Hinweis: brandenburg.de hat seine Internet-Seiten auf barrierefreien Zugriff optimiert und verwendet deshalb standardisiertes CSS (Stylesheets). Sollte Ihr Browser dieses nicht korrekt anzeigen, unterstützt er nicht die üblichen Webstandards. Weitere Informationen finden Sie hier.

Brandenburgisches Vorschriftensystem (BRAVORS)

 A | A | A |
Letzte gültige Fassung Anlagen (2)

ARCHIV

Verwaltungsvorschrift des Ministeriums des Innern zur Durchführung des Brandenburgischen Datenschutzgesetzes (VV zum BbgDSG)


vom 22. Januar 2003
(ABl./03, [Nr. 07], S.170)

Außer Kraft getreten am 20. Februar 2009
(ABl./03, [Nr. 07], S.170)

1. Inhaltsverzeichnis

1. Inhaltsverzeichnis
2. Begriffserläuterungen
3. Zu § 4 Zulässigkeit der Datenverarbeitung
4. Zu § 4a Verarbeitung besonderer Kategorien personenbezogener Daten
5. Zu § 4b Widerspruchsrecht des Betroffenen aus besonderem Grund
6. Zu § 7 Sicherstellung des Datenschutzes
7. Zu § 7a Behördlicher Datenschutzbeauftragter
8. Zu § 8 Verfahrens- und Anlagenverzeichnis
9. Zu § 9 Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung
10. Zu § 10 Technische und organisatorische Maßnahmen
11. Zu § 11 Verarbeitung personenbezogener Daten im Auftrag
12. Zu § 11a Wartung
13. Zu § 11b Grundsätze der System- und Verfahrensgestaltung
14. Zu § 11c Datenschutzaudit
15. Zu § 12 Erhebung
16. Zu § 13 Zweckbindung bei Speicherung, Veränderung und Nutzung
17. Zu § 14 Übermittlung innerhalb des öffentlichen Bereichs
18. Zu § 15 Übermittlung an öffentlich rechtliche Religionsgemeinschaften
19. Zu § 16 Übermittlung an Personen und Stellen außerhalb des öffentlichen Bereichs
20. Zu § 17 Übermittlung an ausländische und internationale Stellen
21. Zu § 17a Ausnahmsweise Übermittlung an Stellen außerhalb der europäischen Union
22. Zu § 18 Auskunft und Benachrichtigung sowie Einsicht in Akten
23. Zu § 31 Verarbeitung personenbezogener Daten durch den Landtag
24. Zu § 33c Videoüberwachung und -aufzeichnung
25. Zu § 38 Straftaten 26. Zu § 39 Ordnungswidrigkeiten
27. In-Kraft-Treten / Außer-Kraft-Treten

2. Begriffserläuterungen

2.1 Erläuterungen zum Anwendungsbereich des Gesetzes (§ 2 BbgDSG)

2.1.1 Behörde ist jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt (§ 1 Abs. 2 Verwaltungsverfahrensgesetz für das Land Brandenburg (VwVfGBbg), in der Fassung der Bekanntmachung vom 4. August 1998, GVBl. I S.178), wobei die organisatorische Selbständigkeit der Behörde am eigenverantwortlichen Auftreten nach außen zu erkennen ist. Sonstige öffentliche Stellen sind nach außen eigenverantwortlich handelnde Stellen, die keine Behördeneigenschaft besitzen. Vereinigungen juristischer Personen des öffentlichen Rechts sind ungeachtet ihrer Rechtsform öffentliche Stellen. Gerichte und Staatsanwaltschaften unterliegen der Anwendung des Brandenburgischen Datenschutzgesetzes (BbgDSG, in der Fassung der Bekanntmachung vom 9. März 1999, GVBl. I S. 66) nur, soweit sie Verwaltungsaufgaben wahrnehmen. Im Bereich der rechtsprechenden Gewalt gelten die Bestimmungen der einschlägigen Prozessgesetze. Für die Staatsanwaltschaften finden die Bestimmungen nach Abschnitt 2 des Gesetzes auch Anwendung, soweit sie Aufgaben der Strafverfolgung wahrnehmen.

2.1.2 Soweit kommunale Gebietskörperschaften Eigengesellschaften (rechtlich selbständige Unternehmen in zivilrechtlichen Formen wie Aktiengesellschaften, Gesellschaften mit beschränkter Haftung) errichten oder an privatrechtlich organisierten wirtschaftlichen Unternehmen beteiligt sind, sind für solche Unternehmen die Vorschriften des Bundesdatenschutzgesetzes bezüglich der Datenverarbeitung durch nicht-öffentliche Stellen anzuwenden. Nehmen Private hoheitliche Aufgaben der öffentlichen Verwaltung wahr (sogenannte beliehene Unternehmen), gilt das BbgDSG im Rahmen dieser Tätigkeit auch für sie (§ 2 Abs. 1 Satz 3 BbgDSG); der einschlägige Tätigkeitsbereich ergibt sich aus dem Beleihungsakt. Für Landesbetriebe, die nach § 26 Landeshaushaltsordnung eingerichtet wurden (zum Beispiel Landesbetrieb für Datenverarbeitung und Statistik (LDS) und Landesbetrieb "Landesvermessung und Geobasisinformation Brandenburg" (LGB)), finden als öffentliche Stelle im Sinne von § 2 Abs. 1 BbgDSG die Vorschriften des BbgDSG Anwendung.

2.1.3 Stellen nach § 2 Abs. 2 Satz 1 BbgDSG, für die das BbgDSG nur eingeschränkt gilt, sind Eigenbetriebe und öffentliche Einrichtungen nach § 103 der Gemeindeordnung (GO) vom 15. Oktober 1993 (GVBl. I S. 398), zuletzt geändert durch Gesetz vom 13. März 2001 (GVBl. I S. 30), die entsprechend den Vorschriften der Verordnung über die Eigenbetriebe (EigV) vom 27. März 1995 (GVBl. II S. 314) geführt werden, sowie der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen. Eigenbetriebe sind wirtschaftliche Unternehmen kommunaler Gebietskörperschaften ohne eigene Rechtspersönlichkeit (§ 101 Abs. 3 Nr. 1 GO). Sie sind gemäß § 95 Abs. 1 Nr. 1 GO i. V. m. § 10 Abs. 1 EigV als Sondervermögen der Gemeinde zu führen. Sie können sowohl unter den Voraussetzungen des § 101 Abs. 1 GO als auch zur Erfüllung der in § 101 Abs. 2 GO genannten Aufgaben gegründet werden. Die den Eigenbetrieben nach § 2 Abs. 2 Satz 1 Nr. 2 BbgDSG gleichstehenden öffentlichen Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden, haben derzeit nach der Systematik der Brandenburgischen Gemeindeordnung keine Bedeutung, da § 103 Abs. 1 GO hinsichtlich der Freiheit der Wahl der Rechtsform für die wirtschaftliche Betätigung der Gemeinden über den abschließenden Katalog des § 101 Abs. 3 GO hinaus keinen neuen Sachverhalt schafft. Zu den juristischen Personen des öffentlichen Rechts, die der Aufsicht des Landes unterliegen und am Wettbewerb teilnehmen, zählen unter anderem Sparkassen.

2.2 Erläuterungen zu den Begriffsbestimmungen (§ 3 BbgDSG)

2.2.1 Personenbezogene Daten (§ 3 Abs. 1 BbgDSG) sind Einzelangaben, die eine natürliche Person (Betroffener) bestimmen oder bestimmbar machen (zum Beispiel: Name, Personalnummer). Als Einzelangaben gelten weiterhin Daten, die einen in der Person des Betroffenen liegenden oder auf den Betroffenen bezogenen Sachverhalt beschreiben (zum Beispiel: Adresse, Geburtsdatum, Einkommen) sowie jegliche andere Angaben zu einer Person, die dieser zugeordnet werden können.

2.2.2 Anonymisierung (§ 3 Abs. 3 Nr. 1 BbgDSG) hat das Ziel, den Personenbezug der Daten zu beseitigen, die Daten also zu „entpersonalisieren“. Derjenige, der mit anonymisierten Daten umgeht, soll nicht mehr in der Lage sein, bestimmte Einzelangaben Personen zuzuordnen.

2.2.3 Beim Pseudonymisieren (§ 3 Abs. 3 Nr. 2 BbgDSG) werden Einzelangaben über persönliche oder sachliche Verhältnisse einer natürlichen Person auf die Weise ersetzt, dass die verbleibenden Angaben zwar noch einem Einzelnen, nicht mehr jedoch ohne Kenntnis der Zuordnungskriterien einer bestimmten natürlichen Person zugeordnet werden können. Das Ziel der Pseudonymisierung besteht insbesondere angesichts der zunehmenden Technisierung darin, personenbezogene Daten ohne Kenntnis der Identität des Betroffenen nutzen zu können. Sie sollte überwiegend dort eingesetzt werden, wo die wesentlich stärkere Maßnahme der Anonymisierung personenbezogener Daten nicht möglich ist. Die Pseudonymisierung kann zum Beispiel im Medizinbereich zum Einsatz kommen. Ein Außenstehender (beispielsweise ein Techniker) kann die Daten keiner Person zuordnen. Ihm gegenüber wird das Arztgeheimnis gewahrt. Das Krankenhauspersonal hingegen kann die Daten ohne Einschränkung verwenden.

