Niedersächsisches Datenschutzgesetz (NDSG)

Please download to get full document.

View again

of 21
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Categories
Published
Niedersächsisches Datenschutzgesetz (NDSG) in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22), zuletzt geändert durch Artikel 1 des Gesetzes vom 12. Dezember 2012 (Nds. GVBl. S VORIS
Niedersächsisches Datenschutzgesetz (NDSG) in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22), zuletzt geändert durch Artikel 1 des Gesetzes vom 12. Dezember 2012 (Nds. GVBl. S VORIS ) I n h a l t s ü b e r s i c h t E r s t e r A b s c h n i t t Allgemeine Bestimmungen 1 Aufgabe des Gesetzes 2 Anwendungsbereich 3 Begriffsbestimmungen 4 Zulässigkeit der Datenverarbeitung 5 Datengeheimnis 6 Verarbeitung personenbezogener Daten im Auftrag 6 a Mobile personenbezogene Speicher- und Verarbeitungsmedien 7 Technische und organisatorische Maßnahmen 8 Verfahrensbeschreibung 8 a Behördliche Datenschutzbeauftragte Z w e i t e r A b s c h n i t t Rechtsgrundlagen der Datenverarbeitung 9 Erhebung 10 Speicherung, Veränderung, Nutzung; Zweckbindung 10 a Automatisierte Einzelentscheidung 11 Übermittlung innerhalb des öffentlichen Bereichs 12 Automatisiertes Abrufverfahren 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften D r i t t e r A b s c h n i t t Rechte der Betroffenen 16 Auskunft, Einsicht in Akten 17 Berichtigung, Löschung und Sperrung 17 a Widerspruchsrecht 18 Schadensersatz 19 Anrufung der Landesbeauftragten oder des Landesbeauftragten 20 Verzicht auf Rechte der Betroffenen V i e r t e r A b s c h n i t t Landesbeauftragte oder Landesbeauftragter für den Datenschutz 21 Rechtsstellung der Landesbeauftragten oder des Landesbeauftragten 21 a Disziplinarverfahren 21 b Übertragung von Aufgaben 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten 23 Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten F ü n f t e r A b s c h n i t t Besonderer Datenschutz 24 Datenverarbeitung bei Dienst- und Arbeitsverhältnissen 25 Verarbeitung personenbezogener Daten für Forschungsvorhaben 25 a Beobachtung durch Bildübertragung 26 Fernmessen und Fernwirken 27 Öffentliche Auszeichnungen S e c h s t e r A b s c h n i t t Übergangs- und Schlussvorschriften 28 Straftaten 29 Ordnungswidrigkeiten 30 Übergangsvorschrift 31 Aufhebung von Rechtsvorschriften 32 Änderung des Niedersächsischen Meldegesetzes 33 Änderung des Niedersächsischen Verfassungsschutzgesetzes 34 In-Kraft-Treten Erster Abschnitt Allgemeine Bestimmungen 1 Aufgabe des Gesetzes 1 Aufgabe dieses Gesetzes ist es, das Recht einer jeden Person zu gewährleisten, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Recht auf informationelle Selbstbestimmung). 2 Dieses Gesetz bestimmt, unter welchen Voraussetzungen personenbezogene Daten durch öffentliche Stellen verarbeitet werden dürfen. 2 Anwendungsbereich (1) 1 Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen 1. des Landes, 2. der Gemeinden und Landkreise, 3. der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts und deren Vereinigungen. 2 Sind einer Person oder Stelle außerhalb des öffentlichen Bereichs Aufgaben der öffentlichen Verwaltung übertragen, so ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. (2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden haben. (3) 1 Abweichend von Absatz 1 gelten nur die 8, 19 und 26 sowie die Regelungen des Vierten Abschnitts, soweit personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeitet werden von 1. juristischen Personen des öffentlichen Rechts oder deren organisatorisch selbständigen Einrichtungen, die am Wettbewerb teilnehmen, 2. wirtschaftlichen Unternehmen der Gemeinden und Landkreise ohne eigene Rechtspersönlichkeit (Eigenbetriebe) und Zweckverbänden, die überwiegend wirtschaftliche Aufgaben wahrnehmen, 3. öffentlichen Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden. 2 Für diese finden im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes in der Fassung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814), Anwendung. (4) Auf öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten sowie deren Vereinigungen finden 24 des Niedersächsischen Datenschutzgesetzes und im Übrigen die Vorschriften des Bundesdatenschutzgesetzes über nicht öffentliche Stellen Anwendung. (5) Für öffentlich-rechtliche Rundfunkanstalten gilt das Recht des jeweiligen Sitzlandes. (6) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten gehen den Bestimmungen dieses Gesetzes vor. (7) Die Vorschriften dieses Gesetzes gehen denen des Niedersächsischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhaltes personenbezogene Daten verarbeitet werden. (8) Auf das Gnadenverfahren findet dieses Gesetz mit Ausnahme des Vierten Abschnitts keine Anwendung. 