweils die Bezeichnung, die sich aus der Inhaltsübersicht ergibt.
3. § 36 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird durch die folgenden Sätze ersetzt:
„Über jeden Dienstpflichtigen ist eine Personalakte zu führen. Sie ist vertrau-lich zu behandeln und durch technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europä-ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da-tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung vor un-befugter Einsichtnahme zu schützen.“
bb) In dem neuen Satz 3 wird das Wort „Dateien“ durch das Wort „Dateisyste-men“ ersetzt.
cc) Der neue Satz 5 wird durch die folgenden Sätze ersetzt:
„Personalaktendaten dürfen ohne Einwilligung des Dienstpflichtigen nur ver-arbeitet werden:
1. für die Durchführung dieses Gesetzes,
2. für die Einleitung und Durchführung eines Verfahrens zur Rücknahme oder zum Widerruf der Anerkennung als Kriegsdienstverweigerer.
Satz 5 gilt auch für die Verarbeitung von Personalaktendaten in Dateisyste-men.“
b) Absatz 5 wird wie folgt geändert:
aa) In Satz 3 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
bb) Satz 4 wird wie folgt gefasst:
– 96 –
„§ 12 Absatz 4 Satz 1 und 2 des Kriegsdienstverweigerungsgesetzes bleibt unberührt.“
c) Die Absätze 6 bis 8 werden durch die folgenden Absätze 6 bis 9 ersetzt:
„(6) Das Recht des Dienstpflichtigen auf Auskunft gemäß Artikel 15 der Ver-ordnung (EU) 2016/679 umfasst auch das Recht auf Einsicht in die vollständige Personalakte. Dies gilt auch nach Beendigung des Zivildienstverhältnisses. So-weit keine dienstlichen Gründe entgegenstehen, werden Kopien oder Ausdrucke aus der Personalakte angefertigt. Dem Dienstpflichtigen ist auf Verlangen ein Ausdruck der Personalaktendaten zu überlassen, die zu seiner Person automati-siert gespeichert sind.
(7) Der Dienstpflichtige hat ein Recht auf Auskunft auch über personenbe-zogene Daten über ihn, die in anderen Akten enthalten sind und für sein Dienst-verhältnis verarbeitet werden, soweit gesetzlich nichts anderes bestimmt ist. Das Recht auf Auskunft umfasst auch das Recht auf Einsicht in die Akten. Keine Ein-sicht wird gewährt, soweit die anderen Akten personenbezogene Daten Dritter oder geheimhaltungsbedürftige nicht personenbezogene Daten enthalten, die mit den Daten des Dienstpflichtigen derart verbunden sind, dass eine Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist.
(8) Bevollmächtigten des Dienstpflichtigen ist Auskunft aus der Personalak-te zu erteilen, soweit dienstliche Gründe nicht entgegenstehen. Das Recht auf Auskunft umfasst auch das Recht auf Einsicht in die vollständige Personalakte. Entsprechendes gilt für Hinterbliebene des Dienstpflichtigen und für Bevollmäch-tigte der Hinterbliebenen, wenn ein berechtigtes Interesse glaubhaft gemacht wird.
(9) Das Bundesministerium für Familie, Senioren, Frauen und Jugend be-stimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates be-darf, nähere Einzelheiten über
1. die Anlage und Führung der Personalakte des Dienstpflichtigen, auch für die Zeit nach der Beendigung des Zivildienstverhältnisses,
2. das Verfahren der Weitergabe, Aufbewahrung und Vernichtung oder den Verbleib der Personalakten einschließlich der Übermittlung und Löschung oder des Verbleibs der in Dateisystemen gespeicherten Informationen sowie die hieran beteiligten Stellen,
3. die Einrichtung und den Betrieb automatisierter Dateisysteme einschließlich der Zugriffsmöglichkeiten auf die gespeicherten Informationen,
4. die Erteilung von Auskünften aus der Personalakte oder aus einem automa-tisierten Dateisystem und
5. die Befugnis von Personen im Sinne des § 203 Absatz 1 Nummer 1 und 2 des Strafgesetzbuches, die im Rahmen der unentgeltlichen ärztlichen Ver-sorgung des Dienstpflichtigen tätig werden, vom Dienstherrn mit der Unter-suchung des Dienstpflichtigen oder mit der Erstellung von Gutachten über ihn beauftragt worden sind, dem Arztgeheimnis unterliegende personenbe-zogene Daten zu offenbaren.“
4. In § 69 Absatz 2 werden die Wörter „oder nutzen“ gestrichen.
– 97 –
Artikel 67
Änderung des Finanzverwaltungsgesetzes
Das Finanzverwaltungsgesetz in der Fassung der Bekanntmachung vom 4. April 2006 (BGBl. I S. 846, 1202), das zuletzt durch Artikel 8 des Gesetzes vom 14. August 2017 (BGBl. I S. 3122) geändert worden ist, wird wie folgt geändert:
1. § 5 Absatz 1 Satz 1 wird wie folgt geändert:
a) Nummer 18 wird wie folgt geändert:
aa) In Buchstabe a werden die Wörter „§ 10 Absatz 2a und 4b des Einkommen-steuergesetzes“ durch die Wörter „§ 10 Absatz 2a, 2b und 4b des Einkom-mensteuergesetzes“ ersetzt.
bb) In Buchstabe e werden die Wörter „§ 10 Absatz 2a und 4b“ durch die Wörter „§ 10 Absatz 2a, 2b und 4b“ ersetzt.
b) In Nummer 36 werden die Wörter „der bei Vorliegen der Einwilligung nach § 10 Absatz 2 Satz 3 des Einkommensteuergesetzes zu übermittelnden Daten“ durch die Wörter „der nach § 10 Absatz 2b des Einkommensteuergesetzes zu übermit-telnden Daten“ ersetzt.
2. In § 20a Absatz 1 Satz 1 wird nach der Angabe „L 314 vom 22.11.2016, S. 72“ die Angabe „; L 127 vom 23.5.2018, S. 2“ eingefügt.
Artikel 68
Änderung des Gesetzes über Steuerstatistiken
§ 7 des Gesetzes über Steuerstatistiken vom 11. Oktober 1995 (BGBl. I S. 1250, 1409), das zuletzt durch Artikel 13 des Gesetzes vom 14. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. Absatz 4 wird wie folgt geändert:
a) In Satz 7 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
b) Satz 8 wird wie folgt gefasst:
„§ 2a Absatz 1 und 5 der Abgabenordnung gilt entsprechend.“
2. Absatz 6a wird wie folgt geändert:
a) In Satz 5 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
b) Satz 6 wird wie folgt gefasst:
„§ 2a Absatz 1 und 5 der Abgabenordnung gilt entsprechend.“
– 98 –
Artikel 69
Änderung des ZIS-Ausführungsgesetzes
§ 3 des ZIS-Ausführungsgesetzes vom 31. März 2004 (BGBl. I S. 482), das zuletzt durch Artikel 8 Absatz 9 des Gesetzes vom 14. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. In Absatz 1 werden die Wörter „in das Zollinformationssystem nach dem Beschluss 2009/917/JI sowie nach der Verordnung (EG) Nr. 515/97 im automatisierten Verfah-ren eingeben“ durch die Wörter „im Zollinformationssystem nach dem Beschluss 2009/917/JI sowie nach der Verordnung (EG) Nr. 515/97 im automatisierten Verfah-ren erfassen“ ersetzt.
2. In Absatz 2 wird das Wort „eingegeben“ durch das Wort „erfasst“ ersetzt.
Artikel 70
Änderung der Abgabenordnung
Die Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866; 2003 I S. 61), die zuletzt durch Artikel 6 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 211 wird wie folgt gefasst:
„§ 211 Pflichten der betroffenen Person“.
b) In der Angabe zu § 364 wird das Wort „Mitteilung“ durch das Wort „Offenlegung“ ersetzt.
2. In § 2a Absatz 3 wird nach der Angabe „L 314 vom 22.11.2016, S. 72“ die Angabe „; L 127 vom 23.5.2018, S. 2“ eingefügt.
3. § 27 wird wie folgt geändert:
a) In Satz 1 und 3 werden die Wörter „der Betroffene“ jeweils durch die Wörter „die betroffene Person“ ersetzt.
b) In Satz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
c) In Satz 4 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffene Person“ ersetzt.
4. § 30 wird wie folgt geändert:
a) In Absatz 4 Nummer 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
– 99 –
b) In Absatz 5 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
c) In Absatz 10 wird die Angabe „5 oder“ durch die Angabe „5 und“ ersetzt.
5. § 31 wird wie folgt geändert:
a) In Absatz 1 Satz 3 und Absatz 3 werden die Wörter „des Betroffenen“ jeweils durch die Wörter „der betroffenen Person“ ersetzt.
b) In Absatz 2 Satz 1 werden die Wörter „des Betroffenen“ jeweils durch die Wörter „der betroffenen Person“ und die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
6. In § 31a Absatz 1 und Absatz 2 Satz 2 werden die Wörter „des Betroffenen“ jeweils durch die Wörter „der betroffenen Person“ ersetzt.
7. In § 31b Absatz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
8. In § 32a Absatz 2 Nummer 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
9. § 32f wird wie folgt geändert:
a) In Absatz 3 Satz 1 werden die Wörter „gilt Absatz 1 Satz 1 und 2 entsprechend“ durch die Wörter „gilt Absatz 2 Satz 1 und 2 entsprechend“ ersetzt.
b) In Absatz 4 werden die Wörter „gilt Absatz 1 entsprechend“ durch die Wörter „gilt Absatz 2 entsprechend“ ersetzt.
10. In § 82 Absatz 3 Satz 3 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffene Person“ ersetzt.
11. § 93 wird wie folgt geändert:
a) Absatz 8 wird wie folgt geändert:
aa) In Satz 1 Nummer 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
bb) In Satz 3 werden die Wörter „der in § 93b Absatz 1 und 1a bezeichneten Da-ten, ausgenommen die Identifikationsnummer nach § 139b,“ durch die Wör-ter „der in § 93b Absatz 1 bezeichneten Daten“ ersetzt.
cc) In den Sätzen 1 und 2 werden jeweils die Wörter „die in § 93b Absatz 1 be-zeichneten Daten“ durch die Wörter „die in § 93b Absatz 1 und 1a bezeich-neten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ er-setzt.
dd) In Satz 3 werden die Wörter „der in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „der in § 93b Absatz 1 und 1a bezeichneten Daten, ausge-nommen die Identifikationsnummer nach § 139b,“ ersetzt.
b) In Absatz 9 Satz 1 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt.
– 100 –
12. § 93a wird wie folgt geändert:
a) In Absatz 1 Satz 1 Nummer 1 Buchstabe b werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ und die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) In Absatz 3 Satz 1 werden die Wörter „der Betroffenen“ durch die Wörter „der be-troffenen Personen“ ersetzt.
13. In § 108 Absatz 2 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
14. In § 119 Absatz 2 Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
15. In § 128 Absatz 2 Satz 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
16. In § 210 Absatz 3 Satz 2 und 4 werden die Wörter „Die Betroffenen“ durch die Wörter „Die betroffenen Personen“ ersetzt.
17. Die Überschrift zu § 211 wird wie folgt gefasst:
㤠211
Pflichten der betroffenen Person“.
18. In § 216 Absatz 5 Satz 1 werden die Wörter „die Betroffenen“ durch die Wörter „die betroffenen Personen“ ersetzt.
19. In § 361 Absatz 2 Satz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
20. § 364 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Mitteilung“ durch das Wort „Offenlegung“ er-setzt.
b) In der Vorschrift wird das Wort „mitzuteilen“ durch das Wort „offenzulegen“ er-setzt.
Artikel 71
Änderung des Einführungsgesetzes zur Abgabenordnung
In Artikel 97 § 26 Absatz 3 Satz 1 und 2 des Einführungsgesetzes zur Abgabenord-nung vom 14. Dezember 1976 (BGBl. I S. 3341; 1977 I S. 667), das zuletzt durch Artikel 3 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2143) geändert worden ist, werden jeweils die Wörter „und Absatz 8“ gestrichen.
– 101 –
Artikel 72
Änderung des Solidaritätszuschlaggesetzes 1995
In § 1 Absatz 2 des Solidaritätszuschlaggesetzes 1995 in der Fassung der Bekannt-machung vom 15. Oktober 2002 (BGBl. I S. 4130), das zuletzt durch Artikel 11 des Ge-setzes vom 20. Dezember 2016 (BGBl. I S. 3000) geändert worden ist, wird folgender Satz angefügt:
„Wird die Einkommen- oder Körperschaftsteuer im Wege des Steuerabzugs erhoben, so dürfen die zu diesem Zweck verarbeiteten personenbezogenen Daten auch für die Erhe-bung des Solidaritätszuschlags im Wege des Steuerabzugs verarbeitet werden.“
Artikel 73
Änderung des Steuerberatungsgesetzes
§ 11 des Steuerberatungsgesetzes in der Fassung der Bekanntmachung vom 4. No-vember 1975 (BGBl. I S. 2735), das zuletzt durch Artikel 8 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist, wird wie folgt gefasst:
㤠11
Verarbeitung personenbezogener Daten
Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. § 83 dieses Geset-zes und § 30 der Abgabenordnung stehen dem nicht entgegen.“
Artikel 74
Änderung des Einkommensteuergesetzes
Das Einkommensteuergesetz in der Fassung der Bekanntmachung vom 8. Oktober 2009 (BGBl. I S. 3366, 3862), das zuletzt durch Artikel 9 des Gesetzes vom 14. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. § 10 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) Satz 2 wird wie folgt gefasst:
„Vorsorgeaufwendungen nach Absatz 1 Nummer 2 Buchstabe b werden nur berücksichtigt, wenn die Beiträge zugunsten eines Vertrags geleistet wurden, der nach § 5a des Altersvorsorgeverträge-Zertifizierungsgesetzes zertifiziert
– 102 –
ist, wobei die Zertifizierung Grundlagenbescheid im Sinne des § 171 Ab-satz 10 der Abgabenordnung ist.“
bb) Satz 3 wird aufgehoben.
b) Absatz 2a wird wie folgt gefasst:
„(2a) Bei Vorsorgeaufwendungen nach Absatz 1 Nummer 2 Buchstabe b hat der Anbieter als mitteilungspflichtige Stelle nach Maßgabe des § 93c der Abga-benordnung und unter Angabe der Vertrags- oder der Versicherungsdaten die Höhe der im jeweiligen Beitragsjahr geleisteten Beiträge und die Zertifizierungs-nummer an die zentrale Stelle (§ 81) zu übermitteln. § 22a Absatz 2 gilt entspre-chend. § 72a Absatz 4 und § 93c Absatz 4 der Abgabenordnung finden keine Anwendung.“
c) Nach Absatz 2a wird folgender Absatz 2b eingefügt:
„(2b) Bei Vorsorgeaufwendungen nach Absatz 1 Nummer 3 hat das Versiche-rungsunternehmen, der Träger der gesetzlichen Kranken- und Pflegeversiche-rung, die Künstlersozialkasse oder eine Einrichtung im Sinne des Absatzes 2 Satz 1 Nummer 2 Buchstabe a Satz 2 als mitteilungspflichtige Stelle nach Maß-gabe des § 93c der Abgabenordnung und unter Angabe der Vertrags- oder der Versicherungsdaten die Höhe der im jeweiligen Beitragsjahr geleisteten und er-statteten Beiträge sowie die in § 93c Absatz 1 Nummer 2 Buchstabe c der Abga-benordnung genannten Daten mit der Maßgabe, dass insoweit als Steuerpflichti-ger die versicherte Person gilt, an die zentrale Stelle (§ 81) zu übermitteln; sind Versicherungsnehmer und versicherte Person nicht identisch, sind zusätzlich die Identifikationsnummer und der Tag der Geburt des Versicherungsnehmers anzu-geben. Satz 1 gilt nicht, soweit diese Daten mit der elektronischen Lohnsteuerbe-scheinigung (§ 41b Absatz 1 Satz 2) oder der Rentenbezugsmitteilung (§ 22a Absatz 1 Satz 1 Nummer 4) zu übermitteln sind. § 22a Absatz 2 gilt entspre-chend. Zuständige Finanzbehörde im Sinne des § 72a Absatz 4 und des § 93c Absatz 4 der Abgabenordnung ist das Bundeszentralamt für Steuern. Wird in den Fällen des § 72a Absatz 4 der Abgabenordnung eine unzutreffende Höhe der Beiträge übermittelt, ist die entgangene Steuer mit 30 Prozent des zu hoch aus-gewiesenen Betrags anzusetzen.“
d) Absatz 6 Satz 2 wird aufgehoben.
2. § 10a wird wie folgt geändert:
a) In Absatz 1 Satz 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
b) Absatz 2a wird aufgehoben.
c) Absatz 5 Satz 1 und 2 werden wie folgt gefasst:
„Nach Maßgabe des § 93c der Abgabenordnung hat der Anbieter als mitteilungs-pflichtige Stelle auch unter Angabe der Vertragsdaten die Höhe der im jeweiligen Beitragsjahr zu berücksichtigenden Altersvorsorgebeiträge sowie die Zulage- o-der die Versicherungsnummer nach § 147 des Sechsten Buches Sozialgesetz-buch an die zentrale Stelle zu übermitteln. § 22a Absatz 2 gilt entsprechend.“
3. In § 22a Absatz 2 Satz 8 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
– 103 –
4. In § 32b Absatz 5 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
5. § 39 wird wie folgt geändert:
a) Absatz 8 wird wie folgt gefasst:
„(8) Ohne Einwilligung des Arbeitnehmers und soweit gesetzlich nichts ande-res zugelassen ist, darf der Arbeitgeber die Lohnsteuerabzugsmerkmale nur für die Einbehaltung der Lohn- und Kirchensteuer verarbeiten.“
b) Absatz 9 wird aufgehoben.
6. § 39e wird wie folgt geändert:
a) Absatz 4 Satz 7 wird wie folgt gefasst:
„Für die Verarbeitung der elektronischen Lohnsteuerabzugsmerkmale gilt § 39 Absatz 8 entsprechend.“
b) Absatz 6 Satz 6 Nummer 1 Satz 3 Halbsatz 1 wird wie folgt gefasst:
„Für die Verarbeitung der Wirtschafts-Identifikationsnummer gilt § 39 Absatz 8 entsprechend;“.
c) In Absatz 10 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
7. § 41b wird wie folgt geändert:
a) In Absatz 2 Satz 2 werden die Wörter „erheben, bilden, verarbeiten oder verwen-den“ durch die Wörter „verarbeiten oder bilden“ ersetzt.
b) Absatz 2a wird aufgehoben.
c) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 2 werden die Wörter „erhoben, abgerufen, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
8. In § 44a Absatz 2a Satz 7 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
9. In § 45d Absatz 2 Satz 1 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
10. § 48b wird wie folgt geändert:
a) Dem Absatz 3 wird folgender Satz angefügt:
„Der Antragsteller ist über die Verarbeitung der in Satz 1 genannten Daten durch das Bundeszentralamt für Steuern gemäß Absatz 6 zu informieren.“
b) Absatz 6 wird wie folgt geändert:
aa) Dem Satz 1 wird folgender Satz vorangestellt:
– 104 –
„Das Bundeszentralamt für Steuern speichert die Daten nach Absatz 3 Satz 1.“
bb) Im neuen Satz 2 werden die Wörter „Das Bundeszentralamt für Steuern“ durch das Wort „Es“ ersetzt.
cc) Der bisherige Satz 2 wird aufgehoben.
11. § 50f Absatz 1 und 2 wird wie folgt gefasst:
„(1) Ordnungswidrig handelt, wer vorsätzlich oder leichtfertig entgegen § 22a Ab-satz 1 Satz 1 dort genannte Daten nicht, nicht vollständig oder nicht rechtzeitig über-mittelt oder eine dort genannte Mitteilung nicht, nicht vollständig oder nicht rechtzeitig macht.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.“
12. § 51a wird wie folgt geändert:
a) Dem Absatz 1 wird folgender Satz angefügt:
„Wird Einkommensteuer im Wege des Steuerabzugs erhoben, dürfen die zu die-sem Zweck verarbeiteten personenbezogenen Daten auch für die Erhebung ei-ner Zuschlagsteuer im Wege des Steuerabzugs verarbeitet werden.“
b) Absatz 2c wird wie folgt geändert:
aa) In Satz 8 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
bb) Satz 10 wird wie folgt gefasst:
„Ohne Einwilligung der oder des Kirchensteuerpflichtigen und soweit gesetz-lich nichts anderes zugelassen ist, dürfen der Kirchensteuerabzugsverpflich-tete und die beteiligte Finanzbehörde die Daten nach Satz 8 nicht für andere Zwecke verarbeiten.“
13. In § 68 Absatz 4 wird das Wort „übermitteln“ durch das Wort „bereitstellen“ ersetzt.
Artikel 75
Änderung des Umsatzsteuergesetzes
Das Umsatzsteuergesetz in der Fassung der Bekanntmachung vom 21. Februar 2005 (BGBl. I S. 386), das zuletzt durch Artikel 11 Absatz 35 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
1. § 18a wird wie folgt geändert:
a) In Absatz 5 Satz 6 wird das Wort „verwendet“ durch das Wort „verarbeitet“ er-setzt.
b) In Absatz 12 Satz 2 Nummer 5 werden das Wort „Erhebung“ sowie die Wörter „und Übermittlung“ gestrichen.
– 105 –
2. In § 27a Absatz 2 Satz 2 werden die Wörter „oder genutzt“ gestrichen.
Artikel 76
Änderung des Rennwett- und Lotteriegesetzes
In § 26 des Rennwett- und Lotteriegesetzes in der im Bundesgesetzblatt Teil III, Glie-derungsnummer 611-14, veröffentlichten bereinigten Fassung, das zuletzt durch Arti-kel 236 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist, wer-den die Wörter „Verhältnisse des Betroffenen“ durch die Wörter „personenbezogenen Daten der betroffenen Person“ ersetzt.
Artikel 77
Änderung der Bundeshaushaltsordnung
§ 95 der Bundeshaushaltsordnung vom 19. August 1969 (BGBl. I S. 1284), die zuletzt durch Artikel 11 des Gesetzes vom 14. August 2017 (BGBl. I S. 3122) geändert worden ist, wird folgender Absatz 3 angefügt:
„(3) Die Vorlage- und Auskunftspflicht nach den Absätzen 1 und 2 umfasst auch elektronisch gespeicherte Daten sowie deren automatisierten Abruf.“
Artikel 78
Änderung des Sanierungs- und Abwicklungsgesetzes
Das Sanierungs- und Abwicklungsgesetz vom 10. Dezember 2014 (BGBl. I S. 2091), das zuletzt durch Artikel 3 des Gesetzes vom 23. Dezember 2016 (BGBl. I S. 3171) ge-ändert worden ist, wird wie folgt geändert:
1. § 4 wird wie folgt geändert:
a) Absatz 2 wird wie folgt gefasst:
„(2) Der Schutz personenbezogener Daten nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und nach dem Bundesdatenschutzgesetz sowie der Schutz des geistigen Eigentums blei-ben unberührt, soweit die Absätze 3 bis 6 nicht etwas anderes regeln.“
b) Nach Absatz 2 werden die folgenden Absätze 3 bis 6 angefügt:
„(3) Werden personenbezogene Daten im Rahmen der Zuständigkeit der Aufsichtsbehörde oder der Abwicklungsbehörde aufgrund dieses Gesetzes oder
– 106 –
aufgrund der Verordnung (EU) 806/2014 verarbeitet, stehen den betroffenen Personen die Rechte nach den Artikeln 15 bis 18 und den Artikeln 20 bis 22 der Verordnung (EU) 2016/679 nicht zu, soweit eine Gefährdung des Erfolgs der je-weiligen Maßnahmen nicht ausgeschlossen werden kann. Unter diesen Voraus-setzungen sind die Aufsichtsbehörde und die Abwicklungsbehörde auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit.
(4) Die Aufsichtsbehörde und die Abwicklungsbehörde informieren die von den Beschränkungen nach Absatz 3 Satz 1 betroffenen Personen in geeigneter Form über das Ende der Beschränkung, sofern dies nicht dem Zweck der Be-schränkung abträglich ist.
(5) Soweit die Aufsichtsbehörde oder die Abwicklungsbehörde der betroffe-nen Person keine Auskunft erteilt, ist die Auskunft auf Verlangen der betroffenen Person dem Bundesbeauftragten für den Datenschutz und die Informationsfrei-heit zu erteilen. Dies gilt nur, soweit die jeweilige Behörde nicht im Einzelfall fest-gestellt hat, dass dadurch die öffentliche Sicherheit des Bundes oder eines Lan-des oder die Finanzmarktstabilität gefährdet würde. Die Mitteilung des Bundes-beauftragten für den Datenschutz und die Informationsfreiheit an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rück-schlüsse auf den Erkenntnisstand der jeweiligen Behörde zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(6) Soweit Institute, Unternehmen oder inländische Unionszweigstellen ge-mäß § 1 personenbezogene Daten für Zwecke nach diesem Gesetz oder nach der Verordnung (EU) 806/2014 übermitteln, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Ver-ordnung (EU) 2016 /679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.“
2. § 8 Absatz 1 wird wie folgt geändert:
a) In Nummer 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
b) Nummer 3 wird wie folgt gefasst:
„3. personenbezogene Daten werden nur unter den Voraussetzungen des Ka-pitels V der Verordnung (EU) 2016/679 übermittelt.“
Artikel 79
Änderung der Wirtschaftsprüferordnung
Die Wirtschaftsprüferordnung in der Fassung der Bekanntmachung vom 5. November 1975 (BGBl. I S. 2803), die zuletzt durch Artikel 9 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 36a wie folgt gefasst:
„§ 36a Untersuchungsgrundsatz, Mitwirkungspflicht, Datenübermittlung“.
2. In der Überschrift des §°36a werden die Wörter „Übermittlung personenbezogener Daten“ durch das Wort „Datenübermittlung“ ersetzt.
– 107 –
3. §°57°Absatz°9 Satz°3 wird wie folgt gefasst:
„Die Übermittlung personenbezogener Daten muss im Einklang stehen mit
1. Kapitel V der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils gel-tenden Fassung und
2. den sonstigen allgemeinen datenschutzrechtlichen Vorschriften.“
Artikel 80
Änderung des Energiestatistikgesetzes
Das Energiestatistikgesetz vom 6. März 2017 (BGBl. I S. 392) wird wie folgt geändert:
1. In § 12 Absatz 1 Nummer 2 werden die Wörter „besondere Arten personenbezogener Daten nach § 3 Absatz 9 des Bundesdatenschutzgesetzes“ durch die Wörter „beson-dere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
2. § 13 wird wie folgt geändert:
a) In Absatz 2 Satz 2 werden die Wörter „gespeichert und genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) In Absatz 3 Satz 2 werden die Wörter „gespeichert, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
Artikel 81
Änderung der Gewerbeordnung
Die Gewerbeordnung in der Fassung der Bekanntmachung vom 22. Februar 1999 (BGBl. I S. 202), die zuletzt durch Artikel 1 des Gesetzes vom 17. Oktober 2017 (BGBl. I S. 3562) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 11 wie folgt gefasst:
„§ 11 Verarbeitung personenbezogener Daten“.
b) Die Angabe zu § 150 wie folgt gefasst:
– 108 –
„§ 150 Auskunft auf Antrag der betroffenen Person“.
2. § 11 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠11
Verarbeitung personenbezogener Daten“.
b) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wie folgt gefasst:
„Die zuständige öffentliche Stelle erhebt personenbezogene Daten des Ge-werbetreibenden und solcher Personen, auf die es für die Entscheidung an-kommt, soweit die Daten zur Beurteilung der Zuverlässigkeit und der übrigen Berufszulassungs- und -ausübungskriterien bei der Durchführung gewerbe-rechtlicher Vorschriften und Verfahren erforderlich sind.“.
bb) In Satz 3 wird das Wort „Verwendungsregelungen“ durch das Wort „Verar-beitungsregelungen“ ersetzt.
c) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der be-troffenen Person“ ersetzt.
bb) Satz 2 wird wie folgt geändert:
aaa) Im Satzteil vor Nummer 1 wird das Wort „seine“ durch das Wort „ihre“ ersetzt.
bbb) In Nummer 2 werden Wörter „beim Betroffenen“ durch die Wörter „bei der betroffenen Person“ ersetzt.
ccc) Im Satzteil nach Nummer 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
d) Absatz 4 wird wie folgt gefasst:
„(4) Die nach den Absätzen 1 und 3 erhobenen Daten dürfen für Zwecke des Absatzes 1 verarbeitet werden.“
e) In Absatz 5 Satz 3 werden die Wörter „nur für den Zweck verarbeiten oder nut-zen“ durch die Wörter „für den Zweck verarbeiten“ ersetzt.
f) In Absatz 6 wird das Wort „Sperren“ durch die Wörter „Einschränken der Verar-beitung“ ersetzt und werden nach dem Wort „gelten“ die Wörter „unbeschadet der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung“ eingefügt.
– 109 –
3. § 11a wird wie folgt geändert:
a) In Absatz 1 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) In Absatz 3 Satz 2 und Absatz 3a Satz 3 werden jeweils die Wörter „dem Be-troffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
c) In Absatz 3b Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
4. § 14 wird wie folgt geändert:
a) In Absatz 4 Satz 1 werden die Wörter „geschützten Verhältnisse“ durch die Wör-ter „geschützten Daten“ ersetzt.
b) In Absatz 5 Satz 1 wird das Wort „verwendet“ durch das Wort „verarbeitet“ er-setzt.
c) In Absatz 8 Satz 1 wird in dem Satzteil vor Nummer 1 das Wort „darf“ durch die Wörter „übermittelt, sofern die empfangsberechtigte Stelle auf die regelmäßige Datenübermittlung nicht verzichtet hat,“ ersetzt und wird das Wort „übermitteln“ gestrichen.
d) Absatz 11 wird wie folgt geändert:
aa) In Satz 1 Nummer 3 wird das Wort „Verwendungszweck“ durch das Wort „Verarbeitungszweck“ ersetzt.
bb) In den Sätzen 2 und 3 wird jeweils das Wort „Verwendungszwecke“ durch das Wort „Verarbeitungszwecke“ ersetzt.
cc) In Satz 6 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
e) In Absatz 12 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
5. In § 31 Absatz 5 Satz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
6. In § 34a Absatz 6 Satz 3 werden die Wörter „Datenerhebung und -verwendung“ durch die Wörter „Datenerhebung und -verarbeitung“ ersetzt.
7. § 150 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠150
Auskunft auf Antrag der betroffenen Person“.
b) Dem Absatz 1 wird folgender Satz angefügt:
„Das Auskunftsrecht nach Artikel 15 der Verordnung (EU) 2016/679 wird dadurch gewährleistet, dass die Registerbehörde der betroffenen Person einen formlosen kostenfreien Auszug über den sie betreffenden Inhalt des Registers erteilt.“
– 110 –
c) In Absatz 4 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
d) Absatz 5 Satz 3 wird aufgehoben.
8. § 150a wird wie folgt geändert:
a) Absatz 5 wird aufgehoben.
b) Die Absätze 6 und 7 werden Absätze 5 und 6.
9. § 150b wird wie folgt geändert:
a) In Absatz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
b) Absatz 5 wird wie folgt gefasst:
„(5) Die Übermittlung für Forschungsarbeiten Dritter im Sinne des Arti-kel 4 Nummer 10 der Verordnung (EU) 2016/679 richtet sich nach den Absätzen 1 bis 4 und bedarf der Zustimmung der Registerbehörde.“
c) In Absatz 6 Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
d) Absatz 9 wird wie folgt gefasst:
„(9) Ist der Empfänger eine nichtöffentliche Stelle, finden die Vorschriften der Verordnung (EU) 2016/679 auch Anwendung für die nichtautomatisierte Verar-beitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
10. Dem § 150c Absatz 1 wird folgender Satz angefügt:
„Die Übermittlung personenbezogener Daten muss im Einklang mit Kapitel V der Verordnung (EU) 2016/679 und den sonstigen allgemeinen datenschutzrechtlichen Vorschriften stehen.“
11. § 150d wird wie folgt geändert:
a) In Absatz 2 Satz 1 werden die Wörter „und zur Datenschutzkontrolle verwendet“ durch ein Komma und die Wörter „zur Datenschutzkontrolle und zur Auskunft aus Protokolldaten entsprechend Absatz 3 verarbeitet“ ersetzt.
b) Folgender Absatz 3 wird angefügt:
„(3) Soweit sich das Auskunftsrecht der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 auf Auskünfte bezieht, die einer Stelle nach den § 150a Absatz 1 Satz 2 oder Absatz 2 erteilt wurden, entscheidet die Registerbe-hörde über die Beschränkung des Auskunftsrechts nach Maßgabe des Bundes-datenschutzgesetzes im Einvernehmen mit dieser Stelle. Für die Antragsberech-tigung und das Verfahren gilt § 150 Absatz 2 bis 4 entsprechend.“
12. In § 151 Absatz 1 in dem Satzteil nach Nummer 2 werden die Wörter „dem Betroffe-nen“ durch die Wörter „der betroffenen Person“ ersetzt.
13. § 153 Absatz 6 wird wie folgt geändert:
– 111 –
a) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) In Satz 2 werden jeweils die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt.
Artikel 82
Änderung des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern
Das Gesetz zur vorläufigen Regelung des Rechts der Industrie- und Handelskam-mern in der im Bundesgesetzblatt Teil III, Gliederungsnummer 701-1, veröffentlichten be-reinigten Fassung, das zuletzt durch Artikel 93 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geändert:
1. § 5 wird wie folgt geändert:
a) Nach Absatz 2 wird folgender neuer Absatz 3 eingefügt:
„(3) Soweit personenbezogene Daten in den Wählerlisten für die Wahl zur Vollversammlung verarbeitet werden, bestehen das Recht auf Auskunft der be-troffenen Person nach Artikel 15 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und die Mitteilungspflicht der verantwortlichen Stelle nach Artikel 19 Satz 2 der Verordnung (EU) 2016/679 in der jeweils gel-tenden Fassung nicht. Das Recht auf Erhalt einer Kopie nach Artikel 15 Absatz 3 der Verordnung (EU) 2016/679 in der jeweils geltenden Fassung wird dadurch er-füllt, dass die betroffene Person Einsicht in die Wählerlisten nehmen kann.“
b) Der bisherige Absatz 3 wird Absatz 4.
2. § 9 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Die Sätze 1 und 2 werden durch die folgenden Sätze ersetzt:
„Die Industrie- und Handelskammern erheben die Daten nach § 14 Absatz 8 Satz 1 Nummer 1 in Verbindung mit Satz 2 der Gewerbeordnung sowie der Rechtsverordnung nach § 14 Absatz 14 der Gewerbeordnung bei den Kam-merzugehörigen oder öffentlichen Stellen, soweit diese Daten ihnen nicht von der zuständigen Behörde übermittelt worden sind. Satz 1 gilt für Daten über angebotene Waren und Dienstleistungen sowie über die Betriebsgrö-ßen entsprechend.“
bb) In Satz 3 werden die Wörter „Auskunftspflichtig sind“ durch die Wörter „Wer-den die Daten bei den Kammerzugehörigen erhoben, sind auskunftspflichtig“ ersetzt.
b) Die Absätze 2 bis 6 werden durch die folgengen Absätze 2 bis 6 ersetzt:
– 112 –
„(2) Die Industrie- und Handelskammern und ihre Gemeinschaftseinrichtun-gen, die öffentliche Stellen im Sinne des § 2 Absatz 2 des Bundesdatenschutz-gesetzes sind, erheben zur Feststellung der Kammerzugehörigkeit und zur Fest-setzung der Beiträge der Kammerzugehörigen Angaben zur Gewerbesteuerver-anlagung, wie sie auch zur Feststellung der Kammerzugehörigkeit im Sinne des § 2 Absatz 1 erforderlich sind, sowie die nach § 3 Absatz 3 erforderlichen Be-messungsgrundlagen bei den Finanzbehörden.
(3) Die Industrie- und Handelskammern und ihre Gemeinschaftseinrichtun-gen, die öffentliche Stellen im Sinne des § 2 Absatz 2 des Bundesdatenschutz-gesetzes sind, verarbeiten die in den Absätzen 1 und 2 genannten Daten, soweit dies zur Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erfor-derlich ist. Andere als die in Satz 1 genannten Daten verarbeiten sie nur, soweit eine andere Rechtsvorschrift dies erlaubt oder anordnet.
(4) Die Industrie- und Handelskammern übermitteln die in Absatz 1 genann-ten Daten an andere Industrie- und Handelskammern auf Ersuchen oder durch automatisiertes Abrufverfahren, soweit dies für die Erfüllung der ihnen nach die-sem Gesetz übertragenen Aufgaben erforderlich ist. Die beteiligten Industrie- und Handelskammern haben zu gewährleisten, dass die Zulässigkeit des Abrufver-fahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:
1. der Anlass und Zweck des Abrufverfahrens,
2. die Stelle, an die übermittelt wird,
3. die Art der zu übermittelnden Daten,
4. die erforderlichen technischen und organisatorischen Maßnahmen nach Maßgabe der datenschutzrechtlichen Vorschriften.
Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die Stelle, an die übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Sie hat zu gewährleisten, dass die Übermittlung per-sonenbezogener und sonstiger Daten zumindest durch geeignete Stichproben-verfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand dieser Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Ge-währleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abru-fes oder der Übermittlung des Gesamtbestandes.
(5) Die Industrie- und Handelskammern dürfen zur Förderung von Ge-schäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken die in Absatz 1 genannten Daten an nicht-öffentliche Stellen übermitteln, sofern der betroffene Kammerzugehörige der Übermittlung nicht widersprochen hat und der Empfänger der Daten sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Auf die Möglichkeit, der Übermittlung der Daten an nicht-öffentliche Stellen zu widersprechen, sind die Kammerzugehörigen unbe-schadet der weiteren Vorgaben der Verordnung (EU) 2016/679 des Europäi-schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenver-kehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung vor der ersten Übermittlung schriftlich oder elektronisch hinzuweisen. Daten über Zugehörige anderer Kam-mern hat die Industrie- und Handelskammer nach Übermittlung an die nicht-
– 113 –
öffentliche Stelle unverzüglich zu löschen, soweit sie nicht zur Erfüllung der ihr nach diesem Gesetz übertragenen Aufgaben erforderlich sind.
(6) An Bewerber und Kandidaten für die Wahl zur Vollversammlung nach § 5 dürfen zum Zweck der Wahlbewerbung durch die Bewerber und der Wahl-werbung durch die Kandidaten Name, Firma, Anschrift, Emailadresse und Wirt-schaftszweig über Wahlberechtigte aus ihrer jeweiligen Wahlgruppe übermittelt werden, sofern der Empfänger der Daten sich gegenüber der übermittelnden öf-fentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Bewerber und Kandidaten haben die übermittelten Daten nach der Durchführung der Wahl unverzüglich zu lö-schen.“
c) Folgender Absatz 7 wird angefügt:
„(7) Für das Verändern, Einschränken der Verarbeitung oder Löschen der nach den Absätzen 1 und 2 erhobenen Daten sowie die Übermittlung der Daten nach Absatz 1 an öffentliche Stellen gelten unbeschadet der Verordnung (EU) 2016/679 die Datenschutzgesetze der Länder.“
Artikel 83
Änderung des Medizinproduktegesetzes
Das Medizinproduktegesetz in der Fassung der Bekanntmachung vom 7. August 2002 (BGBl. I S. 3146), das zuletzt durch Artikel 7 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. In § 13 Absatz 4 Satz 1 werden die Wörter „und Nutzung“ und wird die Angabe „Abs. 1 Satz 1“ gestrichen.
2. § 20 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert;
aaa) Im Satzteil vor der Aufzählung wird die Angabe „Absatz 1 Nr. 2“ durch die Wörter „Absatz 1 Satz 4 Nummer 2“ ersetzt.
bbb) In Nummer 2 wird das Wort „schriftlich“ durch die Wörter „entweder schriftlich oder elektronisch“ ersetzt.
bb) Folgender Satz wird angefügt:
„Im Fall des Widerrufs der nach Absatz 1 Satz 4 Nummer 2 erklärten Einwil-ligung dürfen die gespeicherten Daten weiterhin verarbeitet werden, soweit dies erforderlich ist, um
1. die Ziele der klinischen Prüfung zu verwirklichen oder nicht ernsthaft zu beeinträchtigen oder
2. sicherzustellen, dass schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden.“
– 114 –
b) In Absatz 4 Nummer 4 Satz 3 werden nach dem Wort „schriftliche“ die Wörter „o-der elektronische“ eingefügt.
3. In § 25 Absatz 5 Satz 1, § 29 Absatz 1 Satz 5 und § 30 Absatz 2 Satz 2 werden je-weils die Wörter „und Nutzung“ gestrichen.
4. § 33 Absatz 2 wird wie folgt geändert:
a) In den Nummern 1 und 2 werden jeweils die Wörter „und Nutzung“ gestrichen.
b) In Nummer 3 werden die Wörter „und Nutzung von Daten“ durch die Wörter „von Daten nach § 29 Absatz 1 Satz 5“ ersetzt.
5. § 37 wird wie folgt geändert:
a) In Absatz 7 Satz 4 werden die Wörter „erfasst, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) In Absatz 8 Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
Artikel 84
Änderung der Handwerksordnung
Die Handwerksordnung in der Fassung der Bekanntmachung vom 24. September 1998 (BGBl. I S. 3074; 2006 I S. 2095), die zuletzt durch Artikel 6 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2143) geändert worden ist, wird wie folgt geändert:
1. § 5a wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Öffentliche Stellen, die in Verfahren auf Grund dieses Gesetzes zu beteili-gen sind, werden über das Ergebnis unterrichtet, soweit dies zur Erfüllung ih-rer Aufgaben erforderlich ist.“
bb) In Satz 2 werden nach dem Wort „verarbeiten“ die Wörter „oder nutzen“ ge-strichen.
b) Absatz 2 Satz 1 wird wie folgt geändert:
aa) Das Wort „dürfen“ wird durch das Wort „unterrichten“ ersetzt.
bb) Die Wörter „unterrichten, auch“ werden durch das Wort „und“ ersetzt.
2. § 6 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
– 115 –
bb) In Satz 4 werden die Wörter „der Gewerbetreibende“ durch die Wörter „die betroffene Person“ ersetzt.
cc) In Satz 5 werden die Wörter „die Gewerbetreibenden“ durch die Wörter „die betroffenen Personen unbeschadet der Verordnung (EU) 2016/679 des Eu-ropäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natür-licher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
b) Absatz 4 wird wie folgt gefasst:
„(4) Die Übermittlung von Daten durch öffentliche Stellen an nicht-öffentliche Stellen ist zulässig, wenn der Empfänger sich gegenüber der übermittelnden öf-fentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Öffentliche Stellen dürfen die ihnen übermittelten Daten nur zu dem Zweck verarbeiten, zu dessen Erfüllung sie ihnen übermittelt wurden.“
c) Absatz 5 wird wie folgt gefasst:
„(5) Für das Verändern und das Einschränken der Verarbeitung der Daten in der Handwerksrolle gelten unbeschadet der Verordnung (EU) 2016/679 die Da-tenschutzgesetze der Länder.“
3. § 13 Absatz 5 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „in einer gesonderten Datei“ durch die Wörter „in ei-nem gesonderten Dateisystem“ ersetzt.
b) Satz 2 wird wie folgt gefasst:
„Eine Einzelauskunft aus diesem Dateisystem ist jedem zu erteilen, der ein be-rechtigtes Interesse glaubhaft darlegt, soweit die betroffene Person kein schutz-würdiges Interesse an dem Ausschluß der Übermittlung hat.“
c) In Satz 3 wird die Angabe „§ 6 Abs. 4 bis 6“ durch die Angabe „§ 6 Absatz 3 bis 5“ ersetzt.
4. § 28 wird wie folgt geändert:
a) Die Absätze 2 bis 4 werden wie folgt gefasst:
„(2) Die nach Absatz 1 gespeicherten Daten sind an öffentliche Stellen und an nicht-öffentliche Stellen zu übermitteln, soweit dies zu den in Absatz 1 ge-nannten Zwecken erforderlich ist. Werden Daten an nicht-öffentliche Stellen übermittelt, so ist die jeweils betroffene Person unbeschadet der Verordnung (EU) 2016/679 hiervon zu benachrichtigen, es sei denn, dass sie von der Über-mittlung auf andere Weise Kenntnis erlangt.
(3) Die Übermittlung von Daten durch öffentliche Stellen an nicht-öffentliche Stellen ist zulässig, wenn der jeweilige Empfänger sich gegenüber der übermit-telnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verar-beiten, zu dessen Erfüllung sie ihm übermittelt werden. Öffentliche Stellen dürfen die ihnen übermittelten Daten nur zu dem Zweck verarbeiten, zu dessen Erfül-lung sie ihnen übermittelt wurden.
– 116 –
(4) Für das Verändern und das Einschränken der Verarbeitung der Daten in der Lehrlingsrolle gelten unbeschadet der Verordnung (EU) 2016/679 die Daten-schutzgesetze der Länder.“
b) In Absatz 6 Satz 1 werden die Wörter „in einer gesonderten Datei“ durch die Wör-ter „in einem gesonderten Dateisystem“ ersetzt.
c) Absatz 7 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) Das Wort „darf“ wird durch das Wort „übermittelt“ ersetzt.
bbb) Das Wort „übermitteln“ wird gestrichen.
bb) In Satz 2 werden nach dem Wort „Datensicherheit“ die Wörter „nach den Ar-tikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ eingefügt.
5. § 113 Absatz 2 wird wie folgt geändert:
a) Satz 8 wird durch den folgenden Satz ersetzt:
„Die Handwerkskammern und ihre Gemeinschaftseinrichtungen, die öffentliche Stellen im Sinne des § 2 Absatz 2 des Bundesdatenschutzgesetzes sind, erhe-ben zur Festsetzung der Beiträge die genannten Bemessungsgrundlagen bei den Finanzbehörden.“
b) In Satz 12 werden die Wörter „gespeichert und genutzt“ durch das Wort „verar-beitet“ ersetzt.
Artikel 85
Änderung des Schornsteinfeger-Handwerksgesetzes
Das Schornsteinfeger-Handwerksgesetz vom 26. November 2008 (BGBl. I S. 2242), das durch Artikel 1 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2495) geändert worden ist, wird wie folgt geändert:
1. In § 3 Absatz 1 Satz 5 werden nach dem Wort „Datensicherheit“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei-tung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
2. § 19 Absatz 5 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „dürfen die Daten nach Absatz 1 nur nutzen“ durch die Wörter „verarbeiten die Daten nach Absatz 1“ ersetzt.
b) Satz 2 wird wie folgt gefasst:
– 117 –
„Personenbezogene Daten aus dem Kehrbuch werden an die zuständige Behör-de übermittelt, wenn und soweit dies zur Erfüllung der Aufgaben dieser Behörde nach diesem Gesetz erforderlich ist; im Übrigen werden Daten an öffentliche Stellen übermittelt, soweit das Landesrecht dies zulässt.“
c) Folgender Satz wird angefügt:
„Die Verordnung (EU) 2016/679 bleibt unberührt.“
Artikel 86
Änderung des Nationales-Waffenregister-Gesetzes
Das Nationales-Waffenregister-Gesetz vom 25. Juni 2012 (BGBl. I S. 1366), das zu-letzt durch Artikel 11 Absatz 37 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geän-dert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu Kapitel 2 wird wie folgt gefasst:
„Kapitel 2
Datenübermittlungen, Verantwortliche“.
b) Die Angabe zu § 8 wird wie folgt gefasst:
„§ 8 Datenpflege durch andere als die Verantwortlichen“.
c) Die Angabe zu § 16 wird wie folgt gefasst:
„§ 16 Protokollierungspflicht bei der Datenübermittlung“.
d) Die Angabe zu § 17 wird wie folgt gefasst:
„§ 17 Zweckbindung bei der Datenverarbeitung“.
e) Die Angabe zu § 19 wird wie folgt gefasst:
„§ 19 Auskunftsrecht der betroffenen Person“.
f) Die Angabe zu § 19 wird folgende Angabe eingefügt:
„§ 19a Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung“.
2. In § 1 Absatz 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
3. Die Überschrift von Kapitel 2 wird wie folgt gefasst:
– 118 –
„Kapitel 2
Datenübermittlungen, Verantwortliche“.
4. In § 5 wird das Wort „Änderung“ durch das Wort „Veränderung“ ersetzt.
5. § 8 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠8
Datenpflege durch andere als die Verantwortlichen“.
b) Absatz 5 wird aufgehoben.
6. § 9 wird wie folgt geändert:
a) In Absatz 1 werden die Wörter „als speichernde Stelle“ gestrichen.
b) Absatz 2 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Die protokollierten Daten dürfen nur für die folgenden Zwecke verarbeitet werden:
1. Auskunftserteilung an die betroffene Person,
2. Datenschutzkontrolle und Datensicherung sowie
3. Sicherstellung eines ordnungsgemäßen Betriebes des Registers.“
bb) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
7. In § 10 Nummer 7 werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
8. § 11 wird wie folgt geändert:
a) In Absatz 1 Satz 2 wird das Wort „Verwendungszweck“ durch das Wort „Verar-beitungszweck“ ersetzt.
b) Die Absätze 6 und 7 werden aufgehoben.
9. § 12 wird wie folgt geändert:
a) In Absatz 2 werden die Angaben „, 6 und 7“ gestrichen.
b) Absatz 3 wird aufgehoben.
10. § 13 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
– 119 –
aa) Nummer 1 wird wie folgt gefasst:
„1. die beantragende Stelle mitteilt, dass sie die technischen und organisa-torischen Maßnahmen getroffen hat, die nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016 S. 72, L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung erforderlich sind,“.
bb) In Nummer 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) In Absatz 3 Satz 1 werden nach dem Wort „unterrichtet“ die Wörter „die Bundes-beauftragte oder“ eingefügt.
c) Absatz 4 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Die abrufende Stelle trägt die Verantwortung für die Zulässigkeit des Ab-rufs.“
bb) In Satz 4 wird das Wort „Verwendungszweck“ durch das Wort „Verarbei-tungszweck“ ersetzt.
11. § 14 Satz 2 wird wie folgt gefasst:
„Die abrufende Stelle trägt die Verantwortung für die Zulässigkeit des Abrufs.“
12. § 16 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „auf Ersuchen und im automatisierten Ab-rufverfahren“ gestrichen.
b) In Absatz 1 Satz 1 werden im Satzteil vor Nummer 1 die Wörter „auf Ersuchen nach den §§ 10 bis 12 sowie bei Datenübermittlungen im automatisierten Abruf-verfahren nach den §§ 13 und 14“ gestrichen.
13. § 17 wird wie folgt gefasst:
㤠17
Zweckbindung bei der Datenverarbeitung
Die Verarbeitung personenbezogener Daten durch die ersuchende oder abrufen-de Stelle zu einem anderen Zweck als zu demjenigen, zu dem die Daten übermittelt wurden, ist zulässig, soweit die Daten dieser Stelle auch zu diesem anderen Zwecke hätten übermittelt werden dürfen.“
14. § 19 wird wie folgt gefasst:
– 120 –
㤠19
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat bei der Geltendmachung des Auskunftsrechts nach Artikel 15 der Verordnung (EU) 2016/679 ihre Identität durch Vorlage einer amt-lich beglaubigten Ausweiskopie oder amtlich beglaubigten Unterschrift nachzuweisen. Die Registerbehörde sendet die Ausweiskopie auf Verlangen der betroffenen Person nach Auskunftserteilung an diese zurück. Im Übrigen hat die Registerbehörde die Ausweiskopie spätestens ein Jahr nach Auskunftserteilung zu vernichten.
(2) Über die Beschränkung des Auskunftsrechts nach Maßgabe des Bundesda-tenschutzgesetzes entscheidet die Registerbehörde im Benehmen mit der Waffenbe-hörde, die die Daten übermittelt hat.
(3) Sind gespeicherte Daten unrichtig oder unvollständig, so hat die Registerbe-hörde der zuständigen Waffenbehörde unverzüglich einen entsprechenden Hinweis zu übermitteln.“
15. Nach § 19 wird der folgende § 19a eingefügt:
㤠19a
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personen-bezogener Daten oder der Einschränkung der Verarbeitung
Die Pflicht des Verantwortlichen zur Unterrichtung der betroffenen Person nach Artikel 19 Satz 2 der Verordnung (EU) 2016/679 besteht nicht, sofern das Auskunfts-recht der betroffenen Person beschränkt ist.“
16. § 20 Nummer 5 wird wie folgt gefasst:
„5. zu spezifischen technischen und organisatorischen Maßnahmen nach den Arti-keln 24, 25 und 32 der Verordnung (EU) 2016/679.“
Artikel 87
Änderung des Mess- und Eichgesetzes
§ 11 Absatz 4 des Mess- und Eichgesetzes vom 25. Juli 2013 (BGBl. I S. 2722, 2723), das zuletzt durch Artikel 1 des Gesetzes vom 11. April 2016 (BGBl. I S. 718) geän-dert worden ist, wird wie folgt gefasst:
„(4) Die anerkennende Stelle übermittelt die ihr zugänglichen Informationen auf An-forderung den folgenden Stellen, soweit diese die Informationen für ihre Aufgabenerfül-lung benötigen:
1. der Akkreditierungsstelle,
2. der zuständigen Marktüberwachungsbehörde und
– 121 –
3. den Marktüberwachungsbehörden der anderen Mitgliedstaaten der Europäischen Union, soweit es sich um Informationen im Zusammenhang mit notifizierten Konformi-tätsbewertungsstellen handelt.“
Artikel 88
Änderung des Strahlenschutzgesetzes
Das Strahlenschutzgesetz vom 27. Juni 2017 (BGBl. I S. 1966), das durch Artikel 2 des Gesetzes vom 27. Juni 2017 (BGBl. I S. 1966) geändert worden ist, wird wie folgt geändert:
1. In § 72 Absatz 1 Satz 1 Nummer 3 wird die Angabe „§ 170 Absatz 10“ durch die An-gabe „§ 170 Absatz 9“ ersetzt.
2. In § 76 Absatz 1 Satz 2 Nummer 12 werden die Wörter „und Weitergabe“ durch die Wörter „, Weitergabe und Übermittlung“ ersetzt.
3. § 85 wird wie folgt geändert:
a) In Absatz 3 Satz 2 werden nach dem Wort „Weitergabe“ die Wörter „oder Über-mittlung“ eingefügt.
b) In Absatz 4 Satz 1 Nummer 3 werden nach dem Wort „Weitergabe“ die Wörter „und Übermittlung“ eingefügt.
4. In § 88 Absatz 6 Nummer 3 wird das Wort „Sperrung“ durch die Wörter „Einschrän-kung der Verarbeitung“ ersetzt.
5. § 170 wird wie folgt geändert:
a) Absatz 6 wird aufgehoben.
b) Der bisherige Absatz 7 wird Absatz 6 und wie folgt gefasst:
„(6) Die Übermittlung der im Strahlenschutzregister gespeicherten perso-nenbezogenen Daten zu Zwecken der wissenschaftlichen Forschung (For-schungszwecken) an Dritte ist nur unter den Voraussetzungen der Absätze 7 und 8 zulässig. Soweit die betroffenen Personen nicht in die Veröffentlichung der sie betreffenden Daten eingewilligt haben, dürfen Forschungsergebnisse nur ano-nymisiert veröffentlicht werden. Auch nach dem Tod der betroffenen Personen sind die Bestimmungen des Bundesdatenschutzgesetzes und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung einzuhalten.“
c) Der bisherige Absatz 8 wird Absatz 7 und wie folgt geändert:
aa) In den Sätzen 2 und 3 wird jeweils das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
bb) Satz 4 wird wie folgt gefasst:
– 122 –
„Soweit besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 übermittelt werden, sind angemessene und spe-zifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes zu treffen.“
d) Der bisherige Absatz 9 wird Absatz 8 und wie folgt geändert:
aa) In Satz 1 werden die Wörter „Auskunft über personenbezogene“ durch die Wörter „Übermittlung personenbezogener“, die Wörter „eine schriftliche“ durch das Wort „die“ und das Wort „beizufügen“ durch das Wort „nachzuwei-sen“ ersetzt.
bb) In Satz 2 werden das Wort „Auskunft“ durch das Wort „Übermittlung“, die Wörter „Absatz 8 Satz 2“ durch die Wörter „Absatz 7 Satz 2“, die Wörter „Ab-satz 8 Satz 3“ durch die Wörter „Absatz 7 Satz 3“ und das Wort „Verwen-dung“ durch das Wort „Verarbeitung“ ersetzt.
cc) Satz 3 wird wie folgt gefasst:
„Besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 der Ver-ordnung (EU) 2016/679 dürfen nur für die Forschungsarbeit verarbeitet wer-den, für die sie übermittelt worden sind; die Verarbeitung für andere For-schungsarbeiten oder die Übermittlung richtet sich nach den Sätzen 1 und 2 und bedarf der Zustimmung des Bundesamtes für Strahlenschutz.“
e) Der bisherige Absatz 10 wird Absatz 9.
6. Nach § 182 Absatz 3 Satz 2 wird folgender Satz eingefügt:
„Soweit es sich um personenbezogene Daten handelt, richten sich die Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679.“
7. In § 193 Absatz 2 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
8. § 194 wird wie folgt geändert:
a) Absatz 1 Nummer 1 Buchstabe b wird die Angabe „§ 170 Absatz 10 Nummer 2 oder 3“ durch die Angabe „§ 170 Absatz 9 Nummer 2 oder 3“ ersetzt.
b) Absatz 3 wird folgender Absatz 4 angefügt:
„(4) Für einen Verstoß gegen eine Bestimmung nach Absatz 1 ist, soweit sie dem Schutz personenbezogener Daten dient, abweichend von den Absätzen 1 bis 3 ausschließlich Artikel 83 der Verordnung (EU) 2016/679 anzuwenden.“
Artikel 89
Änderung des Energiewirtschaftsgesetzes
Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 2 Absatz 6 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert wor-den ist, wird wie folgt geändert:
– 123 –
1. In § 13h Absatz 1 Nummer 22 wird das Wort „Datenverantwortlicher“ durch das Wort „Verantwortlicher“ ersetzt.
2. In § 15a Absatz 3 Satz 3 werden die Wörter „zu erheben, zu verarbeiten und zu nut-zen“ durch die Wörter „zu verarbeiten“ ersetzt.
3. In § 68 Absatz 7 werden die Wörter „speichern, verändern und nutzen“ durch das Wort „verarbeiten“ ersetzt.
4. In § 68a Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
5. In § 111c Absatz 3 Satz 1 werden die Wörter „nach Maßgabe des Bundesdaten-schutzgesetzes“ gestrichen.
6. In § 111e Absatz 3 wird wie folgt gefasst:
„(3) Die Bundesnetzagentur muss bei der Errichtung und bei dem Betrieb des Marktstammdatenregisters
1. europarechtliche und nationale Regelungen hinsichtlich der Vertraulichkeit, des Datenschutzes und der Datensicherheit beachten sowie
2. die erforderlichen technischen und organisatorischen Maßnahmen zur Sicherstel-lung von Datenschutz und Datensicherheit ergreifen, und zwar
a) unter Beachtung der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung und
b) unter Berücksichtigung der einschlägigen Standards und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik.“
7. § 111f wird wie folgt geändert:
a) Nummer 6 wird wie folgt geändert:
aa) In dem Satzteil vor der Gliederung werden die Wörter „als Datenverantwortli-cher“ gestrichen und die Wörter „ohne Übermittlung des Datenverantwortli-chen“ durch die Wörter „ohne ihre Übermittlung“ ersetzt.
bb) In Buchstabe a werden die Wörter „des Datenverantwortlichen“ durch die Wörter „des Übermittelnden“ ersetzt.
b) In Nummer 7 Buchstabe c werden die Wörter „Übernahme der Datenverantwor-tung“ durch die Wörter „Übernahme der Verantwortung für die Richtigkeit der Da-ten“ und die Wörter „ohne vorherige Übermittlung des Datenverantwortlichen“ durch die Wörter „ohne ihre vorherige Übermittlung“ ersetzt.
c) In Nummer 10 werden die Wörter „der Datenverantwortlichen“ durch die Wörter „der für die Übermittlung der Daten Verantwortlichen“ ersetzt.
– 124 –
Artikel 90
Änderung des Messstellenbetriebsgesetzes
Das Messstellenbetriebsgesetz vom 29. August 2016 (BGBl. I S. 2034), das durch Ar-tikel 15 des Gesetzes vom 22. Dezember 2016 (BGBl. I S. 3106) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) In der Angabe zu Teil 3 Kapitel 1 werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
b) In der Angabe zu § 49 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
c) In der Angabe zu § 50 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
d) In der Angabe zu § 51 werden die Wörter „Erhebung, Verarbeitung und Nutzung durch“ die Wörter „die Verarbeitung“ ersetzt.
e) In der Angabe zu § 53 wird das Wort „Informationsrechte“ durch das Wort „Aus-kunftsrechte“ ersetzt.
f) In der Angabe zu Teil 3 Kapitel 3 werden die Wörter „und -nutzung“ gestrichen.
g) In der Angabe zu § 62 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
h) In der Angabe zu § 66 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
i) In der Angabe zu § 67 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
j) In der Angabe zu § 68 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
k) In der Angabe zu § 69 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
l) In der Angabe zu § 70 wird das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
2. In § 1 Nummer 6 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
3. § 2 Satz 1 wird wie folgt geändert:
a) In Nummer 11 werden die Wörter „Erhebung, Verarbeitung und Übermittlung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Nummer 16 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
– 125 –
4. In § 19 Absatz 2 werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
5. In § 21 Absatz 1 Nummer 1 werden die Wörter „Erhebung, Verarbeitung, Übermitt-lung, Protokollierung, Speicherung und Löschung“ durch die Wörter „Verarbeitung, insbesondere Erhebung, Übermittlung, Protokollierung, Speicherung und Löschung,“ ersetzt.
6. In § 22 Absatz 1 Nummer 1 werden die Wörter „Erhebung, Zeitstempelung, Verarbei-tung, Übermittlung, Speicherung und Löschung“ durch die Wörter „Verarbeitung, ins-besondere Erhebung, Zeitstempelung, Übermittlung, Speicherung und Löschung,“ er-setzt.
7. In der Überschrift von Teil 3 Kapitel 1 werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
8. § 49 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erhoben, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 2 werden die Wörter „Übermittlung, Nutzung oder Beschlagnahme“ durch das Wort „Verarbeitung“ ersetzt.
c) Absatz 2 wird wie folgt geändert:
aa) Die Wörter „Zum Umgang mit diesen“ werden durch die Wörter „Zur Verar-beitung dieser“ ersetzt.
bb) Nummer 7 wird wie folgt gefasst:
„7. jede Stelle, die über eine Einwilligung des Anschlussnutzers verfügt, die den Anforderungen des Artikels 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung genügt.“
d) Absatz 3 wird wie folgt gefasst:
„(3) Die berechtigten Stellen können die Verarbeitung auch von personenbe-zogenen Daten durch einen Auftragsverarbeiter gemäß Artikel 28 der Verord-nung (EU) 2016/679 durchführen lassen.“
9. § 50 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
– 126 –
b) In Absatz 1 werden in dem Satzteil vor der Nummerierung die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
10. § 51 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch die Wörter „die Verarbeitung“ ersetzt.
b) In Absatz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
c) In Absatz 2 werden nach den Wörtern „des jeweiligen Berechtigten die“ die Wör-ter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
11. In § 52 Absatz 3 wird das Wort „Verwendungszweck“ durch das Wort „Verarbeitungs-zweck“ ersetzt.
12. § 53 wird wie folgt gefasst:
㤠53
Auskunftsrechte des Anschlussnutzers
Unbeschadet des Artikels 15 in Verbindung mit Artikel 12 Absatz 5 der Verord-nung (EU) 2016/679 hat der Messstellenbetreiber dem Anschlussnutzer auf Verlan-gen auch Einsicht in die im elektronischen Speicher- und Verarbeitungsmedium ge-speicherten auslesbaren Daten zu gewähren, soweit diese Daten nicht personenbe-zogen sind.“
13. In § 56 Absatz 2 werden die Wörter „im Sinne von § 3 Absatz 1 des Bundesdaten-schutzgesetzes“ gestrichen.
14. § 59 wird wie folgt gefasst:
㤠59
Weitere Datenerhebung
Unbeschadet des Artikels 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 ist eine Datenerhebung über die §§ 55 bis 58 hinaus mittels einer Messeinrichtung, einer modernen Messeinrichtung, eines Messsystems, eines intelli-genten Messsystems oder mit deren Hilfe nur zulässig, soweit keine personenbezo-genen Daten erhoben werden.“
15. In der Überschrift von Teil 3 Kapitel 3 werden die Wörter „und -nutzung“ gestrichen.
16. In § 62 wird in der Überschrift das Wort „Messwertnutzung“ durch das Wort „Mess-wertverarbeitung“ ersetzt.
17. § 65 wird wie folgt gefasst:
– 127 –
㤠65
Weitere Datenübermittlung
Unbeschadet des Artikels 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 ist eine Datenübermittlung über die §§ 60 bis 64 hinaus nur zulässig, soweit keine personenbezogenen Daten übermittelt werden.“
18. § 66 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Messwertnutzung“ durch das Wort „Messwert-verarbeitung“ ersetzt.
b) In Absatz 1 wird in dem Satzteil vor der Nummerierung das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
19. § 67 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Messwertnutzung“ durch das Wort „Messwert-verarbeitung“ ersetzt.
b) In Absatz 1 wird in dem Satzteil vor der Nummerierung das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
20. § 68 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Messwertnutzung“ durch das Wort „Messwert-verarbeitung“ ersetzt.
b) In Absatz 1 wird in dem Satzteil vor der Nummerierung das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
21. § 69 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Messwertnutzung“ durch das Wort „Messwert-verarbeitung“ ersetzt.
b) In Absatz 1 wird in dem Satzteil vor der Nummerierung das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
22. § 70 wird wie folgt gefasst:
㤠70
Messwertverarbeitung auf Veranlassung des Anschlussnutzers; weiterer Datenaus-tausch
Unbeschadet des Artikels 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 ist eine Messwertverarbeitung oder ein Datenaustausch über die §§ 66 bis 69 hinaus nur zulässig, soweit keine personenbezogenen Daten verarbeitet werden.“
23. § 73 wird wie folgt geändert:
a) Absatz 1 Satz 2 wird wie folgt gefasst:
– 128 –
„Zur Sicherung ihres Entgeltanspruchs darf sie die Bestandsdaten und Verkehrs-daten verarbeiten, die erforderlich sind, um die rechtswidrige Inanspruchnahme nach Satz 1 aufzudecken und zu unterbinden.“
b) In Absatz 2 wird nach den Wörtern „berechtigte Stelle darf für die“ das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt und wird der Angabe „Satz 1“ die Angabe „Absatz 1“ vorangestellt.
24. In § 74 Satz 1 und 2 werden jeweils die Wörter „Erhebung, Verarbeitung und Nut-zung“ durch das Wort „Verarbeitung“ ersetzt.
25. § 75 wird wie folgt geändert:
a) In dem Satzteil vor der Nummerierung werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
b) In Nummer 8 werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt und wird nach den Wörtern „zu Zwe-cken der zulässigen“ das Wort „Datenverwendung“ durch das Wort „Datenverar-beitung“ ersetzt.
c) In Nummer 9 werden die Wörter „zum Datenumgang“ durch die Wörter „zur Da-tenverarbeitung“ ersetzt.
26. In § 77 Absatz 4 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
Artikel 91
Änderung des Kreditwesengesetzes
Das Kreditwesengesetz in der Fassung der Bekanntmachung vom 9. September 1998 (BGBl. I S. 2776), das zuletzt durch Artikel 8 des Gesetzes vom 10. Juli 2018 (BGBl. I S. 1102) geändert worden ist, wird wie folgt geändert:
1. § 7 wird wie folgt geändert:
a) Absatz 4 wird wie folgt geändert:
aa) In Satz 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 7 werden die Wörter „Bestimmungen des Bundesdatenschutzgeset-zes“ durch die Wörter „allgemeinen datenschutzrechtlichen Vorschriften“ er-setzt.
b) Absatz 5 wird wie folgt gefasst:
„(5) Die Bundesanstalt und die Deutsche Bundesbank können gemeinsame Dateisysteme einrichten. Jede der beiden Stellen darf nur die von ihr eingegebe-nen Daten verändern oder löschen oder ihre Verarbeitung einschränken und ist nur hinsichtlich der von ihr eingegebenen Daten Verantwortlicher. Hat eine der beiden Stellen Anhaltspunkte dafür, dass von der anderen Stelle eingegebene Daten unrichtig sind, teilt sie dies der anderen Stelle unverzüglich mit. Bei der Er-richtung eines gemeinsamen Dateisystems ist festzulegen, welche Stelle die technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32
– 129 –
der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung perso-nenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung zu treffen hat. Die nach Satz 4 bestimmte Stelle hat sicherzustellen, dass die Beschäftigten Zugang zu personenbezogenen Daten nur in dem Umfang er-halten, der zur Erfüllung ihrer Aufgaben erforderlich ist.“
2. § 8 Absatz 3 Satz 3 wird wie folgt gefasst:
„Vorbehaltlich der allgemeinen datenschutzrechtlichen Vorschriften, insbesondere des § 25 Absatz 1 des Bundesdatenschutzgesetzes, tauschen die Bundesanstalt und die Deutsche Bundesbank mit den zuständigen Stellen im Europäischen Wirtschafts-raum alle zweckdienlichen und grundlegenden Informationen aus, die für die Durch-führung der Aufsicht erforderlich sind.“
3. § 9 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 2 werden die Wörter „Bestimmungen des Bundesdatenschutzgeset-zes“ durch die Wörter „allgemeinen datenschutzrechtlichen Vorschriften“ er-setzt.
bb) In Satz 7 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 3 werden die Wörter „ist das Bundesdatenschutzgesetzes in der jeweils geltenden Fassung“ durch die Wörter „sind die allgemeinen datenschutzrechtli-chen Vorschriften“ ersetzt.
4. § 10 Absatz 2 wird wie folgt geändert:
a) Satz 1 wird wie folgt gefasst:
„Institute dürfen personenbezogene Daten ihrer Kunden, von Personen, mit de-nen sie Vertragsverhandlungen über Adressenausfallrisiken begründende Ge-schäfte aufnehmen, sowie von Personen, die für die Erfüllung eines Adressen-ausfallrisikos einstehen sollen, für die Zwecke der Verordnung (EU) Nr. 575/2013 und der nach Absatz 1 Satz 1 zu erlassenden Rechtsverordnung verarbeiten, soweit
1. diese Daten unter Zugrundelegung eines wissenschaftlich anerkannten ma-thematisch-statistischen Verfahrens nachweisbar für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sind,
2. diese Daten zum Aufbau und Betrieb, einschließlich der Entwicklung und Weiterentwicklung, von internen Ratingsystemen für die Schätzung von Risi-koparametern des Adressenausfallrisikos des Kreditinstituts oder der Wert-papierfirma erforderlich sind und
3. es sich nicht um Angaben zur Staatsangehörigkeit oder um besondere Kate-gorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 handelt.“
b) In Satz 3 werden die Wörter „erhoben und verwendet“ durch das Wort „verarbei-tet“ ersetzt.
– 130 –
c) Satz 4 wird wie folgt geändert:
aa) In den Nummern 1 und 2 werden die Wörter „des Betroffenen“ jeweils durch die Wörter „der betroffenen Person“ ersetzt.
bb) In Nummer 3 werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
cc) In Nummer 4 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
d) In Satz 5 Nummer 1 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der betroffenen Person“ ersetzt.
5. § 14 wird wie folgt geändert:
a) In Absatz 2 Satz 12 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Absatz 4 werden die Wörter „des § 4b des Bundesdatenschutzgesetzes“ durch die Wörter „der allgemeinen datenschutzrechtlichen Vorschriften“ ersetzt.
6. § 24c wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „eine Datei zu führen, in der“ durch die Wörter „ein Dateisystem zu führen, in dem“ ersetzt.
bb) In Satz 5 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ ersetzt.
b) In Absatz 2 werden jeweils die Wörter „der Datei“ durch die Wörter „dem Dateisy-stem“ ersetzt.
c) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ ersetzt.
bb) In Satz 2 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
cc) In Satz 5 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ und die Wörter „des § 4b des Bundesdatenschutzgesetzes“ durch die Wörter „der allgemeinen datenschutzrechtlichen Vorschriften“ ersetzt.
7. In § 25i Absatz 3 Satz 1 wird das Wort „Dateien“ durch das Wort „Dateisysteme“ er-setzt.
8. § 56 Absatz 2 wird wie folgt geändert:
a) Nummer 9 wird wie folgt gefasst:
„9. entgegen § 24c Absatz 1 Satz 1 oder § 25i Absatz 3 Satz 1 ein Dateisystem nicht, nicht richtig oder nicht vollständig führt,“.
b) Nummer 11e wird aufgehoben.
– 131 –
9. In § 64h Absatz 5 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
Artikel 92
Änderung des Anlegerentschädigungsgesetzes
Das Anlegerentschädigungsgesetz vom 16. Juli 1998 (BGBl. I S. 1842), das zuletzt durch Artikel 2 des Gesetzes vom 28. Mai 2015 (BGBl. I S. 786) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 13 folgende Angabe eingefügt:
„13a Verarbeitung personenbezogener Daten“.
2. Nach § 13 wird folgender § 13a eingefügt:
㤠13a
Verarbeitung personenbezogener Daten
(1) Die Entschädigungseinrichtung ist befugt, personenbezogene Daten zu ver-arbeiten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Verar-beitet die Entschädigungseinrichtung im Zuge einer Maßnahme zur Durchführung ih-rer Aufgaben nach diesem Gesetz personenbezogene Daten, stehen den betroffenen Personen die Rechte aus den Artikeln 15 bis 18 und 20 bis 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung nicht zu, soweit die Erfül-lung der Rechte der betroffenen Personen
1. die Stabilität und Integrität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums,
2. den Zweck der Maßnahme,
3. ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundes-republik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäi-schen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finan-zielles Interesse, oder
4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefah-ren für die öffentliche Sicherheit
gefährden würde. Unter diesen Voraussetzungen ist die Entschädigungseinrichtung auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit.
(2) Die jeweils betroffene Person ist über das Ende der Beschränkung in geeig-neter Form zu unterrichten, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
– 132 –
(3) Soweit die Entschädigungseinrichtung der betroffenen Person in den Fällen des Absatzes 1 Satz 1 und 2 keine Auskunft erteilt, ist die Auskunft auf Verlangen der betroffenen Person dem Bundesbeauftragten für den Datenschutz und die Informati-onsfreiheit zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öf-fentliche Sicherheit des Bundes oder eines Landes oder die Stabilität und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der Entschädigungseinrichtung zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(4) Soweit Personen und Unternehmen personenbezogene Daten zur Erfüllung der Aufgaben nach Absatz 1 an die Entschädigungseinrichtung übermitteln oder die-se von dort erhoben werden, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.“
Artikel 93
Änderung des Finanzdienstleistungsaufsichtsgesetzes
Das Finanzdienstleistungsaufsichtsgesetz vom 22. April 2002 (BGBl. I S. 1310), das zuletzt durch Artikel 14 Absatz 3 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2446) geän-dert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird nach der Angabe zu § 4d folgende Angabe eingefügt:
„§ 4e Vorschriften über die Verarbeitung personenbezogener Daten“.
2. § 4d wird wie folgt geändert:
a) Absatz 2 wird aufgehoben.
b) In Absatz 3 Satz 1 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ er-setzt.
3. Nach § 4d wird folgender § 4e eingefügt:
㤠4e
Vorschriften über die Verarbeitung personenbezogener Daten
(1) Die Bundesanstalt ist befugt, personenbezogene Daten zu verarbeiteten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Verarbeitet die Bundesanstalt im Zuge einer aufsichtsrechtlichen Maßnahme im Rahmen ihrer ge-setzlichen Zuständigkeit nach den maßgeblichen Aufsichtsgesetzen personenbezo-gene Daten, stehen den betroffenen Personen die Rechte nach den Artikeln 15 bis 18 und 20 bis 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung
– 133 –
nicht zu, soweit die Erfüllung dieser Rechte der betroffenen Personen Folgendes ge-fährden würde:
1. die Stabilität und Integrität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums,
2. den Zweck der Maßnahme,
3. ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundes-republik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäi-schen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finan-zielles Interesse, oder
4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefah-ren für die öffentliche Sicherheit.
Unter diesen Voraussetzungen ist die Bundesanstalt auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit. Die Sätze 2 und 3 gelten entsprechend für Personen und Einrichtungen, derer sich die Bundes-anstalt bei der Durchführung ihrer Aufgaben bedient, sowie für die Deutsche Bundes-bank. § 4 Absatz 3 bis 5 des Sanierungs- und Abwicklungsgesetzes bleibt unberührt.
(2) Die jeweils betroffene Person ist über das Ende der Beschränkung in geeig-neter Form zu unterrichten, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
(3) Wird der betroffenen Person in den Fällen des Absatzes 1 Satz 2 bis 4 keine Auskunft erteilt, so ist auf ihr Verlangen dem Bundesbeauftragten für den Daten-schutz und die Informationsfreiheit die Auskunft zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öffentliche Sicherheit des Bundes oder eines Lan-des oder die Stabilität und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung der oder des Bundesbeauftragen an die betroffene Person über das Ergebnis der da-tenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der Bundesanstalt, der Personen und Einrichtungen, deren sich die Bundesanstalt bei der Durchführung ihrer Aufgaben bedient, sowie der Deutschen Bundesbank zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmen.
(4) Soweit Personen, Institute und Unternehmen personenbezogene Daten für aufsichtsrechtliche Zwecke an die Bundesanstalt, die Personen und Einrichtungen, deren sich die Bundesanstalt bei der Durchführung ihrer Aufgaben bedient, oder die Deutsche Bundesbank übermitteln oder diese von dort von Personen, Instituten und Unternehmen erhoben werden, bestehen die Pflichten dieser Personen, Institute und Unternehmen zur Information der betroffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.“
Artikel 94
Änderung des Zahlungsdiensteaufsichtsgesetzes
Das Zahlungsdiensteaufsichtsgesetz vom 17. Juli 2017 (BGBl. I S. 2446) wird wie folgt geändert:
– 134 –
1. § 27 wird wie folgt geändert:
a) In Absatz 1 Satz 2 Nummer 5 werden die Wörter „erheben und verwenden“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 2 Satz 2 werden die Wörter „der Datei“ durch die Wörter „dem Dateisy-stem“ ersetzt.
2. In § 59 Absatz 2 werden die Wörter „abrufen, verarbeiten und speichern“ durch das Wort „verarbeiten“ ersetzt.
3. § 64 Absatz 3 wird wie folgt geändert:
a) Nummer 7 wird wie folgt gefasst:
„7. entgegen § 27 Absatz 2 Satz 1 in Verbindung mit § 24c Absatz 1 Satz 1 oder § 25i Absatz 3 Satz 1 des Kreditwesengesetzes ein Dateisystem nicht, nicht rich-tig oder nicht vollständig führt,“.
b) Nummer 10 wird aufgehoben.
Artikel 95
Änderung des Einlagensicherungsgesetzes
Das Einlagensicherungsgesetz vom 28. Mai 2015 (BGBl. I S. 786), das zuletzt durch Artikel 24 Absatz 36 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 21 wie folgt gefasst:
„§ 21 Verschwiegenheitspflicht und Datenschutz“.
2. § 21 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠21
Verschwiegenheitspflicht und Datenschutz“.
b) In Absatz 3 Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ und die Wörter „Vorschriften des Bundesdaten-schutzgesetzes“ durch die Wörter „allgemeinen datenschutzrechtlichen Vorschrif-ten“ ersetzt.
c) Die folgenden Absätze 4 bis 7 werden angefügt:
„(4) Die Einlagensicherungssysteme sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Verarbeiten die Einlagensicherungssysteme personenbezogene Daten im Zuge einer Maßnahme zur Durchführung ihrer Aufgaben nach diesem Gesetz, stehen den betroffenen Personen die Rechte aus den Artikeln 15 bis 18 und 20
– 135 –
bis 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Ra-tes vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils gel-tenden Fassung nicht zu, soweit die Erfüllung der Rechte der betroffenen Perso-nen
1. die Stabilität und Integrität der Finanzmärkte der Bundesrepublik Deutsch-land oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirt-schaftsraums,
2. den Zweck der Maßnahme,
3. ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finanzielles Interesse, oder
4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit
gefährden würde. Unter diesen Voraussetzungen sind die Einlagensicherungs-systeme auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit.
(5) Die jeweils betroffene Person ist über das Ende der Beschränkung in geeigneter Form zu unterrichten, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
(6) Soweit das Einlagensicherungssystem der betroffenen Person in den Fällen des Absatzes 4 keine Auskunft erteilt, ist die Auskunft auf Verlangen der betroffenen Person dem Bundesbeauftragten für den Datenschutz und die Infor-mationsfreiheit zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öffentliche Sicherheit des Bundes oder eines Landes oder die Stabili-tät und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung des Bundes-beauftragten für den Datenschutz und die Informationsfreiheit an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rück-schlüsse auf den Erkenntnisstand der Einlagensicherungssysteme zulassen, so-fern diese nicht einer weitergehenden Auskunft zustimmen.
(7) Soweit Personen und Unternehmen personenbezogene Daten zur Erfül-lung der Aufgaben nach Absatz 4 an die Einlagensicherungssysteme übermitteln oder diese von dort erhoben werden, bestehen die Pflicht zur Information der be-troffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verord-nung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.“
– 136 –
Artikel 96
Änderung des Kapitalanlagegesetzbuches
Das Kapitalanlagegesetzbuch vom 4. Juli 2013 (BGBl. I S. 1981), das zuletzt durch Artikel 9 des Gesetzes vom 10. Juli 2018 (BGBl. I S. 1102) geändert worden ist, wird wie folgt geändert:
1. § 9 wird wie folgt geändert:
a) In Absatz 1 Satz 3 werden die Wörter „gilt § 4b des Bundesdatenschutzgesetzes“ durch die Wörter „gelten die allgemeinen datenschutzrechtlichen Vorschriften“ ersetzt.
b) Absatz 8 Satz 2 wird wie folgt gefasst:
„Für die Zwecke der Richtlinie 2011/61/EU kann die Bundesanstalt Daten und Datenauswertungen an zuständige Stellen in Drittstaaten übermitteln, soweit die Anforderungen des Kapitels V der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung und die sonstigen allgemeinen daten-schutzrechtlichen Vorschriften erfüllt sind.“
2. § 28 Absatz 1 Satz 2 Nummer 5 wird wie folgt gefasst:
„5. angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elekt-ronischen Datenverarbeitung; für die Verarbeitung personenbezogener Daten sind dies insbesondere technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679;“.
Artikel 97
Änderung des Pfandbriefgesetzes
In § 31 Absatz 9 Satz 1 des Pfandbriefgesetzes vom 22. Mai 2005 (BGBl. I S. 1373), das zuletzt durch Artikel 24 Absatz 38 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist, werden die Wörter „erheben und verwenden“ durch das Wort „verar-beiten“ ersetzt.
Artikel 98
Änderung des Versicherungsaufsichtsgesetzes
Das Versicherungsaufsichtsgesetz vom 1. April 2015 (BGBl. I S. 434), das zuletzt durch Artikel 6 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
– 137 –
1. § 276 Absatz 3 wird wie folgt gefasst:
„(3) Die allgemeinen datenschutzrechtlichen Vorschriften bleiben unberührt.“
2. § 309 Absatz 11 wird wie folgt gefasst:
„(11) Die allgemeinen datenschutzrechtlichen Vorschriften bleiben unberührt.“
Artikel 99
Änderung des Gesetzes über Rabatte für Arzneimittel
In § 3 Satz 4 des Gesetzes über Rabatte für Arzneimittel vom 22. Dezember 2010 (BGBl. I S. 2262, 2275), das zuletzt durch Artikel 4 des Gesetzes vom 4. Mai 2017 (BGBl. I S. 1050) geändert worden ist, werden die Wörter „und nutzen“ gestrichen.
Artikel 100
Änderung des Tiergesundheitsgesetzes
Das Tiergesundheitsgesetz vom 22. Mai 2013 (BGBl. I S. 1324), das zuletzt durch Ar-tikel 6 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2615) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu Abschnitt 7 wird wie folgt gefasst:
„Abschnitt 7
Datenverarbeitung“.
b) Die Angabe zu § 23 wird wie folgt gefasst:
„§ 23 Datenverarbeitung“.
2. In § 10 Absatz 2 Nummer 2 werden die Wörter „und Nutzung“ gestrichen.
3. Die Überschrift des Abschnitts 7 wird wie folgt gefasst:
„Abschnitt 7
Datenverarbeitung“.
4. Die Überschrift des § 23 wird wie folgt gefasst:
– 138 –
㤠23
Datenverarbeitung“.
5. § 41 wird wie folgt geändert:
a) Die Absatzbezeichnung „(1)“ wird gestrichen.
b) In Satz 1 wird das Wort „insoweit“ gestrichen.
c) Absatz 2 wird aufgehoben.
Artikel 101
Änderung des Tierschutzgesetzes
§ 16 Absatz 6 Satz 5 des Tierschutzgesetzes in der Fassung der Bekanntmachung vom 18. Mai 2006 (BGBl. I S. 1206, 1313), das zuletzt durch Artikel 141 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt gefasst:
„Im Übrigen bleiben die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2), das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder in der jeweils geltenden Fassung unberührt.“
Artikel 102
Änderung des Fleischgesetzes
Das Fleischgesetz vom 9. April 2008 (BGBl. I S. 714, 1025), das zuletzt durch Arti-kel 4 Absatz 88 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert worden ist, wird wie folgt geändert:
1. § 12 Absatz 4 wird wie folgt gefasst:
„(4) Die Einrichtung von automatisierten Verfahren, die die Übermittlung der Da-ten aus den Registern nach den Absätzen 2 und 3 durch Abruf ermöglichen, ist zu-lässig, soweit diese Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen sind. Die beteiligten Stellen haben zu gewährleisten, dass das Abrufverfahren kontrolliert werden kann. Hierzu haben sie Folgendes schriftlich fest-zulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die die Daten übermittelt werden sollen,
3. Art der zu übermittelnden Daten,
– 139 –
4. die erforderlichen technischen und organisatorischen Maßnahmen nach Maßga-be der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung.
Im öffentlichen Bereich können die Festlegungen auch von den Fachaufsichtsbehör-den getroffen werden.“
2. In § 13 Absatz 1 werden die Wörter „erforderlichen Erhebungen und Verwendungen“ durch die Wörter „erforderliche Verarbeitung“ ersetzt.
Artikel 103
Änderung des Marktorganisationsgesetzes
Das Marktorganisationsgesetz in der Fassung der Bekanntmachung vom 7. Novem-ber 2017 (BGBl. I S. 3746), das durch Artikel 1 der Verordnung vom 28. November 2017 (BGBl. I S. 3824) geändert worden ist, wird wie folgt geändert:
1. § 34b wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Die Wörter „erhebt, verarbeitet und nutzt“ werden durch das Wort „verarbeitet“ ersetzt.
2. § 34d wird wie folgt geändert:
a) In Absatz 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) In Absatz 2 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Ver-arbeitung“ ersetzt.
3. § 34e wird wie folgt geändert:
a) In der Überschrift wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Satz 2 werden die Wörter „und nutzt“ gestrichen.
4. In § 34f Absatz 1 werden die Wörter „Datenerhebung, der Datenverarbeitung und der Datennutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
– 140 –
Artikel 104
Änderung des Gesetzes über Meldungen über Marktordnungswa-ren
Das Gesetz über Meldungen über Marktordnungswaren in der Fassung der Be-kanntmachung vom 26. November 2008 (BGBl. I S. 2260), das zuletzt durch Artikel 402 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist, wird wie folgt geändert:
1. § 15 wird wie folgt geändert:
a) Absatz 6 Satz 4 wird aufgehoben.
b) Die folgenden Absätze 7 und 8 werden angefügt:
„(7) Die beteiligten Stellen haben zu gewährleisten, dass das Abrufverfahren kontrolliert werden kann. Hierzu haben sie Folgendes schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die die Einzelangaben übermittelt werden sollen,
3. Art der zu übermittelnden Einzelangaben,
4. die erforderlichen technischen und organisatorischen Maßnahmen nach Maßgabe der Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 des Eu-ropäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natür-licher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung.
Die Festlegungen können auch von den Fachaufsichtsbehörden getroffen wer-den.
(8) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Drit-te, an den die Einzelgaben übermittelt werden. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Sie hat zu gewährleisten, dass die Übermittlung von Einzelangaben zumindest durch geeignete Stichpro-benverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand dieser Einzelangaben abgerufen oder übermittelt, so bezieht sich die Gewährleis-tung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.“
2. § 15a wird wie folgt geändert:
a) Absatz 1 Satz 1 Nummer 3 wird wie folgt gefasst:
„3. das öffentliche Interesse an dem Forschungsvorhaben das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Übermittlung er-heblich überwiegt.“
b) Absatz 3 wird wie folgt geändert:
– 141 –
aa) Satz 1 wird wie folgt gefasst:
„Der Empfänger verpflichtet sich vor der Übermittlung gegenüber der Bun-desanstalt, die Einzelangaben nur für das Forschungsvorhaben zu verarbei-ten, für das sie ihm übermittelt worden sind.“
bb) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ und das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.
c) Absatz 6 wird aufgehoben.