2.2.4 Datenverarbeitende Stellen (§ 3 Abs. 4 Nr. 1 BbgDSG) sind die Stellen, die Daten selbst verarbeiten oder durch andere verarbeiten lassen. Datenverarbeitende Stellen sind die Behörden und die von ihnen getragenen sonstigen öffentlichen Stellen. Nachgeordnete Bereiche einer Behörde sind Teil der datenverarbeitenden Stelle, wenn sie nicht organisatorisch selbständig sind. Unter datenverarbeitenden Stellen sind auch solche Stellen zu verstehen, die selbst keine Daten speichern, sondern nur über ein Sichtgerät nutzen. Im Fall der Auftragsdatenverarbeitung gilt der Auftraggeber als datenverarbeitende Stelle.

2.2.5 Empfänger (§ 3 Abs. 4 Nr. 2 BbgDSG) ist entsprechend der Definition des Artikels 2g der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (EU-Datenschutzrichtlinie, Amtsblatt der Europäischen Gemeinschaft Nr. L 281/31) die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Dabei sollen jedoch Behörden, die im Rahmen eines einzelnen Untersuchungsauftrages eventuell personenbezogene Daten erhalten, nicht als Empfänger gelten. Mit dieser Regelung der Richtlinie wird aus dem Begriff des Empfängers der Fall ausgeklammert, dass z. B. durch eine Ermittlungsmaßnahme im Rahmen eines Strafverfahrens oder einer vergleichbaren Untersuchung im Einzelfall personenbezogene Daten bekanntgegeben werden.

2.2.6 Anstelle des Begriffs der „automatisierten Datei“ soll auf Grund der Regelungen der EU-Datenschutzrichtlinie der Begriff „automatisierte Datenverarbeitung“ (§ 3 Abs. 5 BbgDSG) treten. Das BbgDSG stellt hinsichtlich der materiellen Zulässigkeit auf jegliche Datenverarbeitung und nicht allein auf die Tatsache ab, dass personenbezogene Daten automatisiert gespeichert werden. Auf den Begriff der automatisierten Datenverarbeitung stellen unter anderem auch die Regelungen zum Verfahrens- und Anlagenverzeichnis und hinsichtlich der zu treffenden technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes ab (siehe Ziffer 6 und 8). Es ist auch festzustellen, dass der Dateibegriff in der Anwendung immer wieder zu Schwierigkeiten geführt hat. Die sich weiter entwickelnde Technik macht zudem immer mehr Formen der automatisierten Datenverarbeitung möglich, die nicht mehr von diesem engen und statischen Begriff erfaßt werden, obwohl auch für sie die Geltung des BbgDSG erforderlich ist. Deshalb wurde bisher auch bereits jede Art der Datenverarbeitung vom BbgDSG umfasst, unabhängig davon, ob der Dateibegriff erfüllt war. Künftig soll jedoch nur der Begriff automatisierte Datenverarbeitung verwendet werden, wenn es sich nicht um Datenverarbeitung in Akten handelt (siehe Ziffer 2.2.7).

2.2.7 Das BbgDSG enthält jedoch weiterhin eine Erläuterung des Begriffs „Datei“ (§ 3 Abs. 6 BbgDSG), weil verschiedene bereichsspezifische Rechtsvorschriften immer noch auf ihn Bezug nehmen. So enthält beispielsweise das Brandenburgische Polizeigesetz (BbgPolG) vom 19. März 1996 (GVBl. I S. 74), zuletzt geändert durch 2. Änderungsgesetz vom 19. Dezember 2000 (GVBl. I S. 179), insbesondere in Kapitel 2 Abschnitt 2 „Datenverarbeitung“ den Begriff der Datei.

2.2.8 Akten (§ 3 Abs. 7 BbgDSG) sind sonstige Unterlagen, die dienstlichen Zwecken dienen und nicht automatisiert verarbeitet werden. Die Abgrenzung erfolgt damit gegenüber Dateien. Die EU-Datenschutzrichtlinie stellt dabei in Erwägungsgrund Nr. 27 klar, dass nach bestimmten Kriterien strukturierte Akten noch in den Anwendungsbereich der Richtlinie fallen. Notizen und Vorentwürfe, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden, werden von diesem Begriff nicht erfasst.

2.3 Der Behördliche Datenschutzbeauftragte (§ 7a BbgDSG) ist von allen datenverarbeitenden Stellen zwingend zu bestellen und hat die vorrangige Aufgabe, die jeweilige öffentliche Stelle bei der Umsetzung der Datenschutzvorschriften zu beraten und zu unterstützen. Darüber hinaus soll der Beauftragte gegenüber der öffentlichen Stelle Verbesserungen des Datenschutzes anregen und entsprechende Vorschläge unterbreiten. Weitere Ausführungen zum behördlichen Datenschutzbeauftragten sind unter Ziffer 7 zu finden.

3. Zu § 4 Zulässigkeit der Datenverarbeitung

3.1 Die Einwilligung zur Verarbeitung personenbezogener Daten gemäß § 4 Abs.1 Buchst. b BbgDSG kann nach Absatz 3 auch elektronisch erklärt werden. Diese Regelung entspricht den modernen datenschutzrechtlichen Regelungen im Multimediabereich, die der Bund und die Länder übereinstimmend getroffen haben. Auch im allgemeinen Datenschutzrecht soll die Möglichkeit einer elektronischen Einwilligungserklärung gegeben sein. Die Anforderungen des § 4 Abs. 3 BbgDSG an die elektronische Einwilligung verlangen die Verwendung einer qualifizierten elektronischen Signatur entsprechend dem Signaturgesetz. Überall da, wo das Datenschutzgesetz die datenschutzrechtliche Einwilligung vorschreibt, gelten die Voraussetzungen des § 4 Abs. 3 BbgDSG für eine solche Einwilligung.Für die Vorschriften des BbgDSG, die ansonsten die Schriftform anordnen, (u. a. §§ 4b, 7 Abs. 3, 11 Abs. 2, 18 Abs. 2, 23 Abs.5 BbgDSG) bewirkt die künftige Generalklausel des § 3a Verwaltungsverfahrensgesetz für das Land Brandenburg (VwVfG Bbg), dass das schriftliche Dokument im herkömmlichen Sinne durch das elektronische Dokument mit qualifizierter elektronischer Signatur ersetzt werden kann.

3.2 In § 4 Abs. 4 BbgDSG wird die in Artikel 15 der EU-Datenschutzrichtlinie enthaltene Regelung zum Verbot automatisierter Einzelentscheidungen umgesetzt. Sie beruht auf dem Gedanken, dass Entscheidungen, die auf einer Bewertung des Betroffenen beruhen, und damit sein Persönlichkeitsrecht im Kern berühren, nicht allein einer technischen Vorrichtung überlassen werden dürfen, sondern letztlich immer von einem Menschen verantwortet werden müssen. Eine Ausnahme ist nur durch besonderes Gesetz zulässig, das die Wahrung des berechtigten Interesses des Betroffenen sicherstellt.

4. Zu § 4a Verarbeitung besonderer Kategorien personenbezogener Daten

4.1 Die Vorschrift basiert auf der Regelung des Artikel 8 der EU-Datenschutzrichtlinie, wonach die Verarbeitung besonderer Kategorien personenbezogener Daten untersagt ist. Ausnahmen von diesem Verbot sollen unter der Voraussetzung angemessener Garantien zum Schutz des informationellen Selbstbestimmungsrechtes aus Gründen eines wichtigen öffentlichen Interesses zulässig sein. Diese Ausnahmen sind überwiegend in bereichsspezifischen Gesetzen zu regeln.

4.2 Aber auch im BbgDSG sind solche besonderen Datenschutzregelungen enthalten. Durch ihre enge, im Gesetz konkret und abschließend festgelegte Zweckbindung geben diese Vorschriften die von der Richtlinie geforderten angemessenen Garantien zum Schutz des informationellen Selbstbestimmungsrechtes. Dies sind im Einzelnen die Regelungen zur Verarbeitung (sensibler) Daten für wissenschaftliche Zwecke (§ 28 BbgDSG), Dienst- und Arbeitsverhältnisse (§ 29 BbgDSG) sowie durch Religionsgesellschaften (§ 15 BbgDSG). Darüber hinaus ist eine Ausnahme vom Verbot der Verarbeitung sensibler Daten möglich, wenn sie ausschließlich dem Interesse des Betroffenen dient. In diesem Fall sind zum Schutz des Persönlichkeitsrechtes keine inhaltlichen, sondern nur verfahrensmäßige Garantien erforderlich, damit das Vorliegen des Ausnahmetatbestandes nicht zu Unrecht angenommen wird. Aus diesem Grunde ist vor der Verarbeitung der Daten der Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht (LDA) zu hören. Eine weitere Ausnahme vom Verbot der Verarbeitung der in Satz 1 genannten besonderen Datenarten ist die ausdrücklich zu erteilende Einwilligung des Betroffenen.

5. Zu § 4b Widerspruchsrecht des Betroffenen aus besonderem Grund

5.1 Diese Vorschrift spiegelt den Inhalt des Artikel 14 der EU-Datenschutzrichtlinie wider. Danach hat der Betroffene ein Widerspruchsrecht gegen die Verarbeitung seiner Daten, wenn ihr überwiegende schutzwürdige Gründe entgegen stehen. Dies gilt auch, wenn die Daten Gegenstand einer rechtmäßigen Verarbeitung auf Grund eines öffentlichen Interesses oder der Ausübung hoheitlicher Gewalt sind.

