BayDSG: Bayerisches Datenschutzgesetz (BayDSG) Vom 15. Mai 2018 (GVBl. S. 230) BayRS 204-1-I (Art. 1–40)
Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:
Inhaltsübersicht
Teil 1 Allgemeine Vorschriften
Art. 1 Anwendungsbereich des Gesetzes
(1) ¹Dieses Gesetz gilt für die Behörden und sonstigen öffentlichen Stellen des Freistaates Bayern, der Gemeinden, Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. ²Für den Landtag gilt dieses Gesetz nur, soweit er in Verwaltungsangelegenheiten tätig wird. ³Für den Obersten Rechnungshof und die Gerichte gilt Teil 2 Kapitel 5 nur, soweit diese in Verwaltungsangelegenheiten tätig werden. ⁴ Art. 38 gilt auch für nicht öffentliche Stellen, soweit die Verarbeitung nicht ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erfolgt.
(2) ¹Öffentliche Stellen sind auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen – ungeachtet der Beteiligung nicht öffentlicher Stellen – eine oder mehrere der in Abs. 1 Satz 1 genannten juristischen Personen des öffentlichen Rechts unmittelbar oder durch eine solche Vereinigung beteiligt sind. ²Öffentlich rechtliche Finanzdienstleistungsunternehmen sowie ihre Zusammenschlüsse und Verbände gelten als nicht öffentliche Stellen.
(3) ¹Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. ²Die Zuständigkeit des Landesbeauftragten für den Datenschutz (Landesbeauftragter) nach Art. 15 bleibt hiervon unberührt.
(4) Soweit nicht öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten für sie die Vorschriften für öffentliche Stellen.
(5) Soweit besondere Rechtsvorschriften über den Datenschutz oder über Verfahren der Rechtspflege auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.
(6) Die Vorschriften dieses Gesetzes gelten nicht für die Verarbeitung personenbezogener Daten zur Ausübung des Begnadigungsrechts.
Teil 2 Verarbeitung personenbezogener Daten
Art. 2 Anwendung der Verordnung (EU) 2016/679
¹Für die Verarbeitung personenbezogener Daten durch öffentliche Stellen gelten vorbehaltlich anderweitiger Regelungen die Vorschriften der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) auch außerhalb des sachlichen Anwendungsbereichs des Art. 2 Abs. 1 und 2 DSGVO. ²Die Art. 30, 35 und 36 DSGVO gelten nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Art. 3 Sicherstellung des Datenschutzes, Verantwortlicher (zu Art. 4 Nr. 7 DSGVO)
(1) Die Staatskanzlei, die Staatsministerien und die sonstigen obersten Dienststellen des Staates, die Gemeinden, die Gemeindeverbände und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts sowie die privatrechtlichen Vereinigungen, auf die dieses Gesetz gemäß Art. 1 Abs. 1 und 2 Anwendung findet, haben für ihren Bereich die Ausführung der DSGVO, dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen.
(2) Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist die für die Verarbeitung zuständige öffentliche Stelle, soweit nichts anderes bestimmt ist.
Art. 4 Rechtmäßigkeit der Verarbeitung (zu Art. 6 Abs. 1 bis 3 DSGVO)
(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.
(2) ¹Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind bei der betroffenen Person mit ihrer Kenntnis zu erheben. ²Bei Dritten dürfen personenbezogene Daten erhoben werden, wenn
dies durch Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird,
die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht,
die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht oder
die Daten von einer anderen öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen.
³In den Fällen des Satzes 2 Nr. 2 und 3 dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. ⁴Werden Daten bei der betroffenen Person ohne ihre Kenntnis erhoben, gilt Satz 2 Nr. 1 und 2 entsprechend.
Art. 5 Übermittlung (zu Art. 6 Abs. 2 bis 4 DSGVO)
(1) ¹Eine Übermittlung personenbezogener Daten ist zulässig, wenn
sie zur Erfüllung einer der übermittelnden oder der empfangenden öffentlichen Stelle obliegenden Aufgabe erforderlich ist oder
der Empfänger eine nicht öffentliche Stelle ist, diese Stelle ein berechtigtes Interesse an ihrer Kenntnis glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat; dies gilt auch, soweit die Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden, übermittelt werden.
²Bei einer Übermittlung nach Satz 1 Nr. 2 darf der Empfänger die übermittelten Daten nur für den Zweck verarbeiten, zu dem sie ihm übermittelt wurden.
(2) Sind mit personenbezogenen Daten weitere personenbezogene Daten der betroffenen Person oder Dritter so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten an öffentliche Stellen zulässig, soweit nicht schutzwürdige Interessen der betroffenen Person oder Dritter offensichtlich überwiegen.
(3) ¹Wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gilt Art. 28 Abs. 1 bis 4, 9 und 10 DSGVO hierfür entsprechend. ²Kann der nach Art. 28 Abs. 3 DSGVO erforderliche Vertrag oder das andere Rechtsinstrument vor der Verarbeitung nicht schriftlich oder elektronisch abgefasst werden, muss dies unverzüglich nachgeholt werden.
(4) ¹Werden personenbezogene Daten an eine andere öffentliche Stelle auf deren Ersuchen übermittelt, trägt diese die Verantwortung für die Zulässigkeit der Übermittlung. ²Die ersuchte Stelle übermittelt Daten nur, wenn das Ersuchen im Rahmen der Aufgaben des Empfängers liegt. ³Im Übrigen trägt sie die Verantwortung nur dann, wenn besonderer Anlass zur Prüfung der Zulässigkeit besteht.
Art. 6 Zweckbindung (zu Art. 6 Abs. 3 und 4 DSGVO)
(1) Öffentliche Stellen, die personenbezogene Daten verarbeiten dürfen, dürfen diese auch zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen, zur Erstellung von Geschäftsstatistiken, zur Rechnungsprüfung, zur Durchführung eigener Organisationsuntersuchungen oder zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung und zur Gewährleistung der Netz- und Informationssicherheit sowie, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen, zu eigenen Ausbildungs- oder Prüfungszwecken verarbeiten.
(2) Eine Verarbeitung zu anderen Zwecken als zu denjenigen, zu denen die Daten erhoben wurden, ist unbeschadet der Bestimmungen der DSGVO zulässig, wenn
offensichtlich ist, dass die Verarbeitung im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung hierzu verweigern würde,
die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte,
die Verarbeitung erforderlich ist
zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,
zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen,
zur Durchführung wissenschaftlicher oder historischer Forschung, das wissenschaftliche oder historische Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person,
zur Überprüfung von Angaben der betroffenen Person, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
zum Vergleich von Angaben der betroffenen Person zur Erlangung von finanziellen Leistungen öffentlicher Stellen mit anderen derartigen Angaben oder
zur Sicherung des Steuer- und Zollaufkommens.
(3) Art. 9 DSGVO und die Art. 8 und 24 Abs. 3 bleiben unberührt.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, dürfen nicht zu anderen Zwecken verarbeitet werden.
Art. 7 Besondere automatisierte Verfahren (zu Art. 6 Abs. 3, Art. 26 DSGVO)
(1) ¹Öffentliche Stellen dürfen automatisierte Verfahren, welche die Übermittlung personenbezogener Daten durch Abruf ermöglichen, nur einrichten, soweit
der Abruf aus Datenbeständen erfolgt, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen, oder
das Verfahren die Rechte und Freiheiten der betroffenen Personen und die Aufgaben der beteiligten Stellen angemessen berücksichtigt.
²Für Abrufe nach Satz 1 Nr. 2
trägt der Empfänger die Verantwortung für die Zulässigkeit des einzelnen Abrufs,
hat die einrichtende Stelle zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann; sie prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.
(2) ¹Die Einrichtung automatisierter Verfahren, die mehreren öffentlichen Stellen die Verarbeitung personenbezogener Daten in einem Datenbestand ermöglichen sollen oder bei denen die beteiligten öffentlichen Stellen sich wechselseitig Zugriffe auf die gespeicherten personenbezogenen Daten ermöglichen sollen, ist zulässig, soweit dies unter Berücksichtigung der Rechte und Freiheiten der betroffenen Personen und der Aufgaben der beteiligten Stellen angemessen ist und durch technische und organisatorische Maßnahmen Risiken für die Rechte und Freiheiten der betroffenen Personen vermieden werden können. ²Verfahren nach Satz 1, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten können, sind nur zulässig, wenn sie durch Gesetz oder auf Grund eines Gesetzes eingerichtet werden.
Art. 8 Verarbeitung besonderer Kategorien personenbezogener Daten (zu Art. 9 DSGVO)
(1) ¹Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie erforderlich ist
zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,
zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,
zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder auf Grund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, oder
für die in Art. 6 Abs. 2 Nr. 3 Buchst. a bis c genannten Zwecke.
²Bei Verarbeitungen nach Satz 1 bleibt Art. 6 Abs. 1 unberührt.
(2) ¹Bei der Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen. ²Diese Maßnahmen sind in dem Verzeichnis nach Art. 30 DSGVO darzustellen.
(3) Art. 26 Abs. 2 und Art. 27 Abs. 2 bleiben unberührt.
Art. 9 Informationspflicht (zu Art. 13, 14 DSGVO)
(1) Eine Pflicht zur Information der betroffenen Person besteht unbeschadet sonstiger Bestimmungen dann nicht, soweit und solange ein Fall des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d vorliegt.