Artikel 105
Änderung des Rinderregistrierungsdurchführungsgesetzes
Das Rinderregistrierungsdurchführungsgesetz in der Fassung der Bekanntmachung vom 22. Juni 2004 (BGBl. I S. 1280), das zuletzt durch Artikel 403 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist, wird wie folgt geändert:
1. § 2 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠2
Verarbeitung von Daten“.
b) In Absatz 3 Satz 2 werden die Wörter „und Nutzung“ gestrichen.
c) Absatz 4 wird wie folgt geändert:
aa) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
bb) Folgender Satz wird angefügt:
„Das Friedrich-Loeffler-Institut darf die Daten nicht an Dritte übermitteln.“
2. Dem § 3 Absatz 3 wird folgender Satz angefügt:
„Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Ra-tes vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung perso-nenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung bleibt unberührt.“
3. § 5 wird wie folgt gefasst:
– 142 –
㤠5
Technische und organisatorische Maßnahmen
(1) Hinsichtlich der technischen und organisatorischen Maßnahmen sind Arti-kel 24, 25 und 32 der Verordnung (EU) 2016/679 zu beachten.
(2) Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung perso-nenbezogener Daten durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann.“
Artikel 106
Änderung des Rindfleischetikettierungsgesetzes
§ 3a des Rindfleischetikettierungsgesetzes vom 26. Februar 1998 (BGBl. I S. 380), das zuletzt durch Artikel 4 Absatz 91 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert worden ist, wird wie folgt geändert:
1. In der Überschrift werden die Wörter „und Nutzung“ gestrichen.
2. In Absatz 1 werden die Wörter „zu erheben, zu verarbeiten und zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
3. In Absatz 3 werden die Wörter „und -nutzung“ gestrichen.
Artikel 107
Änderung des Agrar- und Fischereifonds-Informationen-Gesetzes
Das Agrar- und Fischereifonds-Informationen-Gesetz vom 26. November 2008 (BGBl. I S. 2330), das zuletzt durch Artikel 1 des Gesetzes vom 20. Mai 2015 (BGBl. I S. 725) geändert worden ist, wird wie folgt geändert:
1. § 2 Absatz 3 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „insbesondere die nach § 9 des Bundesdaten-schutzgesetzes erforderlichen, von der Bundesanstalt zu treffenden technischen und organisatorischen Maßnahmen umfasst“ durch die Wörter „den nach den Ar-tikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parla-ments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung erforderlichen technischen und organisatorischen Maßnahmen entspricht“ ersetzt.
b) In Satz 2 werden die Wörter „spätestens sechs Monate nach Verkündung dieses Gesetzes zu erstellen und“ gestrichen.
2. § 2a wird wie folgt geändert:
– 143 –
a) Die Überschrift wird wie folgt gefasst:
㤠2a
Datenverarbeitung“.
b) In Absatz 1 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
c) Absatz 2 Satz 1 wird wie folgt geändert:
aa) In Nummer 1 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
bb) In Nummer 2 werden die Wörter „genutzt oder weitergegeben“ durch die Wörter „verwendet oder übermittelt“ ersetzt.
cc) Nummer 3 wird wie folgt gefasst:
„3. missbräuchlich gegenüber dem von der Veröffentlichung betroffenen Empfänger von Zahlungen verwendet werden.“
3. § 3 Absatz 1 wird wie folgt geändert:
a) Im Satzteil vor Nummer 1 werden nach dem Wort „Maßnahmen“ die Wörter „im Sinne des § 2 Absatz 3 Satz 1“ eingefügt.
b) In Nummer 2 wird das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
4. § 3a wird aufgehoben.
Artikel 108
Änderung des InVeKoS-Daten-Gesetzes
Das InVeKoS-Daten-Gesetz vom 2. Dezember 2014 (BGBl. I S. 1928, 1931), das zu-letzt durch Artikel 2 der Verordnung vom 8. März 2016 (BGBl. I S. 452) geändert worden ist, wird wie folgt geändert:
1. In der Überschrift des Gesetzes werden die Wörter „und Nutzung“ gestrichen.
2. § 1 wird wie folgt geändert:
a) In Absatz 1 Satz 1 im Satzteil nach Nummer 3 und in Absatz 2 werden jeweils die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Absatz 3 werden die Wörter „Erhebung, Verarbeitung oder sonstige Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
3. § 3 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
– 144 –
b) Absatz 2 wird wie folgt geändert:
aa) Im Satzteil vor Nummer 1 werden die Wörter „und nutzt“ gestrichen.
bb) In Nummer 2, 3 und 4 wird jeweils das Wort „nutzt“ durch das Wort „verwen-det“ ersetzt.
c) Absatz 4 wird wie folgt gefasst:
„(4) Für den Zweck des Absatzes 1 Nummer 3 speichert, verwendet, verän-dert und beschränkt die zuständige Fachüberwachungsbehörde die ihr von der Zahlstelle nach Absatz 3 übermittelten Betriebsdaten. Sie erhebt, speichert, ver-wendet, verändert und beschränkt die Prüfergebnisse, die bei der Vor-Ort-Kontrolle festgestellt worden sind, als weitere Betriebsdaten. Die Fachüberwa-chungsbehörden übermitteln der Zahlstelle die für jeden Begünstigten festgestell-ten Kontrollergebnisse zu den in Absatz 1 Nummer 1 und 3 genannten Zwecken.“
d) Absatz 5 Satz 3 wird aufgehoben.
4. § 6 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „erhebt, speichert und nutzt“ durch das Wort „verar-beitet“ ersetzt.
b) Satz 4 wird aufgehoben.
c) In dem neuen Satz 4 wird die Angabe „bis 3“ durch die Angabe „und 2“ ersetzt.
5. § 7 wird wie folgt geändert:
a) Absatz 1 wird aufgehoben.
b) Die Absätze 2 und 3 werden die Absätze 1 und 2.
c) In dem neuen Absatz 1 werden die Wörter „in Absatz 1 genannten Daten“ durch das Wort „Betriebsdaten“ ersetzt.
d) Der neue Absatz 2 wird wie folgt geändert:
e) Im Satzteil vor Nummer 1 wird das Wort „Sperrung“ durch die Wörter „Einschrän-kung der Verarbeitung“ ersetzt.
f) In den Nummern 1 und 2 werden die Wörter „in Absatz 1 genannten Daten“ je-weils durch das Wort „Betriebsdaten“ ersetzt.
6. § 8 wird wie folgt gefasst:
㤠8
Abweichendes Landesrecht
Die Länder können die Betriebsdaten nach Maßgabe ihres Landesorganisations-rechts durch andere Stellen als die Zahlstellen oder die Fachüberwachungsbehörden verarbeiten lassen.“
– 145 –
7. In § 9 Absatz 1 werden im Satzteil vor Nummer 1 die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
8. In Nummer 1 Buchstabe h der Anlage wird das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
Artikel 109
Änderung des Agrarstatistikgesetzes
In § 94a Nummer 1 Buchstabe b des Agrarstatistikgesetzes in der Fassung der Be-kanntmachung vom 17. Dezember 2009 (BGBl. I S. 3886), das zuletzt durch Artikel 1 des Gesetzes vom 5. Dezember 2014 (BGBl. I S. 1975) geändert worden ist, werden die Wör-ter „oder besondere Arten personenbezogener Daten nach § 3 Absatz 9 des Bundesdatenschutzgesetzes“ durch die Wörter „oder besondere Katego-rien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten-verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
Artikel 110
Änderung des Seefischereigesetzes
In § 20 Absatz 2 Satz 1 des Seefischereigesetzes in der Fassung der Bekanntma-chung vom 6. Juli 1998 (BGBl. I S. 1791), das zuletzt durch Artikel 1 des Gesetzes vom 23. Dezember 2016 (BGBl. I S. 3188) geändert worden ist, werden die Wörter „nach Maßgabe von § 4b des Bundesdatenschutzgesetzes“ gestrichen.
Artikel 111
Änderung des Fünften Vermögensbildungsgesetzes
Das Fünfte Vermögensbildungsgesetz in der Fassung der Bekanntmachung vom 4. März 1994 (BGBl. I S. 406), das zuletzt durch Artikel 8 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1679) geändert worden ist, wird wie folgt geändert:
1. § 15 Absatz 1 Satz 4 bis 6 wird aufgehoben.
2. Dem § 17 wird folgender Absatz 16 angefügt:
„(16) Zur Abwicklung von Verträgen, die vor dem 25. Mai 2018 unter den Voraus-setzungen des § 15 Absatz 1 Satz 4 in der am 30. Juni 2013 geltenden Fassung ab-geschlossen wurden, sind das Unternehmen, das Institut oder der in § 3 Absatz 3 ge-nannte Gläubiger verpflichtet, die Daten nach Maßgabe des § 15 Absatz 1 Satz 1 zu
– 146 –
übermitteln, es sei denn, der Arbeitnehmer hat der Datenübermittlung schriftlich wi-dersprochen.“
Artikel 112
Änderung des Heimarbeitsgesetzes
In § 6 des Heimarbeitsgesetzes in der im Bundesgesetzblatt Teil III, Gliederungs-nummer 804-1, veröffentlichten bereinigten Fassung, das zuletzt durch Artikel 26 des Ge-setzes vom 20. November 2015 (BGBl. I S. 2010) geändert worden ist, werden die Sätze 2 und 4 aufgehoben.
Artikel 113
Änderung des Arbeitsschutzgesetzes
In § 23 Absatz 1 Satz 4 des Arbeitsschutzgesetzes vom 7. August 1996 (BGBl. I S. 1246), das zuletzt durch Artikel 427 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist, werden die Wörter „verwendet sowie in Datenverarbei-tungssystemen gespeichert oder“ gestrichen.
Artikel 114
Änderung des Berufsqualifikationsfeststellungsgesetzes
§ 17 des Berufsqualifikationsfeststellungsgesetzes vom 6. Dezember 2011 (BGBl. I S. 2515), das zuletzt durch Artikel 150 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geändert:
1. In Absatz 2 Nummer 4 werden die Wörter „des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (Abl. L 255 vom 30.9.2005, S. 22; L 271 vom 16.10.2007, S. 18; L 93 vom 4.4.2008, S. 28; L 33 vom 3.2.2009, S. 49), die zuletzt durch die Verordnung (EG) Nr. 279/2009 (Abl. L 93 vom 7.4.2009, S. 11) geändert worden ist, in ihrer jeweils geltenden Fassung“ gestrichen.
2. In Absatz 6 Nummer 2 werden die Wörter „Arten personenbezogener Daten nach § 3 Absatz 9 des Bundesdatenschutzgesetzes“ durch die Wörter „Kategorien personen-bezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 des Europä-ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Perso-nen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
– 147 –
Artikel 115
Änderung des Arbeitnehmer-Entsendegesetzes
In § 17 Satz 4 des Arbeitnehmer-Entsendegesetzes vom 20. April 2009 (BGBl. I S. 799), das zuletzt durch Artikel 2 Absatz 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2739) geändert worden ist, wird die Angabe „§ 67 Abs. 2 Nr. 4“ durch die Wörter „§ 67 Absatz 3 Nummer 4“ ersetzt.
Artikel 116
Änderung des Gesetzes über die Alterssicherung der Landwirte
Das Gesetz über die Alterssicherung der Landwirte vom 29. Juli 1994 (BGBl. I S. 1890, 1891), das zuletzt durch Artikel 7 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2575) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 62 wie folgt gefasst:
„§ 62 Dateisysteme der landwirtschaftlichen Sozialversicherung“.
2. In § 40 Absatz 3 Satz 2 werden die Wörter „§ 74 Satz 1 Nr. 2 Buchstabe b“ durch die Wörter „§ 74 Absatz 1 Satz 1 Nummer 2 Buchstabe b“ ersetzt.
3. § 62 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠62
Dateisysteme der landwirtschaftlichen Sozialversicherung“.
b) Das Wort „Dateien“ wird durch das Wort „Dateisysteme“ ersetzt.
Artikel 117
Änderung des Zweiten Gesetzes über die Krankenversicherung der Landwirte
§ 9 Absatz 5 des Zweiten Gesetzes über die Krankenversicherung der Landwirte vom 20. Dezember 1988 (BGBl. I S. 2477, 2557), das zuletzt durch Artikel 6 Absatz 6 des Ge-setzes vom 23. Mai 2017 (BGBl. I S. 1228) geändert worden ist, wird wie folgt geändert:
1. In Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden nach dem Wort „schriftlicher“ jeweils die Wörter „oder elektronischer “eingefügt.
2. In Satz 3 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt.
– 148 –
Artikel 118
Änderung des Bundeselterngeld- und Elternzeitgesetzes
Das Bundeselterngeld- und Elternzeitgesetz in der Fassung der Bekanntmachung vom 27. Januar 2015 (BGBl. I S. 33), das zuletzt durch Artikel 6 Absatz 9 des Gesetzes vom 23. Mai 2017 (BGBl. I S. 1228) geändert worden ist, wird wie folgt geändert:
1. In § 24a Absatz 2 Satz 1 werden die Wörter „und Nutzung“ gestrichen.
2. Nach § 24a wird folgender § 24b eingefügt:
㤠24b
Elektronische Unterstützung bei der Antragstellung
(1) Zur elektronischen Unterstützung bei der Antragstellung kann der Bund ein Internetportal einrichten und betreiben. Das Internetportal ermöglicht das elektroni-sche Ausfüllen der Antragsformulare der Länder sowie die Übermittlung der Daten aus dem Antragsformular an die nach § 12 zuständige Behörde. Zuständig für Ein-richtung und Betrieb des Internetportals ist das Bundesministerium für Familie, Senio-ren, Frauen und Jugend. Die Ausführung dieses Gesetzes durch die nach § 12 zu-ständigen Behörden bleibt davon unberührt.
(2) Das Bundesministerium für Familie, Senioren, Frauen und Jugend ist für das Internetportal datenschutzrechtlich verantwortlich. Für die elektronische Unterstüt-zung bei der Antragstellung darf das Bundesministerium für Familie, Senioren, Frau-en und Jugend die zur Beantragung von Elterngeld erforderlichen personenbezoge-nen Daten sowie die in § 22 genannten statistischen Erhebungsmerkmale verarbei-ten, sofern der Nutzer in die Verarbeitung eingewilligt hat. Die statistischen Erhe-bungsmerkmale einschließlich der zur Beantragung von Elterngeld erforderlichen personenbezogenen Daten sind nach Beendigung der Nutzung des Internetportals unverzüglich zu löschen.“
Artikel 119
Änderung des Ersten Buches Sozialgesetzbuch
In § 35 Absatz 2 Satz 1 des Ersten Buches Sozialgesetzbuch – Allgemeiner Teil – (Artikel I des Gesetzes vom 11. Dezember 1975, BGBl. I S. 3015), das zuletzt durch Arti-kel 5 des Gesetzes vom 14. August 2017 (BGBl. I S. 3214) geändert worden ist, werden die Wörter „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72)“ durch die Wör-ter „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
– 149 –
Artikel 120
Änderung des Zweiten Buches Sozialgesetzbuch
Das Zweite Buch Sozialgesetzbuch – Grundsicherung für Arbeitsuchende – in der Fassung der Bekanntmachung vom 13. Mai 2011 (BGBl. I S. 850, 2094), das zuletzt durch Artikel 20 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2541) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu Kapitel 6 wird wie folgt gefasst:
„Kapitel 6
Datenverarbeitung und datenschutzrechtliche Verantwortung“.
b) Die Angabe zu § 50a wird wie folgt gefasst:
„§ 50a Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung oder Löschung von Daten für die Ausbildungsvermittlung“.
c) Die Angabe zu § 51 wird wie folgt gefasst:
„§ 51 Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen“.
d) Die Angabe zu § 51b wird wie folgt gefasst:
„§ 51b Verarbeitung von Daten durch die Träger der Grundsicherung für Arbeitsuchende“.
e) Die Angaben zu den §§ 63a und 63b werden wie folgt gefasst:
„§§ 63a und 63b (weggefallen)“.
2. Die Überschrift von Kapitel 6 wird wie folgt gefasst:
„Kapitel 6
Datenverarbeitung und datenschutzrechtliche Verantwortung“.
3. § 50 wird wie folgt geändert:
a) In Absatz 2 werden die Wörter „verantwortliche Stelle“ durch das Wort „Verant-wortliche“, die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ sowie die Angabe „§ 67 Absatz 9“ durch die Angabe „§ 67 Ab-satz 4“ ersetzt.
b) In Absatz 3 Satz 3 werden die Wörter „Verantwortliche Stelle“ durch das Wort „Verantwortliche“ und die Angabe „§ 67 Absatz 9“ durch die Angabe „§ 67 Ab-satz 4“ ersetzt.
c) Absatz 4 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
– 150 –
„Eine Verarbeitung von Sozialdaten durch die gemeinsame Einrichtung ist nur unter den Voraussetzungen der Verordnung (EU) 2016/679 des Europäi-schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Da-tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung sowie des Zweiten Kapitels des Zehnten Buches und der übrigen Bücher des Sozi-algesetzbuches zulässig.“
bb) In Satz 3 wird die Angabe „§ 24“ durch die Angabe „§ 9 Absatz 1 Satz 1“ er-setzt.
4. § 50a wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠50a
Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbei-tung oder Löschung von Daten für die Ausbildungsvermittlung“.
b) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „verarbeiten und nut-zen“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken“ ersetzt.
5. § 51 wird wie folgt gefasst:
㤠51
Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen
Die Träger der Leistungen nach diesem Buch dürfen abweichend von § 80 Ab-satz 3 des Zehnten Buches zur Erfüllung ihrer Aufgaben nach diesem Buch ein-schließlich der Erbringung von Leistungen zur Eingliederung in Arbeit und Bekämp-fung von Leistungsmissbrauch nicht-öffentliche Stellen mit der Verarbeitung von So-zialdaten beauftragen.“
6. § 51b wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠51b
Verarbeitung von Daten durch die Träger der Grundsicherung für Arbeitsuchen-de“.
b) In Absatz 3 werden in dem Satzteil vor Nummer 1 die Wörter „verarbeitet und genutzt“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt, in der Verarbeitung eingeschränkt oder gelöscht“ ersetzt.
7. § 52 wird wie folgt geändert:
– 151 –
a) In Absatz 2a Satz 2 werden die Wörter „der bei ihr für die Prüfung bei den Arbeit-gebern geführten Datei“ durch die Wörter „des bei ihr für die Prüfung bei den Ar-beitgebern geführten Dateisystems“ ersetzt.
b) In Absatz 4 zweiter Halbsatz wird das Wort „Zuleitung“ durch das Wort „Übermitt-lung“ ersetzt.
8. Die §§ 63a und 63b werden aufgehoben.
Artikel 121
Änderung des Dritten Buches Sozialgesetzbuch
Das Dritte Buch Sozialgesetzbuch – Arbeitsförderung – (Artikel 1 des Gesetzes vom 24. März 1997, BGBl. I S. 594, 595), das zuletzt durch Artikel 2 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2581) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 282b wird wie folgt gefasst:
„§ 282b Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung oder Löschung von Daten für die Ausbildungsvermittlung durch die Bundesagentur“.
b) Die Angabe zu § 394 wird wie folgt gefasst:
„§ 394 Verarbeitung von Sozialdaten durch die Bundesagentur“.
c) Die Angabe zu § 395 wird wie folgt gefasst:
„§ 395 Datenübermittlung an Dritte; Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen“.
2. § 40 Absatz 3 wird wie folgt geändert:
a) In Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Person“ er-setzt.
b) In Satz 3 wird das Wort „Betroffenen“ durch die Wörter „Der betroffenen Person“ ersetzt.
3. In § 41 Satz 3 wird nach dem Wort „erheben“ ein Komma sowie das Wort „speichern“ eingefügt.
4. In § 281 Absatz 2 Satz 2 wird das Wort „verwendet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt, in der Verarbeitung eingeschränkt oder gelöscht“ er-setzt.
5. § 282 wird wie folgt geändert:
a) In Absatz 5 Satz 1 werden die Wörter „genutzt und verarbeitet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt oder in der Verarbeitung einge-schränkt“ ersetzt.
b) Absatz 6 wird wie folgt geändert:
– 152 –
aa) In Satz 1 werden die Wörter „die nach den § 28a“ durch die Wörter „die nach § 28a“ ersetzt und werden die Wörter „in einer besonders geschützten Datei“ durch die Wörter „in einem besonders geschützten Dateisystem“ ersetzt.
bb) In Satz 2 werden die Wörter „dieser Datei“ durch die Wörter „diesem Datei-system“ und die Wörter „verarbeitet und genutzt“ durch die Wörter „gespei-chert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ ersetzt.
6. § 282a wird wie folgt geändert:
a) In Absatz 2b Satz 3 wird das Wort „verwendet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ ersetzt.
b) In Absatz 4 wird das Wort „Verwendung“ durch die Wörter „Speicherung und für die Nutzung“ ersetzt.
7. § 282b wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠282b
Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbei-tung oder Löschung von Daten für die Ausbildungsvermittlung durch die Bunde-sagentur“.
b) In Absatz 1 werden die Wörter „verarbeiten und nutzen“ durch die Wörter „spei-chern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken“ er-setzt.
8. § 298 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 2 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt und werden die Wörter „oder der Betroffene im Einzelfall nach Maßgabe des § 4a des Bundesdatenschutzgesetzes einge-willigt hat“ durch die Wörter „betroffene Person im Einzelfall eingewilligt hat; § 67b Absatz 2 und Absatz 3 des Zehnten Buches gilt entsprechend“ ersetzt.
cc) In Satz 3 werden die Wörter „verarbeiten oder nutzen“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung ein-schränken“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
bb) In Satz 5 wird nach dem Wort „Betroffene“ das Wort „Personen“ eingefügt.
9. § 319 Absatz 2 wird wie folgt geändert:
– 153 –
a) In Satz 1 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
b) In Satz 4 werden die Wörter „und genutzt“ gestrichen.
10. § 394 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠394
Verarbeitung von Sozialdaten durch die Bundesagentur“.
b) In Absatz 1 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) In Absatz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
11. § 395 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠395
Datenübermittlung an Dritte; Verarbeitung von Sozialdaten durch nicht-öffentliche Stellen“.
b) Absatz 2 wird wie folgt gefasst:
„(2) Die Bundesagentur darf abweichend von § 80 Absatz 3 des Zehnten Buches zur Erfüllung ihrer Aufgaben nach diesem Buch nicht-öffentliche Stellen mit der Verarbeitung von Sozialdaten beauftragen.“
12. § 397 Absatz 2 Satz 2 wird wie folgt gefasst:
„Die übrigen Daten dürfen nur für die in Absatz 1 genannten Zwecke und für die Ver-folgung von Straftaten und Ordnungswidrigkeiten, die im Zusammenhang mit der Be-antragung oder dem Bezug von Leistungen stehen, gespeichert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt werden.“
13. § 404 Absatz 2 wird wie folgt geändert:
a) Nummer 12 wird aufgehoben.
b) In Nummer 13 werden die Angabe „oder 4“ und die Wörter „oder Daten nicht oder nicht rechtzeitig löscht“ gestrichen.
Artikel 122
Änderung des Vierten Buches Sozialgesetzbuch
Das Vierte Buch Sozialgesetzbuch – Gemeinsame Vorschriften für die Sozialversi-cherung – in der Fassung der Bekanntmachung vom 12. November 2009 (BGBl. I
– 154 –
S. 3710, 3973; 2011 I S. 363), das durch Artikel 7a des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zum Ersten Abschnitt Fünfter Titel wird wie folgt gefasst:
„Fünfter Titel Verarbeitung der Versicherungsnummer“.
b) Die Angabe zu § 18f wird wie folgt gefasst:
„§ 18f Zulässigkeit der Verarbeitung“.
c) Die Angabe zu § 18m wird wie folgt gefasst:
„§ 18m Verarbeitung der Betriebsnummer“.
d) Die Angabe zum Sechsten Abschnitt wird wie folgt gefasst:
„Sechster Abschnitt Verarbeitung von elektronischen Daten in der Sozialversicherung“.
e) Die Angabe zum Sechsten Abschnitt Zweiter Titel wird wie folgt gefasst:
„Zweiter Titel Verarbeitung der Daten der Arbeitgeber durch die Sozialversicherungsträger“.
f) Die Angabe zu § 102 wird wie folgt gefasst:
„§ 102 Annahme, Prüfung und Weiterleitung der Daten zum Lohnnachweisverfahren“.
g) Die Angabe zu § 119 wird wie folgt gefasst:
„§ 119 (weggefallen)“.
2. Die Angabe zum Ersten Abschnitt Fünfter Titel wird wie folgt gefasst:
„Fünfter Titel Verarbeitung der Versicherungsnummer“.
3. § 18f wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠18f
Zulässigkeit der Verarbeitung“.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden im ersten Halbsatz die Wörter „erheben, verarbeiten oder nutzen“ sowie im zweiten Halbsatz die Wörter „erheben, verarbeiten und nutzen“ jeweils durch das Wort „verarbeiten“ ersetzt.
– 155 –
bb) In Satz 3 wird das Wort „Dateien“ durch das Wort „Dateisysteme“ und wer-den die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbei-tet“ ersetzt.
cc) In Satz 4 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
c) In Absatz 2 Satz 1 werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
d) In Absatz 2a werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
e) In Absatz 2b werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
f) Absatz 3 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) In dem Satzteil vor Nummer 1 werden die Wörter „erheben, verarbei-ten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
bbb) In Nummer 1 werden die Wörter „oder Nutzung“ gestrichen.
bb) In Satz 2 werden die Wörter „verarbeitet oder genutzt“ durch die Wörter „ge-speichert, verändert, genutzt, übermittelt oder in der Verarbeitung einge-schränkt“ ersetzt.
g) In Absatz 4 werden die Wörter „verarbeitet oder“ gestrichen.
h) Absatz 5 wird wie folgt geändert:
aa) Die Angabe „2 oder 3“ wird durch die Angabe „2 bis 3“ ersetzt.
bb) Die Wörter „oder nutzen“ werden gestrichen.
cc) Das Wort „Dateien“ wird durch das Wort „Dateisysteme“ ersetzt.
4. In § 18g Satz 1 werden die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
5. In § 18i Absatz 6 werden die Wörter „einer elektronischen Datei“ durch die Wörter „einem elektronischen Dateisystem“ ersetzt.
6. § 18m wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠18m
Verarbeitung der Betriebsnummer“.
b) In Absatz 1 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ ersetzt und werden die Wörter „und Nutzung“ gestrichen.
– 156 –
c) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „verarbeiten, nutzen und übermitteln“ durch die Wörter „speichern, verändern, nutzen, übermitteln und in der Verarbeitung einschränken“ ersetzt.
bb) In Satz 2 werden die Wörter „verarbeiten, nutzen oder übermitteln“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken“ ersetzt.
7. In § 28b Absatz 1 Satz 1 Nummer 4 werden die Wörter „jeder Datei“ durch die Wörter „jedes Dateisystems“ ersetzt.
8. § 28p wird wie folgt geändert:
a) Absatz 8 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) Im ersten Halbsatz werden die Wörter „eine Datei, in der“ durch die Wörter „ein Dateisystem, in dem“ ersetzt.
bbb) Im zweiten Halbsatz werden die Wörter „dieser Datei“ durch die Wör-ter „diesem Dateisystem“ ersetzt und werden die Wörter „und nutzen“ gestrichen.
bb) In Satz 2 erster Halbsatz werden die Wörter „die Datei“ durch die Wörter „das Dateisystem“ ersetzt.
cc) In Satz 3 werden die Wörter „eine Datei, in der“ durch die Wörter „ein Datei-system, in dem“ ersetzt.
dd) Satz 4 wird wie folgt gefasst:
„Sie darf die Daten der Stammsatzdatei nach § 150 Absatz 1 und 2 des Sechsten Buches sowie die Daten des Dateisystems nach § 150 Absatz 3 des Sechsten Buches und der Stammdatendatei nach § 101 für die Prüfung bei den Arbeitgebern speichern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken; dies gilt für die Daten der Stammsatzdatei auch für Prüfungen nach § 212a des Sechsten Buches.“
ee) Satz 5 wird wie folgt geändert:
aaa) In Nummer 1 wird das Wort „Dateien“ durch das Wort „Dateisyste-men“ ersetzt.
bbb) In dem Satzteil nach Nummer 5 werden die Wörter „zu erheben, zu verarbeiten und zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
b) Absatz 9 Nummer 3 wird wie folgt gefasst:
„3. den Inhalt des Dateisystems nach Absatz 8 Satz 1 hinsichtlich der für die Planung der Prüfungen bei Arbeitgebern und der für die Prüfung bei Ein-zugsstellen erforderlichen Daten, über den Aufbau und die Aktualisierung dieses Dateisystems sowie über den Umfang der Daten aus diesem Datei-system, die von den Einzugsstellen und der Bundesagentur für Arbeit nach § 28q Absatz 5 abgerufen werden können.“
– 157 –
9. § 28q wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 3 werden die Wörter „der in § 28p Absatz 8 Satz 1 genannten Datei“ durch die Wörter „dem in § 28p Absatz 8 Satz 1 genannten Dateisystem“ er-setzt.
bb) In Satz 4 werden die Wörter „verarbeiten und nutzen“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung ein-schränken“ ersetzt.
cc) In Satz 5 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ ersetzt und werden die Wörter „zu verarbeiten, zu nutzen und“ gestrichen.
b) In Absatz 5 Satz 2 wird das Wort „Arbeitgeberdateien“ durch das Wort „Arbeitge-berdateisysteme“ ersetzt.
10. Dem § 88 Absatz 2 wird folgender Satz angefügt:
„Die Vorlage- und Auskunftspflicht umfasst auch elektronisch gespeicherte Daten so-wie deren automatisierten Abruf durch die Aufsichtsbehörde.“
11. Die Angabe zum Sechsten Abschnitt wird wie folgt gefasst:
„Sechster Abschnitt Verarbeitung von elektronischen Daten in der Sozialversicherung“.
12. Die Angabe zum Sechsten Abschnitt Zweiter Titel wird wie folgt gefasst:
„Zweiter Titel Verarbeitung der Daten der Arbeitgeber durch die Sozialversicherungsträger“.
13. In § 96 Absatz 2 Satz 1 werden die Wörter „abzurufen und zu verarbeiten“ durch die Wörter „elektronisch abzurufen, zu speichern und zu nutzen“ ersetzt.
14. In § 97 Absatz 5 Satz 1 werden die Wörter „und Nutzung“ gestrichen.
15. § 101 wird wie folgt geändert:
a) In Absatz 2 Satz 2 wird das Wort „verarbeiten“ durch die Wörter „speichern, ver-ändern“ ersetzt.
b) In Absatz 3 werden nach dem Wort „abrufen,“ die Wörter „speichern, verändern“ eingefügt.
16. § 102 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
– 158 –
㤠102
Annahme, Prüfung und Weiterleitung der Daten zum Lohnnachweisverfahren“.
b) In Absatz 3 wird das Komma und werden die Wörter „zur Weiterleitung und zur Nutzung der Daten“ gestrichen.
17. In § 106 Absatz 1 Satz 2 und § 107 Absatz 1 Satz 4 wird das Wort „verarbeiten“ je-weils durch das Wort „speichern“ ersetzt.
18. § 111 Absatz 1 Satz 1 wird wie folgt geändert:
a) Nummer 1 wird aufgehoben.
b) In Nummer 2b und Nummer 2c wird jeweils nach der Angabe „§ 28c“ die Angabe „Absatz 1“ gestrichen.
c) In Nummer 8 werden die Wörter „§ 28c Nummer 3 bis 5, 7 oder 8“ durch die Wör-ter „§ 28c Nummer 3 bis 5 oder 7“ ersetzt und wird nach der Angabe „§ 28n“ die Angabe „Satz 1“ gestrichen.
19. § 119 wird aufgehoben.
Artikel 123
Änderung des Fünften Buches Sozialgesetzbuch
Das Fünfte Buch Sozialgesetzbuch – Gesetzliche Krankenversicherung – (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 4 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. § 20 Absatz 5 wird wie folgt geändert:
a) In Satz 3 werden nach dem Wort „schriftlicher“ jeweils die Wörter „oder elektroni-scher“ eingefügt und werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) Satz 4 wird aufgehoben.
2. § 25a wird wie folgt geändert:
a) In Absatz 1 Satz 2 Nummer 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden die Wörter „die ver-antwortliche Stelle“ durch die Wörter „den Verantwortlichen“ ersetzt.
b) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „zu erheben, zu verarbeiten und zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
bb) In Satz 2 werden die Wörter „erhoben, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt und wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
– 159 –
cc) In Satz 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
dd) In Satz 5 werden die Wörter „Datenerhebungen, -verarbeitungen und -nutzungen“ durch das Wort „Datenverarbeitungen“ ersetzt.
ee) In Satz 6 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt.
3. § 27 Absatz 1a wird wie folgt geändert:
a) In Satz 10 wird die Angabe „Satz 7“ durch die Angabe „Satz 9“ ersetzt und wer-den die Wörter „und genutzt“ gestrichen.
b) In Satz 11 werden die Wörter „und Nutzung“ gestrichen und werden die Wörter „Sätzen 7 und 8“ durch die Wörter „Sätzen 9 und 10“ ersetzt.
4. In § 31 Absatz 6 Satz 6 werden die Wörter „und nutzen“ gestrichen.
5. In § 31a Absatz 5 Satz 1 werden die Wörter „und Nutzung“ gestrichen.
6. § 39 Absatz 1a wird wie folgt geändert:
a) In Satz 11 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Satz 12 wird aufgehoben.
c) Der neue Satz 12 wird wie folgt gefasst:
„Die Information sowie die Einwilligung müssen schriftlich oder elektronisch erfol-gen.“
7. § 39b Absatz 1 wird wie folgt geändert:
a) In Satz 7 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden nach dem Wort „schriftlicher“ jeweils die Wörter „oder elektronischer“ eingefügt.
b) Satz 8 wird aufgehoben.
8. § 44 Absatz 4 wird wie folgt geändert:
a) Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden nach dem Wort „schriftlicher“ jeweils die Wör-ter „oder elektronischer“ eingefügt.
b) In Satz 3 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ ein-gefügt.
9. § 63 wird wie folgt geändert:
a) Absatz 3a wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Datenverwendung“ durch das Wort „Datenverarbei-tung“ ersetzt und werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
– 160 –
bb) In Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden nach dem Wort „schriftlicher“ die Wörter „oder elektronischer“ eingefügt.
cc) In Satz 4 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt und wird das Semikolon und werden die Wörter „die Einwilligung kann widerrufen werden“ gestrichen.
dd) Satz 5 wird aufgehoben.
b) In Absatz 5 Satz 3 wird das Semikolon und werden die Wörter „personenbezoge-ne Daten, die in Abweichung von den Regelungen des Zehnten Kapitels dieses Buches erhoben, verarbeitet oder genutzt worden sind, sind unverzüglich nach Abschluss des Modellvorhabens zu löschen“ gestrichen.
10. § 65c Absatz 9 wird wie folgt geändert:
a) In Satz 2 werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ ein-gefügt.
b) Satz 3 wird aufgehoben.
11. In § 65d Absatz 1 Satz 3 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
12. In § 66 Satz 3 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
13. § 73 Absatz 1b wird wie folgt geändert:
a) In Satz 1 werden nach dem Wort „schriftlicher“ die Wörter „oder elektronischer“ eingefügt und wird das Komma und werden die Wörter „die widerrufen werden kann,“ gestrichen.
b) Satz 2 wird wie folgt geändert:
aa) Im ersten Halbsatz werden die Wörter „schriftlicher Einwilligung des Versi-cherten, die widerrufen werden kann,“ durch die Wörter „schriftlicher oder elektronischer Einwilligung des Versicherten“ ersetzt.
bb) Im zweiten Halbsatz werden die Wörter „schriftlicher Einwilligung des Versi-cherten, die widerrufen werden kann“ durch die Wörter „schriftlicher oder elektronischer Einwilligung des Versicherten“ ersetzt und werden die Wörter „und zu nutzen“ gestrichen.
c) In Satz 3 werden die Wörter „und nutzen“ gestrichen und werden die Wörter „dessen schriftlicher Einwilligung, die widerrufen werden kann,“ durch die Wörter „schriftlicher oder elektronischer Einwilligung des Versicherten“ ersetzt.
d) In Satz 5 wird das Wort „Einverständnis“ durch das Wort „Einwilligung“ ersetzt.
14. § 77 Absatz 6 wird wie folgt geändert:
a) In Satz 2 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ und die Wörter „verantwortliche Stelle nach § 67 Absatz 9 Satz 1 des Zehnten Buches“ durch das Wort „Verantwortliche“ ersetzt.
– 161 –
b) In Satz 3 wird die Angabe „Absatz 3“ durch die Angabe „Absatz 1“ ersetzt und wird das Wort „Auftragnehmer“ durch das Wort „Auftragsverarbeiter“ ersetzt.
15. § 81a Absatz 3a wird wie folgt geändert:
a) In Satz 1 werden die Wörter „weitergegeben oder“ gestrichen.
b) In Satz 2 werden die Wörter „und nutzen“ gestrichen.
16. § 87 wird wie folgt geändert:
a) In Absatz 3d Satz 2 werden die Wörter „§ 78a des Zehnten Buches“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäi-schen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenver-kehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
b) Absatz 3f wird wie folgt geändert:
aa) In Satz 4 werden die Wörter „Erhebung und“ gestrichen.
bb) Satz 5 wird aufgehoben.
17. In § 91 Absatz 5a werden die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt und werden die Wörter „oder personenbeziehbarer“ gestrichen.
18. In § 106a Absatz 4 Satz 3 wird das Semikolon und werden die Wörter „dabei dürfen versichertenbezogene Daten nur nach den Vorschriften des Zehnten Kapitels erho-ben, verarbeitet oder genutzt werden“ gestrichen.
19. In § 106c Absatz 2 Satz 4 werden die Wörter „§ 78a des Zehnten Buches“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
20. In § 126 Absatz 1a Satz 7 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
21. In § 127 Absatz 5a Satz 4 werden die Wörter „nach vorheriger Information“ gestrichen und werden nach dem Wort „schriftlich“ die Wörter „oder elektronisch“ eingefügt.
22. In § 137a Absatz 11 Satz 2 werden die Wörter „und Nutzung“ und die Wörter „und genutzt“ gestrichen.
23. § 137f wird wie folgt geändert:
a) In Absatz 3 Satz 2 werden nach dem Wort „schriftliche“ die Wörter „oder elektro-nische“ eingefügt und werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Absatz 6 wird aufgehoben.
24. In § 140a Absatz 5 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
25. § 197a Absatz 3a wird wie folgt geändert:
– 162 –
a) In Satz 1 werden die Wörter „weitergegeben oder“ gestrichen.
b) In Satz 2 werden die Wörter „und nutzen“ gestrichen.
26. § 202 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird nach dem Wort „Ausfüllhilfen“ das Wort „zu“ eingefügt.
bb) In Satz 2 werden die Wörter „zu übernehmen,“ und die Wörter „und zu nut-zen“ gestrichen.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 3 werden nach den Wörtern „dürfen die“ die Wörter „ihnen von den Zahlstellen zur Erfüllung einer gesetzlichen Aufgabe nach diesem Buch übermittelten“ eingefügt und werden die Wörter „nutzen und übermitteln,“ gestrichen.
bb) Satz 4 wird wie folgt gefasst:
„Andere Behörden, Gerichte oder Dritte dürfen die Zahlstellennummern ver-arbeiten, sofern sie nach anderen gesetzlichen Vorschriften zu deren Erhe-bung befugt sind und soweit dies für die Erfüllung einer gesetzlichen Aufga-be einer der in Satz 3 genannten Stellen erforderlich ist.“
27. In § 217f Absatz 7 werden die Wörter „und nutzen“ gestrichen.
28. In § 219c wird in der Überschrift das Wort „Dateien“ durch das Wort „Dateisysteme“ ersetzt.
29. § 219d Absatz 1 Satz 5 wird wie folgt gefasst:
„Soweit es zur Bearbeitung der Anfrage erforderlich ist, darf die nationale Kontaktstel-le die von dem anfragenden Versicherten übermittelten personenbezogenen Daten verarbeiten; eine Übermittlung darf nur mit schriftlicher oder elektronischer Einwilli-gung des Versicherten erfolgen.“
30. § 251 Absatz 5 wird wie folgt geändert:
a) In Satz 6 werden die Wörter „und nutzen“ gestrichen.
b) Satz 7 wird aufgehoben.
c) In Satz 8 werden die Wörter „Datenerhebung, Verarbeitung und Nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
31. § 267 wird wie folgt geändert:
a) Absatz 6 Satz 5 wird aufgehoben.
b) In Absatz 9 Nummer 3 werden die Wörter „Erhebung und“ gestrichen.
32. In § 268 Absatz 3 Satz 2 werden die Wörter „oder genutzt“ gestrichen.
– 163 –
33. In § 269 Absatz 3d Satz 3 wird das Wort „Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
34. In § 273 Absatz 3 Satz 7 werden die Wörter „oder genutzt“ gestrichen.
35. In § 275b Absatz 2 Satz 4 werden die Wörter „zu erheben, zu verarbeiten und zu nut-zen“ durch die Wörter „zu verarbeiten“ ersetzt.
36. § 276 wird wie folgt geändert:
a) In Absatz 2 Satz 3 werden die Wörter „oder genutzt“ gestrichen.
b) In Absatz 4a Satz 1 werden die Wörter „zu erheben, zu verarbeiten und zu nut-zen“ durch die Wörter „zu verarbeiten“ ersetzt.
37. In der Überschrift des Ersten Titels des Ersten Abschnitts des Zehnten Kapitels wird das Wort „Datenverwendung“ durch das Wort „Datenverarbeitung“ ersetzt.
38. § 284 wird wie folgt geändert:
a) Absatz 1 Satz 4 wird aufgehoben.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „oder genutzt“ gestrichen.
bb) In Satz 2 werden die Wörter „und genutzt“ und die Wörter „und Nutzung“ ge-strichen.
c) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt, werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt und werden die Wörter „oder Nut-zung“ gestrichen.
bb) Die Sätze 3 und 4 werden aufgehoben.
cc) Im bisherigen Satz 5 werden die Wörter „Datenerhebung, Verarbeitung und Nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
39. § 285 Absatz 3 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „oder genutzt“ gestrichen.
b) In Satz 7 werden nach den Wörtern „§ 77 Absatz 6 Satz 2“ die Wörter „dieses Buches“ eingefügt.
40. § 286 wird wie folgt geändert:
a) Die Absätze 1 und 2 werden aufgehoben.
b) Absatz 3 wird wie folgt geändert:
aa) Die Absatzbezeichnung wird gestrichen.
bb) In Nummer 4 wird das Komma und werden die Wörter „insbesondere der Maßnahmen nach der Anlage zu § 78a des Zehnten Buches“ gestrichen.
– 164 –
41. § 291a wird wie folgt geändert:
a) In Absatz 1a Satz 1 werden die Wörter „und Nutzung“ gestrichen.
b) Absatz 2 Satz 2 wird aufgehoben.
c) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden im Satzteil vor der Aufzählung die Wörter „das Erheben, Verarbeiten und Nutzen“ durch die Wörter „die Verarbeitung“ ersetzt und werden im Satzteil nach der Aufzählung die Wörter „und Nutzung“ gestri-chen.
bb) In Satz 3 werden die Wörter „zu erhebenden, zu verarbeitenden oder zu nut-zenden“ durch die Wörter „zu verarbeitenden“ ersetzt.
cc) In den Sätzen 4 und 6 werden die Wörter „dem Erheben, Verarbeiten und Nutzen“ jeweils durch die Wörter „der Verarbeitung“ ersetzt.
dd) Satz 7 wird aufgehoben.
d) In Absatz 4 Satz 1 werden die Wörter „des Erhebens, Verarbeitens oder Nut-zens“ durch die Wörter „der Verarbeitung“ ersetzt.
e) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Das Erheben, Verarbeiten und Nutzen“ durch die Wörter „Die Verarbeitung“ ersetzt und werden die Wörter „dem Einver-ständnis“ durch das Wort „Einwilligung“ ersetzt.
bb) In Satz 3 wird das Wort „Einverständnis“ durch das Wort „Einwilligung“ er-setzt.
cc) In Satz 9 werden die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
f) Absatz 5a wird wie folgt geändert:
aa) In Satz 1 werden im Satzteil vor der Aufzählung die Wörter „des Erhebens, Verarbeitens oder Nutzens“ durch die Wörter „der Verarbeitung“ ersetzt.
bb) In Satz 2 wird im Satzteil vor der Aufzählung das Wort „Einverständnis“ durch das Wort „Einwilligung“ ersetzt.
cc) In Satz 3 werden die Wörter „Sperren oder“ durch die Wörter „zur Einschrän-kung der Verarbeitung oder zum“ ersetzt.
dd) In Satz 5 werden die Wörter „das Erheben, Verarbeiten und Nutzen“ durch die Wörter „die Verarbeitung“ ersetzt.
g) In Absatz 5b Satz 2 wird das Wort „Zustimmung“ durch das Wort „Einwilligung“ ersetzt.
h) In Absatz 6 Satz 1 werden die Wörter „und Nutzung“ gestrichen und wird das Wort „bleiben“ durch das Wort „bleibt“ ersetzt.
– 165 –
i) In Absatz 7 Satz 3 Nummer 2 werden die Wörter „im Falle des Erhebens, Verar-beitens und Nutzens“ durch die Wörter „im Fall der Verarbeitung“ ersetzt.
42. In § 291d Absatz 1 Satz 1 werden die Wörter „zum Erheben, Verarbeiten und Nutzen“ durch die Wörter „zur Verarbeitung“ ersetzt.
43. § 293 wird wie folgt geändert:
a) In Absatz 4 Satz 7 werden die Wörter „das Verzeichnis nicht verwenden“ durch die Wörter „die in dem Verzeichnis enthaltenen Angaben nicht verarbeiten“ er-setzt.
b) Absatz 5 wird wie folgt geändert:
aa) In Satz 5 werden die Wörter „das Verzeichnis nicht verwenden“ durch die Wörter „die in dem Verzeichnis enthaltenen Angaben nicht verarbeiten“ er-setzt.
bb) In Satz 6 wird das Wort „weitergeben“ durch das Wort „übermitteln“ ersetzt.
cc) Satz 7 wird wie folgt gefasst:
„Die in dem Verzeichnis enthaltenen Angaben dürfen nur für die in § 2 des Gesetzes über Rabatte für Arzneimittel genannten Zwecke verarbeitet wer-den.“
c) Absatz 7 wird wie folgt geändert:
aa) In Satz 8 werden die Wörter „das Verzeichnis nicht verwenden“ durch die Wörter „die in dem Verzeichnis enthaltenen Angaben nicht verarbeiten“ er-setzt.
bb) In Satz 9 werden die Wörter „verwenden und nutzen“ durch das Wort „verar-beiten“ ersetzt.
cc) In Satz 10 Nummer 4 wird das Wort „Verwendung“ jeweils durch das Wort „Verarbeitung“ ersetzt.
44. In § 295 Absatz 3 Nummer 4 wird das Wort „Weiterleitung“ durch das Wort „Übermitt-lung“ ersetzt.
45. § 295a wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Für die Abrechnung der im Rahmen von Verträgen nach § 73b und § 140a erbrachten Leistungen sind die an diesen Versorgungsformen teilnehmen-den Leistungserbringer befugt, die nach den Vorschriften dieses Kapitels er-forderlichen Angaben an den Vertragspartner auf Leistungserbringerseite als Verantwortlichen oder an eine nach Absatz 2 beauftragte andere Stelle zu übermitteln; für den Vertragspartner auf Leistungserbringerseite gilt § 35 des Ersten Buches entsprechend.“
bb) In Satz 3 werden die Wörter „und nutzen“ gestrichen.
– 166 –
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
bb) In Satz 2 werden die Wörter „und dass abweichend von dessen Absatz 5 die Beauftragung einer nichtöffentlichen Stelle auch zulässig ist, soweit die Speicherung der Daten den gesamten Datenbestand erfasst; Auftraggeber und Auftragnehmer unterliegen der Aufsicht der nach § 38 des Bundesda-tenschutzgesetzes zuständigen Aufsichtsbehörde“ gestrichen.
cc) In Satz 3 wird das Wort „Auftragnehmer“ durch das Wort „Auftragsverarbei-ter“ ersetzt und werden die Wörter „nach § 78a des Zehnten Buches“ durch die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
c) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt, werden nach dem Wort „schriftlich“ die Wör-ter „oder elektronisch“ eingefügt und wird das Wort „Datenweitergabe“ durch das Wort „Datenübermittlung“ ersetzt.
bb) In Satz 2 wird das Wort „Auftragnehmer“ durch das Wort „Auftragsverarbei-ter“ ersetzt und werden die Wörter „und nutzen“ gestrichen.
46. § 299 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 2 werden die Wörter „zu erheben, zu verarbeiten oder zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
cc) In Satz 8 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
c) In Absatz 1a Satz 1 und 2 werden die Wörter „oder zu nutzen“ jeweils gestrichen.
d) In Absatz 2a Satz 1 werden die Wörter „erhobenen, verarbeiteten und genutzten“ durch das Wort „verarbeiteten“ ersetzt.
e) Absatz 4 wird wie folgt geändert:
aa) In Satz 5 werden die Wörter „erheben und“ gestrichen.
bb) Satz 8 wird wie folgt gefasst:
„Die Daten nach Satz 7 sind von der Versendestelle spätestens sechs Mona-te nach Versendung der Fragebögen zu löschen.“
– 167 –
f) In Absatz 5 werden die Wörter „zu erheben, zu verarbeiten und zu nutzen“ durch die Wörter „zu verarbeiten“ ersetzt.
47. § 300 Absatz 2 Satz 2 wird wie folgt gefasst:
„Die Rechenzentren dürfen die ihnen hierzu übermittelten Daten für im Sozialgesetz-buch bestimmte Zwecke und nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind; anonymisierte Daten dürfen auch für andere Zwecke verarbeitet werden.“
48. § 302 Absatz 2 Satz 3 wird wie folgt gefasst:
„Die Rechenzentren dürfen die ihnen hierzu übermittelten Daten für im Sozialgesetz-buch bestimmte Zwecke und nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind; anonymisierte Daten dürfen auch für andere Zwecke verarbeitet werden.“
49. In § 303 Absatz 2 Satz 1 werden die Wörter „Speicherung, Verarbeitung und Nutzung der“ durch die Wörter „Verarbeitung mit Ausnahme des Erhebens von“ ersetzt.
50. In § 303c Absatz 2 Satz 2 werden die Wörter „und Nutzung“ gestrichen.
51. § 303d Absatz 1 Satz 2 wird aufgehoben.
52. § 303e wird wie folgt geändert:
a) In der Überschrift werden die Wörter „und -nutzung“ gestrichen.
b) In Absatz 1 werden im Satzteil vor der Aufzählung die Wörter „bei der Datenauf-bereitungsstelle gespeicherten Daten können von folgenden Institutionen verar-beitet und genutzt“ durch die Wörter „von der Datenaufbereitungsstelle nach § 303d Absatz 1 übermittelten oder nach Absatz 3 Satz 3 bereitgestellten Daten können von folgenden Institutionen verarbeitet“ ersetzt.
c) In Absatz 2 Satz 1 werden im Satzteil vor der Aufzählung die Wörter „Daten ins-besondere für folgende Zwecke verarbeiten und nutzen“ durch die Wörter „nach § 303d Absatz 1 übermittelten oder die nach Absatz 3 Satz 3 bereitgestellten Da-ten insbesondere für folgende Zwecke verarbeiten“ ersetzt.
d) In Absatz 3 Satz 1 werden die Wörter „und Nutzung“ gestrichen.
53. § 304 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt gefasst:
„Die für Aufgaben der gesetzlichen Krankenversicherung bei Krankenkas-sen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungs-ausschüsse gespeicherten Sozialdaten sind nach folgender Maßgabe zu lö-schen:
1. die Daten nach § 292 spätestens nach zehn Jahren,
2. die Daten nach § 295 Absatz 1a, 1b und 2 sowie die Daten, die für die Prüfungsausschüsse und ihre Geschäftsstellen für die Prüfungen nach den §§ 106 bis 106c erforderlich sind, spätestens nach vier Jahren und
– 168 –
die Daten, die auf Grund der nach § 266 Absatz 7 Satz 1 erlassenen Rechtsverordnung für die Durchführung des Risikostrukturausgleichs nach den §§ 266 und 267 erforderlich sind, spätestens nach den in der Rechtsverordnung genannten Fristen.“
bb) In Satz 3 werden die Wörter „zu sperren“ durch die Wörter „in der Verarbei-tung einzuschränken“ ersetzt.
b) In Absatz 3 wird die Angabe „§ 84 Abs. 2 und 6“ durch die Angabe „§ 84 Ab-satz 6“ ersetzt.
54. § 305 wird wie folgt geändert:
a) In Absatz 1 Satz 3 werden die Wörter „und genutzt“ gestrichen.
b) In Absatz 2 Satz 1 werden die Wörter „schriftlich in verständlicher Form“ durch die Wörter „in verständlicher Form entweder schriftlich oder elektronisch“ ersetzt.
55. In § 305a Satz 3 werden die Wörter „und nutzen“ gestrichen.
Artikel 124
Änderung des Krankenhausentgeltgesetzes
Das Krankenhausentgeltgesetz vom 23. April 2002 (BGBl. I S. 1412, 1422), das zu-letzt durch Artikel 8c des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2615) geändert worden ist, wird wie folgt geändert:
1. In § 17 Absatz 3 Satz 6 werden die Wörter „des Betroffenen, die jederzeit widerrufen werden kann,“ durch die Wörter „der betroffenen Person“ ersetzt.
2. § 21 wird wie folgt geändert:
a) Absatz 3 wird wie folgt geändert:
aa) In Satz 7 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 9 werden die Wörter „und Nutzungen“ gestrichen.
b) In Absatz 3a Satz 2 wird das Wort „weitergeben“ durch das Wort „übermitteln“ er-setzt.
Artikel 125
Änderung des Sechsten Buches Sozialgesetzbuch
Das Sechste Buch Sozialgesetzbuch – Gesetzliche Rentenversicherung – in der Fas-sung der Bekanntmachung vom 19. Februar 2002 (BGBl. I S. 754, 1404, 3384), das zu-letzt durch Artikel 1 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2575) geändert worden ist, wird wie folgt geändert:
– 169 –
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 148 wird wie folgt gefasst:
„§ 148 Datenverarbeitung beim Rentenversicherungsträger“.
b) Die Angabe zu § 150 wird wie folgt gefasst:
„§ 150 Dateisysteme bei der Datenstelle“.
c) Die Angabe zu § 274 wird wie folgt gefasst:
„§ 274 Dateisysteme bei der Datenstelle hinsichtlich der Verordnung (EWG) Nr. 1408/71 des Rates vom 14. Juni 1971“.
2. In § 109 Absatz 5 Satz 2 wird die Angabe „§ 74 Nr. 2 Buchstabe b“ durch die Wörter „§ 74 Absatz 1 Satz 1 Nummer 2 Buchstabe b“ ersetzt.
3. In § 120c Absatz 6 Satz 3 werden die Wörter „§ 74 Satz 1 Nr. 2 Buchstabe b“ durch die Wörter „§ 74 Absatz 1 Satz 1 Nummer 2 Buchstabe b“ ersetzt.
4. In § 127a Absatz 2 Satz 3 wird das Wort „personenbezogenen“ durch das Wort „per-sonenbezogene“ und werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
5. § 145 wird wie folgt geändert:
a) Absatz 1 Satz 4 wird aufgehoben.
b) In Absatz 2 werden die Wörter „eine Datei mit Sozialdaten, die“ durch die Wörter „ein Dateisystem mit Sozialdaten, das“ und werden die Wörter „dieser Datei“ durch die Wörter „dieses Dateisystems“ ersetzt.
6. § 148 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠148
Datenverarbeitung beim Rentenversicherungsträger“.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 3 werden die Wörter „verarbeiten und“ gestrichen.
c) In Absatz 2 werden die Wörter „einer gemeinsamen Datei“ durch die Wörter „ei-nem gemeinsamen Dateisystem“ ersetzt.
d) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
bb) In Satz 3 wird die Angabe „Abs.“ durch das Wort „Absatz“ ersetzt.
– 170 –
e) In Absatz 4 Satz 1 werden die Wörter „einer Datei“ durch die Wörter „eines Da-teisystems“ ersetzt.
7. § 150 wird wie folgt geändert:
a) In der Überschrift wird das Wort „Dateien“ durch das Wort „Dateisysteme“ ersetzt.
b) In Absatz 1 Satz 2 werden die Wörter „oder Nutzung“ gestrichen.
c) Absatz 3 wird wie folgt geändert:
aa) Satz 2 wird wie folgt gefasst:
„Das Identifikationsmerkmal des Arbeitnehmers oder der Arbeitnehmerin ist die Versicherungsnummer.“
bb) Satz 7 wird wie folgt gefasst:
„Das Identifikationsmerkmal des Unternehmens im Inland ist die Betriebs-nummer.“
cc) In Satz 9 werden die Wörter „erhebt, verarbeitet und nutzt“ durch das Wort „verarbeitet“ ersetzt.
d) Absatz 4 wird wie folgt gefasst:
„(4) Bei der Datenstelle darf zu den gesetzlich bestimmten Dateisystemen jeweils ein weiteres Dateisystem geführt werden, soweit dies erforderlich ist, um die Ausführung des Datenschutzes, insbesondere zur Feststellung der Benutzer der Dateisysteme, zu gewährleisten.“
e) In Absatz 5 Satz 1 und 3 werden die Wörter „eine Datei“ jeweils durch die Wörter „ein Dateisystem“ ersetzt.
8. In § 151 Absatz 1 wird die Angabe „Abs.“ durch das Wort „Absatz“ ersetzt.
9. In § 151a Absatz 3 Satz 1 werden die Wörter „§ 78a des Zehnten Buches“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Auf-hebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der je-weils geltenden Fassung“ ersetzt.
10. § 212a wird wie folgt geändert:
a) In Absatz 2 Satz 4 werden die Wörter „in der Datei“ durch die Wörter „im Dateisy-stem“ ersetzt.
b) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „eine Datei, in der“ durch die Wörter „ein Datei-system, in dem“ ersetzt.
bb) In Satz 2 werden die Wörter „dieser Datei“ durch die Wörter „diesem Datei-system“ und wird das Wort „verwenden“ durch das Wort „verarbeiten“ er-setzt.
– 171 –
cc) Satz 3 wird wie folgt geändert:
aaa) In dem Satzteil vor Nummer 1 werden die Wörter „eine Datei, in der“ durch die Wörter „ein Dateisystem, in dem“ ersetzt.
bbb) In dem Satzteil nach Nummer 3 werden die Wörter „der Dateien“ durch die Wörter „der Dateisysteme“ und wird das Wort „verwenden“ durch die Wörter „speichern, verändern, nutzen, übermitteln oder in der Verarbeitung einschränken“ ersetzt.
dd) Satz 4 wird wie folgt geändert:
aaa) In Nummer 1 wird das Wort „Dateien“ durch das Wort „Dateisyste-men“ ersetzt.
bbb) In dem Satzteil nach Nummer 3 werden die Wörter „zu erheben und zu verwenden“ durch die Wörter „zu verarbeiten“ ersetzt.
ee) In Satz 7 wird die Angabe „Abs.“ durch das Wort „Absatz“ ersetzt.
c) In Absatz 6 Nummer 3 werden die Wörter „der Datei“ durch die Wörter „des Da-teisystems“ und werden die Wörter „dieser Datei“ durch die Wörter „dieses Datei-systems“ ersetzt.
11. Die Überschrift zu § 274 wird die folgt gefasst:
㤠274
Dateisysteme bei der Datenstelle hinsichtlich der Verordnung (EWG) Nr. 1408/71 des Rates vom 14. Juni 1971“.
Artikel 126
Änderung des Altersvorsorgeverträge-Zertifizierungsgesetzes
§ 11 Absatz 4 des Altersvorsorgeverträge-Zertifizierungsgesetzes vom 26. Juni 2001 (BGBl. I S. 1310, 1322), das zuletzt durch Artikel 14 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt gefasst:
„(4) Sofern personenbezogene Daten verarbeitet werden, gelten vorbehaltlich des Rechts der Europäischen Union, insbesondere der Verordnung (EU) 2016/679 des Euro-päischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhe-bung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung, die Vorschriften der Abgabenordnung.“
– 172 –
Artikel 127
Änderung der Altersvorsorge-Durchführungsverordnung
Die Altersvorsorge-Durchführungsverordnung in der Fassung der Bekanntmachung vom 28. Februar 2005 (BGBl. I S. 487), die zuletzt durch Artikel 11 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. In § 1 Absatz 1 Nummer 1 werden die Wörter „§ 10 Absatz 2a und 4b“ durch die Wör-ter „§ 10 Absatz 2a, 2b und 4b“ ersetzt.
2. In § 2 Absatz 3 Nummer 1 werden die Wörter „§ 10 Absatz 2a und 4b“ durch die Wör-ter „§ 10 Absatz 2a, 2b und 4b“ ersetzt.
3. § 5 wird wie folgt geändert:
a) In Absatz 2 Satz 2 werden die Wörter „§ 10 Absatz 2a und 4b des Einkommen-steuergesetzes“ durch die Wörter „§ 10 Absatz 2a, 2b und 4b des Einkommen-steuergesetzes“ ersetzt.
b) In Absatz 6 werden die Wörter „§ 10 Absatz 2a und 4b“ durch die Wörter „§ 10 Absatz 2a, 2b und 4b“ ersetzt.
4. In § 23 werden jeweils die Wörter „§ 10 Absatz 2a und 4b des Einkommensteuerge-setzes“ durch die Wörter „§ 10 Absatz 2a, 2b und 4b des Einkommensteuergesetzes“ ersetzt.
Artikel 128
Änderung des Siebten Buches Sozialgesetzbuch
Das Siebte Buch Sozialgesetzbuch – Gesetzliche Unfallversicherung – (Artikel 1 des Gesetzes vom 7. August 1996, BGBl. I S. 1254), das zuletzt durch Artikel 4 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2575) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zu § 199 wird wie folgt gefasst:
„§ 199 Verarbeitung von Daten durch die Unfallversicherungsträger“.
b) Die Angabe zum Achten Kapitel, Zweiter Abschnitt, wird wie folgt gefasst:
„Zweiter Abschnitt
Datenverarbeitung durch Ärzte“.
c) Die Angabe zu § 201 wird wie folgt gefasst:
„§ 201 Erhebung, Speicherung und Übermittlung von Daten durch Ärzte und Psychotherapeuten“.
d) Die Angabe zum Achten Kapitel, Dritter Abschnitt, wird wie folgt gefasst:
– 173 –
„Dritter Abschnitt
Dateisysteme“.
e) Die Angabe zu § 204 wird wie folgt gefasst:
„§ 204 Errichtung eines Dateisystems für mehrere Unfallversicherungsträger“.
f) Die Angabe zu § 206 wird wie folgt gefasst:
„§ 206 Verarbeitung von Daten für die Forschung zur Bekämpfung von Berufskrankheiten“.
g) In der Angabe zu § 207 werden die Wörter „Erhebung, Verarbeitung und Nut-zung“ durch das Wort „Verarbeitung“ ersetzt.
2. § 9 Absatz 9 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Satz 2 werden die Wörter „verarbeitet oder genutzt“ durch die Wörter „gespei-chert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ er-setzt.
3. In § 15 Absatz 2 Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
4. In § 34 Absatz 3 Satz 2 werden die Wörter „Dem Bundesbeauftragten für den Daten-schutz“ durch die Wörter „Dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“ und werden die Wörter „Erhebung, Verarbeitung oder Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
5. In § 188 werden die Sätze 3 und 4 durch folgenden Satz ersetzt:
„Für die Unterrichtung des Versicherten aufgrund seines Auskunftsrechts nach Arti-kel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung über die von den Krankenkassen an den Unfallversicherungsträger übermittelten An-gaben über gesundheitliche Verhältnisse des Versicherten gilt § 25 Absatz 2 des Zehnten Buches entsprechend.“
6. § 199 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠199
Verarbeitung von Daten durch die Unfallversicherungsträger“.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „verarbeitet oder genutzt“ durch die Wörter „ver-ändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ ersetzt.
– 174 –
bb) In Satz 2 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ er-setzt.
7. In § 200 Absatz 2 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ und wird das Wort „sein“ durch das Wort „ihr“ ersetzt.
8. Die Angabe zum Achten Kapitel, Zweiter Abschnitt, wird wie folgt gefasst:
„Zweiter Abschnitt
Datenverarbeitung durch Ärzte“.
9. § 201 wird wie folgt geändert:
a) Die Überschrift zu § 201 wird wie folgt gefasst:
㤠201
Erhebung, Speicherung und Übermittlung von Daten durch Ärzte und Psychothe-rapeuten“.
b) In Absatz 1 werden die Sätze 3 bis 5 durch folgenden Satz ersetzt:
„Für die Unterrichtung des Versicherten aufgrund seines Auskunftsrechts nach Artikel 15 der Verordnung (EU) 2016/679 über die von den Ärzten und den Psychotherapeuten übermittelten Angaben zu seinen gesundheitlichen Verhält-nissen gilt § 25 Absatz 2 des Zehnten Buches entsprechend.“
10. § 202 Satz 2 wird aufgehoben.
11. § 203 Absatz 2 wird wie folgt gefasst:
„(2) Für die Unterrichtung des Versicherten aufgrund seines Auskunftsrechts nach Artikel 15 der Verordnung (EU) 2016/679 über die von den Ärzten und den Zahnärzten an den Unfallversicherungsträger übermittelten Angaben über gesund-heitliche Verhältnisse des Versicherten gilt § 25 Absatz 2 des Zehnten Buches ent-sprechend.“
12. Die Angabe zum Achten Kapitel, Dritter Abschnitt, wird wie folgt gefasst:
„Dritter Abschnitt
Dateisysteme“.
13. § 204 wird wie folgt geändert:
a) Die Überschrift zu § 204 wird wie folgt gefasst:
– 175 –
㤠204
Errichtung eines Dateisystems für mehrere Unfallversicherungsträger“.
b) Absatz 1 Satz 1 wird wie folgt geändert:
aa) Im Satzteil vor Nummer 1 werden die Wörter „einer Datei“ durch die Wörter „eines Dateisystems“ ersetzt.
bb) In Nummer 1 sowie in den Nummern 3 bis 6 werden die Wörter „zu verarbei-ten, zu nutzen“ jeweils durch die Wörter „zu verarbeiten“ ersetzt.
cc) In Nummer 2 werden die Wörter „Vorsorgedateien zu erheben, zu verarbei-ten oder zu nutzen“ durch die Wörter „Vorsorgedateisystemen zu verarbei-ten“ ersetzt.
c) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „In den Dateien“ durch die Wörter „Für die Dateisysteme“ ersetzt und werden das Komma und die Wörter „verarbeitet oder genutzt“ gestrichen.
bb) In den Sätzen 2 und 3 werden die Wörter „In Dateien“ jeweils durch die Wör-ter „Für die Aufnahme in Dateisysteme“ ersetzt und werden die Wörter „ver-arbeitet oder genutzt“ jeweils durch das Wort „erhoben“ ersetzt.
cc) Folgende Sätze werden angefügt:
„Die Speicherung der Sozialdaten eines Versicherten in Dateisystemen nach Absatz 1 Satz 1 Nummer 1 und 2 ist nur zulässig, wenn die betroffene Per-son vorher über die Art der gespeicherten Daten, die speichernde Stelle und den Zweck des Dateisystems durch den Unfallversicherungsträger schriftlich unterrichtet wird. Dabei ist auf § 83 des Zehnten Buches hinzuweisen.“
d) In Absatz 3 werden die Wörter „einer Datei“ durch die Wörter „eines Dateisys-tems“ ersetzt.
e) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „einer Datei“ durch die Wörter „eines Dateisys-tems“ und werden die Wörter „eine gemeinsame Datei“ durch die Wörter „ein gemeinsames Dateisystem“ ersetzt.
bb) Satz 2 wird wie folgt gefasst:
„In dem Dateisystem nach Satz 1 dürfen personenbezogene Daten nur ver-arbeitet werden, soweit der Zweck des Dateisystems ohne die Verarbeitung dieser Daten nicht erreicht werden kann.“
cc) In Satz 3 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ und werden die Wörter „verarbeitet oder genutzt“ durch das Wort „verarbei-tet“ ersetzt.
dd) In Satz 4 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ ersetzt.
f) Absatz 5 wird wie folgt geändert:
– 176 –
aa) In Satz 1 werden die Wörter „die Datei“ durch die Wörter „das Dateisystem“ ersetzt.
bb) In Satz 2 werden die Wörter „der Datei“ durch die Wörter „dem Dateisystem“ und wird das Wort „dateiführenden“ durch das Wort „dateisystemführenden“ ersetzt.
g) Absatz 6 wird wie folgt gefasst:
„(6) Der Unfallversicherungsträger oder der Verband, der das Dateisystem errichtet, hat dem oder der Bundesbeauftragten für den Datenschutz und die In-formationsfreiheit oder der nach Landesrecht für die Kontrolle des Datenschutzes zuständigen Stelle rechtzeitig die Errichtung eines Dateisystems nach Absatz 1 oder 4 vorher schriftlich oder elektronisch anzuzeigen.“
h) Absatz 7 wird wie folgt gefasst:
„(7) Verantwortlicher für die Erfüllung der Informationspflicht nach Artikel 13 der Verordnung (EU) 2016/679 ist der Unfallversicherungsträger, der für den Versicherten zuständig ist.“
14. § 206 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠206
Verarbeitung von Daten für die Forschung zur Bekämpfung von Berufskrankhei-ten“.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden in dem Satzteil vor Nummer 1 die Wörter „erheben, verar-beiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 1 Nummer 2 und in Satz 2 werden die Wörter „Erhebung, Verarbei-tung und Nutzung“ jeweils durch das Wort „Verarbeitung“ ersetzt.
cc) In Satz 3 werden die Wörter „der Bundesbeauftragte für den Datenschutz“ durch die Wörter „der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“ und werden die Wörter „der Landesbeauftragte für den Datenschutz“ durch die Wörter „die nach Landesrecht für die Kontrolle des Datenschutzes zuständige Stelle“ ersetzt.
c) In Absatz 3 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
15. In der Überschrift zu § 207 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
– 177 –
Artikel 129
Änderung des Achten Buches Sozialgesetzbuch
Das Achte Buch Sozialgesetzbuch – Kinder und Jugendhilfe – in der Fassung der Bekanntmachung vom 11. September 2012 (BGBl. I S. 2022), das zuletzt durch Artikel 10 Absatz 10 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist, wird wie folgt geändert:
1. In § 61 werden in Absatz 1 bis 3 die Wörter „Erhebung und Verwendung“ jeweils durch das Wort „Verarbeitung“ ersetzt.
2. § 62 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der be-troffenen Person“ ersetzt.
bb) In Satz 2 wird das Wort „Er“ durch das Wort „Sie“ und werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) Im ersten Satzteil werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
bb) In Nummer 2 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der betroffenen Person“ ersetzt.
cc) In Nummer 3 werden die Wörter „beim Betroffenen“ durch die Wörter „bei der betroffenen Person“ und werden die Wörter „des Betroffenen“ durch die Wör-ter „der betroffenen Person“ ersetzt.
dd) In Nummer 4 werden die Wörter „bei dem Betroffenen“ durch die Wörter „bei der betroffenen Person“ ersetzt.
c) In Absatz 4 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
3. In § 64 Absatz 2a werden die Wörter „der verantwortlichen Stelle nicht“ durch die Wörter „nicht dem Verantwortlichen“ ersetzt.
4. § 65 Absatz 1 wird wie folgt geändert:
a) In Satz 1 werden nach dem Wort „weitergegeben“ die Wörter „oder übermittelt“ eingefügt.
b) Satz 2 wird wie folgt gefasst:
„Der Empfänger darf die Sozialdaten nur zu dem Zweck weitergeben oder über-mitteln, zu dem er sie befugt erhalten hat.“
5. § 68 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
– 178 –
aa) In Satz 1 werden die Wörter „erheben und verwenden“ durch das Wort „ver-arbeiten“ ersetzt.
bb) Folgender Satz wird angefügt:
„Die Informationspflichten nach Artikel 13 und 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fas-sung bestehen nur, soweit die Erteilung der Informationen
1. mit der Wahrung der Interessen der minderjährigen Person vereinbar ist und
2. sie nicht die Erfüllung der Aufgaben gefährdet, die in der Zuständigkeit des Beistands, des Amtspflegers oder des Amtsvormundes liegen.“
b) Absatz 2 wird wie folgt gefasst:
„(2) § 84 des Zehnten Buches gilt entsprechend.“
c) Absatz 3 wird wie folgt gefasst:
„(3) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit die betroffene Person nach Ab-satz 1 Satz 3 nicht zu informieren ist oder durch die Auskunftserteilung berechtig-te Interessen Dritter beeinträchtigt würden. Einer Person, die unter Beistand-schaft, Amtspflegschaft oder Amtsvormundschaft gestanden und ihr 18. Lebens-jahr noch nicht vollendet hat, kann Auskunft erteilt werden, soweit sie die erfor-derliche Einsichts- und Urteilsfähigkeit besitzt und die Auskunftserteilung nicht nach Satz 1 ausgeschlossen ist. Nach Beendigung einer Beistandschaft hat dar-über hinaus der Elternteil, der die Beistandschaft beantragt hat, einen Anspruch auf Kenntnis der gespeicherten Daten, solange der junge Mensch minderjährig ist, der Elternteil antragsberechtigt ist und die Auskunftserteilung nicht nach Satz 1 ausgeschlossen ist.“
d) In Absatz 4 wird das Wort „verwenden“ durch die Wörter „speichern und nutzen“ und wird das Wort „weitergegeben“ durch das Wort „übermittelt“ ersetzt.
Artikel 130
Änderung des Neunten Buches Sozialgesetzbuch
Das Neunte Buch Sozialgesetzbuch vom 23. Dezember 2016 (BGBl. I S. 3234), das zuletzt durch Artikel 23 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2541) geändert wor-den ist, wird wie folgt geändert:
1. § 23 wird wie folgt geändert:
a) Absatz 1 wird wie folgt gefasst:
– 179 –
„(1) Der für die Durchführung des Teilhabeplanverfahrens verantwortliche Rehabilitationsträger ist bei der Erstellung des Teilhabeplans und bei der Durch-führung der Teilhabeplankonferenz Verantwortlicher für die Verarbeitung von So-zialdaten nach § 67 Absatz 4 des Zehnten Buches sowie Stelle im Sinne von § 35 Absatz 1 des Ersten Buches.“
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „die nach Absatz 1 verantwortliche Stelle“ durch die Wörter „der nach Absatz 1 Verantwortliche“ und werden die Wörter „er-hoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb) Satz 2 wird wie folgt gefasst:
„Nach Durchführung der Teilhabeplankonferenz ist die Speicherung, Verän-derung, Nutzung, Übermittlung oder Einschränkung der Verarbeitung von Sozialdaten im Sinne von Satz 1 nur zulässig, soweit dies für die Erstellung des Teilhabeplans erforderlich ist.“
2. § 96 Absatz 4 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
b) Die Sätze 2 und 3 werden aufgehoben.
Artikel 131
Änderung des Zehnten Buches Sozialgesetzbuch
Das Zehnte Buch Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdaten-schutz – in der Fassung der Bekanntmachung vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch Artikel 10 Absatz 11 des Gesetzes vom 30. Oktober 2017 (BGBl. I S. 3618) geändert worden ist, wird wie folgt geändert:
1. In § 67 Absatz 1 werden die Wörter „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72)“ durch die Wörter „(ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ er-setzt.
2. § 67b wird wie folgt geändert:
a) In Absatz 2 wird nach Satz 1 folgender Satz eingefügt:
„Die Einwilligung zur Verarbeitung von genetischen, biometrischen oder Gesund-heitsdaten oder Betriebs- oder Geschäftsgeheimnissen hat schriftlich oder elekt-ronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.“
b) Dem Absatz 3 werden folgende Sätze angefügt:
„Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne des Absatzes 2 Satz 2 auch dann vor, wenn durch die Einholung einer schriftlichen oder elektronischen Einwilligung der Forschungszweck erheblich
– 180 –
beeinträchtigt würde. In diesem Fall sind die Gründe, aus denen sich die erhebli-che Beeinträchtigung des Forschungszweckes ergibt, schriftlich festzuhalten.“
3. In § 67c Absatz 4 wird das Wort „verwendet“ durch die Wörter „verändert, genutzt und in der Verarbeitung eingeschränkt“ ersetzt.
4. In § 68 Absatz 1a wird die Angabe „Absatz 2“ durch die Angabe „Absatz 3“ ersetzt.
5. § 71 wird wie folgt geändert:
a) In Absatz 1 Satz 3 werden die Wörter „nach den §§ 2 und 5 des Bundesarchiv-gesetzes oder“ durch die Wörter „des Bundes nach § 1 Nummer 8 und 9, § 3 Ab-satz 4, nach den §§ 5 bis 7 sowie nach den §§ 10 bis 13 des Bundesarchivgeset-zes oder nach“ ersetzt.
b) Absatz 2 Satz 1 wird wie folgt geändert:
aa) In Nummer 3 wird am Ende das Wort „oder“ gestrichen.
bb) In Nummer 4 wird der Punkt am Ende durch ein Komma ersetzt und werden folgende Nummern 5 und 6 angefügt:
„5. für die Erfüllung der in § 32 Absatz 1 Satz 1 und 2 des Staatsangehö-rigkeitsgesetzes bezeichneten Mitteilungspflichten oder
6. für die Erfüllung der nach § 8 Absatz 1c des Asylgesetzes bezeichneten Mitteilungspflichten der Träger der Grundsicherung für Arbeitsuchende.“
6. § 75 wird wie folgt geändert:
a) In Absatz 3 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
b) Absatz 4 wird wie folgt geändert:
aa) In Satz 2 werden nach den Wörtern „Versicherungsträgern nach § 1 Ab-satz 1 Satz 1 des Vierten Buches“ die Wörter „oder von deren Verbänden“ eingefügt.
bb) In Satz 5 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
c) In Absatz 4a Satz 1 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
7. § 78 Absatz 1 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „speichern, verändern, nutzen, übermitteln, in der Verarbeitung einschränken oder löschen“ durch das Wort „verarbeiten“ ersetzt.
b) In Satz 2 werden nach dem Wort „Sozialdaten“ die Wörter „nach den §§ 68 bis 77 oder nach einer anderen Rechtsvorschrift in diesem Gesetzbuch“ und werden nach den Wörtern „nicht-öffentliche Stelle“ die Wörter „auf deren Ersuchen hin“ eingefügt.
8. Dem § 80 Absatz 3 wird folgender Satz angefügt:
„Dies gilt nicht, wenn Dienstleister in der Informationstechnik, deren absolute Mehr-heit der Anteile oder deren absolute Mehrheit der Stimmen dem Bund oder den Län-
– 181 –
dern zusteht, mit vorheriger Genehmigung der obersten Dienstbehörde des Verant-wortlichen beauftragt werden.“
Artikel 132
Änderung des Elften Buches Sozialgesetzbuch
Das Elfte Buch Sozialgesetzbuch – Soziale Pflegeversicherung – (Artikel 1 des Ge-setzes vom 26. Mai 1994, BGBl. I S. 1014, 1015), das zuletzt durch Artikel 9 des Geset-zes vom 18. Juli 2017 (BGBl. I S. 2757) geändert worden ist, wird wie folgt geändert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Die Angabe zum Ersten Titel des Ersten Abschnitts des Neunten Kapitels wird wie folgt gefasst:
„Erster Titel
Grundsätze der Datenverarbeitung“.
b) Die Angabe zu § 96 wird wie folgt gefasst:
„§ 96 Gemeinsame Verarbeitung personenbezogener Daten“.
2. In § 7a Absatz 6 wird im Satzteil nach der Aufzählung das Wort „erheben,“ und wer-den die Wörter „und nutzen“ gestrichen.
3. § 7b wird wie folgt geändert:
a) In Absatz 2a Satz 4 wird das Wort „Erhebung,“ und werden die Wörter „und Nut-zung“ gestrichen.
b) In Absatz 3 Satz 1 wird das Wort „erheben,“ und werden die Wörter „und nutzen“ gestrichen.
4. In § 7c Absatz 5 wird im Satzteil nach der Aufzählung das Wort „erheben,“ und wer-den die Wörter „und nutzen“ gestrichen.
5. In § 38a Absatz 2 werden im Satzteil vor der Aufzählung die Wörter „zu erheben,“ und die Wörter „und zu nutzen“ gestrichen.
6. In § 44 Absatz 6 Satz 2 werden die Wörter „und nutzen“ gestrichen.
7. § 47a Absatz 2 wird wie folgt geändert:
a) In den Sätzen 1 und 4 werden die Wörter „weitergegeben oder“ jeweils gestri-chen.
b) In den Sätzen 3 und 5 werden die Wörter „und nutzen“ jeweils gestrichen.
8. Der Erste Titel des Ersten Abschnitts des Neunten Kapitels wird wie folgt gefasst:
– 182 –
„Erster Titel
Grundsätze der Datenverarbeitung“.
9. § 93 wird wie folgt gefasst:
㤠93
Anzuwendende Vorschriften
Für den Schutz personenbezogener Daten bei der Verarbeitung in der Pflegever-sicherung gelten § 35 des Ersten Buches, die §§ 67 bis 84 und § 85a des Zehnten Buches sowie die Vorschriften dieses Buches.“
10. § 94 wird wie folgt geändert:
a) In Absatz 1 Satz 1 wird im Satzteil vor der Aufzählung das Wort „erheben,“ und werden die Wörter „und nutzen“ gestrichen.
b) In Absatz 2 Satz 1 werden die Wörter „oder genutzt“ gestrichen.
11. In § 95 Absatz 1 wird im Satzteil vor der Aufzählung das Wort „erheben,“ und werden die Wörter „und nutzen“ gestrichen.
12. § 96 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠96
Gemeinsame Verarbeitung personenbezogener Daten“.
b) In Absatz 1 Satz 1 wird nach dem Wort „dürfen“ das Wort „erhobene“ eingefügt und werden die Wörter „und nutzen“ gestrichen.
13. § 97 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „erheben,“ und werden die Wörter „und nutzen“ ge-strichen.
bb) Satz 2 wird wie folgt gefasst:
„Nach Satz 1 erhobene Daten dürfen für andere Zwecke nur verarbeitet wer-den, soweit dies durch Rechtsvorschriften des Sozialgesetzbuches angeord-net oder erlaubt ist.“
b) In Absatz 2 wird das Wort „erhebt,“, werden die Wörter „oder nutzt“ und die Wör-ter „oder nutzen“ gestrichen.
14. In § 97a Absatz 1 Satz 1 werden die Wörter „zu erheben,“ und die Wörter „und zu nutzen“ gestrichen.
– 183 –
15. In § 97b werden die Wörter „und zu nutzen“ gestrichen.
16. In § 97d Absatz 1 Satz 1 werden die Wörter „zu erheben,“ und die Wörter „und zu nutzen“ gestrichen.
17. In § 102 Satz 1 wird das Wort „aufzuzeichnen“ durch die Wörter „zu speichern“ er-setzt.
18. § 104 wird wie folgt geändert:
a) In Absatz 1 wird im Satzteil nach der Aufzählung das Wort „aufzuzeichnen“ durch die Wörter „zu speichern“ ersetzt.
b) Absatz 3 wird wie folgt gefasst:
„(3) Trägervereinigungen dürfen die ihnen nach Absatz 2 oder § 115 Ab-satz 1 Satz 2 übermittelten personenbezogenen Daten verarbeiten, soweit dies für ihre Beteiligung an Qualitätsprüfungen oder Maßnahmen der Qualitätssiche-rung nach diesem Buch erforderlich ist.“
19. In § 106a Satz 1 wird das Wort „Einverständnis“ durch das Wort „Einwilligung“ ersetzt.
20. In § 107 Absatz 1 Satz 1 werden im Satzteil vor der Aufzählung die Wörter „§ 84 des Zehnten Buches entsprechend mit der Maßgabe“ gestrichen.
21. § 113 Absatz 1b wird wie folgt geändert:
a) In Satz 3 wird das Wort „leitet“ durch das Wort „übermittelt“ ersetzt und wird das Wort „weiter“ und werden die Wörter „und nutzen“ gestrichen.
b) In Satz 4 wird das Wort „Weiterleitung“ durch das Wort „Übermittlung“ ersetzt.
22. In § 114a Absatz 3 Satz 6 wird das Wort „Erhebung,“ und werden die Wörter „und Nutzung“ gestrichen.
23. In § 125 Absatz 2 Satz 3 wird das Wort „erhoben,“ und werden die Wörter „und ge-nutzt“ gestrichen.
Artikel 133
Änderung des Zwölften Buches Sozialgesetzbuch
Das Zwölfte Buch Sozialgesetzbuch – Sozialhilfe – (Artikel 1 des Gesetzes vom 27. Dezember 2003, BGBl. I S. 3022, 3023), das zuletzt durch Artikel 2 des Gesetzes vom 17. August 2017 (BGBl. I S. 3214) geändert worden ist, wird wie folgt geändert:
1. In § 4 Absatz 3 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. In § 36 Absatz 2 Satz 4 wird das Wort „verwendet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt und in der Verarbeitung eingeschränkt“ ersetzt.
3. § 118 wird wie folgt geändert:
– 184 –
a) In Absatz 1a wird das Wort „Rentenversicherungsträger“ durch das Wort „Ren-tenversicherung“ ersetzt.
b) In Absatz 3 Satz 2 werden die Wörter „der bei ihr für die Prüfung bei den Arbeit-gebern geführten Datei (§ 28p Abs. 8 Satz 2 des Vierten Buches)“ durch die Wör-ter „des bei ihr für die Prüfung bei den Arbeitgebern geführten Dateisystems (§ 28p Absatz 8 Satz 2 des Vierten Buches)“ ersetzt.
4. In § 120 Nummer 2 werden nach den Wörtern „die Verfahren“ die Wörter „und die Kosten“ eingefügt.
5. § 128h Absatz 4 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „Verarbeitung und Nutzung“ durch das Wort „Verar-beitung“ ersetzt.
b) In Satz 3 wird das Wort „verwendet“ durch die Wörter „gespeichert, verändert, genutzt, übermittelt oder in der Verarbeitung eingeschränkt“ ersetzt.
Artikel 134
Änderung des Wohngeldgesetzes
Der § 33 des Wohngeldgesetzes vom 24. September 2008 (BGBl. I S. 1856), das zu-letzt durch Artikel 22 Absatz 4 des Gesetzes vom 11. November 2016 (BGBl. I S. 2500) geändert worden ist, wird wie folgt geändert:
1. In Absatz 3 Satz 4 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
2. In Absatz 5 Satz 4 werden die Wörter „der bei ihr für die Prüfung bei den Arbeitge-bern geführten Datei im Sinne des § 28p Abs. 8 Satz 3 des Vierten Buches Sozialge-setzbuch“ durch die Wörter „des bei ihr für die Prüfung bei den Arbeitgebern geführ-ten Dateisystems im Sinne des § 28p Absatz 8 Satz 3 des Vierten Buches Sozialge-setzbuch“ ersetzt.
Artikel 135
Änderung des Postgesetzes
Das Postgesetz vom 22. Dezember 1997 (BGBl. I S. 3294), das durch Artikel 169 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, wird wie folgt geän-dert:
1. Die Inhaltsübersicht wird wie folgt geändert:
a) Nach der Angabe zu § 41 werden folgende Angaben eingefügt:
㤠41a Adressdaten
§ 41b Ausweisdaten
– 185 –
§ 41c Fundbriefe“.
b) Die Angabe zu § 50 wird gestrichen.
2. § 40 Satz 2 wird aufgehoben.
3. § 41 wird durch folgende §§ 41, 41a, 41b und 41c ersetzt:
㤠41
Datenschutz
Für Unternehmen und Personen, die geschäftsmäßig Postdienste erbringen oder an der Erbringung solcher Dienste mitwirken (Diensteanbieter), werden die Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoge-ner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-tenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung durch die Rege-lungen der §§ 41a bis 42 ergänzt.
§ 41a
Adressdaten
(1) Diensteanbieter dürfen personenbezogene Daten, die sich auf die vorüber-gehende oder dauerhafte Änderung einer Anschrift beziehen, anderen Diensteanbie-tern übermitteln, soweit dies zu Zwecken des ordnungsgemäßen Auslieferns von Postsendungen erforderlich ist. Die Anschrift umfasst den Namen, die Zustell- oder Abholangaben und den Bestimmungsort mit postalischen Leitangaben. Hat die be-troffene Person bei der Erteilung eines Nachsendeauftrags darin eingewilligt, dass die Anschriftenänderung dem Absender einer mit einer unzutreffenden Anschrift der be-troffenen Person versehenen Postsendung auf Verlangen zu Zwecken der zutreffen-den Adressierung künftiger Postsendungen mitgeteilt wird, dürfen die anderen Diensteanbieter die ihnen nach Satz 1 übermittelte Anschriftenänderung ebenfalls dem Absender einer solchen Sendung auf Verlangen zum Zwecke der zutreffenden Adressierung künftiger Postsendungen mitteilen.
(2) Diensteanbieter, die Postfachanlagen betreiben, dürfen auf Anfrage jeder Person die Postfachadresse des Postfachinhabers mitteilen. Sie dürfen anderen Diensteanbietern Daten übermitteln, die im Rahmen deren Tätigkeit für die Zuführung von Postsendungen über diese Postfachanlagen erforderlich sind.
(3) Diensteanbieter dürfen personenbezogene Daten der Empfänger und Ersat-zempfänger von Postsendungen verarbeiten, soweit dies für die ordnungsgemäße Zustellung der Postsendungen erforderlich ist. Sie dürfen im Einzelfall zur Gewähr-leistung einer ordnungsgemäßen Zustellung von Postsendungen personenbezogene Daten über besondere bei der Zustellung an einen Adressaten zu beachtende Um-stände verarbeiten.