5.2 Das Widerspruchsrecht darf nicht mit der Möglichkeit des Betroffenen, Verwaltungsakte im verwaltungsgerichtlichen Vorverfahren anzufechten, verwechselt werden. Vielmehr kann der Betroffene mit schriftlichem Antrag ein Verfahren einleiten, in dem seine schutzwürdigen besonderen persönlichen Interessen mit dem öffentlichen Interesse an der Datenverarbeitung im Einzelfall abzuwägen sind und das mit der Erteilung eines Bescheides über die Zulässigkeit der Datenverarbeitung abgeschlossen wird. Gelangt die Behörde bei der Abwägung zu dem Ergebnis, dass die von dem Betroffenen vorgetragenen persönlichen Gründe das öffentliche Interesse an der Verarbeitung der Daten überwiegen, dann muss diese unterbleiben oder so gestaltet werden, wie es dem Anliegen des Betroffenen entspricht. Erst gegen eine den Betroffenen belastende Entscheidung (Ablehnung eines Antrages oder nur teilweise Stattgabe) kann dann nach den Vorschriften der Verwaltungsgerichtsordnung (VwGO) Widerspruch eingelegt werden.

5.3 Eine annähernd vergleichbare Regelung eines besonderen Widerspruchsrechts des Betroffenen ist im § 32 a - Auskunftssperren - des Brandenburgischen Meldegesetzes (BbgMeldeG) in der Fassung der Bekanntmachung vom 26. Mai 1999 (GVBl. I S. 174) geregelt. Danach kann im Melderegister eine Auskunftssperre eingetragen werden, wenn der Betroffene das Vorliegen von Tatsachen glaubhaft macht, dass unter anderem ihm aus der Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Belange erwachsen könnte.

6. Zu § 7 Sicherstellung des Datenschutzes

6.1 § 7 BbgDSG regelt die Fragen der eigenverantwortlichen Durchführung des Datenschutzes in der Landesverwaltung, der Kommunalverwaltung und den der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen. Die Vorschrift wendet sich an die in § 2 Abs. 1 BbgDSG genannten öffentlichen Stellen und verpflichtet sie, für ihren Bereich die Ausführung aller Datenschutzvorschriften sicherzustellen.

6.2 Diese Stellen haben unter anderem dafür zu sorgen, dass die in Datenschutzvorschriften enthaltenen Verbote eingehalten werden, Datenschutzpflichten erfüllt und die notwendigen Datensicherungsmaßnahmen getroffen und eingehalten werden. Außerdem müssen die Aufgaben und Verantwortlichkeiten für den Datenschutz nach § 10 BbgDSG im Rahmen der Geschäftsverteilung klargestellt werden. Eine wichtige Aufgabe besteht in der Gewährleistung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden. Dazu gehört beispielsweise das Sicherstellen, dass Programme nur zu vorgesehenen Zwecken eingesetzt werden. Die Nutzer sollen in ihren Fachanwendungen nur die Daten abrufen können, die sie für ihre Tätigkeit benötigen. Des weiteren zählt dazu, dass das entsprechende Personal, das mit der Verarbeitung personenbezogener Daten betraut werden soll, ausgewählt und zur fachgerechten Anwendung der Datenverarbeitungsprogramme befähigt wird.

6.3 Die Art und Weise der Ausführung der Datenschutzvorschriften bleibt den Normadressaten überlassen, damit den Besonderheiten der verschiedenen Verwaltungszweige Rechnung getragen werden kann.

6.4 Zum Sicherstellen der Art und Weise der Ausführung der Datenschutzvorschriften in Bezug auf einzelne Verfahren können durch die obersten Landesbehörden weitergehende Verwaltungsvorschriften erlassen werden. Vor dem Erlass dieser Verwaltungsvorschriften ist der LDA zu hören. Der LDA ist auch vor dem Erlass von Rechtsvorschriften des Landes (Verordnungen, Satzungen) und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, zu hören. Der Landesbeauftragte ist rechtzeitig und in einer angemessenen Frist zu beteiligen.

6.5 Bevor ein automatisiertes Verfahren zum ersten Mal zum Einsatz gebracht wird, bedarf es einer schriftlichen Freigabe hinsichtlich der im Verfahrensverzeichnis (§ 8 Abs. 2 BbgDSG) festzulegenden Angaben (Freigabeverfahren). Mit der Verpflichtung zur Durchführung eines Freigabeverfahrens und der damit verbundenen Überprüfung eines Verfahrens soll erreicht werden, dass eine Auswahl aus den automatisierten Verfahren erfolgt und nur solche Verfahren zum Einsatz kommen, die auch die datenschutzrechtlichen Bedingungen erfüllen. Die Beteiligung des behördlichen Datenschutzbeauftragten sollte bereits zu Beginn der Programmentwicklung erfolgen.

6.6 Im Freigabeverfahren ist zu untersuchen, ob spezifische Risiken für die Rechte und Freiheiten der Betroffenen vom jeweilig geplanten Verfahren ausgehen. Die Freigabe kann nur erteilt werden, wenn solche Risiken nicht bestehen oder durch entsprechende technisch-organisatorische Maßnahmen beherrschbar sind. Die Maßnahmen sind aus einer Risikoanalyse abzuleiten und in einem Sicherheitskonzept darzustellen. Im Bereich der Landesverwaltung erklärt die oberste Landesbehörde, die für die dem automatisierten Verfahren zugrunde liegende Rechtsmaterie zuständig ist, die Freigabe und in allen anderen Fällen die jeweils zuständige datenverarbeitende Stelle.

6.7 Im Rahmen der Freigabe ist zu überprüfen, ob die vorgesehene Verarbeitung der Daten datenschutzrechtlich zulässig ist (§ 4 BbgDSG), ob das Programm den vorgesehenen Zweck erfüllt und welche geeigneten Sicherungsmaßnahmen (§ 10 BbgDSG) im Hinblick auf die einzusetzende Hard- und Software getroffen werden müssen. Außerdem ist zu prüfen, ob der Grundsatz der Datenvermeidung und Datensparsamkeit (§ 11b Abs. 2 Satz 1 BbgDSG) berücksichtigt wurde (siehe Ziff. 13).

6.8 Ein Freigabeverfahren ist auch dann durchzuführen, wenn in einem bereits freigegebenen Verfahren wesentliche Änderungen durchgeführt werden. Solche Änderungen können Programmänderungen oder -erweiterungen sein, bei denen neue beziehungsweise modifizierte Dateien entstehen.

7. Zu § 7a Behördlicher Datenschutzbeauftragter

7.1 Alle datenverarbeitenden Stellen im Sinne des § 2 Abs. 1 BbgDSG haben einen behördlichen Datenschutzbeauftragten zu bestellen. Mit der Funktion sollte grundsätzlich eine Person betraut werden, die die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde ist dann gegeben, wenn der Datenschutzbeauftragte über die notwendigen Kenntnisse des Datenschutzrechtes sowie über ausreichende IT-Kenntnisse verfügt, die besonderen Risiken der automatisierten Datenverarbeitung einzuschätzen vermag und in der Lage ist, die ihm obliegenden Aufgaben der Beratung und Schulung in Datenschutzfragen wahrzunehmen. Im Rahmen der Prüfung der Zuverlässigkeit des behördlichen Datenschutzbeauftragten ist sicherzustellen, dass mit dieser Funktion nur ein Bediensteter betraut wird, der dadurch nicht in einen Interessenkonflikt mit seinen regelmäßig wahrzunehmenden sonstigen Aufgaben gerät.

7.2 Absatz 3 eröffnet die Möglichkeit, dass ein Bediensteter einer anderen datenverarbeitenden Stelle zum behördlichen Datenschutzbeauftragten bestellt werden kann. So können zum Beispiel mehrere kleine Gemeinden einen gemeinsamen Datenschutzbeauftragten bestellen. Es ist jedoch nicht zugelassen, eine Person außerhalb des öffentlichen Bereichs mit der Aufgabe eines Datenschutzbeauftragten zu betrauen.

7.3 Zu den wichtigsten Aufgaben des behördlichen Datenschutzbeauftragten gehören :

  1. auf die Einhaltung der Datenschutzvorschriften in seinem Tätigkeitsbereich hinzuwirken (Beratung, Information)
  2. Überwachung und Kontrolle der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit denen personenbezogene Daten verarbeitet werden
  3. die datenverarbeitenden Stellen bei den notwendigen Maßnahmen zu unterstützen (Freigabeverfahren, Verfahrens- und Anlagenverzeichnis)
  4. Datenschutz-Schulungen der mit der Datenverarbeitung betrauten Mitarbeiter durchzuführen
  5. Beteiligung an der Erarbeitung von behördeninternen Dienstanweisungen.

8. Zu § 8 Verfahrens- und Anlagenverzeichnis

8.1 Jede Stelle, die personenbezogene Daten selbst automatisiert verarbeitet oder im Auftrag verarbeiten lässt, hat Verzeichnisse über die dabei angewandten Verfahren und Anlagen zu führen. Beim Anlegen der Verzeichnisse ist die Verordnung zum Verfahrens- und Anlageverzeichnis (VAVerzVO) vom 23. November 1999 (GVBl. II S. 646) zu beachten. Auf die hierzu ergangenen Hinweise des Ministeriums des Innern vom 11. Mai 2000 wird verwiesen (Anlage 1).

8.2 Die Erstellung eines Verfahrensverzeichnisses ist nicht erforderlich für Verfahren, deren einziger Zweck das Führen eines Registers zur Information der Öffentlichkeit oder das allen Personen, die ein berechtigtes Interesse geltend machen können, zur Einsichtnahme offensteht (zum Beispiel Einsichtnahme in das Wasserbuch, Benutzung des Liegenschaftskatasters). Auch für Verfahren, mit denen Datensammlungen erstellt werden, die nicht länger als drei Monate vorgehalten werden oder Verfahren, die unter Einsatz handelsüblicher Schreibprogramme ablaufen, muss kein Verzeichnis erstellt werden. Letzteres gilt jedoch nur dann, wenn über übliche Suchbefehle hinaus eine personenbezogene Auswertbarkeit nach bestimmten Kriterien (zum Beispiel durch besondere Auswertprogramme) nicht gegeben ist.