(2) In den Fällen des Art. 4 Abs. 2 Satz 2 ist eine nicht öffentliche Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
Art. 10 Auskunftsrecht der betroffenen Person (zu Art. 15 DSGVO)
(1) ¹Ob einer Person Auskunft erteilt wird, dass personenbezogene Daten an die Staatsanwaltschaft, Polizei, Finanzverwaltung, Organe der überörtlichen Rechnungsprüfung, den Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder andere Behörden des Bundesministeriums der Verteidigung übermittelt wurden, entscheidet der Verantwortliche im Einvernehmen mit den Stellen, an die diese Daten übermittelt wurden. ²Dies gilt auch für die Auskunft über personenbezogene Daten, die dem Verantwortlichen von einer der in Satz 1 genannten Stellen übermittelt wurden.
(2) Unbeschadet des Abs. 1 unterbleibt die Auskunft, soweit
die Auskunft die ordnungsgemäße Erfüllung von Aufgaben der Gefahrenabwehr oder die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen oder die Strafvollstreckung gefährden würde,
die Auskunft die öffentliche Sicherheit und Ordnung, die Landesverteidigung oder ein wichtiges wirtschaftliches oder finanzielles Interesse des Freistaates Bayern, eines anderen Landes, des Bundes oder der Europäischen Union – einschließlich Währungs-, Haushalts- und Steuerangelegenheiten – gefährden würde,
personenbezogene Daten oder die Tatsache ihrer Speicherung zum Schutz der betroffenen Person oder wegen der überwiegenden berechtigten Interessen Dritter geheim gehalten werden müssen,
personenbezogene Daten ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle verarbeitet werden, eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist oder
personenbezogene Daten weder automatisiert verarbeitet werden noch in einem Dateisystem gespeichert sind oder gespeichert werden sollen und
die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, oder
der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem geltend gemachten Informationsinteresse steht.
(3) ¹Wird die Auskunft nicht oder nur eingeschränkt erteilt,
sind die Gründe dafür aktenkundig zu machen,
ist die betroffene Person unter Darlegung der Gründe zu unterrichten, soweit dies nicht einem der in Abs. 2 Nr. 1 bis 3 genannten Zwecke zuwiderliefe, und
ist auf Verlangen der betroffenen Person uneingeschränkte Auskunft der Aufsichtsbehörde zu erteilen.
²Die Aufsichtsbehörde darf der betroffenen Person ohne Zustimmung der in Abs. 1 Satz 1 genannten Stellen keine Informationen mitteilen, die Rückschlüsse auf deren Erkenntnisstand zulassen.
(4) Art. 25 Abs. 4, Art. 26 Abs. 3 und Art. 27 Abs. 4 bleiben unberührt.
Art. 11 Datengeheimnis (zu Art. 32 Abs. 4 DSGVO)
¹Den bei öffentlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). ²Das Datengeheimnis besteht nach dem Ende ihrer Tätigkeit fort.
Art. 12 Behördliche Datenschutzbeauftragte (zu Art. 35 Abs. 2, Art. 37 bis 39 DSGVO)
(1) ¹Behördliche Datenschutzbeauftragte erhalten insbesondere
Zugang zu dem Verzeichnis nach Art. 30 DSGVO und
Gelegenheit zur Stellungnahme vor dem erstmaligen Einsatz oder einer wesentlichen Änderung eines automatisierten Verfahrens, mit dem personenbezogene Daten verarbeitet werden.
² Art. 24 Abs. 5 bleibt unberührt.
(2) Behördliche Datenschutzbeauftragte dürfen Tatsachen, die ihnen in Ausübung ihrer Funktion anvertraut wurden, und die Identität der mitteilenden Personen nicht ohne deren Einverständnis offenbaren.
(3) Behördliche Datenschutzbeauftragte staatlicher Behörden können durch eine höhere Behörde bestellt werden.
Art. 13 Benachrichtigung bei Datenschutzverletzungen (zu Art. 34 DSGVO)
Die Benachrichtigung kann auch unter den Voraussetzungen des Art. 6 Abs. 2 Nr. 3 Buchst. a, b oder Buchst. d unterbleiben.
Art. 14 Datenschutz-Folgenabschätzung (zu Art. 35 DSGVO)
(1) Eine Datenschutz-Folgenabschätzung (Folgenabschätzung) durch den Verantwortlichen kann unterbleiben, soweit
eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Staatsministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Folgenabschätzung erfolgt ist, es sei denn, dass in der Rechtsvorschrift etwas anderes bestimmt ist.
(2) ¹Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Art. 35 Abs. 1 DSGVO bei diesem Verfahren vorliegen, die Folgenabschätzung nach den Art. 35 und 36 DSGVO durchführen. ²Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.
Art. 15 Ernennung und Aufgaben (zu Art. 51 bis 58 DSGVO)
(1) ¹Der Landesbeauftragte nach Art. 33a der Verfassung ist zuständige Aufsichtsbehörde nach Art. 51 DSGVO und überwacht die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz bei den öffentlichen Stellen. ²Der Landesbeauftragte ist Beamter auf Zeit. ³Die Ernennung, Entlassung und Abberufung erfolgt durch den Präsidenten des Landtags.
(2) ¹Die Aufsicht durch den Landesbeauftragten erstreckt sich nicht auf
Akten zu einer Sicherheitsüberprüfung, soweit die betroffenen Personen der Aufsicht schriftlich gegenüber dem Verantwortlichen widersprochen haben,
personenbezogene Daten, die der Kontrolle durch die Kommission nach Art. 2 des Ausführungsgesetzes Art. 10-Gesetz unterliegen, es sei denn, die Kommission ersucht den Landesbeauftragten, die Aufsicht bei bestimmten Vorgängen und in bestimmten Bereichen wahrzunehmen; der Landesbeauftragte berichtet insoweit ausschließlich an die Kommission.
²Der Verantwortliche unterrichtet die betroffenen Personen in allgemeiner Form über ihr Widerspruchsrecht nach Satz 1 Nr. 1.
(3) Der Landtag oder die Staatsregierung können den Landesbeauftragten unbeschadet seiner Unabhängigkeit ersuchen, zu bestimmten Vorgängen aus seinem Aufgabenbereich Stellung zu nehmen.
(4) ¹Der Landesbeauftragte bedient sich einer Geschäftsstelle, die beim Landtag eingerichtet wird. ²Verwaltungsangelegenheiten der Geschäftsstelle werden vom Landtagsamt wahrgenommen, soweit sie nicht der Zuständigkeit des Landesbeauftragten unterliegen.
Art. 16 Ergänzende Rechte und Befugnisse (zu Art. 57, 58 DSGVO)
(1) ¹Der Landesbeauftragte ist von allen öffentlichen Stellen in der Erfüllung seiner Aufgaben zu unterstützen. ²Ihm sind alle zur Erfüllung seiner Aufgaben notwendigen Auskünfte zu geben und auf Anforderung alle Unterlagen über die Verarbeitung personenbezogener Daten zur Einsicht vorzulegen. ³Er hat ungehinderten Zutritt zu allen Diensträumen, in denen öffentliche Stellen Daten verarbeiten.
(2) ¹Die Verpflichtungen nach Abs. 1 gelten für
Einrichtungen der Rechtspflege, soweit sie strafverfolgend, strafvollstreckend oder strafvollziehend tätig werden,
Behörden, soweit sie Steuern verwalten oder strafverfolgend oder in Bußgeldverfahren tätig werden, und
Polizei und Verfassungsschutzbehörden
nur gegenüber dem Landesbeauftragten selbst und gegenüber den von ihm schriftlich besonders damit Beauftragten. ²Abs. 1 Satz 2 und 3 gilt für diese Stellen nicht, soweit das jeweils zuständige Staatsministerium im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Freistaates Bayern, eines anderen Landes oder des Bundes gefährden würde.
(3) Die Staatskanzlei und die Staatsministerien unterrichten den Landesbeauftragten rechtzeitig über ihre Entwürfe von Rechts- und Verwaltungsvorschriften des Freistaates Bayern sowie über ihre Planungen bedeutender Verfahren zur Verarbeitung personenbezogener Daten.
(4) ¹Unbeschadet der Bestimmungen des Art. 58 DSGVO kann der Landesbeauftragte festgestellte Verstöße gegen dieses Gesetz oder gegen andere Vorschriften über den Datenschutz beanstanden und ihre Behebung in angemessener Frist fordern. ²Er kann die nach Art. 3 Abs. 1 für die Sicherstellung des Datenschutzes verantwortliche Stelle sowie die Rechts- und Fachaufsichtsbehörde hierüber verständigen. ³Werden die beanstandeten Verstöße nicht behoben, kann der Landesbeauftragte von den in Satz 2 genannten Stellen binnen angemessener Frist geeignete Maßnahmen fordern. ⁴Nach fruchtlosem Fristablauf kann der Landesbeauftragte den Landtag und die Staatsregierung verständigen.
Art. 17 Datenschutzkommission
(1) ¹Der Landtag bildet zur Unterstützung des Landesbeauftragten eine Datenschutzkommission. ²Sie besteht aus zehn Mitgliedern. ³Der Landtag bestellt sechs Mitglieder aus seiner Mitte nach Maßgabe der Stärke seiner Fraktionen; dabei wird das Verfahren nach Sainte-Lagué/Schepers angewandt. ⁴Für Fraktionen, die hiernach nicht zum Zuge kommen, kann der Landtag jeweils ein weiteres Mitglied bestellen, auch wenn sich dadurch die Zahl der Mitglieder nach Satz 2 erhöht. ⁵Ferner bestellt der Landtag jeweils ein weiteres Mitglied auf Vorschlag
der Staatsregierung,
der kommunalen Spitzenverbände,
des Staatsministeriums für Gesundheit und Pflege aus dem Bereich der gesetzlichen Sozialversicherungsträger und
des Verbands freier Berufe in Bayern e.V.