(4) Diensteanbieter dürfen einem Dritten auf sein Verlangen Auskunft darüber erteilen, ob die angegebene Anschrift eines am Postverkehr Beteiligten richtig ist, soweit die Anschriftenprüfung für Zwecke des Postverkehrs erforderlich ist. Schreib-
– 186 –
fehler und ähnliche offenbare Unrichtigkeiten bei der Angabe einer gegenwärtig be-stehenden Anschrift dürfen vom Diensteanbieter berichtigt werden.
§ 41b
Ausweisdaten
(1) Diensteanbieter können von am Postverkehr Beteiligten verlangen, sich über ihre Person durch Vorlage eines gültigen Personalausweises oder Passes oder durch Vorlage sonstiger amtlicher Ausweispapiere auszuweisen, um die ordnungsgemäße Ausführung des Postdienstes sicherzustellen.
(2) Besteht ein besonderes Beweissicherungsinteresse, so können zum späte-ren Beweis der ordnungsgemäßen Ausführung des Postdienstes folgende Daten des Ausweispapiers gespeichert werden:
1. die Art des Ausweises,
2. die ausstellende Behörde,
3. die Nummer des Ausweises sowie
4. das Ausstellungsdatum.
(3) Eine Verarbeitung der Daten ist zulässig, um Beweis über die ordnungsge-mäße Ausführung des Postdienstes zu erbringen.
(4) Die Daten sind spätestens sechs Monate nach Ablauf gesetzlicher oder ver-traglicher Verjährungsfristen zu löschen.
§ 41c
Fundbriefe
Diensteanbieter dürfen personenbezogene Daten auch in den Fällen verarbeiten, in denen Postsendungen in ihren Betriebsablauf gelangt sind, die nicht zur Beförde-rung durch sie bestimmt waren, soweit die Verarbeitung dieser Daten zur Zustellung oder Rückführung der Postsendungen oder zum Zwecke der Entgeltabrechnung er-forderlich ist. Diensteanbieter dürfen diese Postsendungen öffnen, wenn weder hin-reichende Absender- oder Empfängerangaben auf dem Umschlag erkennbar sind noch eine Übergabe der Postsendung an den vom Kunden gewählten Diensteanbie-ter möglich ist.“
4. § 42 wird wie folgt geändert:
a) Absatz 1 Satz 1 wird wie folgt gefasst:
„Die Regulierungsbehörde kann Anordnungen treffen, um die Einhaltung der in den §§ 33, 39 und 40 enthaltenen Pflichten sicherzustellen.“
b) In Absatz 2 Satz 1 werden die Wörter „§§ 33 und 39 bis 41 sowie die auf Grund des § 41 Abs. 1 ergangene Rechtsverordnung“ durch die Wörter „in den §§ 33, 39 oder 40 enthaltenen Pflichten“ ersetzt.
– 187 –
c) Die Absätze 3 und 4 werden durch die folgenden Abätze 3 bis 5 ersetzt:
„(3) Soweit für das geschäftsmäßige Erbringen von Postdienstleistungen per-sonenbezogene Daten verarbeitet werden, tritt bei den Unternehmen an die Stel-le der Aufsicht nach § 40 des Bundesdatenschutzgesetzes eine Aufsicht durch die oder den Bundesbeauftragten für den Datenschutz und die Informationsfrei-heit.
(4) Durch Auskünfte und Überprüfungen dürfen die Regulierungsbehörde und die oder der Bundesbeauftragte für den Datenschutz und die Informations-freiheit Kenntnis über die näheren Umstände des Postverkehrs bestimmter Per-sonen erlangen, soweit dies zur Ausübung ihrer Kontrollaufgaben erforderlich ist. Das Postgeheimnis nach Artikel 10 des Grundgesetzes wird insoweit einge-schränkt.
(5) Die Regulierungsbehörde und die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wirken auf eine einheitliche Auslegung dieses Gesetzes hin. Sie haben sich gegenseitig Beobachtungen und Feststel-lungen mitzuteilen, die für die Erfüllung ihrer jeweiligen Aufgaben von Bedeutung sind.“
5. In § 49 wird folgender Absatz 3 angefügt:
„(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist die Regulierungsbehörde. Die Befugnisse der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach der Ver-ordnung (EU) 2016/679 bleiben unberührt.“
6. § 50 wird aufgehoben.
Artikel 136
Aufhebung der Postdienste-Datenschutzverordnung
Die Postdienste-Datenschutzverordnung vom 2. Juli 2002 (BGBl. I S. 2494) wird auf-gehoben.
Artikel 137
Änderung des Straßenverkehrsgesetzes
Das Straßenverkehrsgesetz in der Fassung der Bekanntmachung vom 5. März 2003 (BGBl. I S. 310, 919), das zuletzt durch Artikel 6 des Gesetzes vom 17. August 2017 (BGBl. I S. 3202) geändert worden ist, wird wie folgt geändert:
1. § 2 wird wie folgt geändert:
a) In Absatz 9 Satz 6 werden die Wörter „Anstelle einer Vernichtung der Unterlagen sind die darin enthaltenen Daten zu sperren“ durch die Wörter „Anstelle einer Vernichtung der Unterlagen ist die Verarbeitung der darin enthaltenen Daten ein-zuschränken“ ersetzt.
– 188 –
b) In Absatz 14 Satz 2 werden die Wörter „und nutzen“ gestrichen.
2. In § 2b Absatz 1 Satz 2 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
3. In § 4a Absatz 6 Satz 2 Nummer 1 bis 3 und 4 Buchstabe a und b wird jeweils das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
4. § 6 Absatz 1 wird wie folgt geändert:
a) Nummer 1 wird wie folgt geändert:
aa) In Buchstabe d werden die Wörter „und Nutzung“ gestrichen und die Wörter „verantwortlichen Stellen oder Personen“ durch das Wort „Verantwortlichen“ ersetzt.
bb) In Buchstabe k werden jeweils die Wörter „und Nutzung“ gestrichen.
cc) In Buchstabe n werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
dd) In Buchstabe p werden im zweiten Spiegelstrich die Wörter „und Nutzung“ gestrichen.
b) Nummer 2 wird wie folgt geändert:
aa) In Buchstabe p werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
bb) In Buchstabe r werden die Wörter „und Nutzung“ gestrichen.
5. § 6g Absatz 4 wird wie folgt geändert:
a) Satz 1 wird wie folgt geändert:
aa) In Nummer 8 Buchstabe b werden die Wörter „einer Datei, die“ durch die Wörter „einem Dateisystem, das“ ersetzt.
bb) In Nummer 9 werden die Wörter „einer zentralen Datei“ durch die Wörter „ei-nes zentralen Dateisystems“ ersetzt.
b) In Satz 2 werden das Wort „Die“ durch das Wort „Das“ und das Wort „Datenbank“ durch das Wort „Dateisystem“ ersetzt.
6. § 25 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“, das Wort „er“ durch das Wort „sie“ und das Wort „ihm“ durch das Wort „ihr“ ersetzt.
bb) In Satz 2 werden die Wörter „den Betroffenen“ durch die Wörter „die be-troffene Person“ ersetzt.
b) In Absatz 2a und Absatz 2b Satz 1 werden jeweils die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
– 189 –
c) In Absatz 4 Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ und das Wort „er“ durch das Wort „sie“ ersetzt.
d) In Absatz 6 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
e) In Absatz 7 Satz 1 und Absatz 8 werden jeweils die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
7. § 28 wird wie folgt geändert:
a) In Absatz 3 Nummer 3 Buchstabe a werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
b) In Absatz 5 Satz 1 und 2 wird jeweils das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
c) In Absatz 6 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
8. In § 28a Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
9. § 29 wird wie folgt geändert:
a) In Absatz 3 Nummer 4 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) Absatz 6 wird wie folgt geändert:
aa) Satz 3 wird wie folgt geändert:
aaa) Im ersten Halbsatz wird das Wort „genutzt“ durch das Wort „verwen-det“ ersetzt.
bbb) In Nummer 3 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
bb) In Satz 4 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
c) Absatz 7 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ und das Wort „seinem“ durch das Wort „ihrem“ ersetzt.
bb) In Satz 2 und 3 wird jeweils das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
10. § 30 wird wie folgt geändert:
a) In Absatz 5 Satz 1 und 2 wird jeweils das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
b) Absatz 6 wird wie folgt geändert:
aa) In den Sätzen 1 und 2 werden jeweils die Wörter „und nutzen“ gestrichen.
– 190 –
bb) In Satz 4 werden die Wörter „und Nutzung“ gestrichen.
c) Absatz 7 wird wie folgt geändert:
aa) In Satz 2 werden die Wörter „oder genutzt“ gestrichen.
bb) In Satz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
d) In Absatz 8 Satz 1 werden die Wörter „Dem Betroffenen“ durch die Wörter „Der betroffenen Person“ und das Wort „ihn“ durch das Wort „sie“ ersetzt.
11. § 30a wird wie folgt geändert:
a) Absatz 2 Nummer 1 wird wie folgt gefasst:
„1. die erforderlichen technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Per-sonen bei der Verarbeitung personenbezogener Daten, zum freien Daten-verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung zur Si-cherstellung des Datenschutzes und der Datensicherheit getroffen werden und“.
b) Absatz 5 Satz 2 wird wie folgt geändert:
aa) Im Satzteil vor Nummer 1 wird das Wort „soweit“ durch das Wort „wenn“ er-setzt.
bb) In Nummer 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Per-sonen“ ersetzt.
cc) Nummer 2 wird wie folgt gefasst:
„2. der Empfängerstaat die Verordnung (EU) 2016/679 anwendet.“
12. § 36 Absatz 5 wird wie folgt geändert:
a) In Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) Nummer 2 wird wie folgt gefasst:
„2. die erforderlichen technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 zur Sicherstellung des Datenschutzes und der Datensicherheit getroffen werden und“.
13. § 37 wird wie folgt geändert:
a) In Absatz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
b) In Absatz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
14. § 37a Absatz 3 Satz 1 wird wie folgt geändert:
– 191 –
a) Im Satzteil vor Nummer 1 wird das Wort „soweit“ durch das Wort „wenn“ ersetzt.
b) In Nummer 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
c) In Nummer 2 werden die Wörter „Richtlinie 95/46/EWG des Europäischen Parla-ments und des Rates vom 24. Oktober 1995 (ABl. EG Nr. L 281 S. 31)“ durch die Wörter „Verordnung (EU) 2016/679“ ersetzt.
15. § 38 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠38
Übermittlung an und Verwendung durch den Empfänger für wissenschaftliche Zwecke“.
b) In Absatz 1 Nummer 3 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
c) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
bb) In Satz 2 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.
d) In Absatz 5 Satz 2 wird das Wort „Nutzung“ durch das Wort „Verwendung“ er-setzt.
e) Absatz 8 wird aufgehoben.
16. § 38a wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠38a
Übermittlung an und Verwendung durch den Empfänger für statistische Zwecke“.
b) In Absatz 2 wird das Wort „Es“ durch die Wörter „Für die Verwendung der Daten nach Absatz 1“ ersetzt.
17. § 38b wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
– 192 –
㤠38b
Übermittlung an und Verwendung durch den Empfänger für planerische Zwecke“.
b) In Absatz 1 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ und die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Per-son“ ersetzt.
c) Absatz 2 wird wie folgt geändert:
aa) In Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Nummer 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
18. § 41 wird wie folgt geändert:
a) In Absatz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“, das Wort „er“ durch das Wort „sie“ und das Wort „seine“ durch das Wort „ihre“ ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 4 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
c) In Absatz 4 Satz 2 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
19. § 42 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠42
Datenabgleich zur Beseitigung von Fehlern“.
b) In Absatz 1 Satz 1 und 2 wird jeweils das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
20. § 43 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠43
Allgemeine Vorschriften für die Datenübermittlung an und die Verarbeitung der Daten durch den Empfänger“.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 und 2 werden jeweils die Wörter „und nutzen“ gestrichen.
– 193 –
bb) In Satz 4 werden die Wörter „und Nutzung“ gestrichen.
21. § 44 Absatz 1 Satz 2 wird aufgehoben.
22. In § 45 Satz 1 werden die Wörter „Erhebung, Verarbeitung und sonstige Nutzung“ durch das Wort „Verarbeitung“ ersetzt und die Wörter „(anonymisierte Daten)“ gestri-chen.
23. In § 50 Absatz 2 Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
24. § 53 Absatz 2 Nummer 1 wird wie folgt gefasst:
„1. die erforderlichen technischen und organisatorischen Maßnahmen nach den Ar-tikeln 24, 25 und 32 der Verordnung (EU) 2016/679 zur Sicherstellung des Da-tenschutzes und der Datensicherheit getroffen werden und“.
25. § 55 wird wie folgt geändert:
a) In Absatz 2 werden die Wörter „oder genutzt“ gestrichen.
b) In Absatz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
26. § 56 Absatz 2 Satz 1 wird wie folgt geändert:
a) Im Satzteil vor Nummer 1 wird das Wort „soweit“ durch das Wort „wenn“ ersetzt.
b) In Nummer 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
c) Nummer 2 wird wie folgt gefasst:
„2. der Empfängerstaat die Verordnung (EU) 2016/679 anwendet.“
27. § 57 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠57
Übermittlung an und Verwendung durch den Empfänger für wissenschaftliche, statistische und gesetzgeberische Zwecke“.
b) Das Wort „Nutzung“ wird durch das Wort „Verwendung“ ersetzt.
28. § 59 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
– 194 –
㤠59
Datenabgleich zur Beseitigung von Fehlern“.
b) In Absatz 1 Satz 1 und 2 wird jeweils das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
c) In Absatz 2 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
29. § 60 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠60
Allgemeine Vorschriften für die Datenübermittlung an und die Verarbeitung der Daten durch den Empfänger“.
b) In Absatz 2 werden die Wörter „und Nutzung“ gestrichen.
30. § 61 wird wie folgt geändert:
a) In Absatz 1 Satz 1 Nummer 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
b) In Absatz 2 Nummer 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
31. In § 62 Absatz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
32. In § 63a Absatz 2 Satz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
Artikel 138
Änderung des Fahrpersonalgesetzes
Das Fahrpersonalgesetz in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 640), das zuletzt durch Artikel 2 des Gesetzes vom 16. Mai 2017 (BGBl. I S. 1214) geändert worden ist, wird wie folgt geändert:
1. § 4 Absatz 3 Satz 12 wird wie folgt gefasst:
„Im Falle der Datenfernübertragung sind die erforderlichen technischen und organisa-torischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung zur Sicherstellung des Datenschutzes und der Datensicherheit zu treffen.“
2. Dem § 4b wird folgender Satz angefügt:
– 195 –
„Die Verantwortung für die Zulässigkeit des einzelnen Abrufes trägt die Stelle, an die die Daten übermittelt werden.“
3. § 4c wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 2 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
bb) Satz 3 wird aufgehoben.
b) Absatz 3 wird wie folgt gefasst:
„(3) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs tragen die Behörden und Stellen, an die die Daten übermittelt werden. Die für das Fahrten-schreiberkartenregister zuständige Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die für das Fahrtenschreiberkartenregister zuständi-ge Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft wer-den kann.“
4. § 8 Absatz 1 Nummer 1 wird wie folgt geändert:
a) Buchstabe g wird aufgehoben.
b) Die Buchstaben h bis j werden die Buchstaben g bis i.
5. § 10 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Im Satzteil vor Nummer 1 werden die Wörter „speichern, verändern und nut-zen“ durch das Wort „verarbeiten“ und die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
bb) In Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) In Absatz 3 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
c) In Absatz 4 werden die Wörter „oder nutzen“ gestrichen.
d) In Absatz 5 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
e) In Absatz 6 Satz 3 werden die Wörter „der Betroffene“ durch die Wörter „die be-troffene Person“ ersetzt.
f) Absatz 7 wird wie folgt gefasst:
„(7) § 25 Absatz 1 Satz 1 in Verbindung mit § 23 Absatz 1 Nummer 3 und 4 des Bundesdatenschutzgesetzes sowie die entsprechenden Vorschriften der Landesdatenschutzgesetze bleiben unberührt.“
– 196 –
Artikel 139
Änderung des Kraftfahrsachverständigengesetzes
Das Kraftfahrsachverständigengesetz vom 22. Dezember 1971 (BGBl. I S. 2086), das zuletzt durch Artikel 4 des Gesetzes vom 28. November 2016 (BGBl. I S. 2722) geändert worden ist, wird wie folgt geändert:
1. In § 7 Absatz 2 Satz 3 und § 8 Absatz 3 werden jeweils die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
2. In § 11 Absatz 1a Satz 2 werden die Wörter „und Nutzung“ gestrichen.
3. In § 22 Absatz 3 Nummer 6 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
4. In § 23 Absatz 2 Satz 1 Nummer 1 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
5. § 26 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „mitzuteilen“ durch die Wörter „zu übermitteln“ ersetzt.
b) In Absatz 3 wird das Wort „und“ durch die Wörter „mit und übermittelt“ ersetzt und werden nach dem Wort „haben“ das Komma und das Wort „mit“ gestrichen.
6. In § 27 Absatz 2 werden die Wörter „und Nutzung“ gestrichen.
7. § 28 Absatz 2 wird wie folgt geändert:
a) In Satz 1 wird das Wort „teilt“ durch das Wort „übermittelt“ ersetzt und das Wort „mit“ gestrichen.
b) In Satz 2 werden die Wörter „Personendaten des Betreffenden“ durch die Wörter „personenbezogenen Daten der betroffenen Person“ sowie das Wort „mitgeteilt“ durch das Wort „übermittelt“ ersetzt.
8. In § 30 Satz 1 Nummer 5 und Satz 2 sowie § 31 Absatz 2 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
Artikel 140
Änderung des Gefahrgutbeförderungsgesetzes
Das Gefahrgutbeförderungsgesetz vom 6. August 1975 (BGBl. I S. 2121), das zuletzt durch Artikel 5 des Gesetzes vom 26. Juli 2016 (BGBl. I S. 1843) geändert worden ist, wird wie folgt geändert:
1. § 9a wird wie folgt geändert:
a) Absatz 6 wird wie folgt geändert:
– 197 –
aa) In Satz 1 werden im Satzteil vor Nummer 1 die Wörter „in Dateien“ gestri-chen.
bb) In Satz 2 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
b) In Absatz 8 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
c) Absatz 9 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Person“ ersetzt.
bb) In Satz 2 wird das Wort „mitgeteilt“ durch das Wort „übermittelt“ ersetzt.
2. In § 10 Absatz 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
Artikel 141
Änderung des Güterkraftverkehrsgesetzes
Das Güterkraftverkehrsgesetz vom 22. Juni 1998 (BGBl. I S. 1485), das zuletzt durch Artikel 1 des Gesetzes vom 16. Mai 2017 (BGBl. I S. 1214) geändert worden ist, wird wie folgt geändert:
1. § 14 Absatz 4 wird wie folgt geändert:
a) In Satz 1 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
b) Satz 2 wird aufgehoben.
2. In § 15 Absatz 4 werden im Satzteil nach Nummer 6 die Wörter „und nutzen“ gestri-chen.
3. In § 15a Absatz 4 werden im Satzteil nach Nummer 5 die Wörter „und nutzen“ gestri-chen.
4. § 16 wird wie folgt geändert:
a) Absatz 1 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) Im Satzteil vor Nummer 1 werden die Wörter „desselben Betroffenen“ durch die Wörter „derselben betroffenen Person“ ersetzt und die Wör-ter „in Dateien“ gestrichen.
bbb) In Nummer 1 werden die Wörter „des Betroffenen, seine“ durch die Wörter „der betroffenen Person, ihre“ ersetzt.
bb) In Satz 2 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
b) In Absatz 2 Satz 2 wird das Wort „teilen“ durch das Wort „übermitteln“ ersetzt und das Wort „mit“ gestrichen.
– 198 –
c) In Absatz 2a Satz 2 wird das Wort „teilen“ durch das Wort „übermitteln“ ersetzt und das Wort „mit“ gestrichen.
d) In Absatz 3 Satz 1 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
e) In Absatz 5 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
f) Absatz 6 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „oder nutzen“ gestrichen.
g) In Absatz 7 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
5. § 17 wird wie folgt geändert:
a) In Absatz 2 Satz 1 und 3, Absatz 3 Satz 1 und 2 sowie Absatz 4 Satz 1 und 2 wird jeweils das Wort „leitet“ durch das Wort „übermittelt“ ersetzt und jeweils das Wort „weiter“ gestrichen.
b) In Absatz 5 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
Artikel 142
Änderung des Fernstraßenbauprivatfinanzierungsgesetzes
Das Fernstraßenbauprivatfinanzierungsgesetz in der Fassung der Bekanntmachung vom 6. Januar 2006 (BGBl. I S. 49), das durch Artikel 20 des Gesetzes vom 14. August 2017 (BGBl. I S. 3122) geändert worden ist, wird wie folgt geändert:
1. § 9 wird wie folgt geändert:
a) In Absatz 3 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 6 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. In § 10 Absatz 2 werden die Wörter „erheben und“ gestrichen.
3. In § 11 Absatz 3 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
4. § 12 wird wie folgt gefasst:
– 199 –
㤠12
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 9 Ab-satz 1 in Verbindung mit einer Rechtsverordnung nach § 5 Absatz 1 Satz 1 oder einer Genehmigung nach § 6 Absatz 1 die Mautgebühr nicht oder nicht rechtzeitig entrich-tet.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße geahndet werden.“
Artikel 143
Änderung des Bundesfernstraßenmautgesetzes
Das Bundesfernstraßenmautgesetz vom 12. Juli 2011 (BGBl. I S. 1378), das zuletzt durch Artikel 21 des Gesetzes vom 14. August 2017 (BGBl. I S. 3122) geändert worden ist, wird wie folgt geändert:
1. § 4 Absatz 3 wird wie folgt geändert:
a) In Satz 3 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Satz 4 werden die Wörter „und genutzt“ gestrichen.
c) In Satz 5 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
2. In § 4d Absatz 2 Satz 1 Nummer 3 und § 4f Absatz 2 Satz 1 Nummer 6 wird jeweils das Wort „Sperrung“ durch die Wörter „Einschränkung der Verarbeitung“ ersetzt.
3. In § 4j Absatz 3 Satz 1 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
4. § 7 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird im Satzteil vor Nummer 1 das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
bb) In Satz 2 werden die Wörter „und genutzt“ gestrichen.
cc) In Satz 3 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
b) In Absatz 3 Satz 2 werden die Wörter „und nutzen“ gestrichen.
c) Absatz 3a wird wie folgt geändert:
aa) In Satz 2 wird die Angabe „§ 6b“ durch die Angabe „§ 4“ ersetzt.
bb) In Satz 3 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
– 200 –
Artikel 144
Änderung des Mautsystemgesetzes
Das Mautsystemgesetz vom 5. Dezember 2014 (BGBl. I S. 1980) wird wie folgt geän-dert:
1. In § 6 Absatz 3 Satz 1 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
2. § 13 Absatz 4 Satz 2 wird aufgehoben.
3. In § 21 Absatz 1 Satz 3 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
4. § 26 Absatz 1 wird wie folgt geändert:
a) In Satz 2 wird im Satzteil vor Nummer 1 das Wort „nutzen“ durch das Wort „ver-wenden“ ersetzt.
b) In Satz 3 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
c) In Satz 4 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
5. § 28 Absatz 4 wird wie folgt geändert:
a) In Satz 1 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
b) Satz 2 wird aufgehoben.
Artikel 145
Änderung des Infrastrukturabgabengesetzes
Das Infrastrukturabgabengesetz vom 8. Juni 2015 (BGBl. I S. 904), das zuletzt durch Artikel 22 des Gesetzes vom 14. August 2017 (BGBl. I S. 3122) geändert worden ist, wird wie folgt geändert:
1. § 6 wird wie folgt geändert:
a) In Absatz 4 Satz 2 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 5 Satz 4 werden die Wörter „nach § 9 des Bundesdatenschutzgeset-zes“ durch die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
c) In Absatz 7 Satz 1 werden die Wörter „abrufen, verarbeiten und nutzen“ durch die Wörter „abrufen und verwenden“ ersetzt.
– 201 –
d) In Absatz 8 Satz 5 werden die Wörter „nach § 9 des Bundesdatenschutzgeset-zes“ durch die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679“ ersetzt.
e) Absatz 10 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „erhoben, verarbeitet und genutzt“ durch das Wort „verarbeitet“ ersetzt.
bb) In Satz 2 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
2. § 11 wird wie folgt geändert:
a) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 wird im Satzteil vor Nummer 1 das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
bb) In Satz 2 werden die Wörter „und genutzt“ gestrichen.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 2 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
bb) In Satz 3 wird das Wort „Nutzung“ durch das Wort „Verwendung“ ersetzt.
c) In Absatz 4 Satz 3 werden die Wörter „erheben, speichern, verarbeiten und nut-zen“ durch das Wort „verarbeiten“ ersetzt.
3. In § 12 Absatz 2 wird im Satzteil vor Nummer 1 das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
4. § 13 wird wie folgt geändert:
a) Absatz 1 wird aufgehoben.
b) Die Absätze 2 bis 4 werden zu den Absätzen 1 bis 3.
c) Absatz 5 wird aufgehoben.
d) Absatz 6 wird Absatz 4.
Artikel 146
Änderung des Binnenschiffahrtsaufgabengesetzes
Das Binnenschiffahrtsaufgabengesetz in der Fassung der Bekanntmachung vom 5. Juli 2001 (BGBl. I S. 2026), das zuletzt durch Artikel 1 des Gesetzes vom 25. April 2017 (BGBl. I S. 962) geändert worden ist, wird wie folgt geändert:
1. § 8 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
– 202 –
㤠8
Verarbeitung von Daten im Binnenschiffsverkehr“.
b) In Absatz 1 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) In den Absätzen 2, 3, 4 und 5 wird jeweils das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
d) In Absatz 8 Satz 2 werden die Wörter „und genutzt“ gestrichen.
e) Absatz 12 wird wie folgt geändert:
aa) In Satz 2 erster Halbsatz wird das Wort „nutzen“ durch das Wort „verwen-den“ ersetzt.
bb) In Satz 4 wird das Wort „nutzt“ durch das Wort „verwendet“ ersetzt.
2. In § 9 Absatz 6 Satz 2 werden die Wörter „und genutzt“ gestrichen.
3. § 11 wird wie folgt geändert:
a) In Absatz 2 Nummer 1 werden die Wörter „der Betroffenen“ durch die Wörter „der betroffenen Personen“ ersetzt.
b) In Absatz 5 Satz 2 werden die Wörter „und genutzt“ gestrichen.
c) Absatz 6 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
cc) In Satz 3 werden die Wörter „und genutzt“ gestrichen.
4. § 12 wird wie folgt geändert:
a) In Absatz 6 Satz 2 werden die Wörter „und genutzt“ gestrichen.
b) Absatz 7 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
cc) In Satz 3 werden die Wörter „und genutzt“ gestrichen.
5. § 13 wird wie folgt geändert:
a) In Absatz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
b) In Absatz 6 Satz 2 werden die Wörter „und genutzt“ gestrichen.
– 203 –
6. § 14 wird wie folgt geändert:
a) In Absatz 2 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
b) In Absatz 3 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
Artikel 147
Änderung des Seeaufgabengesetzes
Das Seeaufgabengesetz in der Fassung der Bekanntmachung vom 17. Juni 2016 (BGBl. I S. 1489), das zuletzt durch Artikel 3 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2190) geändert worden ist, wird wie folgt geändert:
1. In § 1 Nummer 12 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. In § 5 Absatz 2 Satz 1 zweiter Halbsatz werden nach dem Wort „erheben“ ein Komma und die Wörter „speichern und verwenden“ eingefügt.
3. In § 9e Absatz 1 Satz 1 werden im Satzteil vor Nummer 1 nach dem Wort „erheben“ ein Komma und die Wörter „speichern und verwenden“ ergänzt.
4. In § 9f Absatz 5 werden die Wörter „oder genutzt“ gestrichen.
Artikel 148
Änderung des Seesicherheits-Untersuchungs-Gesetzes
Das Seesicherheits-Untersuchungs-Gesetz in der Fassung der Bekanntmachung vom 1. März 2012 (BGBl. I S. 390), das zuletzt durch Artikel 5 Absatz 8 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) geändert worden ist, wird wie folgt geändert:
1. In § 9 Absatz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
2. In § 17 Absatz 1 Satz 5 werden die Wörter „des Bundesdatenschutzgesetzes“ durch die Wörter „der datenschutzrechtlichen Vorschriften“ ersetzt.
3. § 22 Absatz 1 Satz 2 wird wie folgt geändert:
a) In Nummer 5 werden die Wörter „Ansichnahme, Verarbeitung und Nutzung“ durch die Wörter „Ansichnahme und Verarbeitung“ ersetzt.
b) In Nummer 9 werden die Wörter „Erheben, Verarbeiten und Nutzen“ durch das Wort „Verarbeiten“ ersetzt.
4. § 33 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
– 204 –
㤠33
Verarbeitung“.
b) In Absatz 1 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) In Absatz 3 werden die Wörter „§ 9 in Verbindung mit der Anlage des Bundesda-tenschutzgesetzes“ durch die Wörter „den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt.
d) Absatz 4 wird aufgehoben.
5. § 35 wird wie folgt geändert:
a) In Absatz 1 Nummer 3 Satz 2 und Absatz 3 Satz 2 wird jeweils das Wort „Be-troffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
b) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „eines Betroffenen“ durch die Wörter „einer be-troffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „und genutzt“ gestrichen.
6. In § 36 Absatz 2 werden die Wörter „Automatisiert und nicht automatisiert in Dateien gespeicherte Daten“ durch die Wörter „In Dateisystemen gespeicherte Daten“ ersetzt.
Artikel 149
Änderung des EU-Fahrgastrechte-Schifffahrt-Gesetzes
§ 4 des EU-Fahrgastrechte-Schifffahrt-Gesetzes vom 5. Dezember 2012 (BGBl. I S. 2454), das durch Artikel 4 Absatz 131 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert worden ist, wird wie folgt geändert:
1. In Absatz 1 Satz 2 Nummer 3 Buchstabe c wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
2. Absatz 3 wird aufgehoben.
3. Die Absätze 4 und 5 werden die Absätze 3 und 4.
– 205 –
Artikel 150
Änderung des Schiffsunfalldatenbankgesetzes
Das Schiffsunfalldatenbankgesetz vom 7. August 2013 (BGBl. I S. 3118), das durch Artikel 23 des Gesetzes vom 24. Mai 2016 (BGBl. I S. 1217) geändert worden ist, wird wie folgt geändert:
1. § 5 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠5
Datenspeicherung und Datenverwendung“.
b) Absatz 1 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „nutzen“ durch das Wort „verwenden“ ersetzt.
bb) In Satz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
c) In Absatz 2 Satz 1 und 2 wird jeweils das Wort „genutzt“ durch das Wort „ver-wendet“ ersetzt.
2. § 6 wird wie folgt geändert:
a) In Absatz 1 Satz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
b) In Absatz 4 werden die Wörter „unter Beachtung des § 4b des Bundesdaten-schutzgesetzes und“ und die Wörter „unter Beachtung des § 4c des Bundesda-tenschutzgesetzes“ gestrichen.
Artikel 151
Änderung des Seearbeitsgesetzes
Das Seearbeitsgesetz vom 20. April 2013 (BGBl. I S. 868), das durch Artikel 1 des Gesetzes vom 22. Dezember 2015 (BGBl. I S. 2569) geändert worden ist, wird wie folgt geändert:
1. § 19 wird wie folgt geändert:
a) In Absatz 5 werden die Wörter „und genutzt“ gestrichen.
b) In Absatz 6 Satz 1 und Absatz 7 wird jeweils das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
c) Absatz 8 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
– 206 –
bb) In Satz 2 werden die Wörter „und genutzt“ gestrichen.
cc) In Satz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
2. § 20 Absatz 1 wird wie folgt geändert:
a) In Satz 1 Nummer 6 werden die Wörter „die Erhebung, die Verarbeitung und die Nutzung“ durch die Wörter „die Verarbeitung“ ersetzt.
b) In Satz 3 Nummer 1 werden die Wörter „dem jeweiligen Stand der Technik ent-sprechende Maßnahmen“ durch die Wörter „die erforderlichen technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-schutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ ersetzt und die Wörter „, insbesondere zum Schutz der Vertraulichkeit und der Unversehrtheit der Daten“ gestrichen.
3. In § 109 Absatz 4 Satz 2 wird das Wort „genutzt“ durch das Wort „verarbeitet“ ersetzt.
4. In § 143 Absatz 7 Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
Artikel 152
Änderung des Luftverkehrsgesetzes
Das Luftverkehrsgesetz in der Fassung der Bekanntmachung vom 10. Mai 2007 (BGBl. I S. 698), das zuletzt durch Artikel 2 Absatz 11 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist, wird wie folgt geändert:
1. § 27c Absatz 3 wird wie folgt geändert:
a) In Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) Satz 2 wird aufgehoben.
2. § 31d Absatz 3 Satz 4 wird wie folgt gefasst:
„Auskünfte an die betroffene Person über die zu ihrer Person gespeicherten Daten sind unentgeltlich.“
3. § 64 wird wie folgt geändert:
a) In Absatz 8 Satz 2 werden die Wörter „oder nutzen“ gestrichen.
b) In Absatz 9 Satz 2 werden die Wörter „oder genutzt“ gestrichen.
c) Absatz 10 wird wie folgt geändert:
– 207 –
aa) Satz 1 wird wie folgt gefasst:
„Die Verarbeitung von Daten nach Absatz 3 Nummer 4 und 5 und Absatz 4 Nummer 5 und 6 für allgemeine Auskünfte ist nach Ablauf von sechs Mona-ten nach Erlöschen der Verkehrszulassung einzuschränken.“
bb) In Satz 2 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
4. § 65 wird wie folgt geändert:
a) In Absatz 5 Satz 3 werden die Wörter „genutzt und“ gestrichen.
b) Absatz 7 wird wie folgt geändert:
aa) Satz 1 wird aufgehoben.
bb) In dem neuen Satz 1 wird das Wort „Es“ durch die Wörter „Das Luftfahrt-Bundesamt“ ersetzt.
5. § 65a wird wie folgt geändert:
a) In Absatz 5 Satz 1 wird das Wort „genutzt“ durch das Wort „verwendet“ ersetzt.
b) Absatz 6 wird wie folgt geändert:
aa) Satz 1 wird aufgehoben.
bb) In dem neuen Satz 1 werden die Wörter „und Nutzung“ gestrichen.
6. § 65b wird wie folgt geändert:
a) In Absatz 4 Satz 1 werden die Wörter „Nutzung und“ gestrichen.
b) In Absatz 7 Satz 4 werden nach den Wörtern „durch Dritte“ die Wörter „nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parla-ments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung“ eingefügt.
7. In § 66 Absatz 3 Satz 3 werden die Wörter „genutzt und“ gestrichen.
8. In § 70 Absatz 1 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
Artikel 153
Änderung des Flugunfall-Untersuchungs-Gesetzes
Das Flugunfalluntersuchungsgesetz vom 26. August 1998 (BGBl. I S. 2470), das zu-letzt durch Artikel 5 Absatz 9 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 25 wie folgt gefasst:
– 208 –
„§ 25 Verarbeitung von Daten“.
2. In § 1 Absatz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
3. In § 5 Absatz 1 Satz 4 werden die Wörter „und genutzt“ gestrichen.
4. In § 7 Satz 2 wird das Wort „aus“ durch das Wort „auch“ ersetzt.
5. In § 21 Absatz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
6. § 25 wird wie folgt geändert:
a) In der Überschrift werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
b) In Absatz 1 Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
c) In Absatz 2 werden nach dem Wort „Erklärungen“ die Wörter „und personenbe-zogene Daten“ eingefügt und die Wörter „technische Maßnahmen“ durch die Wörter „technische und organisatorische Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils gel-tenden Fassung“ ersetzt.
d) Absatz 3 wird wie folgt gefasst:
„(3) Die Daten nach Absatz 1 werden in einem Dateisystem gespeichert oder in Akten festgehalten.“
7. § 26 wird wie folgt geändert:
a) In Absatz 1 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Personen“ ersetzt.
b) Absatz 4 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
cc) In Satz 3 werden die Wörter „und genutzt“ gestrichen.
8. In § 27 Absatz 2 wird das Wort „Dateien“ durch das Wort „Dateisystemen“ ersetzt.
– 209 –
Artikel 154
Änderung des Luftsicherheitsgesetzes
Das Luftsicherheitsgesetz vom 11. Januar 2005 (BGBl. I S. 78), das zuletzt durch Ar-tikel 1 des Gesetzes vom 23. Februar 2017 (BGBl. I S. 298) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht wird die Angabe zu § 6 wie folgt gefasst:
„§ 6 Verarbeitung personenbezogener Daten“.
2. § 6 wird wie folgt geändert:
a) Die Überschrift wird wie folgt gefasst:
㤠6
Verarbeitung personenbezogener Daten“.
b) In Absatz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
3. § 7 wird wie folgt geändert:
a) Absatz 1a wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 2 werden jeweils die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
cc) In Satz 3 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
b) Absatz 2 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) Satz 3 wird wie folgt geändert:
aaa) Im Satzteil vor Nummer 1 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffene Person“ ersetzt.
bbb) In Nummer 2 werden die Wörter „Datenerhebung, -verarbeitung und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
cc) Satz 4 wird wie folgt geändert:
aaa) Im Satzteil vor Nummer 1 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
– 210 –
bbb) In Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
ccc) In Nummer 2 wird das Wort „dieser“ gestrichen.
c) Absatz 3 wird wie folgt geändert:
aa) Satz 1 wird wie folgt geändert:
aaa) In Nummer 1 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
bbb) In Nummer 4 wird das Wort „Betroffenen“ durch die Wörter „betroffe-nen Personen“ und werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
ccc) In Nummer 5 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
bb) In Satz 2 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffe-ne Person“ und das Wort „seiner“ durch das Wort „ihrer“ ersetzt.
d) In Absatz 4 werden die Wörter „des Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
e) Absatz 5 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „dem Betroffenen“ durch die Wörter „der be-troffenen Person“ und wird das Wort „seiner“ durch das Wort „ihrer“ ersetzt.
bb) In Satz 3 werden die Wörter „Der Betroffene“ durch die Wörter „Die betroffe-ne Person“ ersetzt.
cc) In Satz 4 wird das Wort „Er“ durch das Wort „Sie“ und das Wort „ihn“ durch das Wort „sie“ ersetzt.
dd) In Satz 5 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
f) Absatz 6 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“, das Wort „diesem“ durch das Wort „dieser“, das Wort „er“ durch das Wort „sie“ und das Wort „seine“ durch das Wort „ihre“ ersetzt.
bb) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ und die Wörter „er die ihm“ durch die Wörter „sie die ihr“ ersetzt.
g) Absatz 7 wird wie folgt geändert:
aa) In Satz 1 wird das Wort „verwenden“ durch das Wort „verarbeiten“ ersetzt.
bb) In Satz 2 werden die Wörter „den Betroffenen, dessen“ durch die Wörter „die betroffene Person, deren“ ersetzt.
h) Absatz 9 wird wie folgt geändert:
– 211 –
aa) In den Sätzen 2 und 3 werden jeweils die Wörter „des Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
bb) In Satz 4 wird das Wort „Betroffenen“ durch die Wörter „betroffenen Perso-nen“ ersetzt.
i) Absatz 10 wird wie folgt geändert:
aa) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ ersetzt.
bb) In Satz 3 werden die Wörter „der Betroffene“ durch die Wörter „die betroffene Person“ ersetzt.
cc) In Satz 4 wird das Wort „verwendet“ durch das Wort „verarbeitet“ ersetzt.
j) Absatz 11 wird wie folgt geändert:
aa) In Satz 1 Nummer 1 Buchstabe c werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ ersetzt.
bb) In Satz 2 werden die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ und die Wörter „sind die Daten zu sperren“ durch die Wör-ter „ist die Verarbeitung der Daten einzuschränken“ ersetzt.
cc) In Satz 3 werden das Wort „Gesperrte“ durch die Wörter „In der Verarbeitung eingeschränkte“, die Wörter „des Betroffenen“ durch die Wörter „der be-troffenen Person“ und das Wort „verwendet“ durch das Wort „verarbeitet“ er-setzt.
4. In § 9a Absatz 6 Satz 3 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffenen Person“ ersetzt.
5. In § 10 Satz 2 werden die Wörter „dem Betroffenen“ durch die Wörter „der betroffe-nen Person“ ersetzt.
6. In § 16 Absatz 3a Satz 2 werden die Wörter „nach diesem Gesetz“ durch die Wörter „nach Absatz 2“ ersetzt.
7. In § 17 Absatz 1 Nummer 2 werden die Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ ersetzt.
8. In § 17a Absatz 4 Satz 3 werden die Wörter „den Betroffenen“ durch die Wörter „die betroffene Person“ und die Wörter „seiner Person“ durch das Wort „ihr“ ersetzt.
Artikel 155
Inkrafttreten
(1) Dieses Gesetz tritt vorbehaltlich der Absätze 2 und 3 am Tag nach der Verkün-dung in Kraft.
(2) Artikel 67 Nummer 1, Artikel 74 Nummer 1 und 2 Buchstabe b und c sowie Artikel 127 treten mit Wirkung vom 1. Januar 2019 in Kraft.
– 212 –
(3) Artikel 70 Nummer 11 Buchstabe a Doppelbuchstabe cc und dd tritt am 1. Januar 2020 in Kraft.
– 1 –
Begründung
A. Allgemeiner Teil
I. Zielsetzung und Notwendigkeit der Regelungen
Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung unmittel-bar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von na-türlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwägungs-grund 10). Der Unionsgesetzgeber hat sich für die Handlungsform einer Verordnung ent-schieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist (Erwägungsgrund 13). Die Verordnung (EU) 2016/679 sieht eine Reihe von Öffnungsklauseln für den nationalen Gesetzgeber vor. Zugleich enthält sie konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge. Danach ist es erforderlich, auch das bereichsspezifische Datenschutzrecht auf die Vereinbarkeit mit der Verordnung (EU) 2016/679 zu überprüfen und, soweit nötig, anzupassen. Diese Anpassung ist Ge-genstand des vorliegenden Gesetzentwurfs.
Darüber hinaus dient der vorliegende Gesetzentwurf der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständi-gen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89), soweit die der Richtlinie unterfallenden Staaten nach Artikel 63 der Richtlinie (EU) 2016/680 ver-pflichtet sind, bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen.
Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustel-len, ist das bisherige BDSG (BDSG a. F.) durch ein neues BDSG (BDSG) abgelöst wor-den (Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017, BGBl. I S. 2097). Mit den Änderungen der Abgabenordnung sowie des Ersten und des Zehnten Buches des Sozialgesetzbuchs durch Artikel 17, 19 und 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl. I S. 2541) wurden bereits wesentliche Normen des Steuerrechts und des Sozialda-tenschutzrechts an die Verordnung (EU) 2016/679 angepasst. Hinsichtlich der bestehen-den bereichsspezifischen Datenschutzregelungen des Bundes ergibt sich infolge der Än-derungen im allgemeinen Datenschutzrecht durch die Verordnung (EU) 2016/679, die Richtlinie (EU) 2016/680 und das sie ergänzende neu gefasste BDSG sowie durch die Änderungen der Abgabenordnung und des Sozialdatenschutzrechts weiterer gesetzlicher Anpassungsbedarf, auf den der vorliegende Gesetzentwurf abzielt.
– 2 –
II. Wesentlicher Inhalt des Entwurfs
Durch den vorliegenden Gesetzentwurf werden die bestehenden bereichsspezifischen Datenschutzregelungen des Bundes mit folgenden Regelungsschwerpunkten an die uni-onsrechtlichen Vorgaben angepasst:
– Anpassung von Begriffsbestimmungen;
– Anpassung von Verweisungen;
– Anpassung (bzw. vereinzelt Schaffung) von Rechtsgrundlagen für die Datenverarbei-tung;
– Regelungen zu den Betroffenenrechten;
– Anpassungen aufgrund unmittelbar geltender Vorgaben der Verordnung (EU) 2016/679 zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbei-tung, zur Datenübermittlung an Drittländer oder an internationale Organisationen so-wie zu Schadenersatz und Geldbußen.
Darüber hinaus werden durch Änderungen im BDSG
– für die Zulässigkeit der Verarbeitung personenbezogener Daten zu Zwecken staatli-cher Auszeichnungen und Ehrungen aus Anlass der Verordnung (EU) 2016/679 aus-drücklich normiert und damit die geltende Praxis abgesichert. Die Regelungen stellen insbesondere klar, dass diese in den unionsrechtlich nicht zugänglichen Kernberei-chen wurzelnden Auszeichnungsvorgänge datenschutzrechtlich außerhalb des An-wendungsbereichs der Verordnung (EU) 2016/679 stehen.
– die Voraussetzungen dafür geschaffen, dass sensible Informationen durch zivilgesell-schaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können.
In § 24b Absatz 1 des Bundeselterngeld- und Elternzeitgesetzes (BEEG) wird eine Rechtsgrundlage geschaffen, die dem Bundesministerium für Familie, Senioren, Frauen und Jugend die Zuständigkeit für die Einrichtung und Betreibung eines bundesweiten In-ternetportals zur elektronischen Unterstützung bei der Antragstellung von Elterngeld zu-weist und einen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten von Nutzerinnen und Nutzern zu Zwecken der elektronischen Unterstützung der Antragstel-lung schafft.
III. Alternativen
Keine.
IV. Gesetzgebungskompetenz
Die Gesetzgebungskompetenz des Bundes folgt für Regelungen des Datenschutzes als Annex aus den jeweiligen Sachkompetenzen der Artikel 73 bis 74 des Grundgesetzes (GG), zu Artikel 74 Absatz 1 Nummern 4, 7, 11, 13, 19a, 20, 22 und 26 GG jeweils in Ver-bindung mit Artikel 72 Absatz 2 GG. Soweit bundesgesetzliche Regelungen des Daten-schutzes für öffentliche Stellen der Länder zur Wahrung der Rechtseinheit im Bundesge-biet im gesamtstaatlichen Interesse schon bislang nach Artikel 72 Absatz 2 GG erforder-lich waren, sind die nach der Verordnung (EU) 2016/679 erforderlichen Anpassungen in diesen Bundesgesetzen ebenfalls durch den Bundesgesetzgeber vorzunehmen. Im Be-
– 3 –
reich der öffentlichen Verwaltung bedarf es bundesrechtlicher Datenschutzbestimmungen, soweit dem Bund die Verwaltungskompetenz zusteht. Für nichtöffentliche Stellen folgt die Gesetzgebungskompetenz des Bundes im Bereich des Datenschutzes als Annex insbe-sondere aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft). Nach Artikel 72 Absatz 2 GG steht dem Bund die Gesetzgebungskompetenz in diesen Fällen unter ande-rem dann zu, wenn und soweit eine bundesgesetzliche Regelung zur Wahrung der Rechts- oder Wirtschaftseinheit im gesamtstaatlichen Interesse erforderlich ist. Eine bun-desgesetzliche Regelung des Datenschutzes ist zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung dieser Materie durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Es bestünde die Gefahr, dass z. B. die Betroffenenrechte durch die verschiedenen Landes-gesetzgeber unterschiedlich eingeschränkt würden, mit der Folge, dass bundesweit agie-rende Unternehmen sich auf verschiedenste Vorgaben einrichten müssten.
Im Einzelnen:
Zu Artikel 1: Die Gesetzgebungszuständigkeit des Bundes für das Staatsangehörigkeits-gesetz ergibt sich aus Artikel 73 Absatz 1 Nummer 2 GG (Staatsangehörigkeit).
Zu Artikel 2: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
Zu Artikel 3: Die Gesetzgebungskompetenz für die Änderung des Sicherheitsüberprü-fungsgesetzes (SÜG) ergibt sich aus der Natur der Sache.
Zu Artikel 4: Die Zuständigkeit des Bundes zum Erlass dieser Vorschriften ergibt sich aus Artikel 73 Absatz 1 Nummer 10 des GG, soweit das Zollkriminalamt und die Bundespolizei betroffen sind, aus Artikel 73 Absatz 1 Nummer 5 GG und, soweit der Bundesnachrich-tendienst und der Militärische Abschirmdienst betroffen sind, aus Artikel 73 Absatz 1 Nummer 1 GG.
Zu Artikel 5: Die Zuständigkeit des Bundes zum Erlass dieser Vorschriften ergibt sich aus Artikel 73 Absatz 1 Nummer 10 GG, soweit das Zollkriminalamt und die Bundespolizei betroffen sind, aus Artikel 73 Absatz 1 Nummer 5 GG und, soweit der Bundesnachrich-tendienst und der Militärische Abschirmdienst betroffen sind, aus Artikel 73 Absatz 1 Nummer 1 GG.
Zu Artikel 6: Die Zuständigkeit des Bundes zum Erlass dieser Vorschriften ergibt sich aus Artikel 73 Nummer 10 des Grundgesetzes (ausschließliche Gesetzgebung über die inter-nationale Verbrechensbekämpfung).
Zu Artikel 7: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 73 Absatz 1 Nummer 12 GG. Danach hat der Bund die ausschließliche Gesetzgebungskompetenz für das Waffenrecht.
Zu Artikel 8: Die Gesetzgebungskompetenz des Bundes für die Verarbeitung personen-bezogener Daten durch die BDBOS und nach dem BDBOSG zuständige Stellen der Län-der folgt aus der Gesetzgebungskompetenz des Bundes für die Bundesbehörden mit Si-cherheitsaufgaben und im Übrigen aus dem Sachzusammenhang mit der Tätigkeit der Anstalt.
Zu Artikel 9: Hinsichtlich aller Materien, für die dem Bund die Sachkompetenz zukommt, kann er das Verwaltungsverfahren als Annex mitregeln. Zum Verwaltungsverfahren ge-
– 4 –
hört auch die Frage des Zugangs zu Informationen bei den Behörden, die entsprechende Verfahren durchführen. Das Informationsfreiheitsgesetz regelt ausschließlich den Zugang zu amtlichen Informationen gegenüber Behörden des Bundes. Dies unterliegt allein der Gesetzgebung des Bundes.
Zu Artikel 10: Die Gesetzgebungskompetenz des Bundes ergibt sich für die Änderungen des Beamtenstatusgesetzes aus Artikel 74 Absatz 1 Nummer 27 GG.
Zu Artikel 11: Die Gesetzgebungskompetenz des Bundes ergibt sich für die Änderungen des Bundesbeamtengesetzes aus Artikel 73 Nummer 8 GG.
Zu Artikel 12: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 6a, Artikel 74 Absatz 1 Nummer 21 und Artikel 74 Absatz 1 Nummer 23 GG sowie aus Artikel 74 Absatz 1 Nummer 11 und Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 13: Für die Regelungen, die unmittelbar die Sicherung der Informationstechnik in der Bundesverwaltung betreffen, hat der Bund eine ungeschriebene Gesetzgebungs-kompetenz kraft Natur der Sache. Im Übrigen folgt die Gesetzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG.
Zu Artikel 14: Die Gesetzgebungskompetenz für das De-Mail-Gesetz ergibt sich aus Arti-kel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 15: Die Gesetzgebungszuständigkeit des Bundes ergibt aus der Natur der Sa-che bzw. als Annexkompetenz zur jeweiligen Gesetzgebungskompetenz des Bundes. Für das Verfahren der Landesbehörden beim Vollzug von Bundesrecht in landeseigener Ver-waltung oder in Bundesauftragsverwaltung ergibt sich die Gesetzgebungskompetenz des Bundes als Annexkompetenz zur jeweiligen Gesetzgebungskompetenz des Bundes.
Zu Artikel 16: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 3 GG (Meldewesen).
Zu Artikel 17: Die Gesetzgebungszuständigkeit des Bundes für die Änderung des Perso-nenstandsgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 2 GG (Personenstands-wesen).
Zu Artikel 18: Die Gesetzgebungskompetenz zur Änderung des Arzneimittelgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 19 GG.
Zu Artikel 19: Die Gesetzgebungskompetenz zur Änderung des Gesetzes zur Änderung arzneimittelrechtlicher und anderer Vorschriften ergibt sich aus Artikel 74 Absatz 1 Num-mer 19 GG.
Zu Artikel 20: Die Gesetzgebungskompetenz zur Änderung des Transfusionsgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 19 und 26 GG.
Zu Artikel 21: Dem Bund steht gemäß Artikel 74 Absatz 1 Nummer 26 (2. Alternative) GG (Untersuchung und künstliche Veränderung von Erbinformationen) die konkurrierende Gesetzgebungskompetenz zu.
Zu Artikel 22: Die Gesetzgebungskompetenz zur Änderung des Grundstoffüberwa-chungsgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 19 GG.
Zu Artikel 23: Für die Änderung des Gendiagnostikgesetzes ergibt sich die Gesetzge-bungskompetenz des Bundes aus der konkurrierenden Gesetzgebung auf dem Gebiet der Untersuchung von Erbinformationen gemäß Artikel 74 Absatz 1 Nummer 26 .
– 5 –
Zu Artikel 24: Für die Änderung des Transplantationsgesetzes ergibt sich die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 26 GG(Regelung zur Transplantation).
Zu Artikel 25: Die Gesetzgebungskompetenz des Bundes für die Regelung der Daten-schutzbestimmungen des Anti-Doping-Gesetzes folgt aus der Natur der Sache. Sie liegt in der engen Nähe zur Förderung des Spitzensports begründet (vgl. im einzelnen Bundes-ratsdrucksache 126/15, S. 19).
Zu Artikel 26: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 17 GG.
Zu Artikel 27: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 GG (Recht der Wirtschaft) und aus Artikel 74 Absatz 1 Nummer 20 GG (Recht der Genussmittel).
Zu Artikel 28: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 20 GG.
Zu Artikel 29: Die Gesetzgebungskompetenz des Bundes zur Änderung des Kranken-hausfinanzierungsgesetzes folgt aus Artikel 74 Absatz 1 Nummer 19a GG.
Zu Artikel 30: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 19 GG.
Zu Artikel 31: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 19 GG.
Zu Artikel 32: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 13 und Artikel 74 Absatz 1 Nummer 6 GG sowie aus Artikel 74 Absatz 1 Nummer 7 GG.
Zu Artikel 33: Nach Artikel 74 Absatz 1 Nummer 24 GG unterfällt das Gebiet der Abfall-wirtschaft der Gesetzgebungszuständigkeit des Bundes.
Zu Artikel 34: Die Gesetzgebungskompetenz des Bundes zur Schaffung des Seeversiche-rungsnachweisgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 11 (in Verbindung mit Art. 72 Abs. 2) GG (Recht der Wirtschaft) und Artikel 74 Absatz 1 Nummer 21 GG (Hoch-seeschifffahrt, Seewasserstraßen).
Zu Artikel 35: Die Gesetzgebungskompetenz des Bundes für das Jugendfreiwilligen-dienstegesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 7 GG.
Zu Artikel 36: Die Gesetzeskompetenz des Bundes ergibt sich aus Artikel 74 Absatz 1 Nummer 7 GG (öffentliche Fürsorge).
Zu Artikel 37: Die Gesetzgebungskompetenz des Bundes für das Bundesfreiwilligen-dienstgesetz ergibt sich aus Artikel 73 Absatz 1 Nummer 1 und Artikel 74 Absatz 1 Num-mer 7 GG.
Zu Artikel 38: Die Gesetzgebungskompetenz des Bundes für die Änderungen des Asyl-bewerberleistungsgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 4 GG (Aufenthalts- und Niederlassungsrecht der Ausländer), Artikel 74 Absatz 1 Nummer 6 GG (Angelegenheiten der Flüchtlinge und Vertriebenen) und Artikel 74 Absatz 1 Nummer 7 GG (öffentliche Fürsorge); hinsichtlich der Artikel 74 Absatz 1 Nummern 4 und 7 GG.
– 6 –
Zu Artikel 39: Die Gesetzgebungskompetenz des Bundes für Änderungen des Aufstiegs-fortbildungsförderungsgesetzes folgt aus Artikel 74 Absatz 1 Nummer 13 GG.
Zu Artikel 40: Die Gesetzgebungskompetenz des Bundes folgt für die in Kapitel 8 des Kulturgutschutzgesetzes (§§ 77 ff.) enthaltenen Datenschutzregeln als Annex aus den für den Bereich des KGSG jeweils bestehenden Sachkompetenzen der Artikel 73 Absatz 1 Nummern 1, 5 und 5a sowie Artikel 74 Absatz 1 Nummern 1 und 11 GG.
Zu Artikel 41: Die Deutsche Welle ist die Auslandsrundfunkanstalt Deutschlands. Aufgabe der Deutschen Welle ist es, für das Ausland Angebote über Fernsehen, Radio und Inter-net anzubieten. Die ausschließliche Gesetzgebungskompetenz des Bundes für den Erlass von Regelungen zur Deutschen Welle im DWG ergibt sich aus der Kompetenz des Bun-des für „Auswärtige Angelegenheiten“ aus Artikeln 32 und Artikel 73 Absatz 1 Nummer 1 GG.
Zu Artikel 42: Hinsichtlich des Wohnraumförderungsgesetzes ergibt sich die Gesetzge-bungskompetenz des Bundes aus Artikel 125a Absatz 1 Satz 1 GG. Der Bund hat zwar seit der Änderung des Artikels 74 Absatz 1 Nummer 18 GG im Rahmen der Föderalis-musreform keine Gesetzgebungskompetenz mehr für die Wohnraumförderung. Das Wohnraumförderungsgesetz gilt jedoch nach Artikel 125a Absatz 1 Satz 1 GG als Bun-desrecht fort. Der Bund hat dadurch noch die Kompetenz zur Änderung einzelner Vor-schriften des Gesetzes wie hier zur Aktualisierung von Verweisen (BT-Drs. 16/813, S. 20 mit Verweis auf BVerfGE 111, 10).
Zu Artikel 43: Die Gesetzgebungskompetenz für das Zweite Dopingopfer-Hilfegesetz ergibt sich aus der Natur der Sache im Hinblick auf die Folgen staatlichen Unrechts der ehemaligen DDR.
Zu Artikel 44: Die Gesetzgebungskompetenz des Bundes für die Änderung des Strafrecht-lichen Rehabilitierungsgesetzes (StrRehaG) folgt aus Artikel 74 Absatz 1 Nummer 1 GG (Strafrecht).
Zu Artikel 45: Die Gesetzgebungskompetenz des Bundes für die Änderungen des Verwal-tungsrechtlichen Rehabilitierungsgesetzes (VwRehaG) beruht auf Artikel 74 Absatz 1 Nummer 7 (öffentliche Fürsorge) GG.
Zu Artikel 46: Die Gesetzgebungskompetenz des Bundes für die Änderungen des Berufli-chen Rehabilitierungsgesetzes (BerRehaG) beruht auf Artikel 74 Absatz 1 Nummer 7 GG (öffentliche Fürsorge).
Zu Artikel 47: Für die Änderungen des Ausländerzentralregistergesetzes ergibt sich die Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 4 und 6 GG.
Zu Artikel 48: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 6 GG (Angelegenheiten der Flüchtlinge und Vertriebenen).
Zu Artikel 49: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 4 GG (Aufenthalts- und Niederlassungsrecht).
Zu Artikel 50: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 4 GG (Aufenthalts- und Niederlassungsrecht der Ausländer).
Zu Artikel 51: Die Gesetzgebungskompetenz des Bundes für das Gesetz über den Aus-wärtigen Dienst folgt aus Artikel 73 Absatz 1 Nummer 1 GG.
– 7 –
Zu Artikel 52: Die Gesetzgebungskompetenz des Bundes für die Änderung des Bundes-zentralregistergesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 1 GG (Straf- und Strafverfahrensrecht).
Zu Artikel 53: Die Gesetzgebungskompetenz des Bundes für die Änderung des Bundes-zentralregistergesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 1 GG (Straf- und Strafverfahrensrecht).
Zu Artikel 54: Die internationale Zusammenarbeit in strafrechtlichen Angelegenheiten ist Teil der Pflege der auswärtigen Beziehungen nach Artikel 32 GG. Die erforderlichen Än-derungen des Eurojust-Gesetzes fallen deshalb in den Bereich der ausschließlichen Ge-setzgebung des Bundes nach Artikel 73 Absatz 1 Nummer 1 GG.
Zu Artikel 55: Der Bund hat die ausschließliche Gesetzgebungskompetenz gemäß Arti-kel 73 Absatz 1 Nummer 1 GG (auswärtige Angelegenheiten).
Zu Artikel 56: Die Gesetzgebungskompetenz des Bundes für das Justizverwaltungskos-tengesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 57: Die Gesetzgebungskompetenz des Bundes für die Änderung des Prostitu-iertenschutzgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 11 (Recht der Wirt-schaft), Nummer 19 (Maßnahmen gegen gemeingefährliche oder übertragbare Krankhei-ten bei Menschen), Nummer 7 (öffentliche Fürsorge) sowie Nummer 1 (Bürgerliches Recht, Strafrecht) und Nummer 12 (Arbeitsrecht) GG.
Zu Artikel 58: Für die Änderung des Wertpapierhandelsgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 59: Für die Änderung des Wertpapiererwerbs- und Übernahmegesetzes folgt die Gesetzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 60: Für die Änderung des Wertpapierprospektgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 61: Für die Änderung des Börsengesetzes folgt die Gesetzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 62: Für die Strafvorschriften ergibt sich die Gesetzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 1 GG (Strafrecht).
Zu Artikel 63: Die Gesetzgebungskompetenz des Bundes für das Schwarzarbeitsbekämp-fungsgesetz folgt aus Artikel 74 Absatz 1 Nummer 11 GG (Wirtschaft).
Zu Artikel 64: Der Bund hat nach Artikel 73 Absatz 1 Nummer 1 GG die ausschließliche Gesetzgebungskompetenz für die Verteidigung.
Zu Artikel 65: Gegenstand des Soldatinnen- und Soldatengleichstellungsgesetzes sind ausschließlich die Rechtsverhältnisse der der Bundeswehr angehörenden Soldatinnen und Soldaten; diese fallen nach Artikel 73 Absatz 1 Nummer 1 GG in die Gesetzgebungs-kompetenz des Bundes.
Zu Artikel 66: Die Gesetzgebungskompetenz des Bundes für das Zivildienstgesetz ergibt sich aus Artikel 73 Absatz 1 Nummer 1 GG.
– 8 –
Zu Artikel 67: Für die Änderung des Finanzverwaltungsgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 108 Absatz 4 Satz 1 GG. Es wird der Vollzug der Steuergesetze erheblich verbessert bzw. erleichtert.
Zu Artikel 68: Für die Änderung des Gesetzes über Steuerstatistiken ergibt sich die Ge-setzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 69: Die Gesetzgebungskompetenz des Bundes für die Änderung des ZIS-Ausführungsgesetzes folgt aus Artikel 73 Absatz 1 Nummer 5 GG.
Zu Artikel 70: Für die Änderung der Abgabenordnung ergibt sich die Gesetzgebungskom-petenz des Bundes aus Artikel 108 Absatz 5 GG.
Zu Artikel 71: Für die Änderung des Einführungsgesetzes zur Abgabenordnung ergibt sich die Gesetzgebungskompetenz des Bundes aus Artikel 108 Absatz 5 GG.
Zu Artikel 72: Für die Änderung des Solidaritätszuschlaggesetzes 1995 ergibt sich die Gesetzgebungskompetenz des Bundes aus Artikel 105 Absatz 2 erste Alternative GG, da das Steueraufkommen diesbezüglich dem Bund ganz zusteht.
Zu Artikel 73: Für die Änderung des Steuerberatungsgesetzes ergibt sich die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 1 GG (Rechtsberatung).
Zu Artikel 74: Die Gesetzgebungskompetenz des Bundes ergibt sich für die Änderung des Einkommensteuergesetzes aus Artikel 105 Absatz 2 1. Alternative GG, da das Steuerauf-kommen diesbezüglich dem Bund ganz oder teilweise zusteht.
Zu Artikel 75: Die Gesetzgebungskompetenz des Bundes ergibt sich für die Änderung des Umsatzsteuergesetzes aus Artikel 105 Absatz 2 1. Alternative GG, da das Steuerauf-kommen diesbezüglich dem Bund ganz oder teilweise zusteht.
Zu Artikel 76: Für die Änderung des Rennwett- und Lotteriegesetzes ergibt sich die Ge-setzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 77: Die Gesetzgebungskompetenz des Bundes zur Änderung der Bundeshaus-haltsordnung ergibt sich aus Artikel 109 Absatz 1 GG.
Zu Artikel 78: Für die Änderung des Sanierungs- und Abwicklungsgesetzes folgt die Ge-setzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 79: Für die Änderung der Wirtschaftsprüferordnung ergibt sich die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG.
Zu Artikel 80: Für die Änderung des Energiestatistikgesetzes folgt die Gesetzgebungs-kompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 11 GG.
Zu Artikel 81: Für die Änderung der Gewerbeordnung ergibt sich die Gesetzgebungskom-petenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG.
Zu Artikel 82: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 des Grundgesetzes.
Zu Artikel 83: Die Gesetzgebungskompetenz zur Änderung des Gesetzes über Medizin-produkte ergibt sich aus Artikel 74 Absatz 1 Nummer 19 GG.
– 9 –
Zu Artikel 84: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 GG.
Zu Artikel 85: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummern 11 und 24 GG.
Zu Artikel 86: Die Gesetzgebungskompetenz folgt aus Artikel 73 Absatz 1 Nummer 12 GG (Waffenrecht).
Zu Artikel 87: Dem Bund steht nach Artikel 73 Absatz 1 Nummer 4 GG die ausschließliche Gesetzgebungskompetenz zur Regelung der Angelegenheiten über Maße und Gewichte zu. Hierzu gehört auch die Kompetenz zur Regelung des gesetzlichen Mess- und Eichwe-sens.
Zu Artikel 88: Die Gesetzgebungskompetenz des Bundes für das Strahlenschutzgesetz ergibt sich aus Artikel 73 Absatz 1 Nummer 14 GG.
Zu Artikel 89: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 (Recht der Wirtschaft).
Zu Artikel 90: Die Änderungen zum Messstellenbetriebsgesetzes stützen sich auf Arti-kel 74 Absatz 1 Nummer 11 GG (Recht der Energiewirtschaft).
Zu Artikel 91: Für die Änderung des Kreditwesengesetzes folgt die Gesetzgebungskom-petenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 92: Für die Änderung des Anlegerentschädigungsgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 93: Für die Änderung des Finanzdienstleistungsaufsichtsgesetzes folgt die Ge-setzgebungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 94: Die Gesetzgebungskompetenz des Bundes für das Zahlungsdiensteauf-sichtsgesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 11 GG.
Zu Artikel 95: Für die Änderung des Einlagensicherungsgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 96: Für die Änderung des Kapitalanlagegesetzbuches folgt die Gesetzgebungs-kompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 97: Für die Änderung des Pfandbriefgesetzes folgt die Gesetzgebungskompe-tenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 98: Für die Änderung des Versicherungsaufsichtsgesetzes folgt die Gesetzge-bungskompetenz des Bundes aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 99: Die Gesetzgebungskompetenz zur Änderung des Gesetzes über Rabatte für Arzneimittel folgt aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 100: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 19 GG (Maßnahmen gegen gemeingefährliche oder übertragbare Krank-heiten bei Menschen und Tieren).
– 10 –
Zu Artikel 101 Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 20 GG (Tierschutz).
Zu Artikel 102: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummern 11 und 17 GG (Recht der Wirtschaft, Förderung der landwirtschaftlichen Erzeugung, Ein- und Ausfuhr landwirtschaftlicher Erzeugnisse).
Zu Artikel 103: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummern 11 und 17 GG (Recht der Wirtschaft, Förderung der landwirtschaftlichen Erzeugung, Ein- und Ausfuhr landwirtschaftlicher Erzeugnisse).
Zu Artikel 104: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 und Nummer 17 GG (Recht der Wirtschaft, Förderung der landwirt-schaftlichen Erzeugung, Ein- und Ausfuhr landwirtschaftlicher Erzeugnisse).
Zu Artikel 105: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 19 GG (Maßnahmen gegen gemeingefährliche oder übertragbare Krank-heiten bei Menschen und Tieren).
Zu Artikel 106: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummern 11 und Nummer 17 GG (Recht der Wirtschaft, Förderung der landwirt-schaftlichen Erzeugung, Ein- und Ausfuhr landwirtschaftlicher Erzeugnisse).
Zu Artikel 107: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummer 17 GG (Förderung der land- und forstwirtschaftlichen Erzeugung).
Zu Artikel 108: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummer 17 GG (Förderung der land- und forstwirtschaftlichen Erzeugung).
Zu Artikel 109: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 11 GG (Statistik für Bundeszwecke).
Zu Artikel 110: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummer 17 GG (Förderung der land- und forstwirtschaftlichen Erzeugung).
Zu Artikel 111: Die Gesetzgebungskompetenz des Bundes ergibt sich für die Änderung des Fünften Vermögensbildungsgesetzes aus Artikel 105 Absatz 2 erste Alternative GG, da das Steueraufkommen diesbezüglich dem Bund ganz oder teilweise zusteht.
Zu Artikel 112: Die Gesetzgebungszuständigkeit für das Heimarbeitsgesetz steht nach Artikel 74 Absatz 1 Nummer 12 GG (Arbeitsrecht) dem Bund zu.
Zu Artikel 113: Die Gesetzgebungszuständigkeit für das Arbeitsschutzgesetz steht nach Artikel 74 Absatz 1 Nummer 12 GG (Arbeitsrecht) dem Bund zu.
Zu Artikel 114: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 115: Die Gesetzgebungszuständigkeit für das Arbeitnehmer-Entsendegesetz steht nach Artikel 74 Absatz 1 Nummer 12 GG (Arbeitsrecht) dem Bund zu.
Zu Artikel 116: Der Bund hat für die im Bereich der Sozialversicherung vorgesehenen Änderungen des Gesetzes über die Alterssicherung der Landwirte die Gesetzgebungszu-ständigkeit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
– 11 –
Zu Artikel 117: Die Gesetzgebungskompetenz des Bundes folgt als Annexkompetenz der Gesetzgebungskompetenz nach Artikel 74 Absatz 1 Nummer 12 (Sozialversicherung) sowie Nummer 7 GG (Fürsorge) .
Zu Artikel 118: Die Gesetzgebungskompetenz des Bundes für die Änderung des BEEG ergibt sich aus Artikel 74 Absatz 1 Nummer 7 GG.
Zu Artikel 119: Der Bund hat für die in den Bereichen der Sozialleistungen vorgesehenen Änderungen des Ersten Buches des Sozialgesetzbuchs die Gesetzgebungszuständigkeit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung) und nach Artikel 74 Absatz 1 Nummer 7 GG (Fürsorge).
Zu Artikel 120: Die Gesetzgebungskompetenz für die Änderungen des Zweiten Buches Sozialgesetzbuch steht dem Bund nach Artikel 74 Absatz 1 Nummer 7 GG (Fürsorge).
Zu Artikel 121: Der Bund hat für die im Bereich der Sozialversicherung vorgesehenen Änderungen des Dritten Buches des Sozialgesetzbuchs die Gesetzgebungszuständigkeit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
Zu Artikel 122: Der Bund hat für die im Bereich der Sozialversicherung vorgesehenen Änderungen des Vierten Buches des Sozialgesetzbuchs die Gesetzgebungszuständigkeit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
Zu Artikel 123: Die Gesetzgebungskompetenz des Bundes für die Regelungen im Fünften Buch Sozialgesetzbuch folgt als Annexkompetenz der Gesetzgebungskompetenz nach Artikel 74 Absatz 1 Nummer 12 (Sozialversicherung) sowie Nummer 7 (Fürsorge) GG.
Zu Artikel 124: Die Gesetzgebungskompetenz des Bundes für die Änderung des Kran-kenhausentgeltgesetzes folgt aus Artikel 74 Absatz 1 Nummer 19a GG.
Zu Artikel 125: Der Bund hat für die im Bereich der Sozialversicherung vorgesehenen Änderungen des Sechsten Buches des Sozialgesetzbuchs die Gesetzgebungszuständig-keit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
Zu Artikel 126: Im Fall des Altersvorsorgeverträge-Zertifizierungsgesetzes folgt die Ge-setzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 127: Im Fall der Altersvorsorge-Durchführungsverordnung folgt die Gesetzge-bungskompetenz aus Artikel 74 Absatz 1 Nummer 11 GG.
Zu Artikel 128: Der Bund hat für die im Bereich der Sozialversicherung vorgesehenen Änderungen des Siebten Buches des Sozialgesetzbuchs die Gesetzgebungszuständigkeit nach Artikel 74 Absatz 1 Nummer 12 GG (Sozialversicherung).
Zu Artikel 129: Die Gesetzgebungskompetenz für die Änderungen des Achten Buches Sozialgesetzbuch steht dem Bund nach Artikel 74 Absatz 1 Nummer 7 GG (Fürsorge) zu.
Zu Artikel 130: Die Gesetzgebungskompetenz für die Änderungen des Neunten Buches Sozialgesetzbuch steht dem Bund nach Artikel 74 Absatz 1 Nummer 7 GG (Fürsorge) zu.
Zu Artikel 131: Die Gesetzgebungskompetenz des Bundes für die Regelungen im Zehn-ten Buch Sozialgesetzbuch folgt als Annexkompetenz der Gesetzgebungskompetenz nach Artikel 74 Absatz 1 Nummer 12 (Sozialversicherung) sowie Nummer 7 (Fürsorge) GG.
Zu Artikel 132: Die Gesetzgebungskompetenz des Bundes für die Regelungen im Elften Buch Sozialgesetzbuch folgt als Annexkompetenz der Gesetzgebungskompetenz nach
– 12 –
Artikel 74 Absatz 1 Nummer 12 (Sozialversicherung) sowie Nummer 7 (Fürsorge) GG. Die Gesetzgebungskompetenz des Bundes für die Regelungen zur privaten Pflege-Pflichtversicherung ergibt sich aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirt-schaft).
Zu Artikel 133: Die Gesetzgebungskompetenz für die Änderungen des Zwölften Buches Sozialgesetzbuch steht dem Bund nach Artikel 74 Absatz 1 Nummer 7 GG (Fürsorge) zu.
Zu Artikel 134: Die Gesetzgebungskompetenz des Bundes für die Änderung des Wohn-geldgesetzes folgt aus Artikel 74 Absatz 1 Nummer 18 GG.
Zu Artikel 135: Für die Änderung des Postgesetzes folgt die Gesetzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 7 GG.
Zu Artikel 136: Für die Änderung der Postdienste-Datenschutzverordnung folgt die Ge-setzgebungskompetenz des Bundes aus Artikel 73 Absatz 1 Nummer 7 GG.
Zu Artikel 137: Die Gesetzgebungskompetenz des Bundes für das Straßenverkehrsgesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 138: Die Gesetzgebungskompetenz des Bundes für die Änderung des Fahrper-sonalgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 139: Dem Bund obliegt die Gesetzgebungskompetenz gemäß Artikel 74 Ab-satz 1 Nummer 22 GG.
Zu Artikel 140: Der Bund hat zur gesetzlichen Regelung der Beförderung gefährlicher Gü-ter die ausschließliche Gesetzgebungskompetenz gemäß Artikel 73 Nummern 6 und 6a GG für die Bundeseisenbahnen und den Luftverkehr, die konkurrierende Gesetzgebungs-kompetenz gemäß Artikel 74 Nummern 21 bis 23 für die Hochsee-, Küsten- und Binnen-schifffahrt, für den Straßenverkehr und die Schienenbahnen, die nicht Bundeseisenbah-nen sind, mit Ausnahme der Bergbahnen.
Zu Artikel 141: Die Gesetzgebungskompetenz des Bundes für die Änderung des Güter-kraftverkehrsgesetzes ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 142: Der Bund hat die Gesetzgebungskompetenz nach Artikel 74 Absatz 1 Nummer 22 GG für die Erhebung und Verteilung von Gebühren für die Benutzung öffentli-cher Straßen mit Fahrzeugen zuständig.
Zu Artikel 143: Die Gesetzgebungskompetenz des Bundes für das Bundesfernstraßen-mautgesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 144: Die Gesetzgebungskompetenz des Bundes für das Mautsystemgesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 145: Die Gesetzgebungskompetenz des Bundes für das Infrastrukturabgaben-gesetz ergibt sich aus Artikel 74 Absatz 1 Nummer 22 GG.
Zu Artikel 146: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 21 GG (Binnenschifffahrt).
Zu Artikel 147: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 21 GG (Hochsee- und Küstenschifffahrt).
Zu Artikel 148: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 21 sowie aus Artikel 74 Absatz 1 Nummer 1 GG (Ordnungswidrigkeiten).
– 13 –
Zu Artikel 149: Der Bund hat die konkurrierende Gesetzgebungskompetenz nach Arti-kel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft).
Zu Artikel 150: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 74 Ab-satz 1 Nummer 21 GG (Binnenschifffahrt).
Zu Artikel 151: Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 74 Absatz 1 Nummern 1, 12 und 21 GG.
Zu Artikel 152: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 6 GG (Luftverkehr).
Zu Artikel 153: Die Gesetzgebungskompetenz des Bundes ergibt sich aus Artikel 73 Ab-satz 1 Nummer 6 GG (Luftverkehr).
Zu Artikel 154: Die Gesetzgebungskompetenz des Bundes für die Änderung des Luftsi-cherheitsgesetzes ergibt sich aus Artikel 73 Absatz 1 Nummer 6 GG (Luftverkehr).
V. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen
Der Gesetzentwurf ist mit dem Recht der Europäischen Union und den völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland abgeschlossen hat, vereinbar. Er dient der Durchführung der Verordnung (EU) 2016/679 und der Umsetzung der Richtlinie (EU) 2016/680.
Die Verordnung (EU) 2016/679 hat gemäß Artikel 288 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Einer wiederholenden Wiedergabe von Teilen einer Verordnung setzt das sog. Wiederholungsverbot des Gerichtshofs der Europäischen Union (EuGH) Grenzen. Es soll verhindern, dass die unmittelbare Geltung einer Verordnung verschleiert wird, weil die Normadressaten über den wahren Urheber des Rechtsaktes oder die Jurisdiktion des EuGH im Unklaren gelassen werden (EuGH, Rs. C-34/73, Variola, Rn. 9 ff.; EuGH, Rs. C-94/77, Zerbone, Rn. 22/27).
Die sich im vorliegenden Gesetzentwurf auf die Verordnung (EU) 2016/679 beziehenden punktuellen Wiederholungen und Verweisungen sind aber aufgrund der besonderen Aus-gangslage mit dem Unionsrecht vereinbar:
– Zwar formuliert die Verordnung (EU) 2016/679 in den Erwägungsgründen (siehe Er-wägungsgründe 10, 9 und 13 Satz 1) das Ziel einer Vollharmonisierung, doch erreicht sie dieses Ziel nicht vollumfänglich. Die Verordnung ist als Grund-Verordnung ergän-zungsbedürftig und regelt den Datenschutz nur im Grundsatz abschließend. Sie schafft für den nationalen Gesetzgeber Spielräume durch sogenannte Öffnungsklau-seln. In ca. 70 Fällen enthält sie insoweit Regelungsgebote oder -optionen. Im Um-fang dieser legislativen Spielräume ist sie ein Novum und ähnelt in wesentlichen Tei-len einer Richtlinie. Durch die zahlreichen Ausgestaltungsspielräume für den nationa-len Gesetzgeber beschränkt bereits der Unionsgesetzgeber selbst die unmittelbare Wirkung. Bislang bekannte, vom nationalen Gesetzgeber auf der Grundlage einer Verordnung zu treffende Regelungen wie z. B. Zuständigkeitszuweisungen, Grenz-wertfestsetzungen etc. bleiben erheblich hinter den komplexen Abwägungsentschei-dungen zurück, zu denen der nationale Gesetzgeber im Rahmen der Öffnungsklau-seln der Verordnung (EU) 2016/679 befugt bzw. verpflichtet ist (siehe z. B. das Gebot des Artikels 6 Absatz 3 der Verordnung, Rechtsgrundlagen der Verarbeitung über-haupt erst durch nationale Bestimmungen zu schaffen).
– 14 –
– Mit Erwägungsgrund 8 berücksichtigt der Unionsgesetzgeber den besonderen Cha-rakter der Verordnung (EU) 2016/679. Er lässt Wiederholungen ausdrücklich zu, wenn sie (1) im sachlichen Zusammenhang mit Verordnungsbestimmungen stehen, die dem Mitgliedstaat die Möglichkeit nationaler Präzisierungen oder Einschränkun-gen einräumen, soweit dies erforderlich ist, um (2) Kohärenz zu wahren und (3) die nationalen Vorschriften für die Personen, für die sie gelten, verständlicher zu machen.
Bereits aufgrund dieser Ausgangslage bestehen triftige Gründe, das Ausmaß des sog. Wiederholungsverbots auf die vorliegende Anpassungs- und Umsetzungsgesetzgebung den oben genannten Aspekten entsprechend angemessen zu beurteilen und anzuwen-den.
Über diese Ausgangslage hinaus ist zu berücksichtigen, dass der EuGH auch bisher schon Ausnahmen vom Wiederholungsverbot für rechtmäßig erachtet hat. So hat der EuGH zunächst anerkannt, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen, wobei ihnen ein weiter Ermessensspielraum zustehe (EuGH, Rs. C-403/98, Monte Arcosu, Rn. 26, 28). Auch räumt der EuGH dem nationalen Gesetzgeber seit lan-gem ein, eine zersplitterte Rechtslage ausnahmsweise durch den Erlass eines zusam-menhängenden Gesetzeswerks zu bereinigen und hierbei im Interesse eines inneren Zu-sammenhangs und der Verständlichkeit für den Adressaten notwendige punktuelle Normwiederholungen vorzunehmen (EuGH, Rs. C-272/83, Kommission/Italien, Rn. 27). Denn die Mitgliedstaaten haben allgemein durch geeignete innerstaatliche Maßnahmen die uneingeschränkte Anwendbarkeit einer Verordnung sicherzustellen (EuGH, Rs. C-72/85 Kommission/Niederlande, LS 2). Hierzu müssen die Mitgliedstaaten nicht nur ihr eigenes Recht anpassen bzw. bereinigen, sondern darüber hinaus eine so bestimmte, klare und transparente Lage schaffen, dass der Einzelne seine Rechte in vollem Umfang erkennen und sich vor den nationalen Gerichten darauf berufen kann (EuGH, Rs. C-162/99, Kommission/Italien, LS 3). Dies verdeutlicht, dass der Gerichtshof in seiner Rechtsprechung atypische Konstellationen berücksichtigt und Aspekten wie Verständlich-keit und Kohärenz Bedeutung beimisst.
Es ist daher im Interesse der Kohärenz des Datenschutzrechts sowie der Erhöhung der Verständlichkeit und Übersichtlichkeit für den Rechtsanwender mit dem Unionsrecht ver-einbar und zweckmäßig, dass dieser Gesetzentwurf Wiederholungen einzelner Passagen bzw. Bestimmungen der Verordnung (EU) 2016/679 oder Verweisungen auf sie enthält.
VI. Gesetzesfolgen
1. Rechts- und Verwaltungsvereinfachung
Der Entwurf sieht keine Rechts- und Verwaltungsvereinfachung vor.
2. Nachhaltigkeitsaspekte
Der Gesetzentwurf steht im Einklang mit den Leitgedanken der Bundesregierung zur nachhaltigen Entwicklung im Sinne der Nationalen Nachhaltigkeitsstrategie. Die Wirkun-gen des Gesetzentwurfs zielen auf die Indikatorenbereiche 3, 8, 9 und 16 ab. Das Gesetz regelt die Verarbeitung von Daten im Gesundheitsbereich (Indikator 3). Es ergänzt die durch die Verordnung (EU) 2016/679 beabsichtigte Zielsetzung eines einheitlichen EU-Binnenmarktes und leistet damit einen Beitrag für ein dauerhaftes und nachhaltiges Wirt-schaftswachstum (Indikator 8). Darüber hinaus fördert das Gesetz die Nutzbarkeit perso-nenbezogener Daten zu Forschungszwecken (Indikator 9). Schließlich erhöht das Gesetz mittelbar die Sicherheit der Bürgerinnen und Bürger im Bereich Gefahrenabwehr und Strafverfolgung (Indikator 16).
– 15 –
3. Haushaltsausgaben ohne Erfüllungsaufwand
Keine.
4. Erfüllungsaufwand
Die gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezo-gener Daten und zum freien Datenverkehr (ABl. EG L 281 vom 23.11.1995, S. 31) bereits bestehenden Betroffenenrechte, wie etwa Informations- und Auskunftsrechte gegenüber der betroffenen Person, das Recht auf Berichtigung und Löschung, das Recht auf Ein-schränkung der Verarbeitung sowie das Widerspruchsrecht, werden durch die Verord-nung (EU) 2016/679 gestärkt. Dadurch entsteht zusätzlicher Erfüllungsaufwand für die Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung, der aber durch die Verord-nung (EU) 2016/679 und nicht durch dieses Gesetz verursacht wird.
Dieses Artikelgesetz schränkt zugleich in dem durch Artikel 23 der Verordnung (EU) 2016/679 eröffneten Rahmen einzelne Betroffenenrechte ein. Dies reduziert die Pflichten und verringert den Erfüllungsaufwand der für die Datenverarbeitung Verantwortlichen. Die in diesem Artikelgesetz zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen als Ausgleich für die Einschränkung der Betroffenen-rechte von dem Verantwortlichen zu ergreifenden Schutzmaßnahmen, wie etwa das Nachholen einer Informationspflicht oder die Dokumentation, aus welchen Gründen von einer Information abgesehen wird, lösen unmittelbaren Erfüllungsaufwand aus. Ohne die-se beiden zusammenhängenden Maßnahmen wäre der durch die Verordnung (EU) 2016/679 ausgelöste Aufwand der für die Datenverarbeitung Verantwortlichen deutlich höher.
Den Bürgerinnen und Bürger entsteht mit Blick auf das Bundeszentralregistergesetz (BZRG) und die registerrechtlichen Bestimmungen der Gewerbeordnung (GewO) ein sehr geringer zeitlicher Erfüllungsaufwand bei
– einem Antrag auf Protokolldatenauskunft, geschätzte 200 Fälle pro Jahr im Bereich Bundeszentralregister (BZR) und 50 Fälle pro Jahr im Bereich Gewerbezentralregis-ter (GZR), und
– einem formlosen Antrag auf kostenfreie Selbstauskunft aus dem GZR beim Bundes-amt für Justiz, geschätzte 100 Fälle im Jahr.
Die unerheblichen Aufwendungen zur formlosen Antragstellung sind in Anbetracht der Umsetzung des Rechts auf informationelle Selbstbestimmung und in Anbetracht größt-möglicher Transparenz im Umgang mit den bei der Registerbehörde gespeicherten Daten gerechtfertigt.
Für die Wirtschaft entsteht durch dieses Gesetz kein neuer Erfüllungsaufwand.
Für die Verwaltung entsteht durch die Umsetzung der Anforderungen der Verordnung (EU) 2016/679 im Gesetz über die Errichtung einer Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOSG) neuer Erfüllungsauf-wand lediglich durch die Vorgaben des § 23 BDBOSG. § 23 BDBOSG (Standortdaten-bank) bildet die Rechtsgrundlage dafür, dass im bereits existierenden Dateisystem mit grundlegenden technischen und organisatorischen Informationen zu den Standorten des BOS-Digitalfunknetzes nunmehr in geringem Umfang auch personenbezogene Daten gespeichert werden dürfen. Für die technische Umsetzung der datenschutzkonformen Ausgestaltung für das Speichern von personenbezogenen Daten in der Standortdaten-bank entsteht bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) ein interner personeller Aufwand für Auswahl und Im-
– 16 –
plementierung von voraussichtlich 27 Personentagen sowie ein geschätzter Erfüllungs-aufwand für die erforderlichen Hard- und Softwarekomponenten in Höhe von rund 130.000 Euro. Die Komponenten setzen sich zusammen aus Hardware für Speicher und Server sowie aus Dienstleistungskosten und den notwendigen Softwarelizenzen, um den Speicher und den Server betreiben zu können. Zusätzlich entstehen jährlich nicht näher bezifferbare Kosten für Wartung und Pflege der Hard- und Softwarekomponenten.
Im Rahmen des Bundesbeamtengesetzes umfasst der Begriff „Einsicht“ wegen Artikel 15 Absatz 3 Verordnung (EU) 2016/679 auch das Recht des Beamten oder der Beamtin auf Aushändigung. Dadurch ergibt sich ein sehr geringer, jedoch derzeit nicht näher beziffer-barer Verwaltungsaufwand. Dieser Mehraufwand kann im Rahmen der vorhandenen Mit-tel und des vorhandenen Personals abgedeckt werden.