8.3 Das Verfahrensverzeichnis muss eine allgemeine Beschreibung der eingesetzten Datenverarbeitungsanlagen und der technischen und organisatorischen Maßnahmen nach § 10 BbgDSG enthalten. Neben der Beschreibung der eingesetzten Anlagen sollte auch eine allgemeine Beschreibung des Verfahrens im Verzeichnis enthalten sein. Besonderes Gewicht ist auf die Darstellung der technisch-organisatorischen Maßnahmen zu legen. Eine Voraussetzung für die Beurteilung der Angemessenheit dieser Maßnahmen ist das Vorliegen einer Risikoanalyse, wie dies auch nach § 7 Abs. 3 BbgDSG gefordert wird.

8.4 Die Verzeichnisse sollten von den Mitarbeitern, die mit den entsprechenden Verfahren arbeiten, unter Mitwirkung des behördlichen Datenschutzbeauftragten erarbeitet werden.

9. Zu § 9 Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung

9.1 Der Einrichtung von automatisierten Verfahren zur Direktabfrage von personenbezogenen Daten aus Datenbeständen als Informationsaustausch zwischen Behörden und sonstigen öffentlichen Stellen kommt unter den Aspekten des Datenschutzes und der Datensicherung besondere Bedeutung zu. Die abrufende Stelle erhält durch den Anschluss die Möglichkeit, über den Datenbestand der datenverarbeitenden Stelle zu verfügen. Daher ist die Einrichtung automatisierter Abrufverfahren nur aufgrund bundes- oder landesrechtlicher Regelungen (Gesetze, Verordnungen) zulässig. Entsprechend der Verordnungsermächtigung in § 9 Abs. 2 Satz 1 BbgDSG können die Ministerinnen und Minister für ihren Geschäftsbereich die Einrichtung von automatisierten Abrufverfahren durch Rechtsverordnung zulassen. Vor der Einrichtung ist eine Prüfung vorzunehmen, ob dies unter Beachtung der Rechte der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist.

9.2 Die Behörden im Geschäftsbereich eines Ministeriums, die im Online-Verfahren Daten untereinander übermitteln wollen, müssen gegenüber dem Fachressort anregen, dass eine entsprechende Verordnung erlassen wird. Dazu sind eine Begründung sowie die Darstellung der vorgesehenen Datensicherungsmaßnahmen einzureichen. Des weiteren sind die Datenempfänger, die Datenart und der Zweck des Abrufes festzulegen. Der LDA ist gemäß Ziffer 6.4 über den Erlass einer entsprechenden Verordnung und die Einrichtung eines automatisierten Abrufverfahrens zu unterrichten.

9.3 Sofern innerhalb einer öffentlichen Stelle automatisierte Verfahren zur Weitergabe von Daten im Sinne von § 14 Abs. 5 BbgDSG eingerichtet werden, gilt Ziffer 9.2 Satz 2 und 3 entsprechend.

9.4 Für private Stellen dürfen keine Daten, die in der öffentlichen Verwaltung gespeichert sind, für den Abruf im Online-Verfahren bereitgehalten werden. Hiervon ausgenommen sind Auskünfte an Betroffene und die Fälle der Ziffern 9.5 und 9.6.

9.5 Für Datenbestände, die für jedermann zugänglich sind oder für eine Veröffentlichung freigegeben sind, gelten die Regelungen der Ziffern 9.1 bis 9.4 nicht.

9.6 Sind Daten mit schriftlicher Einwilligung des Betroffenen zum Zwecke der Übermittlung im automatisierten Abrufverfahren gespeichert, bedarf die Einrichtung eines automatisierten Abrufverfahrens keiner darüber hinausgehenden Rechtsgrundlage (zum Beispiel nach § 9 Abs. 1 BbgDSG). Für die Erteilung der Einwilligung ist § 4 Abs. 2 Satz 2 und 3 BbgDSG zu beachten. Eine Unterrichtung des LDA über derartige Online-Verfahren ist nicht vorgesehen.

9.7 Die in den vorangehenden Ziffern getroffenen Regelungen finden auf die Zulassung sonstiger regelmäßiger Datenübermittlungen entsprechend Anwendung. Die Regelungen von Ziffer 9.3 gelten auch für die Datenweitergabe im Sinne des § 14 Abs. 5 BbgDSG.

9.8 Die an einem Abrufverfahren beteiligten Stellen haben die nach § 10 BbgDSG erforderlichen Maßnahmen zu treffen.

10. Zu § 10 Technische und organisatorische Maßnahmen

10.1 Datenverarbeitende Stellen oder die in ihrem Auftrag tätigen Stellen haben technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BbgDSG und anderer Vorschriften über den Datenschutz zu gewährleisten. Die Verpflichtung zur Durchführung von Datensicherungsmaßnahmen gilt für die automatisierte und nicht-automatisierte Datenverarbeitung (also auch für manuelle Karteien und Akten).

10.2 Es gilt dabei der Grundsatz der Verhältnismäßigkeit. Der Aufwand für die Maßnahmen hat in einem angemessenen Verhältnis zum angestrebten Schutzzweck zu stehen, wobei sich die Maßnahmen nach dem jeweiligen Stand der Technik richten. Die Verhältnismäßigkeit von Sicherungsmaßnahmen sollte aus einer Risikoanalyse abgeleitet werden. Dies erfordert auch eine kontinuierliche Anpassung der ergriffenen Maßnahmen an die aktuellen Risiken und den jeweiligen Stand der Technik. Alle auf ein Verfahren bezogenen Maßnahmen sind in ihrer Gesamtheit zu betrachten. Die Summe der zu treffenden Maßnahmen muss die notwendige Sicherheit gewährleisten. Im Rahmen der Verhältnismäßigkeitsprüfung ist auch die Sensibilität der zu schützenden Daten zu berücksichtigen. Je höher die Sensibilität, um so höher muss die Wertigkeit einer Datensicherungsmaßnahme sein.

10.3 In der öffentlichen Verwaltung ist es unerlässlich, personenbezogene Daten vorzuhalten. Der Einsatz moderner Informationstechnik ist für eine sichere und schnelle Verarbeitung der Daten notwendig. In den Behörden werden vielfach Rechnernetze verwendet, darüber hinaus sind in vielen Einrichtungen Internetanschlüsse vorhanden. In diesen Fällen müssen entsprechende Maßnahmengetroffen werden, die eine Abgrenzung der personenbezogenen Daten der unterschiedlichen Bereiche untereinander absichern sowie keinen Zugriff auf die Daten durch Dritte zum Beispiel über das Internet zulassen.

10.4 Für automatisierte Verfahren führt § 10 Abs. 2 BbgDSG acht typische Bereiche auf, in denen Maßnahmen zur Datensicherung durchzusetzen sind. Informationen über technisch-organisatorische Maßnahmen können Unterlagen entnommen werden, die unter anderem vom Bundesamt für Sicherheit in der Informationstechnik, vom Ministerium des Innern oder vom LDA herausgegeben werden. In der Anlage 2 sind einige Beispiele dazu aufgeführt.

10.5 In Behörden, die besonders sensible Daten verarbeiten (Beihilfestellen, Personalstellen, ärztlicher Dienst, Jugendhilfestellen und andere) sind eingehende Schreiben ungeöffnet an die Adressaten weiterzuleiten. Sensible Daten sind auch innerhalb einer Behörde im verschlossenen Umschlag zu transportieren. In diesem Zusammenhang wird auf die Ausführungen zum § 4a BbgDSG hingewiesen.

10.6 Für nicht-automatisierte Dateien (Karteien) und für Akten verlangt § 10 Abs. 3 BbgDSG geeignete Sicherheitsmaßnahmen. Möglichkeiten, einen unbefugten Zugriff auf nicht-automatisierte Dateien und Akten bei der Bearbeitung, dem Transport und der Aufbewahrung zu verhindern, sind beispielsweise :

  1. Abschließen der Tür beim Verlassen von Büroräumen,
  2. Einschließen von Akten, Verschließen von Karteikästen bei Abwesenheit,
  3. Festlegen von Personen oder Personengruppen, die berechtigt sind, auf Akten und Karteien zuzugreifen,
  4. Versiegeln von Akten, insbesondere Personalakten beim Versand,
  5. Postversand im verschlossenen Umschlag oder
  6. Regelungen für die behördeneigene Poststelle.

10.7 Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorgangs werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung beispielsweise mittels eines Reißwolfs zu gewährleisten.

11. Zu § 11 Verarbeitung personenbezogener Daten im Auftrag

11.1 Unter Datenverarbeitung im Auftrag versteht man die Durchführung gewisser Hilfs- bzw. Unterstützungsarbeiten bei der Verarbeitung personenbezogener Daten durch eine andere Stelle in vollständiger Abhängigkeit und entsprechend den Weisungen des Auftraggebers. Die Weitergabe von Daten an den Auftragnehmer stellt keine Datenübermittlung dar, sofern die auftragnehmende Stelle ihren Sitz im Geltungsbereich der EG-Datenschutzrichtlinie hat.

11.2 Wird die Aufgabe der anderen Stelle zur selbständigen Erledigung übertragen, spricht man von einer Funktionsübertragung, die nicht unter § 11 BbgDSG fällt. Die Weitergabe der Daten an das andere Unternehmen (private Stellen) oder die andere öffentliche Stelle zur Durchführung der entsprechenden Teilaufgabe ist eine Datenübermittlung, für die die Voraussetzungen des § 16 BbgDSG beziehungsweise § 14 BbgDSG vorliegen müssen.