⁶Für jedes Mitglied der Datenschutzkommission wird zugleich ein stellvertretendes Mitglied bestellt.
(2) Die Mitglieder der Datenschutzkommission werden jeweils für die Wahldauer des Landtags bestellt; sie sind in ihrer Tätigkeit an Aufträge und Weisungen nicht gebunden.
(3) ¹Die Datenschutzkommission tritt auf Antrag jedes ihrer Mitglieder oder des Landesbeauftragten zusammen. ²Den Vorsitz führt ein Mitglied des Landtags. ³Die Datenschutzkommission gibt sich eine Geschäftsordnung.
(4) ¹Die Mitglieder der Datenschutzkommission haben, auch nach ihrem Ausscheiden, über die ihnen bei ihrer Tätigkeit bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. ²Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(5) Die Mitglieder der Datenschutzkommission erhalten vom Landesbeauftragten Reisekostenvergütung nach den Bestimmungen des Bayerischen Reisekostengesetzes wie Ehrenbeamte.
Art. 18 Einrichtung und Aufgaben (zu Art. 51 bis 58 und 85 DSGVO)
(1) ¹Das Landesamt für Datenschutzaufsicht (Landesamt) ist Aufsichtsbehörde nach Art. 51 DSGVO und nach § 40 des Bundesdatenschutzgesetzes für nicht öffentliche Stellen. ²Im Anwendungsbereich des Art. 38 findet Art. 58 Abs. 1 Buchst. b, c, e und f sowie Abs. 2 Buchst. c bis j DSGVO keine Anwendung.
(2) Sitz des Landesamts ist Ansbach.
(3) Der Präsident des Landesamts ist Beamter auf Zeit und wird durch die Staatsregierung für die Dauer von fünf Jahren ernannt.
(4) ¹Das Landesamt kann Aufgaben der Personalverwaltung und Personalwirtschaft auf andere öffentliche Stellen des Freistaates Bayern übertragen, soweit dadurch seine Unabhängigkeit nicht beeinträchtigt wird. ²Diesen Stellen dürfen personenbezogene Daten der beschäftigten Personen übermittelt werden, soweit deren Kenntnis zur Erfüllung der übertragenen Aufgaben erforderlich ist.
Art. 19 Unabhängigkeit und Rechtsstellung (zu Art. 52 bis 54 DSGVO)
(1) ¹Zum Leiter einer Aufsichtsbehörde kann ernannt werden, wer
bei der Ernennung das 35. Lebensjahr vollendet hat,
die Voraussetzungen für den Einstieg in die vierte Qualifikationsebene erfüllt und
durch einschlägige Berufserfahrung die erforderlichen Kenntnisse des Datenschutzrechts nachweisen kann.
²Die Wiederernennung ist zulässig.
(2) ¹Wird ein Beamter oder Richter auf Lebenszeit zum Leiter einer Aufsichtsbehörde ernannt, gilt er für die Dauer der Amtszeit als ohne Bezüge beurlaubt. ²Für Disziplinarmaßnahmen gegen den Leiter einer Aufsichtsbehörde gilt Art. 6 des Rechnungshofgesetzes entsprechend.
(3) ¹Die Stellen der Aufsichtsbehörden sind auf Vorschlag des Leiters der jeweiligen Aufsichtsbehörde zu besetzen. ²Die Bediensteten können, sofern die Aufsichtsbehörde nicht selbst für diese Anordnungen zuständig ist, nur mit dessen Einvernehmen versetzt, abgeordnet oder umgesetzt werden. ³Der Leiter einer Aufsichtsbehörde ist Dienstvorgesetzter der Bediensteten. ⁴Die Bediensteten sind in ihrer Tätigkeit nur an dessen Weisungen gebunden und unterstehen ausschließlich seiner Dienstaufsicht. ⁵Die Aufsichtsbehörde ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung (StPO), des Art. 6 Abs. 3 Satz 3 des Bayerischen Beamtengesetzes und des Art. 18 Abs. 2 Satz 1 des Bayerischen Disziplinargesetzes. ⁶Der Leiter einer Aufsichtsbehörde kann die Disziplinarbefugnisse im Einzelfall teilweise oder vollständig auf die Landesanwaltschaft Bayern übertragen.
(4) ¹Der Leiter einer Aufsichtsbehörde darf
kein Gewerbe, keinen Beruf und kein anderes bezahltes Amt ausüben,
weder der Leitung noch dem Aufsichts- oder Verwaltungsrat eines auf Erwerb ausgerichteten Unternehmens angehören,
keiner Regierung, keiner gesetzgebenden Körperschaft des Bundes oder eines Landes und keinem kommunalen Vertretungsorgan angehören,
nicht gegen Vergütung als Schiedsrichter tätig sein, außergerichtliche Gutachten abgeben oder Vorträge halten und
keinerlei sonstige Tätigkeiten ausüben, die mit dem Amt nicht zu vereinbaren sind oder die Unabhängigkeit beeinträchtigen können.
²Satz 1 Nr. 5 gilt auch für ehemalige Leiter bis zum Ablauf von zwei Jahren nach dem Ausscheiden aus dem Amt.
(5) ¹Der Leiter einer Aufsichtsbehörde sowie deren Bedienstete unterliegen unabhängig von der jeweiligen Ausgestaltung ihres persönlichen Dienstverhältnisses den für Beamte geltenden Verschwiegenheitspflichten. ²Der Leiter einer Aufsichtsbehörde entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit er sowie die Bediensteten der Aufsichtsbehörde über Angelegenheiten, die dieser Verschwiegenheitspflicht unterliegen, vor Gericht oder außergerichtlich aussagen oder Erklärungen abgeben; wenn er nicht mehr im Amt ist, ist die Genehmigung des amtierenden Leiters der Aufsichtsbehörde erforderlich.
(6) ¹Die Erhebung von Kosten für Amtshandlungen der Aufsichtsbehörden bestimmt sich nach dem Kostengesetz. ²Unbeschadet des Art. 57 Abs. 4 DSGVO sind Amtshandlungen für die betroffene Person und für den Datenschutzbeauftragten kostenfrei. ³Die Aufsichtsbehörden unterliegen der Rechnungsprüfung durch den Obersten Rechnungshof nur, soweit ihre Unabhängigkeit hierdurch nicht beeinträchtigt wird.
Art. 20 Anrufung der Aufsichtsbehörden (zu Art. 77 DSGVO)
(1) ¹Jeder kann sich an die Aufsichtsbehörden mit dem Vorbringen wenden, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt worden zu sein. ²Durch die Anrufung der Aufsichtsbehörden dürfen der betroffenen Person keine Nachteile entstehen.
(2) Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden bestehen nicht.
Art. 21 Zusammenarbeit (zu Art. 51 DSGVO)
(1) ¹Die bayerischen Aufsichtsbehörden tauschen regelmäßig die in Erfüllung ihrer Aufgaben gewonnenen Erfahrungen aus und unterstützen sich gegenseitig bei ihrer Aufgabenwahrnehmung. ²Eine Aufsichtsbehörde ist berechtigt, zum Zwecke der Aufsicht personenbezogene Daten an andere Aufsichtsbehörden zu übermitteln.
(2) Soweit mehrere Aufsichtsbehörden für eine Angelegenheit des Europäischen Datenschutzausschusses zuständig sind, üben sie ihre Mitwirkungsrechte einvernehmlich aus.
Art. 22 Geldbußen (zu Art. 83 DSGVO)
Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 dürfen Geldbußen nach Art. 83 DSGVO nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen.
Art. 23 Ordnungswidrigkeiten, Strafvorschrift (zu Art. 84 DSGVO)
(1) Mit Geldbuße bis zu dreißigtausend Euro kann belegt werden, wer personenbezogene Daten, die durch eine öffentliche Stelle im Sinne des Art. 1 Abs. 1, 2 oder Abs. 4 verarbeitet werden und nicht offenkundig sind,
unbefugt
speichert, verändert oder übermittelt,
zum Abruf mittels automatisierten Verfahrens bereithält oder
abruft oder sich oder einem anderen aus Dateien verschafft oder
durch unrichtige Angaben erschleicht.
(2) ¹Wer eine der in Abs. 1 bezeichneten Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. ²Die Tat wird nur auf Antrag verfolgt. ³Antragsberechtigt sind die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und die Aufsichtsbehörde.
(3) Gegen öffentliche Stellen im Sinne des Art. 1 Abs. 1 und 2 werden keine Geldbußen nach Abs. 1 verhängt.
(4) Eine Unterrichtung nach Art. 33 oder Art. 34 DSGVO darf in einem Straf- oder Ordnungswidrigkeitenverfahren gegen den Verantwortlichen oder einen seiner in § 52 Abs. 1 StPO bezeichneten Angehörigen nur mit seiner Zustimmung verwendet werden.
Art. 24 Videoüberwachung (zu Art. 6 DSGVO)
(1) Die Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) ist zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist,
um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich öffentlicher Einrichtungen, öffentlicher Verkehrsmittel, von Dienstgebäuden oder sonstigen baulichen Anlagen öffentlicher Stellen oder in deren unmittelbarer Nähe aufhalten, oder
um Kulturgüter, öffentliche Einrichtungen, öffentliche Verkehrsmittel, Dienstgebäude oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen
zu schützen und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden.
(2) ¹Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen. ²Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht.
(3) Die Daten dürfen für den Zweck verarbeitet werden, für den sie erhoben worden sind, für einen anderen Zweck nur, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist.
