§ 1 Zweck und Anwendungsbereich des Gesetzes

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Informationen in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die geschäftsmäßige Erhebung, Verarbeitung und Nutzung personenbezogener Informationen.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Informationen einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.

(4) Dieses Gesetz findet keine Anwendung, sofern ein Datenverarbeiter mit Sitz in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. Dieses Gesetz findet Anwendung, sofern ein Datenverarbeiter, der seinen Sitz nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, personenbezogene Informationen im Inland erhebt, verarbeitet oder nutzt. Soweit der Datenverarbeiter nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. Die Sätze 2 und 3 gelten nicht, sofern Informationen nur zum Zweck des Transits im Inland verarbeitet werden. Die gesetzlichen Auskunftspflichten gegenüber der Aufsichtsbehörde (§ 38 Absatz 1 Satz 1 BDSG) bleiben unberührt.

§ 2 Begriffsbestimmungen

(1) Personenbezogene Informationen sind alle Angaben, die sich einer natürlichen Person zuordnen lassen und die – allein oder in Verbindung mit anderen Angaben – Aussagen über die Person enthalten.

(2) Sensible Informationen sind Angaben, die – allein oder in Verbindung mit anderen Angaben – Aussagen über den Intimbereich der Person enthalten, sowie Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit und Gesundheit.

(3) Erheben ist das Herstellen oder Beschaffen von Informationen über den Betroffenen.

(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Informationen. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren, Medien und Repräsentationsformen:

a. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Informationen zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,

b. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Informationen,

c. Übermitteln das Bekanntgeben personenbezogener Informationen an einen Dritten in der Weise, dass

aa. die Informationen an den Dritten weitergegeben werden oder

bb. der Dritte zur Einsicht oder zum Abruf bereitgehaltene Informationen einsieht oder abruft,

d. Sperren das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken,

e. Löschen das Unkenntlichmachen gespeicherter personenbezogener Informationen.

(5) Nutzen ist jede Verwendung personenbezogener Informationen, soweit es sich nicht um Verarbeitung handelt.

(6) Empfänger ist jede Person oder Stelle, die personenbezogene Informationen erhält.

(7) Datenverarbeiter ist jede natürliche oder juristische Person, die geschäftsmäßig Informationen erhebt, verarbeitet oder nutzt.

(8) Dritte sind nicht der Datenverarbeiter, verbundene Unternehmen (§ 15 AktG) und der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Auftrag erheben, verarbeiten oder nutzen.

(9) Geodaten sind alle personenbezogenen Informationen mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

§ 3 Datenschutzbestimmungen

(1) Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Erstellung und Bereithaltung von transparenten Datenschutzbestimmungen verpflichtet.

(2) Die Datenschutzbestimmungen müssen den Betroffenen in klarer und allgemein verständlicher Weise (transparent) unterrichten über

1. die Art und den Umfang der erhobenen, verarbeiteten und genutzten personenbezogenen Informationen,

2. die Zwecke der Erhebung, Verarbeitung und Nutzung von Informationen sowie Angaben dazu, weshalb die Informationen für diese Zwecke erforderlich sind,,

3. die Weitergabe von Informationen an Dritte,

4. die Befugnisse, die sich der Datenverarbeiter vorbehält, personenbezogene Informationen des Betroffenen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Telemediums zu verarbeiten und nutzen,

5. die Erstellung, Verarbeitung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

6. die Erhebung, Verarbeitung und Nutzung von Informationen zur Auswertung des Verhaltens des Betroffenen (Nutzerprofile) mit dem Ziel, dem Nutzer gezielt Informationen zu Werbezwecken zur Kenntnis zu bringen,

7. die technischen und organisatorischen Maßnahmen, die der Datenverarbeiter ergreift zur Sicherung der Informationen gegen den unbefugten oder missbräuchlichen Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

8. die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete und genutzte Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, selbst unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

9. die Verarbeitung personenbezogener Informationen in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31);

10. die Rechte des Betroffenen, der Erhebung, Verarbeitung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

11. den Verantwortlichen für den Datenschutz gemäß § 9 oder eine andere Person, die der Datenverarbeiter mit der Entgegennahme, Bearbeitung und Beantwortung von Beschwerden von Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen beauftragt hat, unter Angabe von Kontaktdaten zur unmittelbaren Kommunikation,

12. die Befugnisse, die sich der Datenverarbeiter vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe a bis k zu ändern.