3 Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (Betroffene). (2) 1 Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten. 2 Im Einzelnen ist 1. Erheben das Beschaffen von Daten über die Betroffenen, 2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger, 3. Verändern das inhaltliche Umgestalten von Daten, 4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen, 5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken, 6. Löschen das Unkenntlichmachen von Daten, 7. Nutzen jede sonstige Verwendung von Daten. (3) Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. (4) 1 Empfänger ist jede Person oder Stelle, die Daten erhält. 2 Dritte sind Personen oder Stellen außerhalb der Daten verarbeitenden Stelle. 3 Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag personenbezogene Daten verarbeiten (Auftragnehmer). (5) Automatisierte Verarbeitung ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. (6) 1 Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und Tonträger. 2 Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. 4 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder 2. die Betroffenen eingewilligt haben. (2) 1 Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer Umstände eine andere Form angemessen ist. 2 Soweit die Einwilligung personenbezogene Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich ausdrücklich auf diese Angaben beziehen. 3 Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, so ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. 4 Die Betroffenen sind in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über die Empfänger der Daten aufzuklären. 5 Die Betroffenen sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern oder mit Wirkung für die Zukunft widerrufen können. (3) Die Einwilligung ist unwirksam, wenn sie durch Androhung rechtswidriger Nachteile oder durch Fehlen der Aufklärung bewirkt wurde. 5 Datengeheimnis Den Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, diese zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren; dies gilt auch nach Beendigung ihrer Tätigkeit. 6 Verarbeitung personenbezogener Daten im Auftrag (1) 1 Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, so bleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2 Die im Dritten Abschnitt genannten Rechte sind ihnen gegenüber geltend zu machen. (2) 1 Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der Weisungen der Auftraggeber verarbeiten. 2 Auftraggeber haben sich über die Beachtung der Maßnahmen nach 7 und der erteilten Weisungen zu vergewissern. (3) 1 Auftragnehmer müssen Gewähr für die Einhaltung der technischen und organisatorischen Maßnahmen nach 7 bieten. 2 Aufträge, Weisungen zu technischen und organisatorischen Maßnahmen und die Zulassung von Unterauftragsverhältnissen sind schriftlich festzuhalten. (4) 1 Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendung finden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten, jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2 Wird der Auftrag außerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet der Auftraggeber die zuständige Datenschutzkontrollbehörde. 6 a Mobile personenbezogene Speicher- und Verarbeitungsmedien (1) Stellen, die personenbezogene Speicher- und Verarbeitungsmedien herausgeben oder die auf solchen Medien Verfahren zur automatisierten Verarbeitung personenbezogener Daten aufbringen oder ändern, müssen die betroffene Person in allgemein verständlicher Form 1. über ihre Identität und Anschrift, 2. über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie die betroffene Person ihre Rechte nach den 16 und 17 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit die oder der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichteten Stellen haben dafür Sorge zu tragen, dass die zur Wahrnehmung der Rechte nach den 16 und 17 erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Die Tatsache der Kommunikation des mobilen personenbezogenen Speicherund Verarbeitungsmediums muss für die betroffene Person eindeutig erkennbar sein. 7 Technische und organisatorische Maßnahmen (1) 1 Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen. 2 Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. (2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, 1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle), 2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle), 3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle), 4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle), 5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle), 6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle), 7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle), 8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle), 10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), 11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). (3) 1 Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. 