(1) 1Die Übermittlung personenbezogener Daten aus dem Register an Hochschulen, andere Einrichtungen, die wissenschaftliche Forschung betreiben, und öffentliche Stellen ist zulässig, soweit
1. |
dies für die Durchführung bestimmter wissenschaftlicher Forschungsarbeiten erforderlich ist, |
2. |
eine Nutzung anonymisierter Daten zu diesem Zweck nicht möglich oder die Anonymisierung mit einem unverhältnismäßigen Aufwand verbunden ist und |
3. |
das öffentliche Interesse an der Forschungsarbeit das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Übermittlung erheblich überwiegt. |
2Bei der Abwägung nach Satz 1 Nr. 3 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.
(1a) 1Die mehrfache Übermittlung von personenbezogenen Daten für eine wissenschaftliche Forschungsarbeit kann für einen angemessenen Zeitraum nach Anhörung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit Zustimmung des Bundesministeriums der Justiz [Vom 29.07.2017 bis 08.12.2022: und für Verbraucherschutz] zugelassen werden, wenn
1. |
die Voraussetzungen von Absatz 1 Nummer 1 und 2 vorliegen, |
2. |
ein bedeutendes öffentliches Interesse an der Forschungsarbeit besteht und |
3. |
das bedeutende öffentliche Interesse an der Forschungsarbeit das schutzwürdige Interesse der betroffenen Personen an dem Ausschluss der Übermittlung erheblich überwiegt. |
2Die übermittelten Daten sollen pseudonymisiert werden; ein Verzicht auf eine Pseudonymisierung ist nur zulässig, wenn dies zur Erreichung des Forschungszweckes unerlässlich ist. 3Absatz 1 Satz 2 gilt entsprechend. 4Der Zeitraum ist insbesondere unter Berücksichtigung des Forschungszweckes, einer beabsichtigten Pseudonymisierung der Daten, der Schwere der untersuchten Straftaten und der Länge der gesetzlichen Tilgungsfristen festzusetzen; ein Übermittlungszeitraum, der im Ergebnis die Tilgungsfristen mehr als verdoppelt, ist in der Regel nicht mehr angemessen. 5Die Sätze 1 bis 4 gelten entsprechend, wenn bei einmaliger Übermittlung personenbezogene Daten mit früher übermittelten, noch nicht anonymisierten Daten eines anderen Forschungsvorhabens zusammengeführt werden sollen.
(2) 1Personenbezogene Daten werden nur an solche Personen übermittelt, die Amtsträger oder für den öffentlichen Dienst besonders Verpflichtete sind oder die zur Geheimhaltung verpflichtet worden sind. 2§ 1 Abs. 2, 3 und Abs. 4 Nr. 2 des Verpflichtungsgesetzes findet auf die Verpflichtung zur Geheimhaltung entsprechende Anwendung.
(3) 1Die personenbezogenen Daten dürfen nur für den Zweck verarbeitet [Bis 25.11.2019: verwendet] werden, für den sie übermittelt worden sind. 2Die Verarbeitung [Bis 25.11.2019: Verwendung] für andere Forschungsvorhaben oder die Weitergabe richtet sich nach den Absätzen 1 und 2 und bedarf der Zustimmung der Registerbehörde; Absatz 1a gilt entsprechend, wenn mehrfach von der Registerbehörde übermittelte personenbezogene Daten verknüpft werden sollen.
(4) 1Die Daten sind gegen unbefugte Kenntnisnahme durch Dritte zu schützen. 2Die wissenschaftliche Forschung betreibende Stelle hat dafür zu sorgen, dass die Verarbeitung [Bis 25.11.2019: Verwendung] der personenbezogenen Daten räumlich und organisatorisch getrennt von der Erfüllung solcher Verwaltungsaufgaben oder Geschäftszwecke erfolgt, für die diese Daten gleichfalls von Bedeutung sein können.
(5) 1Sobald der Forschungszweck es erlaubt, sind die personenbezogenen Daten zu anonymisieren. 2Solange dies noch nicht möglich ist, sind die Merkmale gesondert aufzubewahren, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(6) 1Wer nach den Absätzen 1 und 2 personenbezogene Daten erhalten hat, darf diese nur veröffentlichen, wenn dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. 2Die Veröffentlichung bedarf der Zustimmung der Registerbehörde.
(7) Ist der Empfänger eine nichtöffentliche Stelle, finden die Vorschriften der Verordnung (EU) 2016/679 auch Anwendung für die nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(7) Ist der Empfänger eine nichtöffentliche Stelle, finden die Vorschriften des Dritten Abschnitts des Bundesdatenschutzgesetzes auch Anwendung, wenn die Informationen nicht in oder aus Dateien verarbeitet werden.
(8) Ist es der Registerbehörde mit vertretbarem Aufwand möglich, kann sie mit den Registerdaten vorbereitende Analysen durchführen.