Bremisches Gesetz zum Schutz personenbezogener Daten im Justizvollzug (Bremisches Justizvollzugsdatenschutzgesetz - BremJVollzDSG)

Abschnitt 1
Allgemeine Bestimmungen

§ 1
Anwendungsbereich

(1) Dieses Gesetz regelt die Verarbeitung personenbezogener Daten für vollzugliche Zwecke durch Justizvollzugsbehörden im Vollzug von

1.

Freiheitsstrafe, Jugendstrafe, Untersuchungshaft, Strafarrest, Unterbringung in der Sicherungsverwahrung, Jugendarrest und

2.

Haft nach § 127b Absatz 2, § 230 Absatz 2, §§ 236, 329 Absatz 3, § 412 Satz 1 und § 453c der Strafprozessordnung sowie der einstweiligen Unterbringung nach § 275a Absatz 6 der Strafprozessordnung.

(2) Justizvollzugsbehörden sind Justizvollzugsanstalten, Jugendstrafvollzugsanstalten, Jugendarrestanstalten und Einrichtungen für den Vollzug der Sicherungsverwahrung (Anstalten) sowie die Senatorin oder der Senator für Justiz und Verfassung, soweit sie oder er die Aufsicht über den Justizvollzug führt.

§ 2
Begriffsbestimmungen

Im Sinne dieses Gesetzes sind

1.

„Gefangene“: Personen im Vollzug nach § 1 Absatz 1;

2.

„vollzugliche Zwecke“:

a)

die Gefangenen zu befähigen, künftig in sozialer Verantwortung ein Leben ohne Straftaten zu führen,

b)

die Allgemeinheit vor weiteren Straftaten der Gefangenen zu schützen,

c)

Leib, Leben, Freiheit und Vermögen der Bediensteten und der Gefangenen sowie das Vermögen des Landes durch die Aufrechterhaltung der Sicherheit und Ordnung innerhalb der Anstalten zu schützen,

d)

Entweichung und Befreiung von Gefangenen zu verhindern,

e)

Nichtrückkehr und Missbrauch von Lockerungen zu vermeiden sowie

f)

die Mitwirkung des Justizvollzuges an den ihm durch Gesetz übertragenen sonstigen Aufgaben, insbesondere an Gefangene betreffenden Entscheidungen der Strafvollstreckungskammern durch vorbereitende Stellungnahmen;

an die Stelle des in Nummer 2 Buchstabe a bestimmten Zwecks tritt für den Vollzug der Untersuchungshaft der Zweck, durch die sichere Unterbringung der Gefangenen die Durchführung eines geordneten Strafverfahrens zu gewährleisten; für die Unterbringung in der Sicherungsverwahrung tritt der Zweck hinzu, die Gefährlichkeit der Gefangenen für die Allgemeinheit so zu mindern, dass die Vollstreckung der Unterbringung zur Bewährung möglichst bald ausgesetzt oder für erledigt erklärt werden kann;

3.

„personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;

4.

„Verarbeitung“: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie

a)

das Erheben, das Erfassen, die Speicherung, die Veränderung, das Auslesen, das Abfragen, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, das Löschen, die Einschränkung oder die Vernichtung oder

b)

die Organisation, das Ordnen, die Anpassung, die Verknüpfung oder sonstige Verwendung (Nutzung);

5.

„Einschränkung der Verarbeitung“: die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

6.

„Profiling“: jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

7.

„Pseudonymisierung“: die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;

8.

„Anonymisierung“: liegt vor, wenn die betroffene Person anhand der Daten nicht oder nicht mehr identifizierbar ist; dies ist insbesondere gegeben, wenn die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können;

9.

„Dateisystem“: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

10.

„Verantwortlicher“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

11.

„Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

12.

„Empfänger“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

13.

„Verletzung des Schutzes personenbezogener Daten“: eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat, die verarbeitet wurden;

14.

„besondere Kategorien personenbezogener Daten“:

a)

Daten, aus denen die ethnische oder vermeintlich rassische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,

b)

genetische Daten,

c)

biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,

d)

Gesundheitsdaten und

e)

Daten zum Sexualleben oder zur sexuellen Orientierung;

15.

„genetische Daten“: personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse einer biologischen Probe der Person gewonnen wurden;

16.

„biometrische Daten“: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;

17.

„Gesundheitsdaten“: personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

18.

„internationale Organisation“: eine völkerrechtliche Organisation und ihre nachgeordneten Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;

19.

„Einwilligung“: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

20.

„anstaltsfremde Personen“: Personen, die zu den Justizvollzugsbehörden nicht in einem Dienst- oder Arbeitsverhältnis stehen und nicht im Auftrag einer anderen Behörde tätig sind oder nicht als Organ der Rechtspflege handeln;

21.

„öffentliche Stellen“:

a)

die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform,

b)

die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform und

c)

die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Mitgliedstaates der Europäischen Union;

22.

„nichtöffentliche Stellen“: natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter Nummer 21 fallen; nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes;

23.

„Aufsichtsbehörde“: eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle.

§ 3
Grundsätze der Datenverarbeitung

(1) Die Justizvollzugsbehörden schützen das Recht einer jeden Person, grundsätzlich selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen.

(2) Die Datenverarbeitung ist an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Von den Möglichkeiten der Anonymisierung und Pseudonymisierung ist Gebrauch zu machen, soweit dies nach dem Verarbeitungszweck möglich ist.

(3) Bei der Verarbeitung personenbezogener Daten ist so weit wie möglich danach zu unterscheiden, ob diese auf Tatsachen oder auf persönlichen Einschätzungen beruhen.

(4) Eine ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffenen Personen verbunden ist oder sie erheblich beeinträchtigt, ist unzulässig. Profiling, das zur Folge hat, dass die betroffenen Personen auf der Grundlage von personenbezogenen Daten besonderer Kategorien diskriminiert werden, ist verboten.

(5) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein:

1.

spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,

2.

die Festlegung von besonderen Aussonderungsprüffristen,

3.

die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

4.

die Beschränkung des Zugangs zu den personenbezogenen Daten oder des Zugriffs auf diese innerhalb der Justizvollzugsbehörde,

5.

die von anderen Daten getrennte Verarbeitung,

6.

die Pseudonymisierung personenbezogener Daten,

7.

die Verschlüsselung personenbezogener Daten oder

8.

spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

§ 4
Zulässigkeit der Datenverarbeitung, Einwilligung

(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten nur verarbeiten, wenn dieses Gesetz oder eine andere Rechtsvorschrift dies für den Anwendungsbereich dieses Gesetzes ausdrücklich erlauben oder anordnen oder die betroffenen Personen eingewilligt haben und der Einwilligung ein gesetzliches Verbot nicht entgegensteht.

(2) Soweit die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung erfolgt, muss die Justizvollzugsbehörde die Einwilligung der betroffenen Personen nachweisen können.

(3) Erfolgt die Einwilligung der betroffenen Personen durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(4) Die betroffenen Personen haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffenen Personen sind vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.

(5) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Personen beruhen. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung, etwa die besondere Situation der Freiheitsentziehung, berücksichtigt werden. Die betroffenen Personen sind auf den Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangen die betroffenen Personen dies, sind sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.

(6) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.

(7) Bei beschränkt geschäftsfähigen Gefangenen bestimmt sich die Einwilligungsfähigkeit nach der tatsächlichen Einsichtsfähigkeit.

(8) Soweit Gefangene nicht die für eine Entscheidung notwendige Einsichtsfähigkeit besitzen und vollzugliche Zwecke nicht gefährdet werden, steht das ihnen nach diesem Gesetz zustehende Recht, informiert und gehört zu werden oder Fragen und Anträge zu stellen, ihren gesetzlichen Vertreterinnen und Vertretern zu. Sind mehrere Personen berechtigt, kann jeder von ihnen die in diesem Gesetz bestimmten Rechte allein ausüben. Sind Mitteilungen vorgeschrieben, genügt es, wenn sie an eine oder einen von ihnen gerichtet werden.