11.3 Bei einer Verarbeitung personenbezogener Daten im Auftrag obliegt die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften dem Auftraggeber.

11.4 Mit der Datenverarbeitung können öffentliche und nicht-öffentliche Stellen innerhalb und außerhalb des Landes Brandenburg beauftragt werden.

  1. Auftragnehmer ist eine öffentliche Stelle- mit Sitz in Brandenburgkeine besonderen Anforderungen- mit Sitz außerhalb BrandenburgsIn diesem Fall ist vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen des BbgDSG befolgt. Die für den Ort der Auftragsdurchführung zuständige Kontrollbehörde ist zu unterrichten.
  2. Auftragnehmer ist eine nicht-öffentliche Stelle Der Gesetzgeber hat erhöhte Anforderungen an die Rahmenbedingungen für die Datenverarbeitung im Auftrag gestellt, wenn der Auftragnehmer keine öffentliche, sondern eine nicht-öffentliche Stelle ist. In diesen Fällen ist eine Zustimmung erforderlich, die bei öffentlichen Stellen des Landes die zuständige oberste Landesbehörde und bei Gemeinden und Gemeindeverbänden der Minister des Innern erteilt. Neu wurde die Regelung aufgenommen, dass diese Zustimmung vor Abschluss des Vertrages einzuholen ist.- nicht-öffentliche Stelle mit Sitz in BrandenburgIn diesem Fall ist vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen des BbgDSG befolgt und sich der Kontrolle des Landesbeauftragten für den Datenschutz und das Recht auf Akteneinsicht unterwirft.- nicht-öffentliche Stelle mit Sitz außerhalb BrandenburgsIn diesem Fall ist vertraglich sicherzustellen, dass der Auftragnehmer die Bestimmungen des BbgDSG befolgt und sich der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft, in dessen Bundesland die Verarbeitung erfolgt. Voraussetzung hierfür ist, dass in dem entsprechenden Landesdatenschutzgesetz eine Regelung enthalten ist, die den LDA dazu befugt, die nicht-öffentlichen Stellen, die sich seiner Kontrolle unterworfen haben, zu kontrollieren. Im BbgDSG findet sich eine solche Regelung in § 23 Satz 2 2. Alternative.

Der Auftraggeber hat den LDA Brandenburg und das Ministerium des Innern des Landes Brandenburg als Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich, sowie die für den Ort der Auftragsdurchführung zuständige Kontrollbehörde über die Beauftragung zu unterrichten.

11.5 Besondere Maßnahmen bei der Auswahl beziehungsweise Beauftragung sind zu treffen, wenn die Daten einer gesetzlichen Geheimhaltungspflicht oder einem besonderen Berufs- oder Amtsgeheimnis unterliegen. Nicht-öffentliche Stellen sollen nur in solchen Fällen beauftragt werden, wenn keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Ausnahmen davon sind, wenn sich der Auftrag nur auf:

  1. die Erfassung, das Aufnehmen, das Aufbewahren oder das Vernichten von Daten,
  2. das Übertragen von Daten von einem auf ein anderes Speichermedium bezieht oder
  3. die Verarbeitung von Daten, die aus der Sicht des Auftragnehmers nicht oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Außerdem müssen technische und organisatorische Maßnahmen ergriffen werden, dass der Auftragnehmer nur die für die Aufgabenerfüllung notwendigen Daten zur Kenntnis nehmen kann.

11.6 Sind im Vertrag Unterauftragsverhältnisse vorgesehen, so muss der Auftraggeber dafür sorgen, dass der Auftragnehmer mit dem Unterauftragnehmer Verträge abschließt, die die Einhaltung der gegenüber dem Auftraggeber bestehenden Pflichten gewährleisten, und damit einen gleichwertigen Schutz der personenbezogenen Daten sicherstellt.

11.7 Vor einer Auftragserteilung an eine nicht-öffentliche Stelle ist zu prüfen, ob bereichsspezifische Regelungen zu beachten sind (zum Beispiel § 80 SGB X, § 6 KHDsV, § 35 BbgMeldeG).

12. Zu § 11a Wartung

12.1 Datenverarbeitungssysteme müssen regelmäßig gewartet und gepflegt werden. Dies wird in der Regel von den Firmen durchgeführt, bei denen die Software erworben wurde. Bei der Wartung von Datenverarbeitungssystemen, die personenbezogene Daten verarbeiten, ist zu beachten, dass dabei möglichst keine personenbezogene Daten vom Wartungspersonal eingesehen werden können. Wo dies unvermeidbar ist, sind Mitarbeiter von Wartungsfirmen vor der erstmaligen Ausführung von Arbeiten in besonderer Weise zu Verschwiegenheit zu verpflichten (§ 11 a Abs. 2 Satz 3 BbgDSG).

12.2 Dem angemessenen Schutzzweck personenbezogener Daten, die bei öffentlichen Stellen verarbeitet werden, dienen bei notwendigen Wartungsarbeiten die in den Anlagen zu § 11a BbgDSG festgeschriebenen Anforderungen und vertraglichen Mindestinhalte.

13. Zu § 11b Grundsätze der System- und Verfahrensgestaltung

13.1 Das allgemein anerkannte Prinzip der Datenvermeidung wird im Absatz 1 konkretisiert, indem datenverarbeitende Stellen anonymisiertes oder pseudonymisiertes Handeln ermöglichen können. Das ist jedoch nur unter dem Vorbehalt der Einrichtung der technischen Möglichkeiten sowie der Zumutbarkeit der Installation derartiger Verfahren möglich. Dabei spielen vor allem der Kostenfaktor und die Leistungsfähigkeit eine große Rolle. Weiterhin muss das Verhältnismäßigkeitsprinzip beachtet werden.

13.2 Bei der Gestaltung und Auswahl derartiger Verfahren sollte angestrebt werden, dass möglichst keine oder nur sehr wenige personenbezogene Daten verarbeitet werden. Die Verfahren sind daraufhin zu prüfen. Günstig ist es, solche Verfahren zu verwenden, zu denen bereits eine positive Bewertung zur Vereinbarkeit mit den Regeln des Datenschutzrechts existieren.

14. Zu § 11c Datenschutzaudit

14.1 Das Datenschutzaudit verfolgt das Ziel, datenschutzgerechte Produkte auf dem Markt sowie deren Anschaffung und Nutzung durch öffentliche Stellen zu fördern, indem deren Datenschutzkonzept geprüft und bewertet wird. Das Ergebnis kann veröffentlicht werden.

14.2 Aufgrund der Veröffentlichung können öffentliche Stellen die Ergebnisse der Überprüfungen nutzen und bereits positiv bewertete Datenschutzkonzepte und -programme beschaffen und verwenden.

15. Zu § 12 Erhebung

15.1 Voraussetzung jeder Erhebung ist, dass sich die Beschaffung personenbezogener Daten aus der jeweiligen Aufgabenzuweisung und für den damit verbundenen Zweck als erforderlich erweist.

15.2 Nicht unter den Erhebungsbegriff fallen personenbezogene Daten, die vom Betroffenen selbst oder von Dritten ohne Aufforderung der öffentlichen Stelle geliefert werden, sowie Erkenntnisse, die der Verwaltungsbehörde durch Zufall bekannt werden. In diesen Fällen ist eine eingeschränkte Verwertbarkeit im Rahmen der rechtmäßigen Aufgabenerfüllung zulässig (vergleiche § 13 Abs. 1 Satz 1 in Verbindung mit Satz 3 BbgDSG).

15.3 Grundsätzlich sind personenbezogene Daten beim Betroffenen und mit dessen Kenntnis zu erheben.

15.4 Ohne seine Kenntnis dürfen Daten beim Betroffenen nur unter sehr engen Voraussetzungen erhoben werden. Entweder muss eine Rechtsvorschrift dies vorsehen oder es ist zum Schutz von Leben und Gesundheit beziehungsweise zur Abwehr erheblicher Gefahren der natürlichen Lebensgrundlagen erforderlich. Bei Dritten dürfen personenbezogene Daten ohne Kenntnis des Betroffenen nur unter den Voraussetzungen erhoben werden, nach denen eine nachträgliche Zweckänderung bereits erhobener Daten zulässig wäre (§ 13 Abs. 2 Satz 1 Buchst. a und c bis f BbgDSG). Die Erhebung muss in jedem Falle verhältnismäßig sein. Das heißt, die Form der Erhebung muss geeignet sein und sie darf den Betroffenen nicht übermäßig in seinem Recht auf informationelle Selbstbestimmung einschränken. Von mehreren Möglichkeiten der Datenerhebung muss immer die Möglichkeit ausgewählt werden, die den Betroffenen in seinen Rechten am geringsten einschränkt und dennoch den Zweck erfüllt.

15.5 Die Hinweis- und Auskunftspflichten der Behörden gemäß Absatz 3 können gegebenenfalls zusammen mit den Hinweisen nach § 18 Abs. 2 BbgDSG zum Beispiel durch das Aushändigen von Merkblättern oder entsprechende Hinweise auf Antragsformularen und Bescheiden erfüllt werden.

16. Zu § 13 Zweckbindung bei Speicherung, Veränderung und Nutzung

16.1 Grundsätzlich dürfen personenbezogene Daten im Rahmen der rechtmäßigen Aufgaben-erfüllung nur für die Zwecke weiterverarbeitet werden, für die sie erhoben oder erstmals gespeichert wurden. Ein Zweck kann beispielsweise auch die Übermittlung der Daten an Dritte sein.

16.2 § 13 Absatz 2 enthält eine abschließende Aufzählung der Fälle, in denen vom Zweckbindungsgebot nach Absatz 1 abgewichen werden darf. Bei jeder Fallgruppe ist das Gebot der Verhältnismäßigkeit zu beachten.

