§ 1 Gegenstand und Ziele

(1) Diese Verordnung schützt den Einzelnen davor, durch die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen in seinem Persönlichkeitsrecht und seinem Recht auf informationelle Selbstbestimmung beeinträchtigt zu werden.

(2) Die Erleichterung des freien Datenverkehrs in der Europäischen Union ist das weitere, gleichrangige Ziel dieser Verordnung.

§ 2 Sachlicher Anwendungsbereich

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung
personenbezogener Informationen sowie für die nichtautomatisierte Verarbeitung
personenbezogener Informationen, die in einer Datei gespeichert sind oder gespeichert
werden sollen.

(2) Diese Verordnung findet keine Anwendung auf die Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Informationen durch öffentliche Stellen der Europäischen Union und der Mitgliedsstaaten.

(3) Soweit andere Rechtsvorschriften auf personenbezogene Informationen einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Freiheit der Meinungsäußerung und die Informationsfreiheit und die Freiheit der Medien bleiben unberührt.

(4) Unberührt bleiben auch Verpflichtungen zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen.

§ 3 Räumlicher Anwendungsbereich

– offen –

§ 4 Begriffsbestimmungen

(1) Personenbezogene Informationen sind alle Angaben, die sich einer natürlichen Person zuordnen lassen und die – allein oder in Verbindung mit anderen Angaben – Aussagen über die Person enthalten.

(2) Sensible Informationen sind Angaben, die – allein oder in Verbindung mit anderen Angaben – Aussagen über die Intimsphäre der Person enthalten.

(3) Erheben ist das Herstellen oder Beschaffen von Informationen über eine Person.

(4) Verarbeiten ist das Speichern, Verändern, Sperren und Löschen personenbezogener Informationen. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren, Medien und Repräsentationsformen:

a. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Informationen zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,

b. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Informationen,

c. Sperren das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken,

d. Löschen das Unkenntlichmachen gespeicherter personenbezogener Informationen.

(5) Übermitteln ist das Bekanntgeben personenbezogener Informationen an einen Dritten in der Weise, dass

a. die Informationen an den Dritten weitergegeben werden oder

b. der Dritte zur Einsicht oder zum Abruf bereitgehaltene Informationen einsieht oder abruft,

Dritte sind nicht der Datenverarbeiter, verbundene Unternehmen (§ 15 AktG) und der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Informationen im Auftrag erheben, verarbeiten, übermitteln oder nutzen.

(6) Nutzen ist jede Verwendung personenbezogener Informationen, soweit es sich nicht um eine Erhebung, Verarbeitung oder Übermittlung handelt.

(7) Empfänger ist jede Person oder Stelle, die personenbezogene Informationen erhält.

(8) Datenverarbeiter ist jede natürliche oder juristische Person, die Informationen erhebt, verarbeitet, übermittelt oder nutzt.

(9) Datei ist jede strukturierte Sammlung personenbezogener Informationen, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.

(10) Geodaten sind alle Daten mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

§ 5 Allgemeine Verpflichtungen bei der Datenverarbeitung

(1) Der Datenverarbeiter ist verpflichtet, bei der Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Informationen Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen (Abwägungsgebot).

(2) Die Erhebung personenbezogener Informationen ist erlaubt. Handelt es sich allerdings um Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, wenn schutzwürdigen Interessen des Betroffenen der Verarbeitung, Übermittlung und Nutzung entgegenstehen. Wenn der Betroffene von seinem Widerspruchsrecht Gebrauch gemacht hat, ist dem Dritten die Verarbeitung, Übermittlung und Nutzung untersagt.

(3) Die Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen, die der Datenverarbeiter nicht selbst erhoben hat, ist erlaubt, wenn der Datenverarbeiter die Informationen rechtmäßig erlangt hat oder wenn die Interessen des Datenverarbeiters an der Verarbeitung, Übermittlung und Nutzung von Informationen die schutzwürdigen Interessen des Betroffenen überwiegen.