§ 5
Datengeheimnis

(1) Den in Justizvollzugsbehörden tätigen Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Personen, die nicht Amtsträger im Sinne des § 11 Absatz 1 Nummer 2 des Strafgesetzbuchs sind, sind vor der Aufnahme ihrer Tätigkeit über die zu beachtenden Bestimmungen zu unterrichten und auf deren Einhaltung förmlich nach § 1 des Verpflichtungsgesetzes zu verpflichten.

(2) Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

Abschnitt 2
Erhebung

§ 6
Zulässigkeit der Datenerhebung

(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten erheben, soweit dies zu vollzuglichen Zwecken erforderlich ist.

(2) Besondere Kategorien personenbezogener Daten dürfen sie nur erheben, soweit dies zu vollzuglichen Zwecken unbedingt erforderlich ist.

§ 7
Erhebung bei betroffenen Personen

(1) Personenbezogene Daten sind in der Regel bei den betroffenen Personen und mit deren Kenntnis zu erheben.

(2) Eine Erhebung personenbezogener Daten bei den betroffenen Personen ohne deren Kenntnis ist zulässig, wenn keine Anhaltspunkte dafür vorliegen, dass überwiegende schutzwürdige Interessen der betroffenen Personen entgegenstehen.

§ 8
Erhebung von Daten über Gefangene bei Dritten

(1) Soweit die Erhebung personenbezogener Daten über Gefangene nach § 6 und § 7 Absatz 2 zulässig ist, dürfen sie auch bei Dritten ohne Kenntnis der Gefangenen erhoben werden, wenn

1.

dies zur Erreichung des Vollzugsziels oder zur Abwehr einer drohenden Gefahr für die Sicherheit der Anstalt erforderlich ist,

2.

eine Rechtsvorschrift dies ausdrücklich erlaubt oder anordnet,

3.

Angaben der betroffenen Personen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,

4.

dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,

5.

dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,

6.

sich die Erhebung auf Daten aus Akten der gerichtlichen Verfahren bezieht, die der Vollstreckung der gegenwärtigen Freiheitsentziehung zugrunde liegen oder diese Freiheitsentziehung sonst betreffen,

7.

die betroffenen Personen einer durch Rechtsvorschrift festgelegten Auskunftspflicht nicht nachgekommen und über die beabsichtigte Erhebung bei Dritten unterrichtet worden sind,

8.

die Erhebung bei den betroffenen Personen einen unverhältnismäßigen Aufwand erfordern würde oder

9.

die Daten allgemein zugänglich sind.

(2) Soweit die Erhebung personenbezogener Daten über Gefangene nach § 6 und § 7 Absatz 2 zulässig ist und diese nicht die für eine Einwilligung notwendige Einsichtsfähigkeit besitzen, dürfen personenbezogene Daten ohne deren Kenntnis auch bei deren gesetzlichen Vertreterinnen und Vertretern erhoben werden.

(3) Nichtöffentliche Stellen sind auf die Rechtsvorschrift, die zur Auskunft verpflichtet, ansonsten auf die Freiwilligkeit ihrer Angaben hinzuweisen.

§ 9
Erhebung von Daten über Personen, die nicht Gefangene sind

(1) Daten über Personen, die nicht Gefangene sind, können ohne deren Kenntnis bei Gefangenen oder sonstigen Dritten erhoben werden, soweit dies zu vollzuglichen Zwecken unbedingt erforderlich ist und schutzwürdige Interessen der betroffenen Personen hierdurch nicht beeinträchtigt werden.

(2) Nichtöffentliche Stellen sind auf die Rechtsvorschrift, die zur Auskunft verpflichtet, ansonsten auf die Freiwilligkeit ihrer Angaben hinzuweisen.

Abschnitt 3
Speicherung und Nutzung, Aktenführung

§ 10
Speicherung und Nutzung, zentrale Datei

(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten, die sie zulässig erhoben haben, speichern und nutzen, soweit dies zu vollzuglichen Zwecken erforderlich ist. Für besondere Kategorien personenbezogener Daten gilt dies nur, soweit dies unbedingt erforderlich ist.

(2) Die Justizvollzugsbehörden dürfen personenbezogene Daten, die sie zulässig erhoben haben, zu Zwecken, zu denen sie nicht erhoben wurden, nur speichern und nutzen, soweit

1.

die Voraussetzungen vorliegen, die eine Erhebung von Daten nach § 8 oder § 9 bei Dritten zulassen; soweit andere Gefangene als diejenigen, deren Freiheitsentziehung ursprünglicher Anlass der Erhebung war, von der anderweitigen Verarbeitung betroffen sind, können die personenbezogenen Daten nur zu einem anderen Zweck gespeichert oder genutzt werden, wenn diese Gefangenen zuvor unter Angabe der beabsichtigten Datenverarbeitung angehört wurden und sich hieraus kein überwiegendes schutzwürdiges Interesse an einem Ausschluss der Verarbeitung der sie betreffenden personenbezogenen Daten ergeben hat,

2.

eine Rechtsvorschrift dies ausdrücklich erlaubt oder anordnet,

3.

dies dem gerichtlichen Rechtsschutz, der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Automatisierung des Berichtswesens, der Rechnungsprüfung, der Durchführung von Organisationsuntersuchungen oder statistischen Zwecken der Justizvollzugsbehörden dient und überwiegende schutzwürdige Interessen der betroffenen Personen nicht entgegenstehen,

4.

dies erforderlich ist zur Abwehr von sicherheitsgefährdenden oder geheimdienstlichen Tätigkeiten für eine fremde Macht oder von Bestrebungen in der Bundesrepublik Deutschland, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen

a)

gegen die freiheitliche demokratische Grundordnung, den Bestand oder die Sicherheit des Bundes oder eines Landes gerichtet sind,

b)

eine ungesetzliche Beeinträchtigung der Amtsführung der Verfassungsorgane des Bundes oder eines Landes oder ihrer Mitglieder zum Ziele haben oder

c)

auswärtige Belange der Bundesrepublik Deutschland gefährden,

5.

dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit erforderlich ist,

6.

dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,

7.

dies zur Verhinderung oder Verfolgung von Straftaten, zur Vollstreckung von Strafen und Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs sowie zur Verhinderung oder Verfolgung von Ordnungswidrigkeiten, durch welche die Sicherheit oder Ordnung der Anstalt gefährdet werden, erforderlich ist oder

8.

dies für Maßnahmen der Strafvollstreckung oder strafvollstreckungsrechtliche Entscheidungen hinsichtlich der betroffenen Personen erforderlich ist.

(3) Das Speichern oder Nutzen von zulässig erhobenen besonderen Kategorien personenbezogener Daten für Zwecke, zu denen sie nicht erhoben wurden, ist nur zulässig, soweit dies zu den in Absatz 2 genannten Zwecken unbedingt erforderlich ist. Soweit die erhobenen besonderen Kategorien personenbezogener Daten einem Amts- oder Berufsgeheimnis unterliegen und von den zur Verschwiegenheit Verpflichteten in Ausübung ihrer Amts- oder Berufspflicht erlangt wurden, dürfen sie, soweit dieses Gesetz nichts anderes bestimmt, nur für den Zweck gespeichert oder genutzt werden, für den die zur Verschwiegenheit Verpflichteten sie erhalten haben.

(4) Personenbezogene Daten, die nach § 9 über Personen, die nicht Gefangene sind, erhoben wurden, dürfen nur unter den Voraussetzungen des Absatzes 1 oder des Absatzes 2 Nummer 2, 4 bis 6, unter den Voraussetzungen des § 16 oder zur Verhinderung oder Verfolgung von Straftaten von erheblicher Bedeutung gespeichert und genutzt werden.