(4) Die nach Abs. 1 erhobenen und gespeicherten Daten sowie daraus gefertigte Unterlagen sind spätestens zwei Monate nach der Erhebung zu löschen, soweit sie nicht zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung, zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden.
(5) Öffentliche Stellen haben ihrem behördlichen Datenschutzbeauftragten unbeschadet des Art. 35 Abs. 2 DSGVO rechtzeitig vor dem Einsatz einer Videoüberwachung den Zweck, die räumliche Ausdehnung und die Dauer der Videoüberwachung, den betroffenen Personenkreis, die Maßnahmen nach Abs. 2 und die vorgesehenen Auswertungen mitzuteilen und ihm Gelegenheit zur Stellungnahme zu geben.
Art. 25 Verarbeitung zu Forschungszwecken (zu Art. 89 DSGVO)
(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) ¹Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. ²Bis dahin sind die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, gesondert zu speichern. ³Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(3) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
(4) Die Art. 15, 16, 18 und 21 DSGVO sind nicht anzuwenden, soweit die Inanspruchnahme dieser Rechte voraussichtlich die Verwirklichung der wissenschaftlichen oder historischen Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt und diese Beschränkung für die Erfüllung der Forschungszwecke notwendig ist.
Art. 26 Verarbeitung zu Archivzwecken (zu Art. 89 DSGVO)
(1) Personenbezogene Daten dürfen zu im öffentlichen Interesse liegenden Archivzwecken verarbeitet werden, soweit geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorgesehen werden.
(2) ¹Die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO ist auch zulässig, soweit sie für im öffentlichen Interesse liegende Archivzwecke erforderlich ist. ²Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(3) Ein Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht nicht, soweit das Archivgut nicht durch den Namen der Person erschlossen ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts ohne unverhältnismäßigen Aufwand ermöglichen.
(4) ¹ Art. 16 DSGVO ist nicht anzuwenden. ²Die betroffene Person kann verlangen, dass dem Archivgut, das sich auf ihre Person bezieht, eine Gegendarstellung beigefügt wird, wenn sie die Richtigkeit der sie betreffenden Informationen glaubhaft bestreitet. ³Nach dem Tod der betroffenen Person kann die Beifügung einer Gegendarstellung von dem Ehegatten, dem Lebenspartner, den Kindern oder den Eltern verlangt werden, wenn sie ein berechtigtes Interesse daran glaubhaft machen können.
(5) Die Art. 18 Abs. 1 Buchst. a, b und d sowie Art. 20 und 21 DSGVO sind nicht anzuwenden, soweit diese Rechte voraussichtlich die Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen oder ernsthaft beeinträchtigen und diese Beschränkung für die Erfüllung der Archivzwecke notwendig ist.
(6) Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv zur Übernahme anzubieten, ist eine Löschung erst zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten worden und von diesem nicht als archivwürdig übernommen worden sind oder über die Übernahme nicht fristgerecht entschieden worden ist.
Art. 27 Staatliche und kommunale Auszeichnungen und Ehrungen
(1) Zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen oder Ehrungen dürfen personenbezogene Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, auch ohne Kenntnis der betroffenen Person verarbeitet werden.
(2) Andere öffentliche Stellen dürfen die zur Vorbereitung und Durchführung staatlicher oder kommunaler Auszeichnungen und Ehrungen erforderlichen personenbezogenen Daten, einschließlich der Daten nach Art. 9 Abs. 1 DSGVO, an die dafür zuständigen Stellen übermitteln.
(3) ¹Eine Verarbeitung der personenbezogenen Daten nach Abs. 1 für andere Zwecke ist nur mit Einwilligung der betroffenen Person zulässig. ²Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Rechte der betroffenen Person gemäß Art. 8 Abs. 2 vor.
(4) Soweit eine Verarbeitung ausschließlich für die in Abs. 1 genannten Zwecke erfolgt, sind die Art. 13 bis 16, 19 und 20 DSGVO nicht anzuwenden.
(5) ¹Die nach Abs. 1 gespeicherten personenbezogenen Daten sind zu löschen, sobald sie für den dort genannten Zweck nicht mehr erforderlich sind. ²Eine Löschung von Name, Vorname, Geburtsdatum, Anschrift und Kommunikationsdaten kann unterbleiben.
(6) Abweichend von Art. 58 Abs. 2 DSGVO steht dem Landesbeauftragten bei der Überwachung der Anwendung von den Abs. 1 bis 5 nur das Beanstandungsrecht nach Art. 16 Abs. 4 zu.
Art. 28 Anwendungsbereich dieses Kapitels
(1) ¹Die Vorschriften dieses Kapitels gelten, soweit nichts anderes bestimmt ist, für die Verarbeitung personenbezogener Daten durch
die Polizei,
die Gerichte in Strafsachen und die Staatsanwaltschaften,
die Strafvollstreckungs- und Justizvollzugsbehörden,
die Behörden des Maßregelvollzugs
zum Zwecke der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. ²Die Vorschriften dieses Kapitels gelten auch für sonstige Behörden im Sinne des Art. 1 Abs. 1 Satz 1, soweit diese personenbezogene Daten verarbeiten, um Straftaten oder Ordnungswidrigkeiten zu verfolgen oder zu ahnden.
(2) ¹Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 abweichend von Art. 2 nur Anwendung:
aus dem Kapitel I DSGVO über allgemeine Bestimmungen Art. 4 DSGVO,
aus dem Kapitel II DSGVO über Grundsätze die Art. 5, 6 Abs. 1 Satz 1 Buchst. a und e, Art. 7 und 11 Abs. 1 DSGVO,
aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 24 Abs. 1 und 2, Art. 25 Abs. 1 und 2, Art. 28 Abs. 1 bis 4, 9 und 10, Art. 29, 31, 34, 36 Abs. 4, Art. 37 Abs. 1 und 3 bis 7, Art. 38 und 39 DSGVO,
aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 51 bis 54, 55 Abs. 1 und 3 und Art. 59 DSGVO,
aus dem Kapitel VII DSGVO über Zusammenarbeit und Kohärenz Art. 61 Abs. 1 bis 7 und 9 DSGVO und
aus dem Kapitel VIII DSGVO über Rechtsbehelfe, Haftung und Sanktionen die Art. 77, 78 Abs. 1 bis 3 DSGVO.
²Im Übrigen finden aus dem Kapitel II DSGVO über Grundsätze Art. 9 Abs. 1 und 2, aus dem Kapitel IV DSGVO über Verantwortliche und Auftragsverarbeiter die Art. 26, 30, 32 und 33 DSGVO sowie aus dem Kapitel VI DSGVO über unabhängige Aufsichtsbehörden die Art. 57 und 58 DSGVO nach Maßgabe der nachfolgenden Vorschriften dieses Kapitels Anwendung.
(3) Unbeschadet anderer Rechtsvorschriften finden auf Verarbeitungen nach Abs. 1 keine Anwendung
aus Kapitel 2 über Grundsätze der Verarbeitung die Art. 6 Abs. 2 bis 4, Art. 7 und 8 Abs. 1,
das Kapitel 3 über Rechte der betroffenen Person,
aus Kapitel 4 über Verantwortliche und Auftragsverarbeiter Art. 14 Abs. 1 Nr. 1 und Abs. 2,
aus Kapitel 5 über unabhängige Aufsichtsbehörden Art. 18,
aus Kapitel 6 über Sanktionen Art. 22 und
aus Teil 3 über Meinungsäußerungs- und Informationsfreiheit Art. 38.
Art. 29 Verarbeitung zu anderen Zwecken und besonderer Kategorien personenbezogener Daten, DNA-Untersuchungen
(1) ¹Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in Art. 28 Abs. 1 genannten Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. ²Die Verarbeitung personenbezogener Daten zu einem anderen, in Art. 28 Abs. 1 nicht genannten Zweck ist zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist, die Voraussetzungen des Art. 9 Abs. 2 Buchst. c und e DSGVO vorliegen oder dies in einer Rechtsvorschrift vorgesehen ist.
(3) ¹Zur Vermeidung von DNA-Trugspuren können Personen, die regelmäßig Aufgaben im Rahmen polizeilicher oder strafprozessualer Ermittlungen wahrnehmen und dabei möglicherweise mit Spurenmaterial in Kontakt geraten, mit deren schriftlicher Zustimmung Körperzellen entnommen und molekulargenetisch untersucht werden, um hieraus gewonnene DNA-Identifizierungsmuster zu verarbeiten und mit Spurenmaterial automatisiert abzugleichen. ²Die Entnahme der Körperzellen erfolgt mittels eines Mundschleimhautabstrichs oder eines hinsichtlich seiner Eingriffsintensität vergleichbaren Verfahrens. ³Vor Erteilung der Zustimmung ist die betroffene Person über den Zweck der Verarbeitung sowie das Verfahren der Erkennung von DNA-Trugspuren zu belehren und darüber aufzuklären, dass sie die Zustimmung verweigern sowie jederzeit widerrufen kann. ⁴Die Verwendung der entnommenen Körperzellen ist nur zur Feststellung des DNA-Identifizierungsmusters nach Satz 1, die Verarbeitung des DNA-Identifizierungsmusters nur zu den in Satz 1 genannten Zwecken zulässig.
(4) ¹Die DNA-Identifizierungsmuster werden in einer hierfür eingerichteten polizeilichen Datei gespeichert. ²Eine Datenschutzfolgenabschätzung ist nicht erforderlich.
(5) ¹Die DNA-Identifizierungsmuster sind zu pseudonymisieren. ²Abgleiche mit diesen sind zu protokollieren. ³Die Protokolldaten sind eigenständig zu speichern und dürfen nur zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung verwendet werden. ⁴Soweit die Protokolldaten hierfür nicht mehr benötigt werden, spätestens aber nach Ablauf des dritten Kalenderjahres, das dem Jahr der Protokollierung folgt, sind sie zu löschen.
(6) ¹Die nach Abs. 3 gewonnenen Körperzellen sind zu vernichten und die erhobenen Daten zu löschen, wenn sie für die genannten Zwecke nicht mehr erforderlich sind. ²Die Vernichtung der Körperzellen und die Löschung der erhobenen Daten hat spätestens drei Jahre nach dem Zeitpunkt zu erfolgen, zu dem die betroffene Person letztmals mit Spurenmaterial in Kontakt treten konnte.
Art. 30 Gemeinsam Verantwortliche
¹Die Angabe der Anlaufstelle für die betroffenen Personen nach Art. 26 Abs. 1 Satz 3 DSGVO ist verpflichtend. ² Art. 26 Abs. 2 DSGVO findet keine Anwendung.
Art. 31 Verzeichnis von Verarbeitungstätigkeiten
¹In dem Verzeichnis nach Art. 30 Abs. 1 DSGVO werden zusätzlich die Rechtsgrundlage der Verarbeitung sowie gegebenenfalls die Verwendung von Profiling aufgenommen. ² Art. 30 Abs. 5 DSGVO findet keine Anwendung.
Art. 32 Anforderungen an die Sicherheit der Verarbeitung
(1) Art. 32 Abs. 3 und 4 DSGVO findet keine Anwendung.
(2) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche oder der Auftragsverarbeiter auf Grundlage einer Risikobewertung Maßnahmen zu ergreifen, die geeignet sind, um
Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle),
die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle),
zu verhindern, dass
Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),
personenbezogene Daten unbefugt eingegeben werden sowie gespeicherte personenbezogene Daten unbefugt gelesen, verändert oder gelöscht werden (Speicherkontrolle),
automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle),
bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),
zu gewährleisten, dass
die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),
überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),
eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung),
alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können (Auftragskontrolle).
Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Wenn Daten von oder an den Verantwortlichen eines anderen Mitgliedstaates übermittelt wurden, sind die Informationen nach Art. 33 Abs. 3 DSGVO unverzüglich auch an diesen zu melden.
Art. 34 Aufsicht durch den Landesbeauftragten für den Datenschutz
(1) ¹ Art. 57 Abs. 1 Buchst. j bis s, u und v DSGVO sowie Art. 58 Abs. 1 Buchst. c, Abs. 2 Buchst. c bis j, Abs. 3 Buchst. c bis j DSGVO finden keine Anwendung. ²Übt der Landesbeauftragte für die betroffene Person deren Rechte aus, hat er darüber hinaus die Rechtmäßigkeit der Verarbeitung zu überprüfen und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis dieser Überprüfung zu unterrichten oder ihr die Gründe mitzuteilen, aus denen die Überprüfung nicht vorgenommen werden kann. ³Die Mitteilung an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.
(2) ¹Die Aufsicht durch den Landesbeauftragten über die Erhebung personenbezogener Daten durch Strafverfolgungsbehörden bei der Ermittlung, Aufdeckung oder Verfolgung von Straftaten ist erst nach Abschluss des Strafverfahrens zulässig. ²Sie erstreckt sich nicht auf eine Datenverarbeitung, die gerichtlich überprüft wurde. ³Die Sätze 1 und 2 gelten für die Strafvollstreckung entsprechend.
(3) ¹Wird eine Beschwerde bei einer sachlich unzuständigen Aufsichtsbehörde eingereicht, gibt diese die Beschwerde unverzüglich an die sachlich zuständige Aufsichtsbehörde ab und unterrichtet die beschwerdeführende Person. ²In diesem Fall hat die abgebende Stelle die betroffene Person über die Weiterleitung zu unterrichten und ihr auf Ersuchen weitere Unterstützung zu leisten.
Art. 35 Automatisierte Einzelentscheidungen
(1) Entscheidungen, die für die betroffene Person mit einer nachteiligen Rechtsfolge verbunden sind oder sie erheblich beeinträchtigen, einschließlich Profiling, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung gestützt werden, es sei denn, eine Rechtsvorschrift lässt dies ausdrücklich zu.
(2) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Daten im Sinne des Art. 9 Abs. 1 DSGVO benachteiligt werden, ist verboten.
Art. 36 Vertrauliche Meldung von Datenschutzverstößen
¹Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können. ² Art. 12 Abs. 2 gilt für die zur Entgegennahme dieser Meldungen betraute Stelle entsprechend.
Art. 37 Schadenersatz
(1) ¹Hat eine öffentliche Stelle einer betroffenen Person durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz rechtswidrige Verarbeitung ihrer personenbezogenen Daten einen Schaden zugefügt, ist ihr Rechtsträger der betroffenen Person zum Ersatz dieses Schadens verpflichtet. ²Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist. ³Sind bei einer Datei mehrere Stellen speicherungsberechtigt und sind Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
(3) Mehrere Ersatzpflichtige haften als Gesamtschuldner.
(4) ¹Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden. ²Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.
(6) Der Rechtsweg vor den ordentlichen Gerichten steht offen.
Teil 3 Meinungsäußerungs- und Informationsfreiheit
Art. 38 Verarbeitung zu journalistischen, künstlerischen oder literarischen Zwecken (zu Art. 85 DSGVO)
(1) ¹Werden personenbezogene Daten zu journalistischen, künstlerischen oder literarischen Zwecken verarbeitet, stehen den betroffenen Personen nur die in Abs. 2 genannten Rechte zu. ²Im Übrigen gelten für Verarbeitungen im Sinne des Satzes 1 Kapitel I, Art. 5 Abs. 1 Buchst. f, Art. 24 und 32, Kapitel VIII, X und XI DSGVO. ³ Art. 82 DSGVO gilt mit der Maßgabe, dass nur für unzureichende Maßnahmen nach Art. 5 Abs. 1 Buchst. f, Art. 24 und 32 DSGVO gehaftet wird.
(2) Führt die journalistische, künstlerische oder literarische Verarbeitung personenbezogener Daten zur Verbreitung von Gegendarstellungen, zu Verpflichtungserklärungen, gerichtlichen Entscheidungen oder Widerrufen, sind diese zu den gespeicherten Daten zu nehmen, dort für dieselbe Zeitdauer aufzubewahren wie die Daten selbst und bei einer Übermittlung der Daten gemeinsam mit diesen zu übermitteln.
Art. 39 Allgemeines Auskunftsrecht (zu Art. 86 DSGVO)
(1) ¹Jeder hat das Recht auf Auskunft über den Inhalt von Dateien und Akten öffentlicher Stellen, soweit ein berechtigtes, nicht auf eine entgeltliche Weiterverwendung gerichtetes Interesse glaubhaft dargelegt wird und
bei personenbezogenen Daten eine Übermittlung an nicht öffentliche Stellen zulässig ist und
Belange der öffentlichen Sicherheit und Ordnung nicht beeinträchtigt werden.
²Die Auskunft kann verweigert werden, soweit
Kontroll- und Aufsichtsaufgaben oder sonstige öffentliche oder private Interessen entgegenstehen,
sich das Auskunftsbegehren auf den Verlauf oder auf vertrauliche Inhalte laufender oder abgeschlossener behördeninterner Beratungen oder auf Inhalte aus nicht abgeschlossenen Unterlagen oder auf noch nicht aufbereitete Daten bezieht oder
ein unverhältnismäßiger Aufwand entsteht.
(2) Abs. 1 findet keine Anwendung auf Auskunftsbegehren, die Gegenstand einer Regelung in anderen Rechtsvorschriften sind.
(3) Ausgenommen von der Auskunft nach Abs. 1 sind
Verschlusssachen,
einem Berufs- oder besonderen Amtsgeheimnis unterliegende Datei- und Akteninhalte sowie
zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- und Geschäftsgeheimnisse, sofern die betroffene Person nicht eingewilligt hat.
(4) ¹Abs. 1 ist nicht anzuwenden auf
den Landtag, den Obersten Rechnungshof, die Staatlichen Rechnungsprüfungsämter, die Staatlichen Rechnungsprüfungsstellen der Landratsämter, den Kommunalen Prüfungsverband und die Aufsichtsbehörden im Sinne des Art. 51 DSGVO,
die obersten Landesbehörden in Angelegenheiten der Staatsleitung und der Rechtsetzung,
die Gerichte, Strafverfolgungs- und Strafvollstreckungsbehörden, Gerichtsvollzieher, Notare und die Landesanwaltschaft Bayern als Organe der Rechtspflege sowie die Justizvollzugsbehörden, die Disziplinarbehörden und die für Angelegenheiten der Berufsaufsicht zuständigen berufsständischen Kammern und Körperschaften des öffentlichen Rechts,
die Polizei und das Landesamt für Verfassungsschutz einschließlich der für ihre Aufsicht zuständigen Stellen,
Finanzbehörden in Verfahren nach der Abgabenordnung,
Universitätskliniken, Forschungseinrichtungen, Hochschulen, Schulen sowie sonstige öffentliche Stellen im Bereich von Forschung und Lehre, Leistungsbeurteilungen und Prüfungen,
die Landeskartellbehörde und die Regulierungskammer des Freistaates Bayern sowie die Industrie- und Handelskammern und die Handwerkskammern,
die kommunalen Spitzenverbände.
²Datei- und Aktenbestandteile der in Satz 1 genannten oder für Begnadigungsangelegenheiten zuständigen Stellen sind von der Auskunft nach Abs. 1 auch dann ausgenommen, wenn sie sich in Dateien oder Akten anderer öffentlicher Stellen befinden.
(5) Für die Auskunft werden Kosten nach Maßgabe des Kostengesetzes erhoben.
Teil 4 Schlussvorschriften
Art. 39a Übergangsvorschrift
¹Die zum Zeitpunkt des Inkrafttretens dieses Gesetzes laufende Amtszeit des Landesbeauftragten nach Art. 33a Abs. 4 der Verfassung und des Präsidenten des Landesamts nach Art. 15 Abs. 3 wird durch das Inkrafttreten dieses Gesetzes nicht berührt. ²Die Amtszeit aller Mitglieder der Datenschutzkommission nach Art. 17 endet zu dem in Art. 33 Abs. 2 BayDSG in der am 24. Mai 2018 geltenden Fassung für die Mitglieder des Landtags bestimmten Frist.
Art. 39b Änderung weiterer Rechtsvorschriften
(1) Das
Die Inhaltsübersicht wird gestrichen.
Art. 5 Abs. 1 wird wie folgt geändert:
In Satz 1 Satzteil vor Nr. 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
In Satz 4 werden die Wörter „und nutzen“ gestrichen.
In Art. 7 Abs. 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
In Art. 11 Abs. 3 Nr. 2 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
Art. 16 wird wie folgt geändert:
Nach Abs. 1 wird folgender Abs. 2 eingefügt:
Der bisherige Abs. 2 wird Abs. 3.
In Art. 17 Abs. 2 Satz 1 und Abs. 3 Satz 2 wird jeweils nach der Angabe „Art. 16“ die Angabe „Abs. 1“ eingefügt.
In Art. 19 Abs. 2 Satz 3 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
In Art. 20 Abs. 1 Satz 1 Nr. 1 und Satz 2 wird jeweils nach der Angabe „und 16“ die Angabe „Abs. 1“ eingefügt.
Art. 21 wird wie folgt geändert:
Die Überschrift wird wie folgt gefasst:
„Art. 21 Löschung, Verarbeitungseinschränkung und Berichtigung“
In Abs. 2 Satzteil vor Nr. 1 werden die Wörter „Personenbezogene Daten sind zu sperren,“ durch die Wörter „Die Verarbeitung personenbezogener Daten ist einzuschränken,“ ersetzt.
Nach Abs. 2 wird folgender Abs. 3 eingefügt:
Der bisherige Abs. 3 wird Abs. 4.
Es wird folgender Abs. 5 angefügt:
Dem Art. 22 Abs. 1 wird folgender Satz 5 angefügt:
In Art. 25 Abs. 2 Satz 1 Satzteil vor Nr. 1 werden die Wörter „der Abgabenordnung“ durch die Angabe „AO“ ersetzt.
In Art. 27 Abs. 2 Satz 1 Nr. 2 wird die Angabe „§ 100c“ durch die Angabe „§ 100b“ ersetzt.
Art. 28 wird wie folgt gefasst:
Art. 29a wird aufgehoben.
Art. 30 wird wie folgt geändert:
In der Überschrift wird das Wort „, Außerkrafttreten“ gestrichen.
In Abs. 1 wird die Absatzbezeichnung „(1)“ gestrichen.
Abs. 2 wird aufgehoben.
(2) In Art. 2 Abs. 2 und 5 Satz 1 Spiegelstrich 2 des
(3) Die
Die Inhaltsübersicht wird gestrichen.
Art. 24 wird wie folgt geändert:
Nach Abs. 3 wird folgender Abs. 4 eingefügt:
Der bisherige Abs. 4 wird Abs. 5.
Nach Art. 94 Abs. 3 wird folgender Abs. 4 angefügt:
Art. 124 wird wie folgt gefasst:
(4) Das
Die Inhaltsübersicht wird gestrichen.
Art. 4 wird aufgehoben.
Art. 13 wird wie folgt geändert:
Abs. 1 Nr. 1 Buchst. c wird wie folgt geändert:
Nach Doppelbuchst. aa werden die folgenden Doppelbuchst. bb und cc eingefügt:„
die Offenbarung nach Abs. 4 Nr. 1a ist zulässig, soweit sie einer Verarbeitung nach Maßgabe des Art. 6 Abs. 1 des Bayerischen Datenschutzgesetzes dient,
die Offenbarung nach Abs. 4 Nr. 2 kann auch durch Landesgesetz ausdrücklich zugelassen werden,“
Der bisherige Doppelbuchst. bb wird Doppelbuchst. dd und das Wort „Absatz“ wird durch die Angabe „Abs.“ ersetzt.
Abs. 8 wird wie folgt geändert:
Satz 1 wird wie folgt gefasst:
„¹Bei der Hundesteuer finden auf die Verarbeitung personenbezogener Daten die allgemeinen datenschutzrechtlichen Regelungen Anwendung.“
In Satz 3 werden die Wörter „speichern, verändern, nutzen und“ durch die Wörter „verarbeiten, insbesondere“ ersetzt.
(5) Das
Die Inhaltsübersicht wird gestrichen.
Art. 2 wird wie folgt geändert:
Die Überschrift wird wie folgt gefasst:
„Art. 2 Auftragsverarbeitung“
Abs. 1 wird aufgehoben.
Der bisherige Abs. 2 wird Abs. 1 und Satz 1 wird wie folgt gefasst:
„¹Verarbeitet ein Auftragsverarbeiter Meldedaten eines Einwohners für mehrere Meldebehörden, so kann er die Daten eines Einwohners in einem Datensatz speichern.“
Der bisherige Abs. 3 wird Abs. 2 und die Angabe „Abs. 2“ wird durch die Angabe „Abs. 1“ ersetzt.
Der bisherige Abs. 4 wird Abs. 3 und die Wörter „einer beauftragten Stelle“ werden durch die Wörter „einem Auftragsverarbeiter“ und die Wörter „diese Stelle“ werden durch die Wörter „diesen Auftragsverarbeiter“ ersetzt.
Der bisherige Abs. 5 wird Abs. 4 und die Angabe „Abs. 4“ wird durch die Angabe „Abs. 3“ ersetzt.
Art. 3 wird wie folgt geändert:
In Abs. 1 wird das Wort „Auftragsdatenverarbeitung“ durch das Wort „Auftragsverarbeitung“ ersetzt und nach dem Wort „Bayern“ wird die Angabe „(AKDB)“ eingefügt.
Abs. 2 wird wie folgt gefasst:
„(2) Art. 2 Abs. 1 Satz 2, Abs. 3 und 4 gilt entsprechend.“
Art. 7 wird wie folgt geändert:
In Abs. 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Abs. 2 wird wie folgt geändert:
In Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt und werden die Wörter „oder nutzen“ gestrichen.
Satz 2 wird wie folgt gefasst:
„²Die AKDB ist hierbei Verantwortliche im Sinne des Kapitels IV der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO).“
In Abs. 5 Satz 1 und Abs. 6 Satz 1 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Art. 8 wird wie folgt geändert:
In Abs. 1 Satz 1 und 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Abs. 2 wird wie folgt geändert:
Satz 1 wird wie folgt gefasst:
„¹Bei der AKDB gestellte Auskunftsersuchen nach Art. 15 DSGVO sind durch diese gemäß den §§ 10, 11 BMG in Verbindung mit § 55 Abs. 3 Satz 2 BMG im Einvernehmen mit der zuständigen Meldebehörde zu beantworten.“
In Satz 2 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Satz 3 wird wie folgt gefasst:
„³Die Rechte der betroffenen Person nach den Art. 15 bis 22 DSGVO und den zu ihrer Durchführung erlassenen Vorschriften des BMG sind im Übrigen gegenüber der zuständigen Meldebehörde geltend zu machen.“
Die Art. 10a und 10b werden aufgehoben.
Art. 11 wird wie folgt geändert:
In der Überschrift wird das Wort „, Außerkrafttreten“ gestrichen.
In Abs. 1 wird die Absatzbezeichnung „(1)“ gestrichen.
Abs. 2 wird aufgehoben.
In Art. 5 Satz 1, Art. 9 Abs. 1 Satz 1, 2, 4 und Abs. 2 Satz 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
(6) Das
Art. 1 Satz 2 wird wie folgt gefasst:
„²Sie nehmen diese Aufgaben als Angelegenheit des übertragenen Wirkungskreises wahr und sind hierbei Verantwortliche im Sinne der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO).“
Der Überschrift des Art. 3 wird das Wort „, Verordnungsermächtigung“ angefügt.
Art. 7 wird wie folgt geändert:
In Abs. 1 Satz 1 wird nach dem Wort „Bayern“ die Angabe „(AKDB)“ eingefügt.
In Abs. 2 Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Abs. 3 wird wie folgt gefasst:
„(3) Abweichend von Art. 1 Satz 2 ist die AKDB im Rahmen ihrer Aufgabenwahrnehmung nach den Abs. 1 und 2 Verantwortlicher im Sinne des Kapitels IV DSGVO.“
Abs. 4 wird aufgehoben.
In Art. 7a Abs. 1, Abs. 2 Satz 1 und 2, Abs. 3 Satz 1 und 4, Abs. 4 Satz 1 und 2 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
Art. 7b Abs. 4 wird aufgehoben.
Art. 7c Abs. 1 wird wie folgt geändert:
In Satz 1 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
In Satz 2 werden die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern die Rechte und Pflichten nach Art. 6 Abs. 2 Sätze 2 und 3 BayDSG“ durch die Wörter „AKDB die Aufgaben des Verantwortlichen im Sinne des Art. 28 DSGVO“ ersetzt.
In Art. 8 Abs. 4 Satz 1 und Art. 10 Abs. 1 Nr. 4 werden jeweils die Wörter „Anstalt für Kommunale Datenverarbeitung in Bayern“ durch die Angabe „AKDB“ ersetzt.
(7) Das
Die Inhaltsübersicht wird gestrichen.
Art. 30 wird wie folgt geändert:
In Abs. 1 Satz 1 Satzteil nach Nr. 3 und Satz 2 werden jeweils die Wörter „oder nutzen“ gestrichen.
Abs. 2 Satz 1 wird wie folgt geändert:
In Nr. 1 werden die Wörter „oder Nutzung, insbesondere die Übermittlung oder Weitergabe“ gestrichen.
In Nr. 2 werden die Wörter „oder Nutzung, insbesondere die Übermittlung oder Weitergabe ausdrücklich oder den Umständen nach“ durch das Wort „ausdrücklich“ ersetzt und wird das Komma am Ende durch einen Punkt ersetzt.
Nr. 3 wird aufgehoben.
Art. 30a wird wie folgt geändert:
In Abs. 1 werden die Wörter „nach Art. 27a des Bayerischen Datenschutzgesetzes“ gestrichen.
Abs. 2 wird wie folgt geändert:
In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
In Satz 2 wird das Wort „nutzen“ durch die Wörter „auslesen und verwenden“ ersetzt.
In Abs. 3 Satzteil vor Nr. 1 werden die Wörter „Das Erheben, Verarbeiten und Nutzen“ durch die Wörter „Die Verarbeitung“ ersetzt.
In Abs. 4 werden die Wörter „Die speichernde Stelle“ durch die Wörter „Der Verantwortliche“ ersetzt.
In Art. 31 Abs. 9 Satz 2 wird die Angabe „oder Abs. 3 Satz 1 des“ durch die Angabe „oder Abs. 3 Satz 2“ ersetzt.
In Art. 31a Satz 1 werden die Wörter „erheben und“ gestrichen.
(8) Art. 2 Abs. 2 Satz 4 des
„⁴Soweit es zur Erfüllung der Aufgaben nach Satz 1 Halbsatz 2 und Satz 3 erforderlich ist, ist die Berufsvertretung abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) berechtigt, die in den jeweiligen Verfahrensakten enthaltenen personenbezogenen Gesundheitsdaten zu verarbeiten.“
(9) Das
Die Inhaltsübersicht wird gestrichen.
In Art. 47 Abs. 1 Satz 1 Satzteil vor Nr. 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
In Art. 53 Abs. 1 Nr. 7 werden die Wörter „Datenerhebung, -verarbeitung, und -nutzung“ durch das Wort „Datenverarbeitung“ ersetzt.
(10) Das
In der Überschrift werden vor der Angabe „ILSG“ die Wörter „Integrierte Leitstellen-Gesetz –“ eingefügt.
Art. 9 wird wie folgt geändert:
Abs. 1 wird wie folgt geändert:
Im Satzteil vor Nr. 1 werden die Wörter „erhoben, verarbeitet oder genutzt“ durch das Wort „verarbeitet“ ersetzt.
In Nr. 1 wird nach dem Wort „ist“ das Komma gestrichen.
In Abs. 3 Satz 5 wird das Wort „Weitergabe“ durch das Wort „Übermittlung“ ersetzt.
(11) Das
Art. 5 Abs. 2 wird wie folgt geändert:
Satz 1 wird aufgehoben.
In Satz 2 wird die Satznummerierung gestrichen.
In Art. 6 Abs. 3 werden in Halbsatz 1 die Wörter „dieser Unterrichtung nicht widersprochen“ durch die Wörter „in eine solche Unterrichtung eingewilligt“ ersetzt und in Halbsatz 2 die Wörter „ihr Widerspruchsrecht“ durch die Wörter „das Einwilligungserfordernis“ ersetzt.
Art. 9 wird aufgehoben.
(12) Die
In § 6 Abs. 3 Satz 3 werden nach dem Wort „Union“ die Wörter „oder des Europäischen Wirtschaftsraums“ eingefügt.
§ 7 wird wie folgt geändert:
Abs. 4 wird aufgehoben.
Der bisherige Abs. 5 wird Abs. 4 und die Angabe „Art. 21a Abs. 5 BayDSG“ wird durch die Angabe „Art. 24 Abs. 4 des Bayerischen Datenschutzgesetzes“ ersetzt.
Der bisherige Abs. 6 wird Abs. 5 und in Satz 1 und 2 Satzteil vor Nr. 1 werden jeweils die Wörter „oder genutzt“ gestrichen.
(13) Das
Die Inhaltsübersicht wird gestrichen.
In Art. 5 Abs. 2 wird die Fußnote 1 gestrichen.
Der Überschrift des Art. 8 wird das Wort „, Verordnungsermächtigung“ angefügt.
Art. 9 wird wie folgt geändert:
In Abs. 1 wird die Fußnote 3 gestrichen.
In Abs. 3 wird die Fußnote 4 gestrichen.
Art. 11 wird wie folgt geändert:
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
Abs. 1 wird wie folgt geändert:
In Satz 2 wird das Wort „Antag“ durch das Wort „Antrag“ ersetzt.
In Satz 6 werden die Wörter „und Nutzung“ gestrichen.
Art. 13 wird wie folgt geändert:
In Abs. 1 Satz 3 werden die Fußnoten 5 und 6 gestrichen.
In Abs. 4 wird die Fußnote 7 gestrichen.
In Art. 16 wird die bisherige Fußnote 9 die Fußnote 1.
(14) Das
In Art. 6 Abs. 2 Satz 2 wird die Angabe „Art. 23 Abs. 4“ durch die Angabe „Art. 25 Abs. 3“ ersetzt.
In Art. 42 Abs. 4 Satz 1 werden die Wörter „Erhebung, Verarbeitung und Nutzung“ durch das Wort „Verarbeitung“ ersetzt.
(15) Das
Die Inhaltsübersicht wird gestrichen.
In der Überschrift zum Zweiten Teil Abschnitt VIII sowie in der Überschrift zu Art. 59 werden jeweils die Wörter „und sonstiges Personal“ angefügt.
Die Überschrift des Zweiten Teils Abschnitt XIII wird wie folgt gefasst:
„Abschnitt XIII Kommerzielle und politische Werbung, Verarbeitung personenbezogener Daten“
Art. 85 wird wie folgt geändert:
Die Überschrift wird wie folgt gefasst:
„Art. 85 Verarbeitung personenbezogener Daten“
Abs. 1 wird wie folgt geändert:
In Satz 1 werden die Wörter „erheben, verarbeiten und nutzen“ durch das Wort „verarbeiten“ ersetzt.
Satz 4 wird wie folgt gefasst:
„⁴Die betroffenen Personen sind zur Angabe der Daten verpflichtet.“
In Abs. 2 werden die Sätze 1 und 2 wie folgt gefasst:
In Art. 85a Abs. 1 Satz 1 Halbsatz 1 werden die Wörter „gemäß Art. 6 des Bayerischen Datenschutzgesetzes (BayDSG)“ durch die Wörter „als Auftragsverarbeiter gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO)“ ersetzt.
Art. 89 wird wie folgt geändert:
Es wird folgende Überschrift eingefügt: „Verordnungsermächtigung“
In Abs. 1 Satz 3 wird nach Nr. 10 folgende Nr. 10a eingefügt: „10a. Art und Umfang des Einsatzes von Verfahren zur Verarbeitung personenbezogener Daten,“
Art. 113a wird wie folgt geändert:
In Abs. 1 Satz 1 wird die Angabe „gemäß Art. 6 BayDSG“ durch die Wörter „als Auftragsverarbeiter gemäß Art. 28 DSGVO“ ersetzt.
In Abs. 3 Satz 1 werden die Wörter „und nutzen“ gestrichen.
Art. 113c Abs. 3 wird wie folgt geändert:
In Satz 1 werden die Wörter „Betroffenen erheben, verarbeiten und nutzen“ durch die Wörter „betroffenen Personen verarbeiten“ ersetzt.
Satz 2 wird wie folgt gefasst:
In Satz 3 werden die Wörter „und Nutzung“ gestrichen.
Satz 4 wird wie folgt gefasst:
(16) Das
In Art. 1 wird folgende Überschrift eingefügt:
„Recht der freien Meinungsäußerung und Pressefreiheit“
In Art. 2 wird folgende Überschrift eingefügt:
„Errichtung von Verlagen und Pressebetrieben“.
Art. 3 wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Aufgaben der Presse“.
In Abs. 3 wird nach dem Wort „Strafgesetzbuchs“ die Angabe „(StGB)“ eingefügt.
In Art. 4 wird folgende Überschrift eingefügt:
„Auskunftsrecht“.
In Art. 5 wird folgende Überschrift eingefügt:
„Verantwortlicher Redakteur“.
In Art. 6 wird folgende Überschrift eingefügt:
„Druckwerke; Zeitungen und Zeitschriften“.
In Art. 7 wird folgende Überschrift eingefügt:
„Impressum bei Druckwerken“.
Art. 8 wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Impressum bei Zeitungen und Zeitschriften“.
Dem Abs. 3 werden die folgenden Sätze 3 bis 7 angefügt:
In Art. 9 wird folgende Überschrift eingefügt:
„Anzeige und Reklametexte“.