(3) Wenn der Datenverarbeiter damit rechnen muss, dass Minderjährige nicht nur gelegentlich seine Vertragspartner sind oder sein Telemedium nutzen, ist er verpflichtet, die Datenschutzbestimmungen so abzufassen, dass sie auch für Minderjährige verständlich sind.

(4) Der Datenverarbeiter ist verpflichtet, dem Vertragspartner auf Anforderung jederzeit die aktuellen Datenschutzbestimmungen in Textform (§ 126 b BGB) zukommen zu lassen. Bei einem Telemedium müssen die Datenschutzbestimmungen für den Nutzer jederzeit abrufbar sein.

(5) Der Datenverarbeiter ist verpflichtet, die Datenschutzbestimmungen stets auf dem aktuellen Stand zu halten. Wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen eines Vertragsverhältnisses erfolgt, ist der Datenverarbeiter verpflichtet, den Betroffenen von allen wesentlichen Änderungen der Datenschutzbestimmungen zu unterrichten. Der Betroffene ist berechtigt, Änderungen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Absatz 1 zu widersprechen, wenn die Interessen des Betroffenen die Interessen des Datenverarbeiters an der Änderung überwiegen. Bei der Unterrichtung des Betroffenen über Änderungen der Datenschutzbestimmungen gemäß Satz 1 ist der Datenverarbeiter verpflichtet, auf das Widerspruchsrecht gemäß Satz 2 hinzuweisen.

§ 4 Einwilligung

(1) Der Datenverarbeiter darf sensible Information nur mit vorheriger Zustimmung (Einwilligung) des Betroffenen oder auf Basis einer gesetzlichen Grundlage erheben, verarbeiten und nutzen.

(2) Die Einwilligung bedarf einer gesonderten Erklärung des Nutzers. Sie ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen.

(3) Die Einwilligung kann elektronisch erklärt werden, wenn der Datenverarbeiter sicherstellt, dass

a. der Nutzer seine Einwilligung ausdrücklich und bewusst erteilt hat,

b. die Einwilligung protokolliert wird,

c. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

d. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(4) Der Datenverarbeiter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 3 Buchstabe d hinzuweisen. § 3 Absatz 4 Satz 2 gilt entsprechend.

(5) Die Auswertung des Nutzerverhaltens, insbesondere durch die Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f), bedarf der Einwilligung des Betroffenen, sofern die Auswertung Aussagen über den Intimbereich enthalten kann. Die Absätze 2 bis 4 gelten entsprechend.

§ 5 Übermitteln von Informationen

Wenn ein Datenverarbeiter personenbezogene Informationen erhebt, verarbeitet
oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses oder beim Betrieb eines Telemediums gemäß § 1 Absatz 1 Telemediengesetz (TMG), ist der Datenverarbeiter zur Übermittlung von Informationen an Dritte nur berechtigt, wenn die Datenschutzbestimmungen eine solche Übermittlung vorsehen oder wenn der Betroffene in die Übermittlung eingewilligt hat. § 4 bleibt unberührt.

§ 6 Verbote

(1) Wenn ein Datenverarbeiter personenbezogene Informationen zu den Zwecken gemäß § 3 Absatz 2 erhebt, verarbeitet oder nutzt, ist ihm die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen erlaubt, soweit die Datenschutzbestimmungen den Betroffenen über die Erhebung, Verarbeitung oder Nutzung informieren. Jede Erhebung, Verarbeitung oder Nutzung, die über die Datenschutzbestimmungen hinausgeht, ist dem Datenverarbeiter untersagt.