(5) Sind mit personenbezogenen Daten, die nach Absatz 1 oder Absatz 2 verarbeitet werden dürfen, weitere personenbezogene Daten von betroffenen Personen oder von Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Speicherung auch dieser Daten zulässig, soweit nicht berechtigte Interessen von betroffenen Personen oder Dritten an deren Geheimhaltung offensichtlich überwiegen. Eine Nutzung dieser Daten ist unzulässig.

(6) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert oder genutzt werden, dürfen für andere Zwecke nur insoweit genutzt werden, als dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit, insbesondere für Leben, Gesundheit oder Freiheit, sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. Für die weitere Verarbeitung von Protokolldaten gilt § 42 Absatz 3.

(7) Die nach den Vorschriften dieses Gesetzes erhobenen Daten können für die Justizvollzugsbehörden in einer zentralen Datei gespeichert werden. § 38 Absatz 3 bleibt unberührt.

§ 11
Aktenführung

(1) Über Gefangene werden Gefangenenpersonalakten und Gesundheitsakten geführt.

(2) Die Justizvollzugsbehörden können Akten auch elektronisch führen. Die Senatorin oder der Senator für Justiz und Verfassung wird ermächtigt, Regelungen für die elektronische Führung von Akten durch Rechtsverordnung zu erlassen.

Abschnitt 4
Übermittlung

§ 12
Übermittlung an öffentliche und nichtöffentliche Stellen,
Einrichtung automatisierter Übermittlungsverfahren

(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten, die sie zulässig erhoben haben, öffentlichen Stellen übermitteln, soweit dies zu vollzuglichen Zwecken erforderlich ist. Für besondere Kategorien personenbezogener Daten gilt dies nur, soweit dies unbedingt erforderlich ist.

(2) Die Justizvollzugsbehörden dürfen nichtöffentlichen Stellen zulässig erhobene personenbezogene Daten für Zwecke, zu denen sie erhoben wurden, übermitteln, soweit

1.

sich die Justizvollzugsbehörden zur Erreichung einzelner vollzuglicher Zwecke in zulässiger Weise der Mitwirkung nichtöffentlicher Stellen bedienen und diese Mitwirkung ohne die Verarbeitung der durch Justizvollzugsbehörden übermittelten personenbezogenen Daten unmöglich oder wesentlich erschwert wäre und

2.

dies zur Erreichung einzelner vollzuglicher Zwecke erforderlich ist, insbesondere um Gefangenen

a)

den Besuch von Behandlungs-, Beratungs-, Trainings- und Bildungsmaßnahmen sowie die Beschäftigung innerhalb und außerhalb von Anstalten,

b)

die Inanspruchnahme von Leistungen der Berufsgeheimnisträgerinnen und Berufsgeheimnisträger nach § 45 Absatz 2 und deren Hilfspersonen,

c)

den Einkauf,

d)

die Inanspruchnahme von Telekommunikations- und Mediendienstleistungen oder

e)

die Inanspruchnahme von Maßnahmen der Entlassungsvorbereitung, des Übergangs in die Freiheit, der Schuldenregulierung, der Entlassung, der Wiedereingliederung, der nachgehenden Betreuung oder des freiwilligen Verbleibs

zu ermöglichen.

(3) Die Justizvollzugsbehörden dürfen zulässig erhobene personenbezogene Daten für Zwecke, zu denen sie nicht erhoben wurden, den zuständigen öffentlichen Stellen übermitteln, soweit

1.

eine andere gesetzliche Bestimmung dies für den Anwendungsbereich dieses Gesetzes ausdrücklich erlaubt oder anordnet oder

2.

dies erforderlich und verhältnismäßig ist für

a)

die Erfüllung der Aufgaben der Gerichtshilfe, Jugendgerichtshilfe, Bewährungshilfe, Führungsaufsicht oder der forensischen Ambulanzen,

b)

Entscheidungen in Gnadensachen,

c)

gesetzlich angeordnete Statistiken der Rechtspflege,

d)

die Erfüllung von Aufgaben, die den für Sozialleistungen zuständigen Leistungsträgern durch Rechtsvorschrift übertragen worden sind,

e)

die Einleitung von Hilfsmaßnahmen für Angehörige der Gefangenen im Sinne des § 11 Absatz 1 Nummer 1 des Strafgesetzbuchs,

f)

dienstliche Maßnahmen der Bundeswehr im Zusammenhang mit der Aufnahme und Entlassung von Soldatinnen und Soldaten,

g)

asyl- oder ausländerrechtliche Maßnahmen,

h)

die Erfüllung der Aufgaben der Jugendämter,

i)

die Durchführung der Besteuerung,

j)

die Unterbringung in einem Krankenhaus, einem psychiatrischen Krankenhaus oder in einer Entziehungsanstalt; Krankenhäuser, psychiatrische Krankenhäuser und Entziehungsanstalten in freier Trägerschaft stehen diesen zum Zweck der Datenübermittlung gleich;

k)

für Maßnahmen von Schulen oder der für Schule und Berufsausbildung zuständigen Behörden im Vollzug des Jugendarrestes oder

l)

die Erreichung der in § 10 Absatz 2 Nummer 2 bis 8 oder § 16 genannten Zwecke.

Die Einrichtung eines automatisierten Verfahrens, das nach Satz 1 die Übermittlung personenbezogener Daten aus der zentralen Datei nach § 10 Absatz 7 ermöglicht, ist zulässig, soweit diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Erfüllung des Zwecks der Übermittlung angemessen ist. Die Senatorin oder der Senator für Justiz und Verfassung bestimmt durch Rechtsverordnung die Einzelheiten der Einrichtung automatisierter Übermittlungsverfahren. Die Rechtsverordnung hat den Empfänger, die Datenart und den Zweck der Übermittlung festzulegen.

(4) Im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 1 Absatz 1 Nummer 2 unterbleiben Übermittlungen nach Absatz 3 Satz 1 Nummer 2, wenn die Gefangenen unter Berücksichtigung der Art der Information und ihrer Rechtsstellung ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.

(5) Die Justizvollzugsbehörden dürfen zulässig erhobene personenbezogene Daten für Zwecke, zu denen sie nicht erhoben wurden, ohne Einwilligung der betroffenen Personen nur unter den Voraussetzungen des § 10 Absatz 2 Nummer 2 bis 8 den nichtöffentlichen Stellen übermitteln.

(6) Die Übermittlung von zulässig erhobenen besonderen Kategorien personenbezogener Daten darf

1.

an öffentliche Stellen, soweit dies unbedingt erforderlich ist und nur unter den Voraussetzungen des § 10 Absatz 3, § 12 Absatz 3 Satz 1 Nummer 2 Buchstabe a, g und j, § 16 und des § 28,

2.

an nichtöffentliche Stellen nur unter den Voraussetzungen, dass dies unbedingt erforderlich ist und

a)

eine Rechtsvorschrift, dies für den Anwendungsbereich dieses Gesetzes ausdrücklich erlaubt oder anordnet,

b)

dies der Erreichung vollzuglicher Zwecke dient,

c)

dies auch unter Berücksichtigung der Interessen der Gefangenen an der Geheimhaltung der personenbezogenen Daten

aa)

der Abwehr einer Gefahr für das Leben eines Menschen, insbesondere zur Verhütung von Selbsttötungen,

bb)

der Abwehr einer erheblichen Gefahr für die Gesundheit oder anderer lebenswichtiger Interessen eines Menschen oder

cc)

der Abwehr der Gefahr erheblicher Straftaten,

dient,

3.

dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder sonst unmittelbar drohender Gefahren für die öffentliche Sicherheit erforderlich ist oder

4.

die Daten von den betroffenen Personen offenkundig öffentlich gemacht wurden,

erfolgen.