  1. Unter den Begriff der Rechtsvorschrift nach § 13 Absatz 2 Buchstabe a) fallen Gesetze, Rechtsverordnungen und Satzungen.
  2. Sofern die Daten entsprechend § 13 Absatz 2 Buchstabe c) überprüft werden sollen, müssen nachweisbare Anhaltspunkte für deren Unrichtigkeit vorliegen. Ein bloßer Verdacht genügt nicht.
  3. Erhebliche Nachteile für das Gemeinwohl i. S. v. § 13 Absatz 2 Buchstabe d) sind zum Beispiel gegeben, wenn sich die Voraussetzungen für eine Subvention nachträglich ändern oder gar entfallen. Das Gemeinwohl umfasst auch den Erhalt der natürlichen Lebensgrundlagen und damit den Bereich des Umweltschutzes.
  4. Eine Zweckänderung gemäß § 13 Absatz 2 Buchstabe e) ist nur zum Nutzen des Betroffenen zulässig und auch nur dann, wenn keine Zweifel daran bestehen, dass schutzwürdige Interessen nicht beeinträchtigt werden könnten.

17. Zu § 14 Übermittlung innerhalb des öffentlichen Bereichs

17.1 Die Übermittlung an öffentliche Stellen ist zulässig, wenn sie zur rechtmäßigen Aufgabenerfüllung von Übermittler oder Empfänger erforderlich ist und wenn die Daten für Zwecke übermittelt werden, für die sie erhoben oder erstmals gespeichert wurden (§ 13 Abs. 1 BbgDSG) oder wenn eine Zweckänderung nach den Vorschriften des § 13 Abs. 2 S.1 BbgDSG zulässig ist. Auf die Ausführungen unter Ziffer 16 wird insbesondere wegen des auch hier anzuwendenden Verhältnismäßigkeitsgrundsatzes verwiesen.

17.2 Als Datenempfänger kommen alle öffentlichen Stellen eines Landes oder des Bundes in Betracht.

17.3 Das Zweckbindungsgebot gilt auch für den Datenempfänger. Das heißt, er darf die Daten nur zu den Zwecken weiterverarbeiten, für die sie ihm übermittelt wurden. Eine Zweckänderung ist nur unter den Voraussetzungen des § 13 Abs. 2 BbgDSG zulässig.

17.4 Die Vorschriften gelten uneingeschränkt auch für die Weitergabe von personenbezogenen Daten innerhalb einer Behörde, zum Beispiel wenn Daten zwischen zwei Ämtern einer Behörde weitergegeben werden sollen oder aber für die Datenweitergabe von der Kommunalverwaltung zur Gemeindevertretung. Für einzelne Bereiche gibt es Spezialvorschriften, die den Regelungen des BbgDSG vorgehen, beispielsweise im Bereich des Meldewesens (§ 28 Abs. 4 BbgMeldeG).

17.5 Bei der Datenübermittlung ist auch § 4 Abs. 5 BbgDSG zu beachten. Das heißt, es ist darauf zu achten, dass eine Trennung der Daten nach den jeweiligen Zwecken und nach den unterschiedlichen Betroffenen möglich ist. Sind allerdings personenbezogene Daten in Akten derart verbunden, dass eine Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist, so ist auch die Übermittlung der Daten, die nicht für die jeweilige Aufgabe erforderlich sind, zulässig. Allerdings dürfen schutzwürdige Interessen des Betroffenen nicht entgegenstehen. In diesen Fällen muss eine Abwägung zwischen den Interessen der Verwaltung und den Rechten des Betroffenen stattfinden. Bei einer größeren Beeinträchtigung der Rechte ist es gegebenenfalls notwendig, Aktenauszüge zu erstellen, die nur Daten des Betroffenen und diese auch nur für den jeweiligen Zweck enthalten. Sofern Daten übermittelt werden, die nicht für die jeweilige Aufgabenerfüllung erforderlich sind, dürfen diese Daten vom Empfänger nicht verarbeitet oder sonst genutzt werden (Verwertungsverbot).

17.6 Die Vorlage von Verwaltungsvorgängen und die Erteilung von Auskünften in verwaltungsgerichtlichen Verfahren werden durch § 14 BbgDSG nicht berührt. Sie richten sich nach § 99 VwGO.

18. Zu § 15 Übermittlung an öffentlich rechtliche Religionsgemeinschaften

18.1 Das Vorliegen eines kirchlichen Datenschutzrechts kann als Erfüllung der Voraussetzung des § 15 letzter Halbsatz angesehen werden. Die Evangelische Kirche Deutschlands und die Katholische Kirche Deutschlands besitzen ein kirchliches Datenschutzrecht. Bei anderen Religionsgemeinschaften muss dies im Einzelfall geprüft werden. Für den Bereich des Meldewesens enthält § 30 BbgMeldeG eine Spezialvorschrift.

19. Zu § 16 Übermittlung an Personen und Stellen außerhalb des öffentlichen Bereichs

19.1 Die Stellen nach § 2 Abs. 2 Satz 1 BbgDSG, also die Eigenbetriebe, öffentlichen Stellen, die nach der Eigenbetriebsverordnung geführt werden, und die der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen, werden, soweit sie die Daten für die Verfolgung wirtschaftlicher Zwecke benötigen, den privaten Stellen gleichgestellt.

19.2 Sofern die Datenübermittlung unter den Voraussetzungen des § 16 Absatz 1 Buchstabe a und b erfolgt, wird auf die Ausführungen unter Ziffer 16 verwiesen.

19.3 Ein rechtliches Interesse im Sinne von Buchstabe c besteht zum Beispiel dann, wenn die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden. Das Interesse muss nicht bewiesen, sondern nur glaubhaft gemacht werden. Das heißt, die Tatsachen, die ein rechtliches Interesse begründen, müssen plausibel dargelegt werden. Sie müssen jedoch nicht bewiesen werden. Weiterhin muss eine Interessenabwägung zwischen dem rechtlichen Interesse am Erhalt der Daten und dem Geheimhaltungsinteresse des Betroffenen stattfinden. Dabei müssen der Behörde gegebenenfalls Anhaltspunkte für ein Geheimhaltungsinteresse vorliegen. Nachforschungen müssen diesbezüglich nicht angestellt werden.

19.4 Ein berechtigtes Interesse im Sinne von Buchstabe d kann auch ein wirtschaftliches Interesse sein. Dieses Interesse ist geringer einzustufen als das rechtliche Interesse im Sinne von Buchstabe c. Die Übermittlung ist zulässig, wenn ihr der Betroffene nach einer entsprechenden Information gemäß Absatz 2 nicht widersprochen hat. Die Information bezüglich einer beabsichtigten Übermittlung kann bereits bei der Erhebung erfolgen (zum Beispiel mit dem bei der Erhebung verwendeten Vordruck). Auch der Widerspruch kann bereits bei der Erhebung geltend gemacht werden. Bei einer Vielzahl von beabsichtigten Übermittlungen können die Betroffenen auch allgemein zum Beispiel über die Presse oder durch Postwurfsendungen informiert werden. Die Art der Information sollte von den schutzwürdigen Interessen der Betroffenen abhängig gemacht werden.

20. Zu § 17 Übermittlung an ausländische und internationale Stellen

20.1 Für den Datentransfer innerhalb der Europäischen Union (EU) gelten die gleichen Vorschriften wie für den Datenverkehr im Inland. Das heißt, die Zulässigkeit richtet sich nach § 4 BbgDSG.

20.2 Eine Datenübermittlung an Stellen außerhalb der EU ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau vorliegt. Um das Datenschutzniveau zu beurteilen, sind insbesondere die rechtlichen Rahmenbedingungen beim Datenempfänger für die beabsichtigte Übermittlung heranzuziehen. Im Übrigen wird das Datenschutzniveau von Drittländern durch die Datenschutzgruppe nach Artikel 29 der EU-Datenschutzrichtlinie beurteilt und eine Stellungnahme hierzu abgegeben. Derzeit herrscht in folgenden Ländern ein ange-messenes Datenschutzniveau:

  1. Ungarn
  2. Schweiz und
  3. Kanada (gilt für das „Personal Information Protection and Electronic Documents Act“ und damit nur für die Stellen, die diesem Gesetz unterliegen).

Mit dem 1. Juli 2000 ist die EU-Datenschutzrichtlinie von den Staaten des Europäischen Wirtschaftsraumes (EWR-Staaten, dies sind die EU-Staaten sowie Norwegen, Island und Liechtenstein) übernommen worden. Danach gilt das Gebot des freien Datenverkehrs zwischen EU-Staaten und den übrigen EWR-Staaten. Somit ist davon auszugehen, dass in allen EWR-Staaten ein ausreichendes Datenschutzniveau besteht. Informationen darüber, in welchen weiteren Ländern die Datenschutzgruppe eine Stellungnahme bezüglich des Datenschutzniveaus abgegeben hat, können beim Ministerium des Innern des Landes Brandenburg eingeholt werden.

21. Zu § 17a Ausnahmsweise Übermittlung an Stellen außerhalb der europäischen Union

21.1 Eine Datenübermittlung nach § 17 Absatz 1 an Stellen ohne angemessenes Datenschutzniveau ist nur unter den Voraussetzungen des § 17 a Absatzes 1 zulässig.