Durch die Umsetzung der Anforderungen der Verordnung (EU) 2016/679 im Gesetz zur Stärkung des Datenschutzes und zur Regelung der Datenverarbeitung durch das Bun-desamt für Sicherheit in der Informationstechnik (BSIG) werden in Bezug auf die Ein-schränkung von Informationspflichten und die Einschränkung der Betroffenenrechte in vielen Einzelfällen umfassende datenschutzrechtliche Prüfungen mit Abwägungs-, Be-gründungs- und Dokumentationszwang erforderlich. Hierfür entsteht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Erfüllungsaufwand in Form von Personal-kosten in Höhe von jährlich rund 315 000 Euro (hierbei wird von drei neuen Planstellen, zweimal hD und einmal gD oder hD, ausgegangen):
– Zusätzliche Aufgaben entstehen insbesondere im Rahmen der Einschränkung von Informationspflichten (§ 6a BSIG). Die Einschränkung von Informationspflichten nach § 6a BSIG erfordert eine sorgfältige Abwägung der Interessen betroffener Personen und der in Absatz 1 aufgeführten öffentlichen Interessen einschließlich der Dokumen-tations- und Informationspflicht der Öffentlichkeit. Im Vorfeld jeder Datenerhebung im Rahmen der umfangreichen gesetzlichen Aufgabenerledigung des BSI muss die da-tenschutzrechtliche Prüfung und Feststellung erfolgen, dass die Informationspflicht nicht besteht und in Folge die notwendigen Sicherungsmaßnahmen zum Schutz per-sonenbezogener Daten i. S. v. § 6a Absatz 2 BSIG eingeleitet werden. Der Erfül-lungsaufwand für diesen Aufgabenkomplex einschließlich der Dokumentation und öf-fentlichen Information beträgt geschätzt eine Planstelle.
– Daneben entstehen neue Aufgaben insbesondere im Rahmen der Einschränkung der Betroffenenrechte (§§ 6b bis 6f BSIG). Zur Gewährleistung der Funktionsfähigkeit und der Aufgabenerledigung des BSI ist die Beschränkung bedeutender Betroffenen-rechte (wie des Auskunftsrechts nach § 6b BSIG, des Rechts auf Berichtigung nach § 6c BSIG, des Rechts auf Löschung nach § 6d BSIG, des Rechts auf Einschränkung der Verarbeitung nach § 6e BSIG und des Rechts auf Widerspruch nach § 6f BSIG) möglich. Die Einschränkungen setzen in jedem Einzelfall eine sorgfältige, tiefgehende datenschutzrechtliche Prüfung und Abwägung des Interesses des BSI an der umfas-senden Aufgabenerledigung im erforderlichen Umfang einerseits und den Individual-interessen der Betroffenen andererseits voraus. Neben der umfassenden Dokumen-tation der Entscheidung sind im Rahmen neu einzuführender Verfahren für die vorge-sehene Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die In-formationssicherheit (BfDI) und dem Bundesministerium des Innern, für Bau und Heimat (BMI) nach § 6b Absatz 3 BSIG, für das Einholen einer Gegendarstellung nach § 6c Absatz 2 BSIG und für die Unterrichtung betroffener Personen nach § 6e Satz 2 BSIG weitere gesetzliche Anforderungen zu erfüllen. Der Erfüllungsaufwand für den Aufgabenkomplex Einschränkung der Betroffenenrechte beträgt zwei Plan-stellen.
Durch Anpassungen an die Verordnung (EU) 2016/679 im Bereich des Beauftragten für den Datenschutz der Deutschen Welle als Aufsichtsbehörde (§ 64 DWG) entsteht ein Er-füllungsaufwand in Höhe von geschätzt unter 1 200 Euro jährlich, der sich wie folgt be-
– 17 –
rechnet: Wegen der neu eingeführten Ernennung des Beauftragten für den Datenschutz bei der Deutschen Welle durch den Rundfunkrat mit Zustimmung des Verwaltungsrats (§ 64 Absatz 2 DWG) ist mit Zusatzkosten unter 1 000 Euro pro Ernennung alle fünf Jahre zu rechnen, wodurch ein jährlicher Erfüllungsaufwand in Höhe von weniger als 200 Euro entsteht. Dieser Mehraufwand besteht in der Fertigung einer schriftlichen Vorlage für den Verwaltungs- und Rundfunkrat, der Behandlung eines weiteren Tagesordnungspunktes durch die Gremien inklusive Protokollierung sowie der Teilnahme der oder des Beauftrag-ten für den Datenschutz an den Sitzungen nebst Vorbereitung.
Durch die in der Verordnung (EU) 2016/679 vorgegebene Pflicht, den Tätigkeitsbericht des Beauftragten für den Datenschutz der Deutschen Welle künftig jährlich anstatt wie bisher alle zwei Jahre zu verfassen, entstehen Zusatzkosten unter 1 000 Euro pro Jahr. Dieser Mehraufwand besteht in der jährlichen Erstellung des Tätigkeitsberichts sowie von drei Vorlagen an die Intendantin oder den Intendanten, den Verwaltungsrat und den Rundfunkrat; der Bericht ist diesen vorzustellen. Mehraufwand entsteht auch durch die jährliche Veröffentlichung und Übersendung an ausgewählte Empfänger. Die Kosten trägt die Deutsche Welle aus ihrem Etat.
Durch die Aufteilung der Aufsicht über die Datenverarbeitung im Zusammenhang mit jour-nalistischen Zwecken auf den Beauftragten für den Datenschutz der Deutschen Welle einerseits sowie der Aufsicht über die Datenverarbeitung für im Bereich von Verwaltungs-tätigkeiten, die keinen Bezug zu Programmtätigkeiten der Deutschen Welle haben, auf die oder den BfDI andererseits (§ 65 Absatz 1 DWG), entsteht folgender Mehraufwand
– Bei der oder dem BfDI entsteht durch die Einführung der zweigeteilten Aufsicht in § 65 Absatz 1 DWG durch die Aufsicht über die Datenverarbeitung im Rahmen reinen Verwaltungshandelns ein geschätzter Mehraufwand von maximal rund 3 500 Euro pro Jahr (höchstens vier Fälle pro Jahr, Aufwand von höchstens drei Arbeitstagen, 36 Euro Lohnkosten pro Stunde). Zudem entsteht ein geschätzter Erfüllungsaufwand bei der oder dem BfDI aufgrund des Abstimmungsbedarfs mit dem Beauftragten für den Datenschutz der Deutschen Welle in Höhe von 13 500 Euro pro Jahr (höchstens 25 Fälle pro Jahr; Aufwand in einfachen Fällen fünf Stunden pro Fall, in sehr komplexen Fällen bis zu 30 Stunden pro Fall; 36 Euro Lohnkosten pro Stunde).
– Für die Deutsche Welle entsteht durch die Einführung der zweigeteilten Aufsicht in § 65 Absatz 1 DWG aufgrund höheren Abstimmungsbedarfs mit der oder dem BfDI ebenfalls ein jährlicher geschätzter Erfüllungsaufwand in Höhe von 13.500 Euro.
Der Registerbehörde wird durch die Einführung einer kostenfreien, formlosen Selbstaus-kunft aus dem GZR ein geringfügiger einmaliger Mehraufwand entstehen, um den Aus-druck von formlosen Selbstauskünften in den Workflow zu etablieren. Der jährliche Per-sonal- und Sachaufwand wird angesichts der geringen Anzahl von 100 Anträgen pro Jahr bei rund 4 000 Euro liegen.
Bezüglich der Einführung einer Protokolldatenauskunft wird von 200 Anträgen pro Jahr im Bereich des BZR und von 50 Anträgen pro Jahr im Bereich des GZR ausgegangen. Da die Anträge bei den zuständigen Behörden zu stellen sind, um die Identitätsprüfung zu gewährleisten, entsteht den Meldeämtern bzw. den zuständigen Behörden ein personeller Mehraufwand in Höhe von rund 1.000 Euro; für die Berechnung dieser Kosten wird eine Bearbeitungszeit von 4 Minuten für die Annahme und Prüfung des Antrags und die Wei-terleitung der Daten an das Bundesamt für Justiz zugrundegelegt. Die Erhebung des Zeitwerts basiert auf einer Erhebung des Statistischen Bundesamts.
Bei den in das Verfahren eingebundenen Staatsanwaltschaften, Gerichten und Behörden, die ihr Einvernehmen zur Protokolldatenauskunft zu erklären haben, sofern sie zuvor Auskünfte zu der antragstellenden Person nach den §§ 41 und 31 BZRG sowie § 150a Absatz 1 Satz 2 oder Absatz 2 GewO bezogen haben, wird ein jährlicher Personalauf-
– 18 –
wand von ca. 1 000 Euro entstehen, ausgehend von einer Bearbeitungszeit von 14 Minu-ten pro Fall. Es wird von geschätzten 100 Fällen im Bereich des BZR und von 25 Fällen im Bereich des GZR ausgegangen, bei denen die Einholung des Einvernehmens erforder-lich ist.
Beim Bundesamt für Justiz ist für die manuelle Bearbeitung der Anträge auf Protokollda-tenauskunft von einer Bearbeitungszeit von 60 Minuten pro Fall auszugehen. Damit wer-den jährlich Personal- und Sachaufwände in Höhe von rund 12 000 Euro entstehen.
Durch die neue Aufgabe in § 4e Absatz 3 FinDAG, § 4 Absatz 5 SAG, § 13a Absatz 3 AnlEntG und § 21 Absatz 6 EinSiG, die aus der Anpassung der Finanzaufsichtsgesetze an die Verordnung (EU) 2016/679 resultiert, entsteht für die oder den BfDI ein Mehrauf-wand, sofern der in den genannten Vorschriften geregelte Fall tatsächlich in der Zukunft auftreten sollte. Bezogen auf die Vergangenheit und insbesondere auch auf die Zeit der Finanzkrise hätte es nach den vorhandenen Daten keinen Anwendungsfall gegeben. Der Anwendungsbereich der bereits in § 19 Absatz 6 BDSG in der bis zum 24. Mai 2018 gel-tenden Fassung und § 34 Absatz 3 BDSG 2018 vorhandenen Aufgabe wird auf die Fi-nanzaufsichtsgesetze und die dort geschaffenen Gefährdungstatbestände wie z. B. die Integrität und Stabilität der Finanzmärkte im Lichte des Artikels 15 Absatz 1 der Verord-nung (EU) 2016/679 erweitert. Betroffenen Personen wird bei Vorliegen eines der sehr eng gefassten Gefährdungstatbestände ein Auskunftsanspruch über die BfDI gewährt, wenn ihnen zuvor von der zuständigen Behörde eine datenschutzrechtliche Auskunft ver-weigert wurde. Die BfDI wird dabei für den sehr seltenen Fall des Vorliegens der Voraus-setzungen als Mittlerin für die betroffene Person deren Betroffenenrechte wahrnehmen und diese Personen in Abstimmung mit den zuständigen Behörden über das Ergebnis informieren. Diese Aufgabe beinhaltet, sofern der Fall tatsächlich künftig eintreten sollte, eine Korrespondenz sowohl mit der betroffenen Person als auch der verantwortlichen Behörde, eine datenschutzrechtliche Prüfung und eine umfassende Dokumentation bei der BfDI. Je Fall entstünde der oder dem BfDI nach eigener Schätzung ein Erfüllungsauf-wand für den gehobenen Dienst in Höhe von 1 736 Euro, für den mittleren Dienst in Höhe von 2 536 Euro und für die Arbeitsplatzpauschale in Höhe von 1 605,60 Euro (gesamt 5 877,60 Euro).
Eine vergleichbare Aufgabe, die aber in die Zuständigkeit der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde fällt, regelt § 22b Absatz 3 BörsG. Für die Erfüllung dieser Aufgabe dürfte ein vergleichbarer Aufwand bei der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde entstehen.
Durch die Implementierung eines Internetportals zur elektronischen Unterstützung der Beantragung von Elterngeld ändern sich die Erfüllungsaufwände für Bürger und Verwal-tung. Für Bürgerinnen und Bürgern wird erwartet, dass sich der Erfüllungsaufwand nur dann ändert, wenn von den durch die Normänderung geschaffenen neuen Möglichkeiten einer elektronischen Unterstützung der Beantragung des BEEG Gebrauch gemacht wird bzw. Gebrauch gemacht werden kann. Ein einmaliger Erfüllungsaufwand entsteht den Bürgerinnen und Bürgern indes nicht. Durch eine elektronische Unterstützung der Antrag-stellung ist mit einer Verringerung des Zeitaufwands für die Erfüllung der Antragstellung auf Elterngeld zu rechnen. Die kumulierten Zeitersparnisse ergeben eine geschätzte Re-duzierung des jährlichen Zeitaufwands von insgesamt 1 166 000 Stunden. Die Summe der Zeitaufwände beruht auf der geschätzten Zahl von 933 953 der Antragstellungen für das Jahr 2017 (nach WebSKM).
Für die Verwaltung werden im Vollzug sowohl einmalige Umstellungskosten als auch jähr-liche Kosten erwartet. Für die jährlichen Kosten ist durch die Normänderung eine Redu-zierung zu erwarten. Die einmaligen Umstellungskosten fallen sowohl auf Seiten des Bundes als auch auf Seiten der Elterngeldstellen (Länder bzw. Kommunen) an.
– 19 –
Für die Tätigkeit Programmierung und Konzeption des einheitlichen Portals sowie den allgemeinen Abstimmungsaufwand werden einmalige geschätzte Umstellungskosten in Höhe von 2,9 Millionen Euro angenommen. Diese Kosten umfassen sowohl bereits getä-tigte Kosten für die Konzeption und Implementierung der Basisversion des Portals als auch angenommene Kosten für die Weiterentwicklung der Anwendung bspw. durch tech-nologische oder auch regulatorische Neuerungen. Diese Kosten fallen im Rahmen von Beauftragungen technischer Dienstleister an und sind pauschalisiert. Für Schulungen von Mitarbeiterinnen und Mitarbeitern zur Sicherstellung eines qualifizierten Supports fallen einmalige pauschale Kosten von geschätzt 50 000 Euro an (4 Schulungen à 6 Zeitstun-den mit jeweils 7 Mitarbeiterinnen und Mitarbeitern). Der einmalige geschätzte Umstel-lungsaufwand auf Seiten des Bundes wird demnach mit ca. 3 Millionen Euro beziffert.
Als einmaliger Umstellungsaufwand (Personal- und Sachkosten) werden auf Seiten der Länder/Kommunen bzw. in den Elterngeldstellen Aufwendungen durch Programmieran-passungen in den Fachanwendungen/Fachverfahren sowie durch die Schulung von Mit-arbeiterinnen und Mitarbeitern erwartet. Für 280 Elterngeldstellen sind an dieser Stelle geschätzte 3 900 Euro als einmalige Kosten veranschlagt. Zudem wurde der Anpas-sungsaufwand in den Elterngeldstellen und Landesbehörden zur einmaligen Inbetrieb-nahme des Internetportals in Form von Personalkosten überschlagen. Insgesamt ergibt sich daraus ein zu erwartender Erfüllungsaufwand (Personal- und Sachkosten) in Höhe von 1,5 Millionen Euro. Dieser Betrag beruht auf den geschätzten Kosten eines Pilotie-rungsbundeslandes und wurde hochgerechnet auf die Zahl von nach jetzigen Stand 14 teilnehmenden Bundesländern.
Die geschätzte jährliche Zahl der Anträge auf Elterngeld liegt bei 932 953. Dies sollte da-mit der Zahl an Fällen Bearbeitung des Antrags auf Elterngeld und Elterngeld Plus ent-sprechen. Dies ergibt bei einer Reduzierung des Zeitaufwands durch die Normänderung um geschätzte 40 Minuten eine Reduzierung des jährlichen Zeitaufwands um 622 000 Stunden bei den Ländern und Kommunen. Daraus ergibt sich eine Kostenreduzierung von geschätzt 24 619 161 Euro (errechnet aus den durchschnittliche Lohnkosten in der Ver-waltung von 39,60 Euro pro Stunde (Stand: 2017; Quelle: Statistisches Bundesamt) hochgerechnet auf die Zahl der reduzierten Stunden durch die Implementierung der Nor-mänderung).
Die Änderung des § 75 Absatz 4 Satz 2 des Zehnten Buches Sozialgesetzbuch (SGB X) löst keinen neuen Erfüllungsaufwand für die Verwaltung des Bundes aus. Mit der Ände-rung wird lediglich die Möglichkeit geschaffen, Genehmigungsverfahren für Anträge von Verbänden der Versicherungsträger auf Übermittlung von Sozialdaten, die bisher von ei-ner obersten Bundesbehörde zu führen sind, dem Bundesversicherungsamt zu übertra-gen. Die geänderte Norm entfaltet erst Wirkung, wenn die oberste Bundesbehörde von der Übertragungsbefugnis Gebrauch macht. Auch dann erfolgt aber lediglich innerhalb der Bundesverwaltung ein Zuständigkeitswechsel für die Aufgabe. Ein mit der Aufgabenüber-tragung ggf. verbundener, noch nicht hinreichend feststellbarer Stellenmehrbedarf des Bundesversicherungsamtes ist grundsätzlich stellenmäßig und finanziell durch die jeweili-ge Auftrag gebende oberste Bundesbehörde (Einzelplan) auszugleichen.
Durch die Anpassung von § 42 Postgesetz entsteht kein zusätzlicher Erfüllungsaufwand für den Bund. Soweit Aufgaben auf die BfDI übergehen, die derzeit von der Bundesnetza-gentur wahrgenommen werden, wird der dadurch entstehende zusätzliche Personalbedarf bei der BfDI durch eine Umsetzung der dafür vorgesehenen Planstellen nach § 50 BHO von der Bundesnetzagentur zur BfDI gedeckt.
Weiterer neuer Erfüllungsaufwand für die Verwaltung entsteht durch die Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 nicht. Die bestehenden allgemeinen wie bereichsspezifischen Regelungen im Datenschutzrecht, die öffentliche Stellen betref-fen, können fortbestehen, indem die in der Verordnung (EU) 2016/679 enthaltenen Öff-nungsklauseln ausgenutzt werden.
– 20 –
Nach Einschätzung Niedersachsens können für die Länder Mehrausgaben durch § 3 AFIG und § 23 BDBOSG entstehen:
Bislang lag die Zuständigkeit für die Verhängung von Geldbußen gemäß § 3a AFIG zent-ral bei der Bundesanstalt für Landwirtschaft und Ernährung. Da die Zuständigkeit für da-tenschutzrechtliche Verstöße in Bezug auf das AFIG nunmehr nicht mehr zentral bei einer Behörde, sondern dezentral bei den Bundesländern liegt, wird es zu einem Mehraufwand bei den Ländern für die Übernahme dieser Aufgabe sowie der erforderlichen Abstimmung mit den anderen Bundesländern kommen. Der Umfang des Mehraufwands kann jedoch nicht beziffert werden.
Durch die Änderung des § 23 BDBOSG entsteht ein Anpassungsbedarf für die Hard- und Softwarekomponenten sowie den Personalaufwand. Nach § 15 des Verwaltungsabkom-mens über die Zusammenarbeit von Bund und Ländern beim Aufbau und Betrieb eines bundesweit einheitlichen digitalen Sprech- und Datenfunksystems für alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) in der Bundesrepublik Deutschland kön-nen diese Kosten zu 70 Prozent nach Maßgabe des Königsteiner Schlüssels auf die Län-der umgelegt werden.
5. Weitere Kosten
Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucher-preisniveau, sind nicht zu erwarten.
6. Weitere Gesetzesfolgen
Die Regelungen sind inhaltlich geschlechtsneutral. Auswirkungen von gleichstellungspoli-tischer Bedeutung sind nicht zu erwarten.
VII. Befristung; Evaluierung
Eine Befristung des Gesetzes ist nicht vorgesehen, weil auch die korrespondierenden EU-Rechtsakte nicht zeitlich befristet sind. Eine Evaluierung des Regelungsvorhabens ist grundsätzlich nicht geplant. Nur für die Vorgaben des Bundeszentralregistergesetzes und die registerrechtlichen Bestimmungen der Gewerbeordnung (GewO) ist vorgesehen, dass sie spätestens vier Jahre nach dem Inkrafttreten evaluiert werden. Dabei wird die Bundes-regierung in fachlich geeigneter Weise prüfen, ob und inwieweit die beabsichtigten Wir-kungen in Bezug auf den Datenschutz und Transparenz erreicht worden sind und, ob die quantitativen Schätzungen bezüglich der Antragstellung, Behördenbeteiligung und Aus-kunftserteilungen hinsichtlich der Protokolldatenauskunft nach BZRG und GewO zutref-fen. Die Evaluierung wird die Frage nach unbeabsichtigten Nebenwirkungen sowie nach der Akzeptanz und Praktikabilität der Regelungen einschließen.
B. Besonderer Teil
Zu Artikel 1 (Änderung des Staatsangehörigkeitsgesetzes)
Zu Nummer 1
Zu Buchstabe a
Es handelt sich um eine sprachliche Anpassung an die Verordnung (EU) 2016/679.
– 21 –
Zu Buchstabe b
Die Erfüllung der im StAG und in staatsangehörigkeitsrechtlichen Bestimmungen in ande-ren Gesetzen bestimmten Aufgaben, insbesondere die Entscheidung über Einbürgerun-gen, setzt in vielen Fällen zwingend voraus, dass auch personenbezogene Daten beson-derer Kategorien, insbesondere auch die nach § 37 Absatz 2 Satz 2 von den Verfas-sungsschutzbehörden übermittelten Daten von den Einbürgerungsbehörden verarbeitet werden können. Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 untersagt jedoch die Verarbeitung solcher personenbezogenen Daten. Das generelle Verarbeitungsverbot nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 gilt gemäß Artikel 9 Absatz 2 Verord-nung (EU) 2016/679 in der hier nur in Betracht kommenden Tatbestandsalternative des Buchstaben g nur dann nicht, wenn die Verarbeitung besonderer Kategorien personenbe-zogener Daten aus Gründen eines erheblichen öffentlichen Interesses – hier des Interes-ses an der gesetzmäßigen Erfüllung der staatsangehörigkeitsrechtlichen Aufgaben – er-forderlich ist und dafür eine Rechtsgrundlage nationalen Rechts besteht. Eine Erweiterung der bisherigen Befugnisse ist mit der klarstellenden Regelung zur Verarbeitung personen-bezogenener Daten besonderer Kategorie nicht verbunden.
Nach § 33 Absatz 2 werden besondere Kategorien personenbezogener Daten im Register der Entscheidungen in Staatsangehörigkeitsangelegenheiten nicht gespeichert. Solche Daten werden deshalb bei den Datenübermittlungen nach § 33 Absatz 3 gegenüber der Registerbehörde auch nicht offengelegt.
Soweit Staatsangehörigkeitsbehörden Sozialdaten (vgl. Änderung des Zehnten Buches Sozialgesetzbuch durch das 2. DSAnpUG-EU) verarbeiten, die zur Feststellung der Ein-bürgerungsvoraussetzung „Unterhaltsfähigkeit“ (vgl. § 10 Absatz 1 Nr. 2 StAG) benötigt werden, umfasst dies regelmäßig auch personenbezogene Daten besonderer Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679. Dies gilt auch, soweit im Rahmen von Ermessenseinbürgerungen (§§ 8, 13, 14 StAG) personenbezogene Daten zu politi-schen, rassischen und religiösen Gründen nationalsozialistischer Vertreibungshandlungen verarbeitet werden müssen, die Artikel 116 Absatz 2 des Grundgesetzes zwar vergleich-bar sind oder sein können, in denen aber andere Gründe als eine Entziehung für den „Nichtbesitz der deutschen Staatsangehörigkeit“ ursächlich sind. Mit der Änderung von § 31 Satz 2 und Satz 3 StAG wird zur Klarstellung eine Rechtsgrundlage geschaffen, die den Anforderungen von Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 genügt.
Zu Nummer 2
Es handelt sich um eine sprachliche Anpassung an die Verordnung (EU) 2016/679.
Zu Nummer 3
Zu Buchstabe a
Es handelt sich um eine redaktionelle Änderung.
Zu Buchstabe b
Der bisher für die Übermittlung personenbezogener Daten zu Forschungszwecken gel-tende Verweis auf die Bestimmungen des BDSG liefe nunmehr ins Leere, da das BDSG geändert wurde. Durch die neue Formulierung in Satz 3 wird deutlich, dass weiterhin per-sonenbezogene Daten zu Forschungszwecken grundsätzlich nur anonymisiert übermittelt werden dürfen. Dies wird dem Umstand gerecht, dass Entscheidungen in Staatsangehö-rigkeitsangelegenheiten von besonderer datenschutzrechtlicher Sensibilität sind und für Forschungszwecke regelmäßig eine Übermittlung der Daten in anonymisierter Form aus-reichen wird. Sofern sich der Forschungszweck mit einer anonymisierten Datenübermitt-
– 22 –
lung nicht erreichen lässt, ist auch eine nichtanonymisierte Übermittlung ausnahmsweise zulässig, wenn das wissenschaftliche Interesse an der Durchführung des Forschungsvor-habens das Interesse der betroffenen Person am Ausschluss der Verarbeitung erheblich überwiegt.
Durch die Änderung werden die Übermittlungsmöglichkeiten zu wissenschaftlichen Zwe-cken nicht erweitert.
Insbesondere kann daher das Durchführungsinteresse allenfalls dann erheblich überwie-gen, wenn der Forschungszweck durch die Übermittlung anonymisierter Daten nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Die Abwägung muss das Interesse der betroffenen Person am Schutz der nach der Vorschrift übermittelbaren sen-siblen Daten berücksichtigen.
Für die weitere Verarbeitung der übermittelten Daten beim Empfänger sind die allgemei-nen datenschutzrechtlichen Vorschriften, insbesondere § 27 BDSG, zu beachten.
Zu Nummer 4
Es handelt sich um eine sprachliche Anpassung an die Verordnung (EU) 2016/679.
Zu Artikel 2 (Änderung des Gesetzes zur Regelung von Vermögensfragen der Sozialversicherung im Beitrittsgebiet)
Zu Nummer 1
Das geltende Recht wird beibehalten und lediglich redaktionell an die Begriffsbestimmun-gen aus Artikel 4 der Verordnung (EU) 2016/679 angepasst. Mit der Ersetzung durch die aufgeführten Verarbeitungsteilschritte wird der im bisher geltenden Recht geregelte Um-fang der Verarbeitungsbefugnis beibehalten. Aus Artikel 5 und Artikel 17 der Verordnung (EU) 2016/679 ergibt sich die allgemeine Löschpflicht insbesondere für Daten, die nicht mehr für die Zweckerfüllung notwendig sind (Artikel 5 Absatz 1 Buchstabe c der Verord-nung (EU) 2016/679), für unrichtige Daten (Artikel 5 Absatz 1 Buchstabe d der Verord-nung (EU) 2016/679) sowie auf Verlangen der betroffenen Person (Artikel 17 Verordnung (EU) 2016/679). Es handelt sich um eine bereichsspezifische Regelung zur Datenverar-beitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfasst.
Zu Nummer 2
Zu Buchstabe a
Das geltende Recht wird beibehalten und lediglich redaktionell an die Begriffsbestimmun-gen aus Artikel 4 der Verordnung (EU) 2016/679 angepasst. Der Begriff „Verwenden“ im bis zum 25. Mai 2018 geltenden Sozialdatenschutzrecht (§ 67 Absatz 6 des Zehnten Bu-ches Sozialgesetzbuch – SGB X a. F. –) bildete den Oberbegriff für Verarbeitung und Nutzung und umfasste damit alle Formen des Umgangs mit Daten mit Ausnahme der Er-hebung von Sozialdaten. Aufgrund des neuen Bedeutungsgehalts des Teilschritts „Ver-wenden“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679, der im Vergleich zum bisherigen Recht nur mit eingeschränkten Befugnissen verbunden ist, wird die Regelung unter Beibehaltung des Regelungsgehalts begrifflich angepasst und die datenschutzrecht-lichen Befugnisse werden konkret benannt. Aus Artikel 5 und Artikel 17 der Verordnung (EU) 2016/679 ergibt sich die allgemeine Löschpflicht insbesondere für Daten, die nicht mehr für die Zweckerfüllung notwendig sind (Artikel 5 Absatz 1 Buchstabe c der Verord-nung (EU) 2016/679), für unrichtige Daten (Artikel 5 Absatz 1 Buchstabe d der Verord-
– 23 –
nung (EU) 2016/679) sowie auf Verlangen der betroffenen Person (Artikel 17 Verordnung (EU) 2016/679). Es handelt sich um eine bereichsspezifische Regelung zur Datenverar-beitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfasst.
Zu Buchstabe b
Das geltende Recht wird im Wesentlichen beibehalten und redaktionell an die Begriffsbe-stimmungen aus Artikel 4 der Verordnung (EU) 2016/679 angepasst. Das Wort „Verwen-dung“ wird durch den weiten Verarbeitungsbegriff des Artikels 4 Nummer 2 der Verord-nung (EU) 2016/679 ersetzt, da die Einschränkung der Weiterverarbeitung geregelt wird. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Ab-satz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung be-sonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfasst.
Zu Nummer 3
Das geltende Recht wird beibehalten und lediglich redaktionell an die Begriffsbestimmun-gen aus Artikel 4 der Verordnung (EU) 2016/679 angepasst. Das bisher in der Regelung enthaltene Wort „Verwendung“ war weit auszulegen, so dass es durch den weiten Verar-beitungsbegriff des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 zu ersetzen ist. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Ab-satz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung be-sonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfasst.
Zu Nummer 4
Das geltende Recht wird beibehalten und lediglich redaktionell an die Begriffsbestimmun-gen aus Artikel 4 Nummer 6 der Verordnung (EU) 2016/679 angepasst. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buch-stabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 er-fasst.
Zu Nummer 5
Die Änderung der Angabe ist eine Folgeänderung zur Neufassung des BDSG in der Fas-sung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (BGBl. I S. 2097).
Darüber hinaus kann die Maßgaberegelung zur anlassunabhängigen Prüfung der daten-schutzrechtlichen Vorschriften entfallen, da das BDSG seit dem Gesetz zur Änderung des BDSG und anderer Gesetze vom 18. Mai 2001 (BGBl. I S. 904; 2002 I S. 2252) die Prü-fung durch die Aufsichtsbehörde nicht mehr von hinreichenden Anhaltspunkten einer Ver-letzung der datenschutzrechtlichen Vorschriften abhängig macht.
– 24 –
Zu Nummer 6
Die Änderung ist eine Folgeänderung zur Neufassung des Zweiten Kapitels des Zehnten Buches Sozialgesetzbuch durch das Gesetz zur Änderung des Bundesversorgungsgeset-zes und anderer Vorschriften (BGBl. I 2017 S. 2541). Es handelt sich um eine bereichs-spezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfasst.
Zu Artikel 3 (Änderung des Sicherheitsüberprüfungsgesetzes)
Zu Nummer 1
Die Änderung ist eine Anpassung an die Begriffsdefinitionen in § 46 BDSG.
Zu Nummer 2
Die Änderung ist eine Anpassung an die Begriffsdefinitionen in § 46 BDSG.
Zu Nummer 3
Die Änderung ist eine Anpassung an die Begriffsdefinitionen in § 46 BDSG.
Zu Artikel 4 (Änderung des Antiterrordateigesetzes)
Zu Nummer 1
Die Änderung setzt die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 6 – enthaltene neue Begrifflichkeit „Dateisystem“ für das Antiterrordateigesetz um. Dies bewirkt keine inhaltliche Änderung dergestalt, dass in den Fachgesetzen der teilnehmenden Behörden so bezeichnete „Dateien“ hiervon nicht weiterhin umfasst wären.
Zu Nummer 2
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeit von der „Sperrung“ hin zur „Einschränkung der Verar-beitung“ nach. Die dortige Definition entspricht der Definition der „Sperrung“ in § 3 Ab-satz 4 Satz 2 Nummer 4 des BDSG a. F.
Zu Nummer 3
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeiten nach.
Zu Nummer 4
Durch die Änderung wird ein Verweis in das BDSG a. F. angepasst, der durch die Neu-fassung des BDSG notwendig wurde.
Zu Nummer 5
In § 10 Absatz 1 Satz 1 und Absatz 3 wird zunächst ein Verweis in das BDSG a. F. ange-passt, der durch die Neufassung des BDSG notwendig wurde. Zudem wird in Satz 1 und 3 neben der männlichen die weibliche Bezeichnung des Amts der oder des BfDI einge-führt; diese Anpassung erfolgte im BDSG a. F. zuvor schon durch Gesetz vom 25. Febru-ar 2015 (BGBl. I S. 162).
– 25 –
Zu Nummer 6
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeit von der „Sperrung“ hin zur „Einschränkung der Verar-beitung“ nach. Die dortige Definition entspricht der Definition der „Sperrung“ in § 3 Ab-satz 4 Satz 2 Nummer 4 des BDSG a. F.
Zu Nummer 7
In § 12 Satz 3 wird neben der männlichen die weibliche Bezeichnung des Amts der oder des BfDI eingeführt; diese Anpassung erfolgte im BDSG a. F. zuvor schon durch Gesetz vom 25. Februar 2015 (BGBl. I S. 162). Außerdem wird zur Erreichung von Konsistenz insbesondere mit dem Vorgehen bei der Neustrukturierung des Bundeskriminalamtgeset-zes – siehe etwa § 16 Absatz 6 BKAG im Vergleich zu § 9a Absatz 6 BKAG a. F. zu pro-jektbezogenen gemeinsamen Dateien – die Begrifflichkeit „Errichtungsanordnung“ gestri-chen, ohne inhaltlich etwas an den nach § 12 erforderlichen und vom Bundeskriminalamt zu treffenden Festlegungen und zu beachtenden Beteiligungserfordernissen zu ändern.
Zu Artikel 5 (Änderung des Rechtsextremismus-Datei-Gesetzes)
Zu Nummer 1
Die Änderung setzt die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 6 – enthaltene neue Begrifflichkeit „Dateisystem“ für das Rechtsextremismus-Datei-Gesetz um. Dies be-wirkt keine inhaltliche Änderung dergestalt, dass in den Fachgesetzen der teilnehmenden Behörden so bezeichnete „Dateien“ hiervon nicht weiterhin umfasst wären.
Zu Nummer 2
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeit von der „Sperrung“ hin zur „Einschränkung der Verar-beitung“ nach. Die dortige Definition entspricht der Definition der „Sperrung“ in § 3 Ab-satz 4 Satz 2 Nummer 4 des BDSG a. F.
Zu Nummer 3
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeiten nach.
Zu Nummer 4
Durch die Änderung wird ein Verweis in das BDSG a. F. angepasst, der durch die Neu-fassung des BDSG notwendig wurde.
Zu Nummer 5
In § 11 Absatz 1 Satz 1 und Absatz 3 wird zunächst ein Verweis in das BDSG a. F. ange-passt, der durch die Neufassung des BDSG notwendig wurde. Zudem wird in Satz 1 und 3 neben der männlichen die weibliche Bezeichnung des Amts der oder des BfDI einge-führt; diese Anpassung erfolgte im BDSG a. F. zuvor schon durch Gesetz vom 25. Febru-ar 2015 (BGBl. I S. 162).
Zu Nummer 6
Die Änderung vollzieht die in Richtlinie (EU) 2016/680 – dort Artikel 3 Nummer 3 – ange-legte Änderung der Begrifflichkeit von der „Sperrung“ hin zur „Einschränkung der Verar-
– 26 –
beitung“ nach. Die dortige Definition entspricht der Definition der „Sperrung“ in § 3 Ab-satz 4 Satz 2 Nummer 4 des BDSG a. F.
Zu Nummer 7
In § 13 Satz 3 wird neben der männlichen die weibliche Bezeichnung des Amts der oder des BfDI eingeführt; diese Anpassung erfolgte im BDSG a. F. zuvor schon durch Gesetz vom 25. Februar 2015 (BGBl. I S. 162). Außerdem wird zur Erreichung von Konsistenz insbesondere mit dem Vorgehen bei der Neustrukturierung des Bundeskriminalamtgeset-zes – siehe etwa § 16 Absatz 6 BKAG im Vergleich zu § 9a Absatz 6 BKAG a. F. zu pro-jektbezogenen gemeinsamen Dateien – die Begrifflichkeit „Errichtungsanordnung“ gestri-chen, ohne inhaltlich etwas an den nach § 13 erforderlichen und vom Bundeskriminalamt zu treffenden Festlegungen und zu beachtenden Beteiligungserfordernissen zu ändern.
Zu Artikel 6 (Änderung des VIS-Zugangsgesetzes)
Durch die Neufassung des BDSG muss der Verweis angepasst werden.
Zu Artikel 7 (Änderung des Waffengesetzes)
Zu Nummer 1
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Nummer 2
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden
Zu Nummer 3
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Nummer 4
Gemäß Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 ist „Verarbeitung“ künftig der Oberbegriff für den Umgang mit personenbezogenen Daten. Da die Benennung von Wachpersonen im Rahmen der Überprüfung vor Zustimmung zum Besitz oder zum Füh-ren von Schusswaffen verschiedene Datenverarbeitungsvorgänge (insbesondere die Speicherung, Nutzung, Übermittlung oder Löschung) von Daten auslöst, ist künftig im Kontext des § 28 Absatz 3 Satz 1 lediglich dieser Oberbegriff zu nennen.
Zu Nummer 5
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Nummer 6
Es handelt sich um eine Anpassung an die Begrifflichkeiten der Verordnung (EU) 2016/679. Durch die Umformulierung soll der Bezug zu Artikel 14 der Verordnung (EU) 2016/679 verdeutlicht werden.
– 27 –
Zu Nummer 7
Zu Buchstabe a
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Buchstabe b
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Nummer 8
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Nummer 9
Mit der Änderung sollen die Begrifflichkeiten im Waffengesetz einheitlich an die Termino-logie der Verordnung (EU) 2016/679 angepasst werden.
Zu Artikel 8 (Änderung des BDBOS-Gesetzes)
Die Gesetzesänderungen einschließlich der Schaffung der bereichsspezifischen Rechts-grundlage für die Datenverarbeitung sind notwendig, da die bisherigen allgemeinen Rechtsgrundlagen, auf denen bestimmte Teilbereiche der Datenverarbeitung bei der BDBOS erfolgten, im Zuge der Geltung der Verordnung (EU) 2016/679 und des Daten-schutz-Anpassungs- und -Umsetzungsgesetzes EU entfallen. Im Übrigen finden die Re-gelungen des Teils 2 des BDSG Anwendung.
Das bereichsspezifische Datenschutzrecht der §§ 19 bis 23 BDBOS-Gesetz (BDBOSG) unterfällt nicht dem Anwendungsbereich der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kom-munikation (Datenschutzrichtlinie für elektronische Kommunikation). Gemäß Artikel 3 Ab-satz 1 der Richtlinie 2002/58/EG ist ihr Geltungsbereich auf öffentlich zugängliche elekt-ronische Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemein-schaft begrenzt.
Artikel 6 Absatz 2 und Absatz 3 Satz 1 Buchstabe b in Verbindung mit Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679 enthalten für den nationalen Gesetzgeber Öffnungsklauseln für spezifischere Bestimmungen für die Datenverarbei-tung. Der Gesetzesentwurf enthält diesbezüglich in den §§ 19 bis 22 ergänzende Rege-lungen zur Verarbeitung von Verkehrsdaten.
Artikel 23 Absatz 1 Buchstaben c und e der Verordnung (EU) 2016/679 stellt eine Öff-nungsklausel für die Beschränkung bestimmter Rechte und Pflichten dar, die aus der Ver-ordnung (EU) 2016/679 mit Bezug auf betroffene Personen gelten. Von dieser Rege-lungsoption wird in § 18 des Gesetzesentwurfs Gebrauch gemacht, indem auf die Teile 1 und 2 des BDSG verwiesen wird.
Zu Nummer 1
Diese Vorschrift ergänzt einen § 2a, welcher notwendige Begriffsbestimmungen im Sinne des BDBOSG enthält. Vor dem Hintergrund der technischen und organisatorischen Be-sonderheiten des Digitalfunk BOS im Vergleich zu öffentlich zugänglichen Kommunikati-
– 28 –
onsnetzen ist es erforderlich, vom Telekommunikationsgesetz (TKG) teilweise abwei-chende, aber doch daran angelehnte Begriffsdefinitionen voranzustellen.
§ 2a Absatz 1 definiert den Begriff Verkehrsdaten im Sinne des BDBOSG. Diese werden bei der Erbringung eines Telekommunikationsdienstes im Digitalfunk BOS im Zuständig-keitsbereich der Betriebsorganisation des Digitalfunk BOS verarbeitet. Die Definition ist an die Begriffsdefinition in § 3 Ziffer 30 TKG und die Regelung in § 96 Absatz 1 Satz 1 TKG angelehnt. Da die datenschutzrechtlichen Regelungen des TKG durch den Vorrang der Regelungen der Verordnung (EU) 2016/679 verdrängt werden und das TKG auf den Digi-talfunk BOS mangels dessen kommerziellen Charakters und da es sich nicht um einen öffentlich zugänglichen Telekommunikationsdienst handelt, nicht anwendbar ist, ist eine eigenständige bereichsspezifische Regelung notwendig. Im Interesse der Transparenz für die betroffenen Personen konzentriert sich die Aufzählung in ihren Nummern 1 bis 6 auf solche Datenkategorien, die für die betroffene Person von besonderer Relevanz sind und beispielsweise Angaben zu ungefähren Standorten, zu Gesprächspartnern und Ge-sprächsdauer enthalten. Daneben sind, in Abhängigkeit vom jeweiligen Stand der Technik weitere Daten, beispielsweise über die Netzkomponenten, über die ein Telekommunikati-onsvorgang durchgeführt wird, zu speichern. Diese sind im Wesentlichen unter Nummer 7 zu fassen, soweit es sich bei ihnen nicht um die beteiligten Endgeräte handelt. Über den gemeinsamen Kontext des Telekommunikationsvorgangs werden diese technischen Sys-teminformationen personenbeziehbar.
Die Gerätenummer in Ziffer 1, technisch als TETRA Equipment Identifier (TEI) bezeichnet, stellt eine mit dem Endgerät fest verbundene Identifizierungsnummer dar. Zu einem Ver-kehrsdatum wird sie erst im Zusammenhang mit einem Kommunikationsvorgang, also dann, wenn sich beispielsweise das Endgerät in das Netz einbucht. Ohne den Kontext konkreter Telekommunikation handelt es sich um ein nicht von Artikel 10 des Grundge-setzes erfasstes Datum, das nach den allgemeinen datenschutzrechtlichen Vorschriften zu verarbeiten ist.
Der Identifizierungsdatensatz der im Endgerät befindlichen Sicherheitskarte in Ziffer 2 umfasst die individuelle Teilnehmerkennzeichnung (Individual Short Suscriber Identity) und ist vergleichbar mit den auf einer SIM-Karte im kommerziellen Mobilfunk gespeicher-ten Daten, also insbesondere der Rufnummer. Im Digitalfunk BOS sind die sogenannte Geburts-Operativ-taktische-Adresse (Geburts-OPTA) und in ihr enthalten die international so genannte Individual Tetra Subscriber ID (ITSI), also praktisch die Rufnummer im Digi-talfunk BOS. Die Geburts-OPTA enthält neben der ITSI Angaben zur Gebietskörperschaft, die für die BOS verantwortlich ist, zum BOS-Typ und zu regionalen oder funktionalen Un-tergliederungen.
Als Gruppenkennung in Ziffer 3 wird die Nummer der am Digitalfunk BOS beteiligten Gruppen verarbeitet (Group Short Subscriber Identity). Hierbei handelt es sich um eine Spezialität des TETRA-Bündelfunks, die im kommerziellen Mobilfunk nicht möglich ist. Unter einer Gruppe wird die technische Zusammenfassung von zwei oder mehreren Teil-nehmern oder Gruppen verstanden. Innerhalb einer definierten Gruppe, die im Endgerät hinterlegt ist, kann so ein von einem Teilnehmer ausgelöster Ruf von mehreren Teilneh-mern gleichzeitig gehört werden. Jeder Gruppe wird eine eindeutige Gruppenkennung in Form einer Nummer zugewiesen.
In Ziffer 4 wird die Basisstationskennung genannt. Die Basisstationskennung ist eine Kennzeichnung zur eindeutigen Bestimmung der jeweiligen Basisstation. Eine Basisstati-on ist vergleichbar mit einer Funkzelle im Mobilfunk.
Ziffer 5 stellt klar, dass die Basisstationskennung und alle in den vorangegangenen Ziffern genannten Daten nicht nur bei erfolgreich zustande gekommener Kommunikation natürli-cher Personen ein Verkehrsdatum im Sinne des BDBOSG darstellen, sondern auch im Rahmen der Erfassung eines Einbuchungsvorgangs, auch bei erfolglosen Einbuchungs-
– 29 –
versuchen von Endgeräten an einer Basisstation. Die Dienste im Digitalfunk BOS umfas-sen auch solche, die nicht direkt von Teilnehmern genutzt werden, jedoch zur Nutzung von Kommunikationsdiensten implizit verfügbar sein müssen oder deren Nutzung unter-stützen (z. B. Zellwechsel, Einbuchung). Da der Beispielsfall der Einbuchung praktisch von besonderer Bedeutung ist, wird er hier ausdrücklich genannt. Andernfalls wäre er in Ziffer 7 enthalten.
Ziffer 6 nennt den Beginn und das Ende der jeweiligen Verbindung.
Ziffer 7 enthält die § 96 Absatz 1 Satz 1 Nummer 5 TKG nachgebildete Öffnungsklausel für weitere Datenkategorien, denen gemein ist, dass sie bei der Erbringung eines Tele-kommunikationsdienstes im Digitalfunk BOS verarbeitet werden.
Absatz 2 definiert den Begriff „Zuständige Stelle für den Betrieb des Digitalfunk BOS“ im Sinne dieses Gesetzes. Es gibt bei den Ländern und dem Bund jeweils eine zuständige Stelle (in der Regel sogenannte Autorisierte Stellen als Organisationseinheiten einer Lan-des- bzw. Bundesbehörde) als zentrale Schnittstelle zwischen der Betriebsorganisation der Bundesanstalt und der einsatztaktischen Nutzung des Digitalfunk BOS. Dieser kom-men nach den zwischen den Beteiligten am Digitalfunk BOS abgestimmten Grundsatzdo-kumenten verschiedene Aufgaben zu, auch im Kontext der Verarbeitung personenbezo-gener Daten, sodass eine Ausstattung mit korrespondierenden gesetzlichen Befugnissen und in der Folge ihre begriffliche Verankerung im Gesetz erforderlich ist. Insbesondere nehmen die Zuständigen Stellen für den Betrieb des Digitalfunk BOS in ihrem örtlichen Zuständigkeitsbereich Aufgaben eines Telekommunikationsdiensteanbieters (mit) wahr, indem sie sich beispielsweise an der Störungsbeseitigung beteiligen.
Zu Nummer 2
Durch Nummer 2 wird die Verordnungsermächtigung in § 15b BDBOSG erweitert.
Zu Buchstabe a
Buchstabe a fügt in § 15b BDBOSG einen Absatz 2a ein. Danach wird das BMI dazu er-mächtigt, durch Rechtsverordnung diejenige Stelle des Bundes zu bestimmen, die für den Bund Zuständige Stelle für den Betrieb des Digitalfunk BOS ist.
Zu Buchstabe b
Bei Buchstabe b handelt es sich um eine Folgeänderung. § 15b Absatz 3 wird um einen Verweis auf Absatz 2a erweitert. Damit gilt auch für die Bestimmung der Zuständigen Stelle des Bundes für den Betrieb des Digitalfunks, dass diese keiner Zustimmung des Bundesrates bedarf.
Zu Nummer 3
Nummer 3 fügt dem BDBOSG einen Verweis auf das BDSG sowie mehrere Paragrafen mit bereichsspezifischen Regelungen der Verkehrsdatenverarbeitung hinzu und schafft eine Befugnis zum Führen eines gemeinsamen Dateisystems zur Verwaltung der Stand-orte im Digitalfunk BOS.
§ 18 enthält die Klarstellung, dass für die Verarbeitung personenbezogener Daten durch die Bundesanstalt auch die Regelungen der Teile 1 und 2 des BDSG Anwendung finden. Für bestimmte Arten personenbezogener Daten sowie für die Standortdatenbank gelten vorrangig die nachfolgenden §§ 19 bis 22.
§ 19 gestaltet die durch die Öffnungsklausel des Artikels 6 Absatz 2 der Verordnung (EU) 2016/679 eröffnete Regelungsoption zur bereichsspezifischen Datenverarbeitung aus.
– 30 –
Absatz 1 regelt die Befugnis der Bundesanstalt zur Verarbeitung von Verkehrsdaten. Ver-arbeitung meint dabei jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Of-fenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernich-tung. Der Verarbeitungszweck für diese Daten liegt auf dem Betrieb und der Sicherstel-lung der Funktionsfähigkeit des Digitalfunk BOS. Als Regelbeispiele werden zwei Funktio-nen der Verarbeitung hervorgehoben: die Störungs- oder Fehlererkennung, -eingrenzung und -beseitigung sowie das technische Kapazitäts- und Verfügbarkeitsmanagement im Rahmen der Einsatzvorbereitung, -durchführung und -nachbereitung im Digitalfunk BOS. Die Verarbeitung der unter Rückgriff auf die Definition des § 2a BDBOSG hier Verkehrs-daten genannten, teilweise dem Fernmeldegeheimnis unterfallenden Daten für Zwecke des Kapazitätsmanagements trägt dem Umstand Rechnung, dass der Digitalfunk BOS auch in großen Einsatzlagen funktionieren muss. Dabei gilt es, einen ressourcenscho-nenden Umgang mit den vorhandenen beschränkten Kapazitäten zu erreichen. Daher werden für jeden größeren Einsatz bestimmte taktisch-operative Vorgaben durch die je-weils zuständige Stelle in Abstimmung mit der Bundesanstalt herausgegeben, die etwa die Nutzung bestimmter Dienste untersagen. Die Wirkung solcher Vorgaben auf das tech-nische Verhalten des Netzes bedarf der ständigen Evaluation, um für künftige Einsätze noch verlässlichere technische Prognosen zu erstellen und frühere Schwachstellen zu identifizieren, und um auch bei Änderungen an der Systemtechnik erneut eine valide Da-tenbasis zu haben. Dazu sind die in Absatz 1 genannten Verkehrsdaten unerlässlich, denn sie enthalten u.a. Angaben über Warteschlangen, Verbindungsabbrüche und sonsti-ge Störungen und die Anlässe, zu denen sie auftraten.
Aus denselben technischen Gründen bedarf es auch der Erfassung der an einer Basissta-tion erfolgreich oder erfolglos eingebuchten Endgeräte, ohne dass ein Funkgespräch zu-stande kommt. Denn Störungen im Funknetz können ihre Ursache auch in fehlerhaft kon-figurierten oder defekten Endgeräten haben, die auf diese Weise identifiziert werden kön-nen. Auch ein nicht normgerechtes Zellwechselverhalten kann auf diese Weise festge-stellt und die technische Störung, die dazu führt, behoben werden.
§ 19 Absatz 2 enthält eine über den Absatz 1 hinausgehende Befugnis der Bundesanstalt für die Fälle, in denen es durch eine rechtswidrige Inanspruchnahme noch nicht zu einer Beeinträchtigung der Funktionsfähigkeit gekommen ist. Eine rechtswidrige Inanspruch-nahme liegt beispielsweise vor, wenn ein Endgeräteinhaber den Digitalfunk BOS nutzt oder zu nutzen versucht, ohne hierfür eine Berechtigung zu besitzen. Tatsächliche An-haltspunkte für die rechtswidrige Inanspruchnahme werden durch die Bundesanstalt do-kumentiert. Die Vorschrift ist § 100 Absatz 3 Satz 1 TKG nachgebildet.
§ 19 Absatz 3 regelt den Fall der zweckändernden Verarbeitung von Daten für Zwecke der Weiterentwicklung und Optimierung des Digitalfunk BOS. Die Bundesanstalt ist auch zuständig für die nutzerorientierte Weiterentwicklung und Verbesserung der im Digitalfunk BOS angebotenen Dienste. Dazu analysiert sie u.a., wie neue Dienste angenommen wer-den und welche technischen Hindernisse einer Annahme eines Dienstes durch die Nutzer und deren Beschäftigten entgegenstehen könnten. Die Regelung ist an § 96 Absatz 3 TKG angelehnt, trägt jedoch den Besonderheiten der Nutzung des Digitalfunk BOS Rech-nung. Insbesondere ist eine Identifikation der natürlichen Personen hinter den gespeicher-ten Daten allein, um eine Einwilligung von den Beschäftigten der Nutzer einzuholen, we-der praktikabel noch datenschutzfreundlich. Daher wird auf ein Einwilligungserfordernis verzichtet. Die Nutzungsanalyse befasst sich im Ergebnis mit aggregierten Daten. Sollten Rufnummern von Anschlüssen im öffentlichen Telefonnetz in den Verkehrsdaten erfasst worden sein, ordnet die Vorschrift an, dass diese unverzüglich anonymisiert werden. Re-gelmäßig wird die Anonymisierung schon bei der Extraktion des Datensatzes aus der Ge-samtzahl der Verkehrsdaten erfolgen, da sie bei diesem Vorgang erkannt werden können.
– 31 –
§ 19 Absatz 4 legt die Speicherdauer der in den Absätzen 1 bis 3 genannten Verkehrsda-ten auf 75 Tage nach ihrer Entstehung fest und trifft Regelungen zur anschließenden Lö-schung und Anonymisierung. Im Falle der weiteren Speicherung hat die Bundesanstalt eine Begründungs- und Dokumentations- sowie eine Überprüfungspflicht hinsichtlich der Erforderlichkeit in Drei-Monats-Abständen. Die festgelegten Speicherfristen sind erforder-lich, um das zu den kritischen Infrastrukturen gehörende Netz des Digitalfunk BOS hoch-verfügbar zu betreiben und dessen Funktionsfähigkeit sicherzustellen. Die dazu erforderli-chen Speicherfristen sind erheblich länger als bei kommerziellen Mobilfunknetzbetreibern. Sie tragen dem Umstand Rechnung, dass der Digitalfunk BOS selbst dann noch funktio-nieren muss, wenn die öffentlichen Mobilfunknetze nicht mehr, z. B. durch größere Scha-denslagen, Naturkatastrophen etc., funktionieren. Das setzt besondere Maßnahmen der rückblickenden Analyse als Vorsorge für die Aufrechterhaltung des Funksprechverkehrs in künftigen Großlagen voraus. Denn technische Kapazitäten stehen nicht unbegrenzt zur Verfügung. Einsatzsituationen wie politische Gipfeltreffen, Sportgroßereignisse, Amokla-gen, Terroranschläge oder Naturkatastrophen sind nur mit dem Digitalfunk BOS als Füh-rungsmittel zuverlässig zu bewältigen, wenn der Digitalfunk ressourcenschonend genutzt wird. Aufgabe der Bundesanstalt wie auch der Zuständigen Stellen für den Digitalfunk BOS ist es daher, für Großeinsätze taktisch-operative Vorgaben der Nutzung zu machen, die es ermöglichen sollen, dass die Sprachkommunikation unter allen Umständen möglich bleibt. Die Verkehrsdaten sind für die Ermittlung der Ursachen technischer Störungen, auch solcher, die Kapazitätsengpässe bei Großeinsätzen betreffen, und für die Fort-schreibung der taktisch-operativen Vorgaben unerlässlich. Ihre Vorhaltung an zentraler Stelle über den Zeitraum von 75 Tagen gestattet eine retrograde, hypothesengeleitete Auswertung auch mehrerer Einsätze. Die Speicherdauer unterstützt jedoch auch die ein-fache Störungsbeseitigung und trägt dabei dem Umstand Rechnung, dass der Digitalfunk BOS zwar hochverfügbar sein muss, gleichzeitig aber auch das weltgrößte TETRA-Netz darstellt und zu erheblichen Teilen nicht auf Standardlösungen basiert. Treten beispiels-weise Auffälligkeiten im zeitlichen Zusammenhang mit einer Änderung an der System-technik auf, ermöglicht die Speicherdauer auch Wochen nach der Änderung den Ver-gleich der Auffälligkeiten mit dem Zustand vor der Änderung. Mit der Hochverfügbarkeit des Digitalfunk BOS wäre es unvereinbar, das Netz unter Eingehung entsprechender Ausfallrisiken auf den früheren Zustand zurückzusetzen, um dann zu ermitteln, ob der Fehler auch im früheren Zustand auftritt. Die gespeicherten Verkehrsdaten sorgen hier für Abhilfe.
§ 20 Absatz 1 Nummer 1 sieht Übermittlungsbefugnisse der in § 19 Absatz 1 genannten Daten an die Zuständigen Stellen für den Digitalfunk BOS und damit verbundene weiter-gehende Verarbeitungsbefugnisse für die zuständigen Stellen vor, da die Gebietskörper-schaften über die Zuständigen Stellen für den Digitalfunk BOS gemeinsam mit der Bun-desanstalt die Betriebsorganisation des Digitalfunk BOS bilden und einem Telekommuni-kationsdiensteanbieter gleich Aufgaben der Störungsbeseitigung und der Benutzerverwal-tung wahrnehmen. Die Vorschrift trägt den geteilten Zuständigkeiten im Digitalfunk BOS Rechnung. Die Zuständigen Stellen für den Digitalfunk BOS nehmen eine Doppelrolle als Vertretung der Nutzer im Sinne von § 2 Absatz 1 Satz 5 BDBOSG und zugleich als Teil der Betriebsorganisation des Digitalfunk BOS wahr. Daher sind die rechtfertigenden Gründe für eine Übermittlung weitgehend identisch mit dem Zweck der Verarbeitung durch die Bundesanstalt.
Die darüber hinaus in § 20 Absatz 1 Nummer 2 vorgesehene Überprüfung der Zuordnung von Endgeräten zu Nutzern im Sinne des § 2 Absatz 1 Satz 5 kann erforderlich werden, wenn beispielsweise durch Gerätewartung oder Kartentausche Bestandsverzeichnisse nicht mehr aktuell sind.
§ 20 Absatz 2 entspricht vom Regelungsinhalt dem § 98 TKG, der seinem Wortlaut nach nur für öffentlich zugängliche Telekommunikationsnetze anwendbar ist und dem Teilneh-mer im Sinne des § 3 Nummer 20 TKG, also dem Vertragspartner des Telekommunikati-onsdiensteerbringers, die Möglichkeit gibt, sein Endgerät orten zu lassen. Die Nutzer
– 32 –
(„Teilnehmer“ in der Diktion des TKG) im Digitalfunk BOS, d.h. die Behörden und Organi-sationen mit Sicherheitsaufgaben, die die Endgeräte ihren Beschäftigten zur Dienstver-richtung zur Verfügung stellen, werden im Digitalfunk BOS gegenüber der Bundesanstalt durch die Zuständigen Stellen für den Betrieb des Digitalfunk BOS vertreten. Diese erhal-ten die Möglichkeit, die Basisstation und die zugehörigen Zeiten zu erfragen, an der ein abhanden gekommenes Endgerät eingebucht war oder sich einzubuchen versucht hat. Dadurch soll sichergestellt werden, dass die Nutzer der Endgeräte im Digitalfunk BOS rechtlich den Teilnehmern im Sinne des TKG gleichgestellt werden, was die Übermittlung von Standortdaten betrifft.
§ 20 Absatz 3 erlegt den Empfängern die zweckgerechte Verarbeitung der Verkehrsdaten auf.
§ 21 enthält eine Übermittlungsbefugnis zu Zwecken der Strafverfolgung und der Gefah-renabwehr und korrespondiert mit entsprechenden Erhebungsbefugnissen der Strafver-folgungs- und Gefahrenabwehrbehörden.
In § 22 ist eine Regelung getroffenen für den Sonderfall der Übermittlung untrennbar ver-bundener Daten sowie zur Dokumentation einer Übermittlung. Ein Sonderfall der Über-mittlung untrennbar verbundener Daten Fall kann beispielsweise vorliegen, wenn Ver-kehrsdaten zu einem bestimmten Endgerät übermittelt werden sollen, und diese Ver-kehrsdaten aufgrund eines Kommunikationsvorgangs des Endgerätes mit einem oder mehreren anderen Endgeräten auch die Verkehrsdaten dieser Endgeräte erfassen.
§ 23 enthält die Befugnis, zur Erfüllung der Aufgaben der Bundesanstalt ein Dateisystem zur Verwaltung der Standorte zu führen.
§ 23 Absatz 1 bildet in Ausgestaltung des Artikels 6 Absatz 3 Satz 3 der Verordnung (EU) 2016/679 die Rechtsgrundlage dafür, dass im bereits existierenden gemeinsamen Datei-system für Infrastruktur- und Technikinformationen zu Standorten der Bundesanstalt und der Gebietskörperschaften zur Erfüllung von in § 2 Absatz 1 genannten Aufgaben der Bundesanstalt nunmehr in geringem Umfang auch personenbezogene Daten gespeichert werden dürfen. Der ganz überwiegende Teil der in diesem Dateisystem gespeicherten Daten ist nicht personenbezogen, sondern bezieht sich auf die Infrastruktur oder die vor-handene Systemtechnik am Standort. Das vorrangige Ordnungsmerkmal für ein solches Dateisystem ist der jeweilige Standort. In der betrieblichen Praxis ist es erforderlich, dass Berechtigte kurzfristig alle relevanten Informationen zu einem der derzeit über 4.500 Standorte abrufen können. Dies umfasst auch mietvertragliche Regelungen, etwa wer im Falle eines Schadens an der Infrastruktur zu informieren ist. Auch diese Informationen können je nach Einzelfall für die Bundesanstalt oder für das jeweilige Land oder den Bund von Bedeutung sein und auch außerhalb der üblichen Arbeitszeiten benötigt werden. Vermieter einer für einen Standort des BOS-Digitalfunknetzes genutzten Liegenschaft oder von ihm benannte Ansprechpartner (Beschäftigte oder Beauftragte) können natürli-che Personen sein. Damit deren Daten im beiderseitigen automatisierten Abrufverfahren verarbeitet werden dürfen, ist eine gesetzliche Regelung erforderlich. Die Vorschrift stellt einen gesetzlichen Fall einer gemeinsamen Verantwortlichkeit für die Verarbeitung im Sinne des Artikels 26 der Verordnung (EU) 2016/679 dar, denn ein zwischen Gebietskör-perschaften und einer Bundesanstalt errichtetes gemeinsames Dateisystem für Infrastruk-tur und Technikinformationen zu Standorten bedarf einer Klärung der datenschutzrechtli-chen Verantwortung.
Die Festlegung nach Artikel 26 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 erfolgt hier bereits auf Ebene des Gesetzes in § 23 Absatz 2 bis Absatz 4. Dabei findet eine sachge-rechte Verteilung der Verantwortlichkeiten statt: Die eingebenden Stellen sind für die von ihnen eingegebenen Daten verantwortlich. Die Bundesanstalt hingegen legt im Einver-nehmen mit den Gebietskörperschaften die zu speichernden Datenkategorien fest, deren Speicherung den vom Gesetz vorgesehenen Zweck erfüllen muss, trifft die erforderlichen
– 33 –
technischen und organisatorischen Maßnahmen im Rahmen ihrer Zuständigkeit für das zentrale System und beantwortet Auskunftsverlangen betroffener Personen nach Arti-kel 15 der Verordnung (EU) 2016/679. Da die eingebenden Stellen grundsätzlich die Ver-antwortung für die von ihnen eingegebenen Daten tragen, bleibt es der betroffenen Per-son unbenommen, sich auch direkt mit ihrem Auskunftsersuchen an die eingebende Stel-le zu wenden, zumal wenn zu dieser eine besondere Nähe, vermittelt durch vertragliche Beziehungen, besteht.
§ 24 enthält den Hinweis auf die Einschränkung des Fernmeldegeheimnisses, der nach Artikel 19 Absatz 1 Satz 1 GG (Zitiergebot) vorgeschrieben ist.
Zu Artikel 9 (Änderung des Informationsfreiheitsgesetzes)
Mit der Ergänzung wird festgelegt, dass die Aufgaben und Kompetenzen des BfDI, die in entsprechender Anwendung der Regelungen des BDSG geregelt sind, auch nach dem Außerkrafttreten des BDSG a. F. im bisherigen Umfang fortgelten.
Zu Artikel 10 (Änderung des Beamtenstatusgesetzes)
Zu Nummer 1
Der Halbsatz „es sei denn, die Beamtin oder der Beamte willigt in die anderweitige Ver-wendung ein“ wird gestrichen, da sich die Möglichkeit zur Einwilligung unmittelbar aus Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 ergibt. Die Wörter „ohne Einwilligung“ dienen der Klarstellung.
Die Öffnungsklausel, auf die sich die Regelung stützt, ist Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und e in Verbindung mit den Absätzen 2 und 3 sowie in Verbindung mit Arti-kel 88 der Verordnung (EU) 2016/679. Der Begriff „Verarbeitung“ ersetzt den bisherigen Begriff „Verwendung“.
Zu Nummer 2
Es handelt sich um eine Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 Verordnung (EU) 2016/679. Der Begriff „Verarbeitung“ ersetzt den bisherigen Begriff „Verwendung“.
Zu Artikel 11 (Änderung des Bundesbeamtengesetzes)
Zu Nummer 1
Die Änderungen passen die Inhaltsübersicht an die Änderungen der Überschriften an.
Zu Nummer 2
Zu Buchstabe a
Es wird ein deklaratorischer Hinweis auf die einschlägigen Regelungen der Verordnung (EU) 2016/679 eingefügt.
Zu Buchstabe b
Der Begriff „automatisiert“ wird durch den Begriff „elektronisch“ ersetzt, um einen sprachli-chen Bezug zur „elektronischen Personalakte“ herzustellen. Satz 5 wird sprachlich verein-facht und soll weiterhin die Transparenz bei der Führung von Hybridakten (teils in Papier-form, teils elektronisch geführt) gewährleisten.
– 34 –
Zu Buchstabe c
Das geltende Recht wird inhaltlich beibehalten. Es handelt sich um eine Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Der Be-griff „Verarbeitung“ ersetzt den bisherigen Begriff „Verwendung“. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da bereits nach dem Verständnis des gel-tenden Absatzes 3 alle Formen der Datenverarbeitung (z. B. erheben, erfassen, spei-chern, übermitteln, löschen) erfasst werden. Der Halbsatz „es sei denn, die Beamtin oder der Beamte willigt in die anderweitige Verwendung ein“ wird gestrichen, da sich die Mög-lichkeit zur Einwilligung unmittelbar aus Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 ergibt. Die Wörter „ohne Einwilligung“ dienen der Klarstellung.
Die Öffnungsklausel, auf die sich die Regelung stützt, ist Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und e in Verbindung mit den Absätzen 2 und 3 sowie in Verbindung mit Arti-kel 88 der Verordnung (EU) 2016/679.
Zu Nummer 3
Das geltende Recht wird inhaltlich beibehalten.
Die derzeitige Verweisung auf § 4f BDSG a. F. wird nicht mehr benötigt, da sich das Recht der oder des Datenschutzbeauftragten auf Zugang zur Personalakte nunmehr aus der Verordnung (EU) 2016/679 ergibt (Artikel 38 Absatz 2 und Artikel 58 Absatz 1 Buch-stabe e).
In Satz 2 wird das Wort „Einsicht“ aus dem derzeitigen Satz 3 übernommen. Ferner wird die Formulierung „aktenkundig zu machen“ in Angleichung an § 114 Absatz 5 Satz 2 des Bundesbeamtengesetzes (BBG) durch die Formulierung „zu dokumentieren“ ersetzt.
Zu Nummer 4
Zu Buchstabe a
Das geltende Recht wird beibehalten und soweit erforderlich redaktionell angepasst. Die Wörter „ohne Einwilligung“ dienen der Klarstellung. Soweit eine Einwilligung vorliegt, gilt Artikel 6 Absatz 1 Satz 1 Buchstabe a der Verordnung (EU) 2016/679. Darüber hinaus ist die Verarbeitung für Beihilfezwecke auf Grund von Artikel 6 Absatz 1 Unterabsatz 1 Buch-stabe b und d der Verordnung (EU) 2016/679 rechtmäßig.
Zudem ist Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c in Verbindung mit den Absätzen 2 und 3 sowie Absatz 4 in Verbindung mit Artikel 9 Absatz 2 Buchstabe a und b der Ver-ordnung (EU) 2016/679 einschlägig. Gemäß Artikel 9 Absatz 4 der Verordnung (EU) 2016/679 können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschrän-kungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, bio-metrischen oder Gesundheitsdaten betroffen ist.
Zu Buchstabe b
Das geltende Recht wird beibehalten. Der Zusatz „der betroffenenen Person“ wurde ge-strichen. Die Nutzung und die Übermittlung personenbezogener Daten aus der Beihilfeak-te durch die Beihilfestelle kann wie bislang ohne Einwilligung erfolgen.
Zu Nummer 5
Die Überschrift wurde redaktionell angepasst.
– 35 –
Zu Nummer 6
Das geltende Recht wird im Wesentlichen beibehalten. Die Überschrift und die weiteren Absätze werden bezüglich des Auskunftsrechts angepasst. Der Begriff „Einsicht“ wird er-setzt durch den Begriff „Auskunft“, da das Auskunftsrecht nach Artikel 15 Absatz 1 der Verordnung (EU) 2016/679 auch die Einsicht umfasst.
Öffnungsklausel ist Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und e in Verbindung mit den Absätzen 2 und 3 sowie in Verbindung mit Artikel 88 der Verordnung (EU) 2016/679.
Zu Absatz 1:
Das geltende Recht wird inhaltlich weitgehend beibehalten. Der derzeitige Absatz 3 wird in den neuen Absatz 1 integriert.
Die bisherigen Einsichtsrechte ergeben sich direkt aus dem Auskunftsrecht nach Arti-kel 15 Absatz 1 der Verordnung (EU) 2016/679. Im Absatz 1 wird klargestellt, dass die Auskunft auch die Einsichtnahme umfasst. Die bisherigen Aufzählungen „Auszüge, Ab-schriften, Kopien oder Ausdrucke“ sind durch die neuen Begriffe „Kopien und Ausdrucke“ abgedeckt. Der neue Rechtsanspruch auf Anfertigung von Kopien und Ausdrucken be-steht nach Artikel 15 Absatz 3 der Verordnung (EU) 2016/679. Der Anspruch wird ausge-schlossen, wenn wichtige dienstliche Gründe entgegenstehen. Die Zulässigkeit dieser Beschränkung ergibt sich aus Artikel 23 Absatz 1 in Verbindung mit Artikel 15 Absatz 4 der Verordnung (EU) 2016/679.
Eine weitere Änderung beinhaltet eine redaktionelle Anpassung an die in der Daten-schutzgrundverordnung verwendete Begrifflichkeit „im Wege des automatisierten Verfah-rens“.
Zu Absatz 2:
Der neue Absatz 2 entspricht inhaltlich dem derzeitigen Absatz 4.
In Satz 1 wird ausdrücklich klargestellt, dass sich das sich das Recht auf Auskunft aus anderen Akten als den Personalakten der Beamtin oder des Beamten auf ihre oder seine personenbezogenen Daten beschränkt.
In Satz 2 wird festgelegt, dass die Auskunft auch die Einsichtnahme umfasst. Die derzeiti-ge Möglichkeit der Einsichtnahme bleibt also bestehen. Anders als Absatz 1 Satz 1 ge-währt Absatz 2 Satz 2 bewusst keinen Anspruch auf Einsicht in die vollständigen Akten, weil die Akten nach Absatz 2 auch Daten zu anderen Personen enthalten können und die Beamtin oder der Beamte daher nur insoweit ein Einsichtsrecht hat, als die Akten perso-nenbezogene Daten über ihn selbst enthalten.
Satz 3 regelt, in welchem Fall eine Einsichtnahme nicht gewährt wird. Da nur das Recht auf Einsichtnahme ausgeschlossen wird, ist der Beamtin oder dem Beamten in diesem Fall in sonstiger Weise Auskunft zu erteilen. Diese Beschränkung entspricht dem bisheri-gen Recht und ist durch Artikel 23 Absatz 1 Buchstabe h in Verbindung mit den Buchsta-ben a bis d der Verordnung (EU) 2016/679 zulässig.
Zu Absatz 3:
Absatz 3 entspricht dem derzeitigen Absatz 2. Der Begriff „Einsicht“ wird ersetzt durch den Begriff „Auskunft“, da das Auskunftsrecht nach Artikel 15 Absatz 1 der Verordnung (EU) 2016/679 auch die Einsicht umfasst. Bevollmächtigten ist Auskunft aus der und da-mit auch Einsicht in die Personalakte zu erteilen, soweit dienstliche Gründe nicht entge-genstehen.
– 36 –
Zu Absatz 4:
Die Bestimmung des Ortes der Einsichtnahme ist derzeit in Absatz 3 Satz 1 geregelt.
Künftig soll die aktenführende Behörde den Ort der Einsichtnahme bestimmen, weil die Vorschrift nicht mehr nur für die Einsichtnahme in die Personalakte gilt, sondern auch für die Einsichtnahme in andere Akten, die personenbezogene Daten über die Beamtin oder den Beamten enthalten.
Die Sätze 2 und 3 des derzeitigen Absatzes 3 werden in den Absatz 1 verschoben.
Zu Nummer 7
Zu Buchstabe a
Die Überschrift wird redaktionell angepasst. Bei der Änderung handelt es sich um Anpas-sungen an die in der Verordnung (EU) 2016/679 verwendeten Begriffe.
Zu Buchstabe b
Das geltende Recht wird beibehalten. Statt des Begriffs „Vorlage“ wird künftig durchge-hend der in der der Verordnung (EU) 2016/679 verwendete Begriff der „Übermittlung“ verwendet.
Zu Buchstabe c
Absatz 2 wird sinngemäß in den neuen § 111b aufgenommen.
Zu Buchstabe d
Das geltende Recht wird beibehalten. Die Einschränkung zur Auskunftserteilung an Dritte ohne Einwilligung wurde redaktionell geändert.
Zu Nummer 8
Das geltende Recht in § 111a wird im Wesentlichen beibehalten. Die Norm wurde an die Verordnung (EU) 2016/679 angepasst, da die Auftragsverarbeitung in den Artikeln 28 und 29 der Verordnung (EU) 2016/679 abschließend geregelt ist.
Die Verordnung (EU) 2016/679 regelt, wie die Auftragsverarbeitung durchgeführt werden soll. Mit Blick auf die geänderten Anforderungen und den Umstand, dass sich die Auf-tragsverarbeitung unmittelbar aus Artikel 28 der Verordnung (EU) 2016/679 ergibt, wurde auf Absatz 1 Buchstabe a bis c verzichtet. Die Regelung stützt sich auf Artikel 6 Absatz 1 Buchstabe e in Verbindung mit den Absätzen 2 und 3 der Verordnung (EU) 2016/679.
Die Übermittlung von Personalaktendaten ist also weiterhin möglich, wenn z. B. der ärztli-che Dienst eine andere öffentliche oder nichtöffentliche Stelle mit der Durchführung be-stimmten ärztlichen Untersuchungen beauftragt, die für die Erfüllung der Aufgaben des ärztlichen Dienstes erforderlich sind.
Weitere sprachliche Änderungen beinhalten die redaktionelle Anpassung an die in Arti-kel 4 der Verordnung (EU) 2016/679 verwendete Begrifflichkeit „Verantwortlicher“ und „Auftragsverarbeiter“.
§ 111b wird eingefügt. Er basiert auf dem geltenden § 111 Absatz 2. Es wird geregelt, dass Aufgaben der personalverwaltenden Behörde beispielsweise auf ein Dienstleis-tungszentrum oder Aufgaben des ärztlichen Dienstes auf den ärztlichen Dienst einer an-
– 37 –
deren Behörde übertragen werden können. Die Zustimmung der obersten Bundesbehörde ist erforderlich. Die Zustimmungsbefugnis kann auf die oberste Dienstbehörde übertragen werden.
Die Übermittlung personenbezogener Daten, Personalaktendaten und die Führung der Personalakte sind zulässig.
In Absatz 3 wird klargestellt, dass die Aufgabenübertragung mit Zustimmung der obersten Dienstbehörde von öffentlichen Stellen des Bundes auch auf Vereinigungen des privaten Rechts möglich ist, wenn sie über den Bereich eines Landes hinaus tätig werden oder dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stim-men zusteht.
Zu Artikel 12 (Änderung des Bundesdatenschutzgesetzes)
Zu Nummer 1
Die Änderungen passen die Inhaltsübersicht an die Änderungen der Vorschriften an.
Zu Nummer 2
Es erfolgt eine redaktionelle Anpassung um klarzustellen, dass die Verweisung auf die Verordnung (EU) 2016/679 eine dynamische Verweisung ist, keine statische. Zudem wird die letzte Berichtigung der Verordnung (EU) 2016/679 im ABl. L 127 vom 23.5.2018, S. 2 berücksichtigt.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung an die Begrifflichkeiten der Verordnung (EU) 2016/679.
Zu Nummer 4
Die Regelung trägt dem Umstand Rechnung, dass das Telekommunikationsgesetz (TKG) künftig nur noch Regelungen zur Datenverarbeitung in Umsetzung der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) enthält. Bereiche, die durch die Verordnung (EU) 2016/679 unmittelbar geregelt werden, werden hingegen aus dem TKG gestrichen. § 115 Absatz 4 TKG, der bislang umfassend die Aufsichtszuständigkeit der oder des BfDI über die Datenverarbeitung für die geschäftsmäßige Erbringung von Telekommunikations-diensten anordnete, beschränkt sich somit künftig auf den Anwendungsbereich der Richt-linie 2002/58/EG. Die vorgesehene Regelung erhält die Zuständigkeit der oder des BfDI gegenüber Unternehmen, die Telekommunikationsdienstleistungen erbringen, auch für die Bereiche, die künftig der Verordnung (EU) 2016/679 unterfallen. Spezialgesetzliche Regelungen, wie im Postgesetz, bleiben von der Regelung unberührt.
Zu Nummer 5
Zu Buchstabe a
Es handelt sich um eine Folgeänderung zur Änderung des § 9, durch die klargestellt wird, dass die Befugnisse der oder des BfDI auch gegenüber nichtöffentlichen Stellen gelten, die der Aufsichtszuständigkeit der oder des BfDI unterliegen.
Zu Buchstabe b
Der neue Satz 2 stellt klar, dass die Zugangs- und Betretensrechte der oder des BfDI auch für die ihrer oder seiner Aufsicht unterliegenden nichtöffentlichen Stellen gelten und
– 38 –
trägt mit der Beschränkung auf die üblichen Betriebs- und Geschäftszeiten den verfas-sungsgerichtlichen Anforderungen an das behördliche Betretensrecht (BVerfGE 32, 54 [76 f.]; 97, 228 [266]; BVerfG, NJW 2007, 1049 [1050]; BVerfG, NJW 2008, 2426 [2427]; vgl. auch BVerwGE 78, 251 [255]) Rechnung. Über den Verweis in § 40 Absatz 5 Satz 2 BDSG auf § 16 Absatz 4 BDSG wirkt die Änderung auch klarstellend für die Aufsichtsbe-hörden der Länder.
Zu Nummer 6
Bisher ungeregelt in § 19 Absatz 2 ist der Fall, dass der oder die Bundesbeauftragte im nichtöffentlichen Bereich sachlich zuständig ist, jedoch keine Federführung nach § 19 Absatz 1 innehat, und eine Beschwerde bei der Aufsichtsbehörde eines Landes eingeht. Nach Sinn und Zweck der Vorschrift ist auch in diesem Fall eine Abgabe der Beschwerde an die sachlich zuständige Behörde (den Bundesbeauftragten oder die Bundesbeauftrag-te) geboten.
Zu Nummer 7
Nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer personenbezogener Daten grundsätzlich untersagt, soweit nicht ein (unmittelbarer) Aus-nahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder in den Fäl-len des Artikels 9 Absatz 2 Buchstaben b, g, h und i der Verordnung (EU) 2016/679 eine durch nationale Regelungen ausgestaltete Ausnahmeregelung besteht. § 22 BDSG sieht auf diese Öffnungsklauseln gestützte Ausnahmen vor.
Die Änderungen dienen dazu, dass nicht nur öffentliche Stellen, wie es die bisherige Re-gelung in § 22 Absatz 2 Buchstabe a BDSG vorsieht, sondern auch nichtöffentliche Stel-len besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verord-nung (EU) 2016/679 verarbeiten dürfen, wenn dies aus Gründen eines erheblichen öffent-lichen Interesses zwingend erforderlich ist. Ein solches zwingendes Erfordernis kann etwa bei der Verarbeitung von personenbezogenen Daten mit Religionsbezug durch zivilgesell-schaftliche Träger im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich religiös motiviertem, insbesondere islamistischem, Extremismus bestehen. Die Zusammenarbeit von öffentlichen Stellen auf Bundes- und Landesebene mit zivilgesell-schaftlichen Beratungsträgern im Rahmen einer ganzheitlichen Strategie der Terroris-musbekämpfung im Phänomenbereich hat sich bewährt. Die vorgenommene Änderung ermöglicht den auch im öffentlichen Interesse tätigen privaten Trägern, sensible Daten zu verarbeiten und ihrem Beratungsauftrag nachzukommen. Ein erhebliches öffentliches Interesse, das die Verarbeitung besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zwingend erforderlich macht, ist etwa auch denkbar im Bereich der Bekämpfung von Pandemien oder im Rahmen des Kata-strophenschutzes.
Nichtöffentliche Stellen, die besondere Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 geschäftsmäßig im Rahmen eigener gewerblicher Geschäftsmodelle ver-arbeiten, können ihre Datenverarbeitung hingegen nicht auf die neue Befugnisnorm stüt-zen. Das von der Norm geforderte zwingende Erfordernis eines erheblichen öffentlichen Interesses liegt in diesen Fällen bereits tatbestandlich nicht vor. Mit der Regelung wird von der Öffnungsklausel des Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 Gebrauch gemacht. Diese Öffnungsklausel erfordert eine besondere Interes-sensabwägung, wonach die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss. Daher wird der neue Buchstabe d) in Nummer 1 in die Interessenabwägung im Satzteil nach Nummer 2 einbezogen.
– 39 –
Die Änderung bewirkt über den in § 24 Absatz 2 BDSG enthaltenen Verweis zugleich, dass nichtöffentliche Stellen die aus einer Beratung gewonnenen Informationen mit Si-cherheitsrelevanz an die dafür zuständigen öffentlichen Stellen übermitteln dürfen.
Insgesamt schafft die Vorschrift damit Rechtssicherheit für die nichtöffentlichen Stellen, die sensible Daten mit Sicherheitsrelevanz verarbeiten.
Zu Nummer 8
Mit der Vorschrift werden die Voraussetzungen für die Zulässigkeit der Verarbeitung per-sonenbezogener Daten zu Zwecken des Verfahrens der Verleihung, des Entzugs und der Genehmigung zur Annahme von öffentlichen Auszeichnungen und Ehrungen (insbes. staatliche bzw. staatlich genehmigte Titel, Orden und Ehrenzeichen) aus Anlass der Um-setzung der Verordnung (EU) 2016/679 ausdrücklich normiert. Die Ordensverleihung ist eine Anerkennung besonderer Verdienste um das Allgemeinwohl und stellt einen Gunst-erweis des Staates bzw. des Staatsoberhauptes dar. Sie vollzieht sich ohne Begrün-dungszwang und unterliegt weder bei positiver noch bei negativer Entscheidung einer gerichtlichen Nachprüfung. Dieser besondere Charakter der Ordensverleihung begründet das Bedürfnis spezieller datenschutzrechtlicher Regelungen.
Die Verleihung öffentlicher Auszeichnungen und Ehrungen unterfällt nicht dem Anwen-dungsbereich des Unionsrechts. Die Verordnung (EU) 2016/679 ist daher nach Artikel 2 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 auf die Verarbeitung personenbe-zogener Daten für Zwecke der Verleihung öffentlicher Auszeichnungen und Ehrungen nicht unmittelbar anwendbar. Für Verarbeitungen personenbezogener Daten im Rahmen von Tätigkeiten, die nicht unter den Anwendungsbereich der Verordnung (EU) 2016/679 fallen, ordnet § 1 Absatz 8 BDSG die entsprechende Anwendung der Verordnung (EU) 2016/679 sowie der Teile 1 und 2 des BDSG an, soweit – wie in der neu aufzunehmenden Vorschrift des § 86 vorgenommen – nichts Abweichendes im BDSG oder in einem ande-ren Gesetz geregelt ist.
Zur Vorbereitung und Durchführung des Verfahrens der Verleihung staatlicher Auszeich-nungen benötigen die genannten Stellen regelmäßig personenbezogene Daten über die in Frage kommenden Personen einschließlich solcher Daten, die durch Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 besonders geschützt werden. Absatz 1 begründet hierfür eine umfassende Verarbeitungsbefugnis einschließlich der Übermittlung der Daten zwi-schen den genannten Stellen und bestimmt zum Schutz der Rechte der betroffenen Per-sonen eine strenge Zweckbindung. Im Rahmen dieses Verfahrens sind alle Daten erfor-derlich, die zur Beurteilung einer Würdigkeit der betroffenen Person benötigt werden. Dies betrifft zum einen die zugrundliegenden Verdienste, zum anderen ist auch die persönliche Integrität der auszuzeichnenden Person von Bedeutung, so dass je nach Einzelfall auch diesbezügliche Informationen erhoben werden dürfen. Die umfassende Verarbeitungsbe-fugnis nach Satz 1 beinhaltet auch die für die Vorbereitung bzw. Prüfung von Ordensvor-schlägen erforderliche Datenverarbeitung personenbezogener Daten Dritter (beispiels-weise des Anregers der Auszeichnung ebenso wie benannte Referenzpersonen, § 86 BDSG geht in diesen Fällen als Sonderregelung dem § 26 BDSG vor). Satz 2 stellt klar, das für Datenverarbeitungen durch nichtöffentliche Stellen, die zu Zwecken des Verfah-rens der Verleihung, des Entzugs und der Genehmigung zur Annahme von öffentlichen Auszeichnungen und Ehrungen tätig werden und in diesem Rahmen nicht unter den An-wendungsbereich der Verordnung (EU) 2016/679 fallen, ebenfalls die Regelung des § 1 Absatz 8 zur Anwendung kommt.
Entsprechend der strengen Zweckbindung stellt Absatz 1 Satz 3 klar, dass eine zweckän-dernde Weiterverarbeitung nur aufgrund einer Einwilligung möglich ist. Die §§ 23 und 24 BDSG werden damit ausgeschlossen.
– 40 –
Absatz 2 enthält spezielle Ausnahmen von den Betroffenenrechten, die durch die für ent-sprechend anwendbar erklärte Verordnung (EU) 2016/679 gestärkt werden . Im Einzelnen besteht eine Ausnahme von der Informationspflicht nach Artikel 13 und 14 der Verord-nung (EU) 2016/679 sowie vom Auskunftsrecht nach Artikel 15 und dem Recht auf Be-richtigung nach Artikel 16 der Verordnung (EU) 2016/679. Darüber hinaus bestehen Aus-nahmen von der Mitteilungspflicht nach Artikel 19 der Verordnung (EU) 2016/679 und vom Widerspruchsrecht nach Artikel 21 der Verordnung (EU) 2016/679.
Der Verzicht auf die üblichen Betroffenenrechte ist notwendig, weil das Auszeichnungs-wesen vom Grundsatz der Vertraulichkeit geprägt ist. Im Interesse des Ansehens von Auszeichnungen und Auszeichnenden können nur Personen ausgezeichnet werden, die der Ehrung im Hinblick auf ihre Verdienste und persönliche Integrität würdig sind. Dies zu beurteilen setzt vielfältige und zutreffende Informationen über den Betroffenen voraus. Nur wenn Dritte sicher sein können, dass der Betroffene davon keine Kenntnis erhält, werden diese bereit sein, objektive Angaben zu machen statt „Gefälligkeitsatteste“ zu er-stellen. Mitunter enden Verfahren ohne eine Auszeichnung wegen Gründen, die in der Person des Betroffenen liegen. Der negative Verfahrensausgang bedeutet oftmals keine Schmälerung der Verdienste des Betroffenen. Wird dieser samt Einzelheiten jedoch be-kannt, kann dies bei dem Betroffenen dennoch zu Verletzungen und Frustrationen führen. Damit würde das Auszeichnungswesen das Gegenteil des Erstrebten erreichen. Daher müssen die verarbeiteten personenbezogenen Daten vertraulich bleiben und die üblichen Betroffenenrechte hier ausgeschlossen werden.
Die in Absatz 2 vorgesehenen Beschränkungen von Betroffenenrechten sind angemes-sen, da wegen der in Absatz 1 enthaltenen Zweckbindung Beeinträchtigungen der Rechte und Freiheiten der betroffenen Person nicht zu befürchten sind.
Im Übrigen wird durch § 1 Absatz 8 BDSG (für nichtöffentliche Stellen über die Regelung des Absatzes 1 Satz 2) sichergestellt, dass die Anforderungen der Verordnung (EU) 2016/679 in Bezug auf die Grundsätze der Verarbeitung und den technischen und organi-satorischen Datenschutz eingehalten werden und die Datenverarbeitung der Kontrolle durch die oder den BfDI unterliegt. Die Pflicht zur Löschung der verarbeiteten Daten ergibt sich aus dem über § 1 Absatz 8 BDSG anwendbaren Artikel 5 der Verordnung (EU) 2016/679.
Absatz 3 begründet wegen der besonderen Sensibilität der Verarbeitung besonderer Ka-tegorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 eine Verpflichtung zu umfassenden Schutzmaßnahmen im Sinne von § 22 Ab-satz 2.
Zu Artikel 13 (Änderung des BSI-Gesetzes)
Zu Nummer 1
Nach der Begriffsdefinition des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 um-fasst die Verarbeitung auch die Übermittlung von Informationen. Zur Verwendung einer einheitlichen Terminologie wird die Variante der Übertragung gestrichen. Der Anwen-dungsbereich der Vorschrift wird durch die Anpassung nicht verändert.