(7) Personenbezogene Daten, die nach § 9 über Personen, die nicht Gefangene sind, erhoben wurden, dürfen nur unter den Voraussetzungen des Absatzes 1 oder für die in § 10 Absatz 2 Nummer 4 bis 6 oder § 16 aufgeführten Zwecke sowie zur Verhinderung oder Verfolgung von Straftaten von erheblicher Bedeutung übermittelt werden. Sie dürfen auch übermittelt werden, soweit dies für Zwecke der Fahndung und Festnahme der entwichenen oder sich sonst ohne Erlaubnis außerhalb der Anstalt aufhaltenden Gefangenen erforderlich ist.

(8) Sind mit personenbezogenen Daten, die nach den Absätzen 1, 3 oder 4 übermittelt werden dürfen, weitere personenbezogene Daten von betroffenen Personen oder von Dritten in Akten so verbunden, dass eine Trennung, Anonymisierung oder Pseudonymisierung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung auch dieser Daten zulässig, soweit nicht schutzwürdige Interessen von betroffenen Personen oder Dritten an deren Geheimhaltung offensichtlich überwiegen. Soweit es sich um besondere Kategorien personenbezogener Daten handelt, ist regelmäßig von einem überwiegenden berechtigten Interesse der betroffenen Personen auszugehen. Eine Speicherung, Nutzung und Übermittlung dieser Daten durch den Empfänger ist unzulässig.

(9) Soweit nichts anderes bestimmt ist, unterbleibt die Übermittlung personenbezogener Daten, die

1.

den Justizvollzugsbehörden durch Geheimnisträgerinnen und Geheimnisträger im Sinne des § 45 Absatz 1 bekannt wurden oder

2.

in ihrer Verarbeitung eingeschränkt, unrichtig, unvollständig oder nicht mehr aktuell sind.

§ 13
Sicherheitsrelevante Erkenntnisse

(1) Zum Zwecke der Aufrechterhaltung der Sicherheit der Anstalt prüfen die Justizvollzugsbehörden nach Maßgabe der § 14 und § 15, ob sicherheitsrelevante Erkenntnisse über Gefangene und anstaltsfremde Personen, die Zugang zu den Anstalten begehren, vorliegen.

(2) Sicherheitsrelevant sind Erkenntnisse insbesondere über extremistische, gewaltorientierte Einstellungen oder Kontakte zu derartigen Organisationen, Gruppierungen oder Personen oder Kontakte zur organisierten Kriminalität. Wirken anstaltsfremde Personen an der Eingliederung von Gefangenen mit, können über Satz 1 hinaus auch Erkenntnisse über erhebliche strafrechtliche Verurteilungen, eine bestehende Suchtproblematik oder andere für die Beurteilung der Zuverlässigkeit erhebliche Umstände sicherheitsrelevant sein.

§ 14
Überprüfung Gefangener

(1) Bestehen tatsächliche Anhaltspunkte für eine in einem überschaubaren Zeitraum drohende, einer oder einem Gefangenen zurechenbare Gefahr für die Sicherheit der Anstalt, dürfen die Justizvollzugsbehörden Justiz- und Sicherheitsbehörden um Auskunft ersuchen. Insbesondere dürfen sie dazu

1.

eine Auskunft nach § 41 Absatz 1 Nummer 1 des Bundeszentralregistergesetzes einholen,

2.

sicherheitsrelevante Erkenntnisse der Polizeibehörden des Bundes und der Länder anfragen und,

3.

soweit im Einzelfall erforderlich, sicherheitsrelevante Erkenntnisse des Landesamts für Verfassungsschutz anfragen.

Tatsächliche Anhaltspunkte für eine in einem überschaubaren Zeitraum drohende, den Gefangenen zurechenbare Gefahr können sich insbesondere aus deren Verurteilungen oder deren Verhalten im Vollzug ergeben.

(2) Die Anfrage nach Absatz 1 Satz 2 Nummer 2 erstreckt sich nur auf die personengebundenen Hinweise und die Erkenntnisse des polizeilichen Staatsschutzes. Bei der Anfrage nach Absatz 1 Satz 2 Nummer 3 erfolgt die Anfrage des nachrichtendienstlichen Informationssystems durch das Landesamt für Verfassungsschutz.

(3) Die Justizvollzugsbehörden übermitteln den angefragten Behörden soweit möglich den Nachnamen, Geburtsnamen, die Vornamen, das Geburtsdatum, das Geschlecht, den Geburtsort, das Geburtsland und die Staatsangehörigkeit der Gefangenen. Über Satz 1 hinaus sollen bekannt gewordene Aliaspersonalien, die voraussichtliche Vollzugsdauer sowie das Aktenzeichen der der Vollstreckung zugrundeliegenden Entscheidung mitgeteilt werden. Zur Feststellung von Vorinhaftierungen darf für die Erhebung und Übermittlung personenbezogener Daten gemäß Satz 1 und 2 ein automatisiertes Verfahren zwischen den Justizvollzugsbehörden der Bundesländer eingerichtet werden.

(4) Die gemäß Absatz 1 Satz 1 und Satz 2 Nummer 2 und 3 angefragten Behörden teilen den Justizvollzugsbehörden die sicherheitsrelevanten Erkenntnisse über die Gefangenen mit.

(5) Bestehen auf Grund der übermittelten sicherheitsrelevanten Erkenntnisse tatsächliche Anhaltspunkte für eine Gefahr der Sicherheit der Anstalt, dürfen die Justizvollzugsbehörden zusätzliche Auskünfte oder Unterlagen bei Justiz- und Sicherheitsbehörden einholen.

(6) Im Rahmen der Anfrage mitgeteilte sicherheitsrelevante Erkenntnisse sind in gesonderten Akten oder Dateisystemen zu führen.

(7) Die Verarbeitungs- und Übermittlungsbefugnis für personenbezogene Daten über Gefangene zur Aufrechterhaltung der Sicherheit der Anstalt schließt die Verarbeitungsbefugnis zum Zwecke der Vollzugs- und Eingliederungsplanung der Gefangenen ein.

§ 15
Überprüfung anstaltsfremder Personen

(1) Anstaltsfremde Personen, die in der Anstalt tätig werden sollen, dürfen zu diesen Tätigkeiten nur zugelassen werden, wenn keine Sicherheitsbedenken bestehen. Die Justizvollzugsbehörden sollen zur Aufrechterhaltung der Sicherheit der Anstalt mit Einwilligung dieser betroffenen Personen eine Zuverlässigkeitsüberprüfung vornehmen. Insbesondere dürfen sie dazu

1.

eine Auskunft nach § 41 Absatz 1 Nummer 1 des Bundeszentralregistergesetzes einholen,

2.

sicherheitsrelevante Erkenntnisse der Polizeibehörden des Bundes und der Länder anfragen und,

3.

soweit im Einzelfall erforderlich, sicherheitsrelevante Erkenntnisse des Landesamts für Verfassungsschutz anfragen.

Ist eine Überprüfung in Eilfällen, insbesondere bei kurzfristig notwendigen Reparaturarbeiten, nicht möglich, soll eine Beaufsichtigung der Personen bei deren Tätigkeit in der Anstalt erfolgen.

(2) Die Justizvollzugsbehörden sollen von einer Anfrage nach Absatz 1 Satz 3 absehen, wenn aufgrund des Anlasses, der Art, des Umfangs oder der Dauer des Aufenthalts oder der Tätigkeit in der Anstalt eine Gefährdung der Sicherheit der Anstalt fernliegt.

(3) Darüber hinaus dürfen die Justizvollzugsbehörden bei tatsächlichen Anhaltspunkten einer drohenden Gefahr für die Sicherheit der Anstalt auch bei Personen, die die Zulassung zum Besuch von Gefangenen oder zum Besuch der Anstalt begehren, hierfür mit ihrer Einwilligung eine Zuverlässigkeitsüberprüfung vornehmen. Absatz 1 Satz 3 gilt entsprechend. In den Fällen des Absatz 1 Satz 3 Nummer 2 und 3 teilen die Justizvollzugsbehörden auch mit, ob und für welche Gefangenen die Zulassung zum Besuch begehrt wird.