§ 6 Besondere Verpflichtungen bei der Datenverarbeitung durch Unternehmer

(1) Die Erhebung, Verarbeitung, Übermittlung und Nutzung personenbezogener Informationen durch Unternehmer (§ 14 BGB) hat nach Treu und Glauben und für eindeutig festgelegte Zwecke zu erfolgen. Unternehmer unterliegen dabei zudem den besonderen Verpflichtungen der §§ 6 bis 11 dieser Verordnung.

(2) Die §§ 6 bis 8 dieser Verordnung sind dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Die Einhaltung der §§ 9 und 10 sowie 13 und 14 dieser Verordnung wird durch die Datenschutzaufsichtsbehörden überwacht.

§ 7 Transparenzgebot

(1) Wenn ein Unternehmer personenbezogene Informationen erhebt, verarbeitet oder nutzt zur Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses mit einem Verbraucher oder beim Betrieb eines Telemediums, ist der Unternehmer zur Erstellung und Bereithaltung von transparenten (klaren und verständlichen) Datenschutzbestimmungen verpflichtet. Sind die Datenschutzbestimmungen des Unternehmers nicht transparent, kann sich der Unternehmer nicht darauf berufen.

(2) Der Unternehmer ist verpflichtet, dem Vertragspartner auf Anforderung die aktuellen Datenschutzbestimmungen in Textform zukommen zu lassen. Bei einem Telemedium müssen die Datenschutzbestimmungen für den Nutzer jederzeit abrufbar sein.

(3) Wenn der Unternehmer damit rechnen muss, dass Minderjährige nicht nur gelegentlich seine Vertragspartner sind oder sein Telemedium nutzen, ist er verpflichtet, die Datenschutzbestimmungen so abzufassen, dass sie auch für Minderjährige verständlich sind. Die Bestimmungen zum Jugendschutz bleiben unberührt.

(4) Die Datenschutzbestimmungen müssen den Betroffenen in klarer und allgemein verständlicher Weise (transparent) unterrichten über

a. die Art und den Umfang der erhobenen, verarbeiteten, übermittelten und genutzten personenbezogenen Informationen,

b. die Zwecke der Erhebung, Verarbeitung und Nutzung von personenbezogenen Informationen sowie Angaben dazu, weshalb die Informationen für diese Zwecke erforderlich sind,

c. die Übermittlung von personenbezogenen Informationen an Dritte,

d. die Befugnisse, die sich der Unternehmer vorbehält, personenbezogene Informationen des Betroffenen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Telemediums zu verarbeiten und nutzen,

e. die Erstellung, Verarbeitung, Übermittlung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

f. die Erhebung, Verarbeitung, Übermittlung und Nutzung von personenbezogenen Informationen zur Auswertung des Verhaltens des Betroffenen (Nutzerprofile) mit dem Ziel, dem Nutzer gezielt Informationen zu Werbezwecken zur Kenntnis zu bringen,

g. die technischen und organisatorischen Maßnahmen, die der Unternehmer ergreift zur Sicherung personenbezogener Informationen gegen den unbefugten Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

h. die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete, übermittelte und genutzte personenbezogene Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

i. die Rechte des Betroffenen, der Erhebung, Verarbeitung, Übermittlung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

j. den Verantwortlichen für den Persönlichkeitsschutz gemäß § 10 oder eine andere Person, die der Unternehmer mit der Entgegennahme, Bearbeitung und Beantwortung von Beschwerden von Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen beauftragt hat, unter Angabe von Kontaktdaten zur unmittelbaren Kommunikation,

k. die Verhaltenskodices und sonstigen Verhaltensregeln, zu deren Einhaltung sich der Unternehmer verpflichtet,

l. die Befugnisse, die sich der Unternehmer vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe a bis k zu ändern.

(5) Wenn die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen eines Vertragsverhältnisses erfolgt, ist der Unternehmer zu Änderungen der Datenschutzbestimmungen berechtigt (Änderungsrecht). Das Änderungsrecht gilt nicht für die Übermittlung personenbezogener Daten an Dritte.