Zu Nummer 2
Zu Buchstabe a
Die Ergänzung des § 3 Absatz 1 Satz 2 BSIG dient lediglich der Klarstellung, dass die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wichtige im öffentlichen Interesse liegende Aufgaben darstellen. Diese Klarstellung erfolgt im Zuge der Anpassungen an die Verordnung (EU) 2016/679. Dies steht im Einklang mit dem Er-
– 41 –
wägungsgrund 49 der Verordnung Nr. 2016/679. Danach stellt die Verarbeitung von per-sonenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten in dem Maße ein berech-tigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d. h. so-weit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mut-willige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Ver-traulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informations-systeme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtig-tes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektroni-schen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu ver-hindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service”-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren. Wegen der zunehmenden Vernetzung (Industrie 4.0, Internet-of-things,…), insbesondere auch im Bereich der kritischen Infrastrukturen, und der damit einhergehen-den vielfältigen Bedrohungen im Cyberraum, wie z. B. dem Betreiben von Botnetzen, dem Zugang Unbefugter zu elektronischen Kommunikationsnetzwerken, der Weiterverbreitung von schädlichen Programmcodes oder Angriffen in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe), und des großen Schadenspotentials dieser Bedro-hungen, stellen die Aufgaben des BSI wichtige im öffentlichen Interesse liegenden Aufga-ben dar. Die Bedeutung der Sicherheit der Informationstechnik hat sich auch in Deutsch-land bereits mehrfach gezeigt, wie z. B. bei der Nutzung eines Bot-Netzwerkes bestehend aus einer Vielzahl von „IoT“-Geräten („Internet-of-things“), dem Ausfall zahlreicher Router der Telekom oder dem Befall mehrerer Krankenhäuser mit Ransomware. Neben der un-mittelbaren Gefahrenabwehr sind z. B. auch das Sammeln, Auswerten und Untersuchen von Informationen über Sicherheitsrisiken oder -vorkehrungen und die gegenseitige In-formation, Beratung und Warnung von Staat, Wirtschaft oder Gesellschaft wesentliche Bestandteile des Schutzes der Informationstechnik. Nur durch die Gesamtheit der Aufga-ben des Bundesamtes kann ein umfassender Schutz erreicht werden.
Zu Buchstabe b
In Absatz 1 Satz 2 Nr. 7 wird die Terminologie an die der Verordnung (EU) 2016/679 an-gepasst und einheitlich der Begriff der Verarbeitung verwendet. Der Anwendungsbereich der Vorschrift wird hierdurch nicht verändert.
Zu Buchstabe c
Es handelt sich um die Korrektur eines Redaktionsversehens.
Zu Nummer 3
Mit dem neuen § 3a wird eine klare Rechtgrundlage für das Bundesamt zur Verarbeitung von personenbezogenen Daten geschaffen. Das BSI fördert die Sicherheit in der Informa-tionstechnik (§ 3 Absatz 1 Satz 1 BSIG) und nimmt zu diesem Zweck die in § 3 Absatz 1 Satz 2 BSIG aufgeführten Aufgaben wahr. Zur Erfüllung dieser im wichtigen öffentlichen Interesse liegenden Aufgaben ist das BSI auf datenschutzrechtliche Ermächtigungen zur Verarbeitung personenbezogener Daten angewiesen. Um sicherzustellen, dass das BSI seine gesetzlichen Aufgaben aus § 3 Absatz 1 BSIG erfüllen kann und um eine auf die Erfordernisse des BSI angepasste Datenverarbeitung zu ermöglichen, wird, auf Basis von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e und Absatz 3 Satz 1 Buchstabe b der Ver-ordnung (EU) 2016/679, der § 3a Absatz 1 und 2 BSIG als datenschutzrechtliche Ermäch-tigungsgrundlage neu in das BSIG eingefügt. § 3a Absatz 1 und 2 BSIG gelten nur für die
– 42 –
Aufgaben und Tätigkeiten, die nicht unmittelbar durch die speziellen datenschutzrechtli-chen Ermächtigungen (wie z. B. § 5 Absatz 1, § 5a Absatz 3 und § 8b Absatz 2 BSIG) erfasst werden.
Durch Absatz 1 wird klargestellt, dass das Bundesamt zur Wahrnehmung seiner Aufga-ben personenbezogene Daten verarbeiten kann. Die Regelung beruht auf Artikel 6 Ab-satz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679.
§ 3a Absatz 2 BSIG ermöglicht die Weiterverarbeitung personenbezogener Daten über die Regelung in Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus. Die Regelung trägt dem Erfordernis Rechnung, dass das BSI neben den bestehenden Möglichkeiten zur Weiterverarbeitung von Daten nach § 5 Absatz 5 und 6 BSIG und § 5a Absatz 1 BSIG für die Erfüllung seiner gesetzlichen Aufgaben eine datenschutzrechtliche Rechtsgrundlage benötigt, um personenbezogene Daten zum Zwecke der Sammlung, Auswertung und Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik und zur Unterstützung, Beratung und Warnung in Fragen der Sicherheit in der Informationstechnik zu verarbeiten. § 3a Absatz 2 BSIG stellt eine ge-mäß Artikel 6 Absatz 4 Variante 2 der Verordnung (EU) 2016/679 erforderliche Rechts-grundlage für diese Weiterverarbeitungen dar. Das Bundesamt für Sicherheit in der Infor-mationstechnik muss in der Lage sein, zur Erfüllung seiner Aufgaben aus § 3 BSIG alle ihm aus öffentlichen, privaten, staatlichen, bekannten oder anonymen Quellen erlangten und zur Verfügung gestellten Daten auszuwerten, um vor möglichen Sicherheitsrisiken für die Informationstechnik zu warnen und entsprechende Sicherheitsvorkehrungen, insbe-sondere zum Schutz des Bundes, zu entwerfen oder zu etablieren, um die nationale und öffentliche Sicherheit sowie den Schutz sonstiger wichtiger Ziele des allgemeinen öffentli-chen Interesses sicherzustellen. Hierzu ist allerdings auch eine Interessenabwägung er-forderlich. § 3a Absatz 2 BSIG bezieht sich nur auf Verarbeitungen außerhalb des An-wendungsbereiches von spezialgesetzlichen Regelungen im BSIG. Soweit z. B. der An-wendungsbereich des § 5 BSIG eröffnet ist, gilt § 5 Absatz 4 BSIG als lex specialis.
In Absatz 3 wird die Verarbeitung besonderer Kategorien personenbezogener Daten ge-regelt. Grundsätzlich verarbeitet das Bundesamt keine besonderen Kategorien personen-bezogener Daten. Es ist jedoch nicht auszuschließen, dass dies im Einzelfall vorkommt. Sofern für das Bundesamt im konkreten Einzelfall keine andere Möglichkeit besteht, eine Aufgabe aus § 3 BSIG zu erfüllen, ermöglicht Absatz 3 dem Bundesamt auf Grundlage des Artikels 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 die (Mit-) Verarbei-tung dieser Daten. Zum Schutz besonderer Kategorien personenbezogener Daten ist hier-für ein erhebliches öffentliches Interesse erforderlich. Ein erhebliches öffentliches Interes-se liegt insbesondere bei Hilfe-, Beratungs- und Unterstützungsleistungen eines IT-Sicherheitsvorfalls im KRITIS-Bereich oder in der Bundesverwaltung vor. Im Einzelfall kann ein erhebliches öffentliches Interesse jedoch auch bei Schadens- oder Störfällen in anderen Bereichen nicht vollständig ausgeschlossen werden. Die Interessen der von der Verarbeitung betroffenen Person werden vor der Verarbeitung besonderer Kategorien personenbezogener Daten darüber hinaus durch das Erfordernis einer zusätzlichen Ver-hältnismäßigkeitsprüfung besonders geschützt. Erst wenn das Bundesamt im konkreten Einzelfall zu dem Ergebnis gelangt, dass die nicht zu vermeidende Verarbeitung der per-sonenbezogenen Daten besonderer Kategorien keine unverhältnismäßige Beeinträchti-gung der betroffenen Person darstellt, ist eine Datenverarbeitung zulässig. Zum Schutz der betroffenen Person sieht das Bundesamt angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 BDSG vor.
Absatz 4 regelt, dass zum Schutz der betroffenen Person das Bundesamt angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 BDSG vorsieht. Hierzu zählt neben der § 22 Absatz 2 Satz 2 Num-mer 2 (Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt wer-den kann, ob und von wem personenbezogene Daten eingegeben, verändert oder ent-
– 43 –
fernt worden sind) und Nummer 6 (Pseudonymisierung personenbezogener Daten) auch die Anonymisierung personenbezogener Daten, soweit dies angemessen ist und die Auf-gabenwahrnehmung nicht gefährdet.
Zu Nummer 4
Der Verweis in Absatz 4 Satz 4 ist durch die unmittelbare Geltung des Artikel 38 Absatz 3 Satz 1 und 2 der Verordnung (EU) 2016/679 nicht mehr erforderlich. Ferner müssen durch die Verordnung (EU) 2016/679 und die Einführung des BDSG die Verweise des BSIG angepasst werden. Soweit die Verordnung (EU) 2016/679 nicht unmittelbar gilt, gilt dar-über hinaus nach § 1 Absatz 2 Satz 2 BDSG ergänzend das BDSG.
Zu Nummer 5
Der Verweis auf die Geltung des BDSG wird gestrichen, weil der Verweis durch die unmit-telbare Geltung der Verordnung (EU) 2016/679 sachlich unrichtig ist.
Zu Nummer 6
Der bisherige § 6 muss gestrichen werden, weil die Verordnung (EU) 2016/679 unmittel-bar gilt und der bisherige § 6 dieser nicht entspricht. Die Vorgaben des Artikels 6 der Ver-ordnung (EU) 2016/679 sind zudem zu beachten. Das Recht der betroffenen Person auf Löschung aus Artikel 17 Absatz 1 und 2 der Verordnung (EU) 2016/679 wird zukünftig durch den neuen § 6d ergänzt.
Der neue § 6 stellt klar, dass die Rechte der betroffenen Person ergänzend zu den Rege-lungen in der Verordnung (EU) 2016/679 durch die nachfolgenden Regelungen im BSIG beschränkt werden. Bei den Beschränkungen handelt es sich um spezifische, für die Auf-gabenwahrnehmung des Bundesamtes unbedingt erforderliche Beschränkungen. Diese stehen im Einklang mit dem Erwägungsgrund 49 der Verordnung (EU) 2016/679.
Die §§ 6a ff. ergänzen hierbei die bereits nach der Verordnung (EU) 2016/679 und dem BDSG bestehenden Beschränkungen.
Neben den in §§ 6a ff. genannten Beschränkungen muss das Bundesamt nach Artikel 14 Absatz 5 Buchstabe c der Verordnung (EU) 2016/679 der Informationspflicht nach Arti-kel 14 nicht nachkommen, wenn und soweit die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist. Dies ist vorliegend insbesondere in § 5 Ab-satz 4 und § 5a Absatz 3 BSIG geschehen, so dass neben den in §§ 6a ff. BSIG bezeich-neten Fällen auch in diesen Fällen keine Informationspflicht nach Artikel 14 besteht.
Zu Nummer 7
Die Beschränkung der nach Artikel 13 und Artikel 14 der Verordnung (EU) 2016/679 be-stehenden Informationspflicht durch § 6a (Informationspflicht bei Erhebung von personen-bezogenen Daten) ist erforderlich, weil insbesondere im Rahmen von Incident Response-Einsätzen des BSI nicht auszuschließen ist, dass durch das BSI personenbezogene Da-ten bei sowie nicht bei der betroffenen Person erhoben werden, so dass Informations-pflichten grundsätzlich entstehen. Da diese Einsätze insbesondere in herausgehobenen Fällen bei KRITIS-Betreibern und Stellen des Bundes bzw. der Länder erfolgen, ist die Beschränkung wegen der nationalen Sicherheit, der öffentlichen Sicherheit, der Gewähr-leistung der Netz- und Informationssicherheit und anderen wichtigen Zielen des allgemei-nen öffentlichen Interesses erforderlich, da die oftmals zeitkritische Arbeit des BSI durch die Information erheblich behindert werden würde. Die Beschränkung in Absatz 1 Num-mer 1 dient daher der Gewährleistung der Funktionsfähigkeit und Aufgabenerledigung der
– 44 –
öffentlichen Verwaltung und somit dem Schutz eines wichtigen Ziels des allgemeinen öf-fentlichen Interesses (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679).
Darüber hinaus dient die Beschränkung in Nummer 2 dem Schutz der öffentlichen Sicher-heit (Artikel 23 Absatz 1 Buchstabe c), der Verhütung, Ermittlung, Aufdeckung oder Ver-folgung von Straftaten oder Strafvollstreckung (Artikel 23 Absatz 1 Buchstabe d der Ver-ordnung (EU) 2016/679) oder dem Schutz sonstiger wichtiger Ziele, nämlich der Gewähr-leistung der Netz- und Informationssicherheit (Artikel 23 Absatz 1 Buchstabe e der Ver-ordnung (EU) 2016/679 in Verbindung mit Erwägungsgrund 49).
Absatz 2 legt fest, dass das BSI geeignete Maßnahmen zum Schutz der berechtigten In-teressen der betroffenen Person zu treffen hat, wenn eine Information der betroffenen Person nach Maßgabe des Absatzes 1 unterbleibt. Hierdurch werden die nach Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 erforderlichen Schutzmaßnahmen beachtet. Zu den geeigneten Maßnahmen zählt die Bereitstellung dieser Informationen für die Öffent-lichkeit. Eine Veröffentlichung in allgemein zugänglicher Form kann etwa die Bereitstel-lung der Information auf der Webseite des BSI sein (Erwägungsgrund 58 Satz 2 der Ver-ordnung (EU) 2016/679). Die Information hat in Entsprechung zu Artikel 12 Absatz 1 der Verordnung (EU) 2016/679 in präziser, transparenter, verständlicher und leicht zugängli-cher Form in einer klaren und einfachen Sprache zu erfolgen.
Das BSI hat schriftlich zu fixieren, aus welchen Gründen es von einer Information abge-sehen hat. Die Stichhaltigkeit der Gründe unterliegt der Kontrolle durch die zuständige Aufsichtsbehörde, die durch die Dokumentationspflicht ermöglicht wird. Darüber hinaus wird das BSI Informationen zur Datenverarbeitung (z. B. welche Daten zu welchem Zweck verarbeitet werden) auf der Website des BSI bereitstellen.
Artikel 11 der Verordnung (EU) 2016/679 gilt uneingeschränkt.
Durch § 6b wird das Auskunftsrecht der betroffenen Person nach Artikel 15 der Verord-nung (EU) 2016/679 beschränkt.
Die Beschränkung in Absatz 1 Nummer 1 dient daher der Gewährleistung der Funktions-fähigkeit und Aufgabenerledigung der öffentlichen Verwaltung und somit dem Schutz ei-nes wichtigen Ziels des allgemeinen öffentlichen Interesses (Artikel 23 Absatz 1 Buchsta-be e der Verordnung (EU) 2016/679). Darüber hinaus dient die Beschränkung in Num-mer 2 dem Schutz der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c), der Ver-hütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679) oder dem Schutz sons-tiger wichtiger Ziele, nämlich der Gewährleistung der Netz- und Informationssicherheit (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 in Verbindung mit Erwä-gungsgrund 49). Die Beschränkung durch Nummer 3 ermöglicht dem Bundesamt zudem die Verweigerung der Auskunft zur Sicherstellung der Ermittlung, Aufdeckung oder Ver-folgung von Straftaten. Dies stellt eine notwendige und verhältnismäßige Maßnahme zur Sicherstellung der staatlichen Strafverfolgung entsprechend Artikel 23 Absatz 1 Buchsta-be d der Verordnung (EU) 2016/679 dar. Der Hinweis in Absatz ist lediglich deklaratori-scher Art. Im Übrigen gilt auch hier Artikel 11 der Verordnung (EU) 2016/679 uneinge-schränkt.
Die Beschränkung des Artikels 16 Satz 1 und Satz 2 der Verordnung (EU) 2016/679 durch § 6c dient ebenfalls der Gewährleistung der Funktionsfähigkeit und Aufgabenerledi-gung der öffentlichen Verwaltung und somit dem Schutz eines wichtigen Ziels des allge-meinen öffentlichen Interesses (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679). Hiernach besteht das Recht der betroffenen Person auf Berichtigung und Ver-vollständigung gemäß Artikel 16 der Verordnung (EU) 2016/679 nicht, wenn und soweit die Erfüllung der Rechte der betroffenen Person die ordnungsgemäße Erfüllung der in der Zuständigkeit des Bundesamtes liegenden Aufgaben gefährden würde. In diesen Fällen
– 45 –
muss das Interesse der betroffenen Person zurücktreten. Hierbei geht es insbesondere um Fälle, in denen die Erfüllung des Rechts wegen des großen Umfangs an Daten, die im Rahmen der Aufgabenwahrnehmung durch das BSI verarbeitet werden, zu erheblichen Kapazitätseinbußen führen würde. Dies kann auch dann der Fall sein, wenn es auf die Richtigkeit oder Vollständigkeit der Daten gar nicht ankommt und in keinem Verhältnis zum Aufwand des BSI stünde. Andernfalls bestünde die Gefahr, dass die Aufgabenwahr-nehmung nicht mehr hinreichend sichergestellt werden könnte.
§ 6d schränkt das Recht der betroffenen Person nach Artikel 17 Absatz 1 und 2 der Ver-ordnung (EU) 2016/679 ein. Er dient der Gewährleistung der Funktionsfähigkeit und Auf-gabenerledigung der öffentlichen Verwaltung und somit dem Schutz eines wichtigen Ziels des allgemeinen öffentlichen Interesses (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679). Der vertretbare Aufwand für des BSI bemisst sich hierbei nach dem je-weiligen Stand der Technik und erfasst insbesondere nicht oder nur mit unverhältnismä-ßig hohem Aufwand veränderbare oder löschbare Datenspeicher. Einschränkend gilt dies nach Satz 3 nicht für die Fallgruppe des Artikels 17 Buchstabe d der Verordnung (EU) 2016/679, da der Verantwortliche bei einer unrechtmäßigen Datenverarbeitung nicht schutzwürdig ist und sich nicht auf einen unverhältnismäßig hohen Aufwand der Löschung wegen der von ihm selbst gewählten Art der Speicherung berufen kann. Absatz 2 dient der Beibehaltung der Regelung des bisherigen § 6 Satz 2 und Satz 3 und wurde lediglich hinsichtlich der Terminologie angepasst.
In § 6e wird das Recht der betroffenen Person eingeschränkt, die Einschränkung der Ver-arbeitung zu verlangen. Durch die Geltendmachung dieses Rechts kann die Aufgaben-wahrnehmung des Bundesamtes erheblich gefährdet werden, da zunächst aus einer gro-ßen Vielzahl von Daten die relevanten personenbezogenen Daten der betroffenen Per-son, im Einzelfall sogar unter unverhältnismäßigem Aufwand, ermittelt werden müssten und diese dann zur weiteren Verarbeitung nicht weiter verwendet werden könnten. Dies kann zu erheblichen Schutzlücken der Sicherheit in der Informationstechnik führen. Die Beschränkung ist somit gemäß Artikel 23 Absatz 1 Buchstaben a, c und e der Verordnung (EU) 2016/679 zur Sicherstellung der nationalen und der öffentlichen Sicherheit und zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses notwendig und verhältnismäßig.
§ 6f beschränkt das Widerspruchsrecht der betroffenen Person nach Artikel 21 der Ver-ordnung (EU) 2016/679. Hiernach besteht das Recht der betroffenen Person auf Wider-spruch gemäß Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der be-troffenen Person überwiegt, oder eine Rechtsvorschrift das Bundesamt zur Verarbeitung verpflichtet. Darüber hinaus darf das Bundesamt die personenbezogenen Daten ergän-zend zu Artikel 21 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 so lange verarbeiten, bis das Bundesamt die Prüfung abschließen konnte, ob zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Da das Bundesamt personenbezogene Daten nur zur Erfüllung von wichtigen im öffentlichen Interesse liegenden Aufgaben verarbeitet, ist die Beschränkung gemäß Artikel 23 Absatz 1 Buchstaben a, c und e der Verordnung (EU) 2016/679 zur Si-cherstellung der nationalen und der öffentlichen Sicherheit sowie zur Sicherstellung der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten und zum Schutz sons-tiger wichtiger Ziele des allgemeinen öffentlichen Interesses, nämlich der Gewährleistung der Netz- und Informationssicherheit, notwendig und verhältnismäßig. Hierbei ist insbe-sondere der große Umfang an Daten, die in einem Einsatz nach § 5a oder durch § 5 ver-arbeitet werden, zu berücksichtigen. Ohne diese Beschränkung kann die ordnungsgemä-ße Aufgabenwahrnehmung im Rahmen der oftmals zeitkritischen Arbeit nicht gewährleis-tet werden. Insbesondere zum Schutz der Bundesverwaltung ist erforderlich, dass das BSI bis zum Abschluss der Prüfung über das Bestehen zwingender Gründe der Verarbei-tung die personenbezogenen Daten verarbeiten darf.
– 46 –
Zu Nummer 8
Zu Buchstabe a
Durch die Änderungen wird die Terminologie an die der Verordnung (EU) 2016/679 ange-passt und einheitlich der Begriff der Verarbeitung verwendet. Der Anwendungsbereich der Vorschrift wird hierdurch nicht verändert.
Zu Buchstabe b
Der Verweis auf die Geltung des BDSG wird gestrichen, weil ein solcher Verweis durch die unmittelbare Geltung der Verordnung (EU) 2016/679 sachlich unrichtig ist.
Zu Artikel 14 (Änderung des De-Mail-Gesetzes)
Zu Nummer 1
Zu Buchstabe a
Durch den neuen Satz 2 wird klargestellt, dass das Datum Anschrift nicht ausschließlich eine Wohnanschrift im Sinne einer Meldeanschrift umfasst, sondern auch die Anschrift, unter der eine postalische Erreichbarkeit besteht. Hiermit soll dem Nichtdiskriminierungs-gedanken, der durch die EU-Richtlinie 2014/92/EU (Zahlungskontenrichtlinie) Einzug ge-funden hat, für den Zugang zu De-Mail-Konten Rechnung getragen werden. Durch die Neuregelung wird zudem die vorherige Praxis der Vorlage einer amtlichen Meldebeschei-nigung gesetzlich klar verankert und die Überprüfung anhand sonstiger Verfahren alterna-tiv ermöglicht. Dadurch wird nun auch Personen ohne festen Wohnsitz oder mit Wohnsitz außerhalb Deutschlands die Möglichkeit des Zugangs zu einem De-Mail-Konto eröffnet. Die Änderung in Buchstabe e ist eine redaktionelle Folgeänderung.
Zu Buchstabe b
Die Änderung dient der redaktionellen Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten. Die Regelung stützt sich auf Artikel 6 Absatz 1 Unterabsatz 1, insbesondere Buchstabe e, in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679.
Zu Nummer 2
Die Änderung dient der redaktionellen Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 3
Es handelt sich um eine redaktionelle Änderung, die der zitierfähigen Festschreibung der Anbieterpflichten im Hinblick darauf dient, dass die Verletzung einiger nach dieser Vor-schrift bestehenden Anbieterpflichten nach § 23 De-Mail-Gesetz bußgeldbewehrt sind, andere unmittelbar aufgrund der Verordnung (EU) 2016/679.
Zu Nummer 4
Die Streichung beruht auf Artikel 13 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679, in der die Verpflichtung des Verantwortlichen geregelt ist, die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten über das Bestehen eines Auskunftsrechts zu informieren. Zugleich ist sie auch eine redaktionelle Folgeänderung der Streichung von § 13 Absatz 3 De-Mail-Gesetz. Der Satz wird insgesamt redaktionell deutlicher gefasst.
– 47 –
Zu Nummer 5
Es handelt sich um eine redaktionelle Änderung, die der zitierfähigen Festschreibung der Anbieterpflichten im Hinblick darauf dient, dass die eine Pflichtverletzung nach § 23 De-Mail-Gesetz bußgeldbewehrt ist und die andere unmittelbar aufgrund der Verordnung (EU) 2016/679.
Zu Nummer 6
Die Änderung beruht auf Artikel 15 der Verordnung (EU) 2016/679, in der das Auskunfts-recht der betroffenen Person über sie betreffende personenbezogene Daten geregelt ist.
Zu Nummer 7
Zu Buchstabe a
Die Begriffstrias „erheben, verarbeiten, nutzen“ wird durch den in der Verordnung (EU) 2016/679 verwendeten Begriff „verarbeiten“ ersetzt, der sämtliche Vorgänge umfasst (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679). Es handelt sich insofern ausschließ-lich um eine redaktionelle Anpassung an die Verordnung (EU) 2016/679. Darüber hinaus berücksichtigt die Neufassung des Satzes Artikel 14 der Verordnung (EU) 2016/678. Da-nach können personenbezogenen Daten bei Einhaltung der hierfür normierten Informati-onspflichten bei einer nicht betroffenen Person erhoben werden.
Zu Buchstabe b
Der Verweis auf die Verordnung (EU) 2016/679 dient der Rechtsklarheit und ist rein de-klaratorisch.
Zu Nummer 8
Die Änderung beruht auf Artikel 82 der Verordnung (EU) 2016/769, in der das Recht auf Schadensersatz abschließend geregelt ist. Die Neunummerierung der Absätze ist eine redaktionelle Folgeänderung der Aufhebung von Absatz 4.
Zu Nummer 9
Zu Buchstabe a
Es handelt sich um redaktionelle Änderungen, die der geschlechtsneutralen Personenbe-zeichnung zur sprachlichen Gleichbehandlung von Frauen und Männern dienen.
Zu Buchstabe b
Die Neufassung dient der Berücksichtigung von redaktionellen Änderungen, zur ge-schlechtsneutralen Personenbezeichnung im Hinblick auf die sprachliche Gleichbehand-lung von Frauen und Männern.
Zu Nummer 10
Es handelt sich um eine redaktionelle Änderung, die der geschlechtsneutralen Personen-bezeichnung zur sprachlichen Gleichbehandlung von Frauen und Männern dient.
– 48 –
Zu Nummer 11
Zu Buchstabe a
Zu Doppelbuchstabe aa
Die Änderung berücksichtigt, dass bei einem Verstoß gegen datenschutzrechtliche Best-immungen die Bußgeldregelung von Artikel 83 Verordnung (EU) 2016/679 abschließend gilt. Die fehlende oder nicht unverzügliche Löschung der in Absatz 2 S. 1 genannten Da-ten im Verzeichnisdienst trotz Verlangens des Nutzers oder der Tätigkeitsbeendigung des Diensteanbieters und fehlender Fortführung durch einen anderen Anbieter widerspricht Artikel 17 Absatz 1b bzw. Absatz 1a der Verordnung (EU) 2016/679. In diesen Fällen gilt daher Artikel 83 Absatz 5b in Verbindung mit Artikel 17 (EU) 2016/679. Bußgeldbewehrte Ordnungswidrigkeiten nach dem De-Mail-Gesetz bleiben hingegen diejenigen Regelun-gen, die ausschließlich der Einhaltung dieses Gesetzes und dem Schutz des Rechtsver-kehrs dienen.
Zu Doppelbuchstabe bb
Die Änderung berücksichtigt, dass das Verlangen des Nutzers nach einer unverzüglichen Auflösung des De-Mail-Kontos dem nach Löschung seiner Daten gemäß Artikel 17 Ab-satz 1b der Verordnung (EU) 2016/679 entspricht. Bei einem Verstoß gegen Artikel 17 Absatz 1b der Verordnung (EU) 2016/679 gilt die Bußgeldregelung des Artikel 83 Ab-satz 5b der Verordnung (EU) 2016/679.
Zu Doppelbuchstabe cc
Die Änderung ist eine redaktionelle Folgeänderung der Aufhebung von Nummer 13 und 14.
Zu Doppelbuchstabe dd
Die Aufhebung von Nummer 13 und 14 beruht auf Artikel 83 Absatz 5 Buchstabe a in Verbindung mit Artikel 6 der Verordnung (EU) 2016/679, welcher die Bußgeldverhängung wegen fehlender Rechtmäßigkeit der Datenverarbeitung regelt.
Zu Doppelbuchstabe ee
Die Neunummerierung ist eine redaktionelle Folgeänderung der Aufhebung von Num-mer 13 und 14.
Zu Buchstabe b
Es handelt sich bei den Änderungen um redaktionelle Folgeänderungen aufgrund der Streichung von Nummer 13 und 14.
Zu Artikel 15 (Änderung des E-Government-Gesetzes)
Zu Nummer 1
Zu Buchstabe a
Mit der Regelung in § 5 Absatz 2 macht der nationale Gesetzgeber von der ihm in Arti-kel 6 Absatz 1 Unterabsatz 1, insbesondere Buchstabe e, in Verbindung mit Artikel 6 Ab-satz 2 und 3 der Verordnung (EU) 2016/679 eingeräumten Möglichkeit Gebrauch, spezifi-schere Bestimmungen zur Verarbeitung von Daten zur Erfüllung einer im öffentlichen Inte-resse liegenden Aufgabe beizubehalten. Die im öffentlichen Interesse liegende Aufgabe
– 49 –
besteht hier in der direkten elektronischen Einholung von Nachweisen zwischen der zu-ständigen Behörde und der die betreffenden Nachweise ausstellenden öffentlichen Stelle. Hierdurch wird vermieden, dass die betroffene Person die benötigten Daten auch dann noch einmal erneut bei einer Behörde angeben muss, wenn die Daten bereits in einem anderen Verwaltungsverfahren bei einer anderen Behörde angegeben wurden. Auf diesen Grundsatz der einmaligen Erfassung wird auch im EU-eGovernment-Aktionsplan 2016-2020 (vgl. die Mitteilung der Kommission vom 19. April 2016, KOM(2016) 179 endg., S. 3) Bezug genommen.
Zu Doppelbuchstabe aa
Anstelle des Begriffs des „Verfahrensbeteiligten“ wird durch die Formulierung „am Verfah-ren beteiligten betroffenen Person“ auf den in der Verordnung (EU) 2016/679 verwende-ten Begriff der ‚betroffenen Person“ Bezug genommen. Damit wird verdeutlicht, dass die Bedingungen für die Einwilligung nunmehr dort geregelt sind (vgl. Artikel 4 Nr. 1 und Arti-kel 7 der Verordnung (EU) 2016/679).
Zu Doppelbuchstabe bb
Es handelt sich um eine redaktionelle Anpassung an die Verordnung (EU) 2016/679. Die Begriffstrias „erheben, verarbeiten, nutzen“ wird durch den in der Verordnung (EU) 2016/679 verwendeten Begriff „verarbeiten“ ersetzt, der sämtliche Vorgänge umfasst (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679).
Zu Buchstabe b
§ 5 Absatz 3 sah bislang vor, dass die Einwilligung in die elektronische Übermittlung von Nachweisen zwischen verschiedenen Behörden nach § 5 Absatz 2 auch elektronisch er-klärt werden kann. Diese Regelung war notwendig, da § 4 BDSG a. F. eine elektronische Einwilligung nicht vorsah. Artikel 4 Nummer 11 der Verordnung (EU) 2016/679 fordert nicht mehr die Schriftform und lässt nunmehr auch elektronische Einwilligungen zu. Die Notwendigkeit, die Möglichkeit einer elektronischen Einwilligung und ihrer Anforderungen im nationalen Recht zu regeln, ist damit entfallen. § 5 Absatz 3 ist daher aufzuheben.
Zu Nummer 2
Zu Buchstabe a
Begriff und Voraussetzungen des gemeinsamen Verfahrens sind nunmehr unmittelbar geltend in Artikel 26 der Verordnung (EU) 2016/679 geregelt. Die Definition des Begriffs des gemeinsamen Verfahrens im nationalen Recht ist damit grundsätzlich nicht mehr er-forderlich. Zur besseren Verständlichkeit von § 11 EGovG wurde jedoch von einer Aufhe-bung abgesehen.
Zu Doppelbuchstabe aa
Es handelt sich um eine redaktionelle Anpassung an die Verordnung (EU) 2016/679. Statt des Begriffs „verantwortlichen Stellen“ des BDSG a. F. wird auf den in Artikel 26 der Ver-ordnung (EU) 2016/679 verwendeten Begriff der „gemeinsam Verantwortlichen“ Bezug genommen.
Zu Doppelbuchstabe bb
§ 11 Absatz 1 Satz 2 diente der Klarstellung, dass auch automatisierte Verfahren auf Ab-ruf gemeinsame Verfahren sind, für die insoweit § 10 BDSG a. F. galt. Dieser Verweis auf § 10 BDSG a. F. geht nach der Neufassung des BDSG und der Aufhebung des § 10 BDSG a. F. ins Leere. Die Verordnung (EU) 2016/679 sieht ebenfalls keine spezielle Re-
– 50 –
gelung für das automatisierte Verfahren auf Abruf vor. § 11 Absatz 1 Satz 2 ist daher auf-zuheben.
Zu Buchstabe b
Anstelle des Begriffs des „Betroffenen“ wird künftig auf den in der Verordnung (EU) 2016/679 verwendeten Begriff der ‚betroffenen Person“ Bezug genommen (vgl. Artikel 4 Nr. 1 der Verordnung (EU) 2016/679).
Zu Buchstabe c
Die vormals in Absatz 3 geregelten Verpflichtungen zur Durchführung einer Vorabkontrol-le nach § 4d Absatz 5 und 6 des BDSG a. F. und zur Anhörung des BfDI können ersatzlos entfallen, da nach dem unmittelbar geltenden Artikel 36 der Verordnung (EU) 2016/679 eine der Vorabkontrolle entsprechende vorherige Konsultation der Aufsichtsbehörde vor-gesehen ist.
Zu Buchstabe d
Die vormals in Absatz 4 Satz 1 geregelte Verpflichtung zur Festlegung bestimmter Anga-ben ist mit dem Inkrafttreten der Verordnung (EU) 2016/679 obsolet geworden, da Arti-kel 26 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 eine entsprechende Verpflichtung der gemeinsam Verantwortlichen zur Festlegung einer Vereinbarung enthält. Insoweit verweist der neugefasste § 11 Absatz 4 Satz 1 auf Artikel 26 Absatz 1 und 2 der Verord-nung (EU) 2016/679. In Artikel 26 Absatz 1 und 2 der Verordnung (EU) 2016/679 sind die Anforderungen an die festzulegende Vereinbarung unmittelbar geltend geregelt.
Ebenfalls obsolet geworden ist die vormals in Absatz 4 Satz 2 festgelegte Verpflichtung zur Verwahrung und Bereithaltung der Übersicht im Sinne von § 4g Absatz 2 Satz 1 BDSG a. F. durch einen Beauftragten für den Datenschutz. Die Aufgaben des Daten-schutzbeauftragten sind nun mit unmittelbarer Geltung in Artikel 39 der Verordnung (EU) 2016/679 geregelt. § 11 Absatz 4 Satz 2 ist folglich aufzuheben.
Der vormals in Absatz 4 Satz 4 enthaltene Verweis auf § 11 BDSG a. F. ist aufzuheben. Die in § 11 BDSG a. F. geregelten Anforderungen der Auftragsdatenverarbeitung sind nunmehr in Artikel 28 der Verordnung (EU) 2016/679 geregelt und müssen eingehalten werden. Die vormals in Absatz 4 Satz 3 getroffene Regelung, dass in der Vereinbarung auch Verantwortliche bestimmt werden können, die Aufträge zur Datenverarbeitung ver-geben dürfen, ist nun in Satz 2 enthalten.
Zu Buchstabe e
Die vormals in Absatz 5 Satz 1 geregelte Verpflichtung der beteiligten Stellen, das führen-de Datenschutzrecht vor der Einrichtung eines gemeinsamen Verfahrens festzulegen, ist angesichts der unmittelbar geltenden und Anwendungsvorrang genießenden Verordnung (EU) 2016/679 anzupassen. Mit der gewählten Formulierung soll klargestellt werden, dass den beteiligten Stellen im Hinblick auf die Geltung der Verordnung (EU) 2016/679 kein Spielraum zukommt und mit der Festlegung der anzuwendenden Datenschutzvorschriften das nationale Bundes- und Landesdatenschutzrecht gemeint ist.
Zu Buchstabe f
Die vormals in Absatz 6 Satz 1 enthaltene Regelung, dass die Betroffenen ihre Rechte gegenüber jeder der beteiligten Stellen geltend machen können, unabhängig davon, wel-che Stelle im Einzelfall für die Verarbeitung der jeweiligen Daten zuständig ist, ist nun mit unmittelbarer Geltung in Artikel 26 Absatz 3 der Verordnung (EU) 2016/679 geregelt. Da-nach kann die betroffene Person ihre Rechte im Rahmen der Verordnung (EU) 2016/679
– 51 –
bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen, ungeachtet der in der Vereinbarung gemäß Artikel 26 Absatz 1 getroffenen Einzelheiten. Die vormals in Absatz 6 Satz 2 enthaltene Verpflichtung zur Weiterleitung des Anliegens an die zu-ständige Stelle kann ebenfalls entfallen, da das wesentliche der nach Artikel 26 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 festzulegenden Vereinbarung und damit auch die Verantwortlichkeiten der betroffenen Person zur Verfügung gestellt werden (vgl. Artikel 26 Absatz 2 Satz 2 der Verordnung (EU) 2016/679).
Zu Artikel 16 (Änderung des Bundesmeldegesetzes)
Zu Nummer 1
Die Änderungen passen die Inhaltsübersicht an die Änderungen der Vorschriften an.
Zu Nummer 2
Zu Buchstabe a
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Buchstabe b
Satz 1 wird beibehalten, da er eine allgemeine Rechtsgrundlage für die Verarbeitung per-sonenbezogener Daten durch die Meldebehörden auf der Grundlage von Artikel 6 Ab-satz 1 Buchstabe c in Verbindung mit Artikel 6 Absatz 3 Satz 1 der Verordnung (EU) 2016/679 enthält. Dies ist rechtlich notwendig, da Artikel 6 Absatz 1 Buchstabe c der Ver-ordnung (EU) 2016/679 selbst keine Rechtsgrundlage für die Verarbeitung von Daten schafft, was sich aus der Formulierung in Artikel 6 Absatz 3 Satz 1 der Verordnung (EU) 2016/679 ergibt.
Der bisherige Satz 2 2. Halbsatz kann nicht beibehalten werden, da die Verordnung (EU) 2016/679 keine Öffnungsklausel für nationale bereichsspezifische Regelungen zur Einwil-ligung enthält.
Zu Nummer 3
Die bisherige Regelung wird beibehalten. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679.
In Absatz 1 Satz 3 wird klargestellt, dass für technische Maßnahmen die Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 unmittelbar gelten.
In Absatz 2 und Absatz 3 Satz 2 wird der Gesetzestext redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Die bisher verwendeten Begriffe „genutzt“ und „verwenden“ sind Teilmengen des in der Verordnung (EU) 2016/679 verbindlich definier-ten Oberbegriffs „Verarbeiten“.
Zu Nummer 4
Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Ab-satz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679. Die Änderungen des § 5 Absatz 1 Satz 1 und Absatz 2 Satz 1 dienen der Anpassung des Gesetzestextes an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU)
– 52 –
2016/679. Die Änderung des § 5 Absatz 1 Satz 2 dient der Klarstellung, dass für techni-sche und organisatorische Datenschutzmaßnahmen die Artikel 24, 25 und 32 der Verord-nung (EU) 2016/679 unmittelbar gelten und der Anpassung an die Bestimmungen des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Nummer 5
Satz 1 verweist auf die maßgebliche datenschutzrechtliche Regelung der Verordnung (EU) 2016/679 und behält gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c in Ver-bindung mit Artikel 6 Absatz 2 und 3 der Verordnung (EU) 2016/679 die bisherige Definiti-on des spezifisch melderechtlichen Begriffs der Fortschreibung unter Berücksichtigung des in Artikel 16 der Verordnung (EU) 2016/679 verwendeten Begriffs der Vervollständi-gung bei. Die Definition bestimmt präzise spezifische Voraussetzungen für die Verarbei-tung, um eine nach Recht und Gesetz erfolgende Verarbeitung zu gewährleisten. Wird in melderechtlichen Vorschriften der Begriff „Fortschreibung“ oder das Verb „fortschreiben“ verwendet, gelten sie sowohl für die Berichtigung als auch für die Vervollständigung.
Zu Nummer 6
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Nummer 7
Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Ab-satz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679. Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Nummer 8
Die bisher nach § 9 Satz 1 Nummern 1 bis 4 und 6 BMG vorgesehene unentgeltliche In-anspruchnahme der Betroffenenrechte ergibt sich unmittelbar aus Artikel 12 Absatz 5 der Verordnung (EU) 2016/679. Ein Verweis im bereichsspezifischen Recht ist daher nicht erforderlich. Die Unentgeltlichkeit zur melderechtsspezifischen Einrichtung von Sperren wird zur Klarstellung in der jeweiligen Norm geregelt. Die bisher in § 9 Satz 2 BMG vorge-nommene Klarstellung, dass durch Satz 1 Rechte in anderen Gesetzen nicht einge-schränkt werden – gemeint sind damit insbesondere die Datenschutzgesetze – kann auf-grund der unmittelbaren Geltung der Betroffenenrechte aus der Verordnung (EU) 2016/679 entfallen.
Zu Nummer 9
Zu Buchstabe a
Die Änderung passt die Überschrift an Artikel 15 der Verordnung (EU) 2016/679 an
Zu Buchstabe b
Die bisher in § 10 Absatz 1 enthaltene Beschränkung des Rechts auf eine rein schriftliche Auskunftserteilung wird an Artikel 12 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 an-gepasst und klargestellt, dass die Pflicht zur Identitätsprüfung sich auf alle Formen der Auskunftserteilung erstreckt. Die Identitätsprüfung dient dem Schutz der betroffenen Per-son (Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679). Nur so kann sicher-gestellt werden, dass keine unberechtigte Person Auskunft über personenbezogene Da-ten erhält. Bei der Verwendung einer E-Mail-Empfangsadresse oder einer mündlichen
– 53 –
Auskunft besteht in der Regel eine gewisse Gefahr, dass die Auskunft nicht die berechtig-te Person, sondern einen unberechtigten Dritten erreicht. Die Meldebehörde muss daher vor der Erteilung des Auskunftsanspruchs die Identität der betroffenen Person überprüfen.
Zu Buchstabe c
Es handelt sich um eine Folgeänderung zu Buchstabe b.
Zu Nummer 10
Zu Buchstabe a
§ 11 Absatz 1 enthält Einschränkungen des Auskunftsrechts der betroffenen Person, mit denen die bislang im BMG bestehenden Regelungen auf der Grundlage der Öffnungs-klausel des Artikels 23 der Verordnung (EU) 2016/679 übernommen werden.
Nummer 1 schränkt das Auskunftsrecht für die Fälle nicht automatisierter einfacher Mel-deregisterauskünfte unter Ausnutzung der Öffnungsklausel des Artikels 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 ein. Die Ausnahme entspricht dem bisheri-gen Teil des § 10 Absatz 1 BMG, der die Auskunftsansprüche abschließend benannte und damit das Auskunftsrecht der betroffenen Person bei jeglicher Form nicht automati-sierter Melderegisterauskünfte mit Ausnahme des § 45 Absatz 2 BMG einschränkte. Ein-fache Melderegisterauskünfte sind Masseverfahren, die nur wenige Grunddaten einer Person enthalten und die jeder ohne besondere Voraussetzungen erhalten kann, so dass eine Missbrauchsgefahr grundsätzlich nicht besteht. Bei Gruppenauskünften ist eine Iden-tifizierung nicht möglich und gegen die Übermittlung von Meldedaten zu Wahlen und Ab-stimmungen, zu Alters- und Ehejubiläen sowie an Adressbuchverlage kann nach § 50 Absatz 5 BMG Widerspruch eingelegt werden. Zudem ist davon auszugehen, dass die betroffenen Person das Auskunftsbegehren in der Regel direkt an den Empfänger der Auskunft richtet. Damit werden einerseits datenschutzrechtliche Interessen der anfragen-den Person berücksichtigt und andererseits beachtet, dass Protokollierungen stets auch unter dem Aspekt von Aufwand und Nutzen betrachtet werden müssen. Manuelle Melde-registerauskünfte werden daher in der Regel nur aufbewahrt und nicht protokolliert.
Nummer 2 schränkt ergänzend zu den Fällen, in denen die unverzügliche Unterrichtungs-pflicht nach § 45 Absatz 2 Satz 2 BMG nicht besteht, das Auskunftsrecht ein. Die Offenle-gung des Empfängers gegenüber der betroffenen Person unterbleibt nach Artikel 23 Ab-satz 1 Buchstabe i der Verordnung (EU) 2016/679 in den Fällen, in denen für den Emp-fänger die Gefahr schwerwiegender Nachteile besteht, falls die Auskunft erfolgt.
Nummer 3 und 4 greifen die bisher bestehenden Einschränkungen nach § 10 Absatz 1 BMG auf. Hinsichtlich der Beschränkungen des Auskunftsrechts bei nicht automatisierten Abrufen öffentlicher Stellen und bei nicht automatisierten Datenweitergaben innerhalb der Verwaltungseinheit wird auf die Begründung zu Nummer 1 verwiesen. Die Ausnahme bei Abfragen von Sicherheits- und Strafverfolgungsbehörden des Bundes und der Länder dient der Verhütung, Ermittlung Aufdeckung oder Verfolgung von Straftaten sowie der Strafvollstreckung (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679).
Satz 2 entspricht dem Rechtsgedanken des bisherigen § 10 Absatz 1 Satz 4 BMG, da eine Beauskunftung durch eine Meldebehörde auf entsprechende Protokolldaten ange-wiesen ist.
Absatz 2 Nummer 1 bis 3 beschränken wie bisher nach § 11 Absatz 2 Nummer 1 bis 3 BMG das Auskunftsrecht wegen überwiegender privater Interessen anderer Personen (Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679).
– 54 –
Nummer 4 Buchstabe a beschränkt wie bisher nach § 11 Absatz 1 Nummer 1 BMG das Auskunftsrecht, wenn die ordnungsgemäße Erfüllung der in der Zuständigkeit der Melde-behörde liegenden Aufgaben gefährdet würde (Artikel 23 Absatz 1 Buchstabe e der Ver-ordnung (EU) 2016/679). Der Ausschlusstatbestand kommt beispielsweise bei der den Meldebehörden nach § 3 Absatz 2 Nummer 9 BMG übertragenen Speicherung von Auf-enthaltsanfragen anderer Behörden in Betracht. Neben dem Vorliegen des Ausschluss-grundes ist ebenso wie in den nachfolgenden Gründen nach Nummer 5 bis 7 zusätzlich erforderlich, dass deswegen das Interesse der betroffenen Person an der Auskunftsertei-lung zurücktreten muss.
Nummer 4 Buchstabe b regelt auf der Grundlage von Artikel 23 Absatz 1 Buchstaben a und c Ausnahmen vom Auskunftsrecht, wenn die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile be-reiten würde. Die Ausnahme entspricht § 11 Absatz 1 Nummer 2 BMG a. F.
Nummer 4 Buchstabe c beschränkt wie bisher nach § 11 Absatz 1 Nummer 3 BMG das Auskunftsrecht bei einer Gefährdung strafrechtlicher Ermittlungen (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679).
Nummer 4 Buchstabe d beschränkt auf der Grundlage der Öffnungsklausel des Artikels 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 wie bisher nach § 11 Absatz 1 Nummer 4 BMG das Auskunftsrecht im Fall des Geheimhaltungsinteresses Dritter.
Zu Buchstabe b
Die Änderung in Absatz 4 passt den Gesetzestext an die Bestimmung des Begriffs „Ver-antwortlicher“ nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 an.
Zu Nummer 11
Mit der Änderung in Satz 1 wird klargestellt, dass sich der Berichtigungsanspruch aus Artikel 16 der Verordnung (EU) 2016/679 ergibt.
Satz 2 beschränkt das Recht auf Einschränkung der Verarbeitung nach Artikel 18 Ab-satz 1 Buchstabe a der Verordnung (EU) 2016/679. Der für die Dauer der Prüfung der Richtigkeit vorgesehene Ausschluss einer Sperrung von Daten, deren Richtigkeit von der betroffenen Person bestritten wird, ist durch die Öffnungsklausel des Artikels 23 Absatz 1 Buchstabe e in Verbindung mit Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 ge-deckt. Die im konkreten Umfang (Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679) vorgesehene Beschränkung des Rechts auf Einschränkung der Verarbeitung dient dem Schutz sonstiger öffentlicher Ziele des allgemeinen öffentlichen Interesses (Ar-tikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679). Das Melderegister dient der Verwaltung, der Rechtspflege, öffentlich-rechtlichen Religionsgesellschaften und der Öffentlichkeit als Informationsgrundlage. In der höchstrichterlichen Rechtsprechung ist anerkannt, „dass sich der Einzelne nicht ohne triftigen Grund seiner Umwelt gänzlich ent-ziehen kann, sondern erreichbar bleiben und hinnehmen muss, dass andere – auch mit staatlicher Hilfe – mit ihm Kontakt aufnehmen“ (BVerwG, NJW 2006, 3367ff.). Diese Funk-tion wäre gefährdet, wenn eine Einschränkung der Verarbeitung („Sperrung“) jederzeit durch das Bestreiten der Richtigkeit eines Datums ausgelöst werden könnte.
Zu Nummer 12
Zu Buchstabe a
In Satz 1 wird klargestellt, dass für technische und organisatorische Maßnahmen die Arti-kel 24, 25 und 32 der Verordnung (EU) 2016/679 unmittelbar gelten.
– 55 –
Zu Buchstabe b
Die Änderungen passen den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Buchstabe c
In Satz 4 Nummer 1 wird klargestellt, dass eine Ausnahme vom Verarbeitungsverbot auf Grundlage einer Einwilligung der betroffenen Person unmittelbar nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a in Verbindung mit Artikel 7 der Verordnung /EU) 2016/679 zulässig ist. In Nummer 2 wird der Gesetzestext an die Bestimmung des Begriffs „Verar-beitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst.
Zu Nummer 13
Die bisher von Amts wegen zu beachtenden Löschungsfristen nach Absatz 1, 2 und 4 werden beibehalten. Es handelt sich um eine bereichsspezifische Regelung zur Daten-verarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Buchstabe b sowie Satz 3 der Verordnung (EU) 2016/679.
Absatz 3 schränkt das Recht der betroffenen Person auf Löschung und die damit korres-pondierende Pflicht der Meldebehörde aus Artikel 17 Absatz 1 der Verordnung (EU) 20106/279 dahingehend ein, dass an die Stelle der Löschung die Einschränkung der Ver-arbeitung („Sperrung“) tritt, wenn und soweit aufgrund der besonderen Art der Verarbei-tung die Löschung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern wür-de. Die in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten weiteren Aus-nahmen bleiben hiervon unberührt.
Hierdurch wird die Beschränkung des Rechts auf bzw. die Pflicht zur Löschung personen-bezogener Daten auf das erforderliche Ausmaß im Sinne des Artikel 23 Absatz 2 Buch-stabe c der Verordnung (EU) 2016/679 begrenzt. Die Ausnahme entspricht der bisherigen Regelung des § 14 Absatz 3 BMG. Der vertretbare Aufwand für die Meldebehörde be-misst sich nach dem jeweiligen Stand der Technik und erfasst insbesondere nicht oder nur mit unverhältnismäßig hohem Aufwand veränderbare oder löschbare Datenspeicher.
Zu Nummer 14
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Nummer 15
Es handelt sich um eine Folgeanpassung zur Änderung in § 11 Absatz 2.
Zu Nummer 16
Die bisherige Regelung wird beibehalten. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679. Die Änderung passt den Gesetzestext lediglich an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Nummer 17
Es handelt sich um eine Folgeänderung zur Änderung in § 10 Absatz 2.
– 56 –
Zu Nummer 18
Zu Buchstabe a
In Satz 3 wird klargestellt, dass für technische und organisatorische Maßnahmen die Arti-kel 24, 25 und 32 der Verordnung (EU) 2016/679 unmittelbar gelten.
Zu Buchstabe b
Die Änderung passt den Gesetzestext an den Begriff „Dateisystem“ nach Artikel 4 Num-mer 6 der Verordnung (EU) 2016/679 an.
Zu Nummer 19
Zu Buchstabe a
Die Änderung in Absatz 1 passt den bisherigen Begriff „Datenempfänger“ an den Begriff „Empfänger“ in Artikel 4 Nummer 9 der Verordnung (EU) 2016/679 an. Inhaltliche Ände-rungen ergeben sich hierdurch nicht.
Zu Buchstabe b
Der Regelungsinhalt entspricht dem bisherigen § 9 Satz 1 Nummer 5 BMG.
Zu Nummer 20
Mit der Änderung wird klargestellt, dass für technische und organisatorische Maßnahmen die Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 unmittelbar gelten.
Zu Nummer 21
Es handelt sich um eine redaktionelle Anpassung des bisherigen Begriffs „Datenempfän-ger“ an den Begriff „Empfänger“ in Artikel 4 Nummer 9 der Verordnung (EU) 2016/679.
Zu Nummer 22
Zu Buchstabe a
Mit der Änderung wird klargestellt, dass für technische und organisatorische Maßnahmen die Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 unmittelbar gelten.
Zu Buchstabe b
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
Zu Nummer 23
Die bisherige Regelung wird beibehalten. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679. Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 an.
– 57 –
Zu Nummer 24
Zu Buchstabe a
Die Änderungen passen den Gesetzestext an die Bestimmungen der Begriffe „Verarbei-tung“ und „Empfänger“ nach Artikel 4 Nummer 2 und 9 der Verordnung (EU) 2016/679 an.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an den Oberbegriff „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679, der inhaltlich die bisherige Nutzung umfasst.
Zu Nummer 25
Zu Buchstabe a
Der Regelungsinhalt entspricht dem bisherigen § 9 Satz 1 Nummer 5 BMG.
Zu Buchstabe b
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Empfänger“ nach Artikel 4 Nummer 9 der Verordnung (EU) 2016/679 an.
Zu Nummer 26
Zu Buchstabe a
Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Ab-satz 3 Buchstabe b sowie Satz 2 der Verordnung (EU) 2016/679. Mit der Änderung wird berücksichtigt, dass die Betroffenenrechte nach der Verordnung (EU) 2016/679 unmittel-bar gelten. Nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 können unabhängig von den Auskunftsvoraussetzungen mit der Einwilligung der betroffenen Person Daten verarbeitet werden. Aufgrund der für eine Melderegister-auskunft erforderlichen Identifikation der betroffenen Person kommt eine Einwilligung al-lerdings nur für Zwecke der Werbung und des Adresshandels in Betracht. Die der Melde-behörde nach Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 auferlegte Beweislast bezüglich des Vorliegens einer wirksamen Einwilligung hat zur Folge, dass die Einwilli-gung künftig gegenüber der Meldebehörde zu erteilen oder der Meldebehörde von der Auskunft verlangenden Person oder Stelle zusammen mit dem Auskunftsersuchen vorzu-legen ist.
Die bisherigen Anforderungen nach Satz 2 bis 8 BMG können nicht aufrechterhalten wer-den, da die Verordnung (EU) 2016/679 keine Öffnungsklausel für einschränkende Rege-lungen bei der Einwilligung enthält. Die Einwilligung muss den Anforderungen gemäß Ar-tikel 7 der Verordnung (EU) 2016/679 entsprechen.
Zu Buchstabe b
Es handelt sich um eine Folgeänderung zu Buchstabe a.
Zu Nummer 27
Mit der Änderung wird klargestellt, dass die Regelung nicht die Glaubhaftmachung eines rechtlichen Interesses an den Daten, sondern am Unterbleiben der Unterrichtung beinhal-
– 58 –
tet. Die Unterrichtung darf nur in den Fällen unterbleiben, in denen die Gefahr schwerwie-gender Nachteile für den Datenempfänger besteht, falls die Unterrichtung erfolgt.
Zu Nummer 28
Es handelt sich um eine Folgeänderung zur Änderung in § 10 Absatz 2 BMG.
Zu Nummer 29
Der Regelungsinhalt entspricht dem bisherigen § 9 Satz 1 Nummer 5 BMG.
Zu Nummer 30
Der Regelungsinhalt entspricht dem bisherigen § 9 Satz 1 Nummer 5 BMG.
Zu Nummer 31
Der Regelungsinhalt entspricht dem bisherigen § 9 Satz 1 Nummer 5 BMG.
Zu Nummer 32
Zu Buchstabe a
Die Streichung des bisher nach § 54 Absatz 1 Nummer 2 BMG sanktionierten Verstoßes gegen datenschutzrechtliche Verarbeitungspflichten durch eine wahrheitswidrig behaupte-te Einwilligungserklärung wird durch Artikel 83 Absatz 5 Buchstabe a in Verbindung mit Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2016/679 substituiert.
Zu Buchstabe b
Die Änderung in Nummer 3 ist eine Folgeänderung zur Änderung des § 19 Absatz 1 Satz 1 BMG durch Artikel 1 des Gesetzes vom 11. Oktober 2016 (BGBl. I S. 2218). Nummern 12 und 13 BMG, die eine unzulässige gewerbliche Verwendung einer Meldere-gisterauskunft und einen Verstoß gegen die Zweckbindung ahnden, sind von Artikel 83 Absatz 5 Buchstabe a der Verordnung (EU) 2016/679 umfasst und müssen daher gestri-chen werden. Ihre Beibehaltung verstieße gegen das Wiederholungsverbot.
Zu Buchstabe c
Es handelt sich um eine Folgeänderung zu Buchstabe b Doppelbuchstabe dd.
Zu Nummer 33
Zu Buchstabe a
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (ERU) 2016/679 an.
Zu Buchstabe b
Die Änderung passt den Gesetzestext an die Bestimmung des Begriffs „Empfänger“ nach Artikel 4 Nummer 9 der Verordnung (EU) 2016/679 an.
– 59 –
Zu Nummer 34
Zu Buchstabe a
Die Änderung passt den Gesetzestext an den neuen melderechtlichen Fortschreibungs-begriff nach § 6 Absatz 1 BMG (siehe Nummer 5) an.
Zu Buchstabe b
Es handelt sich um eine Folgeänderung zur Aufhebung der bisher in § 44 Absatz 3 BMG enthaltenen einschränkenden Regelungen bei der Einwilligung (siehe Nummer 26).
Zu Buchstabe c
Siehe hierzu die Begründung zu Buchstabe b.
Zu Buchstabe d
Siehe hierzu die Begründung zu Buchstabe b.
Zu Nummer 35
Es handelt sich um eine Folgeänderung zu Nummer 26. Mit Blick auf die notwendigen Änderungen in § 44 BMG ist eine Evaluierung nur noch zur datenschutzrechtlich sanktio-nierten unzulässigen gewerblichen Verwendung einer Melderegisterauskunft erforderlich. Eine Evaluierung der Anwendung der datenschutzrechtlichen Bußgeldvorschriften muss im engen Zusammenwirken mit den zuständigen Datenschutzaufsichtsbehörden erfolgen, da andernfalls die Gefahr eines unzulässigen Eingriffs in deren Unabhängigkeit besteht.
Zu Artikel 17 (Änderung des Personenstandsgesetzes)
Zu Nummer 1
Es handelt sich um die Aktualisierung der Inhaltsübersicht.
Zu Nummer 2
Durch § 68a werden das Recht auf Auskunft, Erhalt einer Kopie und Berichtigung der Re-gisterdaten nach der Verordnung (EU) 2016/679 auf Grund des im Personenstandsrecht geltenden bereichsspezifischen Datenschutzrechts eingeschränkt. Dies ist erforderlich, um die Ordnungsaufgabe des Staates sicherzustellen, insbesondere das öffentliche Inte-resse an einer geordneten Registrierung und Beurkundung des Personenstands der Bür-ger im Interesse sozialer Sicherheit und den Schutz der betroffenen Personen sowie die Rechte und Freiheiten anderer in den Personenstandsregistern registrierten Personen gemäß Artikel 23 Absatz 1 Buchstabe h in Verbindung mit Buchstabe e sowie Buchstabe i der Verordnung (EU) 2016/679 zu gewährleisten.
Zu Absatz 1:
Die Benutzung der Personenstandsregister, d. h. die Erteilung von Personenstandsurkun-den aus dem Registereintrag, die Auskunft aus einem und die Einsicht in einen Regis-tereintrag sowie die Durchsicht mehrerer Registereinträge und die entsprechende Ver-wendung der zu dem Registereintrag geführten Sammelakte, ist den im Registereintrag betroffenen Personen bereits nach § 62 des Personenstandsgesetzes (PStG) möglich. Die betroffenen Personen können danach Auskunft über die zu ihrer Person gespeicher-ten personenbezogenen Daten im Personenstandsregister oder in der dazu geführten Sammelakte erhalten, die Daten selbst einsehen oder eine Kopie aus der Sammelakte
– 60 –
erhalten. Bei der Erteilung von Kopien der verarbeiteten personenbezogenen Daten auf den amtlichen Formularen für Personenstandsurkunden ist sicherzustellen, dass diese Dokumente nicht als beweiskräftige Personenstandsurkunden im öffentlichen Urkunden-verkehr verwendet werden; dies wird durch die nach Satz 2 unterbleibenden Ausferti-gungsmerkmale in dem Dokument erreicht.
Die Information der betroffenen Person über Kategorien von Empfängern, gegenüber de-nen die im Personenstandsregister oder in den zum Registereintrag geführten Sammelak-ten enthaltenen personenbezogenen Daten offengelegt worden sind oder noch offen ge-legt werden (Absatz 1 Satz 2), umfasst den zur Benutzung der Personenstandsregister und Sammelakten berechtigten Personenkreis, der abschließend in den §§ 62 ff. PStG genannt ist. Die danach bestehenden Benutzungsbeschränkungen schließen eine miss-bräuchliche Benutzung, sowohl durch unberechtigte Privatpersonen oder juristische Per-sonen zur Erlangung personenbezogener Daten als auch in den besonderen Fällen zur Wahrung des Adoptionsgeheimnisses und bei Geschlechtsänderungen (§ 63 PStG) oder durch die Eintragung eines Sperrvermerks (§ 64 PStG) aus. Die Auskunft an die betroffe-ne Person über konkrete Empfänger von Daten ihres Personenstandseintrags wird aus-geschlossen; sie würde bei den überwiegend noch in papiergebundenen Personenstands-registern und Sammelakten und mehreren Millionen Registerbenutzungen pro Jahr in Deutschland einen unverhältnismäßig hohen Verwaltungs- und Kostenaufwand erfordern. Der Ausschluss der Information über konkrete Empfänger von Daten der betroffenen Per-son ist wegen der bereits bestehenden Auskunftsbeschränkungen verhältnismäßig und aus Gründen des allgemeinen öffentlichen Interesses, insbesondere zur Vermeidung ei-ner finanziellen und personellen Überforderung der die Standesämter tragenden Kommu-nen gem. Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 erforderlich.
Zu Absatz 2:
Die Regelung verweist auf die bestehenden Berichtigungsmöglichkeiten im Personen-standsrecht, die – anders als das Recht auf Berichtung nach Artikel 16 der Verordnung (EU) 2016/679 – den urkundlichen Nachweis der Unrichtigkeit gespeicherter Daten und die Prüfung und Feststellung der Fehlerhaftigkeit sowie die Berichtigung durch den Stan-desbeamten oder auf Anordnung des Gerichts nach den §§ 47 ff. PStG erfordert. Die Be-schränkung des Rechts auf Berichtigung auf das personenstandsrechtliche Berichti-gungsverfahren liegt im öffentlichen Interesse und ist deshalb nach Artikel 23 Absatz 1 Buchstabe h in Verbindung mit Buchstabe e der Verordnung (EU) 2016/679 erforderlich.
Zu Absatz 3:
Das Widerspruchsrecht gemäß Artikel 21 der Verordnung (EU) 2016/679 kann für die Verarbeitung der personenstandsrechtlichen Daten keine Anwendung finden, weil die Beurkundung der Personenstandsdaten im öffentlichem Interesse liegt, insbesondere zur Aufrechterhaltung der staatlichen Ordnung und zur Erfüllung von öffentlichen Aufgaben im Bereich der Daseinsvorsorge (Artikel 23 Absatz 1 Buchstabe h in Verbindung mit Buch-stabe e der Verordnung (EU) 2016/679). Zugleich beweisen die Beurkundungen in den Personenstandsregistern Geburt, Eheschließung und Tod und dienen damit der individu-ellen Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, die sich aus den beurkundeten Personenstandsmerkmalen und Verwandtschaftsverhältnissen herlei-ten (Artikel 23 Absatz 1 Buchstabe j).
– 61 –
Zu Artikel 18 (Änderung des Arzneimittelgesetzes)
Zu Nummer 1
Zu Buchstabe a
Das Schriftformerfordernis für die Einwilligung in die Datenverarbeitung wird im Sinne ei-ner fortschreitenden Digitalisierung um die elektronische Form ergänzt. Des Weiteren handelt es sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung und Verarbeitung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung und Verarbeitung, die in § 3 BDSG a.F. legal definiert waren, bereits umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung und Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung und Verwendung umfasst. Inhaltliche Änderungen ergeben sich hier-durch nicht.
Zu Doppelbuchstabe bb
Zu Dreifachbuchstabe aaa
Es handelt sich um eine Anpassung an Artikel 7 Absatz 3 der Verordnung (EU) 2016/679. Danach hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der datenschutzrechtlichen Einwilligung bewirkt, dass keine neuen Daten verarbeitet werden dürfen. Er hat jedoch keine Auswirkungen auf die Weiterverarbeitung der bereits erhobenen Daten, § 40 Absatz 2a Satz 2 Nummer 3 AMG.
Zu Dreifachbuchstabe bbb
Es handelt sich zum einen um eine Folgeänderung zu der Änderung in Nummer 1 Buch-stabe b Doppelbuchstabe bb Dreifachbuchstabe aaa. Zum anderen handelt es sich um eine Anpassung des bisherigen Begriffs Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Ver-arbeitung als Oberbegriff, der inhaltlich u. a. die bisherige Verwendung umfasst. Inhaltli-che Änderungen ergeben sich hierdurch nicht. Insbesondere bewirkt die Änderung keine Erweiterung des Regelungsbereichs. Wie bisher dürfen lediglich die bereits erhobenen und gespeicherten Daten zu den in § 40 Absatz 2a Satz 2 Nummer 3 genannten Zwecken verarbeitet, nicht jedoch neue Daten erhoben werden. Zur Ermöglichung der in § 40 Ab-satz 2a Satz 2 Nummer 3 genannten Zwecke bedarf es aller Unterschritte der Datenver-arbeitung mit Ausnahme der Erhebung neuer Daten. Die Änderung steht in Einklang mit dem weiten Verständnis des Verwendungsbegriffs in Artikel 28 Absatz 3 Satz 2 der Ver-ordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG (ABl. L. 158 vom 27.5.2014, S. 1). Diese Verordnung wurde zeitlich vor der Verordnung (EU) 2016/679 erlassen, sodass der dortige Verwendungsbegriff nach Sinn und Zweck auszulegen ist. Sinn und Zweck der Regelung ist der Probandenschutz. Be-reits erhobene Daten sollen umfassend verarbeitet werden können, damit nicht unnötig neue Probanden den Risiken und Belastungen einer klinischen Prüfung ausgesetzt wer-den müssen.
– 62 –
Zu Doppelbuchstabe cc
Es handelt sich um eine Folgeänderung zu der Änderung in Nummer 1 Buchstabe b Dop-pelbuchstabe bb Dreifachbuchstabe aaa.
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung und Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung und Verwendung umfasst. Weiterhin handelt es sich um eine redakti-onelle Anpassung an den Wortlaut des Artikel 2 Absatz 1 der Verordnung (EU) 2016/679. Durch die redaktionellen Anpassungen ergeben sich keine inhaltlichen Änderungen.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung und Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung und Verwendung umfasst. Inhaltliche Änderungen ergeben sich hier-durch nicht.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung des bisherigen Verweises auf § 4a BDSG a. F. Der Verweis ist zu streichen, da sich die Anforderungen an die Einwilligung nunmehr aus der Verordnung (EU) 2016/679 ergeben.
Zu Nummer 4
Die Änderung erfolgt aus dem Umstand, dass das BDSG den Abruf personenbezogener Daten im automatisierten Verfahren mit Wirkung zum 25. Mai 2018 nicht mehr vorsieht.
Zu Nummer 5
Die Änderung erfolgt aus dem Umstand, dass das BDSG den Abruf personenbezogener Daten im automatisierten Verfahren mit Wirkung zum 25. Mai 2018 nicht mehr vorsieht.
Zu Nummer 6
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Verarbeitung und Nutzung von Daten an die neue umfassende Begriffsbestimmung der Verarbeitung von Daten in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679, indem der Begriff „nut-zen“ gestrichen wird. Die neue Begriffsbestimmung der Verarbeitung in Artikel 4 Num-mer 2 der o. g. Verordnung beinhaltet zwar grundsätzlich auch das Erheben von Daten. Jedoch ist damit eine Erweiterung der in § 58f Satz 4 AMG geregelten Ermächtigung um die Datenverarbeitungsform des Erhebens von Daten nicht verbunden. Die o. g. Ermäch-tigung zur Datenverarbeitung bezieht sich ihrem Wortlaut nach ausdrücklich lediglich auf nach § 58f Satz 2 Nummer 2 AMG übermittelte Daten und schließt damit das Erheben von Daten aus. Die Anpassung des § 58f Satz 4 AMG beinhaltet somit keine Änderung des bereits bestehenden Regelungsinhaltes, der keine Ermächtigung für die Erhebung von Daten vorsieht.
– 63 –
Zu Nummer 7
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Verarbeitung und Nutzung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen ergeben sich hierdurch nicht.
Zu Nummer 8
Die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland er-geben sich bereits aus dem fünften Kapitel der Verordnung (EU) 2016/679. Zur Einhal-tung arzneimittelrechtlicher, heilmittelwerberechtlicher und apothekenrechtlicher Anforde-rungen oder zur Verhütung oder zur Abwehr von Arzneimittelrisiken können auch weiter-hin personenbezogene Daten an die in § 68 Absatz 4 AMG genannten Stellen übermittelt werden, soweit nicht schutzwürdige Interessen der betroffenen Personen überwiegen.
Zu Artikel 19 (Änderung des Vierten Gesetzes zur Änderung arzneimittelrechtlicher und anderer Vorschriften)
Zu Nummer 1
Das Schriftformerfordernis für die Einwilligung in die Datenverarbeitung wird im Sinne ei-ner fortschreitenden Digitalisierung um die elektronische Form ergänzt. Des Weiteren handelt es sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung, Ver-arbeitung und Nutzung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Ver-ordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nutzung umfasst. Inhaltliche Ände-rungen ergeben sich hierdurch nicht.
Zu Nummer 2
Es handelt sich um eine redaktionelle Anpassung der bisherigen Begriffe Erhebung und Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung und Verwendung umfasst. Inhaltliche Änderungen ergeben sich hier-durch nicht.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung des bisherigen Begriffs Verwendung an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Die-se neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich u. a. die bisherige Verwendung umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht. Insbesondere bewirkt die Änderung keine Erweiterung des Regelungsbereichs. Wie bisher dürfen ledig-lich die bereits erhobenen und gespeicherten Daten zu den in § 40b Absatz 6 Satz 3 Nummer 2 genannten Zwecken verarbeitet, nicht jedoch neue Daten erhoben werden. Zur Ermöglichung der in § 40b Absatz 6 Satz 3 Nummer 2 genannten Zwecke bedarf es aller Unterschritte der Datenverarbeitung mit Ausnahme der Erhebung neuer Daten. Die Ände-rung steht in Einklang mit dem weiten Verständnis des Verwendungsbegriffs in Artikel 28 Absatz 3 Satz 2 der Verordnung (EU) Nr. 536/2014. Diese Verordnung wurde zeitlich vor der Verordnung (EU) 2016/679 erlassen, sodass der dortige Verwendungsbegriff nach Sinn und Zweck auszulegen ist. Sinn und Zweck der Regelung ist der Probandenschutz. Bereits erhobene Daten sollen umfassend verarbeitet werden können, damit nicht unnötig neue Probanden den Risiken und Belastungen einer klinischen Prüfung ausgesetzt wer-den müssen.
– 64 –
Zu Artikel 20 (Änderung des Transfusionsgesetzes)
Soweit die Änderung des TFG im Vergleich zu dem nach der Verordnung (EU) 2016/679 unmittelbar geltenden datenschutzrechtlichen Standard zusätzliche Bedingungen oder Einschränkungen für die Verarbeitung von Gesundheitsdaten vorsehen, wie beispielswei-se die Einwilligung, sind diese von der Öffnungsklausel des Artikel 9 Absatz 4 der Verord-nung (EU) 2016/679 gedeckt. Der Begriff der Gesundheitsdaten ist nach Erwägungsgrund 35 der Verordnung (EU) 2016/679 weit zu verstehen. Hierzu gehören auch Gesundheits-daten, die im Zusammenhang mit der Blutspende erhoben werden. Bei den von den Blut-spendeeinrichtungen und zuständigen Behörden nach dem Transfusionsgesetz in diesem Zusammenhang verarbeiteten personenbezogenen Daten handelt es sich insofern um Gesundheitsdaten im Sinne der Verordnung (EU) 2016/679. Die im TFG normierten Ein-willigungstatbestände tragen dem besonderen Schutzbedürfnis Blut spendender Perso-nen Rechnung und tragen wesentlich zur Sicherheit der Blutprodukte bei.
Zu Nummer 1
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbei-tung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nutzung umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht.
Zu Buchstabe b
Im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen wird mit der Ände-rung neben der schriftlichen Bestätigung der Aufklärung über die mit der Spendenent-nahme verbundene Verarbeitung personenbesogener Daten der spendenden Person auch die Bestätigung in elektronischer Form ermöglicht. Die Anforderungen an die Spen-derdokumentation sind unabhängig von der Art der Bestätigung gültig.
Zu Nummer 2
Es handelt sich zum einen um eine redaktionelle Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nut-zung umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht.
Zum anderen wird im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen neben der schriftlichen Bestätigung der Aufklärung über Wesen, Bedeutung und Risiken der Immunisierung sowie über die damit verbundene Verarbeitung personenbezogener Daten auch die Bestätigung in elektronischer Form ermöglicht.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbei-tung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nutzung umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht.
Zu Nummer 4
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbei-tung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nutzung umfasst. Inhaltliche Änderungen ergeben sich hierdurch nicht.
– 65 –
Zu Nummer 5
Im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen wird neben der schriftlichen Einwilligung des behandelten Patienten in die Meldung von bestimmten Da-ten an die Vertrauensstelle und das Deutsche Hämophilieregister (DHR) durch die hämo-philiebehandelnde ärztliche Person auch die elektronische Einwilligung ermöglicht.
Zu Nummer 6
Zu Buchstabe a
Bei der Änderung in § 21a Absatz 2 Satz 5 handelt es sich um eine redaktionelle Anpas-sung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen ergeben sich hierdurch nicht, da es sich bei § 21a Absatz 2 Satz 5 TFG nicht um eine Ermächtigungsgrundlage für die Verarbeitung des von der Vertrauens-stelle erzeugten Pseudonyms durch das DHR handelt, sondern vielmehr um eine Ein-schränkung der an anderer Stelle geregelten Verarbeitungsbefugnis des DHR. Zu wel-chen einzelnen Verarbeitungsschritten das DHR im Hinblick auf das Pseudonym befugt ist, richtet sich allein nach § 21a Absatz 3. Diese Befugnis wird nicht geändert, umfasst aber bereits jetzt mehr Verarbeitungsschritte als die Nutzung im bisherigen Sinn, so dass, ohne dass es zu einer Ermächtigungserweiterung kommt, der weite Verarbeitungsbegriff in § 21a Absatz 2 Satz 5 gewählt wird. Eine Übermittlung des Pseudonyms an eine ande-re Stelle ist nach § 21a Absatz 2 Satz 5 weiterhin nicht zulässig.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen wird neben der schriftlichen Einwilligung in die Erhebung von Daten durch das DHR auch die elektroni-sche Einwilligung ermöglicht.
Zu Doppelbuchstabe bb
Bei der Änderung in § 21a Absatz 3 Satz 6 handelt es sich um eine redaktionelle Anpas-sung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen ergeben sich hierdurch nicht. Auch bei § 21 Absatz 3 Satz 6 han-delt es sich nicht um eine Ermächtigungsgrundlage für die Verarbeitung von personenbe-zogenen Daten durch die Vertrauensstelle oder das DHR. § 21 Absatz 3 Satz 6 legt viel-mehr fest, dass auszuschließen ist, dass Patienten durch die Verarbeitung (und Nutzung) der Daten bei der Vertrauensstelle und dem DHR wieder identifiziert werden können. Die Regelung dient insofern dem Schutz der bei der Vertrauensstelle und dem DHR auf der Grundlage anderer Ermächtigungsgrundlagen verarbeiteten Daten. Eine Erhebung von Daten durch die Vertrauensstelle oder das DHR auf der Grundlage des § 21a Absatz 3 Satz 6 war und ist auch bei der Verwendung des weiten Verarbeitungsbegriffs der Ver-ordnung (EU) 2016/679 nicht möglich.
Zu Buchstabe c
Zu Doppelbuchstabe aa
Bei der Änderung in § 21a Absatz 4 Satz 1 handelt es sich um eine redaktionelle Anpas-sung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als Oberbegriff, der inhaltlich die bisherige Erhebung, Verarbeitung und Nutzung umfasst. Inhaltliche Änderungen ergeben sich hier-durch nicht.
– 66 –
Zu Doppelbuchstabe bb
Im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen wird neben der schriftlichen Einwilligung in die Aufnahme der pseudonymisierten Patienten- und Behand-lungsdaten in das DHR auch die elektronische Einwilligung ermöglicht.
Zu Doppelbuchstabe cc
Im Zuge der voranschreitenden Digitalisierung im Gesundheitswesen wird neben der schriftlichen Bestätigung in die Aufklärung über die Datenverarbeitung im DHR auch die elektronische Bestätigung ermöglicht.
Zu Buchstabe d
Bei der Änderung in § 21a Absatz 5 Satz 4 handelt es sich um eine redaktionelle Anpas-sung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen ergeben sich hierdurch nicht. Durch die Regelungen in § 21a Ab-satz 5 Satz 1 und 4 wird deutlich, dass trotz der Verwendung des weiten Verarbeitungs-begriffs als Oberbegriff sich die Erhebung von Daten nach Satz 4 allein auf die Erhebung der nach Satz 1 übermittelten Daten beschränkt. Zu einer Erhebung anderer Daten sind die am DHR Beteiligten oder Dritte auf der Grundlage von § 21a Absatz 5 Satz 4 nicht berechtigt.
Zu Artikel 21 (Änderung des Gentechnikgesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Anpassung an die Novellierung der Biostoffverord-nung durch die Verordnung zur Neufassung der Verordnung über Sicherheit und Gesund-heitsschutz bei Tätigkeiten mit Biologischen Arbeitsstoffen und zur Änderung der Gefahr-stoffverordnung vom 15. Juli 2013 (BGBl I 2013, 2514).
Zu Nummer 2
Zu Buchstabe a
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst.
Zu Buchstabe b
§ 10 BDSG a. F., auf dessen Absätze 2 bis 5 bislang in § 16a Absatz 5a Gentechnikge-setz (GenTG) verwiesen wurde, entfällt durch die Novellierung, da die Verordnung (EU) 2016/679 keine Unterscheidung nach der Form der Datenübermittlung vorsieht. Die erfor-derlichen Regelungen werden auf Grundlage von Artikel 6 Absatz 1 Unterabsatz 1 Buch-stabe e in Verbindung mit Absatz 2 und Absatz 3 der Verordnung (EU) 2016/679 als be-reichsspezifische Regelung zur Datenverarbeitung im GenTG fortgeführt. Auch im Übri-gen gelten die Vorschriften der Verordnung (EU) 2016/679.
Zu Buchstabe c
Der Verweis wird an die Nachfolgeregelungen des bisherigen § 19 BDSG a. F. angepasst. Damit stehen im Umfang der bisherigen Regelung bestimmte Auskunftsrechte, die nun-mehr in den genannten Vorschriften der Verordnung (EU) 2016/679 geregelt sind, auch juristischen Personen zu. Wie bei natürlichen Personen gelten dabei bestimmte Ein-schränkungen und Verfahrensregelungen, die sich nunmehr aus § 34 BDSG ergeben.
– 67 –
Zu Nummer 3
Die Begriffsbestimmung wird an Artikel 4 der Verordnung (EU) 2016/679 angepasst.
Zu Nummer 4
Zu Buchstabe a
Es wird eine redaktionelle Korrektur vorgenommen. Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „nut-zen“ ist Teilmenge des in der Verordnung (EU) 2016/679 verbindlich definierten Oberbe-griffs „Verarbeitung“. Eine Befugniserweiterung ist damit nicht verbunden, da die von der zuständigen Bundesoberbehörde bereits selbst erhobenen oder ihr übermittelten Daten verarbeitet werden.
Zu Buchstabe b
Der Verweis auf § 9 BDSG a. F. wird aufgehoben. Die technischen und organisatorischen Maßnahmen sind nunmehr in Art. 24, 25 und 32 der Verordnung (EU) 2016/679 geregelt.
Zu Buchstabe c
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „genutzt“ ist Teilmenge des in der Verordnung (EU) 2016/679 verbindlich definierten Oberbegriffs „Verarbeitung“. Eine Befugniserweiterung ist damit nicht verbunden.
Zu Artikel 22 (Änderung des Grundstoffüberwachungsgesetzes)
Zu Nummer 1
Die Aufhebung des Verweises auf § 9 BDSG a. F. in Satz 2 ist eine Folgeänderung zur Neufassung des BDSG. Satz 3 wird aufgehoben, weil die Regelung künftig entbehrlich ist. Für die vom Bundesinstitut für Arzneimittel und Medizinprodukte beim automatisierten Datenabruf durch das Zollkriminalamt zu treffenden technischen und organisatorischen Maßnahmen gelten nunmehr Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 unmit-telbar. Es handelt sich daher um einen lediglich deklaratorischen Verweis auf unmittelbar geltendes EU-Recht.
Zu Nummer 2
Die Neufassung folgt aus dem Umstand, dass das BDSG die Voraussetzungen für den Abruf personenbezogener Daten im automatisierten Verfahren mit Wirkung zum 25. Mai 2018 nicht mehr vorsieht. Die entsprechenden Regelungen zum automatisierten Verfah-ren auf Abruf werden daher entsprechend § 10 Absätze 2 bis 5 BDSG a. F. im Grundstof-füberwachungsgesetz geschaffen.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung der Begrifflichkeiten an Artikel 4 Num-mer 1 der Verordnung (EU) 2016/679, ohne dass sich hierdurch inhaltliche Änderungen ergeben.
– 68 –
Zu Artikel 23 (Änderung des Gendiagnostikgesetzes)
Zu Nummer 1
Mit der Einfügung des Satzes 3 wird ausdrücklich klargestellt, dass die Einwilligung nach Absatz 1 Satz 1 auch die datenschutzrechtliche Einwilligung umfasst.
Zu Nummer 2
Die Ergänzung der elektronischen Form der Einwilligung zur Weitergabe der Daten an Dritte dient der Verfahrensvereinfachung.
Zu Nummer 3
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung des bisher legaldefinierten Begriffs des Sperrens an die neue Begriffsbestimmung in Artikel 4 Nummer 3 der Verordnung (EU) 2016/679. Darin wird der Begriff „Einschränkung der Verarbeitung“ wortgleich mit der bis-herigen Legaldefinition des Sperrens bestimmt. Durch die Anpassung ergeben sich keine inhaltlichen Änderungen. Die Ergänzung der elektronischen Form der Einwilligung für die Forderung einer längeren Aufbewahrung dient der Verfahrensvereinfachung.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung des bisher legaldefinierten Begriffs des Sperrens an die neue Begriffsbestimmung in Artikel 4 Nummer 3 der Verordnung (EU) 2016/679. Darin wird der Begriff „Einschränkung der Verarbeitung“ wortgleich mit der bis-herigen Legaldefinition des Sperrens bestimmt. Durch die Anpassung ergeben sich keine inhaltlichen Änderungen.
Zu Nummer 4
Die Verordnung (EU) 2016/679 enthält in Artikel 83 allgemeine Bedingungen für die Ver-hängung von Geldbußen. Die Verordnung (EU) 2016/679 in der jeweils geltenden Fas-sung gilt unmittelbar, d. h., Verstöße gegen rein datenschutzrechtliche Regelungen wer-den unmittelbar auf Grundlage der Verordnung (EU) 2016/679 geahndet. Absatz 3 hat insofern einen rein deklaratorischen Charakter und dient als Hinweis für den Rechtsan-wender, dass im Zusammenhang mit den Bußgeldvorschriften die Verordnung (EU) 2016/679 nicht außer Acht zu lassen ist, auf deren Grundlage Verstöße gegen daten-schutzrechtliche Regelungen zu beurteilen sind und deren Ahndung erfolgt.
Mangels einer entsprechenden Öffnungsklausel können bereichsspezifische Bußgeldvor-schriften bei Verstößen gegen rein datenschutzrechtliche Vorschriften nicht aufrechterhal-ten bleiben. Eine Gesetzgebungsbefugnis für den nationalen Gesetzgeber besteht nur im Hinblick auf die in Absatz 1 genannten Tatbestände, die bislang in den Nummern 1, 5 und 10 von § 26 Absatz 1 erfasst waren.
Zu Artikel 24 (Änderung des Transplantationsgesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Folgeänderung zur Änderung der Überschrift zu § 7.
– 69 –
Zu Nummer 2
Zu Buchstabe a
Zu Doppelbuchstabe aa
Durch die Änderung wird § 2 Absatz 3 Satz 2 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. § 2 Absatz 3 enthält die Ermächtigung, eine Stelle durch Rechtsverordnung zu beauftragen, die Erklärungen zur Organ- oder Gewebespende zu speichern und darüber berechtigten Personen Auskunft zu erteilen (Organ- und Gewebespenderegister). In § 2 Absatz 3 Satz 2 ist im Hinblick auf die Ver-wendung der einmal im Organ- und Gewebespenderegister gespeicherten personenbe-zogenen Daten eine enge Zweckbindung festgelegt. Danach dürfen diese Daten nur zum Zwecke der Feststellung verwendet werden, ob bei demjenigen, der die Erklärung abge-geben hatte, eine postmortale Organ- oder Gewebeentnahme nach § 3 oder § 4 zulässig ist. Der bisherige Begriff der Verwendung umfasste aufgrund des engen Zusammen-hangs, in dem diese Regelung mit § 2 Absatz 3 Satz 1 und Absatz 4 Satz 1 steht, und aufgrund des Sinn und Zwecks der Regelung in § 2 Absatz 3 Satz 2 sowohl den Daten-verarbeitungsschritt der Nutzung der gespeicherten Daten durch die beauftragte Stelle als auch die Übermittlung dieser Daten an die nach § 2 Absatz 4 Satz 1 berechtigten Perso-nen. Da der Begriff der Verwendung nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 enger gefasst ist und nicht wie bisher die Übermittlung von Daten mitumfasst, ist eine terminologische Anpassung des § 2 Absatz 3 Satz 2 erforderlich. Durch die Bei-behaltung des Begriffs der Verwendung und das Hinzufügen der Übermittlung wird daher die geltende Rechtslage beibehalten. Die Zweckbindung erstreckt sich auf die Übermitt-lung der personenbezogenen Daten bei der Erteilung der Auskünfte nach § 2 Absatz 4 Satz 1, unabhängig davon ob die Erteilung im Wege des durch dieses Gesetz eingefügten automatisierten Abrufverfahrens erfolgt (siehe auch Begründung zu Nummer 2 Buchstabe c) oder auf andere Weise.
Zu Doppelbuchstabe bb
Zu Dreifachbuchstabe aaa
Nach § 2 Absatz 3 Satz 3 Nummer 3 können die Aufzeichnung aller Abrufe im automati-sierten Verfahren nach § 10 BDSG a. F. sowie der sonstige Auskünfte in der Verordnung über das Organ- und Gewebespenderegister nach § 2 Absatz 3 Satz 1 geregelt werden. Die Aufzeichnungspflicht der Auskünfte aus dem Register wird durch dieses Gesetz in dem neu eingefügten § 2 Absatz 4 Satz 3 gesetzlich festgelegt (siehe auch Begründung zu Nummer 2 Buchstabe b Doppelbuchstabe aa). Zudem wird das automatisierte Abruf-verfahren in dem ebenfalls durch dieses Gesetz neu eingefügten § 2 Absatz 4a gesondert geregelt (siehe auch Begründung zu Nummer 2 Buchstabe c). § 2 Absatz 3 Satz 3 Num-mer 3 ist aufgrund dieser Änderungen gegenstandslos geworden und kann daher aufge-hoben werden.
Zu Dreifachbuchstabe bbb
Die Neunummerierung ist eine Folgeänderung zu der Aufhebung der Nummer 3.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Durch den neu eingefügten § 2 Absatz 4 Satz 3 wird die bisher nach § 2 Absatz 3 Satz 1 und 3 Nummer 3 in der Verordnungsermächtigung über das Organ- und Gewebespende-register vorgesehene Aufzeichnungspflicht nunmehr gesetzlich geregelt. Auskünfte sowie deren Anlass und Zweck sind aufzuzeichnen, um die Prüfung der Zulässigkeit der Anfra-
– 70 –
gen an das Register und der Zulässigkeit der Auskünfte aus dem Register zu gewährleis-ten. Die Aufzeichnungspflicht erstreckt sich auch auf die Aufzeichnung der Abrufe im au-tomatisierten Verfahren, das nunmehr in § 2 Absatz 4a gesondert gesetzlich geregelt wird. Die Regelung entspricht der in § 10 Absatz 2 Satz 1 BDSG a. F. bisher geltenden Pflicht der beteiligten Stellen, im automatisierten Abrufverfahren die Kontrolle der Zuläs-sigkeit des Abrufverfahrens zu gewährleisten.