(4) Absatz 3 gilt nicht für Besuche von Verteidigerinnen und Verteidigern und Beiständen sowie für Rechtsanwältinnen und Rechtsanwälte sowie Notarinnen und Notare in einer die Gefangenen betreffenden Rechtssache sowie für die im Rahmen der Überwachung des Schriftwechsels der Gefangenen gesetzlich privilegierten Personen und Stellen.

(5) Werden den Justizvollzugsbehörden sicherheitsrelevante Erkenntnisse bekannt, sollen die anstaltsfremden Personen nicht oder nur unter Beschränkungen zu der Tätigkeit oder dem Besuch zugelassen werden. Gleiches gilt, wenn die betroffenen Personen eine Einwilligung in eine Zuverlässigkeitsüberprüfung verweigern.

(6) Eine erneute Zuverlässigkeitsüberprüfung soll erfolgen, wenn neue sicherheitsrelevante Erkenntnisse nach § 13 Absatz 2 vorliegen, spätestens jedoch nach Ablauf von fünf Jahren, sofern ihre Erforderlichkeit nach Absatz 1 Satz 1 und 2 und Absatz 3 weiter besteht.

§ 16
Fallkonferenzen

(1) Im Rahmen von Fallkonferenzen dürfen die Justizvollzugsbehörden personenbezogene Daten, einschließlich solcher besonderer Kategorien, die sie zulässig erhoben haben, insbesondere den voraussichtlichen Entlassungszeitpunkt, die voraussichtliche Entlassungsadresse sowie die Vollzugs- und Eingliederungspläne, den Polizeibehörden des Bundes und der Länder übermitteln, sofern

1.

tatsächliche Anhaltspunkte für die fortdauernde Gefährlichkeit von Gefangenen für die Allgemeinheit vorliegen,

2.

die Entlassung von Gefangenen aller Voraussicht nach in einem Zeitraum von nicht mehr als einem Jahr bevorsteht und

3.

dies zur Verhütung von Straftaten von erheblicher Bedeutung erforderlich ist.

Fallkonferenzen dürfen auch zur Vorbereitung von Ausführungen, Vorführungen, Ausantwortungen, Überstellungen und Verlegungen bei tatsächlichen Anhaltspunkten für eine Gefahr der Entweichung, von Gewalttätigkeiten gegen Personen oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, und der Selbstverletzung oder Selbsttötung von Gefangenen stattfinden. An den Fallkonferenzen nach Satz 1 sollen die Bewährungshilfe und die Führungsaufsichtsstellen beteiligt werden. Im Zuge der Fallkonferenzen nach den Sätzen 1 und 2 dürfen die Justizvollzugsbehörden personenbezogene Daten, einschließlich solcher besonderer Kategorien, bei den Polizeibehörden auch anfragen und erheben.

(2) Im Rahmen von Fallkonferenzen dürfen die Justizvollzugsbehörden personenbezogene Daten, einschließlich solcher besonderer Kategorien, die sie zulässig erhoben haben, insbesondere den voraussichtlichen Entlassungszeitpunkt, die voraussichtliche Entlassungsadresse sowie die Vollzugs- und Eingliederungspläne den Verfassungsschutzbehörden des Bundes und der Länder übermitteln, sofern

1.

bestimmte Tatsachen den Verdacht von Tätigkeiten oder Bestrebungen nach § 10 Absatz 2 Nummer 4 begründen,

2.

eine damit im Zusammenhang stehende Gefahr für die Sicherheit der Anstalt oder die Erreichung des Vollzugsziels in einem überschaubaren Zeitraum einzutreten droht und

3.

dies zur Verhütung der in Nummer 2 genannten Gefahren unbedingt erforderlich ist.

An den Fallkonferenzen sollen die Bewährungshilfe und die Führungsaufsichtsstellen beteiligt werden, sofern die Entlassung der Gefangenen in voraussichtlich nicht mehr als einem Jahr bevorsteht. Im Zuge dieser Fallkonferenzen dürfen die Justizvollzugsbehörden personenbezogene Daten, einschließlich solcher besonderer Kategorien, bei den Verfassungsschutzbehörden des Bundes und der Länder auch anfragen und erheben.

(3) Fallkonferenzen dürfen zwischen den Justizvollzugsbehörden, den Polizeibehörden des Bundes und der Länder und den Verfassungsschutzbehörden des Bundes und der Länder stattfinden, sofern

1.

bestimmte Tatsachen die Annahme einer gegenwärtigen Gefahr für Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von erheblichem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, begründen,

2.

bestimmte Tatsachen den Verdacht von Tätigkeiten oder Bestrebungen nach § 10 Absatz 2 Nummer 4 begründen und

3.

dies zur Abwehr der in Nummer 1 genannten Gefahren unbedingt erforderlich ist.

Absatz 2 Satz 2 gilt entsprechend. Im Zuge dieser Fallkonferenzen dürfen die Justizvollzugsbehörden personenbezogene Daten, einschließlich solcher besonderer Kategorien, bei den Polizeibehörden des Bundes und der Länder sowie den Verfassungsschutzbehörden des Bundes und der Länder auch anfragen und erheben.

(4) Die Anfrage, Erhebung und Übermittlung besonderer Kategorien personenbezogener Daten nach den Absätzen 1 bis 3 ist nur zulässig, soweit dies zur Erreichung des jeweiligen Anfrage-, Erhebungs- und Übermittlungszwecks unbedingt erforderlich ist.

(5) Die wesentlichen Ergebnisse der stattgefundenen Fallkonferenzen sind zu dokumentieren.

(6) Die Vollzugs- und Eingliederungsplanung bleibt den Justizvollzugsbehörden vorbehalten.

§ 17
Weitere Zulässigkeitsvoraussetzungen für die Datenverarbeitung mit den Sicherheitsbehörden

(1) Die Übermittlung personenbezogener Daten an Sicherheitsbehörden zum Zwecke der Gefahrenverhütung, zum Zwecke der Gefahrenabwehr, zur Verhinderung oder Verfolgung von Straftaten, zur Verhinderung oder Verfolgung von Ordnungswidrigkeiten oder zu den in § 10 Absatz 2 Nummer 4 genannten Zwecken ist nur zulässig, wenn

1.

sich im Einzelfall konkrete Ansätze ergeben

a)

zur Verhütung, Aufdeckung oder Verfolgung der Straftaten oder Ordnungswidrigkeiten oder

b)

zur Abwehr von in einem überschaubaren Zeitraum drohenden Gefahren und

2.

mindestens

a)

der Schutz solch bedeutsamer Rechtsgüter oder

b)

die Verhütung, Aufdeckung oder Verfolgung solch schwerwiegender Straftaten oder Ordnungswidrigkeiten

verwirklicht werden soll,

dass ein im Vergleich zur Datenerhebung gleichwertiger Rechtsgüterschutz sichergestellt ist.

(2) Absatz 1 gilt für die Erhebung von personenbezogenen Daten über Gefangene, anstaltsfremde oder sonstige Personen durch die Justizvollzugsbehörden bei den Sicherheitsbehörden zum Zwecke der Gefahrenverhütung, zum Zwecke der Gefahrenabwehr, zur Verhinderung oder Verfolgung von Straftaten oder zur Verhinderung oder Verfolgung von Ordnungswidrigkeiten entsprechend.

(3) Für die Übermittlung und Erhebung von personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen oder verdeckten Eingriff in informationstechnische Systeme erlangt wurden, gilt Absatz 1 Nummer 1 Buchstabe b mit der Maßgabe entsprechend, dass

1.

bei personenbezogenen Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen erlangt wurden, im Einzelfall eine dringende Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes, für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, vorliegen muss und

2.

bei personenbezogenen Daten, die durch einen verdeckten Eingriff in informationstechnische Systeme erlangt wurden, im Einzelfall bestimmte Tatsachen jedenfalls die Annahme rechtfertigen, dass innerhalb eines überschaubaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Schädigung von Leib, Leben oder Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Bundes oder eines Landes oder die Grundlagen der Existenz der Menschen berührt, eintritt.