21.2 Da durch eine derartige Datenübermittlung in sehr hohem Maße in die Rechte des Betroffenen eingegriffen wird, ist sie nur zur Wahrung hochrangiger Rechtsgüter zulässig. Dazu gehört die Wahrung wichtiger öffentlicher Interessen im Sinne von Buchstabe b. Vergleiche hierzu auch § 16 Absatz 1 Buchstabe d, der als Zulässigkeitsvoraussetzung lediglich das Vorliegen eines öffentlichen Interesses, und nicht wie hier eines wichtigen öffentlichen Interesses, vorschreibt. Der Begriff „lebenswichtige Interessen“ im Sinne von Buchstabe c) stellt auf Rechtsgüter wie Leib, Leben und Gesundheit ab.

21.3 Eine Übermittlung kann auch dann zugelassen werden, wenn der Datenempfänger ausreichende Garantien zum Schutze der Persönlichkeitsrechte vorweist. Dies kann zum Beispiel durch Verträge zwischen Übermittler und Empfänger geschehen. Die Zulassung erfolgt durch die datenverarbeitende Stelle selbst und bedarf keiner weiteren Genehmigung.

21.4 Sofern eine Übermittlung an Empfänger außerhalb der EU, die kein angemessenes Datenschutzniveau aufweisen, zugelassen wird, ist dies dem Innenministerium mitzuteilen. Das Innenministerium unterrichtet die EU-Kommission über das Bundesinnenministerium über derartige Genehmigungen.

22. Zu § 18 Auskunft und Benachrichtigung sowie Einsicht in Akten

22.1 Der Auskunfts- und Benachrichtigungsanspruch gehört neben den Ansprüchen auf Berichtigung, Löschung und Sperrung (§ 19 BbgDSG) zu den grundlegenden Rechten des Betroffenen. Er besteht unabhängig von dem Recht auf Akteneinsicht nach dem Akteneinsichts- und Informationszugangsgesetz (AIG). Der Auskunftsanspruch nach § 18 BbgDSG kommt auch nur dann zum Zuge, wenn nicht in anderen, spezielleren Gesetzen ein solcher Anspruch des Betroffenen auf Auskunft über die zu seiner Person gespeicherten Daten besteht (z.B. BbgPolG, BbgVerfSchG).

22.2 Auf der Grundlage des § 18 BbgDSG kann ein Bürger ohne Nennung eines besonderen Grundes gegenüber jeder öffentlichen Stelle seinen Anspruch auf Auskunft über die zu seiner Person gespeicherten und anderweitig verarbeiteten Daten geltend machen. Der Anspruch richtet sich gegen die datenverarbeitende Stelle und umfasst grundsätzlich sowohl alle zur Person des Betroffenen gespeicherten Daten, auch solche in Akten, als auch zu welchem Zweck und auf welcher Rechtsgrundlage seine Daten in anderer Weise verarbeitet, zum Beispiel verwendet oder übermittelt werden. Er bezieht sich darüber hinaus auf die Herkunft der Daten, den Zweck der Übermittlung und die Empfänger von regelmäßigen Übermittlungen. In der Auskunft müssen auch die Teilnehmer eines automatisierten Abrufverfahrens genannt werden, auch wenn bisher keine Übermittlung stattgefunden hat. Diese Angaben sind auch dann zu beauskunften, wenn sie nicht zur Person des Betroffenen gespeichert sind, aber mit vertretbarem Aufwand festgestellt werden können. Soweit die Daten in einem automatisierten Verfahren gespeichert sind, umfasst der Auskunftsanspruch auch die Empfänger von Übermittlungen innerhalb der letzten zwei Jahre. Um diesen Anspruch erfüllen zu können, müssen entsprechende Protokollierungen im automatisierten Verfahren vorgesehen werden. Datenübermittlungen aus Akten oder bei nicht-automatisierter Speicherung sind ebenfalls in geeigneter Weise zu dokumentieren, zum Beispiel durch Anfertigung von Vermerken auf Karteikarten, vorhandenen Schriftwechsel und anderes.

22.3 Sofern personenbezogene Daten automatisiert gespeichert werden, ist der hiervon Betroffene schriftlich zu benachrichtigen. Diese Benachrichtigung kann jedoch auch bereits zusammen mit der Datenerhebung durchgeführt werden. Sind personenbezogene Daten bereits automatisiert gespeichert, findet gemäß der Übergangsvorschrift des § 40 Abs. 3 BbgDSG § 18 Abs. 2 BbgDSG erst dann Anwendung, wenn der entsprechende Datensatz verändert oder ergänzt wird.

22.4 Die in Artikel 11 der EU-Datenschutzrichtlinie zugelassenen Ausnahmen von der Benachrichtigungspflicht sind in Absatz 2a vollständig übernommen worden. Eine Benachrichtigung stellt danach nicht mehr die Regel sondern die Ausnahme dar, was eine erhebliche Entlastung der Verwaltung darstellt. Eine Benachrichtigung ist nur noch dann erforderlich, wenn kein bereichsspezifisches Gesetz besteht, die Daten also allein auf Grund des allgemeinen Datenschutzgesetzes verarbeitet und nicht beim Betroffenen erhoben werden, er keine Kenntnis von der Verarbeitung hat und die Benachrichtigung keinen unverhältnismäßigen Aufwand erfordert oder nicht möglich ist.

22.5 Absatz 3 enthält weitere Ausnahmen von der in den Absätzen 1 und 2 geregelten Auskunfts- und Benachrichtigungspflicht. Danach besteht diese Verpflichtung nicht, wenn personenbezogene Daten auf Grund gesetzlicher Aufbewahrungspflichten gespeichert sind und deshalb nicht gelöscht werden dürfen. Das Gleiche trifft zu, wenn die Daten ausschließlich zu Zwecken der Datensicherung oder Datenschutzkontrolle gespeichert wurden (zum Beispiel Datensicherungsbänder zur möglichen Rekonstruktion von aktuellen Datenbeständen).

22.6 Die datenverarbeitende Stelle bestimmt das Verfahren und insbesondere die Form der Auskunftserteilung nach pflichtgemäßem Ermessen. Sind die Daten in Akten gespeichert, kann dem Betroffenen auf Verlangen auch Einsicht gewährt werden. Diese Akteneinsicht ist jedoch nur auf die Teile der Akte beschränkt, die personenbezogene Daten des Betroffenen enthält. Eine darüber hinaus gehende Akteneinsicht wäre unter Umständen auf der Grundlage des Verwaltungsverfahrensgesetzes möglich. Die Gewährung der Auskunft aus Akten oder Akteneinsicht wird unter dem Vorbehalt gewährt, dass der Betroffene Angaben macht, die das Auffinden und Auswerten der Daten mit einem angemessenen Aufwand ermöglicht. Für die Auskunftserteilung und Akteneinsicht werden keine Gebühren erhoben. Die Erstattung eventueller Auslagen, wie zum Beispiel für die Anfertigung von Kopien, kann verlangt werden. Es ist zulässig, sich bei der Akteneinsicht Notizen zu machen oder Kopien anfertigen zu lassen. Bei der Auskunft aus automatisierter Verarbeitung kann ein Ausdruck des entsprechenden Datensatzes erfolgen.

22.7 Die Auskunfts- und/oder Benachrichtigungspflicht entfällt, wenn personenbezogene Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift geheimgehalten werden müssen oder eine Einzelabwägung ergibt, dass wegen der überwiegenden berechtigten Interessen eines Dritten (§ 3 Abs. 4 Nr. 3 BbgDSG) die Interessen des Betroffenen an der Auskunftserteilung zurücktreten müssen.

22.8 Die datenverarbeitende Stelle hat jede Ablehnung einer Auskunftserteilung zu begründen. Nur in begründeten Fällen ist dies nicht erforderlich. Auf die diesbezügliche Regelung des Absatzes 6 wird hingewiesen.

22.9 Anträgen auf Auskunftserteilung und Akteneinsicht im Hinblick auf die Herkunft der Daten bei Behörden des Verfassungsschutzes, der Staatsanwaltschaft, der Polizei, unter bestimmten Voraussetzungen der Landesfinanzbehörden sowie von den in § 19 Abs. 3 BDSG genannten Bundesbehörden darf nur mit deren Zustimmung statt gegeben werden. Dies gilt ebenso für die Übermittlung personenbezogener Daten an diese Behörden. Für Landesbehörden gelten bei der Versagung der Zustimmung die Absätze 5 und 6 entsprechend.

22.10 Wird dem Betroffenen keine Auskunft erteilt, so richtet sich auf sein Verlangen das weitere Verfahren nach Absatz 8. Der LDA kann dann prüfen, ob die Auskunftsverweigerung gesetzlich begründet ist. Nur in besonders begründeten Einzelfällen darf auch dem LDA keine Auskunft erteilt werden. Diese Entscheidung trifft jedoch die zuständige oberste Landesbehörde.

23. Zu § 31 Verarbeitung personenbezogener Daten durch den Landtag

23.1 Die Vorschrift in Absatz 1 dient als Befugnisnorm der ausdrücklichen Klarstellung der Rechtslage für die Landesregierung zur Übermittlung personenbezogener Daten an den Landtag im Rahmen seiner parlamentarischen Aufgaben. Zu den parlamentarischen Aufgaben des Landtages auch im datenschutzrechtlichen Sinne gehören unter anderem die Bearbeitung von Petitionen, die Aufbewahrung und Archivierung von parlamentarischen Unterlagen sowie die Einrichtung und Nutzung eines Dokumentations- und Informationssystems. Auch die Regierungskontrolle in Form von Kleinen und Großen sowie Mündlichen Anfragen und die Arbeit von Untersuchungsausschüssen zählen zu diesem Aufgabenkreis.