(6) Wenn der Unternehmer von seinem Änderungsrecht Gebrauch macht, ist er verpflichtet, den Betroffenen von allen wesentlichen Änderungen der Datenschutzbestimmungen zu unterrichten. Der Betroffene ist berechtigt, Änderungen bei der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Satz 1 zu widersprechen, wenn die schutzwürdigen Interessen des Betroffenen die Interessen des Unternehmers an der Änderung überwiegen. Bei der Unterrichtung des Betroffenen über Änderungen der Datenschutzbestimmungen gemäß Satz 1 ist der Unternehmer verpflichtet, auf das Widerspruchsrecht gemäß Satz 2 hinzuweisen.

(7) Wenn ein Unternehmer personenbezogene Informationen zu den Zwecken gemäß Absatz 4 lit. b erhebt, verarbeitet oder nutzt, ist ihm die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Informationen erlaubt, soweit die Datenschutzbestimmungen den Anforderungen der Absätze 1 bis 6 entsprechen. Jede Erhebung, Verarbeitung oder Nutzung, die nicht den Datenschutzbestimmungen entspricht, ist dem Unternehmer untersagt.

(8) Ein Unternehmer ist zur Übermittlung von personenbezogenen Informationen an Dritte nur berechtigt, wenn die Datenschutzbestimmungen eine solche Übermittlung vorsehen oder wenn der Betroffene in die Übermittlung eingewilligt hat.

§ 8 Einwilligung

(1) Der Unternehmer darf sensible Informationen nur mit vorheriger Zustimmung (Einwilligung) des Betroffenen oder auf Basis einer gesetzlichen Grundlage erheben, verarbeiten, übermitteln und nutzen.

(2) Die Einwilligung bedarf einer gesonderten Erklärung des Nutzers. Sie ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.

(3) Die Einwilligung kann elektronisch erklärt werden, wenn der Unternehmer sicherstellt, dass

a. der Nutzer seine Einwilligung ausdrücklich und bewusst erteilt hat,

b. die Einwilligung protokolliert wird,

c. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

d. der Nutzer die Einwilligung jederzeit aus wichtigem Grund mit Wirkung für die Zukunft widerrufen kann.

(4) Der Unternehmer hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 3 Buchstabe d hinzuweisen. § 7 Absatz 2 Satz 2 gilt entsprechend.

(5) Die Auswertung des Nutzerverhaltens, insbesondere durch die Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 7 Abs. 4 Buchstabe e und f), bedarf der Einwilligung des Betroffenen, sofern die Auswertung Aussagen über der Intimsphäre enthalten kann. Die Absätze 2 bis 4 gelten entsprechend.

(6) Die Erhebung, Verarbeitung, Übermittlung oder Nutzung sensibler Informationen ist dem Unternehmer untersagt, wenn der Betroffene nicht wirksam eingewilligt hat.

§ 9 Ausgestaltung von Datenverarbeitungsverfahren

(1) Bei der Entwicklung, Gestaltung, Änderung und Erweiterung von Datenverarbeitungsverfahren, die ein Unternehmer nutzt oder nutzen möchte, ist der Unternehmer zur Einhaltung der nachfolgenden Richtlinien verpflichtet, soweit dies keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

(2) Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Archivierung und Nutzung ausschließlich zu Beweiszwecken bleibt erlaubt.

(3) Die Sicherheit der Verfahren ist am Stand der Technik auszurichten. Insbesondere sind personenbezogene Informationen gegen den unbefugten Zugriff Dritter nach dem Stand der Technik zu schützen.

(4) Angaben, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, bedürfen eines erhöhten Schutzes. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Zugriffsrechten zu berücksichtigen.

(5) Bei der Gestaltung von Datenschutzbestimmungen (§ 7) oder vorformulierten Einwilligungen (§8) sowie von sonstigen Informationen von Betroffenen über die Erhebung, Verarbeitung und Nutzung mit personenbezogener Informationen sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen.

(6) Die Erhebung und die Übermittlung von personenbezogenen Informationen sind rückverfolgbar zu gestalten. Dies gilt auch für sämtliche Versionsstände der Datenschutzbestimmungen (§ 7).

(7) Bei der Bildung von Bewegungsprofilen oder Nutzerprofilen (§ 7 Abs. 4 Buchstabe e und f) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

(8) Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.

§ 10 Verantwortlicher für den Persönlichkeitsschutz

Unternehmen, die personenbezogene Informationen verarbeiten und damit in der Regel mindestens 20 Personen beschäftigen, haben einen Verantwortlichen für den Persönlichkeitsschutz zu bestellen. Bei Unternehmen, deren Hauptzweck die Verarbeitung von Informationen und dabei auch personenbezogenen Informationen ist, ist unabhängig von der Größe ein Verantwortlicher für den Persönlichkeitsschutz zu bestellen. Der Verantwortliche für den Persönlichkeitsschutz ist für die Entgegennahme und Beantwortung von Beschwerden der Betroffenen gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Informationen zuständig. Er kann zugleich Beauftragter für den Datenschutz sein.

§ 11 Schadensersatz

(1) Fügt ein Unternehmer dem Betroffenen durch eine nach diesem Gesetz unzulässige oder unrichtige Erhebung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Informationen einen Schaden zu, ist er dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, wenn der Unternehmer nachweist, dass er die Richtlinien für die Ausgestaltung von Datenverarbeitungsverfahren eingehalten hat (§ 9 Abs. 1 Satz 2).

(2) Verstößt ein Unternehmer gegen das Verbot gemäß § 8 Absatz 6, findet § 97 Absatz 2 Satz 2 und 3 UrhG auf die Bemessung des Schadensersatzes entsprechende Anwendung.

(3) Der Betroffenen kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine Entschädigung in Geld verlangen, wenn und soweit dies der Billigkeit entspricht. Dies ist regelmäßig der Fall, wenn ein rechtswidriger Eingriff in die Intimsphäre vorliegt, ebenso wenn eine Verletzung der Privatsphäre im Rahmen von publikationspflichtigen Vorgängen (§ 13) erfolgte.

(4) Wenn der Betroffene einen rechtswidrigen Eingriff in die Privat- oder Intimsphäre glaubhaft macht, kann er von dem Unternehmer Auskunft verlangen, ob der Eingriff gemäß § 14 dokumentiert ist. Fehlt es an einer Dokumentation, wird das Vorliegen eines rechtswidrigen Eingriffs vermutet.

§ 12 Auskunft, Berichtigung und Löschung

– offen –

§ 13 Publikationspflicht

(1) Werden von einem Unternehmer sensible Informationen oder andere Informationen in erheblichem Umfang rechtswidrig verarbeitet oder erfolgt von dritter Seite hierauf unberechtigt Zugriff, ist der Unternehmer unverzüglich nach Feststellung verpflichtet, die Betroffenen einzeln zu benachrichtigen. Dies gilt insbesondere auch bei unrechtmäßiger Nutzung etwa auch zum Zwecke der Profilbildung, und bei der Feststellung erheblicher Sicherheitslücken. Erheblich ist eine Sicherheitslücke, wenn sie in erheblichem Umfang zu einer rechtswidrigen Erlangung von Informationen führen kann.

(2) Zusätzlich zu den Betroffenen sind auch die jeweils zuständigen Aufsichtsbehörden zu informieren. Die Betroffenen sind auf ihre Rechte nach diesem Gesetz, insbesondere nach § 11 hinzuweisen.

§ 14 Dokumentation

(1) Der Unternehmer ist verpflichtet, die Ausgestaltung seiner Verfahren nach § 9 zu dokumentieren. Dieser Dokumentation unterliegen insbesondere die Geschäftsprozesse und typischen Verarbeitungsvorgänge, die Zwecke der Verarbeitung, die Arten von Informationen und deren Herkunft sowie die Empfänger und die angewandten technisch-organisatorischen Verfahren zur Sicherheit, soweit dies nicht die Sicherheit gefährden könnte.

(2) Zu dokumentieren ist auch das Vorgehen bei der Feststellung von Rechtsverstößen und Sicherheitslücken im Sinne von § 13.

(3) Die Dokumentationen sind so ausgestalten, dass Einsichtnahmen möglich sind, ohne die Rechte Dritter zu verletzen und ohne die Sicherheit sowie berechtigte Interessen des Unternehmers zu gefährden.