(4) Die Befugnis zum erkennungsdienstlichen Datenabgleich zum Zwecke der Identifikation von Gefangenen nach § 28 und anstaltsfremden Personen nach § 35 Absatz 4 bleibt hiervon unberührt.

§ 18
Verantwortung für die Datenübermittlung und Verfahren

(1) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Justizvollzugsbehörde.

(2) Erfolgt die Übermittlung auf Ersuchen einer öffentlichen Stelle, trägt diese die Verantwortung. In diesem Fall prüfen die Justizvollzugsbehörden nur, ob das Ersuchen im Rahmen der Aufgaben der empfangenden öffentlichen Stelle liegt und dieses Gesetz der Übermittlung nicht entgegensteht, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.

(3) Soll die Übermittlung auf Ersuchen einer nichtöffentlichen Stelle erfolgen, hat diese die hierfür erforderlichen Angaben zu machen, insbesondere die Rechtsgrundlage für die Übermittlung anzugeben.

(4) Soweit dies mit angemessenem Aufwand möglich ist, sind die personenbezogenen Daten vor ihrer Übermittlung auf Richtigkeit, Vollständigkeit und Aktualität zu überprüfen.

(5) Bei der Übermittlung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Ordnungswidrigkeiten oder Straftaten oder der Strafvollstreckung einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit sowie zu den in § 10 Absatz 2 Nummer 4 genannten Zwecken werden nach Möglichkeit die erforderlichen Informationen beigefügt, die es den empfangenden öffentlichen Stellen ermöglichen, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der personenbezogenen Daten sowie deren Aktualitätsgrad zu beurteilen.

(6) Personenbezogene Daten, die an nichtöffentliche Stellen übermittelt werden sollen, sind vor der Übermittlung zu pseudonymisieren, soweit nicht der Personenbezug für die Erfüllung des Übermittlungszweckes erforderlich ist. Dabei ist die Gefangenenbuchungsnummer als Pseudonym zu verwenden, wenn nicht besondere Gründe entgegenstehen.

§ 19
Förmliche Verpflichtung Dritter

(1) Personen, die für eine nichtöffentliche Stelle Kenntnis von personenbezogenen Daten erlangen sollen, die von Justizvollzugsbehörden übermittelt wurden, sind vor Aufnahme ihrer Tätigkeit nach § 1 des Verpflichtungsgesetzes förmlich zu verpflichten.

(2) Personen, die nicht nach Absatz 1 förmlich verpflichtet wurden, dürfen von personenbezogenen Daten nur Kenntnis erlangen, wenn

1.

die übermittelten Daten vor ihrer Übermittlung pseudonymisiert wurden,

2.

die förmliche Verpflichtung vor Kenntniserlangung Leib oder Leben eines Menschen oder bedeutende Sachwerte gefährden würde und die Verpflichtung veranlasst und unverzüglich nachgeholt wird; erfolgt die Übermittlung der Daten nicht durch die Justizvollzugsbehörden, sind sie unverzüglich unter Angabe der Personalien der Kenntniserlangenden von der Übermittlung zu unterrichten; oder

3.

sie Amtsträger im Sinne des § 11 Absatz 1 Nummer 2 des Strafgesetzbuchs sind.

(3) Die Justizvollzugsbehörden stellen auf geeignete Weise sicher, dass bei nichtöffentlichen Stellen nur solche Personen Kenntnis von übermittelten personenbezogenen Daten erlangen, die zuvor nach Absatz 1 verpflichtet wurden oder die nach Absatz 2 auch ohne förmliche Verpflichtung Kenntnis von übermittelten personenbezogenen Daten erlangen dürfen.

§ 20
Mitteilung über Haftverhältnisse

(1) Die Justizvollzugsbehörden dürfen auf schriftlichen Antrag mitteilen, ob und gegebenenfalls in welcher Anstalt sich eine Person in Haft befindet, ob ihre Entlassung voraussichtlich innerhalb eines Jahres bevorsteht sowie, falls die Entlassung innerhalb eines Jahres bevorsteht, den vorgesehenen Entlassungstermin, soweit

1.

die Mitteilung zur Erfüllung der in der Zuständigkeit der anfragenden öffentlichen Stelle liegenden Aufgaben erforderlich ist oder

2.

von nichtöffentlichen Stellen ein berechtigtes Interesse an dieser Mitteilung glaubhaft dargelegt wird und die betroffenen Gefangenen kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.

(2) Verletzten einer Straftat sowie deren Rechtsnachfolgerinnen und Rechtsnachfolgern können über Absatz 1 hinaus auf schriftlichen Antrag Auskünfte erteilt werden über

1.

die Entlassungsadresse oder die Vermögensverhältnisse von Gefangenen, wenn die Erteilung zur Feststellung oder Durchsetzung von Rechtsansprüchen im Zusammenhang mit der Straftat erforderlich ist,

2.

die Gewährung erstmaliger Lockerungen, wenn sie ein berechtigtes Interesse darlegen und kein überwiegendes schutzwürdiges Interesse der Gefangenen am Ausschluss der Mitteilung vorliegt, oder

3.

den Gefangenen erneut gewährte Lockerungen, wenn dafür ein berechtigtes Interesse dargelegt oder ersichtlich ist und kein überwiegendes schutzwürdiges Interesse der Gefangenen am Ausschluss der Mitteilung besteht.

(3) In den Fällen des Absatzes 2 Nummer 2 bedarf es der Darlegung eines berechtigten Interesses nicht, wenn die Antragstellerin oder der Antragsteller Verletzte oder Verletzter einer Straftat nach

1.

§§ 174 bis 182, 184i und 184j des Strafgesetzbuchs,

2.

§§ 211 und 212 des Strafgesetzbuchs, die versucht wurde,

3.

§§ 221, 223 bis 226 und 340 des Strafgesetzbuchs,

4.

§§ 232 bis 238, 239 Absatz 3 und §§ 239a, 239b und 240 Absatz 4 des Strafgesetzbuchs oder

5.

§ 4 des Gewaltschutzgesetzes

ist. Satz 1 gilt entsprechend in den Fällen des § 395 Absatz 3 der Strafprozessordnung, wenn die Antragstellerin oder der Antragsteller zur Nebenklage zugelassen wurde.

(4) Zuständigen öffentlichen Stellen können über Absatz 1 hinaus auf schriftlichen Antrag Auskünfte über die Entlassungsadresse oder die Vermögensverhältnisse von Gefangenen erteilt werden, wenn dies zur Feststellung oder Durchsetzung öffentlich-rechtlicher Forderungen erforderlich ist.

(5) Im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 1 Absatz 1 Nummer 2 besteht die zulässige Mitteilung nach den Absätzen 1 und 2 in der Angabe, ob sich eine Person in der Anstalt in Untersuchungshaft oder der Freiheitsentziehung befindet. Eine Übermittlung unterbleibt, wenn die Gefangenen unter Berücksichtigung der Art der Information und ihrer Rechtsstellung ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.

(6) Die betroffenen Gefangenen werden vor der Mitteilung gehört, es sei denn, es ist zu besorgen, dass dadurch die Interessen der Antragstellerin oder des Antragstellers vereitelt oder wesentlich erschwert werden würden, und eine Abwägung ergibt, dass diese Interessen das Interesse der Gefangenen an ihrer vorherigen Anhörung überwiegen. Ist die Anhörung unterblieben, werden die betroffenen Gefangenen über die Mitteilung unter Angabe des Inhalts nachträglich unterrichtet.