2 Die nach Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten. (4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. (5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff Unbefugter zu schützen. 8 Verfahrensbeschreibung 1 Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen: 1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung, 2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, 3. den Kreis der Betroffenen, 4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des 6 auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten, 5. die Absicht, Daten in Staaten nach 14 zu übermitteln, 6. Fristen für die Sperrung und Löschung der Daten, 7. die technischen und organisatorischen Maßnahmen nach 7, 8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung. 2 Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach 8 a Abs. 4 und Verarbeitungen nach 8 a Abs. 5 Satz 1. 8 a Behördliche Datenschutzbeauftragte (1) 1 Jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, hat eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen. 2 Mit dieser Aufgabe kann auch eine Person beauftragt werden, die nicht der verarbeitenden Stelle angehört. 3 Ist die Person bereits von einer anderen Stelle zur Beauftragten für den Datenschutz bestellt worden, so setzt die weitere Bestellung das Einvernehmen mit der anderen Stelle voraus. (2) 1 Bestellt werden darf nur, wer die erforderliche Sachkenntnis und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit anderen dienstlichen Aufgaben ausgesetzt ist. 2 Beauftragte sind in dieser Eigenschaft weisungsfrei; sie können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. 3 Sie unterstützen die öffentliche Stelle bei der Sicherstellung des Datenschutzes und wirken auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. 4 Sie sind über geplante Verfahren der automatisierten Verarbeitung personenbezogener Daten zu unterrichten. 5 Sie erhalten eine Übersicht der automatisierten Verarbeitungen mit den Angaben nach 8 Satz 1. 6 Die öffentlichen Stellen haben die Beauftragten für den Datenschutz bei der Aufgabenerfüllung zu unterstützen. (3) 1 Die Beauftragten haben auf Antrag die Angaben gemäß 8 Satz 1 Nrn. 1 bis 6 jedermann in geeigneter Weise verfügbar zu machen. 2 Hiervon ausgenommen sind Beschreibungen nach 22 Abs. 5 und Beschreibungen für Verarbeitungen zum Zweck der Strafverfolgung. 3 Den Beauftragten obliegt die Vorabprüfung von Verfahren nach 7 Abs. 3, wobei in Zweifelsfällen die Landesbeauftragte oder der Landesbeauftragte für den Datenschutz zu beteiligen ist. 4 Betroffene können sich unmittelbar an die Beauftragte oder den Beauftragten für den Datenschutz wenden. (4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere automatisierte Verarbeitungen stattfinden. (5) 1 Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf informationelle Selbstbestimmung nicht zu erwarten ist. 2 In der Verordnung sind die Zweckbestimmungen der Verarbeitung, die Kategorien der Daten, die Empfänger, denen die Daten übermittelt werden dürfen, und die Dauer der Aufbewahrung festzulegen. Zweiter Abschnitt Rechtsgrundlagen der Datenverarbeitung 9 Erhebung (1) 1 Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. 2 Die Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben. 3 Bei Dritten dürfen personenbezogene Daten nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 2. die Erhebung zur Abwehr von Gefahren für Leib, Leben oder die persönliche Freiheit erforderlich ist, 3. Angaben der Betroffenen überprüft werden müssen, 4. offensichtlich ist, dass die Erhebung im Interesse der Betroffenen liegt und sie einwilligen würden, 5. die Daten aus allgemein zugänglichen Quellen entnommen werden können, soweit nicht schutzwürdige Interessen der Betroffenen offensichtlich entgegenstehen, oder 6. a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden. (2) 1 Werden Daten bei den Betroffenen erhoben, so sind sie über den Zweck der Erhebung aufzuklären. 2 Werden die Daten aufgrund einer Rechtsvorschrift erhoben, so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 3 Soweit eine Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angabe von Daten voraussetzt, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (3) 1 Werden Daten bei einer dritten Person oder einer Stelle außerhalb des öffentlichen Bereichs erhoben, so ist diese auf Verlangen über den Verwendungszweck aufzuklären. 2 Soweit eine Auskunftspflicht besteht, ist sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. 10 Speicherung, Veränderung, Nutzung; Zweckbindung (1) 1 Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die Daten für diese Zwecke erhoben worden sind. 2 Erlangt die öffentliche Stelle Kenntnis von
Similar documents
View more...
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks