Gesetz zum Schutz personenbezogener Daten im Land Brandenburg

§§ 1 - 4 Abschnitt 1 Allgemeine Bestimmungen

§ 1 Zweck

(1) ¹Dieses Gesetz trifft die zur Durchführung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates von 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABI. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) notwendigen ergänzenden Regelungen. ²Gleichzeitig regelt es in den Grenzen der Verordnung spezifische Anforderungen an die Verarbeitung personenbezogener Daten.

(2) Dieses Gesetz dient neben den zur Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) erlassenen Rechtsvorschriften auch der Umsetzung dieser Richtlinie.

§ 2 Anwendungsbereich

(1) ¹Dieses Gesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes oder der Gemeinden oder Gemeindeverbände unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen (öffentliche Stellen), soweit diese personenbezogene Daten verarbeiten. ²Für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen, nur die Vorschriften des Abschnitts 4. ³Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben einer öffentlichen Stelle des Landes wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

(2) ¹Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen und Gruppen sowie deren Verwaltungen und deren Beschäftigte unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. ²Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung, der Grundsätze der Verordnung (EU) 2016/679 und dieses Gesetzes eine Datenschutzordnung.

(3) ¹Dieses Gesetz findet keine Anwendung, soweit öffentliche Stellen nach Absatz 1 am Wettbewerb teilnehmen und personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. ²Für diese Stellen gelten insoweit die auf nicht-öffentliche Stellen anzuwendenden Vorschriften.

(4) Öffentliche Stellen des Landes, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, gelten als nicht-öffentliche Stellen.

(5) Die Vorschriften der Verordnung (EU) 2016/679 in Verbindung mit diesem Gesetz gehen denen des Verwaltungsverfahrensgesetzes für das Land Brandenburg vor, soweit personenbezogene Daten verarbeitet werden.

(6) ¹Soweit die Verarbeitung personenbezogener Daten durch öffentliche Stellen nicht in den sachlichen Anwendungsbereich der Verordnung (EU) 2016/679 fällt, sind deren Vorschriften und die Vorschriften dieses Gesetzes entsprechend anzuwenden, es sei denn, dieses Gesetz oder andere spezielle Rechtsvorschriften enthalten abweichende Regelungen. ²Die Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 gelten nur, soweit die Verarbeitung automatisiert erfolgt oder die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

§ 3 Begriffsbestimmung

Ergänzend zu Artikel 4 der Verordnung (EU) 2016/679 bezeichnet der Ausdruck "Anonymisieren" das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

§ 4 Freigabeverfahren und Einsicht in das Verzeichnis der Verarbeitungstätigkeiten

(1) ¹Jede mittels automatisierter Verfahren vorgesehene Verarbeitung personenbezogener Daten bedarf vor ihrem Beginn oder vor einer wesentlichen Änderung der schriftlichen oder elektronischen^[1] Freigabe. ²In der Freigabeerklärung ist zu bestätigen,

1.	die Verarbeitung im Einklang mit den Artikeln 5 und 6 der Verordnung (EU) 2016/679 erfolgt,

2.

ein aus einer Risikoanalyse und unter Berücksichtigung der Vorgaben von Artikel 32 der Verordnung (EU) 2016/679 entwickeltes Sicherheitskonzept ergeben hat, dass geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenes Schutzniveau zu gewährleisten, und

3.	für die Verfahren, von denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht, eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 erfolgt ist.

³Die Freigabe erfolgt durch den Verantwortlichen. ⁴Bei gemeinsamen Verfahren kann die Zuständigkeit für die Freigabe entsprechend Artikel 26 Absatz 1 der Verordn...