(7) Bei Anhörung und Unterrichtung Gefangener nach Absatz 6 ist auf die berechtigten Interessen nichtöffentlicher Empfänger an der Geheimhaltung ihrer Lebensumstände in besonderer Weise Rücksicht zu nehmen. Die Anschrift der Empfänger darf den Gefangenen nicht übermittelt werden.

(8) Erfolgte Mitteilungen sind in den Gefangenenpersonalakten der betroffenen Gefangenen zu dokumentieren. Auf die berechtigten Interessen nichtöffentlicher Empfänger an der Geheimhaltung ihrer Lebensumstände ist bei der Dokumentation in besonderer Weise Rücksicht zu nehmen. Die Anschrift der Empfänger darf in der Gefangenenpersonalakte nicht dokumentiert werden.

§ 21
Aktenüberlassung

(1) Soweit die Übermittlung der darin enthaltenen Daten zulässig ist, dürfen Akten mit personenbezogenen Daten nur

1.

Justizvollzugsbehörden,

2.

Stellen der Gerichtshilfe, Jugendgerichtshilfe, Bewährungshilfe oder Führungsaufsicht,

3.

den für strafvollzugs-, strafvollstreckungs- und strafrechtliche Entscheidungen zuständigen Gerichten,

4.

den Strafvollstreckungs- und Strafverfolgungsbehörden,

5.

den von Justizvollzugs-, Strafverfolgungs- oder Strafvollstreckungsbehörden oder von einem Gericht mit Gutachten beauftragten Stellen,

6.

Personen nach § 55 Absatz 2 Satz 1 Nummer 1, sofern diese das Akteneinsichtsrecht für die betroffene Person nach § 55 Absatz 2 Satz 2 wahrnehmen, sowie

7.

sonstigen öffentlichen Stellen, wenn die Erteilung einer Auskunft entweder einen unvertretbaren Aufwand erfordern würde oder nach Darlegung der die Akteneinsicht begehrenden Stelle die Erteilung einer Auskunft für die Erfüllung ihrer Aufgaben nicht ausreicht,

überlassen oder im Falle elektronischer Aktenführung in Form von Duplikaten übermittelt werden.

(2) Sind mit personenbezogenen Daten, die nach § 12 Absatz 1, 3 oder 6 übermittelt werden dürfen, weitere personenbezogene Daten von betroffenen Personen oder von Dritten in Akten so verbunden, dass eine Trennung, Anonymisierung oder Pseudonymisierung nicht oder nur mit unvertretbarem Aufwand möglich ist, ist die Übermittlung nach Absatz 1 zulässig, soweit nicht berechtigte Interessen von betroffenen Personen oder Dritten an deren Geheimhaltung offensichtlich überwiegen. Soweit es sich um besondere Kategorien personenbezogener Daten handelt, ist regelmäßig von einem überwiegenden berechtigten Interesse der betroffenen Personen auszugehen. Eine Speicherung, Nutzung und Übermittlung der weiteren personenbezogenen Daten nach Satz 1 durch die empfangende öffentliche Stelle ist unzulässig.

§ 22
Auskunft und Akteneinsicht für wissenschaftliche Zwecke

(1) Für die Übermittlung personenbezogener Daten in Akten an Hochschulen, andere Einrichtungen, die wissenschaftliche Forschung betreiben, und öffentliche Stellen für wissenschaftliche Zwecke gilt § 476 der Strafprozessordnung entsprechend mit der Maßgabe, dass auch elektronisch gespeicherte personenbezogene Daten übermittelt werden können. Die Übermittlung kann auch auf elektronischem Wege erfolgen.

(2) Im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 1 Absatz 1 Nummer 2 unterbleiben Übermittlungen nach Absatz 1, wenn für die übermittelnde Stelle erkennbar ist, dass die Gefangenen unter Berücksichtigung der Art der Information und ihrer Rechtsstellung ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben.

§ 23
Einsichtnahme in Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter

Die Mitglieder folgender Delegationen erhalten während des Besuchs in der Anstalt auf Verlangen Einsicht in die Gefangenenpersonalakten, Gesundheitsakten und Krankenblätter, soweit dies zur Wahrnehmung ihrer Aufgaben unbedingt erforderlich ist:

1.

des Europäischen Ausschusses zur Verhütung von Folter und unmenschlicher oder erniedrigender Behandlung oder Strafe,

2.

des Unterausschusses der Vereinten Nationen zur Verhütung von Folter und anderer grausamer, unmenschlicher oder erniedrigender Behandlung oder Strafe sowie

3.

der Nationalen Stelle zur Verhütung von Folter.

Abschnitt 5
Besondere Formen der Datenverarbeitung

§ 24
Datenverarbeitung im Auftrag

(1) Die Justizvollzugsbehörden dürfen personenbezogene Daten durch andere Personen oder Stellen im Auftrag verarbeiten lassen. Dies gilt auch für Test- und Freigabeverfahren, Prüfungs- und Wartungsarbeiten und vergleichbare Hilfstätigkeiten einschließlich der Fernwartung.

(2) In den Fällen des Absatz 1 bleiben die Justizvollzugsbehörden für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber den Justizvollzugsbehörden geltend zu machen.

(3) Der Auftragsverarbeiter und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, verarbeitet diese Daten ausschließlich auf Weisung der verantwortlichen Justizvollzugsbehörden, es sei denn, dass eine Rechtsvorschrift sie zur Verarbeitung verpflichtet.

(4) Die Justizvollzugsbehörden dürfen nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

(5) Auftragsverarbeiter dürfen weitere Auftragsverarbeiter ohne vorherige schriftliche Genehmigung der Justizvollzugsbehörden nicht in Anspruch nehmen. Vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter sind die Justizvollzugsbehörden zu unterrichten.

(6) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so legt er diesem dieselben Verpflichtungen aus seinem Vertrag mit den Justizvollzugsbehörden nach Absatz 7 auf, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber den Justizvollzugsbehörden für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.

(7) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments in schriftlicher oder elektronischer Form, der oder das den Auftragsverarbeiter an die Justizvollzugsbehörden bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten der Justizvollzugsbehörden festlegt. Der Vertrag oder das andere Rechtsinstrument enthalten insbesondere, dass der Auftragsverarbeiter

1.

nur auf dokumentierte Weisung der Justizvollzugsbehörden handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er die Justizvollzugsbehörden unverzüglich zu informieren,

2.

gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

3.

die Justizvollzugsbehörden mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Personen zu gewährleisten,

4.

alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl der Justizvollzugsbehörden zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht,

5.

den Justizvollzugsbehörden alle erforderlichen Informationen, insbesondere die gemäß § 42 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt,

6.

Überprüfungen, die von den Justizvollzugsbehörden oder einem von diesen hierzu Beauftragten durchgeführt werden, ermöglicht und dazu beiträgt,

7.

die in den Absätzen 5 und 6 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält

8.

alle gemäß § 40 erforderlichen Maßnahmen ergreift und

9.

unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen die Justizvollzugsbehörden bei der Einhaltung der in den §§ 40, 41, 61, 62, 69 Absatz 2 und 71 genannten Pflichten unterstützt.

(8) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

(9) Die förmliche Verpflichtung Dritter nach § 19 gilt entsprechend.

§ 25
Datenverarbeitung bei Übertragung von Vollzugsaufgaben

(1) Werden Aufgaben zu vollzuglichen Zwecken in zulässiger Weise öffentlichen oder nichtöffentlichen Stellen zur Erledigung übertragen, dürfen personenbezogene Daten übermittelt werden, soweit dies für die Erfüllung der Aufgaben erforderlich ist. Besondere Kategorien personenbezogener Daten dürfen nur übermittelt werden, soweit dies für die Erfüllung der Aufgaben unbedingt erforderlich ist. Ist die Übermittlung nach Satz 1 oder 2 zulässig, dürfen Akten und Dateisysteme überlassen werden, soweit dies zur Aufgabenerfüllung erforderlich ist.