Zu Doppelbuchstabe bb
Durch die Änderung wird § 2 Absatz 4 Satz 4 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. Der in der bisherigen Regelung verwen-dete Begriff des Weitergebens entspricht dem nunmehr verwendeten Begriff der Übermitt-lung von personenbezogenen Daten nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe c
Das automatisierte Abrufverfahren, das bisher durch einen Verweis auf § 10 BDSG a. F. in der Verordnungsermächtigung in § 2 Absatz 3 Satz 1 und 3 Nummer 3 vorgesehen war, wird durch den neu eingefügten § 2 Absatz 4a nunmehr direkt im Transplantations-gesetz geregelt. Eine Regelung des automatisierten Abrufverfahrens ist erforderlich, da das BDSG keine Regelung zur Einrichtung automatisierter Verfahren mehr entsprechend den früheren Vorgaben des § 10 BDSG a. F. enthält.
Die in § 2 Absatz 4a festgelegten Anforderungen an das automatisierte Verfahren ent-sprechen weitgehend den Vorgaben des § 10 BDSG a. F. Satz 1 regelt die Zulässigkeit des Abrufs im automatisierten Verfahren. Satz 2 stellt klar, dass die nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 erforderlichen technischen und organisatori-schen Maßnahmen auch im automatisierten Abrufverfahren zu treffen sind. Diese Vorga-be entspricht der bisherigen Regelung in § 10 Absatz 2 Satz 2 Nummer 4 BDSG a. F., der die Festlegung der erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Ausführung der gesetzlichen Anforderungen an den Datenschutz vor-sah. Satz 3 regelt die Verantwortlichkeit für die Zulässigkeit des einzelnen Abrufs und entspricht den Anforderungen des § 10 Absatz 4 Satz 1 BDSG a. F. Danach trägt der Drit-te, an den übermittelt wird, ‒ hier der Erklärende oder der von einem Krankenhaus dem Organ- und Gewebespenderegister als auskunftsberechtigt benannte Arzt ‒ die Verant-wortung für die Zulässigkeit des einzelnen Abrufs. Satz 4 regelt die Pflicht zur Überprü-fung der Zulässigkeit der Abrufe im automatisierten Verfahren. Entsprechend der bisheri-gen Regelung in § 10 Absatz 4 Satz 2 und 3 BDSG a. F. ist die Zulässigkeit der Abrufe durch geeignete Stichprobenverfahren und im Übrigen nur zu überprüfen, wenn dazu An-lass besteht. Zuständig für die Überprüfung ist die Stelle, die durch die Verordnung nach § 2 Absatz 3 mit der Führung eines Organ- und Gewebespenderegisters beauftragt wird.
Zu Nummer 3
Zu Buchstabe a
Durch die Änderung wird die Überschrift zu § 7 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. Die Begriffe „Datenerhebung und -verwendung“ werden durch den Begriff „Datenverarbeitung“ ersetzt. Der Begriff der Ver-arbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da die Überschrift bereits die Erhebung und die Verwendung und damit auch die Erhebung, Verarbeitung und Nut-zung der Daten nach der bisher geltenden datenschutzrechtlichen Terminologie vorsah.
– 71 –
Zu Buchstabe b
Zu Doppelbuchstabe aa
Durch die Änderungen wird § 7 Absatz 1 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. § 7 Absatz 1 regelt die Erhebung und Verwen-dung von personenbezogenen Daten für die näher genannten gesetzlichen Zwecke. Durch das Ersetzen der Wörter „Erhebung und Verwendung“ durch das Wort „Verarbei-tung“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Rege-lungsgehalt des § 7 Absatz 1 unverändert. Der Begriff der Verarbeitung im Sinne des Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. le-gal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bis-herige Begriff des Verarbeitens nach dem BDSG a. F. Die Verwendung des weiten Verar-beitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeu-tet keine inhaltliche Änderung, da die Regelung bereits die Erhebung und die Verwendung und damit auch die Erhebung, Verarbeitung und Nutzung der Daten nach der bisher gel-tenden datenschutzrechtlichen Terminologie vorsah. Die Verarbeitung der personenbezo-genen Daten ist weiterhin nur zulässig, soweit sie zu den ausdrücklich in der Vorschrift genannten Zwecken erforderlich ist. Da der nunmehr verwendete weite Begriff der Verar-beitung auch die Übermittlung mitumfasst, kann auch die bisher vorgesehene Regelung zur Übermittlung insoweit gestrichen werden, als zusätzlich noch einmal ausgeführt wird, dass auch die Übermittlung nur zulässig ist, wenn sie zu den abschließend aufgezählten Zwecken erforderlich ist. Inhaltliche Änderungen ergeben sich hierdurch nicht. Die bishe-rigen weiteren Voraussetzungen für die Übermittlung werden in einem neuen Satz 2 ge-sondert festgelegt.
Zu Doppelbuchstabe bb
Durch den angefügten § 7 Absatz 1 Satz 2 wird die bisher in § 7 Absatz 1 geregelte Ein-schränkung, dass die personenbezogener Daten eines möglichen Organ- oder Gewe-bespenders nur an die nach § 7 Absatz 3 Satz 1 auskunftsberechtigten Personen übermit-telt werden darf, gesondert festgelegt. Eine Übermittlung der genannten Daten ist dem-nach nach § 7 Absatz 1 Satz 1 und 2 nur zulässig, wenn sie zu den abschließend in Satz 1 aufgezählten Zwecken erforderlich ist und an eine nach § 7 Absatz 3 Satz 1 aus-kunftsberechtigten Person erfolgt.
Zu Buchstabe c
Die Ergänzung des Verweises auf § 2 ist eine Folgeänderung zu der in § 2 Absatz 4a ge-setzlich geregelte Auskunftserteilung im automatisierten Abrufverfahren. Zur Auskunft nach § 7 Absatz 2 Satz 1 Nummer 2 verpflichtet sind Ärzte, die über den möglichen Or-gan- und Gewebespender aus dem Organ- und Gewebespenderegister eine Auskunft erhalten haben, unabhängig davon ob sie diese im Wege des durch dieses Gesetz einge-fügten automatisierten Abruffverfahrens oder auf andere Weise erhalten haben.
Zu Nummer 4
§ 8 Absatz 2 Satz 1 regelt die Aufklärung des Organlebendspenders. Die Aufklärung um-fasst nach § 8 Absatz 2 Satz 1 Nummer 6 auch die datenschutzrechtliche Aufklärung über die Erhebung und Verwendung personenbezogener Daten. Die Beibehaltung einer ge-sonderten datenschutzrechtlichen Aufklärung ist trotz der unmittelbaren Geltung der Auf-klärungspflichten nach der Verordnung (EU) 2016/679 geboten, da die Aufklärung des Lebendorganspenders durch einen Arzt umfassend in § 8 Absatz 2 geregelt ist. Die da-tenschutzrechtliche Aufklärungspflicht im Rahmen der ärztlichen Aufklärungspflicht zur Lebendorganspende zu streichen, wäre nicht sachgerecht.
– 72 –
Durch die Änderung wird § 8 Absatz 2 Satz 1 Nummer 6 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Durch das Ersetzen der Wörter „Erhebung und Verwendung“ durch das Wort „Verarbeitung“ im Sinne der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 8 Absatz 2 Satz 1 Nummer 6 unverän-dert. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verar-beiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da die Regelung bereits die Erhebung und die Verwendung und damit auch die Erhebung, Ver-arbeitung und Nutzung der Daten nach der bisher geltenden datenschutzrechtlichen Ter-minologie vorgesehen hat.
Zu Nummer 5
Zu Buchstabe a
Durch die Änderungen wird § 13 Absatz 2 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Bei § 13 Absatz 2 handelt es sich um eine Ausnahmevorschrift zu dem in § 13 Absatz 1 formulierten Grundsatz der verschlüsselten Übermittlung der Spenderdaten. Sie regelt dem Grunde nach die Zulässigkeit der Zu-sammenführung verschlüsselter Daten durch die Koordinierungsstelle nach § 11, nämlich der in den Begleitpapieren bereits erhobenen und dokumentierten Daten einschließlich der nach § 13 Absatz 1 Satz 1 gebildeten Kenn-Nummer mit den getrennt davon gespei-cherten personenbezogenen Daten des Organspenders, soweit dies zur Abwehr einer zu befürchteten gesundheitlichen Gefährdung der Organempfänger erforderlich ist. Durch das Ersetzen des Wortes „verwenden“ durch das Wort „verarbeiten“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 13 Ab-satz 2 unverändert. § 13 Absatz 2 ist als Ausnahmeregelung weiterhin eng auszulegen und berechtigt nur zu einer Zusammenführung und weiteren gemeinsamen Verarbeitung der in den Begleitpapieren bereits erhobenen Daten mit den ebenfalls bereits erhobenen personenbezogenen Daten des Organspenders. Sie dient nicht als Ermächtigungsgrund-lage für die Erhebung weiterer Daten oder die Untersuchung und Bewertung einer be-fürchteten gesundheitlichen Gefährdung der Organempfänger. Auch eine Anpassung oder Veränderung der Angaben in den Begleitpapieren oder der personenbezogenen Daten des Organspenders ebenso wie der Abgleich oder die Verknüpfung dieser Angaben und Daten mit anderen Daten können nicht auf § 13 Absatz 2 als Ermächtigungsgrundlage gestützt werden. Die Zulässigkeit dieser Datenverarbeitungsschritte (die Erhebung weite-rer Daten, die Untersuchung und Bewertung schwerwiegender Zwischenfälle oder schwerwiegender unerwünschter Reaktionen, die eine gesundheitliche Gefährdung der Organempfänger befürchten lassen, der Abgleich der Daten mit weiteren Daten, die Ver-knüpfung der Daten sowie die Anpassung und die Änderung der Daten) richtet sich wei-terhin nach den §§ 7 und 10a Absatz 1 und 2, nach § 11 Absatz 4 Satz 3 sowie nach der TPG-Verordnung über Qualität und Sicherheit von Organen.
Auch durch das Ersetzen des Wortes „weitergegeben“ durch das Wort „übermitteln“ bleibt der Regelungsgehalt des § 13 Absatz 2 unverändert. Durch die Änderung wird der Begriff „weitergegeben“ an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der in der bisherigen Regelung verwendete Begriff des Weiterge-bens entspricht dem nunmehr verwendeten Begriff der Übermittlung von personenbezo-genen Daten nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe b
§ 13 Absatz 3 Satz 4, der regelt, dass die Patienten vor der Einwilligung über die Stellen zu unterrichten sind, an die ihre personenbezogene Daten übermittelt werden, wird auf-gehoben, da die Informationspflicht bei der Erhebung von personenbezogenen Daten bei
– 73 –
der betroffenen Person in Artikel 13 der Verordnung (EU) 2016/679 abschließend festge-legt ist. Nach Artikel 13 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 sind die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten der betroffe-nen Person mitzuteilen.
Zu Nummer 6
Zu Buchstabe a
Zu Doppelbuchstabe aa
Die Änderung des § 14 Absatz 1 Satz 1 ist eine Folgeänderung zur Neufassung des BDSG durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU und entspricht dem bisherigen Verweis auf § 38 BDSG a. F.
Nach § 38 Absatz 1 Satz 1 BDSG a. F. kontrollierte die Aufsichtsbehörde die Ausführung des BDSG sowie andere Vorschriften über den Datenschutz, soweit diese die automati-sierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung per-sonenbezogener Daten in oder aus nicht automatisierten Dateien regeln. Durch § 14 Ab-satz 1 Satz 1 wird die datenschutzrechtliche Aufsicht über den § 38 Absatz 1 Satz 1 BDSG a. F. hinaus auf die Ausführung der Vorschriften über den Datenschutz erstreckt, die nicht die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln. Hierdurch soll eine Kontrolle der Einhaltung der Datenschutzvorschriften bei den in § 14 Absatz 1 Satz 1 genannten Stellen auch dann ermöglicht werden, wenn die Datenverar-beitung nicht dateimäßig, sondern in Akten erfolgt (BT-Drs. 13/8017, S. 43).
Entsprechend dem § 38 Absatz 1 Satz 1 BDSG a. F. gilt die Verordnung (EU) 2016/679 nach Artikel 2 Absatz 1 nur für die ganz oder teilweise automatisierte Verarbeitung perso-nenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Durch die Änderung des § 14 Absatz 1 Satz 1 wird die datenschutzrechtliche Aufsicht durch die zuständigen Landesbehörden entsprechend der bisherigen Regelung auch in den Fällen ermöglicht, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 nach Ar-tikel 2 Absatz 1 fallen. Durch die Änderung gilt die datenschutzrechtliche Aufsicht nach § 14 Absatz 1 Satz 1 daher weiterhin für alle Datenverarbeitungsschritte, die von den in § 14 Absatz 1 Satz 1 genannten Stellen vorgenommen werden.
Zu Doppelbuchstabe bb
Durch die Änderungen wird § 14 Absatz 1 Satz 2 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst und es wird die Neuregelung des Abrufs im automatisierten Verfahrens beim Organ- und Gewebespenderegister durch § 2 Absatz 4a berücksichtigt.
§ 14 Absatz 1 Satz 2 legt fest, dass die in § 14 Absatz 1 Satz 1 geregelte datenschutz-rechtliche Aufsicht der zuständigen Landesbehörden auch für die Verwendung personen-bezogener Daten durch Personen gilt ‒ mit Ausnahme des Erklärenden ‒, an die eine Auskunft aus dem Organ- und Gewebespenderegister nach § 2 Absatz 4 erteilt oder an die eine Auskunft weitergeben worden ist.
Durch das Ersetzen des Wortes „verwenden“ durch das Wort „verarbeiten“ im Sinne des Artikels 4 Nummer 2 Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 14 Ab-satz 1 Satz 2 unverändert, da es sich zum einen bei § 14 Absatz 1 Satz 2 um keine Er-mächtigungsnorm zur Datenerhebung handelt und zum anderen gesetzlich in anderen Vorschriften abschließend geregelt ist, welche einzelnen Datenverarbeitungsschritte die genannten Personen mit den ihnen aus dem Organ- und Gewebespenderegister übermit-
– 74 –
telten oder an sie weitergebenen Daten vornehmen dürfen. Diese Datenverarbeitungs-schritte gehen aber über den engen Begriff der Verwendung nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 hinaus, so dass es insofern einer Änderung bedarf. So sind die von den Krankenhäusern dem Register als auskunftsberechtigt benannten Ärzte aus-schließlich dazu berechtigt, die Daten an ganz bestimmte Personen zu übermitteln. Die Person, an die die Auskunft weitergeben worden ist, ist neben den Personen, die nach § 3 Absatz 3 Satz 1 über die beabsichtigte oder nach § 4 über eine in Frage kommende Or-gan- oder Gewebeentnahme zu unterrichten sind, der Arzt, der die Organ- oder Gewebe-entnahme vornimmt oder unter dessen Verantwortung die Gewebeentnahme vorgenom-men werden soll. Dieser ist ausschließlich dazu berechtigt, die Einzelheiten der Organ- oder Gewebeentnahme auf der Grundlage des § 3 Absatz 3 Satz 2 aufzuzeichnen und den nächsten Angehörigen das Recht auf Einsicht in die Aufzeichnungen auf der Grund-lage des § 3 Absatz 3 Satz 3 zu gewähren. Die Entnahmekrankenhäuser sind nach § 11 Absatz 4 Satz 4 ausschließlich berechtigt, die für die Durchführung der Organentnahme und -vermittlung erforderliche personenbezogene Daten an die Koordinierungsstelle zu übermitteln.
Mit der Ergänzung des Verweises auf § 2 wird die Rechtsgrundlage für die Erteilung der Auskunft aus dem Organ- und Gewebespenderegister klargestellt. Dabei wird auch die Auskunftserteilung im automatisierten Abrufverfahren berücksichtigt, das neu in § 2 Ab-satz 4a geregelt wird.
Durch den neu eingefügten Verweis auf § 2 Absatz 4 Satz 4 wird klargestellt, dass die Ermächtigungsgrundlage für die Weitergabe der aus dem Organ- und Gewebespendere-gister übermittelten Auskunft § 2 Absatz 4 Satz 4 ist. Durch die Ersetzung des Wortes „weitergeben“ durch das Wort „übermittelt“ wird zugleich der Begriff „weitergeben“ an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der in der bisherigen Regelung verwendete Begriff des Weitergebens entspricht dem nunmehr verwendeten Begriff der Übermittlung der personenbezogenen Daten nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Mit den in § 14 Absatz 2 Satz 1 vorgenommenen Änderungen wird die Regelung an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst und es wird die Neuregelung des Abrufs im automatisierten Verfahren beim Organ- und Gewe-bespenderegister in § 2 Absatz 4a berücksichtigt. § 14 Absatz 2 Satz 1 regelt das Offen-barungsverbot, wonach es denjenigen, die nach den Vorschriften des TPG personenbe-zogene Daten der Spender oder der Empfänger erheben, verarbeiten und nutzen, verbo-ten ist, diese Daten zu offenbaren.
Der in der bisherigen Regelung verwendete Begriff der Weitergabe der Auskunft aus dem Organ- und Gewebespenderegister entspricht dem nunmehr verwendeten Begriff der Übermittelung der personenbezogenen Daten nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Eine inhaltliche Änderung erfolgt nicht.
Auch durch das Ersetzen der Wörter „erheben, verarbeiten oder nutzen“ durch das Wort „verarbeiten“ im Sinne der Verordnung (EU) 2016/679 bleibt der Regelungsinhalt des § 14 Absatz 2 Satz 1 unverändert. Der Begriff der Verarbeitung im Sinne des Artikel 4 Num-mer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definier-ten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Be-griff des Verarbeitens nach dem BDSG a. F. Da die Regelung bereits auf die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten abgestellt hat, kann der weite Verarbeitungsbegriff im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 verwendet werden.
– 75 –
Die Ergänzung des Verweises auf die Auskunftserteilung aus dem Organ- und Gewe-bespenderegister nach § 2 Absatz 4 um die in § 2 Absatz 4a neu geregelte Auskunftser-teilung im automatisierten Abrufverfahren stellt eine Folgeänderung zu § 2 Absatz 4a dar.
Zu Doppelbuchstabe bb
Durch die Änderungen wird § 14 Absatz 2 Satz 3 und 4 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. § 14 Absatz 2 Satz 3 und 4 legt ein Zweckbindungsgebot für die Verwendung der im Rahmen des TPG erhobenen personen-bezogenen Daten fest, wonach diese Daten für andere als im TPG genannten Zwecke nicht verwendet werden dürfen. Durch das jeweilige Ersetzen des Wortes „verwendet“ durch das Wort „verarbeitet“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 14 Absatz 2 Satz 3 und 4 unverändert. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff der Verwendung, der die Verarbei-tung und Nutzung, nicht aber die Erhebung von personenbezogenen Daten nach § 3 BDSG a. F. erfasst. Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt jedoch nicht zu einer Erweiterung des Regelungsinhalts. Nach dem Wortlaut erstreckt sich das in § 14 Absatz 2 Satz 3 und 4 geregelte Zweckbindungs-gebot ausdrücklich auf die Weiterverarbeitung von bereits auf der Grundlage des TPG erhobenen personenbezogenen Daten.
Zu Doppelbuchstabe cc
Durch die Änderung wird § 14 Absatz 2 Satz 5 aufgehoben. Nach § 14 Absatz 2 Satz 5 haben die dort genannten Stellen technische und organisatorische Maßnahmen zu tref-fen, damit die Daten gegen unbefugtes Hinzufügen, Löschen oder Verändern geschützt sind und keine unbefugte Weitergabe erfolgt. Die Sicherheit der Verarbeitung personen-bezogener Daten durch technische und organisatorische Maßnahmen und die daraus resultierenden Verpflichtungen der Verantwortlichen sind nunmehr in den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 abschließend festgelegt.
Zu Buchstabe c
Nach § 14 Absatz 2 Satz 3 dürfen die im Rahmen des TPG erhobenen personenbezoge-nen Daten für andere als im TPG genannte Zwecke nicht verwendet ‒ jetzt verarbeitet ‒ werden. Wegen dieses im TPG geregelten Verwendungsverbots wurde § 14 Absatz 2a durch das Gesetz zur Änderung des Transplantationsgesetzes vom 21. Juli 2012 (BGBl. I S. 1601) ins TPG eingefügt. § 14 Absatz 2a regelt die Voraussetzungen für die Forschung mit transplantationsmedizinischen Daten. Sinn und Zweck dieser Regelung ist es, trans-plantationsmedizinische Daten der Forschung zugänglich zu machen, um eine wissen-schaftliche Auswertung der erhobenen Daten, die für die Weiterentwicklung der Trans-plantationsmedizin unerlässlich ist, zu ermöglichen (vgl. amtliche Begründung des Regie-rungsentwurfs, BT-Drs. 17/7376 S. 25).
Die in § 14 Absatz 2a an die Forschung mit transplantationsmedizinischen Daten gestell-ten Anforderungen entsprechen den allgemeinen datenschutzrechtlichen Anforderungen an die Verarbeitung und Nutzung von Patientendaten zu Forschungszwecken. Es befin-den sich vergleichbare Forschungsklauseln beispielsweise in den länderspezifischen Krankenhausgesetzen (z. B. § 12 des Hamburgischen Krankenhausgesetzes, § 37 des Landeskrankenhausgesetzes Rheinland-Pfalz) oder in den Landesdatenschutzgesetzen (z. B. § 6 des Gesetzes zum Schutz personenbezogener Daten im Gesundheitswesen Nordrhein-Westfalen, §§ 13 und 25 des Niedersächsischen Datenschutzgesetzes (NDSG)). § 14 Absatz 2a stimmt mit den in § 40 BDSG a. F. verankerten Grundsätzen, der die Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrich-tungen regelte, überein und entspricht auch der Regelung der Datenverarbeitung zu wis-
– 76 –
senschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken nach § 27 BDSG.
Die Regelung entspricht auch den Anforderungen des Artikels 9 Absatz 2 Buchstabe j und des Artikels 89 Absatz 1 der Verordnung (EU) 2016/679 im Hinblick auf die Verarbeitung von Patientendaten zu Forschungszwecken. Nach Artikel 9 Absatz 2 Buchstabe j der Ver-ordnung (EU) 2016/679 ist die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke auf der Grundlage des Rechts eines Mitgliedstaats zulässig, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, sofern die Verarbeitung für wissenschaftliche Forschungszwecke erforderlich ist. In § 14 Absatz 2a Satz 1 wird der Personenkreis genannt, der für eigene wissenschaftliche Forschungsvorhaben im Rah-men der Transplantationsmedizin personenbezogene Daten verwenden darf (sog. Eigen-forschung). Die Übermittlung der Daten an Dritte und die Verarbeitung der übermittelten Daten durch die Dritten sind nur zulässig, wenn die datenschutzrechtlichen Vorausset-zungen nach § 14 Absatz 2a Satz 2 erfüllt werden (vgl. amtliche Begründung des Regie-rungsentwurfs, BT-Drs. 17/7376 S. 25): Die Daten sind entweder zu anonymisieren (§ 14 Absatz 2a Satz 2 Nummer 1) oder es ist die Einwilligung der betroffenen Person einzuho-len (§ 14 Absatz 2a Satz 2 Nummer 2). Wenn der Forschungszweck einer Anonymisie-rung entgegensteht und eine Einwilligung nicht mit verhältnismäßigem Aufwand eingeholt werden kann, dürfen die Daten an Dritte nur übermittelt und von diesen verwendet wer-den, wenn der Forschungszweck nicht auf andere Weise zu erreichen ist und das öffentli-che Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Inte-ressen der betroffenen Personen überwiegt (§ 14 Absatz 2a Satz 2 Nummer 3). Nach Artikel 89 Absatz 1 der Verordnung (EU) 2016/679 unterliegt die Verarbeitung zu For-schungszwecken unmittelbar den geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der Verordnung (EU) 2016/679. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt. § 14 Absatz 2a Satz 3 legt entsprechend diesen Vorgaben bereits nach der geltenden Rechtslage sowohl für die sog. Eigenforschung als auch für die Forschung durch Dritte fest, dass die personenbezogenen Daten, soweit dies nach dem Forschungszweck mög-lich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert, zu anonymisieren oder, solange eine Anonymisierung noch nicht mög-lich ist, zu pseudonymisieren sind.
Zu Doppelbuchstabe aa
Durch die Neufassung wird § 14 Absatz 2a Satz 1 präzisiert und an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. § 14 Absatz 2a Satz 1 regelt die Voraussetzungen, unter denen Ärzte und anderes wissenschaftliches Personal personenbezogene Daten der Spender oder Empfänger einer Organ- oder Gewebespen-de für eigene wissenschaftliche Forschungsvorhaben verwenden ‒ jetzt verarbeiten ‒ dürfen.
Durch das Ersetzen des Wortes „verwenden“ durch das Wort „verarbeiten“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 14 Absatz 2a Satz 1 unverändert. Der Begriff der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definier-ten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Be-griff der Verwendung, der die Verarbeitung und Nutzung, nicht aber die Erhebung nach § 3 BDSG a. F. erfasst. Die Verwendung des nach der Verordnung (EU) 2016/679 weiten
– 77 –
Verarbeitungsbegriffs führt jedoch nicht zu einer Erweiterung des Regelungsinhalts. Zu-lässig ist weiterhin nur die Verarbeitung von personenbezogenen Daten, die von der je-weiligen Institution im Rahmen der Organ- und Spendercharakterisierung oder im Rah-men der Organ- oder Gewebeübertragung bereits erhoben oder an diese bereits übermit-telt worden sind. Die Ergänzung des geltenden Wortlauts um die Alternative, dass Ärzte und anderes wissenschaftliches Personal des Entnahmekrankenhauses, des Transplanta-tionszentrums, der Koordinierungsstelle nach § 11 und der Vermittlungsstelle nach § 12 die Daten zu eigenen Forschungszwecken auch dann verarbeiten dürfen, wenn sie die Daten im Rahmen der Organ- und Spendercharakterisierung oder im Rahmen der Organ- oder Gewebeübertragung nicht selbst beim Organ- oder Gewebespender bzw. beim Or-gan- oder Gewebeempfänger erhoben haben, sondern auch dann, wenn die Daten im Rahmen der Organ- und Spendercharakterisierung oder im Rahmen der Organ- oder Gewebeübertragung an sie übermittelt worden sind, ist notwendig, um den bisherigen Regelungsinhalt des § 14 Absatz 2a Satz 1 zu erhalten. Nach dem bisherigen Wortlaut des § 14 Absatz 2a Satz 1 wurde nicht darauf abgestellt, durch wen die Daten im Rahmen der Organ- und Spendercharakterisierung oder im Rahmen der Organ- oder Gewebeüber-tragung erhoben wurden. Da der datenschutzrechtliche Begriff der Erhebung auch die Erhebung übermittelter Daten umfasst, waren auch solche Daten umfasst, die im Rahmen der Organ- und Spendercharakterisierung oder im Rahmen der Organ- oder Gewebeüber-tragung von einer anderen der in § 14 Absatz 2a Satz 1 genannten Institutionen erhoben und an eine andere Institution übermittelt wurden. So übermittelt z. B. im Rahmen der Organ- und Spendercharakterisierung nach § 10a in Verbindung mit §§ 2 und 3 der TPG- Verordnung über Qualität und Sicherheit von Organen die Koordinierungsstelle auf der Grundlage des § 5 Absatz 1 der Verordnung über Qualität und Sicherheit von Organen Daten an die Vermittlungsstelle oder an die Transplantationszentren. Aufgrund der Erset-zung des Wortes „verwenden“ durch das Wort „verarbeiten“ musste jedoch klargestellt werden, dass die Daten von dem jeweiligen Entnahmekrankenhaus, dem jeweiligen Transplantationszentrum oder der jeweiligen Stelle nach § 11 oder § 12 (selbst) erhoben worden sind. Um die bisher enthaltene Alternative der Erhebung durch Übermittlung dadurch nicht unbeabsichtigt auszuschließen, wurden die Wörter „oder an diese übermit-telt worden sind“ ergänzt. Eine Erhebung weiterer Daten, beispielsweise durch einen Aus-tausch zwischen den jeweiligen Institutionen, der im Rahmen der Organ- und Spender-charakterisierung oder im Rahmen der Organ- oder Gewebeübertragung nach den Vor-schriften des Transplantationsgesetzes nicht vorgesehen ist, ist aufgrund des eindeutigen Wortlauts jedoch nicht zulässig.
Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt auch nicht zu einer Erweiterung der mit dem Begriff der Verwendung in § 14 Ab-satz 2a Satz 1 bisher erfassten Datenverarbeitungsschritte. Der bisherige Verwendungs-begriff im Rahmen der sog. Eigenforschung nach § 14 Absatz 2a Satz 1 erfasst die Ver-arbeitung und Nutzung nach § 3 Absatz 4 und 5 BDSG a. F. Verwenden ist der Oberbe-griff. Er erfasst die Verarbeitung (Speichern, Verändern, Übermitteln, Sperren und Lö-schen) personenbezogener Daten und deren Nutzung. Die einzelnen von der Regelung des § 14 Absatz 2a erfassten Datenverarbeitungsschritte umfassen das Speichern der Daten für die eigenen wissenschaftlichen Forschungsvorhaben, die inhaltliche Umgestal-tung der gespeicherten Daten durch die Zusammenführung verschiedener medizinischer Werte und deren Auswertung bis hin zur Veröffentlichung der Forschungsergebnisse. Nach § 14 Absatz 2a Satz 3 gilt der Grundsatz, dass die personenbezogenen Daten zu anonymisieren sind, soweit dies nach dem Forschungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzweck unverhältnismäßigen Aufwand erfordert.
Durch die Änderung des § 14 Absatz 2a Satz 1 ist weiterhin gewährleistet, dass die dort genannten Institutionen die von ihnen erhobenen und an sie im Rahmen ihrer Zuständig-keit nach dem TPG übermittelten Daten für eigene Forschungszwecke verarbeiten dürfen. Eine weitergehende Forschung mit transplantationsmedizinischen Daten ist darüber hin-
– 78 –
aus nur unter den Voraussetzungen des § 14 Absatz 2a Satz 2 und 3 sowie nach § 15g zulässig.
Zu Doppelbuchstabe bb
Durch die Änderung wird § 14 Absatz 2a Satz 2 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. § 14 Absatz 2a Satz 2 regelt die Vo-raussetzung für die Übermittlung von personenbezogenen Daten an Dritte für ein be-stimmtes Forschungsvorhaben.
Durch das Ersetzen des Wortes „verwendet“ durch das Wort „verarbeitet“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 14 Absatz 2a Satz 1 unverändert. Der Begriff der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definier-ten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Be-griff der Verwendung, der das Verarbeiten und Nutzen, nicht aber das Erheben nach § 3 BDSG a. F. erfasst. Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt jedoch nicht zu einer Erweiterung des Regelungsinhalts. Nach dem eindeutigen Wortlaut der Regelung dürfen Dritte weiterhin nur die an sie für ein be-stimmtes Forschungsvorhaben übermittelten Daten verarbeiten. Die Erhebung von Daten nach § 14 Absatz 2a Satz 2 beschränkt sich insofern allein auf die Erhebung der an die Dritten zu dem bestimmten Forschungsvorhaben übermittelten Daten. Zu einer Erhebung von anderen Daten als den zu dem bestimmten Forschungsvorhaben übermittelten Daten sind Dritte auf der Grundlage von § 14 Absatz 2a weiterhin nicht berechtigt.
Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt auch nicht zu einer Erweiterung der mit dem Begriff der Verwendung in § 14 Ab-satz 2a Satz 2 bisher erfassten Datenverarbeitungsschritte. Der bisherige Verwendungs-begriff im Rahmen der Forschung durch Dritte nach § 14 Absatz 2a Satz 2 erfasst die Datenverarbeitungsschritte der Verarbeitung und der Nutzung nach § 3 Absatz 4 und 5 BDSG a. F. Verwenden ist der Oberbegriff. Er erfasst die Verarbeitung (Speichern, Ver-ändern, Übermitteln, Sperren und Löschen) personenbezogener Daten und deren Nut-zung. Die Übermittlung der Daten ist an ein bestimmtes Forschungsvorhaben gebunden. Die einzelnen von der Regelung des § 14 Absatz 2a erfassten Datenverarbeitungsschritte umfassen wie bei § 14 Absatz 2a Satz 1 das Speichern der Daten für das bestimmte For-schungsvorhaben, die inhaltliche Umgestaltung der gespeicherten Daten durch die Zu-sammenführung verschiedener medizinischer Werte und deren Auswertung bis hin zur Veröffentlichung der Forschungsergebnisse. Nach § 14 Absatz 2a Satz 3 gilt auch hier der Grundsatz, dass die personenbezogenen Daten zu anonymisieren sind, soweit dies nach dem Forschungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzweck unverhältnismäßigen Aufwand erfordert.
Zu Nummer 7
Durch die Streichung des Wortes „mindestens“ wird die Aufbewahrungsfrist nach § 15 Absatz 1 und 2 auf 30 Jahre festgelegt. Eine darüberhinausgehende längere Aufbewah-rungszeit, wie bisher in der Regelung vorgesehen, ist aufgrund des in Artikel 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 verankerten Grundsatzes der Speicherbe-grenzung von Daten unzulässig.
– 79 –
Zu Nummer 8
Zu Buchstabe a
Zu Doppelbuchstabe aa
Durch die Änderung wird § 15b Absatz 4 Satz 1 Nummer 2 an die Terminologie des Arti-kels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. In § 15b Absatz 4 Satz 1 wird u. a. geregelt, welchen Inhalt die Verträge mit der Transplantationsregisterstelle ha-ben müssen. § 15b Absatz 4 Satz 1 Nummer 2 knüpft an die in § 15b Absatz 2 Satz 2 Nummer 1 bis 3 festgelegten Aufgaben der Transplantationsregisterstelle an und ermäch-tigt die Vertragspartner, die Anforderungen an die Aufgabenerfüllung in dem Vertrag zu konkretisieren. Durch den Verweis auf § 15b Absatz 2 Satz 2 Nummer 1 bis 3 sind die Datenverarbeitungsschritte ausreichend bestimmt, so dass der Regelungsgehalt des § 15b Absatz 4 Satz 1 Nummer 2 durch das Ersetzen der Wörter „Erhebung, Verarbeitung und Übermittlung“ durch das Wort „Verarbeitung“ im Sinne der Verordnung (EU) 2016 /679 unverändert bleibt.
Zu Doppelbuchstabe bb
Durch die Änderung des Verweises wird klargestellt, dass sich in den Verträgen mit der Transplantationsregisterstelle zu regelnden Anforderung an die technischen und organisa-torischen Maßnahmen zur Einhaltung der Anforderungen an den Datenschutz nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 richten.
Zu Buchstabe b
Die Änderung des § 15b Absatz 7 ist eine Folgeänderung zur Neufassung des BDSG durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU. In § 15b Absatz 7 Satz 1 wird der oder dem BfDI die unmittelbare datenschutzrechtliche Aufsicht über die Transplantationsregisterstelle übertragen. § 15b Absatz 7 Satz 1 entspricht damit der bis-herigen Regelung, die mit dem Verweis auf die Befugnisnormen der §§ 21 und 24 bis 26 BDSG a. F. die unmittelbare datenschutzrechtliche Aufsicht durch die oder den BfDI fest-legte. Mit der gesetzlichen Übertragung der datenschutzrechtlichen Aufsicht auf die oder den BfDI erhält die oder der BfDI nach § 16 Absatz 1 Satz 1 BDSG die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679. Die nach § 16 Absatz 1 Satz 2 bis 4 BDSG vor-gesehene Einbindung der zuständigen Rechts- und Fachaufsichtsbehörden der Länder ist für eine unmittelbare Ausübung der datenschutzrechtlichen Aufsicht durch die oder den BfDI entbehrlich. In § 15b Absatz 7 Satz 2 ist daher festlegt, dass § 16 Absatz 1 Satz 2 bis 4 BDSG keine Anwendung findet.
Zu Nummer 9
Zu Buchstabe a
Durch die Änderung wird der Begriff „Weitergabe“ an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der in der bisherigen Regelung verwendete Begriff der Weitergabe entspricht dem nunmehr verwendeten Begriff der Übermittlung der personenbezogenen Daten nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe b
Die Änderung des § 15c Absatz 6 ist eine Folgeänderung zur Neufassung des BDSG durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU. In § 15c Absatz 6 Satz 1 wird der oder dem BfDI die unmittelbare datenschutzrechtliche Aufsicht über die Vertrauensstelle übertragen. § 15c Absatz 6 Satz 1 entspricht damit der bisherigen Rege-
– 80 –
lung, die mit dem Verweis auf die Befugnisnormen der §§ 21 und 24 bis 26 BDSG a. F. die unmittelbare datenschutzrechtliche Aufsicht durch die oder den BfDI festlegte. Mit der gesetzlichen Übertragung der datenschutzrechtlichen Aufsicht auf die oder den BfDI er-hält die oder der BfDI nach § 16 Absatz 1 Satz 1 BDSG die Befugnisse nach Artikel 58 der Verordnung (EU) 2016/679.
Die nach § 16 Absatz 1 Satz 2 bis 4 BDSG vorgesehene Einbindung der zuständigen Rechts- und Fachaufsichtsbehörden der Länder ist für eine unmittelbare Ausübung der datenschutzrechtlichen Aufsicht durch die oder den BfDI entbehrlich. In § 15c Absatz 6 Satz 2 ist daher festlegt, dass § 16 Absatz 1 Satz 2 bis 4 BDSG keine Anwendung findet.
Zu Nummer 10
Zu Buchstabe a
Durch die Änderung des Verweises ‒ anstatt auf § 14 Absatz 2 Satz 5 wird jetzt auf die Artikel 24, 25 und 32 der Verordnung (EU) 2016/679 verwiesen ‒ wird klargestellt, dass sich die technischen und organisatorischen Maßnahmen zur Einhaltung der Anforderun-gen an den Datenschutz nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 richten.
Zu Buchstabe b
Durch die Änderung wird § 15f Absatz 1 Satz 7 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. § 15f Absatz 1 Satz 7 regelt die Zweck-bindung der Verarbeitung und Nutzung der von der Transplantationsregisterstelle an die in § 15f Absatz 1 Satz 1 genannten Stellen übermittelten Daten. Die bisherige Regelung legt fest, dass diese Stellen die übermittelten Daten ausschließlich für ihre jeweils in § 15f Absatz 1 Satz 1 genannten Zwecke verarbeiten und nutzen dürfen. Durch die Streichung der Wörter „und nutzen“ wird auf den weiten Verarbeitungsbegriff im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 abgestellt. Der Begriff der Verarbeitung im Sin-ne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens, der u. a. das Erheben nach § 3 BDSG a. F. nicht erfasste.
Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt jedoch nicht zu einer inhaltlichen Änderung des Regelungsinhalts des § 15f Absatz 1 Satz 7. Es sind weiterhin grundsätzlich nur die bisher mit den Begriffen der Verarbeitung und Nutzung i. S. des § 3 Absatz 4 und 5 BDSG a. F erfassten Datenverarbeitungsschritte zulässig. Nach dem eindeutigen Wortlaut der Regelung des § 15f Absatz 1 Satz 7 und deren systematischen Zusammenhang mit § 15f Absatz 1 Satz 1 wird deutlich, dass sich die Erhebung von Daten nach § 15f Absatz 1 allein auf die Erhebung der von der Trans-plantationsregisterstelle übermittelten Daten beschränkt. Zu einer Erhebung anderer nicht von der Transplantationsregisterstelle auf der Grundlage des § 15f Absatz 1 Satz 1 über-mittelten Daten sind die in § 15f Absatz 1 Satz 1 genannten Stellen auf der Grundlage von § 15f Absatz 1 nicht berechtigt.
Zu Nummer 11
Zu Buchstabe a
Zu Doppelbuchstabe aa
Nach § 14 Absatz 2 Satz 3 dürfen die im Rahmen des TPG erhobenen personenbezoge-nen Daten für andere als die im TPG genannten Zwecke nicht verwendet ‒ jetzt verarbei-tet ‒ werden. Wegen dieses im TPG geregelten Verwendungsverbots wurde § 15g durch
– 81 –
das Gesetz zur Errichtung eines Transplantationsregisters und zur Änderung weiterer Gesetze vom 11. Oktober 2016 (BGBl. I S. 2233) ins TPG eingefügt. § 15g Absatz 2 Satz 1 regelt die Voraussetzung für die Übermittlung pseudonymisierter Daten durch die Transplantationsregisterstelle an Dritte für ein bestimmtes Forschungsvorhaben. Sinn und Zweck dieser Regelung ist es, transplantationsmedizinische Daten der Forschung zu-gänglich zu machen (vgl. amtliche Begründung des Regierungsentwurfs, BT-Drs. 18/8209 S. 16). Die Voraussetzungen für die Übermittlung der pseudonymisierten Daten knüpfen dabei an die bereits in § 14 Absatz 2a festgelegten Voraussetzungen für die Verwendung von Daten zu Forschungszwecken an (vgl. Begründung zu Nummer 6 sowie BT-Drs. 18/8209 S. 36). Die in § 15g Absatz 2 an die Übermittlung von transplantationsmedizini-schen Daten durch die Transplantationsregisterstelle an Dritte zu Forschungszwecken gestellten Anforderungen entsprechen den allgemeinen datenschutzrechtlichen Anforde-rungen an die Verarbeitung und Nutzung von Patientendaten zu Forschungszwecken. Nach § 15g Absatz 2 kann die Transplantationsregisterstelle Dritten Daten in pseudony-misierter Form zur Verwendung für ein bestimmtes Forschungsvorhaben übermitteln, so-weit der Forschungszweck die Verwendung pseudonymisierter Daten erfordert und die betroffene Person ausdrücklich eingewilligt hat. Eine Einwilligung ist nicht erforderlich, wenn sie nur mit unverhältnismäßigem Aufwand eingeholt werden kann, das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Interes-sen der betroffenen Person überwiegt und der Forschungszweck nicht auf andere Weise zu erreichen ist. Die Regelung entspricht damit den Anforderungen des Artikels 9 Ab-satz 2 Buchstabe j und des Artikels 89 Absatz 1 der Verordnung (EU) 2016/679 im Hin-blick auf die Verarbeitung von Patientendaten zu Forschungszwecken und stimmt mit den in § 27 BDSG getroffenen Regelungen der Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken nach § 27 BDSG überein.
Durch die Änderung wird § 15g Absatz 2 Satz 1 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst.
Durch das Ersetzen des Wortes „Verwendung“ durch das Wort „Verarbeitung“ im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 15g Absatz 2 Satz 1 unverändert. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal de-finierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff der Verwendung, der die Verarbeitung und Nutzung, nicht aber die Erhebung nach § 3 BDSG a. F. erfasst. Eine inhaltliche Änderung erfolgt durch die Verwendung des wei-ten Verarbeitungsbegriffs jedoch nicht. Zulässig ist weiterhin nur die Verarbeitung der Da-ten, die die Transplantationsregisterstelle den Dritten für ein bestimmtes Forschungsvor-haben übermittelt. Nach dem eindeutigen Wortlaut des § 15g Absatz 2 Satz 1 beschränkt sich die Erhebung von Daten insofern allein auf die Erhebung der von der Transplantati-onsregisterstelle übermittelten Daten. Zu einer Erhebung anderer nicht von der Transplan-tationsregisterstelle auf der Grundlage des § 15g Absatz 2 Satz 1 übermittelten Daten sind die Dritten auf der Grundlage von § 15g Absatz 2 nicht berechtigt.
Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt auch nicht zu einer Erweiterung der mit dem Begriff der Verwendung in § 15g Ab-satz 2 Satz 1 bisher erfassten Datenverarbeitungsschritte. Der bisherige Verwendungs-begriff im Rahmen der Forschung durch Dritte nach § 15g Absatz 2 Satz 1 erfasst die Datenverarbeitungsschritte der Verarbeitung und der Nutzung nach § 3 Absatz 4 und 5 BDSG a. F. Verwenden ist der Oberbegriff. Er erfasst die Verarbeitung (Speichern, Ver-ändern, Übermitteln, Sperren und Löschen) personenbezogener Daten und deren Nutzen. Die Übermittlung der Daten ist an ein bestimmtes Forschungsvorhaben, dessen For-schungszweck die Verwendung pseudonymisierter Daten erfordert, gebunden. Die Über-mittlung erfolgt nur auf Antrag, über den der Spitzenverband Bund der Krankenkassen, die Bundesärztekammer und die Deutsche Krankenhausgesellschaft oder die Bundesver-bände der Krankenhausträger gemeinsam im Einvernehmen mit dem Verband der Priva-ten Krankenversicherung nach § 15g Absatz 2 Satz 3 und 4 zu entscheiden haben. Die
– 82 –
einzelnen Datenverarbeitungsschritte umfassen wie bei § 14 Absatz 2a Satz 1 und 2 das Speichern der Daten für das bestimmte Forschungsvorhaben, die inhaltliche Umgestal-tung der gespeicherten Daten durch die Zusammenführung verschiedener medizinischer Werte und deren Auswertung bis hin zur Veröffentlichung der Forschungsergebnisse. Die Daten sind nach dem in § 15g Absatz 2 Satz 5 verankerten Grundsatz zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. Eine Veröffentlichung ist, sofern die Daten nicht anonymisiert sind, nur mit ausdrücklicher Einwilligung der Betroffenen nach § 15g Absatz 2 Satz 7 zulässig.
Zu Doppelbuchstabe bb
Durch die Änderung wird § 15g Absatz 2 Satz 6 an die Terminologie des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst. Nach § 15g Absatz 2 Satz 6 dürfen die von der Transplantationsregisterstelle nach § 15g Absatz 2 Satz 1 an Dritte für ein be-stimmtes Forschungsvorhaben übermittelten Daten nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. Durch die Streichung der Wörter „oder ge-nutzt“ wird auf den weiten Verarbeitungsbegriff im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 abgestellt. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal de-finierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbeitens, der u. a. das Erheben nach § 3 BDSG a. F. nicht erfasste. Die Verwendung des nach der Verordnung (EU) 2016/679 weiten Verarbeitungsbegriffs führt jedoch nicht zu einer inhaltlichen Änderung des Regelungsgehalts des § 15g Absatz 2 Satz 6. Es sind weiterhin grundsätzlich nur die bisher mit den Begriffen der Verarbeitung und Nutzung i. S. des § 3 Absatz 4 und 5 BDSG a. F erfassten Datenverarbeitungsschritte zulässig. Nach dem eindeutigen Wortlaut der Regelung des § 15g Absatz 2 Satz 6 und deren systematischen Zusammenhang mit § 15g Absatz 2 Satz 1 wird deutlich, dass sich die Erhebung von Daten nach § 15g Absatz 1 allein auf die Erhebung der von der Trans-plantationsregisterstelle übermittelten Daten beschränkt. Zu einer Erhebung anderer nicht von der Transplantationsregisterstelle auf der Grundlage des § 15g Absatz 2 Satz 1 übermittelten Daten sind Dritte auf der Grundlage von § 15g Absatz 2 nicht berechtigt.
Zu Buchstabe b
Durch die Änderung wird § 15g Absatz 3 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. § 15g Absatz 3 regelt die Befugnis der Trans-plantationsregisterstelle, anonymisierte Daten von wissenschaftlichen Registern zu erhe-ben und zu verarbeiten sowie diesen Registern anonymisierte Daten zur Verfügung zu stellen. Durch die Streichung der Wörter „erheben und“ wird nunmehr allein auf den Be-griff der Verarbeitung abgestellt. Es handelt sich um die Verarbeitung anonymisierter Da-ten, so dass sich die datenschutzrechtliche Problematik des weiten Verarbeitungsbegriffs nicht stellt. Ungeachtet dessen führt die Verwendung des weiten Verarbeitungsbegriffs nicht zu einer inhaltlichen Änderung der Regelung. Zum einen ist die Erhebung bereits von der geltenden Regelung mit umfasst. Zum anderen entspricht es dem Sinn und Zweck der Regelung, dass auch die Nutzung der Daten bereits von § 15g Absatz 3 er-fasst ist. § 15g Absatz 3 erlaubt die Verarbeitung anonymisierter Daten von wissenschaft-lichen Registern durch die Transplantationsregisterstelle zur Förderung der Zwecke des Transplantationsregisters. Zweck des Transplantationsregisters ist neben der Erhöhung der Transparenz in der Organspende und der Transplantation auch die Datengrundlage für die transplantationsmedizinische Versorgung und Forschung zu verbessern. Dies er-fordert die interne Nutzung der anonymisierten Daten, die die Transplantationsregister-stelle von wissenschaftlichen Registern erhebt, um sie den in § 15f Absatz 1 Satz 1 ge-nannten Institutionen in geeigneter Weise übermitteln zu können.
– 83 –
Zu Nummer 12
Durch die Änderung wird § 15h Absatz 2 an die Terminologie des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Die Änderung ist zugleich eine Folgeänderung zur Änderung des § 15g Absatz 2 Satz 1 und 6 (siehe auch Begründung zu Nummer 11 Buchstabe a Doppelbuchstaben aa und bb). § 15h Absatz 2 regelt die Pflicht der Dritten, denen Daten von der Transplantationsregisterstelle übermittelt wurden, zum Löschen der Daten, sobald die Verwendung der Daten für den Forschungszweck nicht mehr erforder-lich ist, spätestens 20 Jahre nach der Übermittlung. Durch das Ersetzen des Wortes „Verwendung“ durch das Wort „Verarbeitung“ im Sinne des Artikels 4 Nummer 2 der Ver-ordnung (EU) 2016/679 bleibt der Regelungsgehalt des § 15h Absatz 2 unverändert. Der Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verar-beiten und Nutzen und ist damit weiter als der bisherige Begriff der Verwendung, der das Erheben nach § 3 BDSG a. F. nicht erfasste. Eine inhaltliche Änderung erfolgt durch die Verwendung des weiten Verarbeitungsbegriffs jedoch nicht, da nach dem eindeutigen Wortlaut des § 15h Absatz 2 auf die Weiterverarbeitung der den Dritten von der Trans-plantationsregisterstelle nach § 15g Absatz 2 für ein bestimmtes Forschungsvorhaben übermittelten Daten abgestellt wird. Hinzukommt, dass § 15h Absatz 2 keine Ermächti-gungsgrundlage für die Verarbeitung von Daten enthält. Die Ermächtigungsgrundlage für die Verarbeitung von Daten, die Dritten von der Transplantationsregisterstelle nach § 15g Absatz 2 für ein bestimmtes Forschungsvorhaben übermittelt werden, stellt § 15g Ab-satz 2 dar.
Zu Nummer 13
Zu Buchstabe a
Die Änderungen des § 19 Absatz 3 Nummer 1 sind Folgeänderungen zu den Änderungen des § 2 Absatz 4 (siehe Begründung zu Nummer 2 Buchstabe b).
Zu Buchstabe b
Die Änderungen des § 19 Absatz 3 Nummer 2 und 3 sind Folgeänderungen zur Änderung des § 13 Absatz 2 (siehe Begründung zu Nummer 5 Buchstabe a) und des § 14 Absatz 2 Satz 1 (siehe Begründung zu Nummer 6 Buchstabe b Doppelbuchstabe aa).
Zu Artikel 25 (Änderung des Anti-Doping-Gesetzes)
Zu Nummer 1
In den §§ 9 und 10 Absatz 1 Satz 1 des Anti-Doping-Gesetzes (AntiDopG) sind jeweils die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ zu ersetzen. Hier-durch werden die bisherigen nationalen Begrifflichkeiten an die in Verordnung (EU) 2016/679 verwandten Begrifflichkeiten angepasst. Die Trias „erheben, verarbeiten, nut-zen“ wird im Zuge der Verordnung (EU) 2016/679 von dem Begriff „verarbeiten“ inhaltlich erfasst.
Zu Nummer 2
In den §§ 9 und 10 Absatz 1 Satz 1 des AntiDopG sind jeweils die Wörter „erheben, ver-arbeiten und nutzen“ durch das Wort „verarbeiten“ zu ersetzen. Hierdurch werden die bis-herigen nationalen Begrifflichkeiten an die in der Verordnung (EU) 2016/679 verwandten Begrifflichkeiten angepasst. Die Trias „erheben, verarbeiten, nutzen“ wird im Zuge der Verordnung (EU) 2016/679 von dem Begriff „verarbeiten“ inhaltlich erfasst.
– 84 –
Zu Artikel 26 (Änderung des Weingesetzes)
Zu Nummer 1
Die Begriffsbestimmungen werden an die datenschutzrechtliche Nomenklatur des Unions-rechts, insbesondere des Artikels 4 der Verordnung (EU) 2016/679, angepasst. Dabei wird der Begriff „Verarbeitung“ in der Überschrift als Oberbegriff verwendet. Eine inhaltli-che Erweiterung oder Einschränkung des § 34 Weingesetz ist damit nicht verbunden.
Zu Nummer 2
Zu Buchstabe a
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst.
Zu Doppelbuchstabe bb
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst.
Zu Buchstabe c
Die Regelungen stützen sich auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Ver-ordnung (EU) 2016/679. Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 sowie an die Regeln zur sprachlichen Gleichbehandlung angepasst. Zu-dem wird die Regelung an den in § 25 Absatz 2 BDSG entwickelten Selbstverpflichtungs-ansatz angepasst. Die Datenübermittlung setzt voraus, dass sich der Empfänger gegen-über der übermittelnden Stelle verpflichtet hat, die Daten nur für den Zweck zu verwen-den, zu dessen Erfüllung sie ihm übermittelt worden sind.
Zu Artikel 27 (Änderung des Tabakerzeugnisgesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Anpassung.
Zu Nummer 2
Die Begriffsbestimmungen werden an Artikel 4 der Verordnung (EU) 2016/679 angepasst Es erfolgt dadurch keine Befugniserweiterung. Satz 2 verbietet – wie bisher – eine Über-mittlung der Daten.
Zu Artikel 28 (Änderung des Lebensmittel- und Futtermittelgesetzbuches)
Zu Nummer 1
§ 42 Absatz 3 des Lebensmittel- und Futtermittelgesetzbuches (LFGB) betrifft die Daten-übermittlung der Lebensmittelüberwachung an die Gesundheitsämter im Falle von le-bensmittelbedingten Infektionskrankheiten. § 42 Absatz 3 Satz 2 Nummer 3 Buchstabe c LFGB sieht bislang vor, dass die dort genannten personenbezogenen Daten nur dann weitergegeben werden dürfen, wenn neben den tatbestandlichen Voraussetzungen des Satzes 1 auch eine schriftliche Einwilligung des betroffenen Endverbrauchers vorliegt.
– 85 –
Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben a und e der Verordnung (EU) 2016/679 legt dagegen fest, dass eine Verarbeitung personenbezogener Daten zulässig ist, wenn ent-weder eine (formlose) Einwilligung der betroffenen Person vorliegt oder die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Da die nach dem LFGB sowie dem Infektionsschutzgesetz zuständigen Behörden im Fal-le eines lebensmittelbedingten Krankheitsausbruchs in Ausübung öffentlicher Gewalt und zum Zwecke der Abwehr einer Gefahr für die menschliche Gesundheit oder das mensch-liche Leben handeln, bedarf es nach der Verordnung (EU) 2016/679 keiner zusätzlichen Einwilligung mehr. Die entsprechende Passage ist daher zu streichen.
Zu Nummer 2
Die Verordnung (EU) 2016/679, deren Ziel der freie Datenverkehr ist, unterscheidet nicht zwischen automatisierter und nichtautomatisierter Verarbeitung von Daten. Vielmehr um-fasst der Begriff „Verarbeitung“ nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede sol-che Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Das Ersetzen des Absatzes 4 Satz 2 folgt aus dem Umstand, dass das BDSG selbst die Voraussetzungen für den Abruf personenbezogener Daten im automatisierten Verfahren mit Wirkung zum 25. Mai 2018 nicht mehr vorsieht. Die entsprechenden Regelungen zum automatisierten Abrufverfahren werden daher entsprechend zu § 10 Absätze 2 und 4 BDSG a. F. im LFGB nachgebildet. Das eingefügte automatisierte Abrufverfahren stellt eine bereichs-spezifische Regelung der Datenverarbeitung im Sinne des Artikels 6 Absatz 1 Unterab-satz 1 Buchstabe e in Verbindung mit Absatz 2 und Absatz 3 der Verordnung (EU) 2016/679 dar.
Zu Artikel 29 (Änderung des Krankenhausfinanzierungsgesetzes)
Zu Nummer 1
Die Streichung der Regelung zum Widerruf der Einwilligung erfolgt, da sich das Widerrufs-recht unmittelbar aus Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 ergibt. Durch die Streichung ergeben sich keine Einschränkungen der Rechte der betroffenen Person. Die-se kann ihre Einwilligung weiterhin jederzeit widerrufen. Auf die Anordnung der Schrift-form zur Erteilung der Einwilligung kann verzichtet werden. Der Versicherte muss in die-sem Fall nicht vor einer unbedachten Erklärung besonders gewarnt werden, da die Da-tenübermittlung, in die er mit Abgabe der Erklärung einwilligt, der Durchführung der Direk-tabrechnung zwischen dem Krankenhaus und dem privaten Krankenversicherungsunter-nehmen dient.
Zu Nummer 2
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff des Verarbeitens die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verwendens nach dem BDSG a. F., der den Oberbegriff für Verarbeiten und Nutzen bildete und damit alle Formen des Datenumgangs mit Aus-nahme des Erhebens erfasste. Die Verwendung des weiten Begriffs des Verarbeitens im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 28 Absatz 4 ergibt, dass es sich nur um die Verarbeitung von an das Statistische Bundesamt übermittelten Daten handelt. Die Daten werden dem Statistischen Bundesamt von der Datenstelle nach § 21 Absatz 3 Satz 1 Nummer 4 des Krankenhausentgeltgeset-zes übermittelt. Nur auf diese Daten bezieht sich im Sinne der sogenannten Doppeltür-
– 86 –
theorie die Erhebungsbefugnis. Weitergehende Erhebungsbefugnisse werden durch die Verwendung des weiten Begriffs der Verarbeitung nicht geschaffen.
Zu Artikel 30 (Änderung des Infektionsschutzgesetzes)
Zu Nummer 1
Es handelt sich um eine Folgeänderung zu Nummer 2.
Zu Nummer 2
Die bisherige Regelung zur Datenlöschung in § 1a kann entfallen. Die allgemeine Pflicht des Verantwortlichen zur Löschung nicht länger benötigter Daten folgt nunmehr unmittel-bar aus Artikel 5 Absatz 1 Buchstabe e und Artikel 17 Absatz 1 Buchstabe a der Verord-nung (EU) 2016/679.
Zu Nummer 3
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext ergibt, dass es sich nur um die Verarbeitung von an das Robert Koch-Institut (RKI) bereits über-mittelten Daten handelt. Die Daten werden dem RKI durch die Meldepflichtigen nach § 10 Absatz 2 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltenen Erhebungsbefugnis bezieht sich nur auf die Daten, die dem RKI durch die Meldepflichtigen nach § 10 Absatz 2 übermittelt werden. Weitergehende Erhebungsbefugnisse werden durch die Verwendung des weiten Begriffs der Verarbeitung nicht geschaffen.
Zu Nummer 4
Die Regelung wurde aus sprachlichen Gründen umformuliert. Inhaltliche Änderungen er-geben sich hierdurch nicht.
Zu Nummer 5
Zu Buchstabe a
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da es sich bei § 14 Absatz 2 um keine eigen-ständige Ermächtigungsgrundlage zur Erhebung oder zur Verarbeitung von Daten han-delt. Nach Einrichtung des elektronischen Melde- und Informationssystems eröffnet § 14 Absatz 2 bestimmten Behörden allein die Möglichkeit, die an sie z. B. nach den §§ 6, 7, 34 und 36 übermittelten oder die von ihnen z. B. nach den §§ 25 bis 32 erhobenen Daten
– 87 –
im elektronischen Melde- und Informationssystem zu verarbeiten, soweit sie zur Verarbei-tung dieser Daten aufgrund anderer gesetzlicher Regelungen befugt sind.
Entsprechend wird in § 14 Absatz 6 festgelegt, dass der Zugriff auf die im Melde- und Informationssystem gespeicherten Daten nur im gesetzlich bestimmten Umfang zulässig ist. Die Änderung berührt weder die jeweilige an anderer Stelle geregelte Befugnis zur Erhebung oder zur Verarbeitung von Daten, noch schafft sie weitergehende Erhebungs- oder Verarbeitungsbefugnisse für bestimmte Behörden.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem eindeutigen Wortlaut des § 14 Absatz 3 Nummer 2 ergibt, dass es sich nur um die Verarbeitung von an die zustän-digen Behörden bereits übermittelte Daten handelt. Die Daten zu meldepflichtigen Krank-heiten und Nachweisen von Krankheitserregern nach den §§ 6 und 7 und aus Benachrich-tigungen nach den §§ 34 und 36 werden jeweils fallbezogen mit den Daten der zu diesem Fall geführten Ermittlungen, getroffenen Maßnahmen und den daraus gewonnenen Er-kenntnissen den zuständigen Behörden im elektronischen Melde- und Informationssystem auf der Grundlage von § 14 Absatz 3 Nummer 2 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthalte-nen Erhebungsbefugnis bezieht sich nur auf diese übermittelten Daten. Weitergehende Erhebungsbefugnisse werden durch die Verwendung des weiten Begriffs der Verarbei-tung für die zuständigen Behörden nicht geschaffen.
Zu Doppelbuchstabe bb
Es handelt sich um eine Folgeänderung zur Aufhebung des § 1a (vgl. Begründung zu Nummer 2).
Zu Buchstabe c
Ziel der Regelung ist die Korrektur eines Redaktionsfehlers im Rahmen des Gesetzge-bungsverfahrens zu dem Gesetz zur Modernisierung der epidemiologischen Überwa-chung übertragbarer Krankheiten. Laut Gesetzesbegründung (BT-Drs. 18/10938, S. 62) sollte die Regelung die Möglichkeit eröffnen, beim Verfahren der fallbezogenen Pseudo-nymisierung nach Absatz 3 in Abweichung von § 10 auch bei nichtnamentlichen Meldun-gen personenbezogene Daten zur Verfügung zu stellen, allerdings ausschließlich zur Herstellung einer fallbezogenen Verschlüsselung. Während des Gesetzgebungsverfah-rens wurde die zunächst nur in § 10 Absatz 1 vorgesehene Regelung zu nicht-amtlichen Meldungen demgemäß geändert, dass nicht-amtliche Meldungen nach § 6 Absatz 3 Satz 1 in § 10 Absatz 1 geregelt wurden und nicht-amtliche Meldungen nach § 7 Absatz 3 Satz 1 in § 10 Absatz 2, ohne dass diese Änderung in § 14 Absatz 8 Satz 1 Nummer 7 nach-vollzogen wurde. Der alleinige Verweis auf § 10 Absatz 1 greift daher zu kurz und muss angepasst werden.
– 88 –
Zu Nummer 6
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 16 Absatz 1 Satz 2 ergibt, dass es sich nur um die Verarbei-tung der von der zuständigen Behörde bereits im Rahmen des § 16 Absatz 1 Satz 1 erho-benen personenbezogenen Daten handelt. Die im weiten Begriff der Verarbeitung im Sin-ne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbefug-nis bezieht sich nur auf diese bereits erhobenen Daten. Weitergehende Erhebungsbefug-nisse werden für die zuständige Behörde durch die Verwendung des weiten Begriffs der Verarbeitung an dieser Stelle nicht geschaffen.
Zu Nummer 7
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der jetzt gewählte Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen.
Zu Nummer 8
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 25 Absatz 3 Satz 4 ergibt, dass es sich nur um die Verarbei-tung der vom zuständigen Gesundheitsamt bereits im Rahmen des § 25 Absatz 3 Satz 2 erhobenen personenbezogenen Daten handelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbe-fugnis bezieht sich nur auf diese bereits erhobenen Daten. Weitergehende Erhebungsbe-fugnisse werden für das zuständige Gesundheitsamt durch die Verwendung des weiten Begriffs der Verarbeitung an dieser Stelle nicht geschaffen.
Zu Nummer 9
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 30 Absatz 3 Satz 4 ergibt, dass es sich nur um die Verarbei-
– 89 –
tung der von der zuständigen Behörde bereits im Rahmen der Absonderung nach § 30 erhobenen personenbezogenen Daten handelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbe-fugnis bezieht sich nur auf diese bereits erhobenen Daten. Weitergehende Erhebungsbe-fugnisse werden für die zuständige Behörde durch die Verwendung des weiten Begriffs der Verarbeitung an dieser Stelle nicht geschaffen.
Zu Artikel 31 (Änderung des IGV-Durchführungsgesetzes)
Zu Nummer 1
Die bisherige Regelung zur Datenlöschung in § 3 Absatz 2 Satz 2 kann entfallen. Die all-gemeine Pflicht des Verantwortlichen zur Löschung nicht länger benötigter Daten folgt nunmehr unmittelbar aus Artikel 5 Absatz 1 Buchstabe e und Artikel 17 Absatz 1 Buch-stabe a der Verordnung (EU) 2016/679.
Zu Nummer 2
Zu Buchstabe a
Zu Doppelbuchstabe aa
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung des Ar-tikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit wei-ter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 12 Absatz 6 Satz 1 ergibt, dass es sich nur um die Verarbei-tung von dem zuständigen Gesundheitsamt bereits zur Verfügung gestellten personenbe-zogenen Daten zur Erreichbarkeit von verdächtigen oder betroffenen Reisenden oder zu ihren möglichen Kontaktpersonen handelt. Diese Daten werden dem zuständigen Ge-sundheitsamt durch das Luftfahrunternehmen nach § 12 Absatz 5 zur Verfügung gestellt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltenen Erhebungsbefugnis bezieht sich nur auf diese bereits zur Ver-fügung gestellten Daten. Weitergehende Erhebungsbefugnisse werden für das zuständige Gesundheitsamt durch die Verwendung des weiten Begriffs der Verarbeitung an dieser Stelle nicht geschaffen.
Zu Doppelbuchstabe bb
Die bisherige Regelung zur Datenlöschung in § 12 Absatz 6 Satz 2 kann entfallen. Die allgemeine Pflicht des Verantwortlichen zur Löschung nicht länger benötigter Daten folgt nunmehr unmittelbar aus Artikel 5 Absatz 1 Buchstabe e und Artikel 17 Absatz 1 Buch-stabe a der Verordnung (EU) 2016/679.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Die Amtshilfe soll sich künftig auch auf die Kontaktaufnahme mit möglichen Kontaktper-sonen von Reisenden erstrecken.
– 90 –
Zu Doppelbuchstabe bb
Die bisherige Regelung zur Datenlöschung in § 12 Absatz 7 Satz 3 kann entfallen. Die allgemeine Pflicht des Verantwortlichen zur Löschung nicht länger benötigter Daten folgt nunmehr unmittelbar aus Artikel 5 Absatz 1 Buchstabe e und Artikel 17 Absatz 1 Buch-stabe a der Verordnung (EU) 2016/679.
Zu Artikel 32 (Änderung des Suchdienstedatenschutzgesetzes)
Zu Nummer 1
Die Beendigung des Kirchlichen Suchdienstes (KSD) macht eine Änderung der Geset-zesüberschrift „Suchdienstedatenschutzgesetz (SDDSG)“ notwendig, da nunmehr der Suchdienst des Deutschen Roten Kreuzes (DRK-Suchdienst) als alleiniger Regelungsad-ressat der gesetzlichen Bestimmungen verblieben ist.
Zu Nummer 2
In § 1 (Anwendungsbereich des Gesetzes) ergibt sich Anpassungsbedarf des Gesetzes-textes durch die Herausnahme des Kirchlichen Suchdienstes aus dem Anwendungsbe-reich des Gesetzes.
Absatz 2 berücksichtigt, dass der Verordnung (EU) 2016/679 unmittelbar Geltung im Sin-ne des Artikels 288 Absatz 2 AEUV zukommt.
Sogenannte Öffnungsklausel für die Verarbeitung personenbezogener Daten durch den DRK-Suchdienst ist Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Arti-kel 6 Absatz 3 der Verordnung (EU) 2016/679. Neben dem Umgang mit personenbezo-genen Daten im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 regelt das SDDSG auch die Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679.
Öffnungsklausel für die Verarbeitung besonderer Kategorien personenbezogener Daten durch den DRK-Suchdienst ist Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679.
Zu Nummer 3
Änderungen in § 2 (Aufgaben der Suchdienste) sind Folgen der Herausnahme des KSD aus dem Anwendungsbereich des SDDSG.
Zu Nummer 4
Änderungen in § 3 (Erhebung) sind Folgen der Herausnahme des KSD aus dem Anwen-dungsbereich des SDDSG.
Zu Nummer 5
In § 4 (Verwendung) ergibt sich Anpassungsbedarf aufgrund der Herausnahme des KSD aus dem Anwendungsbereich des SDDSG.
Die Änderung der Überschrift in „Verarbeitung“ und das Ersetzen der Wörter „speichern, verändern und nutzen“ in „verarbeiten“ sind dem nunmehr geltenden Verarbeitungsbegriff aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 geschuldet.
Die Neufassung des BDSG hat zur Folge, dass sich nunmehr die Datenübermittlung an öffentliche Stellen gemäß § 4 Absatz 2 Satz 1 Nummer 2 nicht mehr aus § 15 BDSG a. F.,
– 91 –
sondern aus § 25 Absatz 1 in Verbindung mit § 2 Absatz 4 Satz 2 BDSG ergibt, so dass eine entsprechende Verweisung erforderlich ist.
Weiterhin soll dem DRK-Suchdienst ermöglicht werden, personenbezogene Daten mit Schwesterorganisationen und anderen internationalen Organisationen im Ausland auszu-tauschen. Die Übermittlung personenbezogener Daten an internationale Organisationen richtet sich grundsätzlich nunmehr nach Kapitel V der Verordnung (EU) 2016/679. Öff-nungsklausel für die Übermittlung personenbezogener Daten an Drittländer und internati-onale Organisationen ist Artikel 49 Absatz 1 Unterabsatz 1 Buchstabe d und Absatz 4 der Verordnung (EU) 2016/679. Der Unionsgesetzgeber berücksichtigt als „wichtigen Grund im öffentlichen Interesse“ für eine Übermittlung personenbezogener Daten ins Ausland im Erwägungsgrund 112 der Verordnung (EU) 2016/679 Aufgaben nach den Genfer Konven-tionen. Die Datenübermittlung an internationale Organisationen durch den DRK-Suchdienst erfolgt, um seine originäre Tätigkeit der Internationalen Suche / Familienzu-sammenführung zu erfüllen, bei der es sich um eine Aufgabe nach den Genfer Konven-tionen handelt.
§ 4 Absatz 2 Satz 3 SDDSG nimmt die Legaldefinition der „besonderen Arten personen-bezogener Daten“ in § 3 Absatz 9 des BDSG a. F. in Bezug. Artikel 9 Absatz 1 der Ver-ordnung (EU) 2016/679 ersetzt diese Legaldefinition nunmehr durch die der „besonderen Kategorien personenbezogener Daten“, so dass eine entsprechende Änderung dieser Verweisung erforderlich ist.
Zu Nummer 6
Die ab Mai 2018 geltende Verordnung (EU) 2016/679 erfordert eine Anpassung der Lö-schungsverpflichtung in § 5 (Löschung). Die Pflicht des Verantwortlichen zur Löschung von nicht mehr erforderlichen Daten ist ein Betroffenenrecht, dass sich nunmehr direkt aus Artikel 17 der Verordnung (EU) 2016/679 ergibt. Artikel 23 der Verordnung (EU) 2016/679 erlaubt jedoch eine Beschränkung des Artikels 17 Absatz 1 und 2 durch Rechtsvorschriften der Union oder Mitgliedstaaten zusätzlich zu den in Artikel 17 Absatz 3 genannten Ausnahmen von der Löschungsverpflichtung, u. a. nach näherer Maßgabe des Artikel 23 Absatz 1 Buchstabe i, wenn das Absehen von der Löschung der Daten „dem Schutz der betroffenen Person dient“. Das ist bei der Suche nach vermissten Angehörigen häufig der Fall. Der neugefasste § 5 (Begrenzung der Verpflichtung zur Löschung) trägt dieser besonderen Situation des Suchenden und des Gesuchten als Betroffene Rech-nung, in dem durch einen weiteren Prüfungsschritt – Berücksichtigung der schutzwürdi-gen Belange des Betroffenen – die grundsätzlich geltende Pflicht zur Löschung, einge-schränkt wird. Die Datenerhebung erfolgt in diesen Fällen nicht ohne oder gar entgegen den Interessen der betroffenen Person, sondern im Gegenteil auf Veranlassung einer ihr nahestehenden Person und daher in ihrem zu unterstellenden Interesse an der Zusam-menführung mit ihren Angehörigen. Etwa in den Wirren einer Flucht getrennte, ggf. über mehrere Zielländer verteilte Angehörige einer Familie oder eines Familienverbandes su-chen sich oft über Jahre. Es ist häufig nicht absehbar, wie viele weitere Verwandte oder Angehörige, die als vermisst gespeicherte Person ggf. noch nach Jahren suchen. Der DRK-Suchdienst leistet den Betroffenen diesbezüglich Hilfe.
Zu Nummer 7
Ein Anspruch der betroffenen Person auf Schadensersatz ergibt sich nunmehr unmittelbar aus Artikel 82 der Verordnung (EU) 2016/769. Aus diesem Grund ist eine Streichung von § 6 (Schadenersatz) erforderlich.
Zu Nummer 8
Die Neufassung des BDSG hat eine Anpassung des § 7 (Anwendung des BDSG) zur Fol-ge. Der Grundsatz der Datensparsamkeit bzw. Datenminimierung (§ 3a BDSG a. F.)
– 92 –
ergibt sich nunmehr aus Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679. Der in § 4 Absatz 2 BDSG a. F. geregelte Direkterhebungsgrundsatz findet sich weder in der Verordnung (EU) 2016/679 noch im BDSG. Die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (§ 4 Absatz 3 BDSG a. F.) ergibt sich nunmehr aus Artikel 13 der Verordnung (EU) 2016/679. § 7 SDDSG hat § 3a sowie § 4 Absätze 2 und 3 BDSG a. F. vom Anwendungsbereich des SDDSG ausgenommen. Dies konnte angesichts der Verordnung (EU) 2016/679 nicht mehr beibehalten werden.
Zu Nummer 9
Folgeänderung der Aufhebung des § 6.
Zu Artikel 33 (Änderung des Abfallverbringungsgesetzes)
Mit der Änderung in § 9 Absatz 2 Satz 2 des Abfallverbringungsgesetzes werden die Vo-raussetzungen gemäß § 4 Absatz 2 Satz 2 BDSG a. F. in das Abfallverbringungsgesetz verlagert; damit werden spezifische Bestimmungen für die Verarbeitung beibehalten (vgl. Artikel 6 Absatz 2 in Verbindung mit Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e Ver-ordnung (EU) 2016/679).
Zu Artikel 34 (Änderung des Seeversicherungsnachweisgesetzes)
Zu Nummer 1
§ 10 stützt sich auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Ab-satz 2 und Absatz 3 der Verordnung (EU) 2016/679. Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der in der Verordnung (EU) 2016/679 verwandte weite Begriff der Verarbeitung umfasst die ursprünglichen Teilschritte. Die Anpassung hat keine inhalt-liche Änderung zur Folge.
Zu Nummer 2
§ 10 stützt sich auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Ab-satz 2 und Absatz 3 der Verordnung (EU) 2016/679. Für Übermittlungen an Drittländer oder an internationale Organisationen ist Kapitel V der Verordnung (EU) 2016/679 zu be-achten. Die Vorschriften dieses Kapitels gelten unmittelbar. § 10 genügt den Anforderun-gen des Artikels 49 Absatz 1 Unterabsatz 1 Buchstabe g in Verbindung mit Absatz 2 der Verordnung (EU) 2016/679.
Zu Nummer 3
Es handelt sich um eine Folgeänderung, die Regelung des bisherigen Absatzes 4 ist zu-künftig in Absatz 3 enthalten.
Zu Artikel 35 (Änderung des Jugendfreiwilligendienstegesetzes)
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Artikel 36 (Änderung des Hilfetelefongesetzes)
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen sollen damit nicht ein-hergehen.
– 93 –
Zu Artikel 37 (Änderung des Bundesfreiwilligendienstgesetzes)
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Artikel 38 (Änderung des Asylbewerberleistungsgesetzes)
Zu Nummer 1
Zu Buchstabe a
Die Änderung trägt der Neufassung des BDSG in der Fassung des Gesetzes zur Anpas-sung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (BGBl. I S. 2097) Rechnung. Dort erfolgt in § 3 eine Anpassung an die Begrifflichkeiten der Verordnung (EU) 2016/679, indem der weite Verarbeitungsbegriff im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 verwendet und damit der Regelungsgehalt von § 13 (Datenerhebung) und § 14 (Datenspeicherung, -veränderung und -nutzung) BDSG a. F. zusammengefasst wird. Aus Gründen der Rechtssicherheit wird in § 5a Absatz 5 Satz 1 Asylbewerberleistungsgesetz (AsylbLG) das Wort „erheben“ durch den weiten Verarbeitungsbegriff ersetzt, so dass der bisherige sich für das AsylbLG aus § 14 BDSG a. F. ergebende Regelungsgehalt nun unmittelbar im AsylbLG geregelt wird und das BDSG insoweit keine Auffangfunktion mehr erfüllt. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung ge-mäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstaben b, g und h der Verordnung (EU) 2016/679 erfasst.
Zu Buchstabe b
Mit dem neuen Satz wird klarstellend geregelt, dass die Maßnahmeträger die ihnen über-mittelten Daten zu den Zwecken verarbeiten dürfen, zu denen sie ihnen übermittelt wur-den. Beispielweise können sie Daten zum Bildungsstand, zur beruflichen Qualifikation und zum Vorliegen einer Beschäftigung oder Daten zu Sprachkenntnissen und zu Integrati-onskursen des Leistungsempfängers speichern und für die Auswahl und die Zuweisung der Leistungsempfänger zu einzelnen Integrationsmaßnahmen nutzen. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buch-stabe b, Satz 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Absatz 2 Buchstaben b, g und h der Verordnung (EU) 2016/679 erfasst.
Zu Nummer 2
Die Änderung trägt der Neufassung des BDSG in der Fassung des Gesetzes zur Anpas-sung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017 (BGBl. I S. 2097) Rechnung. Dort erfolgt in § 3 eine Anpassung an die Begrifflichkeiten der Verordnung (EU) 2016/679, indem der weite Verarbeitungsbegriff im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 verwendet und damit der Regelungsgehalt von § 13 (Datenerhebung) und § 14 (Datenspeicherung, -veränderung und -nutzung) BDSG a. F. zusammengefasst wird. Aus Gründen der Rechtssicherheit wird das Wort „erheben“ durch den weiten Verarbeitungs-begriff ersetzt, so dass der bisherige sich für das AsylbLG aus § 14 BDSG a. F. ergeben-de Regelungsgehalt nun unmittelbar im AsylbLG geregelt wird und das BDSG insoweit keine Auffangfunktion mehr erfüllt. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verordnung (EU)
– 94 –
2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Artikel 9 Ab-satz 2 Buchstaben b, g und h der Verordnung (EU) 2016/679 erfasst.
Zu Nummer 3
Diese Übermittlungsregelung entspricht der bisherigen Praxis. Zur Schaffung von Rechts-klarheit ist es erforderlich, dass den statistischen Ämtern diese Praxis ausdrücklich gestat-tet wird. Eine entsprechende Vorschrift findet sich in mehreren anderen Gesetzen, die die Führung einer Statistik anordnen. Für die Gesetzgebung und zur Durchführung der Ge-setze durch die obersten Bundes- und Landesbehörden ist eine möglichst genaue Statis-tik über Asylbewerber erforderlich. Ohne eine solche Bestimmung besteht die Gefahr, dass kleine Gruppen von Leistungsbeziehern in Zukunft in der Statistik nicht mehr adä-quat dargestellt werden können.
Zu Artikel 39 (Änderung des Aufstiegsfortbildungsförderungsgesetzes)
Redaktionelle Anpassung an die Begriffsbestimmung des Artikels 4 der Verordnung (EU) 2016/679 in Verbindung mit § 67 SGB X. Es handelt sich um eine bereichsspezifische Regelung zur Datenverarbeitung gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstaben c und e in Verbindung mit Absatz 2 und Absatz 3 Satz 1 Buchstabe b, Satz 2 der Verord-nung (EU) 2016/679. Die Verarbeitung besonderer Kategorien von Daten ist gemäß Arti-kel 9 Absatz 2 Buchstaben b, g und h der Verordnung (EU) 2016/679 erfasst.
Zu Artikel 40 (Änderung des Kulturgutschutzgesetzes)
Zu Nummer 1
Die Änderung passt die Inhaltsübersicht an die Änderung der Vorschrift an.
Zu Nummer 2
Zu Buchstabe a
Die Überschrift der Norm wird redaktionell an die Begriffsbestimmung aus Artikel 4 Num-mer 2 der Verordnung (EU) 2016/679 angepasst.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an den neuen Verarbeitungsbegriff der Verordnung (EU) 2016/679, der die bisherige Trias „erheben, verarbeiten und nutzen“ ersetzt.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung an die geänderte Fundstelle nach Neu-fassung des BDSG durch das Gesetz zur Anpassung des Datenschutzrechts an die Ver-ordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017, BGBl. I S. 2097.
Zu Nummer 4
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an den neuen Verarbeitungsbegriff der Verordnung (EU) 2016/679. In der bisherigen Fassung von § 79 Absatz 1 des Kulturgut-schutzgesetzes (KGSG) wurde lediglich der Begriff des Verarbeitens verwendet, der nach dem Verständnis des bisherigen BDSG enger war als der neue Begriff des Verarbeitens.
– 95 –
Nach der Begründung zu § 79 Absatz 1 KGSG erfordert der umfassend und möglichst lückenlose Schutz nationalen Kulturgutes, dass Bund und Länder ein gemeinsames Ver-fahren im Sinne von § 11 des E-Government-Gesetzes führen. In diesem Verfahren wer-den neben den Daten zum nationalen Kulturgut insbesondere auch die personenbezoge-nen Daten der Eigentümer und Besitzer des Kulturgutes verarbeitet, was nach neuem Verständnis auch das Veröffentlichen von Daten umfassen kann. Während für die im ge-meinsamen Verfahren nach § 79 Absatz 1 KGSG verarbeiteten – sachbezogenen – Daten zum nationalen Kulturgut sogar eine Pflicht zur Veröffentlichung besteht (§ 16 Absatz 1 KGSG), sollen Kenntnis der im Rahmen dieses Verfahrens erhobenen personenbezoge-nen Daten nach der Begründung zur Regelung jedoch nur die befugten Stellen, für deren Aufgabenerfüllung die Daten erforderlich sind, erhalten. Insbesondere eine Veröffentli-chung dieser Daten ist nicht vorgesehen (§ 16 Absatz 2 Satz 1 KGSG), was jedoch wie-derum nicht gelten soll, soweit diese Angaben für die eindeutige Bezeichnung des Kultur-gutes erforderlich sind (§ 16 Absatz 2 Satz 2 KGSG). Diesem Geflecht aus Ausnahme und Rückausnahme soll durch den neu angefügten Satz 3 Rechnung getragen werden.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an den neuen Verarbeitungsbegriff, der die bisherige Trias „erheben, verarbeiten und nutzen“ ersetzt.
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung in Folge der Änderung des bisherigen § 11 Absatz 5 des E-Government-Gesetzes durch das 2. DSAnpUG-EU.
Zu Buchstabe d
Auf die Begründung zur Änderung von § 79 Absatz 1 KGSG wird verwiesen.
Zu Buchstabe e
Es handelt sich um eine redaktionelle Anpassung in Folge der Änderung des bisherigen § 11 Absatz 4 des E-Government-Gesetzes durch das 2. DSAnpUG-EU.
Zu Nummer 5
Die bislang in §§ 4b und 4c BDSG a. F. enthaltenen allgemeinen Bestimmungen zur Übermittlung personenbezogener Daten in das Ausland sowie an über- oder zwischen-staatliche Stellen werden in das neue BDSG nicht übernommen, da sie aufgrund der Re-gelungen in Kapitel V der Verordnung (EU) 2016/679, welches die Anforderungen an die Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisa-tionen regelt, entbehrlich sind. Die Streichung vollzieht diese Änderung im neuen BDSG nach und trägt der unmittelbaren Geltung der Verordnung Rechnung.
Zu Artikel 41 (Änderung des Deutsche-Welle-Gesetzes)
Die Aufhebung des BDSG a. F. betrifft auch die Regelungen zur Deutschen Welle in den § 41 Absatz 2 bis 4 und § 42 BDSG a. F. Sie werden in das Deutsche-Welle-Gesetz (DWG) überführt.
Artikel 85 Absatz 1 der Verordnung (EU) 2016/679 ist als zentraler, umfassender Rege-lungsauftrag und Ermächtigung an die Mitgliedstaaten konzipiert, „durch Rechtsvorschrif-ten das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verar-beitung zu journalistischen Zwecken […] in Einklang“ zu bringen. Dieser Regelungsauf-trag ist notwendige Voraussetzung dafür, dass der Rundfunk seine verfassungs- und EU-
– 96 –
grundrechtliche Aufgabe, die Bürger umfassend und ausgewogen zu informieren, erfüllen kann. Artikel 85 Absatz 2 der Verordnung (EU) 2016/679 macht den Mitgliedstaaten kon-krete Mindestvorgaben, Abweichungen oder Ausnahmen von einzelnen Normen oder ganzen Kapiteln der Verordnung (EU) 2016/679 vorzusehen, um die aus Artikel 9 der Da-tenschutzrichtlinie 95/46/EG bestehenden Mindestverpflichtungen zu erhalten. Durch die Aufnahme des Absatzes 2 in Artikel 85 wollte der europäische Gesetzgeber zudem klar-stellen, dass der Schutzstandard für die in Artikel 85 Absatz 2 genannten Zwecke keines-falls abgesenkt werden soll.
Das bislang in § 41 Absatz 4 BDSG a. F. geregelte so genannte Medienprivileg der Deut-schen Welle nahm in Umsetzung des Artikels 9 der Richtlinie 95/46/EG eine Abwägung zwischen den Grundrechtspositionen des Schutzes personenbezogener Daten gemäß Artikel 8 der Charta der Grundrechte der Europäischen Union (GRCh), Artikel 8 Absatz 1 Europäische Menschenrechtskonvention (EMRK) einerseits und der Meinungs-, Informa-tions- und Medienfreiheiten gemäß Artikel 11 GRCh, Artikel 10 EMRK andererseits vor. Ergebnis dieser Abwägung war, die Deutsche Welle bei der Datenverarbeitung zu journa-listischen Zwecken von den Vorgaben des BDSG a. F. weitgehend auszunehmen. Das bisherige Schutzniveau für personenbezogene Daten hat sich seit der letzten Änderung 2001 bewährt. Die Abwägungsentscheidung wurde nunmehr im Lichte der Verordnung /EU) 2016/679 umfassend überprüft, ohne zu erheblichen Veränderungen bei der Gewich-tung der einzelnen Positionen zu gelangen. Für den Datenschutz ausreichend und für die Meinungs-, Informations- und Rundfunkfreiheit erforderlich ist es daher, in Umsetzung der Regelungsermächtigung des Artikel 85 der Verordnung (EU) 2016/679 weitreichende Ausnahmen von der Verordnung (EU) 2016/679 in das DWG aufzunehmen. Denn ohne die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auch ohne Einwilli-gung der jeweils Betroffenen wäre journalistische Arbeit nicht möglich (BGH, Urteil vom 23.06.2009, VI ZR 196/08, NJW 2009, 2888ff, Rdnr. 20; BGH, Urteil vom 14.12.2009, VI ZR 227/08, NJW 2010, 757ff, Rdnr. 23; zu einer Abwägung im Einzelnen siehe unten bei der Begründung unter Nummer 5 zu § 63). Sinn und Zweck ist der Schutz von Informatio-nen, Journalisten und sonstigen Betroffenen, um eine freie Berichterstattung zu gewähr-leisten. Einflüsse von außen auf die Datenverarbeitung der Deutschen Welle, insbesonde-re im Vorfeld der Berichterstattung, müssen zum Schutz der Meinungs-, Informations- und Rundfunkfreiheit vermieden werden. Es besteht keine Notwendigkeit, das bisherige Schutzniveau grundsätzlich zu verändern. Dem Datenschutz wird durch die Anwendbar-keit einzelner Vorschriften der Verordnung (EU) 2016/679, die Betroffenenrechte in § 63 Absatz 2 bis 4 und die Möglichkeiten gerichtlicher Klärung Rechnung getragen. Zum Schutz der Rechte der betroffenen Personen trägt auch die journalistische Ethik bei, wie sie z. B. im Pressekodex (Ziffer 8: Schutz der Persönlichkeit; siehe: www.presserat.de) ihren Niederschlag findet.
Der Gesetzentwurf sieht zudem Anpassungen der Regelung zu dem Beauftragten für den Datenschutz der Deutschen Welle vor.
Zu Nummer 1
Die Änderung der Inhaltsübersicht ist eine redaktionelle Folgeänderung zur Einfügung der §§ 63 bis 66.
Zu Nummer 2
Die Änderung in Absatz 1 erfolgt, da eine Differenzierung zwischen der Erhebung, Verar-beitung oder Nutzung personenbezogener Daten in der Verordnung (EU) 2016/679 nicht mehr vorgesehen ist, sondern einheitlich der Begriff der Verarbeitung verwendet wird.
Die Änderung in Absatz 2 und 3 erfolgt, da die Bezeichnung der für die Datenverarbeitung zu journalistischen Zwecken zuständigen Aufsichtsbehörde „der Beauftragte für den Da-tenschutz der Deutschen Welle“ lautet.