(2) Die Erhebung, Nutzung oder Verarbeitung sensibler Informationen ist untersagt, wenn der Betroffene nicht wirksam eingewilligt hat (§ 4 Absatz 2 bis 4). Entsprechendes gilt für die Bildung von Bewegungsprofilen oder Nutzerprofilen, sofern die Auswertung Aussagen über den Intimbereich des Betroffenen enthalten kann (§ 4 Absatz 5).

(3) Dritte dürfen personenbezogene Informationen erheben. Handelt es sich allerdings um Angaben, die Aussagen über den Privat- oder Intimbereich des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Benachrichtigung entgegenstehen. Der Betroffene ist berechtigt, der Verarbeitung und Nutzung der Informationen zu widersprechen. Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch gemacht hat, ist dem Dritten die Verarbeitung und Nutzung untersagt.

(4) Dritten ist die Verarbeitung und Nutzung von personenbezogenen Informationen, die sie nicht selbst erhoben haben, untersagt, wenn sie die Informationen unrechtmäßig – insbesondere unter Verstoß gegen § 5 – erlangt haben.

(5) Die Übermittlung personenbezogener Informationen ist untersagt, wenn die Voraussetzungen des § 5 nicht erfüllt sind.

(6) Art. 5 GG bleibt unberührt.

§ 7 Schadensersatz

(1) Fügt ein Datenverarbeiter dem Betroffenen durch eine nach diesem Gesetz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen einen Schaden zu, ist er dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, wenn der Datenverarbeiter nachweist, dass er seine Verpflichtung zu datenschutzkonformen Verfahren eingehalten hat (§ 8 Abs. 1 Satz 2).

(2) Verstößt ein Datenverarbeiter gegen das Verbot gemäß § 6 Absatz 2 findet § 97 Absatz 2 Satz 2 und 3 UrhG auf die Bemessung des Schadensersatzes entsprechende Anwendung.

(3) Der Betroffenen kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit dies der Billigkeit entspricht.

§ 8 Ausgestaltung von Verfahren

(1) Bei der Entwicklung, Gestaltung, Änderung und Erweiterung von Verfahren, die ein Datenverarbeiter nutzt oder nutzen möchte, hat der Datenverarbeiter in jedem Stadium zu beachten, dass Persönlichkeitsrechte des Einzelnen gefährdet werden können, wenn personenbezogene Informationen erhoben, verarbeitet und genutzt werden. Der Datenverarbeiter ist daher zur Einhaltung der nachfolgenden Richtlinien verpflichtet, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

(2) Die Verfahren sind an dem Ziel auszurichten, so wenig personenbezogene Informationen wie möglich zu erheben, zu verarbeiten oder zu nutzen. Personenbezogene Informationen sind zu anonymisieren oder zu verschlüsseln

(3) Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden.

(4) Personenbezogene Informationen sind gegen den unbefugten oder missbräuchlichen Zugriff Dritter nach dem Stand der Technik zu schützen.

(5) Angaben, die Aussagen über den Privat- oder Intimbereich des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, bedürfen eines erhöhten Schutzes. Sensible Informationen erfordern das höchste Schutzniveau. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Einblicksrechten zu berücksichtigen.

(6) Bei der Gestaltung von Datenschutzbestimmungen (§ 3) oder vorformulierten Einwilligungen (§ 4) sowie von sonstigen Informationen von Betroffenen über die Erhebung, Verarbeitung und Nutzung mit personenbezogener Informationen sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen.

(7) Die Übermittlung und Verwendung von personenbezogenen Informationen ist rückverfolgbar zu gestalten.

(8) Bei der Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 3 Abs. 2 Buchstabe e und f) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

(9) Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.

§ 9 Beschwerdebeauftragter

Unternehmen, die personenbezogene Informationen verarbeiten und damit in der Regel mindestens 20 Personen beschäftigen, haben einen Beschwerdebeauftragten zu bestellen. Der Beschwerdebeauftragte ist für die Entgegennahme und Beantwortung von Beschwerden der Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Informationen zuständig. Er kann zugleich Beauftragter für den Datenschutz (§ 4 f BDSG) sein.