23.2 Oft ist die Landesregierung bei der Durchführung und Erfüllung dieser Aufgaben durch die Übermittlung von personenbezogenen Daten einbezogen. In diesen Fällen stellt sich regelmäßig die Frage nach der Zulässigkeit dieser Übermittlungen, weil sich hier das verfassungsmäßige Recht auf informationelle Selbstbestimmung (Artikel 11 Landesverfassung) und das verfassungsmäßige Recht der Abgeordneten auf Information (Artikel 56 Landes-verfassung) überschneiden. Beide Rechte sind einander so zuzuordnen, dass sie soweit wie möglich ihre Wirkung entfalten können.

23.3 Die Landesregierung hat in jedem Fall zu prüfen, ob der Übermittlung der Daten an den Landtag überwiegende schutzwürdige Interessen des Betroffenen entgegen stehen. Wenn dies bejaht wird, darf eine Übermittlung insoweit an den Landtag nicht erfolgen. Das Vorliegen solcher überwiegenden schutzwürdigen Interessen ist nicht pauschal zu regeln sondern bedarf einer genauen Prüfung jedes Einzelfalles. Die Rechtsprechung geht davon aus, dass sich die Schutzwürdigkeit individueller Belange ohne Berücksichtigung der beabsichtigten Verwendung der jeweiligen personenbezogenen Daten nicht konkretisieren lässt. In jedem Falle wird jedoch bei Daten der in § 4a BbgDSG genannten Kategorien eine besondere Schutzbedürftigkeit vorauszusetzen sein, die im Falle einer beabsichtigten Übermittlung eine Einzelfallprüfung erforderlich machen. Der Erlass einer Datenschutzordnung durch den Landtag gemäß § 2 Abs. 1a Satz 2 BbgDSG könnte jedoch sicherstellen, dass schutzwürdige Belange der Betroffenen nicht beeinträchtigt würden und eine Übermittlung ihrer personenbezogenen Daten zulässig wäre.

23.4 Unbeschadet des Erlasses einer solchen Datenschutzordnung des Landtages soll außerdem durch Absatz 2 gleichzeitig geregelt werden, in welchem Umfang die von der Landesregierung übermittelten personenbezogenen Daten durch den Landtag veröffentlicht werden dürfen.

24. Zu § 33c Videoüberwachung und -aufzeichnung

24.1 In Absatz 1 erfolgt eine Differenzierung zwischen reiner Videobeobachtung und der Videoaufzeichnung. Bei der Videobeobachtung wird ein durch eine Kamera aufgenommenes Bild nur auf einen Bildschirm übertragen, ohne dass eine Aufzeichnung des bewegten Bildes erfolgt. Bei der Videoaufzeichnung wird das gewonnene Bildmaterial aufgezeichnet, das heißt gespeichert.

24.2 Beide Verfahren sind zulässig, zur Überwachung öffentlich zugänglicher Räume soweit dies zur Erfüllung der Aufgaben oder der Wahrnehmung des Hausrechtes der öffentlichen Stelle erforderlich ist und überwiegende schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden. Der Begriff des „öffentlich zugänglichen Raumes“ ist weder in Rechtsprechung oder Literatur definiert. Das entscheidende Kriterium dabei ist wohl nicht die Existenz eines Raumes im engeren Sinne sondern die Zugänglichkeit des betreffenden Bereiches für die Öffentlichkeit bzw. Allgemeinheit in enger Verknüpfung mit der jeweiligen sachlichen und/oder örtlichen Zuständigkeit einer öffentlichen Stelle für diesen Bereich. Dazu können beispielsweise der Eingangsbereich vor dem Gebäude einer Behörde, Räume innerhalb eines Dienstgebäudes aber auch der Parkplatz einer öffentlichen Stelle gehören. Hiervon abzugrenzen ist das öffentliche Straßenland, wozu öffentlich zugängliche Gehwege, Straßen und Plätze gehören. In diesem Bereich ist nicht § 33 c BbgDSG die Rechtsgrundlage (siehe Nr. 24.5). Soll bei Durchführung einer Videobeobachtung die Speicherung der gewonnenen Aufnahmen über eine bestimmte (zu regelnde) Dauer erfolgen, so ist dies den Betroffenen durch geeignete Maßnahmen kenntlich zu machen. Die Tatsache der Speicherung kann zum Beispiel durch ein deutliches Hinweisschild mit konkreten Angaben unter anderem über die speichernde Stelle realisiert werden. Die Aufzeichnung ist zu löschen, wenn der Film für den Zweck der Speicherung nicht mehr benötigt wird (siehe § 19 BbgDSG).

24.3 Nach Absatz 2 soll eine Veränderung, Übermittlung oder sonstige Nutzung der durch Videoaufnahmen gewonnenen Daten nur zulässig sein, wenn der Betroffene hierauf hingewiesen wurde. Die Benachrichtigung hat spätestens dann zu erfolgen, wenn der mit der Veränderung, Übermittlung, oder sonstigen Nutzung verfolgte Zweck nicht mehr gefährdet ist. Hierunter fallen zum Beispiel Maßnahmen der Strafverfolgung.

24.4 Die Videoüberwachung, gleich welcher Variante, sollte in jedem Falle mit klaren und eindeutigen technischen, organisatorischen und personellen Maßnahmen verbunden werden. So sollte zum Beispiel ein schriftliches Sicherheits- beziehungsweise Einsatzkonzept erarbeitet sowie gegebenenfalls eine Dienstvereinbarung abgeschlossen werden. Darin wäre der Einsatz der Überwachungsanlage detailliert zu beschreiben und zu regeln. Das betrifft unter anderem die Festlegung des zulässigen Gebrauchs, die Hinweise an die Betroffenen, Regelungen zur Aufbewahrung und Vernichtung der Videobänder sowie die Festlegung des berechtigten Personenkreises für die damit verbundenen Teilaufgaben.

24.5 Spezielle Rechtsvorschriften über den Einsatz von Videokameras gehen gemäß Absatz 3 den Vorschriften der allgemeinen Regelungen des BbgDSG vor (zum Beispiel § 31 BbgPolG - Datenerhebung bei öffentlichen Veranstaltungen und Ansammlungen sowie auf öffentlich zugänglichen Straßen und Plätzen).

25. Zu § 38 Straftaten

25.1 Gemäß Absatz 1 ist ein Fehlverhalten nur dann mit Kriminalstrafe (Geld- oder Freiheitsstrafe) bewehrt, wenn der Täter in Bereicherungs- oder Schädigungsabsicht handelt. Auch der Versuch einer solchen Tat ist strafbar. Der § 38 BbgDSG ist eine sogenannte Blankettnorm, das heißt ob ein Handeln oder Dulden strafbewehrt ist oder nicht, ergibt sich erst aus der Anwendung anderer Normen. Die Strafbestimmungen des BbgDSG gelten auf Grund seiner Eigenschaft als Querschnittsgesetz sowohl bei der Verletzung der Bestimmungen des BbgDSG selbst als auch für die Ahndung rechtswidriger Handlungen gegen nicht gesondert strafbewehrte bereichsspezifische Datenschutzvorschriften. Dies ergibt sich unter anderem aus § 4 Abs. 1 BbgDSG, wonach die Datenverarbeitung unzulässig ist, wenn sie nicht durch das Datenschutzgesetz selbst oder eine andere Rechtsvorschrift erlaubt wird oder der Betroffene eingewilligt hat. Darüber hinaus ist auch in der Strafnorm selbst aus Gründen der Rechtsklarheit der Hinweis auf bereichsspezifisches Recht enthalten. Unter Strafe steht ausdrücklich die Verletzung der gesamten Bandbreite der Datenverarbeitung im Sinne des § 3 Abs. 2 BbgDSG.

25.2 Nach Absatz 2 finden die Strafnormen des Gesetzes jedoch nur dann Anwendung, wenn die Tat nicht nach anderen Vorschriften, insbesondere des Bundesrechts, strafbar ist. Eine Straftat nach § 38 BbgDSG wird von Amts wegen verfolgt, ohne dass es eines Antrages des Geschädigten oder des Dienstvorgesetzten bedarf (Offizialdelikt).

26. Zu § 39 Ordnungswidrigkeiten

26.1 Ohne Bereicherungs- oder Schädigungsabsicht begangene Verstöße stellen einen Ordnungswidrigkeitentatbestand dar. Dabei ist gemäß § 10 des Ordnungswidrigkeitengesetzes (OWiG) nur vorsätzliches Handeln zu ahnden. Vorsätzliches Verletzen von datenschutzrechtlichen Vorschriften mit Sanktionen zu belegen, liegt dabei auch grundsätzlich im öffentlichen Interesse. Die Verfolgung von Ordnungswidrigkeiten liegt jedoch im Ermessen der zuständigen Ordnungsbehörde (Opportunitätsprinzip).

26.2 Die Höhe einer möglichen Geldbuße wird in Absatz 2 geregelt. Im Übrigen wird vollinhaltlich auf die Ausführungen zu § 38 BbgDSG verwiesen.

26.3 Für die Durchführung von Ordnungswidrigkeitenverfahren nach § 39 BbgDSG ist entsprechend der Vorschrift des § 36 Abs. 1 Nr. 2a OWiG das Ministerium des Innern als die fachlich zuständige oberste Landesbehörde zuständig.

27. In-Kraft-Treten/Außer-Kraft-Treten

Die Verwaltungsvorschrift tritt am Tage der Bekanntmachung in Kraft und gilt sechs Jahre. Gleichzeitig tritt die Verwaltungsvorschrift vom 17. Dezember 1997 (ABl. S. 94) außer Kraft.

Anlagen

1
Anlage 1 zur Verwaltungsvorschrift zur Durchführung des Brandenburgischen Datenschutzgesetzes 51.6 KB
2
Anlage 2 zur Verwaltungsvorschrift zur Durchführung des Brandenburgischen Datenschutzgesetzes 50.8 KB