E-Government-Gesetz / § 11 Gemeinsame Verfahren

(1)^[1] Gemeinsame Verfahren sind automatisierte Verfahren, die mehreren Verantwortlichen im Sinne des Artikels 26 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung die Verarbeitung personenbezogener Daten in oder aus einem Datenbestand ermöglichen.

Bis 25.11.2019:

(1) ¹Gemeinsame Verfahren sind automatisierte Verfahren, die mehreren verantwortlichen Stellen im Sinne des Bundesdatenschutzgesetzes die Verarbeitung personenbezogener Daten in oder aus einem Datenbestand ermöglichen. ²Soweit gemeinsame Verfahren auch Abrufe anderer Stellen ermöglichen sollen, gilt insoweit für die Abrufverfahren § 10 des Bundesdatenschutzgesetzes.

(2) ¹Die Beteiligung öffentlicher Stellen des Bundes nach § 2 Absatz 1 des Bundesdatenschutzgesetzes an gemeinsamen Verfahren ist nur zulässig, wenn dies unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen^[2] [Bis 25.11.2019: Betroffenen] und der Aufgaben der beteiligten Stellen angemessen ist. ²Die Vorschriften über die Zulässigkeit der Verarbeitung der Daten im Einzelfall bleiben unberührt.

(3)^[3]

(3) ¹Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens ist eine Vorabkontrolle nach § 4d Absatz 5 und 6 des Bundesdatenschutzgesetzes durchzuführen und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu hören. ²Ihm sind die Festlegungen nach Absatz 4 und das Ergebnis der Vorabkontrolle vorzulegen.

(3)^{[4] 1}Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens schließen die Verantwortlichen eine Vereinbarung nach Maßgabe des Artikels 26 Absatz 1 und 2 der Verordnung (EU) 2016/679. ²In dieser Vereinbarung können auch Verantwortliche bestimmt werden, die andere Stellen mit der Verarbeitung personenbezogener Daten für das gemeinsame Verfahren gemäß Artikel 28 der Verordnung (EU) 2016/679 beauftragen dürfen.

Bis 25.11.2019:

(4) ¹Vor der Einrichtung oder wesentlichen Änderung eines gemeinsamen Verfahrens ist über die Angaben nach § 4e Satz 1 des Bundesdatenschutzgesetzes hinaus schriftlich oder elektronisch insbesondere festzulegen,

1.	welche Verfahrensweise angewendet wird und welche Stelle jeweils für die Festlegung, Änderung, Fortentwicklung und Einhaltung von fachlichen und technischen Vorgaben für das gemeinsame Verfahren verantwortlich ist und

2.	welche der beteiligten Stellen jeweils für die Rechtmäßigkeit der Datenerhebung, -verarbeitung und -nutzung verantwortlich ist.

²Die nach Satz 1 Nummer 1 verantwortlichen Stellen bestimmen eine der beteiligten Stellen, deren Beauftragter für den Datenschutz eine Kopie der von den beteiligten Stellen zu erstellenden Übersicht im Sinne von § 4g Absatz 2 Satz 1 des Bundesdatenschutzgesetzes verwahrt und diese nach § 4g Absatz 2 Satz 2 des Bundesdatenschutzgesetzes zusammen mit den Angaben nach Satz 1 Nummer 1 und 2 zur Einsicht für jedermann bereithält. ³Nach Satz 1 Nummer 1 können auch verantwortliche Stellen bestimmt werden, die andere Stellen mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für das gemeinsame Verfahren beauftragen dürfen. ⁴§ 11 des Bundesdatenschutzgesetzes bleibt im Übrigen unberührt.

(4^[5] [Bis 25.11.2019: 5] ) ¹Soweit für die beteiligten Stellen ungeachtet der Verordnung (EU) 2016/679 unterschiedliche bundes- oder landesrechtliche Datenschutzvorschriften gelten, ist vor der Einrichtung eines gemeinsamen Verfahrens zu regeln, welche dieser Datenschutzvorschriften angewendet werden. ^[6] [Bis 25.11.2019: Soweit für die beteiligten Stellen unterschiedliche Datenschutzvorschriften gelten, ist vor Einrichtung eines gemeinsamen Verfahrens zu regeln, welches Datenschutzrecht angewendet wird. ] ²Weiterhin ist zu bestimmen, welche Kontrollstellen die Einhaltung der Datenschutzvorschriften prüfen.

(6)^[7]

(6) ¹Die Betroffenen können ihre Rechte nach den §§ 19 bis 20 des Bundesdatenschutzgesetzes gegenüber jeder der beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der jeweiligen Daten nach Absatz 4 Satz 1 Nummer 2 verantwortlich ist. ²Die Stelle, an die der Betroffene sich wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter.

[1] Abs. 1 geändert durch Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU). Anzuwenden ab 26.11.2019.

[2] Geändert durch Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU). Anzuwenden ab 26.11.2019.

[3] Abs. 3 aufgeho...