– 97 –
Zu Nummer 3
Die Änderungen erfolgen, da zukünftig der Rundfunkrat mit Zustimmung des Verwaltungs-rates für die Ernennung und Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle zuständig ist. In Anpassung an den Wortlaut der Artikel 53 Absatz 1, 54 Absatz 1 der Verordnung (EU) 2016/679 sehen die §§ 32 und 37 eine Ernennung und nicht länger eine Bestellung vor; in Anpassung an Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 erfolgt nicht länger eine „Abberufung“, sondern eine Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle.
Zu Nummer 4
Die Änderungen erfolgen, da zukünftig der Rundfunkrat mit Zustimmung des Verwaltungs-rates für die Ernennung und Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle zuständig ist. In Anpassung an den Wortlaut der Artikel 53 Absatz 1, 54 Absatz 1 der Verordnung (EU) 2016/679 sehen die §§ 32 und 37 eine Ernennung und nicht länger eine Bestellung vor; in Anpassung an Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 erfolgt nicht länger eine „Abberufung“, sondern eine Amtsenthebung des Beauftragten für den Datenschutz der Deutschen Welle.
Zu Nummer 5
Die Regelungen zum Datenschutz bei der Deutschen Welle befanden sich bisher in § 41 Absätze 2 bis 4 und § 42 BDSG a. F. Sie werden nun in einen neuen Abschnitt fünf des DWG überführt.
Zu § 63 Absatz 1 Satz 1: Für die Deutsche Welle wird der Ausgleich zwischen der Rund-funk- und Informationsfreiheit und dem Recht auf Schutz personenbezogener Daten bis-her durch die Regelung des § 41 Absatz 4 BDSG a. F. hergestellt. In Umsetzung von Arti-kel 85 der Verordnung (EU) 2016/679 passt die Neuregelung das so genannte Medienpri-vileg des § 41 Absatz 4 BDSG a. F. an die Vorgaben der Verordnung (EU) 2016/679 an. Dazu wird der bisherige Verweis auf die §§ 5 (Datengeheimnis), 7 (Schadensersatz), so-wie 9 (technische und organisatorische Maßnahmen), soweit möglich und erforderlich, durch Verweise auf entsprechende Regelungen der Verordnung (EU) 2016/679 ersetzt, angepasst und in Absatz 1 des neuen § 63 DWG verlagert.
Hilfsunternehmen der Deutschen Welle werden neu aufgenommen. Unter Hilfsunterneh-men sind diejenigen Unternehmen zu verstehen, deren Geschäftszweck darin besteht, die Deutsche Welle bei ihrer journalistischen Tätigkeit zu unterstützen.
Das Medienprivileg der Deutschen Welle gilt für Verarbeitungen von Daten zu journalisti-schen Zwecken. Dies beruht auf dem Wortlaut von Artikel 85 der Verordnung (EU) 2016/679. Aufgrund der gemäß Artikel 11 Charta der Grundrechte der Europäischen Uni-on, Artikel 10 Europäische Menschenrechtskonvention und Artikel 5 Absatz 1 Satz 2 GG gewährleisteten Rundfunkfreiheit und nach Erwägungsgrund 153 der Verordnung (EU) 2016/679 ist der Begriff „journalistisch“ weit auszulegen, so dass auch diejenigen Voraus-setzungen und Hilfstätigkeiten eingeschlossen sind, ohne welche die Medien ihre Funkti-on nicht in angemessener Weise erfüllen können (vgl. BVerfG, Urteil vom 12.03.2003, 1 BvR 330/96, Rdnr. 103). Hiervor können auch Verwaltungstätigkeiten und sonstige Hilfs-tätigkeiten erfasst sein, soweit diese Rückwirkungen auf die journalistische Tätigkeit ha-ben können. Welche Tätigkeiten konkret umfasst sind, muss auch unter Würdigung der Umstände des Einzelfalls entschieden werden (vgl. BVerwG, Beschluss vom 27. Mai 2013, 7 B 30.12, Rdnr. 15ff mit weiteren Nachweisen). Ziel ist es, der Bedeutung des Rechts auf freie Meinungsäußerung und Informationsfreiheit in einer demokratischen Ge-sellschaft Rechnung zu tragen.
– 98 –
Da Artikel 85 der Verordnung (EU) 2016/679 keine Beschränkung auf „eigene“ journalisti-sche Zwecke vorsieht, entfällt diese bislang bei der Regelung des Medienprivilegs im BDSG a. F. verwendete Formulierung. Die Streichung entspricht auch möglichen arbeits-teiligen Produktionsprozessen bei der Deutschen Welle.
Eine vergleichbare Regelung des Datengeheimnisses wie in § 5 BDSG a. F., das heißt eine Verpflichtung der Mitarbeiter, Daten nicht unbefugt, also nicht zu anderen als zu journalistischen Zwecken, zu verarbeiten, enthält die Verordnung (EU) 2016/679 nicht. Daher wird auch in § 63 auf eine entsprechende Regelung verzichtet. Dieser Verzicht stellt keine Senkung des Datenschutzniveaus dar. Die Verpflichtung der Deutschen Welle, Daten nur zu journalistischen Zwecken zu verarbeiten, ergibt sich vielmehr direkt aus der Verordnung (EU) 2016/679. Es besteht selbstverständlich die Möglichkeit für die Deut-sche Welle, ihre journalistisch tätigen Mitarbeiter als eine organisatorische Maßnahme nach Artikel 5 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 unmittelbar und per-sönlich zu verpflichten, Daten nicht zu anderen als journalistischen Zwecken zu verarbei-ten.
Für die Datenverarbeitung zu journalistischen Zwecken gelten in Ausgestaltung der Öff-nungsklausel des Artikel 85 der Verordnung (EU) 2016/679 und als Folge der Abwägung zwischen dem Recht auf den Schutz personenbezogener Daten und dem Recht auf freie Meinungsäußerung und Informationsfreiheit nur die in § 63 Absatz 1 Satz 1 genannten Vorschriften:
Die Verpflichtung der für die Datenverarbeitung Verantwortlichen zur Vornahme techni-scher und organisatorischer Maßnahmen ergab sich bislang aus § 9 BDSG a. F. Dies ergibt sich nunmehr durch Verweis auf die Artikel 5 Absatz 1 Buchstabe f in Verbindung mit Absatz 2, 24 und 32 der Verordnung (EU) 2016/679. Artikel 5 Absatz 1 Buchstabe f regelt dabei die Datensicherheit durch technische und organisatorische Maßnahmen. Für die Wahrung der Datensicherheit hat der „Verantwortliche“ im Sinne des Artikels 4 Nr. 7 der Verordnung (EU) 2016/679 einzustehen. Daher wird im Hinblick auf die Datensicher-heit klarstellend auch auf Absatz 2 des Artikels 5 verwiesen. Insoweit Maßnahmen des Verantwortlichen nach Artikel 24 Absatz 1 Satz 1 eine Verarbeitung „gemäß dieser Ver-ordnung“ sicherstellen sollen, bezieht sich diese Anordnung nach Sinn und Zweck und aufgrund des Sachzusammenhangs auf die für die Deutsche Welle anwendbaren Normen der Verordnung (EU) 2016/679. Der Verweis auf Artikel 32 soll die an die Datensicherheit zu stellenden Anforderungen, soweit möglich, weiter konkretisieren.
Die Regelung des bisherigen § 38a BDSG a. F., wonach Berufsverbände und andere Vereinigungen Entwürfe für Verhaltensregeln zur Förderung der Durchführung von daten-schutzrechtlichen Regelungen aufstellen und der Aufsichtsbehörde zur Überprüfung vor-legen konnten, wird nicht beibehalten. Erfahrungen haben gezeigt, dass sie für die Deut-sche Welle praktisch nicht relevant war.
Als Ergebnis der Abwägung zwischen dem Schutz personenbezogener Daten und der Meinungs-, Informations- und Medienfreiheit werden die Buchstaben a, c, d und e des Artikels 5 Absatz 1 der Verordnung (EU) 2016/679, die Grundsätze der „Transparenz“, der „Datenminimierung“, der „Richtigkeit“ sowie der „Speicherbegrenzung“, ausgenommen, um eine kritische Berichterstattung und freie und insbesondere investigative Recherche der Deutschen Welle zu ermöglichen. Müsste die Datenverarbeitung zu journalistischen Zwecken für die betroffene Person nachvollziehbar sein (Artikel 5 Absatz 1 Buchstabe a, „Transparenz“), könnte die journalistische Recherche, die zum Teil bewusst ohne Wissen beteiligter Personen erfolgt, wesentlich behindert oder unmöglich gemacht werden. Müss-te die Verarbeitung auf das notwendige Maß beschränkt sein (Artikel 5 Absatz 1 Buchsta-be c, „Datenminimierung“), könnte eine zunächst offene journalistische Recherche, die noch kein konkretes Thema zum Ziel hat und sich erst im Laufe der Recherche konkreti-siert, oder die zunächst ein Thema zum Gegenstand hat, später aber auf ein anderes wechselt, wesentlich erschwert oder unmöglich gemacht werden. Müssten Daten, weil sie
– 99 –
nicht sachlich richtig oder auf dem neusten Stand sind, berichtigt oder gelöscht werden (Artikel 5 Absatz 1 Buchstabe d, „Richtigkeit“), könnte die Berichterstattung, z. B. im Ver-dachtsfall, wesentlich erschwert oder unmöglich werden. Würde die „Speicherbegren-zung“ des Artikels 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 gelten, könnten Recherchen nicht nach kürzeren oder längeren Zeitabschnitten erneut aufgenommen, überprüft oder als Grundlage für andere Berichterstattung verwendet werden. Dies muss auch dann möglich sein, wenn eine solche Wiederanknüpfung oder Verwendung nicht zuvor geplant war, denn es ist häufig nicht vorhersehbar, ob und wann eine erneute Ver-wendung erfolgt. Auch wenn diese Grundsätze ausgenommen sind, sind die Verarbeiter bei der Datenverarbeitung daran gebunden, Daten nur zu journalistischen Zwecken zu verarbeiten.
Ebenso werden Artikel 25 (Datenschutz durch Technikgestaltung und durch datenschutz-freundliche Voreinstellungen) und Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten) der Verordnung (EU) 2016/679 ausgenommen. Denn die datenschutzrechtlichen Grunds-ätze des Artikels 5 der Verordnung (EU) 2016/679 gelten nur eingeschränkt. So könnte der Grundsatz der Datenminimierung z. B. Recherchearbeiten wesentlich erschweren oder verhindern, wenn Umfang und Objekt der Berichterstattung noch nicht feststehen. Gleiches gilt für das Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 der Verordnung (EU) 2016/679.
Die Regelungen zur Auftragsdatenverarbeitung fanden auch nach dem BDSG a. F. keine Anwendung auf die Deutsche Welle. Auch die Artikel 28 und 29 der Verordnung (EU) 2016/679 sind ausgenommen. Denn insbesondere für die aktuelle Berichterstattung vergibt die Deutsche Welle regelmäßig kurzfristig Aufträge zur Erstellung ihrer Angebote an freie Mitarbeiter, Produktionsteams und Produktionsgesellschaften. Müssten die Vo-raussetzungen der Artikel 28 und 29 der Verordnung (EU) 2016/679 eingehalten werden, könnte aus Zeitgründen eine aktuelle Berichterstattung wesentlich erschwert oder unmög-lich werden. Dies gilt in besonderem Maße, wenn die Berichterstattung im Ausland statt-finden soll, was bei der Deutschen Welle regelmäßig der Fall ist. Darüber hinaus könnten die einzelnen Vorgaben des Artikels 28 Absatz 3 Satz 1 der Verordnung (EU) 2016/679 („Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen“) weder bei einer aktuellen Berichterstattung noch bei einer sonstigen Auftragsproduktion im Vorhinein festgelegt werden, weil schon der Auftrag selbst sehr häufig keine detaillierten Festlegungen über den Inhalt eines Beitrags enthält. Dies wäre auch nicht zweckmäßig und könnte die Freiheit der Recherche behindern oder sogar verletzten.
Artikel 33 und 34 der Verordnung (EU) 2016/679 (Meldung von Verletzungen des Schut-zes personenbezogener Daten an die Aufsichtsbehörde; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen) werden aus-genommen, weil der Quellenschutz bereits dann gefährdet sein kann, wenn Dokumentati-onspflichten gegenüber der unabhängigen internen Aufsicht bestehen. Dies gilt erst Recht, wenn die Deutsche Welle verpflichtet wäre, die betroffene Person zu informieren. Die Anwendung von Artikel 33 und 34 der Verordnung (EU) 2016/679 gefährdete oder verletzte das Redaktionsgeheimnis, das sogar vor den Strafverfolgungsbehörden ge-schützt ist (§ 53 Absatz 1 Satz 1 Nummer 5, § 97 Absatz 5 Strafprozessordnung).
Artikel 35 und 36 der Verordnung (EU) 2016/679 (Datenschutz-Folgenabschätzung; vor-herige Konsultation) werden ausgenommen, weil die journalistische Recherche in jedem Einzelfall unterschiedlich ausfallen kann und Ziel und Umfang vorab u. U. gar nicht defi-niert sind. Die journalistische Tätigkeit der Mitarbeiterinnen und Mitarbeiter der Deutschen Welle würde verhindert oder wesentlich erschwert werden.
Kapitel V der Verordnung (EU) 2016/679 (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) wird ausgenommen, um die journalisti-
– 100 –
sche Recherche nicht wesentlich zu erschweren oder zu verhindern und das Redaktions-geheimnis nicht zu gefährden oder zu verletzen.
Zu § 63 Absatz 1 Satz 2: Satz 2 stellt klar, dass die Regelungen des Artikel 82 der Ver-ordnung (EU) 2016/679 zum Schadensersatz bzw. Geldbußen nach Sinn und Zweck und aufgrund des Sachzusammenhangs mit der Maßgabe gelten, dass im journalistischen Bereich nur für unzureichende Maßnahmen nach Artikel 5 Absatz 1 Buchstabe f, Arti-kel 24 und 32 der Verordnung (EU) 2016/679 gehaftet wird. Der mitgliedstaatliche Gestal-tungsspielraum nach Artikel 85 Absatz 1 der Verordnung (EU) 2016/679 muss auch bei der Bestimmung der Verpflichtungen im Sinne des Artikels 82 der Verordnung berücksich-tigt werden. Die Regelung knüpft an § 7 BDSG a. F. an.
Zu § 63 Absatz 1 Satz 3: Die Beschränkung der Rechte der betroffenen Personen ergibt sich bereits aus § 63 Absatz 1 Satz 1 und hat daher klarstellende Funktion. Anstelle des bisher verwendeten Begriffs der „Betroffenen“ wird nunmehr der Begriff „betroffene Per-son“ der Verordnung (EU) 2016/679 verwendet.
Die Ausnahmen und Abweichungen von Kapitel III der Verordnung (EU) 2016/679 sind erforderlich, um Recherche und Berichterstattung durch die Deutsche Welle, insbesonde-re im Bereich des investigativen Journalismus und insbesondere zum Schutz ihrer Quel-len zu gewährleisten. Die Betroffenenrechte auf Löschung, auf Einschränkung der Verar-beitung sowie das Widerspruchsrecht gemäß Artikel 17, 18 und 21 der Verordnung (EU) 2016/679 werden im journalistischen Bereich durch die Rechte der § 63 Absätze 2 und 3 DWG ersetzt und durch die allgemeinen presserechtlichen Auskunfts-, Unterlassungs- und Gegendarstellungsansprüche ergänzt. Diese Rechte stehen den betroffenen Perso-nen nach einer Berichterstattung durch die Deutsche Welle zu. Eine gesetzliche Rege-lung, wonach die Betroffenen bereits vor einer Berichterstattung Rechte geltend machen könnten, stellte eine unzulässige Durchbrechung des Zensurverbots dar, das durch be-schränkende Gesetze nicht durchbrochen werden kann (vgl. BVerfGE 33, 52, 72). Das Recht auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 wird durch das Recht nach § 21 Absatz 3 DWG ersetzt, bei schriftlicher Glaubhaftmachung, in seinen Rechten durch eine Sendung betroffen zu sein, eine Aufzeichnung der Sendung zu erhalten.
Zu § 63 Absatz 2: Die Regelung beruht auf § 41 Absatz 2 BDSG a. F. Nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 sind vom Begriff der Verarbeitung auch die Erhebung und Nutzung umfasst. Deshalb ersetzt der Begriff der Verarbeitung die in § 41 Absatz 2 BDSG a. F. verwendete Formulierung „Erhebung, Verarbeitung oder Nutzung“.
Mit der Anpassung des Katalogs der gerichtlichen Entscheidungen oder zivilrechtlichen Vereinbarungen ist keine wesentliche materielle Änderung beabsichtigt. Die Regelungen, die bislang für die Aufbewahrung der Daten gelten, die den Gegendarstellungsanspruch betreffen, sollen erst recht dann greifen, wenn die betroffene Person eine gerichtliche o-der außergerichtliche Unterlassungsverpflichtung oder einen Widerruf erreicht. Urteile oder Beschlüsse sind nur dann zu den Akten zu nehmen, wenn ein gerichtliches Urteil oder ein gerichtlicher Beschluss zu einer Unterlassung verpflichtet, da in diesem Fall al-lein das Urteil oder der Beschluss zu den Akten genommen werden können.
Zu § 63 Absatz 3: Die Vorschrift stellt eine Ausnahme zu den Informationspflichten und Auskunftsrechten der Verordnung (EU) 2016/679 dar, die im Bereich journalistischer Ar-beit nicht sinnvoll umzusetzen sind. Die Ausnahme ist zur Wahrung der Presse- und Rundfunkfreiheit gerade, aber nicht nur im Bereich des investigativen Journalismus erfor-derlich. Die an § 41 Absatz 3 BDSG a. F. orientierte Regelung gewährt verschiedene An-sprüche für den Fall, dass die betroffene Person durch eine Berichterstattung der Deut-schen Welle in ihren Rechten beeinträchtigt ist. Die betroffene Person kann in diesen Fäl-len nach Satz 1 Auskunft über ihre von der Deutschen Welle gespeicherten personenbe-zogenen Daten und gegebenenfalls ihre Berichtigung verlangen. Als Rechtsbeeinträchti-
– 101 –
gungen sind die in Artikel 1 Absatz 2 der Verordnung (EU) 2016/679 genannten Rechte gemeint, die das allgemeine Persönlichkeitsrecht im Sinne des § 1 BDSG a. F. umfassen.
Nach Satz 2 kann die Deutsche Welle unter bestimmten Voraussetzungen die Auskunft verweigern:
Nummer 1 bezieht auch nicht journalistisch Mitwirkende in den Schutzbereich ein, wenn es möglich wäre, Rückschlüsse auf journalistisch Mitwirkende zu ziehen. Durch die Ver-wendung des Begriffs „Angebote“ wird klargestellt, dass sämtliche Inhalte der Deutschen Welle, d. h. Rundfunk (Fernsehen und Hörfunk) und Telemedien, umfasst sind. Dies ent-spricht der Aufgabe der Deutschen Welle nach § 3 Absatz 1 DWG.
Nummer 2 hat insbesondere den Quellenschutz zum Ziel. Die Geheimhaltung der Infor-mationsquellen und der Schutz des Vertrauensverhältnisses zwischen dem Rundfunkver-anstalter und den Informanten ist ebenso unabdingbare Voraussetzung für deren Aufga-benerfüllung wie auch die Vertraulichkeit der Redaktionsarbeit (vergleiche zuletzt BVer-fGE 117, 244, 258, s. a. BVerfG Kammerbeschluss vom 13. Juli 2015, Az. 1 BvR 2480/13, Juris Rdnr. 16 m. w. N.). Wie bisher kann auch weiterhin zum Schutz der Beteiligten die Auskunft nach erfolgter Prüfung des Einzelfalls verweigert werden.
Nummer 3 soll verhindern, dass Methoden der Recherche und der Informationsbeschaf-fung sowie der Informationsbestand selbst offenbart werden müssen.
Zu § 63 Absatz 4: Die Einschränkung des Berichtigungsanspruchs in Satz 2 auf perso-nenbezogene Daten knüpft an Artikel 16 Satz 1 der Verordnung (EU) 2016/679 an. Dane-ben ist eine Anrufung des Beauftragten für den Datenschutz der Deutschen Welle nach § 20 DWG möglich. Mit Bezug auf Erwägungsgrund 65 der Verordnung (EU) 2016/679 regelt Satz 4, dass eine Abwägungsentscheidung zu treffen ist, ob die Ausübung des Rechts auf freie Meinungsäußerung und Information oder die Wahrnehmung berechtigter Interessen die weitere Speicherung der personenbezogenen Datenerfordern.
Zu §§ 64, 65: Um der verfassungsrechtlich gewährleisteten Rundfunkfreiheit einerseits und den Anforderungen des Datenschutzes andererseits gerecht zu werden, ist ein Be-auftragter für den Datenschutz der Deutschen Welle als zuständige Aufsichtsbehörde im Sinne des Artikels 51 Absatz 1 der Verordnung (EU) 1016/679 eingerichtet, der die Da-tenverarbeitung im journalistischen Bereich überwacht. Die Ausgestaltung der daten-schutzrechtlichen Kontrolle bei der Deutschen Welle entspricht dem Auftrag an den Ge-setzgeber aus Artikel 85 der Verordnung (EU) 2016/679, Ausnahmen oder Abweichungen von bestimmten Kapiteln der Verordnung (EU) 2016/679 vorzusehen, wenn dies aus jour-nalistischen Gründen erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. Die Rundfunkfreiheit erfordert die staatsferne Ausgestaltung und Organisation des Rundfunks, auch im Hinblick auf dessen Kontrolle.
Ziel der Verordnung (EU) 2016/679 ist es, eine wirksame und unabhängige Aufsicht zu gewährleisten. Die Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle wird im vorliegenden Regelungsvorschlag unter anderem dadurch weiter gestärkt, dass die bislang vorgesehene Rechtsaufsicht gestrichen und der Beauftragte für den Da-tenschutz der Deutschen Welle stärker an die Gremien der Deutschen Welle angebunden wird.
Zu § 64 Absatz 1: Die Regelung in Satz 1 beruht auf § 42 Absatz 1 in Verbindung mit § 41 Absatz 4 BDSG a. F.: Die Deutsche Welle ernennt einen Beauftragten für den Daten-schutz der Deutschen Welle, der im Bereich der Datenverarbeitung zu journalistischen Zwecken an die Stelle des BfDI tritt.
– 102 –
Satz 2 gibt dem Fernsehrat mit Zustimmung des Verwaltungsrates auf, zur weiteren Kon-kretisierung der Ausgestaltung des Amtes eine Satzung zu erlassen. Durch die Übertra-gung der öffentlichen Aufgabe der Datenschutzaufsicht ist der Beauftragte für den Daten-schutz der Deutschen Welle gemäß § 11 Absatz 1 Nr. 2 Strafgesetzbuch (StGB) Amtsträ-ger im Sinne des § 203 Absatz 2 Nr. 1 StGB. Um seine Unabhängigkeit nicht durch ein Verhandlungserfordernis über das Anstellungsverhältnis zu gefährden, sollen allgemeine Regelungen für sein Anstellungsverhältnis, insbesondere die Vergütung, durch eine Sat-zung geregelt werden.
Nach Satz 3 stehen dem Beauftragten für den Datenschutz der Deutschen Welle die in den Kapiteln VI und VII der Verordnung (EU) 2016/679 genannten Aufgaben und Befug-nisse als Aufsichtsbehörde zu, soweit in den Absätzen 2 bis 6 und in § 65 DWG keine abweichenden Regelungen getroffen werden.
Zu § 64 Absatz 2: Die Regelung beruht auf § 42 Absatz 1 Satz 2 BDSG a. F. Das Ernen-nungsverfahren des Beauftragten für den Datenschutz der Deutschen Welle wurde geän-dert, um deren bzw. dessen Unabhängigkeit zu stärken. Zuständig für die Ernennung sind die unabhängigen, pluralistisch besetzten Aufsichtsgremien bei der Deutschen Welle: der Rundfunkrat mit Zustimmung des Verwaltungsrats. Die Regelung bezieht sich auf Arti-kel 53 Absatz 1 vierter Spiegelstrich der Verordnung (EU) 2016/679. Die Begrenzung der Amtszeit auf maximal 15 Jahre konkretisiert Artikel 54 Absatz 1 Buchstaben d und e der Verordnung (EU) 2016/679. Die Amtszeit von fünf Jahren mit zweimaliger Wiederernen-nungsmöglichkeit soll einerseits eine gewisse Kontinuität ermöglichen, die Möglichkeit geben, Erfahrungsverluste zu begrenzen und die spezifischen Besonderheiten der Auf-sicht über die Verarbeitung personenbezogener Daten im journalistischen Bereich be-rücksichtigen. Andererseits soll dadurch neben der Stärkung der Unabhängigkeit eine gewisse Flexibilität des Amtes erhalten bleiben, um andere Arbeits- und Sichtweisen in das Amt einzubringen.
Zu § 64 Absatz 3: Gemäß Artikel 53 Absatz 2, 54 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 sind Regelungen zur Qualifikation vorzusehen. Die Qualifikation kann z. B. durch ein Hochschulstudium im technischen und/ oder juristischen Bereich nachgewiesen werden.
Zu § 64 Absatz 4: Die Regelung entspricht § 42 Absatz 2 Satz 2 BDSG a. F. Der Beauf-tragte für den Datenschutz der Deutschen Welle muss seine datenschutzrechtlichen Auf-gaben wirksam und zuverlässig ausüben können. Dazu gehört ein möglichst weitgehen-der Schutz vor Einflussnahme, um objektiv und unparteiisch bewerten und entscheiden zu können.
Die Sätze 2 und 3 entwickeln § 42 Absatz 2 Satz 3 BDSG a. F. weiter: Um das Prinzip der Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle zu garantie-ren und eine Beeinflussung zu verhindern, unterliegt sie oder er lediglich einer einge-schränkten Dienstaufsicht durch den Verwaltungsrat. Die Dienstaufsicht ist auf schwere Verfehlungen durch den Beauftragten für den Datenschutz der Deutschen Welle und den Verlust der Voraussetzungen für die Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz der Deutschen Welle beschränkt. Eine Rechts- und Fachaufsicht ist nicht mehr vorgesehen, so dass eine vollständige Weisungsfreiheit gegeben ist.
Zu § 64 Absatz 5: Die Regelung beruht auf § 42 Absatz 1 Satz 3 BDSG a. F. Sie bezieht sich auf Artikel 52 Absatz 3 der Verordnung (EU) 2016/679. Um die Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle zu stärken, ist die Ausübung von anderen Aufgaben neben dem Amt, welche die Unabhängigkeit gefährden können, nicht zulässig.
Zu § 64 Absatz 6: Die Regelungen zur Beendigung des Amtes des Beauftragten für den Datenschutz der Deutschen Welle wurden neu aufgenommen. Sie beruhen auf Artikel 53
– 103 –
Absätze 3 und 4. 54 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 und konkreti-sieren diese. Das Amt endet durch Ablauf der Amtszeit, durch Rücktritt oder mit Erreichen des gesetzlichen Renteneintrittsalters. Tarifvertragliche Regelungen zum Renteneintritts-alter sind weiterhin möglich.
Zu § 64 Absatz 7: Neben den in Absatz 6 genannten ordentlichen Gründen der Amtsbe-endigung ist in Absatz 7 die Amtsenthebung als außerordentlicher Grund der Amtsbeen-digung geregelt. Satz 2 regelt das Verfahren der Amtsenthebung.
Zu § 64 Absatz 8: Die Regelungen zur Ausstattung des Beauftragten für den Datenschutz der Deutschen Welle sind neu aufgenommen und beruhen auf Artikel 52 Absätze 4 bis 6 der Verordnung (EU) 2016/679. Zur Sicherung der Unabhängigkeit muss dem Beauftrag-ten für den Datenschutz der Deutschen Welle die zur Erfüllung der Aufgaben notwendige Ausstattung zur Verfügung gestellt werden. Die Ausstattung kann dabei insbesondere Personal, die Sachausstattung, die Räumlichkeiten, die Infrastruktur sowie technische und finanzielle Ressourcen umfassen. Satz 3 sichert die Unabhängigkeit der Aufsichtsbehörde auch gegenüber einer Finanzkontrolle, an die der Beauftragte für den Datenschutz der Deutschen Welle grundsätzlich gebunden bleibt. Die Finanzkontrolle soll durch den Ver-waltungsrat erfolgen, damit die Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle gewährleistet bleibt. Sofern zur Ausübung des Amtes der Einsatz von Mitarbeitern notwendig ist, ist der Beauftragte für den Datenschutz der Deutschen Welle in der Wahl der Mitarbeiter frei.
Zu § 65 Absatz 1: Der Beauftragte für den Datenschutz der Deutschen Welle ist alleinige Aufsicht im Bereich der Datenverarbeitung zu journalistischen Zwecken. Aufgrund der gemäß Artikel 11 Charta der Grundrechte der Europäischen Union, Artikel 10 Europäi-sche Menschenrechtskonvention und Artikel 5 Absatz 1 Satz 2 Grundgesetz gewährleiste-ten Rundfunkfreiheit und nach Erwägungsgrund 153 der Verordnung (EU) 2016/679 ist der Begriff „journalistisch“ weit auszulegen. Es sind daher auch Voraussetzungen und Hilfstätigkeiten eingeschlossen, ohne welche die Medien ihre Funktion nicht in angemes-sener Weise erfüllen können (vgl. BVerfG, Urteil vom 12.03.2003, 1 BvR 330/96, Rdnr. 103). Auch für Verwaltungstätigkeiten ist der Beauftragte für den Datenschutz der Deut-schen Welle daher die zuständige Kontrollinstanz, soweit diese Rückwirkungen auf jour-nalistische Tätigkeiten haben können. Der Beauftragte für den Datenschutz der Deut-schen Welle ist auch zuständig für die Überwachung der Datenverarbeitung zu journalisti-schen Zwecken durch Hilfsunternehmen der Deutschen Welle. Nur soweit die Zuständig-keit des Beauftragten für den Datenschutz der Deutschen Welle nicht gegeben ist, obliegt die Aufsicht über die Einhaltung von Datenschutzbestimmungen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der Beauftragte für den Datenschutz der Deutschen Welle hat bei der Klärung der Zuständigkeit gegenüber dem Bundesbeauftrag-ten für den Datenschutz den Informantenschutz zu wahren.
Satz 2 soll durch die Formulierung „entsprechend“ in der Rechtsanwendung im Einzelfall eine sach- und interessengerechte Anwendung der Regeln unter Berücksichtigung des Sinn und Zwecks des Artikel 85 der Verordnung (EU) 2016/679 sicherstellen. Die Befug-nisse darf der Beauftragte für den Datenschutz der Deutschen Welle im journalistischen Bereich nur insoweit ausüben, als dies zur Überwachung der im Medienprivileg enthalte-nen Verpflichtungen der Deutschen Welle erforderlich ist.
Satz 3 führt hinsichtlich der Verarbeitung reiner Verwaltungsdaten eine Aufsichtsbefugnis des BfDI neu ein.
Zu § 65 Absatz 2: In Abweichung von Artikel 57 Absatz 1 Buchstabe g sowie von den Ar-tikeln 60ff der Verordnung (EU) 2016/679 hat der Beauftragte für den Datenschutz der Deutschen Welle bei der Zusammenarbeit mit anderen Aufsichtsbehörden den Informan-tenschutz zu wahren. Ansonsten könnte das Medienprivileg leerlaufen, da er gegebenen-
– 104 –
falls auch bei der Überwachung der Datensicherheit Informationen z. B. über Quellen er-hält.
Zu § 65 Absatz 3: Mit dieser Regelung wird von der Möglichkeit des Artikels 83 Absatz 7 der Verordnung (EU) 2016/679 Gebrauch gemacht. Damit ist auch die Befugnis nach Arti-kel 58 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 gegenüber der Deutschen Welle ausgeschlossen. Gegenüber einzelnen Verantwortlichen, die gegen Datenschutz-vorschriften verstoßen haben, ist es möglich, ein Bußgeld zu verhängen.
Zu § 65 Absätze 4 und 5: Die Verfahrensregelungen bei Verstößen gegen Vorschriften des Datenschutzes sind neu aufgenommen worden und beruhen auf Artikel 58 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679. Die Möglichkeiten zur Stellungnahme für den Intendanten und für die Verantwortlichen des Hilfsunternehmens in Absatz 4 Satz 1 und 2 dienen ihrer Anhörung. Die Aufforderung zur Stellungnahme in Absatz 4 Satz 1 ist in der Verordnung (EU) 2016/679 nicht vorgesehen, eine Regelung wird aber durch Arti-kel 58 Absatz 6 eröffnet. Die Unterrichtungspflichten sollen die Transparenz des Verfah-rens erhöhen. Zur Verfahrensvereinfachung und zur Sicherung der Unabhängigkeit des Beauftragten für den Datenschutz der Deutschen Welle wird diesem bei der Entschei-dung, von der Beanstandung abzusehen, ein Ermessensspielraum eingeräumt, z. B. wenn es sich um unerhebliche Mängel handelt oder wenn ihre unverzügliche Behebung sichergestellt ist.
Zu § 65 Absatz 6: Die Regelung beruht auf § 42 Absatz 4 BDSG a. F. Die Neufassung bezieht sich auf Artikel 59 der Verordnung (EU) 2016/679. Einer besonderen Schriftform oder elektronischen Signatur bedarf es nicht. Die bisher vorgesehene weitere Berichts-pflicht ist nicht mit der Unabhängigkeit der Aufsichtsbehörde vereinbar und daher zu strei-chen.
Zu § 66: Die §§ 5 bis 7 BDSG sehen wie das BDSG a. F. einen internen Datenschutzbe-auftragten vor – neben dem als Aufsichtsbehörde fungierenden Beauftragten für den Da-tenschutz der Deutschen Welle nach § 64 Absatz 1 Satz 1 DWG. Die Regelung entspricht § 42 Absatz 5 BDSG a. F. und der von der Verordnung (EU) 2016/679 vorgesehenen Struktur, die neben den unabhängigen Kontrollstellen nach Artikel 51ff einen internen Da-tenschutzbeauftragten gemäß Artikel 37 der Verordnung (EU) 2016/679 vorsieht, der auf die Einhaltung der datenschutzrechtlichen Vorschriften intern hinwirkt. Er wird vom Inten-danten benannt. Seine Benennung bedarf der Zustimmung des Verwaltungsrats.
Zu Artikel 42 (Änderung des Wohnraumförderungsgesetzes)
Es handelt sich um eine Folgeänderung aufgrund der Anpassung der Begriffe des Erhe-bens, Verarbeitens und Nutzens von Daten in § 3 Absatz 3 bis 5 BDSG a. F. an den Ver-arbeitungsbegriff nach Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Die Verarbei-tung der Daten ist nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Absatz 2 der Verordnung (EU) 2016/679 zulässig.
Zu Artikel 43 (Änderung des Zweiten Dopingopfer-Hilfegesetzes)
Mit den Änderungen wird das Zweite Dopingopfer-Hilfegesetz an die Begriffsbestimmun-gen des Artikels 4 der Verordnung (EU) 2016/679 angepasst. Zudem werden die beste-henden Verweise an die Neufassung des BDSG angepasst. Eine Änderung der beste-henden Rechtslage ist hiermit nicht verbunden.
Satz 1 sieht wie bisher § 7 Absatz 1 Nr. 1 eine strikte Zweckbindung vor. Personenbezo-gene Daten dürfen danach ausschließlich zu Zwecken der Durchführung des Zweiten Dopingopfer-Hilfegesetzes verarbeitet werden. Die Regelung beruht auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Absatz 2 und 3 der Verordnung (EU) 2016/679, da die Verarbeitung der personenbezogenen Daten zur Erfüllung einer im öf-
– 105 –
fentlichen Interesse liegenden Aufgabe erfolgt. Durch das Gesetz soll das Unrecht, dass die Athletinnen und Athleten der DDR durch das Doping erlitten haben, moralisch als sol-ches anerkannt werden und die betroffenen Sportlerinnen und Sportler eine finanzielle Hilfe erhalten.
Die Verarbeitung von Gesundheitsdaten beruht auf Artikel 9 Absatz 2 Buchstabe f (Gel-tendmachung von Rechtsansprüchen) sowie Artikel 9 Absatz 2 Buchstabe g (erhebliches öffentliches Interesse) der Verordnung (EU) 2016/679.
Die Verarbeitung von personenbezogenen Daten ist wie bisher auch mit der Einwilligung der betroffenen Person zulässig. Dies ergibt sich unmittelbar aus Artikel 6 Absatz 1 Un-terabsatz 1 Buchstabe a der Verordnung (EU) 2016/679. Die Verarbeitung von Gesund-heitsdaten ist mit ausdrücklicher Einwilligung der betroffenen Person aufgrund des Arti-kels 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 zulässig.
In Satz 2 wird die Neufassung des BDSG durch redaktionelle Anpassung der Verweise nachvollzogen. Die Nichtanwendbarkeit des § 23 BDSG sichert den Zweckbindungs-grundsatz des Satzes 1 ab.
Zu Artikel 44 (Änderung des Strafrechtlichen Rehabilitierungsgesetzes)
Die bisherige nationale Regelung zur Verwendung personenbezogener Daten ist an die in der Verordnung (EU) 2016/679 verwandten Begrifflichkeiten anzupassen. Es handelt sich lediglich um eine redaktionelle Anpassung, die keine inhaltlichen Änderungen nach sich zieht.
Zu Nummer 1
Es handelt sich um eine Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Bisher umfasste der Begriff Verwendung nach § 3 Ab-satz 5 BDSG a. F. sowohl die Nutzung als auch Vorgänge der Verarbeitung. Gemäß Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 ist Verwendung nur ein Unterfall der Ver-arbeitung. Um sicherzustellen, dass die Überschrift alle in der Vorschrift behandelten Da-tenverarbeitungsvorgänge erfasst, wird nunmehr der Oberbegriff der Verarbeitung ge-wählt.
Zu Nummer 2
Sinn und Zweck der Regelung in § 25a StrRehaG ist es weiterhin, den im Rahmen des strafrechtlichen Rehabilitierungsverfahrens zuständigen Behörden zu erlauben, bei ihnen gewonnene personenbezogene Daten auch an andere für Rehabilitierungs- oder Wieder-gutmachungsverfahren zuständige Behörden zu übermitteln, um z. B. eine Prüfung von leistungsausschließenden Gründen zu gewährleisten. Es können auch Erkenntnisse über Mehrfach- oder Zuvielleistungen in einem anderen Rehabilitierungsverfahren, die im straf-rechtlichen Rehabilitierungsverfahren gewonnen wurden, an die für das andere Rehabili-tierungsverfahren zuständige Stelle übermittelt werden (vgl. BT-Drs. 12/7048 S. 37, 40 und 43). Durch die Verwendung des weiten Begriffs der Verarbeitung erfolgt insofern kei-ne Ermächtigungserweiterung. Die im weiten Begriff der Verarbeitung im Sinne des Arti-kels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Befugnis zur Erhebung von Daten bezieht sich im Sinne der sogenannten Doppeltür-Theorie allein auf die Daten, die von den zuständigen Behörden im Rahmen des strafrechtlichen Rehabilitierungsverfah-rens auf der Grundlage des StrRehaG erhoben und an andere für Rehabilitierungs- oder Wiedergutmachungsverfahren zuständige Behörden übermittelt wurden. Weitergehende Erhebungsbefugnisse werden für die Behörden, die für die anderen Rehabilitierungs- oder Wiedergutmachungsverfahren zuständig sind, nicht geschaffen.
– 106 –
Zu Artikel 45 (Änderung des Verwaltungsrechtlichen Rehabilitierungsgesetzes)
Die bisherige nationale Regelung zur Verwendung personenbezogener Daten ist an die in der Verordnung (EU) 2016/679 verwandten Begrifflichkeiten anzupassen. Es handelt sich lediglich um eine redaktionelle Anpassung, die keine inhaltlichen Änderungen nach sich zieht.
Zu Nummer 1
Es handelt sich um eine Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Bisher umfasste der Begriff Verwendung nach § 3 Ab-satz 5 BDSG a. F.sowohl die Nutzung als auch Vorgänge der Verarbeitung. Gemäß Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 ist Verwendung nur ein Unterfall der Ver-arbeitung. Um sicherzustellen, dass die Überschrift alle in der Vorschrift behandelten Da-tenverarbeitungsvorgänge erfasst, wird nunmehr der Oberbegriff der Verarbeitung ge-wählt.
Zu Nummer 2
Sinn und Zweck der Regelung in § 11 VwReha ist es weiterhin, den im Rahmen des Re-habilitierungsverfahrens zuständigen Behörden zu erlauben, bei ihnen gewonnene perso-nenbezogene Daten auch an andere für Rehabilitierungs- oder Wiedergutmachungsver-fahren zuständige Behörden zu übermitteln, um z. B. eine Prüfung von leistungsaus-schließenden Gründen zu gewährleisten. Es können auch Erkenntnisse über Mehrfach- oder Zuvielleistungen in einem anderen Rehabilitierungsverfahren, die im verwaltungs-rechtlichen Rehabilitierungsverfahren gewonnen wurden, an die für das andere Rehabili-tierungsverfahren zuständige Stelle übermittelt werden (vgl. BT-Drs. 12/7048 S. 37, 40 und 43). Durch die Verwendung des weiten Begriffs der Verarbeitung erfolgt insofern kei-ne Ermächtigungserweiterung. Die im weiten Begriff der Verarbeitung im Sinne des Arti-kels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Befugnis zur Erhebung von Daten bezieht sich im Sinne der sogenannten Doppeltür-Theorie allein auf die Daten, die von den zuständigen Behörden im Rahmen des verwaltungsrechtlichen Rehabilitierungs-verfahrens auf der Grundlage des VwRehaG erhoben und an andere für Rehabilitierungs- oder Wiedergutmachungsverfahren zuständige Behörden übermittelt wurden. Weiterge-hende Erhebungsbefugnisse werden für die Behörden, die für die anderen Rehabilitie-rungs- oder Wiedergutmachungsverfahren zuständig sind, nicht geschaffen.
Zu Artikel 46 (Änderung des Beruflichen Rehabilitierungsgesetzes)
Die bisherige nationale Regelung zur Verwendung personenbezogener Daten ist an die in der Verordnung (EU) 2016/679 verwandten Begrifflichkeiten anzupassen. Es handelt sich lediglich um eine redaktionelle Anpassung, die keine inhaltlichen Änderungen nach sich zieht.
Zu Nummer 1
Es handelt sich um eine Anpassung an die Begriffsbestimmung des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679. Bisher umfasste der Begriff Verwendung nach § 3 Ab-satz 5 BDSG a. F. sowohl die Nutzung als auch Vorgänge der Verarbeitung. Gemäß Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 ist Verwendung nur ein Unterfall der Ver-arbeitung. Um sicherzustellen, dass die Überschrift alle in der Vorschrift behandelten Da-tenverarbeitungsvorgänge erfasst, wird nunmehr der Oberbegriff der Verarbeitung ge-wählt.
– 107 –
Zu Nummer 2
Sinn und Zweck der Regelung in § 19 BerRehaG ist es weiterhin, den im Rahmen des Rehabilitierungsverfahrens zuständigen Behörden zu erlauben, bei ihnen gewonnene personenbezogene Daten auch an andere für Rehabilitierungs- oder Wiedergutma-chungsverfahren zuständige Behörden zu übermitteln, um z. B. eine Prüfung von leis-tungsausschließenden Gründen zu gewährleisten. Es können auch Erkenntnisse über Mehrfach- oder Zuvielleistungen in einem anderen Rehabilitierungsverfahren, die im be-ruflichen Rehabilitierungsverfahren gewonnen wurden, an die für das andere Rehabilitie-rungsverfahren zuständige Stelle übermittelt werden (vgl. BT-Drs. 12/7048 S. 37, 40 und 43). Durch die Verwendung des weiten Begriffs der Verarbeitung erfolgt insofern keine Ermächtigungserweiterung. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Befugnis zur Erhebung von Daten bezieht sich im Sinne der sogenannten Doppeltür-Theorie allein auf die Daten, die von den zuständigen Behörden im Rahmen des beruflichen Rehabilitierungsverfahrens auf der Grundlage des BerRehaG erhoben und an andere für Rehabilitierungs- oder Wieder-gutmachungsverfahren zuständige Behörden übermittelt wurden. Weitergehende Erhe-bungsbefugnisse werden für die Behörden, die für die anderen Rehabilitierungs- oder Wiedergutmachungsverfahren zuständig sind, nicht geschaffen.
Zu Artikel 47 (Änderung des AZR-Gesetzes)
Zu Nummer 1
Die Änderungen erfolgen im Gleichklang mit den Änderungen der einzelnen Überschriften (vgl. jeweilige Begründungen unten).
Zu Nummer 2
Die Neufassung trägt dem Umstand Rechnung, dass gemäß Artikel 4 Nummer 2 der Ver-ordnung (EU) 2016/679 der Begriff der Datenverarbeitung auch den Prozess der Daten-erhebung erfasst, das AZRG aber generell keine Datenerhebungsvorschriften enthält.
Zu Nummer 3
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 4
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 5
Die Änderungen tragen dem Umstand Rechnung, dass die Pflicht zur Datenaktualität künftig bereits unmittelbar aus Artikel 5 Absatz 1 Buchstabe d der Datenschutzgrundver-ordnung folgt, und nehmen Anpassungen an die in der (EU) 2016/679 verwendeten Be-grifflichkeiten vor.
Zu Nummer 6
Die Änderungen tragen dem Umstand Rechnung, dass das Auskunftsrecht der betroffe-nen Person künftig direkt aus Artikel 15 der Verordnung (EU) 2016/679 und die Benach-richtigung der betroffenen Person künftig direkt aus Artikel 19 der Verordnung (EU) 2016/679 folgt.
– 108 –
Zu Nummer 7
Bei den Änderungen handelt es sich jeweils um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 8
Bei den Änderungen handelt es um Anpassungen an die in der Verordnung (EU) 2016/679 und in Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Nummer 9
Die Ersetzung trägt dem Umstand Rechnung, dass das Auskunftsrecht der betroffenen Person künftig direkt aus Artikel 15 der Verordnung (EU) 2016/679 und die Benachrichti-gung der betroffenen Person künftig direkt aus Artikel 19 der Verordnung (EU) 2016/679 folgt.
Zu Nummer 10
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 11
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 12
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 13
Zu Buchstabe a
Zu Doppelbuchstabe aa
Bei der Ersetzung handelt es sich um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Die Streichung trägt dem Umstand Rechnung, dass im BDSG eine Regelung zum auto-matisierten Abrufverfahren nicht mehr enthalten ist.
Zu Doppelbuchstabe bb
Die Streichung trägt dem Umstand Rechnung, dass im BDSG eine Regelung zum auto-matisierten Abrufverfahren nicht mehr enthalten ist.
Zu Doppelbuchstabe cc
Die Ersetzungen passen die Begrifflichkeiten an die in Teil 1 Kapitel 4 des BDSG verwen-deten Begrifflichkeiten an und tragen dem Umstand Rechnung, dass die von den am au-tomatisierten Abrufverfahren teilnehmenden Stellen zu ergreifenden Datenschutzmaß-nahmen künftig weitestgehend aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 folgen.
– 109 –
Zu Buchstabe b
Die Ersetzungen passen die Begrifflichkeiten an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten an und tragen dem Umstand Rechnung, dass die von den am automatisierten Abrufverfahren teilnehmenden Stellen zu ergreifenden Datenschutz-maßnahmen künftig weitestgehend aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 folgen.
Zu Nummer 14
Zu Buchstabe a
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe c
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe d
Die bestehende Rechtslage wird beibehalten. Die Pflicht zur Pseudonymisierung der be-treffenden Daten ergibt sich künftig unmittelbar aus § 24a Absatz 3 Satz 1 AZRG in Ver-bindung mit Artikel 89 Absatz 1 Satz 2 der Verordnung (EU) 2016/679. Die Aufhebung des bisherigen Absatzes 3 Satz 2 trägt dem Umstand Rechnung, dass sich die Pflicht zur gesonderten Aufbewahrung der Identifikatoren künftig unmittelbar aus der Definition der Pseudonymisierung in Artikel 4 Nummer 5 der Verordnung (EU) 2016/679 ergibt.
Zu Buchstabe e
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe f
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 15
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 16
Die Neufassung trägt dem Umstand Rechnung, dass für Datenübermittlungen innerhalb der EU keine gesonderte Rechtsgrundlage erforderlich ist, sondern nunmehr die allge-meinen Übermittlungsregelungen des AZRG greifen. Für Datenübermittlung außerhalb der EU ist Kapitel V der Verordnung (EU) 2016/679 maßgeblich.
– 110 –
Zu Nummer 17
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 18
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 19
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 20
Zu Buchstabe a
Bei der Ersetzung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Die Neufassung trägt dem Umstand Rechnung, dass das Auskunftsrecht der betroffenen Person unmittelbar aus Artikel 15 der Verordnung (EU) 2016/679 folgt.
Zu Buchstabe c
Die Ersetzungen dienen der Klarstellung, dass es sich bei der Regelung des § 34 Ab-satz 2 um eine abschließende Einschränkung des Betroffenenrechts handelt, und nehmen eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten vor. Die Einschränkung des Auskunftsrechts ist zulässig nach Artikel 23 Absatz 1 Buch-staben a, c, e und i der Verordnung (EU) 2016/679.
Zu Buchstabe d
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe e
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe f
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Nummer 21
Die Ersetzung passt den Verweis an das neue BDSG an.
– 111 –
Zu Nummer 22
Bei der Neufassung handelt es sich um eine Anpassung an die in Artikel 4 Nummer 3 der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 23
Die Einfügung stellt klar, dass sich die Pflicht zur Datenpflege bereits aus Artikel 5 Ab-satz 1 Buchstabe d der Verordnung (EU) 2016/679 ergibt.
Zu Nummer 24
Bei den Änderungen handelt es sich jeweils um Anpassungen an die der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 25
Zu Buchstabe a
Bei der Neufassung handelt es sich um eine Anpassung an die in Artikel 4 Nummer 3 der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Die Neufassung trägt dem Umstand Rechnung, dass das Recht auf Einschränkung der Verarbeitung unmittelbar aus Artikel 18 der Verordnung (EU) 2016/679 folgt.
Zu Buchstabe c
Die bisherige Rechtslage wird beibehalten. Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 26
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 27
Bei den Ersetzungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 28
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Artikel 48 (Änderung des Asylgesetzes)
Zu Nummer 1
Zu Buchstabe a
§ 3 Absatz 9 BDSG a. F., auf den § 7 Absatz 1 Satz 2 AsylG a. F. Bezug nimmt, ist im BDSG nicht mehr enthalten. Bei den genannten Daten handelt es sich um sensible Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679. Die Verordnung (EU) 2016/679 bietet Spielraum für die Verarbeitung besonderer Kategorien von personenbe-
– 112 –
zogenen Daten. Der Verweis des § 7 AsylG wurde entsprechend an die Verordnung (EU) 2016/679 angepasst. Die Datenverarbeitung kann im Einzelfall erforderlich sein, wenn in Hinblick auf die genannten Daten ein erhebliches öffentliches Interesse (Artikel 9 Absatz 2 Buchstabe g der Verordnung [EU] 2016/679) besteht, etwa bei Relevanz für Entscheidun-gen über die Gewährung von Asyl, Zuerkennung der Flüchtlingseigenschaft, Zuerkennung von subsidiärem Schutz und der Feststellung von Abschiebungsverboten.
Zu Buchstabe b
Bei den Änderungen handelt es sich um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Nummer 2
Zu Buchstabe a
Bei den Änderungen handelt es sich um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe c
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe d
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe e
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe f
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten sowie um entsprechende grammatikalische Folgeänderungen.
Zu Buchstabe g
Es handelt sich um eine Folgeänderung zur Streichung des § 20 Absatz 5 BDSG a. F. § 36 BDSG normiert den Ausschluss des Widerrufsrechts nach Artikel 21 Absatz 1 der Verordnung (EU) 2016/679. Zur Anwendbarkeit dieser Norm bedarf es keines expliziten Verweises. Das BDSG findet Anwendung, wenn sich aus dem AsylG keine spezielleren Regelungen ergeben.
Zu Nummer 3
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
– 113 –
Zu Nummer 4
Bei der Änderung handelt es sich um eine Folgeänderung zur Streichung des § 48 Ab-satz 3a Satz 8 Aufenthaltsgesetz a. F.
Zu Nummer 5
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten. Die Übermittlung personenbezogener Da-ten gemäß Absatz 3a muss im Einklang mit den sonstigen allgemeinen datenschutzrecht-lichen Vorschriften stehen.
Zu Nummer 6
Bei der Änderung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Artikel 49 (Änderung des Aufenthaltsgesetzes)
Aus partiellen Verweisen des AufenthG auf das BDSG folgt nicht, dass ein Rückgriff auf das BDSG im Übrigen ausgeschlossen werden soll. Vielmehr findet das BDSG grundsätz-lich Anwendung, sofern sich aus dem AufenthG keine spezielleren Regelungen ergeben.
Zu Nummer 1
Die Änderung vollzieht die in Verordnung (EU) 2016/679 angelegte Änderung der Begriff-lichkeit.
Zu Nummer 2
Gemäß Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die Datenverarbei-tung auch die Datenübermittlung. Um die Reichweite der Ermächtigungsgrundlage für den Erlass der Rechtsverordnung durch die Streichung der Wörter „die erforderliche Daten-übermittlung zwischen den beteiligten Stellen und“ nicht zu verkürzen, werden auch die Wörter „durch das Bundesamt für Migration und Flüchtlinge“ gestrichen. Es handelt sich bei den Änderungen lediglich um redaktionelle Änderungen des Wortlauts.
Zu Nummer 3
Gemäß Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die Datenverarbei-tung auch die Datenübermittlung. Um die Reichweite der Ermächtigungsgrundlage für den Erlass der Rechtsverordnung durch die Streichung der Wörter „die erforderliche Daten-übermittlung zwischen den beteiligten Stellen und“ nicht zu verkürzen, werden auch die Wörter „durch das Bundesamt für Migration und Flüchtlinge“ gestrichen. Es handelt sich bei den Änderungen lediglich um redaktionelle Änderungen des Wortlauts.
Zu Nummer 4
Die Verordnung (EU) 2016/679 gilt unmittelbar. Die Pflicht zur Löschung ergibt sich be-reits direkt aus Artikel 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679. Satz 8 ist daher aufzuheben.
Zu Nummer 5
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit nach.
– 114 –
Zu Nummer 6
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 6 – an-gelegte Änderung der Begrifflichkeit nach.
Zu Nummer 7
Zu Buchstabe a
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679. § 56a Absatz 5 Satz 1 AufenthG wird daher um einen entsprechenden deklaratorischen Hinweis auf die Verordnung (EU) 2016/679 Hinweis ergänzt.
Zu Doppelbuchstabe bb
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Doppelbuchstabe cc
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Buchstabe c
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Nummer 8
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Nummer 9
Zu Buchstabe a
Zu Doppelbuchstabe aa Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 6 – an-gelegte Änderung der Begrifflichkeit.
Zu Doppelbuchstabe bb
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679. § 72a Absatz 2 Satz 3 AufenthG wird daher um einen entsprechenden deklaratorischen Hinweis auf die Verordnung (EU) 2016/679 ergänzt.
– 115 –
Zu Buchstabe b
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Buchstabe c
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Art. 24, 25 und 32 der Verordnung (EU) 2016/679. § 72a Absatz 7 AufenthG wird daher um einen entsprechenden deklaratorischen Hinweis auf die Verordnung (EU) 2016/679 ergänzt.
Zu Nummer 10
Die Änderungen vollziehen die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – angelegte Änderung der Begrifflichkeit.
Zu Nummer 11
Zu Buchstabe a
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679. § 78 Absatz 3 Satz 2 AufenthG wird um einen entsprechenden Hinweis ergänzt.
Zu Buchstabe b
Hierbei handelt es sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe c
Hierbei handelt es sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Nummer 12
Zu Buchstabe a
Hierbei handelt es sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe b
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679. § 78 Absatz 3 Satz 2 AufenthG wird um einen entsprechenden Hinweis ergänzt.
Zu Nummer 13
Es handelt sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Nummer 14
§ 3 Absatz 9 BDSG a. F., auf den § 86 Satz 2 a. F. Bezug nimmt, ist im BDSG nicht mehr enthalten. Bei den genannten Daten handelt es sich um sensible Daten im Sinne des Arti-
– 116 –
kels 9 Absatz 1 der Verordnung (EU) 2016/679. Artikel 9 Absatz 2 der Verordnung (EU) 2016/679, insbesondere dessen Buchstabe g, bietet Spielraum für die Verarbeitung be-sonderer Kategorien von personenbezogenen Daten. Der Verweis des § 86 AufenthG wurde entsprechend an die Verordnung (EU) 2016/679 angepasst. Die Datenverarbeitung kann im Einzelfall erforderlich sein, wenn in Hinblick auf die genannten Daten ein erhebli-ches öffentliches Interesse besteht, etwa bei Relevanz für Entscheidungen über Auswei-sung, Aussetzung der Abschiebung oder auch der Entscheidung über die Gewährung eines Titels aus humanitären Gründen
Zu Nummer 15
Hierbei handelt es sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Nummer 16
Zu Buchstabe a
Zu Doppelbuchstabe aa
Die Änderung vollzieht die in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angeleg-ten Begrifflichkeiten nach, soweit sie die Ersetzung von Begrifflichkeiten umfasst.
Im Übrigen wird eine neue Übermittlungsbefugnis für das Bundesamt für Migration und Flüchtlinge zum Zweck der Integration in den Arbeitsmarkt eingeführt. De lege lata ist das Bundesamt für Migration und Flüchtlinge gemäß § 88a Absatz 1 Satz 3 nicht berechtigt, das teilnehmerbezogene Datum der „Bescheinigung der erfolgreichen Teilnahme“ am Integrationskurs (vgl. § 88a Absatz 1 Satz 1) insbesondere an die Bundesagentur für Ar-beit und die Träger der Grundsicherung für Arbeitsuchende zu übermitteln, obwohl dieses Datum dort von erheblicher Bedeutung für die Frage weiterer Maßnahmen zur Integration in den Arbeitsmarkt ist. Dies führt zu dem unbefriedigenden Ergebnis, dass der Kunde der Bundesagentur und/oder des Trägers der Grundsicherung für Arbeitsuchende dieses Da-tum eigenständig dorthin übermitteln muss, wodurch im Vergleich zu einer Übermittlung durch das Bundesamt für Migration und Flüchtlinge Zeitverlust, Datenverlust und die Ge-fahr der Übergabe veränderter Daten droht. Da die Bundesagentur und die Träger der Grundsicherung für Arbeitsuchende ihre Kunden zur Vorlage verpflichten können, wird durch die Übermittlungsermächtigung de lege ferenda auch kein Datum offengelegt, dass durch diese Behörden nicht ohnehin erhoben werden könnte. Es wird lediglich Gefahren der Störung in der Erhebung begegnet.
Zu Doppelbuchstabe bb
Soweit die Änderung den Begriff der „Verarbeitung“ unberührt lässt, ist gemäß Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 jeder Umgang mit Daten, auch die Nutzung, von diesem umfasst. Es handelt sich daher insoweit lediglich um eine redaktionelle Ände-rung des Wortlauts.
Im Übrigen dient die Neufassung der Präzisierung der Einschränkung der Befugnis zum Umgang mit teilnehmerbezogenen Daten durch § 88a Absatz 1 Satz 4.
Zu Buchstabe b
Die Änderung vollzieht die in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angeleg-ten Begrifflichkeiten nach.
– 117 –
Zu Buchstabe c
Die Änderung vollzieht die in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angeleg-ten Begrifflichkeiten nach. Zudem darf das Bundesamt für Migration und Flüchtlinge in Zukunft das teilnehmerbezogene Datum der „Bescheinigung der erfolgreichen Teilnahme“ an Maßnahmen der berufsbezogenen Deutschsprachförderung nach § 45a insbesondere an die Bundesagentur für Arbeit und die Träger der Grundsicherung für Arbeitsuchende übermitteln, da dieses Datum von erheblicher Bedeutung für die Frage weiterer Maßnah-men zur Integration in den Arbeitsmarkt ist. Im Übrigen gilt die Begründung zu Nummer 16 Buchstabe a, Doppelbuchstabe aa entsprechend.
Zu Nummer 17
Die Übermittlung personenbezogener Daten muss im Einklang mit Kapitel V der Verord-nung (EU) 2016/679 und den sonstigen allgemeinen datenschutzrechtlichen Vorschriften stehen.
Zu Buchstabe a
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Doppelbuchstabe bb
Die Änderung vollzieht die in Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 2 – an-gelegte Änderung der Begrifflichkeit.
Zu Nummer 18
Zu Buchstabe a
Die Anpassung des Absatzes 5 Satz 2 folgt aus dem Umstand, dass das BDSG die Vo-raussetzungen für automatisierte Abrufverfahren mit Wirkung zum 25. Mai 2018 nicht mehr vorsieht. Die entsprechenden Regelungen zum automatisierten Abrufverfahren wer-den daher entsprechend § 10 Absätze 2 bis 4 BDSG a. F. im AufenthG geschaffen.
Zu Buchstabe b
Die Einfügungen zum automatisierten Abrufverfahren stützen sich auf Artikel 6 Absatz 3 der Verordnung (EU) 2016/679. Zum automatisierten Verfahren werden nur die in den Absätzen 1 bis 4 erfassten ersuchenden Stellen zugelassen.
Zu Buchstabe c
Die Pflicht zu technisch-organisatorischen Maßnahmen ergibt sich unmittelbar aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679. § 89a Absatz 8 AufenthG wird da-her um einen entsprechenden deklaratorischen Hinweis auf die Verordnung (EU) 2016/679 ergänzt.
– 118 –
Zu Nummer 19
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst.
Zu Nummer 20
Zu Buchstabe a
Bei der Neufassung des § 91 Absatz 1 handelt es sich um eine redaktionelle Änderung. Die Befristung des Einreise- und Aufenthaltsverbotes (vormals § 11 Abs. 1 S. 3 AufenthG a.F.) ist nunmehr in § 11 Abs. 2 AufenthG geregelt.
Zu Buchstabe b
Der Verweis in § 91 Absatz 3 ist aufgrund der Streichung des § 20 Absatz 5 BDSG a. F. aufzuheben. Auf den § 36 BDSG, der den Ausschluss des Widerspruchsrechts normiert und im Ergebnis der alten Rechtslage korrespondiert, wird verwiesen.
Zu Nummer 21
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen der Verordnung (EU) 2016/679, insbesondere des Artikels 4 Nummern 1 und 3, angepasst.
Zu Nummer 22
Der Verweis auf § 4b BDSG a. F. ist aufgrund der ersatzlosen Streichung der Regelung durch den Verweis auf die entsprechenden Regelungen zu Übermittlungen personenbe-zogener Daten an Drittländer oder an internationale Organisationen in der Verordnung (EU) 2016/679 zu ersetzen.
Zu Nummer 23
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen der Verordnung (EU) 2016/679, insbesondere des Artikels 4 Nummer 2 angepasst.
Zu Nummer 24
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen der Verordnung (EU) 2016/679, insbesondere des Artikels 4 Nummer 2 angepasst.
Zu Nummer 25
Zu Buchstabe a
Zu Doppelbuchstabe aa
Die Änderung vollzieht die in der Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 6 – angelegte Änderung der Begrifflichkeit.
Zu Doppelbuchstabe bb
Die Änderung vollzieht die in der Verordnung (EU) 2016/679 – dort Artikel 4 Nummer 6 – angelegte Änderung der Begrifflichkeit.
– 119 –
Zu Buchstabe b
Der deklaratorische Verweis auf die Verordnung (EU) 2016/679 in Satz 4 erfolgt zur Klar-stellung.
Zu Artikel 50 (Änderung des Visa-Warndateigesetzes)
Zu Nummer 1
Die Änderungen erfolgen im Gleichklang mit den Änderungen der einzelnen Überschriften (vgl. jeweilige Begründungen unten).
Zu Nummer 2
Die Einfügung trägt dem Umstand Rechnung, dass die von betroffenen Stellen zu ergrei-fenden Datenschutzmaßnahmen künftig weitestgehend aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 folgen.
Zu Nummer 3
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 BDSG verwendeten Begrifflichkeiten.
Zu Nummer 4
Bei den Änderungen handelt es sich um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe a
Die Ersetzung trägt dem Umstand Rechnung, dass die von den am automatisierten Ab-rufverfahren teilnehmenden Stellen zu ergreifenden Datenschutzmaßnahmen künftig wei-testgehend aus den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 folgen.
Zu Buchstabe b
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und in Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe c
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und in Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe d
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und in Teil 1 Kapitel 4 des BDSG verwendeten Begrifflichkeiten.
Zu Nummer 5
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
– 120 –
Zu Nummer 6
Zu Buchstabe a
Bei der Ersetzung handelt es sich um eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Die Ersetzung trägt dem Umstand Rechnung, dass das Auskunftsrecht der betroffenen Person unmittelbar aus Artikel 15 der Verordnung (EU) 2016/679 folgt.
Zu Buchstabe c
Bei den Änderungen handelt es sich jeweils um AnMpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe d
Bei den Änderungen handelt es sich jeweils um Anpassungen an die in der Verordnung (EU) 2016/679 und Teil 1 Kapitel 4 BDSG verwendeten Begrifflichkeiten.
Zu Buchstabe e
Zu Nummer 7
Die Einfügung trägt dem Umstand Rechnung, dass die Pflicht zur Datenaktualität künftig bereits unmittelbar aus Artikel 5 Absatz 1 Buchstabe d der Datenschutzgrundverordnung folgt.
Zu Nummer 8
Zu Buchstabe a
Die Neufassung ist eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Buchstabe b
Die Neufassung trägt dem Umstand Rechnung, dass das Recht auf Einschränkung der Verarbeitung unmittelbar aus Artikel 18 der Verordnung (EU) 2016/679 folgt.
Zu Buchstabe c
Zu Doppelbuchstabe aa
Die Aufhebung trägt dem Umstand Rechnung, dass das Recht auf Einschränkung der Verarbeitung unmittelbar aus Artikel 18 der Verordnung (EU) 2016/679 folgt.
Zu Doppelbuchstaben bb
Die Änderungen sind Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Doppelbuchstabe cc
Die Änderungen sind Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
– 121 –
Zu Doppelbuchstabe dd
Der neue Satz 2 entspricht dem bisherigen Satz 3.
Zu Nummer 9
Die Ersetzung ist eine Anpassung an die in der Verordnung (EU) 2016/679 verwendeten Begrifflichkeiten.
Zu Artikel 51 (Änderung des Gesetzes über den Auswärtigen Dienst)
Zu Nummer 1
Rechtsförmliche Änderungen der Inhaltsübersicht, insbesondere Anpassung der Zählbe-zeichnungen der Abschnitte des Gesetzes an die rechtsförmlichen Vorgaben, Änderung der Angabe zu § 34 als Folgeänderung zu Nummer 3 sowie Berichtigung der Angaben zu den §§ 17 und 36.
Zu Nummer 2
Siehe Begründung zu Nummer 1.
Zu Nummer 3
Die in § 34 vorgesehene datenschutzrechtliche Trennung in Zentrale und Auslandsvertre-tungen unterfällt nicht dem EU-Recht, da es sich um eine Regelung auf dem Gebiet der auswärtigen Angelegenheiten handelt (vgl. Artikel 5 Absatz 2 Satz 2 EUV). Die Bestim-mung, wer als Verantwortlicher gilt, steht im Organisationsermessen des Bundes, dessen Entscheidungsmaßstab die bestmögliche Aufgabenwahrnehmung auf dem Gebiet der auswärtigen Angelegenheiten sein muss. Die Verordnung (EU) 2016/679 ist auf das Ge-biet der auswärtigen Angelegenheiten nicht direkt, sondern nur aufgrund des Verweises in § 1 Absatz 8 BDSG anwendbar. Selbst im Anwendungsbereich der Verordnung (EU) 2016/679 können aufgrund der Öffnungsklausel des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 die Mitgliedstaaten selbst vorsehen, wer als Verantwortlicher gilt. Die Ab-schaffung der Organisationsnorm des § 34 des Gesetzes über den Auswärtigen Dienst (GAD) ist eine Angleichung an die in § 2 GAD geregelte Organisationsstruktur des Aus-wärtigen Amtes, welches als einheitliche Behörde eine einheitliche öffentliche Stelle im Sinne des § 2 Absatz 1 BDSG ist.
§ 34 GAD hat sich als nicht praxistauglich und – in Bezug auf die gesetzgeberische Inten-tion – obsolet erwiesen. Die Regelung entstand im Jahr 1990 vor dem sog. digitalen Wandel und ist heute nicht mehr zeitgemäß, weil sie die technologische Entwicklung nicht mehr zutreffend abbildet. Während 1990 die Datenverarbeitung ausschließlich dezentral an den einzelnen Auslandsvertretungen erfolgte, werden Daten heute vor allem zentral gespeichert. Der noch 1990 bestehende Mehrwert für den Datenschutz ist nicht mehr er-kennbar und systemfremd, da das Auswärtige Amt gemäß § 2 GAD in allen anderen Be-langen eine einheitliche Behörde ist. Die Datenübermittlung zwischen der Zentrale des Auswärtigen Amtes und den Auslandsvertretungen sowie zwischen den Auslandsvertre-tungen wird durch § 34 GAD entgegen den Anforderungen der täglichen Arbeit des Aus-wärtigen Amtes formell wie eine Datenübermittlung zwischen verschiedenen Behörden behandelt. Diese Durchbrechung der Verwaltungsstruktur durch eine datenschutzrechtli-che Ausnahmeregelung führt zu sehr unpraktikablen Aufsplitterungen, zudem auch zu Konflikten mit ggf. lokal anzuwendendem Recht des Gaststaates. Die Konsequenzen wurden damals nicht bedacht. So bedingt die Regelung, dass jede Auslandsvertretung ihren eigenen Datenschutzbeauftragten zu benennen hat. Das verursacht insbesondere an den vielen kleineren Auslandsvertretungen unverhältnismäßige Kapazitätsprobleme und kann wegen Interessenkonflikten oft nicht umgesetzt werden. Den Erfordernissen des
– 122 –
Datenschutzes kann durch einen zentralen Datenschutzbeauftragten sowie eine Arbeits-einheit für organisatorischen Datenschutz besser Rechnung getragen werden als durch die Aufsplitterung dieser Aufgabe auf dezentrale Datenschutzbeauftragte in dreistelliger Zahl. Ebenso kann ein zentrales Verzeichnis von Verarbeitungstätigkeiten (vgl. Artikel 30 Verordnung (EU) 2016/679) besser und effizienter vollständig und aktuell gehalten wer-den als hunderte von dezentralen Verzeichnissen, die sich weitgehend duplizieren. Auch im Beschäftigtendatenschutz führt es zu Problemen, wenn der Datenverkehr zwischen Auslandsvertretung und Zentrale als Übermittlung an eine „dritte Stelle“, ggf. sogar noch „ins Ausland“ zu behandeln ist, obwohl es für das Personal, egal ob örtlich oder rotierend, nur eine einheitliche Personalverwaltung im Auswärtigen Amt gibt.
Zu Artikel 52 (Änderung des Bundeszentralregistergesetzes)
Die Anpassung ist durch die Aufhebung des BDSG a. F. und unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 ab 25. Mai 2018 erforderlich.
Zu Nummer 1
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 2
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 3
Die Anpassung ist durch die unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 ab 25. Mai 2018 erforderlich.
Zu Nummer 4
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 5
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Protokolldaten sollen zukünftig auch für die Selbstauskunft gemäß Artikel 15 der Daten-schutz-Grundverordnung genutzt werden können. Im Übrigen handelt sich um eine redak-tionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vor-gegebene Terminologie.
Zu Buchstabe c
Betroffene Personen sollen durch die Neuregelung in Absatz 3 einen Auskunftsanspruch über die Protokolldaten erhalten. Es kann ein erhebliches Interesse der Einzelnen daran bestehen, zu erfahren, welchen Stellen die Registerbehörde welche Auskünfte und Hin-weise erteilt hat. Dieser Auskunftsanspruch ist im Hinblick auf das informationelle Selbst-bestimmungsrecht der Einzelnen geboten und dient der größtmöglichen Transparenz be-
– 123 –
züglich des verantwortungsvollen Umgangs der Registerbehörde mit dem ihr anvertrauten Datenbestand. Allerdings muss sichergestellt sein, dass Verfahren von Stellen, denen Auskünfte nach den §§ 31 und 41 erteilt wurden, nicht gefährdet werden, in dem die be-troffene Person über die Abfrage der dafür zuständigen Stelle durch eine solche Selbst-auskunft Kenntnis erlangt. Klarstellend ist darauf hinzuweisen, dass, soweit es sich bei der abfragenden Stelle um eine Verfassungsschutzbehörde des Bundes oder der Länder, dem Bundesnachrichtendienst oder dem Militärischen Abschirmdienst handelt, entspre-chend § 34 Absatz 1 Nummer 1 in Verbindung mit § 33 Absatz 1 Nummer 1 a BDSG in Verbindung mit Artikel 23 Absatz 1 Buchstabe a bis c Verordnung (EU) 2016/679 keine Auskünfte aus Protokolldaten erteilt werden.
Für die Protokolldatenauskunft ist ein Identitätsnachweis erforderlich, um einen Miss-brauch der Daten ausschließen zu können. Aus diesem Grund sind die Antragstellenden gehalten ihren Antrag auf Protokolldatenauskunft bei der Meldebehörde zu stellen. Im Fall der Beantragung einer Einsichtnahme in sämtliche Daten, dies beinhaltet die Daten der Selbstauskunft nebst der Protokolldaten, ist der Antrag entsprechend § 42 Satz 2 bis 5 BZRG direkt beim Bundesamt für Justiz zu stellen. Die Identitätsprüfung für die Einsicht-nahme und die Herausgabe der Protokolldaten erfolgt bei der von den Antragstellenden benannten Stelle.
Zu Nummer 6
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Das Auskunftsrecht nach Artikel 15 Absatz 1 der Verordnung (EU) 2016/679 wird einge-schränkt auf Personen, die das 14. Lebensjahr vollendet haben, da diese strafmündig sind. Für unter 14-Jährige können Personen, die zur gesetzlichen Vertretung bevollmäch-tigt sind, Einsicht in die Registerauskunft nehmen.
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 7
Zu Buchstabe a
Zu Doppelbuchstabe aa
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Doppelbuchstabe bb
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
– 124 –
Zu Buchstabe c
Die Anpassung ist durch die Neufassung des BDSG und unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 ab 25. Mai 2018 erforderlich.
Zu Nummer 8
Die Auskunft an ausländische sowie über- und zwischenstaatliche Stellen soll neben völ-kerrechtlichen Verträgen auch der Anwendbarkeit der Verordnung (EU) 2016/679 unter-liegen. Kapitel V der Verordnung (EU) 2016/679 ist unmittelbar anwendbar.
Zu Nummer 9
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 10
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 11
Es handelt sich um eine redaktionelle Anpassung.
Zu Artikel 53 (Änderung des Siebten Gesetzes zur Änderung des Bundeszentralregistergesetzes)
Zu Nummer 1
Die Aufhebung erfolgt im Zusammenhang mit der unter Nummer 2 vorgeschlagenen Auf-hebung des Artikel 3 Nummer 3 Buchstabe b des 7. BZRGÄndG.
Zu Nummer 2
Die bereits im 7. BZRGÄndG getroffenen Änderungen zur Einführung einer kostenfreien Selbstauskunft aus dem Gewerbezentralregister und zur Protokolldatenauskunft entspre-chen nicht mehr den redaktionellen Erfordernissen, um eine unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 sicherzustellen. Die redaktionellen Anpassungen werden in Artikel 81 Nummer 7 Buchstabe b und Nummer 11 Buchstabe b vorgenommen. Die entsprechend obsolet gewordenen Vorschriften im 7. BZRGÄndG sind aufzuheben.
Zu Nummer 3
Die vorgeschlagene Änderung ist eine notwendige Folgeänderung in Bezug auf Artikel 3 Nummern 1 und 2.
– 125 –
Zu Artikel 54 (Änderung des Eurojust-Gesetzes)
Es handelt sich im Wesentlichen um redaktionelle Anpassungen. Die bisherigen Verweise in § 8 Absatz 2 Satz 1 und 3 des Eurojust-Gesetzes auf das BDSG a. F. werden durch Bezugnahmen auf die neuen datenschützenden Vorschriften der §§ 57 und 58 BDSG ersetzt, soweit letztere dieselben Funktionen erfüllen.
Allerdings sieht das aktuelle BDSG keine Regelung zur (unbeschränkten) Unentgeltlich-keit von Auskünften mehr vor, wie sie noch in § 19 Absatz 7 BDSG a. F. enthalten war. Vielmehr geht § 59 Absatz 3 BDSG von einer lediglich grundsätzlichen Unentgeltlichkeit des Anspruchs auf Auskunft aus, die Einschränkungen erfahren kann. Im Eurojust-Gesetz soll deshalb lediglich auf § 59 Absatz 3 Satz 1 BDSG verwiesen werden, um den europa-rechtlichen Vorgaben zu entsprechen: Die Unentgeltlichkeit des Anspruchs auf Auskunft durch Eurojust ist bereits vorgegeben durch Artikel 19 Absatz 2 des Eurojust-Beschlusses (Beschluss 2002/187/JI des Rates vom 28. Februar 2002 über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (ABl. L 63 vom 6.3.2002, S. 1) in der durch den Beschluss 2003/659/JI des Rates vom 18. Juni 2003 (ABl. L 245 vom 29.9.2003, S. 44) und den Beschluss 2009/426/JI des Rates vom 16. Dezember 2008 zur Stärkung von Eurojust (ABl. L 138 vom 4.6.2009, S. 14) geänderten Fassung). § 13 des Eurojust-Gesetzes erklärt den Eurojust-Beschluss uneingeschränkt für anwendbar.
Eine Angleichung der im Eurojust-Gesetz z. B. in § 8 Absatz 2 Satz 3 des Eurojust-Gesetzes verwendeten Begrifflichkeiten „Berichtigung, Sperrung oder Löschung“ an die veränderten Begrifflichkeiten der Verordnung (EU) 2016/679 (also insbesondere eine Er-setzung des Wortes „Sperrung“ durch die Formulierung „Einschränkung der Verarbei-tung“) unterbleibt, weil sich die Norm auf den Wortlaut des – bisher unveränderten – Arti-kels 20 des Eurojust-Beschlusses bezieht.
Zu Artikel 55 (Änderung des Hohe-See-Zusammenarbeitsgesetzes)
§ 7 stützt sich auf Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Ab-satz 2 und Absatz 3 der Verordnung (EU) 2016/679. Das geltende Recht wird beibehal-ten. Die bisherige Begriffstrias der „Erhebung, Verarbeitung und Nutzung“ wird lediglich redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Danach umfasst der Begriff der Verarbeitung die bisher verwende-ten Begriffe erheben, verarbeiten und nutzen. Bei der Ersetzung handelt es sich um eine redaktionelle Anpassung der Begrifflichkeiten an die der Verordnung (EU) 2016/679 ohne inhaltliche Änderung.
Zu Artikel 56 (Änderung des Justizverwaltungskostengesetzes)
Es handelt sich um eine Folgeänderung zur vorgeschlagenen Änderung des § 150 Ab-satz 1 der Gewerbeordnung.
Zu Artikel 57 (Änderung des Prostituiertenschutzgesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Folgeänderung zur Änderung der Überschrift zu § 34.
Zu Nummer 2
Zu Buchstabe a
Die Änderung der Überschrift in „Datenverarbeitung“ ist dem nunmehr geltenden Verar-beitungsbegriff aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 geschuldet.
– 126 –
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da bereits nach geltendem Normverständnis alle Formen der Datenverarbeitung erfasst werden sollten.
Zu Buchstabe c
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 und 3 der Verordnung (EU) 2016/679 angepasst. Danach umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erhe-ben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verwen-dens nach dem BDSG, der den Oberbegriff für Verarbeiten und Nutzen bildete und damit alle Formen des Datenumgangs mit Ausnahme der Erhebung erfasste. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet dennoch keine inhaltliche Änderung, da sich aus dem Rege-lungskontext der Umfang der rechtmäßigen Verarbeitungsschritte ergibt. Insbesondere bei Verarbeitungsbefugnissen, die sich auf bereits bei dem Verantwortlichen gespeicherte Daten beziehen, werden durch die Verwendung des weiten Begriffs der Verarbeitung kei-ne Erhebungsbefugnisse geschaffen.
Zu Buchstabe d
Zu Doppelbuchstabe aa
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmung aus Ar-tikel 4 Nummer 2 und 3 der Verordnung (EU) 2016/679 angepasst. Der Begriff des Wei-tergebens entspricht nach neuem Recht dem als Teilschritt der Verarbeitung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 genannten Übermitteln.
Zu Doppelbuchstabe bb
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da bereits nach geltendem Normverständnis alle Formen der Datenverarbeitung erfasst werden sollten.
Zu Buchstabe e
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 und 3 der Verordnung (EU) 2016/679 angepasst. Danach umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erhe-ben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbei-tens nach dem BDSG. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Datenumgangs mit Ausnahme der Erhebung erfas-sen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 bedeutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext der Umfang der rechtmäßigen Verarbeitungsschritte
– 127 –
ergibt. Insbesondere bei Verarbeitungsbefugnissen, die sich auf bereits bei dem Verant-wortlichen gespeicherte Daten beziehen, werden durch die Verwendung des weiten Be-griffs der Verarbeitung keine Erhebungsbefugnisse geschaffen.
Zu Buchstabe f
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung aus Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Der Begriff der Verarbeitung im Sinne des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 umfasst die bisher in § 3 BDSG a. F. legal definierten Begriffe Erheben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbeitens nach dem BDSG a. F. Die Verwendung des weiten Verarbeitungsbegriffs im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 bedeutet keine inhaltliche Änderung, da bereits nach geltendem Normverständnis alle Formen der Datenverarbeitung erfasst werden sollten.
Zu Nummer 3
Das geltende Recht wird beibehalten und redaktionell an die Begriffsbestimmungen des Artikels 4 Nummer 2 und 3 der Verordnung (EU) 2016/679 angepasst. Danach umfasst der Begriff der Verarbeitung die bisher in § 3 BDSG a. F. legal definierten Begriffe Erhe-ben, Verarbeiten und Nutzen und ist damit weiter als der bisherige Begriff des Verarbei-tens nach dem BDSG. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Datenumgangs mit Ausnahme der Erhebung erfas-sen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 bedeutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext der Umfang der rechtmäßigen Verarbeitungsschritte ergibt. Insbesondere bei Verarbeitungsbefugnissen, die sich auf bereits bei dem Verant-wortlichen gespeicherte Daten beziehen, werden durch die Verwendung des weiten Be-griffs der Verarbeitung keine Erhebungsbefugnisse geschaffen.
Zu Artikel 58 (Änderung des Wertpapierhandelsgesetzes)
Zu Nummer 1
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 1 der Verordnung (EU) 2016/679).
Zu Nummer 2
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Nummer 3
Zu Buchstabe a
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
– 128 –
Zu Buchstabe b
Zu Doppelbuchstabe aa
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Doppelbuchstabe bb
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Buchstabe c
Zu Doppelbuchstabe aa
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Doppelbuchstabe bb
In § 18 Absatz 10 Satz 4 tritt an die Stelle des Verweises auf § 4b des BDSG a. F. der Verweis auf die unmittelbar geltenden datenschutzrechtlichen Bestimmungen der Verord-nung (EU) 2016/679. Im Übrigen handelt es sich auch hier um begriffliche Anpassungen an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit denen keine Änderung der materiellen Rechtslage einhergeht.
Zu Nummer 4
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht. Der Begriff des Verarbeitens in Artikel 4 Nummer 2 der Ver-ordnung (EU) 2016/679 umfasst seinem Inhalt nach auch das „Erheben“ und „Nutzen“, sodass diese Bearbeitungsschritte nicht mehr eigens genannt werden müssen.
Zu Nummer 5
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 1 der Verordnung (EU) 2016/679).
Zu Artikel 59 (Änderung des Wertpapiererwerbs- und Übernahmegesetzes)
Zu Nummer 1
Es handelt sich um eine Anpassung an die Verordnung (EU) 2016/679 und das BDSG.
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die neue Begriffsbestimmung in Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679. Inhaltliche Änderungen, insbesondere Erweiterungen der Befugnisse, ergeben sich hier nicht.
– 129 –
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die neue Begriffsbestimmung in Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung an die neue Begriffsbestimmung in Arti-kel 4 Nummer 1 der Verordnung (EU) 2016/679.
Zu Buchstabe d
Es handelt sich um eine Anpassung an die Verordnung (EU) 2016/679 und das BDSG.
Zu Nummer 3
Es handelt sich um eine redaktionelle Anpassung an die neue Begriffsbestimmung in Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Artikel 60 (Änderung des Wertpapierprospektgesetzes)
Zu Nummer 1
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Nummer 2
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht.
Zu Artikel 61 (Änderung des Börsengesetzes)
Zu Nummer 1
Die Änderung ist eine Folgeänderung zur Einfügung des § 22b.
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 2 der Verordnung (EU) 2016/679), mit der keine Änderung der materiel-len Rechtslage einhergeht. Der Begriff des Verarbeitens in Artikel 4 Nummer 2 der Ver-ordnung (EU) 2016/679 umfasst seinem Inhalt nach auch das „Erheben“, „Nutzen“ und „Speichern“, sodass diese Bearbeitungsschritte nicht mehr eigens genannt werden müs-sen.
Zu Buchstabe b
Es handelt sich um eine begriffliche Anpassung an die Verordnung (EU) 2016/679 (vgl. Artikel 4 Nummer 11 der Verordnung (EU) 2016/679), mit der keine Änderung der materi-ellen Rechtslage einhergeht.
– 130 –
Zu Nummer 3
Absatz 1 beschränkt die Auskunfts- und Informationspflichten gemäß der Artikel 12 bis 22, die Vorgaben zur Datenverarbeitung gemäß Artikel 5 sowie die Pflichten zur Benachrich-tigung betroffener Personen gemäß Artikel 34 der Verordnung (EU) 2016/679 bei Maß-nahmen der Börsenaufsichtsbehörde, des Börsenrates, der Geschäftsführung, der Han-delsüberwachungsstelle und des Sanktionsausschusses im Rahmen der Wahrnehmung ihrer gesetzlich zugewiesenen Aufgaben.
Absatz 1 Satz 1 stellt klar, dass die Börsenaufsichtsbehörde, der Börsenrat, die Ge-schäftsführung, die Handelsüberwachungsstelle und der Sanktionsausschuss befugt sind, personenbezogene Daten zu verarbeiteten, soweit dies zur Erfüllung ihrer Aufgaben nach diesem Gesetz erforderlich ist.
Absatz 1 Satz 2 macht von der Möglichkeit des Artikel 23 Absatz 1 Verordnung (EU) 2016/679 Gebrauch. Danach können durch nationales Recht die Rechte von betroffenen Personen aus den Artikeln 15 bis 18 sowie den Artikeln 20 bis 22 beschränkt werden, sofern dies aufgrund der Sicherstellung der öffentlichen Sicherheit bzw. zum Schutze sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses, notwendig und verhältnismäßig erscheint. Die Beschränkung dient im Hinblick auf die Nummern 1 bis 4 der Gewährleistung der Funktionsfähigkeit und Aufgabenerledi-gung der Börsenaufsichtsbehörde, des Börsenrates, der Geschäftsführung, der Handels-überwachungsstelle und des Sanktionsausschusses nach Maßgabe dieses Gesetzes.
Aufgabe der Börsenaufsichtsbehörde, des Börsenrates, der Geschäftsführung, der Han-delsüberwachungsstelle oder des Sanktionsausschusses nach Maßgabe dieses Gesetzes ist es, die ordnungsgemäße Durchführung des Börsenhandels zu gewährleisten. Sie kön-nen hierzu Maßnahmen ergreifen, um Verstöße gegen börsenrechtliche Vorschriften und Anordnungen zu verhindern oder Missstände zu beseitigen, welche die ordnungsgemäße Durchführung des Handels an der Börse oder die ordnungsgemäße Börsengeschäftsab-wicklung beeinträchtigen können. Soweit der Zweck der hierfür ergriffenen Maßnahmen durch Einhaltung der Vorgaben bezüglich der Verarbeitung von Daten sowie Informations- und Auskunftspflichten gegenüber den betroffenen Personen gefährdet ist, sind entspre-chende Einschränkungen hinsichtlich der Datenerfassung und -verarbeitung sowie der Informations- und Auskunftspflichten erforderlich. Gleiches gilt, wenn Maßnahmen nach Maßgabe dieses Gesetzes dem Schutz der Stabilität und Integrität der Finanzmärkte die-nen. Gerade in Krisenfällen sind entsprechende Maßnahmen regelmäßig zeitkritisch. Ihre Vorbereitung erfordert eine hohe Sensibilität. Eine frühzeitige Kenntnis der Finanzmärkte über geplante Maßnahmen gegenüber einem oder mehreren Unternehmen kann in be-stimmten Fällen erhebliche Gefahren für den Erfolg der Maßnahme oder andere wichtige allgemeine öffentliche Interessen mit sich bringen. Aufgrund der Vernetzung der Unter-nehmen können hier Ansteckungsgefahren drohen. Solche Maßnahmen dürfen deshalb zunächst nicht öffentlich bekannt werden, insbesondere in ihrer Vorbereitungsphase. Ein-schränkungen hinsichtlich der Datenerfassung und -verarbeitung sowie der Informations- und Auskunftspflichten können auch dann erforderlich werden, wenn es um Maßnahmen im Zusammenhang mit der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straf-taten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, geht. In bestimmten Fällen strafrechtlich relevan-ten Marktmissbrauchs etwa können neben der Tätigkeit der Strafverfolgungsbörden auch Maßnahmen der Börsenaufsichtsbehörde, des Börsenrates, der Geschäftsführung, der Handelsüberwachungsstelle oder des Sanktionsausschusses in Betracht kommen.