In Art. 10 wird folgende Überschrift eingefügt:
„Gegendarstellung“.
Art. 10a wird Art. 11 und wird wie folgt gefasst:
Der bisherige Art. 11 wird Art. 12 und wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Strafrechtliche Verantwortlichkeit“.
Abs. 2 wird aufgehoben.
Der bisherige Abs. 3 wird Abs. 2.
Der bisherige Art. 12 wird Art. 13 und es wird folgende Überschrift eingefügt:
„Ordnungswidrigkeiten“.
Der bisherige Art. 13 wird Art. 14 und es wird folgende Überschrift eingefügt:
„Strafvorschriften“.
Der bisherige Art. 14 wird Art. 15 und wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Verjährung bei Straftaten und Ordnungswidrigkeiten“.
In Abs. 1 Nr. 1 bis 3 werden jeweils die Wörter „des Strafgesetzbuchs“ durch die Angabe „StGB“ ersetzt.
In Abs. 2 wird die Angabe „Art. 12“ durch die Angabe „Art. 13“ ersetzt.
Der bisherige Art. 15 wird Art. 16 und es wird folgende Überschrift eingefügt: „Beschlagnahme“.
Der bisherige Art. 16 wird Art. 17 und wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Umfang der Beschlagnahme“.
In Abs. 2 werden die Wörter „(Drucksatz, Druckform, Platten, Klischees)“ durch die Wörter „wie etwa Drucksatz, Druckform, Platten oder Klischees“ ersetzt.
Der bisherige Art. 17 wird Art. 18 und es wird folgende Überschrift eingefügt:
„Nachrichtenagenturen, Pressebüros“.
Der bisherige Art. 18 wird Art. 19 und wird wie folgt geändert:
Es wird folgende Überschrift eingefügt:
„Durchführungsbestimmungen; Inkrafttreten“.
Dem Abs. 1 wird folgender Abs. 1 vorangestellt:
Der bisherige Abs. 1 wird Abs. 2.
Der bisherige Abs. 2 wird aufgehoben.
(17) Das
Art. 6 wird wie folgt geändert:
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
In Abs. 3 Satz 1 Nr. 1 wird die Fußnote 1 gestrichen.
In Art. 17 Abs. 3 wird die Satznummerierung gestrichen.
Art. 18 wird wie folgt geändert:
In Abs. 2 wird die Angabe „Art. 11 Abs. 2 und 3“ durch die Angabe „Art. 12 Abs. 2“ ersetzt.
In Abs. 4 werden die Wörter „Art. 14 Abs. 1 Sätze 1 und 2 Nrn. 1 und 3“ durch die Wörter „Art. 15 Abs. 1 Satz 1 und 2 Nr. 1 und 3“ ersetzt.
Die Art. 21 und 22 werden wie folgt gefasst:
In Art. 26 wird die bisherige Fußnote 2 Fußnote 1.
(18) Das
Die Inhaltsübersicht wird gestrichen.
In Art. 12 Abs. 2 Satz 2 Nr. 10 werden die Wörter „des Gesetzes zur Ausführung des Rundfunkstaatsvertrags, des Jugendmedienschutz-Staatsvertrags und des Rundfunkbeitragsstaatsvertrags“ durch die Wörter „des Ausführungsgesetzes Rundfunk“ ersetzt.
Art. 13 wird wie folgt geändert:
Der Überschrift wird das Wort „, Verordnungsermächtigung“ angefügt.
In Abs. 1 Satz 1 Nr. 1 wird die Fußnote 1 gestrichen.
In Art. 14 Abs. 1 Satz 2 Nr. 2 werden die Wörter „des Gesetzes zur Ausführung des Rundfunkstaatsvertrags, des Jugendmedienschutz-Staatsvertrags und des Rundfunkbeitragsstaatsvertrags“ durch die Wörter „des Ausführungsgesetzes Rundfunk“ ersetzt.
Art. 20 wird wie folgt gefasst:
In Art. 22 Abs. 1 Satz 1 werden die Wörter „Kosten (Gebühren und Auslagen)“ durch die Wörter „Gebühren und Auslagen (Kosten)“ ersetzt.
In Art. 31 Satz 1 werden die Wörter „(Frequenzen und Kanäle)“ gestrichen.
In Art. 35 Abs. 1 Nr. 1 werden die Wörter „(ortsübliche Empfangbarkeit)“ gestrichen.
In Art. 36 Abs. 3 werden die Wörter „, erstmals zum 30. Juni 2009 entsprechend Art. 31 Abs. 1 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten – Universaldienstrichtlinie (ABl EG Nr. L 108 S. 51)“ durch die Wörter „entsprechend Art. 31 Abs. 1 der Richtlinie 2002/22/EG“ ersetzt.
In Art. 37 wird in der Überschrift die bisherige Fußnote 3 gestrichen.
In Art. 38 Satz 1 werden die Wörter „Art. 14 Abs. 1 Sätze 1 und 2 Nr. 1 und 3“ durch die Wörter „Art. 15 Abs. 1 Satz 1 und 2 Nr. 1 und 3“ ersetzt.
In Art. 41 Abs. 1 Satz 1 wird die bisherige Fußnote 4 die Fußnote 1.
(19) Das
Die Inhaltsübersicht wird gestrichen.
Art. 3 wird wie folgt geändert:
Die Überschrift wird wie folgt gefasst: „Art. 3 Anwendbarkeit der Datenschutz-Grundverordnung und des Bayerischen Datenschutzgesetzes“.
Abs. 1 wird wie folgt gefasst:
„(1) Die Ansprüche nach den Art. 15, 16, 18 und 21 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) bestehen nicht, soweit diese Rechte die Verwirklichung statistischer Zwecke ernsthaft beeinträchtigen würden.“
Abs. 2 wird aufgehoben.
Der bisherige Abs. 3 wird Abs. 2 und das Wort „weitergegeben“ wird durch das Wort „übermittelt“ ersetzt.
In Art. 5 Abs. 5 Satz 1 werden die Wörter „oder nutzen“ gestrichen.
Art. 7 wird aufgehoben.
In Art. 14 Abs. 2 Satz 3 werden die Wörter „oder nutzen“ gestrichen.
Art. 18 Abs. 1 wird wie folgt geändert:
In Satz 1 werden die Satznummerierung sowie die Wörter „oder genutzt“ gestrichen.
Satz 2 wird aufgehoben.
Art. 19 wird wie folgt geändert:
In Satz 1 Satzteil vor Nr. 1 werden die Wörter „Die zu Befragenden sind“ durch die Wörter „Ergänzend zu den Informationspflichten nach den Art. 13 und 14 DSGVO sind die zu Befragenden“ ersetzt.
In Nr. 1 wird das Wort „Zweck,“ und die Wörter „und ihre Rechtsgrundlage“ gestrichen.
In Art. 20 Abs. 3 Satz 1 werden die Wörter „oder nutzen“ gestrichen.
Der Überschrift des Art. 21 wird das Wort „, Verordnungsermächtigung“ angefügt.
Art. 25 wird wie folgt gefasst:
Abschnitt V wird aufgehoben.
(20) Das
Die Inhaltsübersicht wird gestrichen.
Art. 55 wird wie folgt geändert:
Abs. 2 wird wie folgt gefasst:
Abs. 3 wird aufgehoben.
(21) Das
Die Inhaltsübersicht wird gestrichen.
In Art. 64 Abs. 1 Satz 1 Nr. 10 werden die Wörter „das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten“ durch die Wörter „die Verarbeitung personenbezogener Daten“ ersetzt.
Art. 79 wird wie folgt geändert:
Abs. 1 wird aufgehoben.
Im bisherigen Abs. 2 wird die Absatzbezeichnung „(2)“ gestrichen.
Art. 40 Inkrafttreten, Außerkrafttreten
(1) Dieses Gesetz tritt am 25. Mai 2018 in Kraft.
(2) Mit Ablauf des 24. Mai 2018 treten außer Kraft:
das Bayerische Datenschutzgesetz (BayDSG) vom 23. Juli 1993 (GVBl. S. 498, BayRS 204-1-I), das zuletzt durch § 2 des Gesetzes vom 24. Juli 2017 (GVBl. S. 388) geändert worden ist,
die Verordnung zur Durchführung des Gesetzes über die Presse in der in der Bayerischen Rechtssammlung (BayRS 2250-1-1-I) veröffentlichten bereinigten Fassung, die zuletzt durch Verordnung vom 1. Juli 2005 (GVBl. S. 303) geändert worden ist,
§ 3 Abs. 2 bis 4 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 25. Juli 2000 (GVBl. S. 488),
§ 3 Abs. 3 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 10. Dezember 2007 (GVBl. S. 903),
§ 3 Abs. 2 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 2. April 2009 (GVBl. S. 50),
§ 3 Abs. 2 des Gesetzes zur Änderung des Bayerischen Rundfunkgesetzes und des Bayerischen Mediengesetzes vom 8. Dezember 2009 (GVBl. S. 609),
Art. 10 Abs. 2 des Dritten Verwaltungsreformgesetzes (3. VwReformG) vom 23. November 2001 (GVBl. S. 734),
Art. 9 Nr. 2, Art. 11 Nr. 8, Art. 14, 17, 19 des 2. Verwaltungsmodernisierungsgesetzes (2. VerwModG) vom 26. Juli 2005 (GVBl. S. 287),
§ 2 Abs. 2 des Gesetzes zur Änderung des Bayerischen Datenschutzgesetzes vom 2. April 2009 (GVBl. S. 49).
München, den 15. Mai 2018
Dr. Markus Söder
Feedback