Absatz 1 Satz 3 macht im Anschluss an Satz 2 gleichfalls von der Möglichkeit des Arti-kel 23 Absatz 1 Verordnung (EU) 2016/679 Gebrauch. Die Vorschrift führt die Informa-tions- und Mitteilungspflichten entsprechend zurück.
– 131 –
Die Ausschlüsse, die bereits Artikel 2 der Verordnung (EU) 2016/679 formuliert, bleiben unberührt. Das gilt auch für weitergehende Einschränkungen der Betroffenenrechte im BDSG.
Absatz 2 sichert die spätere Unterrichtung der von der jeweiligen Beschränkung betroffe-nen Person. Sie soll gemäß den Mindestvorgaben der Verordnung (EU) 2016/679 von der Beendigung der Beschränkung unterrichtet werden, wenn sich die Maßnahme in jeder Hinsicht erledigt hat und der Zweck der Beschränkung einer Unterrichtung nicht mehr entgegensteht.
Absatz 3 entspricht der Regelung des § 34 Absatz 3 des BDSG. Die Beschränkung dient dem Schutz der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c Verordnung (EU) 2016/679) und der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Artikel 23 Absatz 1 Buchstabe d Verordnung (EU) 2016/679). Die Regelung sieht auf Verlangen eine Auskunft gegenüber der nach Landesrecht für den Datenschutz zuständi-gen Aufsichtsbehörde vor, es sei denn selbst eine solche Auskunft gefährdete die Ziele der entsprechenden Maßnahme.
Absatz 4 soll ein einheitliches Vorgehen im Zusammenhang mit den Maßnahmen nach Absatz 1 und damit den Zweck der Beschränkungen sichern. Bei den Unternehmen, die in diesen Fällen die entsprechenden personenbezogenen Daten übermitteln, würden an-dernfalls Informations- und Auskunftspflichten entstehen. Dies würde ebenfalls eine Be-drohung für die Schutzgüter des Absatzes 1 darstellen und den Zweck der Beschränkung des Absatzes 1 gefährden.
Zu Artikel 62 (Änderung des Strafgesetzbuches)
Zu Nummer 1
Die Änderung passt die Bezeichnung des Beauftragten für den Datenschutz an den ge-änderten Begriff im BDSG an und hat keine inhaltliche Änderung zur Folge.
Zu Nummer 2
Die Änderung ist Folgeänderung zur Änderung des § 30 Absatz 2 AO durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl. I S. 2541). Der Erweiterung des Begriffs der personenbezogenen Daten aus Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 durch § 2a Absatz 5 AO trägt der neu eingefügte § 355 Absatz 1 Satz 3 klarstellend Rechnung.
Zu Artikel 63 (Änderung des Schwarzarbeitsbekämpfungsgesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 7 der Verordnung (EU) 2016/679.
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um redaktionelle Anpassungen an die Begriffsbestimmungen in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
– 132 –
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmungen in Arti-kel 4 Nummer 1 der Verordnung (EU) 2016/679.
Zu Nummer 3
Die Änderung dient der redaktionellen Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 6 der Verordnung (EU) 2016/679 für die Wahrnehmung der Aufgaben nach § 2 Absatz 1 des Schwarzarbeitsbekämpfungsgesetzes (SchwarzArbG) und an die Termino-logie des Artikels 3 Nummer 6 der Richtlinie (EU) 2016/680 für die Verfolgung von Strafta-ten und Ordnungswidrigkeiten.
Zu Nummer 4
Es handelt sich um redaktionelle Anpassungen an die Begriffsbestimmungen in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 und an die Terminologie in Artikel 3 Nummer 2 der Richtlinie (EU) 2016/680.
Zu Nummer 5
Es handelt sich um eine redaktionelle Anpassung an die Begriffsbestimmungen in Arti-kel 4 Nummer 1 der Verordnung (EU) 2016/679 und an die Terminologie in Artikel 3 Nummer 1 der Richtlinie (EU) 2016/680.
Zu Nummer 6
Zu Buchstabe a
Die Änderung dient der redaktionellen Anpassung an die Begriffsbestimmungen in Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 für die Vorbereitung und Durchführung von Prüfungen nach § 2 Absatz 1 SchwarzArbG und an die Terminologie des Artikels 3 Nummer 2 der Richtlinie (EU) 2016/680 für die Verhütung und Verfolgung von Straftaten und Ordnungswidrigkeiten.
Die Befugnisse zur Datenerhebung ergeben sich bereits aus den §§ 3, 4, 5, 6 Absatz 2 und 14 SchwarzArbG. Zudem werden der Finanzkontrolle Schwarzarbeit von anderen Behörden Daten zur Aufgabenerfüllung übermittelt (vgl. §§ 6 und 13 SchwarzArbG). Im Zentralen Informationssystem werden diese Daten dann lediglich weiter bearbeitet. Inso-weit umfasst der weite Verarbeitungsbegriff keine Befugnis zur eigenen Erhebung, aber die Befugnis zur Erhebung übermittelter Daten.
Zu Buchstabe b
Die Änderung dient der redaktionellen Anpassung an die Begriffsbestimmungen in Arti-kel 4 Nummer 2 der Verordnung (EU) 2016/679 für die Vorbereitung und Durchführung von Prüfungen nach § 2 Absatz 1 SchwarzArbG und an die Terminologie des Artikel 3 Nummer 2 der Richtlinie (EU) 2016/680 für die Verhütung und Verfolgung von Straftaten und Ordnungswidrigkeiten.
Entsprechend der Verwendung des weiten Begriffs der Verarbeitung in § 16 Absatz 1 SchwarzArbG ist keine inhaltliche Änderung, insbesondere keine eigene Erhebungsbe-fugnis, aber die Befugnis zur Erhebung bereits übermittelter Daten umfasst. Auch hier ergeben sich die Befugnisse zur Datenerhebung bereits aus den §§ 3, 4, 5, 6 Absatz 2 und 14 SchwarzArbG.
– 133 –
Zu Buchstabe c
Die Änderung dient der redaktionellen Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 für die Vorbereitung und Durchführung von Prüfungen nach § 2 Absatz 1 SchwarzArbG und an die Terminologie des Artikels 3 Num-mer 7 der Richtlinie (EU) 2016/680 für die Verhütung und Verfolgung von Straftaten und Ordnungswidrigkeiten.
Zu Artikel 64 (Änderung des Soldatengesetzes)
Zu Nummer 1
Die Änderungen erfolgen zur Anpassung an die Verordnung (EU) 2016/679 und zur An-gleichung an die Parallelvorschrift in § 106 des Bundesbeamtengesetzes. Durch die Ver-weisung auf § 110 des Bundesbeamtengesetzes wird das geltende Recht im Wesentli-chen beibehalten. Anpassungen finden durch die Verweisung lediglich hinsichtlich des Auskunftsrechts statt.
Zu Nummer 2
Die Änderungen erfolgen zur Anpassung an die Verordnung (EU) 2016/679.
Zu Nummer 3
Zu Buchstabe a
Das Auswärtige Amt, d. h. die Zentrale und die Auslandsvertretungen, gilt mit der in Arti-kel 51 Nummer 3 vorgesehenen Aufhebung des § 34 GAD nunmehr auch datenschutz-rechtlich als einheitliche Stelle (§ 2 GAD). Demnach erübrigt sich die ausdrückliche Be-nennung der Weiterleitung an die Auslandsvertretungen. Eine solche Weiterleitung stellt eine Übermittlung innerhalb der Behörde Auswärtiges Amt dar.
Zu Buchstabe b
Die Änderungen erfolgen zur Anpassung an die Verordnung (EU) 2016/679.
Zu Nummer 4
Die Änderung erfolgt zur Anpassung an die Verordnung (EU) 2016/679.
Zu Artikel 65 (Änderung des Soldatinnen- und Soldatengleichstellungsgesetzes)
Zu Nummer 1
Die Verweisung auf das BDSG wird gestrichen, da es sich bei der Einwilligung nach § 7 Absatz 2 Satz 2 nicht um eine datenschutzrechtliche Einwilligung, sondern um eine Ein-willigung in eine ärztliche Untersuchung handelt.
Zu Nummer 2
§ 20 Absatz 4 Satz 2 ist durch Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a der Verord-nung (EU) 2016/679 entbehrlich geworden.
– 134 –
Zu Artikel 66 (Änderung des Zivildienstgesetzes)
Zu Nummer 1
Rechtsförmliche Änderungen der Inhaltsübersicht, insbesondere Anpassung der Zählbe-zeichnungen der Abschnitte des Gesetzes und der Angabe zu § 82 an die rechtsförmli-chen Vorgaben.
Zu Nummer 2
Siehe Begründung zu Nummer 1.
Zu Nummer 3
Zu Buchstabe a
Zu Doppelbuchstabe aa
Der derzeitige Satz 1 wird auf zwei Sätze aufgeteilt. Außerdem wird ein deklaratorischer Hinweis auf die einschlägigen Regelungen der Verordnung (EU) 2016/679 aufgenommen.
Zu Doppelbuchstabe bb
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 6 der Verordnung (EU) 2016/679.
Zu Doppelbuchstabe cc
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 6 der Verordnung (EU) 2016/679 sowie redaktionelle Überarbeitung.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 6 der Verordnung (EU) 2016/679.
Zu Doppelbuchstabe bb
Redaktionelle Überarbeitung.
Zu Buchstabe c
Die Neufassung der Absätze 6 bis 8 dient der Angleichung an § 110 Absatz 1 bis 3 Bun-desbeamtengesetz-E. Auf die Begründung zu Artikel 11 (Änderung der Bundesbeamten-gesetzes) Nummer 6 wird verwiesen.
Zu Absatz 6:
Die Begründung zu Artikel 11, Zu Nummer 6, Zu Absatz 1, gilt entsprechend.
Zu Absatz 7:
Die Begründung zu Artikel 11, Zu Nummer 6, Zu Absatz 2, gilt entsprechend.
Zu Absatz 8:
– 135 –
Die Begründung zu Artikel 11, Zu Nummer 6, Zu Absatz 3, gilt entsprechend.
Zu Absatz 9:
Folgeänderung aufgrund der Einfügung eines neuen Absatzes und Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 6 der Verordnung (EU) 2016/679 sowie redakti-onelle Bereinigung.
Zu Nummer 4
Anpassung an die Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Artikel 67 (Änderung des Finanzverwaltungsgesetzes)
Zu Nummer 1
Zu Buchstabe a
Es handelt sich um Folgeänderungen aufgrund der Neustrukturierung des § 10 Absatz 2a des Einkommensteuergesetzes. Die Verweise sind entsprechend redaktionell anzupas-sen.
Zu Buchstabe b
Es handelt sich um Folgeänderungen aufgrund der Änderung des § 10 Absatz 2 des Ein-kommensteuergesetzes. Der Verweis ist entsprechend redaktionell anzupassen.
Zu Nummer 2
Es erfolgt eine redaktionelle Anpassung, mit der die letzte Berichtigung der Verordnung (EU) 2016/679 im ABl. L 127 vom 23.5.2018, S. 2 berücksichtigt wird.
Zu Artikel 68 (Änderung des Gesetzes über Steuerstatistiken)
Zu Nummer 1
Zu Buchstabe a
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Buchstabe b
Die Regelung stellt klar, dass bei der Verarbeitung im Besteuerungsverfahren erhobener personenbezogener Daten nach dem Steuerstatistikgesetz neben der Verordnung (EU) 2016/679 die datenschutzrechtlichen Bestimmungen der Abgabenordnung (AO) und der Steuergesetze gelten (vgl. § 2a Absatz 1 AO). Zugleich wird der Schutz personenbezoge-ner Daten nach der Verordnung (EU) 2016/679 bei der Datenverarbeitung nach dem Steuerstatistikgesetz auf Informationen erstreckt, die sich auf identifizierte oder identifi-zierbare verstorbene natürliche Personen oder auf Körperschaften, Personenvereinigun-gen oder Vermögensmassen beziehen (vgl. § 2a Absatz 5 AO).
– 136 –
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Buchstabe b
Die Regelung stellt klar, dass bei der Verarbeitung im Besteuerungsverfahren erhobener personenbezogener Daten nach dem Steuerstatistikgesetz neben der Verordnung (EU) 2016/679 die datenschutzrechtlichen Bestimmungen der Abgabenordnung (AO) und der Steuergesetze gelten (vgl. § 2a Absatz 1 AO). Zugleich wird der Schutz personenbezoge-ner Daten nach der Verordnung (EU) 2016/679 bei der Datenverarbeitung nach dem Steuerstatistikgesetz auf Informationen erstreckt, die sich auf identifizierte oder identifi-zierbare verstorbene natürliche Personen oder auf Körperschaften, Personenvereinigun-gen oder Vermögensmassen beziehen (vgl. § 2a Absatz 5 AO).
Zu Artikel 69 (Änderung des ZIS-Ausführungsgesetzes)
Zu Nummer 1
Die Änderung ist Folgeänderung der neuen Begriffsdefinition in § 46 Nummer 2 des BDSG zum Umgang mit personenbezogenen Daten.
Zu Nummer 2
Die Änderung ist Folgeänderung der neuen Begriffsdefinition in § 46 Nummer 2 des BDSG zum Umgang mit personenbezogenen Daten.
Zu Artikel 70 (Änderung der Abgabenordnung)
Zu Nummer 1
Zu Buchstabe a
Das Inhaltsverzeichnis wird redaktionell an die Änderung der Überschrift des § 211 AO angepasst.
Zu Buchstabe b
Das Inhaltsverzeichnis wird redaktionell an die Änderung der Überschrift des § 364 AO angepasst.
Zu Nummer 2
Es wird die letzte Berichtigung der Verordnung (EU) 2016/679 im ABl. L 127 vom 23.5.2018, S. 2 berücksichtigt.
Zu Nummer 3
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 4
Bei den Änderungen nach Buchstaben a und b handelt es sich um eine Anpassung der Begrifflichkeiten an die Verordnung (EU) 2016/679.
– 137 –
Die Regelung in Absatz 10 wird redaktionell korrigiert.
Die mit dem Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vor-schriften vom 18. Juni 2017 (BGBl. I S. 2541) mit Wirkung ab dem 25. Mai 2018 einge-führte Regelung sollte ausweislich der Begründung auf BT-Drucksache 18/12611 (Seite 83) der Regelung in § 25 Absatz 3 des neuen BDSG entsprechen und für die Übermitt-lung besonderer Kategorien personenbezogener Daten klarstellen, dass – neben dem Vorliegen einer der tatbestandlichen Voraussetzungen der Absätze 4 oder 5 des § 30 AO – auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 31c AO vorliegen muss. Die Formulierung wird dementsprechend korrigiert.
Zu Nummer 5
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 6
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 7
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 8
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 9
Zu Buchstabe a
Die Regelung wird redaktionell korrigiert.
§ 32f Absatz 3 Satz 1 AO sieht eine Beschränkung des Rechts auf Löschung gemäß Arti-kel 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 zur Wahrung schutzwürdiger Interessen der betroffenen Person vor. Die Regelung soll § 20 Absatz 3 Nummer 2 des BDSG entsprechen. Der bisherige Verweis auf § 32f Absatz 1 AO ist allerdings falsch, da sich Absatz 1 nur auf die Einschränkung der Verarbeitung bezieht. Das Recht auf Lö-schung regelt § 32f Absatz 2 AO, der Verweis in § 32f Absatz 4 AO wird dementspre-chend korrigiert.
Zu Buchstabe b
Die Regelung wird redaktionell korrigiert.
§ 32f Absatz 4 AO sieht eine Beschränkung des Rechts auf Löschung gemäß Artikel 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 für den Fall vor, dass einer Lö-schung nicht mehr erforderlicher Daten vertragliche Aufbewahrungsfristen entgegenste-hen. Der diesbezügliche Verweis auf § 32f Absatz 1 AO ist falsch, da sich Absatz 1 nur auf die Einschränkung der Verarbeitung bezieht. Das Recht auf Löschung regelt § 32f Absatz 2 AO, der bisherige Verweis in § 32f Absatz 3 AO wird dementsprechend korri-giert.
Zu Nummer 10
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
– 138 –
Zu Nummer 11
Zu Buchstabe a
Zu Doppelbuchstabe aa
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Doppelbuchstabe bb
§ 93 Absatz 8 AO wurde im Juni 2017 binnen weniger Tage mehrfach geändert, zuerst durch das Steuerumgehungsbekämpfungsgesetz vom 23. Juni 2017 (BGBl. I S. 1682), unmittelbar danach durch das Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorgani-sation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 (BGBl. I S. 1822) und schließlich durch das Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 (BGBl. I S. 2094). Die mit dem Steuerumge-hungsbekämpfungsgesetz geschaffene Anwendungsregelung zu § 93 AO in Artikel 97 § 26 Absatz 3 des Einführungsgesetzes zur Abgabenordnung (EGAO) führt allerdings dazu, dass die vom Gesetzgeber mit den beiden anschließenden Änderungen des § 93 Absatz 8 AO verfolgten Ziele nicht zeitnah verwirklicht werden können. Denn unabhängig von dem ab 26. Juni 2017 geltenden Wortlaut des neugefassten Satz 1 des § 93 Absatz 8 AO und dem ab 6. Juli 2017 geltenden Wortlaut des neu eingefügten Satz 2 des § 93 Ab-satz 8 AO darf das Bundeszentralamt für Steuern nach derzeitiger Rechtslage bis ein-schließlich 31. Dezember 2019 für die in § 93 Absatz 8 Satz 1 Nummer 2 und 3 und Satz 2 AO n. F. genannten Stellen keinen Kontenabruf durchführen.
Um die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausfüh-rung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Fi-nanztransaktionsuntersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 geschaffenen Neuregelungen kurzfristig anwenden zu können und Unklarheiten über das ab 1. Januar 2020 geltende Recht zu beseitigen, sollen § 93 Absatz 8 AO und Artikel 97 § 26 Absatz 3 EGAO in zwei Schritten geändert werden.
Im ersten Schritt werden – mit Wirkung ab dem Tag nach Verkündung dieses Gesetzes – in § 93 Absatz 8 Satz 3 AO die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ durch die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ ersetzt (vgl. Buchstabe a). Gleichzeitig wird Absatz 8 des § 93 AO ersatzlos aus der Anwendungsregelung in Artikel 97 § 26 Absatz 3 EGAO gestri-chen (vgl. Artikel 9 dieses Gesetzes). Dies hat zur Folge, dass die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktions-untersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklä-rung in der Verwaltungsvollstreckung vom 30. Juni 2017 in § 93 Absatz 8 Satz 1 und 2 AO geschaffenen Neuregelungen ab dem Tag nach Verkündung des vorliegenden Gesetzes anzuwenden sind.
Im zweiten Schritt werden – allerdings erst mit Wirkung ab 1. Januar 2020 – in § 93 Ab-satz 8 Satz 1 und 2 AO jeweils die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ ersetzt; in § 93 Absatz 8 Satz 3 AO werden die Wör-ter „der in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „der in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ er-setzt (vgl. Buchstaben b und c). Damit werden diese Bestimmungen – allerdings erst mit Wirkung ab 1. Januar 2020 (vgl. Artikel 155 – Inkrafttreten dieses Gesetzes) – an die mit
– 139 –
dem Steuerumgehungsbekämpfungsgesetzes geschaffenen und ab 1. Januar 2020 an-zuwendenden Regelungen in §§ 93, 93b und 154 AO angepasst.
Zu Doppelbuchstabe cc
§ 93 Absatz 8 AO wurde im Juni 2017 binnen weniger Tage mehrfach geändert, zuerst durch das Steuerumgehungsbekämpfungsgesetz vom 23. Juni 2017 (BGBl. I S. 1682), unmittelbar danach durch das Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorgani-sation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 (BGBl. I S. 1822) und schließlich durch das Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 (BGBl. I S. 2094). Die mit dem Steuerumge-hungsbekämpfungsgesetz geschaffene Anwendungsregelung zu § 93 AO in Artikel 97 § 26 Absatz 3 des Einführungsgesetzes zur Abgabenordnung (EGAO) führt allerdings dazu, dass die vom Gesetzgeber mit den beiden anschließenden Änderungen des § 93 Absatz 8 AO verfolgten Ziele nicht zeitnah verwirklicht werden können. Denn unabhängig von dem ab 26. Juni 2017 geltenden Wortlaut des neugefassten Satz 1 des § 93 Absatz 8 AO und dem ab 6. Juli 2017 geltenden Wortlaut des neu eingefügten Satz 2 des § 93 Ab-satz 8 AO darf das Bundeszentralamt für Steuern nach derzeitiger Rechtslage bis ein-schließlich 31. Dezember 2019 für die in § 93 Absatz 8 Satz 1 Nummer 2 und 3 und Satz 2 AO n. F. genannten Stellen keinen Kontenabruf durchführen.
Um die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausfüh-rung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Fi-nanztransaktionsuntersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 geschaffenen Neuregelungen kurzfristig anwenden zu können und Unklarheiten über das ab 1. Januar 2020 geltende Recht zu beseitigen, sollen § 93 Absatz 8 AO und Artikel 97 § 26 Absatz 3 EGAO in zwei Schritten geändert werden.
Im ersten Schritt werden – mit Wirkung ab dem Tag nach Verkündung dieses Gesetzes – in § 93 Absatz 8 Satz 3 AO die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ durch die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ ersetzt (vgl. Buchstabe a). Gleichzeitig wird Absatz 8 des § 93 AO ersatzlos aus der Anwendungsregelung in Artikel 97 § 26 Absatz 3 EGAO gestri-chen (vgl. Artikel 9 dieses Gesetzes). Dies hat zur Folge, dass die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktions-untersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklä-rung in der Verwaltungsvollstreckung vom 30. Juni 2017 in § 93 Absatz 8 Satz 1 und 2 AO geschaffenen Neuregelungen ab dem Tag nach Verkündung des vorliegenden Gesetzes anzuwenden sind.
Im zweiten Schritt werden – allerdings erst mit Wirkung ab 1. Januar 2020 – in § 93 Ab-satz 8 Satz 1 und 2 AO jeweils die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ ersetzt; in § 93 Absatz 8 Satz 3 AO werden die Wör-ter „der in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „der in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ er-setzt (vgl. Buchstaben b und c). Damit werden diese Bestimmungen – allerdings erst mit Wirkung ab 1. Januar 2020 (vgl. Artikel 155 – Inkrafttreten dieses Gesetzes) – an die mit dem Steuerumgehungsbekämpfungsgesetzes geschaffenen und ab 1. Januar 2020 an-zuwendenden Regelungen in §§ 93, 93b und 154 AO angepasst.
– 140 –
Zu Doppelbuchstabe dd
§ 93 Absatz 8 AO wurde im Juni 2017 binnen weniger Tage mehrfach geändert, zuerst durch das Steuerumgehungsbekämpfungsgesetz vom 23. Juni 2017 (BGBl. I S. 1682), unmittelbar danach durch das Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorgani-sation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 (BGBl. I S. 1822) und schließlich durch das Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 (BGBl. I S. 2094). Die mit dem Steuerumge-hungsbekämpfungsgesetz geschaffene Anwendungsregelung zu § 93 AO in Artikel 97 § 26 Absatz 3 des Einführungsgesetzes zur Abgabenordnung (EGAO) führt allerdings dazu, dass die vom Gesetzgeber mit den beiden anschließenden Änderungen des § 93 Absatz 8 AO verfolgten Ziele nicht zeitnah verwirklicht werden können. Denn unabhängig von dem ab 26. Juni 2017 geltenden Wortlaut des neugefassten Satz 1 des § 93 Absatz 8 AO und dem ab 6. Juli 2017 geltenden Wortlaut des neu eingefügten Satz 2 des § 93 Ab-satz 8 AO darf das Bundeszentralamt für Steuern nach derzeitiger Rechtslage bis ein-schließlich 31. Dezember 2019 für die in § 93 Absatz 8 Satz 1 Nummer 2 und 3 und Satz 2 AO n. F. genannten Stellen keinen Kontenabruf durchführen.
Um die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausfüh-rung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Fi-nanztransaktionsuntersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstreckung vom 30. Juni 2017 geschaffenen Neuregelungen kurzfristig anwenden zu können und Unklarheiten über das ab 1. Januar 2020 geltende Recht zu beseitigen, sollen § 93 Absatz 8 AO und Artikel 97 § 26 Absatz 3 EGAO in zwei Schritten geändert werden.
Im ersten Schritt werden – mit Wirkung ab dem Tag nach Verkündung dieses Gesetzes – in § 93 Absatz 8 Satz 3 AO die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ durch die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ ersetzt (vgl. Buchstabe a). Gleichzeitig wird Absatz 8 des § 93 AO ersatzlos aus der Anwendungsregelung in Artikel 97 § 26 Absatz 3 EGAO gestri-chen (vgl. Artikel 9 dieses Gesetzes). Dies hat zur Folge, dass die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktions-untersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklä-rung in der Verwaltungsvollstreckung vom 30. Juni 2017 in § 93 Absatz 8 Satz 1 und 2 AO geschaffenen Neuregelungen ab dem Tag nach Verkündung des vorliegenden Gesetzes anzuwenden sind.
Im zweiten Schritt werden – allerdings erst mit Wirkung ab 1. Januar 2020 – in § 93 Ab-satz 8 Satz 1 und 2 AO jeweils die Wörter „die in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „die in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ ersetzt; in § 93 Absatz 8 Satz 3 AO werden die Wör-ter „der in § 93b Absatz 1 bezeichneten Daten“ durch die Wörter „der in § 93b Absatz 1 und 1a bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b,“ er-setzt (vgl. Buchstaben b und c). Damit werden diese Bestimmungen – allerdings erst mit Wirkung ab 1. Januar 2020 (vgl. Artikel 155 – Inkrafttreten dieses Gesetzes) – an die mit dem Steuerumgehungsbekämpfungsgesetzes geschaffenen und ab 1. Januar 2020 an-zuwendenden Regelungen in §§ 93, 93b und 154 AO angepasst.
Zu Buchstabe b
Es handelt es sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Ver-ordnung (EU) 2016/679.
– 141 –
Zu Nummer 12
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 13
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 14
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 15
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 16
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 17
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 18
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 19
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Nummer 20
Zu Buchstabe a
Die Begrifflichkeiten werden an die Verordnung (EU) 2016/679 angepasst.
Zu Buchstabe b
Zur Anpasung an die Begriffsbestimmungen in Artikel 4 der Verordnung (EU) 2016/679 wird in § 364 AO das Wort „mitzuteilen“ durch das Wort „offenzulegen“ ersetzt. Offenlegen umfasst die Übermittlung, die Verbreitung und die Bereitstellung (z. B. im Wege der Ak-teneinsicht) personenbezogener Daten.
Zu Artikel 71 (Änderung des Einführungsgesetzes zur Abgabenordnung)
Die Änderung von Artikel 97 § 26 Absatz 3 Satz 1 und 2 des Einführungsgesetzes zur Abgabenordnung (EGAO) hat zur Folge, dass die mit dem Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 und dem Gesetz zur Verbesserung der Sachaufklärung in der Verwaltungsvollstre-ckung vom 30. Juni 2017 in § 93 Absatz 8 Satz 1 und 2 AO geschaffenen Regelungen ab dem Tag nach Verkündung dieses Gesetzes anzuwenden sind. Im Übrigen wird auf die Begründung zu § 98 Absatz 8 Sätze 1 bis 3 AO verwiesen.
– 142 –
Zu Artikel 72 (Änderung des Solidaritätszuschlaggesetzes 1995)
Die Änderung stellt sicher, dass die zum Zweck der Erhebung der Einkommen- oder Kör-perschaftsteuer im Wege des Steuerabzugs erhobenen personenbezogenen Daten wie bisher auch für die Erhebung des Solidaritätszuschlags im Wege des Steuerabzugs ver-arbeitet werden dürfen (vgl. Artikel 6 Absatz 4 der Verordnung (EU) 2016/679).
Zu Artikel 73 (Änderung des Steuerberatungsgesetzes)
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Artikel 74 (Änderung des Einkommensteuergesetzes)
Zu Nummer 1
Zu Buchstabe a
Das Einkommensteuerrecht basiert auf dem Grundsatz der Besteuerung nach der finan-ziellen und wirtschaftlichen Leistungsfähigkeit (Artikel 3 Grundgesetz). Dieser besagt, dass eine Besteuerung entsprechend der individuellen wirtschaftlichen Leistungsfähigkeit zu erfolgen hat („Leistungsfähigkeitsprinzip“). Das Einkommensteuerrecht trägt dem durch die Freistellung des Existenzminimums und durch die sonstige Tarifgestaltung Rechnung. Von dem Gesamtbetrag der Einkünfte werden daher Aufwendungen des Steuerpflichtigen zur Erhaltung seiner eigenen Existenz oder der seiner Familie (existenzsichernde Auf-wendungen) – z. B. als Sonderausgaben – zum Abzug zugelassen. Die einschlägigen steuerlichen Freibeträge bzw. der Sonderausgabenabzug stehen allen Steuerpflichtigen gleichermaßen und unabhängig von der Art des erzielten Einkommens zu. Gemäß § 85 AO haben die Finanzbehörden die Steuern nach Maßgabe der Gesetze gleichmäßig fest-zusetzen und zu erheben. Insbesondere haben sie sicherzustellen, dass Steuern nicht verkürzt oder zu Unrecht erhoben sowie Steuererstattungen und Steuervergütungen nicht zu Unrecht gewährt oder versagt werden.
Sonderausgaben – wie beispielsweise Vorsorgeaufwendungen nach § 10 Absatz 1 Num-mer 2 Buchstabe b EStG (Beiträge zu privaten Basisrentenverträgen) und nach § 10 Ab-satz 1 Nummer 3 EStG (Beiträge zur Basiskranken- und gesetzlichen Pflegeversicherung) – wirken sich nicht unwesentlich auf die Höhe des zu versteuernden Einkommens aus und führen aufgrund ihrer steuermindernden Wirkung zur Steuermindereinnahmen in er-heblichem Umfang. Daher liegt es im öffentlichen Interesse, die als Sonderausgaben ab-zugsfähigen Vorsorgeaufwendungen in tatsächlich geleisteter Höhe zu ermitteln und so-mit die tatsächliche wirtschaftliche Belastung des Steuerpflichtigen festzustellen. Hierfür wurde ein Datenübermittlungsverfahren eingeführt, wonach die die Beiträge erhebenden Stellen (mitteilungspflichtige Stellen) die geleisteten und erstatteten Beiträge nach amtlich vorgeschriebenem Datensatz an die Finanzverwaltung zu übermitteln haben. Bislang wurden die Daten zu den oben genannten Vorsorgeaufwendungen nur dann von den mit-teilungspflichtigen Stellen übermittelt, wenn der Steuerpflichtige in die Datenübermittlung eingewilligt hat. Erfolgt die Übermittlung der Daten zu den Vorsorgeaufwendungen nach § 10 Absatz 1 Nummer 3 EStG mit der elektronischen Lohnsteuerbescheinigung oder der Rentenbezugsmitteilung, war eine Einwilligung nicht erforderlich. Die Datenübermittlung war zugleich Voraussetzung für den Sonderausgabenabzug.
Gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679 ist die Verarbeitung personenbezogener Daten durch die Finanzbehörden rechtmäßig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist. Eine gesonderte, zusätzliche Einwilligung ist danach nicht erforderlich. Somit können Daten zu den genannten Vorsorgeaufwendungen nach der Verordnung (EU) 2016/679 ohne Einwilligung rechtmäßig verarbeitet werden. Um sicherzustellen, dass die Finanz-
– 143 –
verwaltung die Vorsorgeaufwendungen in zutreffender Höhe berücksichtigen kann und um eine Gleichbehandlung aller Steuerpflichtigen zu erreichen, wird künftig in den ge-nannten Fällen auf eine Einwilligung verzichtet. Auf Basis von Artikel 6 Absatz 1 Unterab-satz 1 Buchstabe c und Buchstabe e in Verbindung mit Absatz 3 Satz 1 Buchstabe b der Verordnung (EU) 2016/679 wird § 10 Absatz 2a EStG als datenschutzrechtliche Ermäch-tigungsgrundlage neu gefasst und § 10 Absatz 2b EStG neu eingeführt. Die mitteilungs-pflichtigen Stellen haben die erforderlichen Daten künftig aufgrund dieser rechtlichen Ver-pflichtung in allen Fällen unabhängig vom Vorliegen einer Einwilligung zu übermitteln.
Als Folge dieser Änderung ist Absatz 2 dahingehend zu ändern, dass die bisher für die Berücksichtigung der Vorsorgeaufwendungen nach § 10 Absatz 1 Nummer 2 Buchstabe b und Nummer 3 EStG erforderliche Einwilligung sowie die Einwilligungsfiktionen entfallen.
Zu Buchstabe b
Die Regelungen zur Einwilligung sowie zum Widerruf der Einwilligung werden aufgeho-ben.
Damit die mitteilungspflichtigen Stellen die erforderlichen Daten künftig übermitteln dürfen, wird, auf Basis von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und Buchstabe e in Verbindung mit Absatz 3 Satz 1 Buchstabe b der Verordnung (EU) 2016/679, eine daten-schutzrechtliche Ermächtigungsgrundlage bestimmt. Zur besseren Lesbarkeit wird die Verpflichtung zur Datenübermittlung von Vorsorgeaufwendungen nach § 10 Absatz 1 Nummer 2 Buchstabe b EStG (Beiträge zu privaten Basisrentenverträgen) und nach § 10 Absatz 1 Nummer 3 EStG (Beiträge zur Basiskranken- und gesetzlichen Pflegeversiche-rung), die im bisherigen Absatz 2a zusammenfassend geregelt waren, getrennt geregelt.
Der neue Absatz 2a regelt die Datenübermittlung der Beiträge nach § 10 Absatz 1 Num-mer 2 Buchstabe b EStG. Die Bestimmung der mitteilungspflichtigen Stellen (Anbieter) sowie der Umfang der Datenübermittlung werden im neuen Satz 1 zusammengefasst und bleiben nahezu unverändert. Im Datensatz ist lediglich das Datum der Einwilligung nicht mehr aufzunehmen. Die mitteilungspflichtigen Stellen haben nach dem neuen Satz 2 auch weiterhin die Möglichkeit, die steuerliche Identifikationsnummer im Rahmen des beste-henden maschinellen Anfrageverfahrens zur Abfrage der Identifikationsnummer nach § 22a Absatz 2 EStG zu erheben. Damit ist sichergestellt, dass die mitteilungspflichtigen Stellen die Identifikationsnummer kennen. Bei dem Bescheinigungsverfahren „Basisrente“ sind nach der bisherigen Regelung in § 10 Absatz 2a Satz 7 EStG ein eventueller Prüf-dienst sowie Bestimmungen zur Haftung nicht vorhanden. Auf die Einführung dieser neu-en Aufgaben und deren Zuweisung zu einer bestimmten Finanzbehörde wird mit dem neuen Satz 3 weiterhin verzichtet.
Im Übrigen finden die Vorschriften des § 93c AO Anwendung.
Zu Buchstabe c
Die Regelungen zur Einwilligung sowie zum Widerruf der Einwilligung im bisherigen § 10 Absatz 2a EStG werden aufgehoben.
Damit die mitteilungspflichtigen Stellen die erforderlichen Daten künftig übermitteln dürfen, wird, auf Basis von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und Buchstabe e in Verbindung mit Absatz 3 Satz 1 Buchstabe b der Verordnung (EU) 2016/679, eine daten-schutzrechtliche Ermächtigungsgrundlage bestimmt. Zur besseren Lesbarkeit wird die Verpflichtung zur Datenübermittlung von Vorsorgeaufwendungen nach § 10 Absatz 1 Nummer 2 Buchstabe b EStG (Beiträge zu privaten Basisrentenverträgen) und nach § 10 Absatz 1 Nummer 3 EStG (Beiträge zur Basiskranken- und gesetzlichen Pflegeversiche-rung), die im bisherigen Absatz 2a zusammenfassend geregelt waren, getrennt geregelt.
– 144 –
Im neuen Absatz 2b wird die Datenübermittlung der Aufwendungen nach § 10 Absatz 1 Nummer 3 EStG geregelt. Die Bestimmung der mitteilungspflichtigen Stellen (Versiche-rungsunternehmen, Träger der gesetzlichen Kranken- und Pflegeversicherung, Künstler-sozialkasse oder eine Einrichtung im Sinne des § 10 Absatzes 2 Satz 1 Nummer 2 Buch-stabe a Satz 2 EStG) sowie der Umfang der Datenübermittlung werden im neuen Satz 1 zusammengefasst und bleiben nahezu unverändert. Im Datensatz ist lediglich das Datum der Einwilligung nicht mehr aufzunehmen. Die Bestimmungen zur versicherten Person sowie zum Versicherungsnehmer aus § 10 Absatz 2a Satz 4 Nummer 2 EStG bleiben unverändert. Die bisherige Regelung aus § 10 Absatz 2a Satz 4 EStG, dass eine Daten-übermittlung nicht vorzunehmen ist, soweit die Daten mit der elektronischen Lohnsteuer-bescheinigung oder der Rentenbezugsmitteilung der Finanzverwaltung bereits vorliegen, wird im neuen Satz 2 unverändert beibehalten. Der Verweis auf § 22 Absatz 1 Satz 1 Nummer 4 EStG (also der Verweis auf die Übermittlung der Beiträge mit der Rentenbe-zugsmitteilung) wurde im Rahmen einer Folgeänderung redaktionell angepasst. Mit dem Gesetz zur Modernisierung des Besteuerungsverfahrens vom 18. Juli 2016 (BGBl. I S. 694) hat sich die Nummerierung des § 22a Absatz 1 Satz 1 EStG nach dem Wegfall der bisherigen Nummer 4 um eine Ziffer verschoben. Diese Änderung wird mit der Anpas-sung auch in dieser Vorschrift nachvollzogen. Die mitteilungspflichtigen Stellen haben nach dem neuen Satz 3 auch weiterhin die Möglichkeit, die Identifikationsnummer im Rahmen des bestehenden maschinellen Anfrageverfahrens zur Abfrage der Identifikati-onsnummer nach § 22a Absatz 2 EStG zu erheben. Damit ist sichergestellt, dass die mit-teilungspflichtigen Stellen die Identifikationsnummer kennen. Bei dem Bescheinigungsver-fahren „Kranken- und Pflegeversicherung“ ist bereits ein Prüfdienst im Hause des Bun-deszentralamtes für Steuern (BZSt) installiert. Daher wird im neuen Satz 4 bestimmt, dass das BZSt – wie im geltenden Recht (§ 10 Absatz 2a Satz 8 Nummer 1 EStG) – zuständige Stelle für die Aufgabe des Prüfdienstes bleibt. Als Annex zu der bereits ausgeführten Er-mittlungstätigkeit des Prüfdienstes ist das BZSt auch für die Festsetzung und Erhebung des Haftungsbetrages zuständig. Die bisherige Regelung in § 10 Absatz 2a Satz 8 Num-mer 2 EStG, dass aus verfahrensökonomischen Gründen pauschal 30 Prozent des zu hoch ausgewiesenen Betrags als entgangene Steuer angesetzt werden können, wird im neuen Satz 5 übernommen.
Im Übrigen finden die Vorschriften des § 93c AO Anwendung.
Zu Buchstabe d
Folgeänderung aufgrund der Änderung des Absatzes 2. Da die Übermittlung der Daten durch die mitteilungspflichtigen Stellen nicht mehr auf eine fingierte Einwilligung gestützt werden muss, kann die Regelung des Satzes 2 entfallen.
Zu Nummer 2
Zu Buchstabe a
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „Verwenden“ wird durch den Oberbegriff „Ver-arbeiten“ ersetzt.
Zu Buchstabe b
Der Sonderausgabenabzug setzt nach bisher geltendem Recht voraus, dass die steuer-pflichtige Person nach § 10 Absatz 2a EStG gegenüber dem Anbieter als mitteilungs-pflichtige Stelle in die Datenübermittlung eingewilligt hat. Bei bestimmten Fallgestaltun-gen, beispielsweise bei Bevollmächtigung des Anbieters nach § 89 Absatz 1a EStG (sog. Dauerzulageantrag), wurde diese Einwilligung fingiert.
– 145 –
Wie bei den Sonderausgaben nach § 10 EStG ist auch bei den zusätzlichen Sonderaus-gaben nach § 10a EStG die Verarbeitung personenbezogener Daten durch Finanzbehör-den zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist (Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679). Somit können die Daten zu den Altersvorsorgebeiträgen auch nach der Verordnung (EU) 2016/679 ohne Einwilligung rechtmäßig verarbeitet werden. Um sicher-zustellen, dass die Finanzverwaltung die Vorsorgeaufwendungen in zutreffender Höhe entsprechend ihrer gesetzlichen Aufgabe berücksichtigen kann und um eine Gleichbe-handlung aller Steuerpflichtigen zu erreichen, wird künftig bei den Altersvorsorgebeiträgen bei allen Steuerpflichtigen auf eine Einwilligung verzichtet. Im Interesse einer zutreffenden Besteuerung wird auf Basis von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und Buch-stabe e in Verbindung mit Absatz 3 Satz 1 Buchstabe b der Verordnung (EU) 2016/679, § 10a Absatz 5 EStG als datenschutzrechtliche Ermächtigungsgrundlagen neu gefasst. Die mitteilungspflichtigen Stellen haben die erforderlichen Daten künftig aufgrund dieser rechtlichen Verpflichtung zu übermitteln.
Als Folgeänderung wird Absatz 2a aufgehoben, so dass die bisher für die Berücksichti-gung der Altersvorsorgebeiträge erforderliche Einwilligung sowie die Einwilligungsfiktionen entfallen. Die Regelungen zur Einwilligung und zum Widerruf der Einwilligung werden ebenfalls aufgehoben.
Zu Buchstabe c
Damit die mitteilungspflichtigen Stellen die erforderlichen Daten künftig übermitteln dürfen, wird, auf Basis von Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe c und Buchstabe e in Verbindung mit Absatz 3 Satz 1 Buchstabe b der Verordnung (EU) 2016/679, eine daten-schutzrechtliche Ermächtigungsgrundlage bestimmt.
Die Bestimmung der mitteilungspflichtigen Stellen (Anbieter) sowie der Umfang der Da-tenübermittlung bleiben im neuen Satz 1 nahezu unverändert. Im Datensatz ist lediglich das Datum der Einwilligung nicht mehr aufzunehmen. Die mitteilungspflichtigen Stellen haben nach dem neuen Satz 2 auch weiterhin die Möglichkeit, die steuerliche Identifikati-onsnummer im Rahmen des bestehenden maschinellen Anfrageverfahrens zur Abfrage der Identifikationsnummer nach § 22a Absatz 2 EStG zu erheben. Damit ist sichergestellt, dass die mitteilungspflichtigen Stellen die Identifikationsnummer kennen. Die weiteren Regelungen bleiben unverändert.
Im Übrigen finden die Vorschriften des § 93c AO Anwendung.
Zu Nummer 3
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „Verwenden“ wird durch den Oberbegriff „Ver-arbeiten“ ersetzt.
Zu Nummer 4
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „Verwenden“ wird durch den Oberbegriff „Ver-arbeiten“ ersetzt.
– 146 –
Zu Nummer 5
Zu Buchstabe a
Die bisherige Verwendungsbeschränkung wird zur Anpassung an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 durch eine Verarbeitungsbeschränkung ersetzt. Eine Ausdeh-nung der Verarbeitungsbefugnisse des Arbeitgebers ist damit nicht verbunden.
Zu Buchstabe b
Artikel 83 der Verordnung (EU) 2016/679 regelt seit dem 25. Mai 2018 die Verhängung von Bußgeldern bei Verstößen gegen die Verordnung (EU) 2016/679 abschließend, so dass der bisher geltende Bußgeldtatbestand in Absatz 9 nicht mehr erhalten bleiben kann.
Zu Nummer 6
Zu Buchstabe a
Die bisherige Verwendungsbeschränkung wird durch die Änderung des in Bezug genom-menen § 39 Absatz 8 EStG zur Anpassung an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 durch eine Verarbeitungsbeschränkung ersetzt. Eine Ausdehnung der Verarbei-tungsbefugnisse des Arbeitgebers ist damit nicht verbunden.
Die Verweisung auf § 39 Absatz 9 EStG enttfällt als Folge der Aufhebung jener Bestim-mung. Die Bußgeldbestimmungen bei Datenschutzverstößen ergeben sich seit dem 25. Mai 2018 unmittelbar aus Artikel 83 der Verordnung (EU) 2016/679.
Zu Buchstabe b
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Buchstabe c
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Nummer 7
Zu Buchstabe a
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679. Die bisher verwendeten Begriffe „Erheben, Verarbeiten oder Ver-wenden“ werden durch den Oberbegriff „Verarbeiten“ ersetzt.
Zu Buchstabe b
Artikel 83 der Verordnung (EU) 2016/679 regelt seit dem 25. Mai 2018 die Verhängung von Bußgeldern bei Verstößen gegen die Verordnung (EU) 2016/679 abschließend, so dass der bisher geltende Bußgeldtatbestand in Absatz 2a nicht mehr erhalten bleiben kann.
– 147 –
Zu Buchstabe c
Zu Doppelbuchstabe aa
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „Verwenden“ wird durch den Oberbegriff „Ver-arbeiten“ ersetzt.
Zu Doppelbuchstabe bb
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Die bisher verwendeten Begriffe „Erheben, Abrufen, Verarbeiten oder Nutzen“ werden durch den Oberbegriff „Verarbeiten“ ersetzt. Die Verarbeitung kann unter den Vo-raussetzungen des § 30 Absatz 8 AO auch im Wege eines Datenabgleichs erfolgen.
Zu Nummer 8
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „Verwenden“ wird jeweils durch den Oberbegriff „Verarbeiten“ ersetzt.
Zu Nummer 9
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Nummer 10
Zu Buchstabe a
Nach dem neuen Satz 2 in § 48b Absatz 3 EStG ist der Leistende bereits in der ihm vom zuständigen Finanzamt erteilten Bescheinigung darüber zu informieren, dass die in der Bescheinigung enthaltenen Daten vom Bundeszentralamt für Steuern entsprechend § 48b Absatz 6 EStG verarbeitet werden. Dies trägt dem Transparenzgebot nach Artikel 5 Ab-satz 1 Buchstabe a der Verordnung (EU) 2016/679 Rechnung.
Zu Buchstabe b
Zu Doppelbuchstabe aa
Der neue Satz 1 des § 48b Absatz 6 EStG stellt klar, dass das Bundeszentralamt für Steuern die ihm vom zuständigen Finanzamt übermittelten Daten im Sinne des § 48b Ab-satz 3 Satz 1 EStG wie bisher speichern darf. Der Zweck dieser Speicherung ergibt sich aus dem neuen Satz 2 (bisher Satz 1) des § 48b Absatz 6 EStG.
Zu Doppelbuchstabe bb
Die Änderung ist lediglich redaktioneller Art.
Zu Doppelbuchstabe cc
Die im bisherigen Satz 2 des § 48b Absatz 6 EStG enthaltene gesetzliche Einwilligungs-fiktion ist mit der Verordnung (EU) 2016/679 nicht vereinbar und wird durch eine gesetzli-che Befugnis zur Speicherung im neuen Satz 1 des § 48b Absatz 6 EStG ersetzt.
– 148 –
Zu Nummer 11
Mit dieser Regelung wird die Ahndung einer vorsätzlich oder leichtfertig begangenen Ver-letzung der Pflichten im Rentenbezugsmitteilungsverfahren (§ 22a Absatz 1 Satz 1 EStG) als steuerliche Ordnungswidrigkeit ermöglicht. Artikel 83 der Verordnung (EU) 2016/679 regelt seit dem 25. Mai 2018 die Verhängung von Geldbußen bei Verstößen gegen die Verordnung (EU) 2016/679 (z. B. für Fälle einer unzulässigen oder unrichtigen Übermitt-lung personenbezogener Daten) abschließend, so dass der steuerliche Bußgeldtatbe-stand in § 50f Absatz 1 EStG auf die Fälle der unterbliebenen, unvollständigen oder ver-späteten Mitteilung steuererheblicher Daten beschränkt wird. In letztgenannten Fällen liegt kein Verstoß gegen die Verordnung (EU) 2016/679 vor.
Mit der Regelung sollen die mitteilungspflichtigen Stellen angehalten werden, die Renten-bezugsmitteilungen entsprechend den gesetzlichen Vorgaben zu übermitteln. Da in die-sem Verfahren Millionen von Datensätzen jährlich an die Finanzverwaltung übermittelt werden, ist bereits die Art und Weise der Übermittlung für die Finanzverwaltung von er-heblicher Bedeutung. Insoweit ist auch die Nichtbeachtung dieser steuerlichen Mitwir-kungspflicht zu ahnden. Dies ist auch in Hinblick auf § 150 Absatz 7 AO bedeutsam, da bei Vorliegen von übermittelten Daten die Steuerpflichtigen auf eine eigenständige Dekla-ration dieser Daten verzichten können. In diesem Fall gelten die der Finanzverwaltung von dritter Seite übermittelten Daten als vom Steuerpflichtigen angegebene Daten. Damit wird die Erstellung der Steuererklärung wesentlich erleichtert.
Die Anpassung von § 50f Absatz 2 EStG ist eine daran anknüpfende Folgeänderung.
Zu Nummer 12
Zu Buchstabe a
Die Änderung stellt sicher, dass die zum Zweck der Erhebung der Einkommen- oder Kör-perschaftsteuer im Wege des Steuerabzugs erhobenen personenbezogenen Daten wie bisher auch für die Erhebung der Kirchensteuer im Wege des Steuerabzugs verarbeitet werden dürfen (vgl. Artikel 6 Absatz 4 der Verordnung (EU) 2016/679).
Zu Buchstabe b
Zu Doppelbuchstabe aa
Die Regelung wird redaktionell an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Der bisher verwendete Begriff „verwenden“ wird jeweils durch den Oberbegriff „verarbeiten“ ersetzt.
Zu Doppelbuchstabe bb
Die bisherige Verwendungsbeschränkung wird zur Anpassung an Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 durch eine Verarbeitungsbeschränkung ersetzt. Eine Ausdeh-nung der Verarbeitungsbefugnisse ist damit nicht verbunden.
Zu Nummer 13
Die Regelung wird redaktionell an die Verordnung (EU) 2016/679 angepasst.
– 149 –
Zu Artikel 75 (Änderung des Umsatzsteuergesetzes)
Zu Nummer 1
Zu Buchstabe a
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Buchstabe b
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Nummer 2
Es handelt sich um eine Anpassung an die Begriffsbestimmungen in Artikel 4 der Verord-nung (EU) 2016/679.
Zu Artikel 76 (Änderung des Rennwett- und Lotteriegesetzes)
Die Änderung ist Folgeänderung zur Änderung des § 30 Absatz 2 AO durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften vom 17. Juli 2017 (BGBl. I S. 2541).
Zu Artikel 77 (Änderung der Bundeshaushaltsordnung)
§ 95 der Bundeshaushaltsordnung (BHO) erfüllt die Anforderungen der Verordnung (EU) 2016/679 und insbesondere die des dortigen Artikels 6. Danach ist die Verarbeitung rechtmäßig für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679), wobei die Rechtsgrundlage sich auch aus dem nationalen Recht (hier: § 95 BHO) ergeben kann (Artikel 6 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679). Mit der Ergänzung um elektronisch gespeicherte Daten enthält diese nationale Rechtsgrundlage künftig eine Regelung im Sinne von Artikel 6 Absatz 3 Satz 3 der Verordnung (EU) 2016/679 („…, welche Arten von Daten verarbeitet werden, … und welche Verarbeitungsvorgänge und -verfahren angewendet werden dürfen, …“). Ver-schiedene Landeshaushaltsordnungen enthalten bereits Erweiterungen und Hinweise auf elektronisch gespeicherte Daten und deren automatisierten Abruf. Mit der Ergänzung des § 95 BHO wird auch für die Prüfungstätigkeit des Bundesrechnungshofes klargestellt, dass er Zugang zu solchen elektronisch gespeicherten Informationen hat. Zu den Verar-beitungsverfahren zählt ausdrücklich auch der automatisierte Abruf von Daten, der an verschiedenen Stellen der Verordnung (EU) 2016/679 besondere Reglementierung er-fährt.
§ 95 BHO ist mit dem Recht der Europäischen Union vereinbar. Die Bestimmung betrifft die Verarbeitung von Daten, die gemäß Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679 für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verant-wortlichen übertragen wurde. Gemäß Absatz 3 Satz 1 Buchstabe b dieses Artikels kann die Rechtsgrundlage hierfür durch das Recht der Mitgliedstaaten festgelegt werden, dem der Verantwortliche unterliegt.
– 150 –
Zu Artikel 78 (Änderung des Sanierungs- und Abwicklungsgesetzes)
Zu Nummer 1
Zu Buchstabe a
Bei § 4 Absatz 2 des Sanierungs- und Abwicklungsgesetzes (SAG) handelt es sich um eine Anpassung an die Verordnung (EU) 2016/679 und das BDSG sowie um die Aufnah-me eines Hinweises auf die neuen Absätze 3 bis 6.
Zu Buchstabe b
§ 4 Absatz 3 berücksichtigt, dass beim Verwaltungshandeln der BaFin als Aufsichtsbe-hörde bzw. Abwicklungsbehörde auf der Grundlage des SAG oder der Verordnung (EU) 806/2014 des Europäischen Parlaments und des Rates vom 15. Juli 2014 zur Festlegung einheitlicher Vorschriften und eines einheitlichen Verfahrens für die Abwicklung von Kre-ditinstituten und bestimmten Wertpapierfirmen im Rahmen eines einheitlichen Abwick-lungsmechanismus und eines einheitlichen Abwicklungsfonds sowie zur Änderung der Verordnnung (EU) 1093/2010 (ABl. L 225 vom 30.7.2014, S. 1) die Verarbeitung perso-nenbezogener Daten erforderlich sein und im Fall einer Auskunftserteilung über die Ver-arbeitung dieser Daten eine Gefährdung des Erfolgs der jeweiligen Abwicklungsmaßnah-men nicht ausgeschlossen werden kann. Für die Verarbeitung personenbezogener Daten im Anwendungsbereich des SAG beziehungsweise der Verordnung (EU) 806/2014 kom-men vor allem die Feststellung der Abwicklungsvoraussetzungen, die Erstellung einer Abwicklungsanordnung sowie die Anwendung von Abwicklungsinstrumenten in Betracht. Dabei verbietet sich jedoch eine streng isolierte Betrachtungsweise bezüglich einzelner Maßnahmen. Vielmehr dienen sämtliche Handlungen der Aufsichts- oder Abwicklungsbe-hörde auf der Grundlage des SAG beziehungsweise der Verordnung (EU) 806/2014 der Erreichung der gesetzlichen Zielsetzung. Damit diese Prozesse auch vor dem Hintergrund der sehr zeitkritischen Maßnahmen zur Verbesserung und Stabilisierung der wirtschaftli-chen Situation eines Instituts im Interesse der Finanzmarktstabilität beziehungsweise der oftmals sehr zeitkritischen Abwicklungssituation effizient und zügig durchgeführt werden können und insbesondere der Erfolg der Maßnahmen nicht gefährdet wird, sollen daten-schutzrechtliche Ansprüche der Betroffenen im Hinblick auf die genannte Verarbeitung ihrer personenbezogenen Daten beschränkt werden. Rechtliche Grundlage hierfür ist Arti-kel 23 der Verordnung (EU) 2016/679. Nach Artikel 23 Absatz 1 Buchstabe c der Verord-nung (EU) 2016/679 können durch nationales Recht u.a. die Rechte aus den Artikeln 15 bis 18 sowie den Artikeln 20 bis 22 der Verordnung (EU) 2016/679 beschränkt werden, sofern dies aufgrund der Sicherstellung der öffentlichen Sicherheit notwendig und verhält-nismäßig ist. Zudem rechtfertigt Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 eine Beschränkung der Betroffenenrechte, wenn dies zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitglied-staats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses not-wendig und verhältnismäßig ist. Durch die Maßnahmen auf der Grundlage des SAG be-ziehungsweise der Verordnung (EU) 806/2014 soll zum einen die wirtschaftliche Situation des Instituts stabilisiert werden. Zum anderen dienen sie der Stabilisierung der Finanz-märkte bzw. der Aufrechterhaltung der Finanzmarktstabilität. Es gilt negative Auswirkun-gen von Schieflagen von Kreditinstituten zu minimieren, indem systemisch wichtige Funk-tionen des betroffenen Instituts aufrecht erhalten werden. Darüber hinaus sind die europä-ischen Finanzmärkte derart stark integriert und miteinander verflochten, dass der Ausfall eines grenzüberschreitend tätigen Instituts regelmäßig nicht nur in seinem Herkunftsland das Vertrauen in die Funktionsfähigkeit der Finanzmärkte beziehungsweise die Stabilität der Finanzmärkte beeinträchtigt, sondern auch in den anderen Mitgliedstaaten, in denen das Institut tätig ist. Auch solche Ansteckungseffekte gilt es zu vermeiden beziehungswei-se möglichst gering zu halten. Die Beschränkung ist zudem verhältnismäßig, da sie nur solange gelten soll, bis ausgeschlossen werden kann, dass das übergeordnete Ziel der Sicherstellung des Vertrauens in die Funktionsfähigkeit der Finanzmärkte beziehungswei-
– 151 –
se deren Stabilität nicht mehr durch eine unbeschränkte Erfüllung der datenschutzrechtli-chen Verpflichtungen gefährdet werden kann.
§ 4 Absatz 3 Satz 2 regelt die Beschränkung der datenschutzrechtlichen Informations- und Mitteilungspflichten sowie der damit in Zusammenhang stehenden Verpflichtungen unter den Voraussetzungen des Satzes 1. Rechtliche Grudlage für die Beschränkung ist ebenso wie bei der Beschränkung der Auskunftsrechte der betroffenen Personen gemäß Satz 1 Artikel 23 Absatz 1 Buchstaben c und e der Verordnung (EU) 2016/679. Da nicht ausgeschlossen werden kann, dass auch bei den in die Vorbereitung und Durchführung von Maßnahmen der Aufsichtsbehörde oder der Abwicklungsbehörde involvierten Stellen personenbezogene Daten erhoben oder erhoben werden, ist im Interesse der Zweckerrei-chung der Regelung die Beschränkung auch auf Personen und Einrichtungen auszudeh-nen, denen sich die Aufsichtsbehörde oder die Abwicklungsbehörde bei der Vorbereitung und Durchführung der Maßnahmen auf der Grundlage des SAG bzw. der Verordnung (EU) 806/2014 bedient.
Die Beschränkungen der datenschutzrechtlichen Betroffenenrechte bezwecken, insbe-sondere den Erfolg einer Frühinterventions- oder einer Abwicklungsmaßnahme nicht zu gefährden und dienen daher der Stabilität und Funktionsfähigkeit der Finanzmärkte. Sie sind unter den genannten Bedingungen auch verhältnismäßig.
Nach § 4 Absatz 4 sind die durch die datenschutzrechtlichen Beschränkungen Betroffe-nen über das Ende der Beschränkung in geeigneter Form zu informieren. Die der Auf-sichts- beziehungsweise Abwicklungsbehörde auferlegte nachträgliche Informationspflicht macht deutlich, dass Rechte und Pflichten nach der Verordnung (EU) 2016/679 gewahrt werden und nur im Einzelfall zugunsten eines höherrangigen Gutes vorübergehend be-schränkt werden dürfen. Insoweit wird auch den Vorgaben des Artikel 23 Absatz 2 Buch-stabe h der Verordnung (EU) 2016/679 entsprochen. Die nachträgliche Informationspflicht besteht nur, sofern dies nicht dem Zweck der Beschränkung abträglich ist. Dies könnte zum Beispiel dann der Fall sein, wenn die Bekanntgabe einer erfolgten Stabilisierungs-maßnahme das Vertrauen der Kunden in die wirtschaftliche Tragfähigkeit eines Instituts erschüttern würde und das Institut mit negativen Folgewirkungen für die Finanzmarktstabi-lität erneut destabilisieren würde.
Entsprechend § 34 Absatz 3 BDSG (BGBl. vom 5. Juli 2017, S. 2097) sieht § 4 Absatz 5 eine Auskunftserteilung an die oder den BfDI vor, sofern der betrofffenen Person durch die Aufsichts- bzw. Abwicklungsbehörde auf der Grundlage von § 4 Absatz 4 keine Aus-kunft erteilt wurde und die betroffene Person eine Auskunftserteilung an die oder den BfDI verlangt. Eine Auskunftserteilung an die oder den BfDI darf nur dann unterbleiben, soweit aus Sicht der Aufsichts- bzw. Abwicklungsbehörde durch die Erteilung der Auskunft die Sicherheit des Bundes oder eines Landes oder die Finanzmarktstabilität gefährdet würde. Die Beschränkung dient dem Schutz der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679) sowie dem Schutz des Vertrauens in die Funktionsfähigkeit der nationalen und europäischen Finanzmärkte (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679).
In Ergänzung der Regelung des § 4 Absatz 3 sieht § 4 Absatz 6 vor, dass Institute, Unter-nehmen und inländische Unionszweigstellen, die personenbezogene Daten für Zwecke des SAG bzw. der Verordnung (EU) 806/2014 übermitteln, nicht den Informations- und Auskunftsverpflichtungen der Verordnung (EU) 2016/679 unterliegen. Ohne eine solche gesetzliche Beschränkung besteht die Gefahr, dass der Erfolg von Maßnahmen der Auf-sichts- bzw. Abwicklungsbehörde auf der Grundlage des SAG bzw. der Verordnung (EU) 806/2014 gefährdet würde.
– 152 –
Zu Nummer 2
Zu Buchstabe a
Die Änderung stellt lediglich eine Anpassung an die Begrifflichkeiten der Verordnung (EU) 2016/679 dar. Bei der Verarbeitung personenbezogener Daten durch Drittstaatenbehör-den darf es sich ausschließlich um die Nutzung der von der Aufsichts- bzw. Abwicklungs-behörde übermittelten und damit bereits von dieser erhobenen Daten handeln.
Zu Buchstabe b
Die Änderung berücksichtigt die unmittelbare Geltung der in Kapitel V der Verordnung (EU) 2016/679 enthaltenen Vorgaben für die Übermittlung personenbezogener Daten an Drittstaaten.
Zu Artikel 79 (Änderung der Wirtschaftsprüferordnung)
Zu Nummer 1
Es handelt sich um eine Folgeänderung zur Änderung der Überschrift in §°36a.
Zu Nummer 2
Die redaktionelle Änderung passt die Überschrift dem Inhalt des §°36a an, der auch eine Datenübermittlung von juristischen Personen und damit nicht personenbezogener Daten regelt.
Zu Nummer 3
Die Änderungen verweisen auf das anwendbare Kapitel V der Verordnung (EU) 2016/679 für die Datenübermittlung an Drittländer und machen deutlich, dass die übrigen Bestim-mungen der Verordnung (EU) 2016/679 und des BDSG gelten.
Zu Artikel 80 (Änderung des Energiestatistikgesetzes)
Zu Nummer 1
Es handelt sich um redaktionelle Anpassungen an die Begrifflichkeiten der Verordnung (EU) 2016/679.
Zu Nummer 2
Es handelt sich um redaktionelle Anpassungen an die Begrifflichkeiten der Verordnung (EU) 2016/679.
Zu Artikel 81 (Änderung der Gewerbeordnung)
Zu Nummer 1
Es handelt sich um eine redaktionelle Folgeänderung.
– 153 –
Zu Nummer 2
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten.
Zu Buchstabe b
Die in § 11 Absatz 1 Satz 1 normierte Rechtsgrundlage für die Erhebung personenbezo-gener Daten wird auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Ab-satz 1 Satz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspiel-raums angepasst. Damit wird klargestellt, dass die Erhebung der personenbezogenen Daten für die Erfüllung der rechtlichen Verpflichtungen der zuständigen öffentlichen Stelle erforderlich ist. Im Übrigen handelt es sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Daten.
Zu Buchstabe c
Es handelt sich um redaktionelle Anpassungen an die durch Artikel 4 Nummer 1 der Ver-ordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe d
Es handelt sich um redaktionelle Anpassungen an die durch Artikel 4 Nummer 2 der Ver-ordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe e
Die Streichung des Wortes „nur“ dient der Klarstellung, dass neben den Vorgaben der Gewerbeordnung die Verordnung (EU) 2016/679 gilt. Im Übrigen handelt es sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Daten.
Zu Buchstabe f
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 3 der Verordnung (EU) 2016/679 vorgegebene Terminologie. Bei der Ergänzung handelt es sich um einen deklaratorischen Hinweis. Er dient der Klarstellung für den Rechtsanwen-der, dass neben den spezifischen Regelungen der Gewerbeordnung und der Daten-schutzgesetze der Länder die Verordnung (EU) 2016/679 gilt.
Zu Nummer 3
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
– 154 –
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 4
Zu Buchstabe a
Die Änderung in § 14 Absatz 4 ist Folgeänderung zur Änderung des § 30 Absatz 2 AO durch das Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschrif-ten vom 17. Juli 2017 (BGBl. I S. 2541).
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten.
Zu Buchstabe c
Es handelt sich um eine Anpassung auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Satz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspielraums. Die Änderung stellt klar, dass die regelmäßige Datenübermittlung aus der Gewerbeanzeige nicht in das Ermessen der zuständigen Behörde fällt, sondern unter den Voraussetzungen des § 14 Absatz 8 verpflichtend ist. Der Einschub „sofern die empfangsberechtigte Stelle auf die regelmäßige Datenübermittlung nicht verzichtet hat,“ erfolgt um Missverständnisse zu vermeiden.
Zu Buchstabe d
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten. § 14 Absatz 11 Satz 6 wird lediglich aus Gründen der Einheitlichkeit redaktionell an-gepasst. Es handelt sich bei den Protokolldaten nicht um personenbezogene Daten, so-dass der Anwendungsbereich der Verordnung (EU) 2016/679 nicht eröffnet ist.
Zu Buchstabe e
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten.
Zu Nummer 5
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten.
Zu Nummer 6
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 vorgegebene Begriffsbestimmung der „Verarbeitung“ von Da-ten.
– 155 –
Zu Nummer 7
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Die Übersendung einer offiziellen und formellen Auskunft aus dem Gewerbezentralregis-ter auf fälschungssicherem Papier mit Bundesadler an die Betroffenen nach § 150 GewO ist und bleibt gemäß Nummer 1132 des Kostenverzeichnisses zum JVKostG gebühren-pflichtig. Daneben muss zukünftig – auch mit Blick auf die ab dem 25. Mai 2018 anwend-bare Datenschutz-Grundverordnung – den Betroffenen ein EDV-Ausdruck mit den ge-speicherten Daten kostenfrei zur Verfügung gestellt werden. Durch die Regelung wird das in Artikel 15 Absatz 3 Datenschutz-Grundverordnung verankerte Recht Betroffener auf kostenfreie Aushändigung eines schriftlichen Auszugs der über sie gespeicherten perso-nenbezogenen Daten bereichsspezifisch umgesetzt.
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe d
Mit Artikel 81 Nummer 7 Buchstabe b wird eine kostenfreie Selbstauskunft aus dem Ge-werbezentralregister eingeführt, die es den Betroffenen ermöglicht, jederzeit und ohne Kosten Kenntnis über den Inhalt des Gewebezentralregisters zu erlangen. Die Regelung des Rechts auf Einsichtnahme, die im Fall einer Gewerbezentralregisterauskunft direkt an eine Behörde erfolgt, wird somit obsolet, da der Betroffene sich selbst Zugang zu den Daten verschaffen kann.
Zu Nummer 8
Zu Buchstabe a
Mit Artikel 81 Nummer 7 Buchstabe b wird eine kostenfreie Selbstauskunft aus dem Ge-werbezentralregister eingeführt, die es den Betroffenen ermöglicht, jederzeit und ohne Kosten Kenntnis über den Inhalt des Gewebezentralregisters zu erlangen. Die Regelung des Rechts auf Einsichtnahme, die im Fall einer Gewerbezentralregisterauskunft direkt an eine Behörde erfolgt, wird somit obsolet, da der Betroffene sich selbst Zugang zu den Daten verschaffen kann.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Folgeänderung.
Zu Nummer 9
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
– 156 –
Zu Buchstabe b
Die Anpassung ist durch die unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 ab 25. Mai 2018 erforderlich.
Zu Buchstabe c
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe d
Die Anpassung ist durch die Neufassung des BDSG und unmittelbare Anwendbarkeit der Verordnung (EU) 2016/679 ab 25. Mai 2018 erforderlich.
Zu Nummer 10
Die Auskunft an ausländische sowie über- und zwischenstaatliche Stellen soll neben völ-kerrechtlichen Verträgen auch der Anwendbarkeit der Verordnung (EU) 2016/679 unter-liegen. Kapitel V der Verordnung (EU) 2016/679 ist unmittelbar anwendbar.
Zu Nummer 11
Zu Buchstabe a
Die Protokolldaten sollen zukünftig auch für die Selbstauskunft gemäß Artikel 15 der Da-tenschutz-Grundverordnung genutzt werden können. Im Übrigen handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°2 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Die Betroffenen sollen durch die Neuregelung in Absatz 3 einen Auskunftsanspruch über die Protokolldaten erhalten. Insoweit wird auf die Ausführungen zur Begründung des § 21a Absatz 3 BZRG (Artikel 52 Nummer 5 Buchstabe c) verwiesen.
Zu Nummer 12
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Nummer 13
Zu Buchstabe a
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
Zu Buchstabe b
Es handelt sich um eine redaktionelle Anpassung an die durch Artikel°4 Nummer°1 der Verordnung (EU) 2016/679 vorgegebene Terminologie.
– 157 –
Zu Artikel 82 (Änderung des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern)
Die in § 9 normierten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten werden aufgrund des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterabsatz 1 Buchstabe c der Verordnung (EU) 2016/679 – im Falle von § 9 Absatz 4 aufgrund des Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterabsatz 1 Buchstabe e der Verordnung (EU) 2016/679 – eröffneten Regelungsspielraums angepasst bzw. aufrechterhalten.
Zu Nummer 1
Zu Buchstabe a
Absatz 3 macht von der Möglichkeit des Artikel 23 Absatz 1 Verordnung (EU) 2016/679 Gebrauch. Danach können durch nationales Recht die Rechte von betroffenen Personen aus den Artikeln 12 bis 22 beschränkt werden, sofern dies aufgrund des Schutzes sonsti-ger wichtiger Ziele des allgemeinen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Inte-resses, notwendig und verhältnismäßig erscheint (Art. 23 Absatz 1 Buchstabe e der Ver-ordnung (EU) 2016/679).
Absatz 3 Satz 1 schränkt das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 Absatz 1 Buchstabe c sowie die Mitteilungspflicht nach Artikel 19 Satz 2 der Verord-nung (EU) 2016/679 ein, wenn personenbezogene Daten in den Wählerlisten zur Vollver-sammlung enthalten sind. Ferner beschränkt Satz 2 das Recht auf Erhalt einer Kopie nach Artikel 15 Absatz 3 der Verordnung (EU) 2016/679, soweit anstelle der Zurverfü-gungstellung einer Kopie die betroffene Person Einsicht in die Wählerliste nehmen kann.
Die Beschränkungen dienen der Gewährleistung der Funktionsfähigkeit und Aufgabener-ledigung der Industrie- und Handelskammern nach Maßgabe dieses Gesetzes. Die ord-nungsgemäße Durchführung der Wahlen zur Vollversammlung nach Absatz 1 sicherzu-stellen, ist eine zentrale Aufgabe der Industrie- und Handelskammern. Dazu erstellen die Industrie- und Handelskammern Wählerlisten, in denen alle Kammerzugehörigen aufgelis-tet sind. Die Wählerlisten enthalten regelmäßig Angaben zu Name, Firma, Anschrift, Wahlgruppe und Wirtschaftszweig des Wahlberechtigten. Zudem sind die Wählerlisten nach Wahlgruppen getrennt. Sofern es weitere Untergliederungen der Wahlgruppen (z.B. Regionalgruppen) gibt, wird regelmäßig auch eine weitere Unterteilung der Wählerlisten vorgenommen. Die Angaben in den Wählerlisten beruhen auf den den Industrie- und Handelskammern zum Zeitpunkt der Wahl vorliegenden Daten. Die Wählerlisten werden dann für einen befristeten Zeitraum zur Einsichtnahme ausgelegt. Zur Einsichtnahme be-rechtigt sind nur wahlberechtigte Kammermitglieder. Ziel der Einsichtnahme eines Mit-glieds ist die Überprüfung der eigenen Daten.
Die Beschränkung der Rechte der betroffenen Person nach Art. 15 und 19 der Verord-nung (EU) 2016/679 beruhen auf der Besonderheit, dass die Wählerlisten den
wahlberechtigten Kammermitgliedern offengelegt werden müssen, damit diese ihre Rech-te bei nicht korrekten Eintragungen gegenüber den Industrie-und Handelskammern gel-tend machen können. Die Empfänger der in den Wählerlisten enthaltenen Daten sind da-her begrenzt auf die wahlberechtigten Kammermitglieder. Eine weitere Konkretisierung, welches Kammermitglied tatsächlich Einsicht genommen hat, erfolgt nicht. Dies wäre auf-grund der großen Anzahl an wahlberechtigten Mitgliedern einer Industrie- und Handels-kammer nicht praktikabel. Gleiches gilt für eine Einsichtnahme nur jeweils der eigenen Daten durch ein Kammermitglied, da diese Daten zur Durchführung der Wahlen einer Wählerliste zugeordnet werden müssen. Ohne die Erstellung und zeitlich befristete Offen-legung der Wählerlisten wäre eine ordnungsgemäße Durchführung der Wahlen zur Voll-versammlung nicht zu gewährleisten. Die Beschränkung des Auskunfts- und Mitteilungs-
– 158 –
rechts der betroffenen Person sind vor diesem Hintergrund eine verhältnismäßige Maß-nahme nach Art 23 Absatz 1 der Verordnung (EU) 2016/679.
Zu Buchstabe b
Es handelt sich um eine Folgeänderung zu Buchstabe a.
Zu Nummer 2
Zu Buchstabe a
Mit den Änderungen wird die Datenverarbeitung durch die Industrie- und Handelskam-mern als gesetzliche Verpflichtung ausgestaltet. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Industrie- und Handelskammern in § 9 Absatz 1 wird auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterabsatz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspielraums neu einge-führt.
Den Industrie- und Handelskammern werden die Daten derjenigen übermittelt, die ein Gewerbe an-, um oder abgemeldet haben. Diese Daten müssen die Industrie- und Han-delskammern verarbeiten, um die Frage der gesetzlichen Mitgliedschaft zu klären. Aus der gesetzlichen Mitgliedschaft ergeben sich Beteiligungs- und Mitwirkungsrechte der zugehörigen Unternehmen, insbesondere das aktive und passive Wahlrecht. Diese Rech-te müssen die Industrie- und Handelskammern gewährleisten. Gleichzeitig ergibt sich aus der gesetzlichen Mitgliedschaft die Beitragspflicht. Dabei ist die Erfassung und Veranla-gung aller beitragspflichtigen Mitglieder auch für die Industrie- und Handelskammern eine Pflicht, die sich direkt aus § 3 des Gesetzes zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern (IHKG) und dem verfassungsrechtlichen Gleichbehand-lungsgrundsatz ergibt. Insoweit besteht für die Industrie- und Handelskammern eine Ver-pflichtung zur Datenverarbeitung.
Mit der Definition des Datenkranzes durch Bezugnahme auf die Verordnung gemäß § 14 Absatz 14 der Gewerbeordnung wird eindeutig festgelegt, welche Daten die Industrie- und Handelskammern zu ihrer Aufgabenerfüllung verarbeiten. Die Erhebung der Daten soll nicht nur bei den Kammerzugehörigen, sondern zum Beispiel auch bei der Finanzverwal-tung erfolgen. Daher ist eine Erweiterung der Datenerhebung auch auf „öffentliche Stel-len“ notwendig.
Die Ergänzung in Satz 3 stellt klar, wer bei den Kammerzugehörigen auskunftspflichtig ist. Diese Änderung ist erforderlich, weil in den Sätzen 1 und 2 eine Erweiterung der Datener-hebung auch auf „öffentliche Stellen“ eingeführt wird.
Zu Buchstabe b
Zu Absatz 2:
Mit den Änderungen wird die Datenverarbeitung durch die Industrie- und Handelskam-mern als gesetzliche Verpflichtung ausgestaltet. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Industrie- und Handelskammern in § 9 Absatz 2 wird auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterabsatz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspielraums angepasst.
Die Industrie- und Handelskammern und ihre Gemeinschaftseinrichtungen müssen die ihnen übermittelten beziehungsweise von ihnen erhobene Daten vor allem für die Fest-stellung der Zugehörigkeit zur Industrie- und Handelskammer und für die Feststellung der Beitragszahlungspflicht erheben. Die Erfassung und Veranlagung aller beitragspflichtigen Mitglieder ist für die Industrie- und Handelskammern eine Pflicht, die sich direkt aus § 3
– 159 –
IHKG und aus dem verfassungsrechtlichen Gleichbehandlungsgrundsatz ergibt. Insoweit besteht für die Industrie- und Handelskammern eine Verpflichtung zur Datenverarbeitung.
Zu Absatz 3:
Mit den Änderungen wird die Datenverarbeitung durch die Industrie- und Handelskam-mern als gesetzliche Verpflichtung ausgestaltet. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Industrie- und Handelskammern in § 9 Absatz 3 wird auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterabsatz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspielraums angepasst.
Die Industrie- und Handelskammern benötigen die Daten der Kammerzugehörigen zur Erfüllung ihrer gesetzlichen Aufgaben. Unabhängig davon, ob es sich um hoheitliches oder sonstiges Verwaltungshandeln handelt, beruht die Tätigkeit der Industrie- und Han-delskammern auf den Stammdaten ihrer Mitglieder (so z. B. bei den gewerberechtlichen Registern oder der Berufsausbildung).
Die Änderung in Satz 2 stellt klar, dass eine Datenverarbeitung weiterer Daten nur zuläs-sig ist, wenn hierfür eine Rechtsgrundlage vorhanden ist.
Im Übrigen handelt es sich um redaktionelle Anpassungen an die Begriffsbestimmungen des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679.
Zu Absatz 4:
Mit den Änderungen wird die Datenverarbeitung durch die Industrie- und Handelskam-mern als gesetzliche Verpflichtung ausgestaltet. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Industrie- und Handelskammern in § 9 Absatz 3a wird auf der Grundlage des durch Artikel 6 Absatz 2 in Verbindung mit Absatz 1 Unterab-satz 1 Buchstabe c der Verordnung (EU) 2016/679 eröffneten Regelungsspielraums an-gepasst.
Die Industrie-und Handelskammern müssen in bestimmten Fällen (z. B. bei der Zuord-nung von Betriebsstätten oder der Beitragsteilung zwischen Industrie- und Handelskam-mern und Handwerkskammern) auf die Daten anderer Industrie- und Handelskammern zurückgreifen. Hierzu wurde ein automatisiertes Verfahren auf Abruf eingerichtet. Der automatisierte Abruf erfolgt nur zur Erfüllung der gesetzlichen Aufgaben der Industrie- und Handelskammern.
§ 10 BDSG a. F., der bisher die Einrichtung eines automatisierten Verfahrens auf Abruf geregelt hat, entfällt durch die Novellierung, da die Verordnung (EU) 2016/679 keine Un-terscheidung nach der Form der Datenübermittlung vorsieht. Die erforderlichen Regelun-gen werden auf Grundlage von Artikel 6 Absätze 2 und 3 in Verbindung mit Absatz 1 Un-terabsatz 1 Buchstabe c der Verordnung (EU) 2016/679 entsprechend in das IHKG über-nommen.
Zu Absatz 5:
Bisher unterschied Absatz 4 zwischen dem Datenkranz „Name, Firma, Anschrift und Wirt-schaftszweig“ und dem Datenkranz, der die übrigen in Absatz 1 genannten Daten, also alle weiteren Angaben aus der Gewerbemeldung, umfasst. Nur bezogen auf die Übermitt-lung der Daten des zuletzt genannten Datenkranzes an nicht–öffentliche Stellen konnte der Kammerzugehörige Widerspruch einlegen. In der Praxis hat sich jedoch gezeigt, dass die Industrie- und Handelskammern bei einem erhobenen Widerspruch auch von der Übermittlung der Daten „Name, Firma, Anschrift und Wirtschaftszweig“ Abstand nehmen. Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe e in Verbindung mit Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 sieht ein Widerspruchsrecht vor. Die Änderung in Absatz 4
– 160 –
dient der Anpassung an die Vorgaben der Verordnung (EU) 2016/679 sowie an die tat-sächliche Übermittlungspraxis der Industrie- und Handelskammern.
Die Neuregelung in Satz 1 dient zudem der Anpassung an den Regelungsansatz des § 25 Absatz 2 BDSG und an die Begriffsbestimmungen des Artikel 4 Nummer 2 der Verord-nung (EU) 2016/679. Die Datenübermittlung an nicht-öffentliche Stellen setzt voraus, dass sich die Empfänger gegenüber der übermittelnden Stelle verpflichtet haben, die Daten nur für den Zweck zu verwenden, zu dessen Erfüllung sie ihnen übermittelt worden sind.
Die Einschub „unbeschadet der weiteren Vorgaben der Verordnung (EU) 2016/679“ in Satz 2 dient der Klarstellung, dass neben den spezifischen Regelungen des IHKG zu In-formationspflichten gegenüber den betroffenen Personen die Informationspflichten der Verordnung (EU) 2016/679 zu beachten sind.
Zu Absatz 6:
Absatz 5 enthält spezielle datenschutzrechtliche Regelungen für die Wahlen zur Vollver-sammlung der Industrie- und Handelskammern. Da es sich insoweit um einen Sonderfall der Datenübermittlung an eine nicht-öffentliche Stelle handelt, wird dieser in einem neuen Absatz geregelt.
Eine inhaltliche Anpassung der Vorschrift, die bisher in Absatz 4 Sätze 4 und 5 enthalten war, erfolgt punktuell. Die Regelung wird um die Unterscheidung in Bewerber und Kandi-daten bei der als empfangende Stelle angesprochenen Personengruppe konkretisiert. Die Wahlordnungen der Industrie- und Handelskammern unterscheiden zwischen Bewerbern und Kandidaten. Bewerber sind wählbare Personen, die sich selbst bewerben oder von anderen Kammermitgliedern für ihre Wahlgruppe als Wahlvorschlag benannt sind. Die Summe der gültigen Wahlvorschläge für eine Wahlgruppe ergibt die Kandidatenliste. Mit der Feststellung der Kandidatenliste durch den Wahlausschuss werden aus diesen Be-werbern Kandidaten. Die Ergänzung der Kandidaten als empfangende Stelle dient inso-weit lediglich der Klarstellung und Transparenz, dass die sich zur Wahl stellenden Perso-nen auch als Kandidaten empfangende Stelle sein können. Daher wurde auch der Zweck der Datenübermittlung jeweils bezogen auf die empfangende Stelle konkretisiert. Zudem wurde bei den zu übermittelnden Daten die Emailadresse als modernes Kommunikati-onsmittel ergänzt.
Die Vorschrift wurde auch an den Regelungsansatz des § 25 Absatz 2 BDSG und an die Begriffsbestimmungen des Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 angepasst. Die Datenübermittlung an nicht-öffentliche Stellen setzt voraus, dass sich die Empfänger gegenüber der übermittelnden Stelle verpflichtet haben, die Daten nur für den Zweck zu verwenden, zu dessen Erfüllung sie ihnen übermittelt worden sind.
Zu Buchstabe c
Der Verweis auf § 10 BDSG a. F. geht nach der Neufassung des BDSG und der Aufhe-bung des § 10 BDSG a. F. ins Leere. Die Verordnung (EU) 2016/679 sieht ebenfalls keine spezielle Regelung für das automatisierte Verfahren auf Abruf vor. Daher wurden die er-forderlichen Regelungen in § 9 Absatz 3a IHKG übernommen.
Im Übrigen handelt es sich nur um redaktionelle Anpassungen an die Begriffsbestimmun-gen durch Artikel 4 Nummer 3 der Verordnung (EU) 2016/679.
– 161 –
Zu Artikel 83 (Änderung des Medizinproduktegesetzes)
Zu Nummer 1
Es handelt sich um eine redaktionelle Anpassung aufgrund der Anpassung des § 33 an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Die-se neue Vorschrift bestimmt Verarbeitung als zentralen Oberbegriff, der inhaltlich neben dem bisherigen Verarbeiten und Nutzen auch die Erhebung umfasst. Das Begriffspaar „verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung, da sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 13 Absatz 4 Satz 1 ergibt, dass es sich nur um die Verarbei-tung der von der zuständigen Behörde an das Deutsche Institut für Medizinische Doku-mentation und Information (DIMDI) übermittelten Entscheidungen über die Klassifizierung von Medizinprodukten und zur Abgrenzung von Medizinprodukten zu anderen Produkten handelt. Diese Daten werden dem DIMDI von der zuständigen Behörde nach § 13 Ab-satz 4 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbefugnis bezieht sich nur auf diese übermittelten Daten. Weitergehende Erhebungsbefugnisse werden durch die Ver-wendung des weiten Begriffs der Verarbeitung für das DIMDI nicht geschaffen.
Zu Nummer 2
Zu Buchstabe a
Zu Doppelbuchstabe aa
Das Schriftformerfordernis für die Einwilligung in die Teilnahme an einer klinischen Prü-fung sowie in die Aufzeichnung von und die Einsichtnahme in die Gesundheitsdaten wird im Sinne einer fortschreitenden Digitalisierung um die elektronische Form ergänzt. Dar-über hinaus wird eine rechtsförmlich notwendige Korrektur des Verweises auf Absatz 1 in Absatz 2 Satz 1 im Satzteil vor der Aufzählung vorgenommen.
Zu Doppelbuchstabe bb
Mit dem neu angefügten Satz 3 wird festgelegt, dass bis zum Zeitpunkt des Widerrufs der Einwilligung in die Teilnahme an einer klinischen Prüfung gespeicherte Daten weiterhin verarbeitet werden dürfen. Jedoch soll dies aus datenschutzrechtlichen Gründen nicht uneingeschränkt gelten, sondern nur, soweit die weitere Verarbeitung dieser Daten erfor-derlich ist, um die mit der klinischen Prüfung verfolgten Ziele zu erreichen bzw. nicht ernsthaft zu gefährden oder um schutzwürdige Interessen der betroffenen Person zu wah-ren.
Zu Buchstabe b
Das Schriftformerfordernis für die Einwilligung in die Teilnahme an einer klinischen Prü-fung sowie in die Aufzeichnung von und die Einsichtnahme in die Gesundheitsdaten wird im Sinne einer fortschreitenden Digitalisierung um die elektronische Form ergänzt.
Zu Nummer 3
Es handelt sich um redaktionelle Anpassungen aufgrund der Anpassung des § 33 an die neue Begriffsbestimmung in Artikel 4 Nummer 2 der Verordnung (EU) 2016/679. Diese neue Vorschrift bestimmt Verarbeitung als zentralen Oberbegriff, der inhaltlich neben dem bisherigen Verarbeiten und Nutzen auch die Erhebung umfasst. Das in § 25 Absatz 5 Satz 1, § 29 Absatz 1 Satz 5 und § 30 Absatz 2 Satz 2 jeweils verwendete Begriffspaar
– 162 –
„verarbeiten und nutzen“ sollte nach bisherigem Rechtsverständnis alle Formen des Da-tenumgangs mit Ausnahme der Erhebung erfassen. Die Verwendung des weiten Begriffs der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 be-deutet dennoch keine inhaltliche Änderung. So ergibt sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 25 Absatz 5 Satz 1, dass es sich nur um die Verarbeitung der von der zuständigen Behörde an das DIMDI übermittelten Daten handelt. Dem DIMDI werden die Daten gemäß § 25 Absatz 1 bis 4 von der zuständigen Behörde auf der Grundlage des § 25 Absatz 5 Satz 1 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbe-fugnis bezieht sich nur auf diese übermittelten Daten. Weitergehende Erhebungsbefug-nisse werden durch die Verwendung des weiten Begriffs der Verarbeitung für das DIMDI nicht geschaffen.
Ferner ergibt sich ebenfalls aus dem Regelungskontext und dem eindeutigen Wortlaut des § 29 Absatz 1 Satz 5, dass es sich nur um die Verarbeitung der von der zuständigen Bundesoberbehörde an das DIMDI übermittelten Daten aus der Beobachtung, Sammlung, Auswertung und Bewertung von Risiken in Verbindung mit Medizinprodukten handelt. Diese Daten werden dem DIMDI von der zuständigen Bundesoberbehörde auf der Grund-lage des § 29 Absatz 1 Satz 5 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbefugnis bezieht sich nur auf diese übermittelten Daten. Weitergehende Erhebungsbefugnisse werden auch hier durch die Verwendung des weiten Begriffs der Verarbeitung für das DIMDI nicht geschaffen.
Schließlich ergibt sich aus dem Regelungskontext und dem eindeutigen Wortlaut des § 30 Absatz 2 Satz 2, dass es sich auch hier nur um die Verarbeitung der von der zuständigen Behörde an das DIMDI übermittelten Daten handelt. Dem DIMDI werden die Daten nach § 30 Absatz 2 Satz 1 von der zuständigen Behörde auf der Grundlage des § 30 Absatz 2 Satz 2 übermittelt. Die im weiten Begriff der Verarbeitung im Sinne des Artikels 4 Num-mer 2 der Verordnung (EU) 2016/679 enthaltene Erhebungsbefugnis bezieht sich nur auf diese übermittelten