(2) Die Auftragnehmer nach Absatz 1 Satz 1 sind sorgfältig auszuwählen. Dabei ist auch zu berücksichtigen, ob die Auftragnehmer ausreichend Gewähr dafür bieten, dass sie die für eine datenschutzgerechte Datenverarbeitung erforderlichen technischen und organisatorischen Maßnahmen zu treffen in der Lage sind. Der Auftrag ist in schriftlicher oder elektronischer Form zu erteilen. Er enthält Angaben zum Gegenstand und zum Umfang der Aufgabenübertragung, zur Erforderlichkeit der Verarbeitung von personenbezogenen Daten zur Erfüllung übertragener Aufgaben und die förmliche Verpflichtung des hierfür einzusetzenden Personals nach § 1 des Verpflichtungsgesetzes. Die Justizvollzugsbehörden sind verpflichtet, die Einhaltung der von den Auftragnehmern getroffenen datenschutzrechtlichen Maßnahmen regelmäßig zu überprüfen und dies zu dokumentieren.

(3) Soweit die Auftragnehmer zur Erfüllung der übertragenen Aufgaben personenbezogene Daten verarbeiten, finden die Vorschriften dieses Gesetzes entsprechende Anwendung.

§ 26
Gemeinsame Verantwortung der Justizvollzugsbehörden

Legen zwei oder mehrere Justizvollzugsbehörden gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam verantwortlich. Sie haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können.

§ 27
Erkennungsdienstliche Maßnahmen

(1) Zu vollzuglichen Zwecken, insbesondere zur Identitätsfeststellung und Sicherheit der Anstalt, sind mit Kenntnis der Gefangenen zulässig:

1.

die Aufnahme von Lichtbildern,

2.

die Abnahme von Finger- und Handflächenabdrücken,

3.

die Feststellung äußerlicher körperlicher Merkmale,

4.

Messungen,

5.

die Erfassung biometrischer Merkmale von Fingern, Händen, Gesicht, Augen, der Stimme und

6.

die Erfassung der Unterschrift.

(2) Die nach Absatz 1 gewonnenen erkennungsdienstlichen Daten werden zu den Gefangenenpersonalakten genommen oder in personenbezogenen Dateisystemen gespeichert. Sie sind so zu sichern, dass eine Kenntnisnahme nur zu den in den Absätzen 3 und 4 genannten Zwecken möglich ist.

(3) Nach Absatz 1 erhobene Daten dürfen nur gespeichert und genutzt werden

1.

für die Zwecke, zu denen sie erhoben wurden,

2.

zur Identifikation Gefangener, soweit dies für Zwecke der Fahndung und Festnahme der entwichenen oder sich sonst ohne Erlaubnis außerhalb der Anstalt aufhaltenden Gefangenen erforderlich ist oder

3.

für die in § 10 Absatz 2 Nummer 7, § 16 und § 28 genannten Zwecke.

(4) Nach Absatz 1 erhobene Daten dürfen nur übermittelt werden an

1.

Vollstreckungs- und Strafverfolgungsbehörden, soweit dies für Zwecke der Fahndung nach und Festnahme von entwichenen oder sich sonst ohne Erlaubnis außerhalb der Anstalt aufhaltenden Gefangenen erforderlich ist,

2.

Polizeibehörden des Bundes und der Länder, soweit dies zur Abwehr einer gegenwärtigen in der Anstalt drohenden Gefahr für Leib, Leben oder Freiheit von Personen oder für erhebliche Sachwerte erforderlich ist,

3.

die in § 16 und § 28 genannten öffentlichen Stellen unter den dort genannten Voraussetzungen sowie

4.

öffentliche Stellen auf deren Ersuchen, soweit die betroffenen Personen verpflichtet wären, eine unmittelbare Erhebung der zu übermittelnden Daten durch diese zu dulden oder an einer solchen Erhebung mitzuwirken; die ersuchende öffentliche Stelle hat in ihrem Ersuchen die Rechtsgrundlage der Mitwirkungs- oder Duldungspflicht mitzuteilen; beruht diese Pflicht auf einer Anordnung gegenüber den betroffenen Personen im Einzelfall, weist die ersuchende Stelle zugleich nach, dass eine entsprechende Anordnung ergangen und vollziehbar ist.

(5) Nach Absatz 1 erhobene Daten sind nach der Entlassung der Gefangenen unverzüglich zu löschen; §§ 63, 64 bleiben unberührt. Die Löschung ist in den Gefangenenpersonalakten zu dokumentieren.

§ 28
Erkennungsdienstlicher Datenabgleich

(1) Bestehen Zweifel an der Identität von Gefangenen, übermitteln die Justizvollzugsbehörden die von ihnen erhobenen oder anderweitig bei ihnen vorliegenden erkennungsdienstlichen Daten im Sinne des § 27 Absatz 1 sowie die bei ihnen im Sinne des § 14 Absatz 3 vorliegenden Daten unverzüglich dem Landeskriminalamt, soweit dies zur Identitätsfeststellung erforderlich ist. Das Landeskriminalamt veranlasst einen Abgleich der übermittelten Daten mit den dort vorliegenden Daten zum Zwecke der Identifizierung der Gefangenen und teilt das Ergebnis den Justizvollzugsbehörden mit.

(2) Unter den Voraussetzungen des Absatzes 1 Satz 1 dürfen die Justizvollzugsbehörden auch das Bundeskriminalamt sowie das Bundesamt für Migration und Flüchtlinge um einen Abgleich der erkennungsdienstlichen Daten und Identitätsdaten ersuchen.

§ 29
Einsatz optisch-elektronischer Einrichtungen

(1) Die Anstalten dürfen Räume und Freiflächen mittels optisch-elektronischer Einrichtungen nur beobachten, soweit eine gesetzliche Bestimmung dies aus Gründen der Sicherheit gestattet.

(2) Jede Anstalt, die optisch-elektronische Einrichtungen einsetzt, erstellt ein einheitliches Konzept zur optisch-elektronischen Beobachtung der baulichen Anlagen. Das Konzept hat alle betriebsfähigen Einrichtungen sowie die von ihnen erfassten Bereiche in kartenmäßiger Darstellung zu enthalten und ist laufend fortzuschreiben.

(3) Bei der Planung optisch-elektronischer Einrichtungen ist sicherzustellen, dass

1.

die Beobachtung nur insoweit erfolgt, als dies aus Gründen der Sicherheit erforderlich ist, insbesondere um das Betreten bestimmter Zonen durch Unbefugte zu verhindern und

2.

den Gefangenen in den Anstalten angemessene Bereiche verbleiben, in denen sie nicht mittels optisch-elektronischer Einrichtungen beobachtet werden.

(4) Die Beobachtung mittels optisch-elektronischer Einrichtungen von Räumen und Freiflächen ist durch sprachliche und nicht sprachliche Zeichen auf eine Weise kenntlich zu machen, die die Tatsache und die Reichweite der Beobachtung jederzeit eindeutig erkennbar macht.

(5) Bei Gefangenentransporten ist in den vom Justizvollzug genutzten Fahrzeugen die Beobachtung von Gefangenen mittels optisch-elektronischer Einrichtungen zulässig; Absatz 4 und § 32 Absatz 4 gelten entsprechend.

§ 30
Optisch-elektronische Einrichtungen im Umfeld der Anstalt

Die Beobachtung öffentlich frei zugänglichen Raumes außerhalb der Grenzen der Anstalt mittels optisch-elektronischer Einrichtungen ist nur und soweit zulässig, wie dies aufgrund der örtlichen Gegebenheiten zur Wahrnehmung des Hausrechts oder zur Sicherheit der Anstalt auch unter Berücksichtigung der Belange Dritter unbedingt erforderlich ist, insbesondere um Entweichungen, Befreiungen und Überwürfe von Gegenständen auf das Anstaltsgelände zu verhindern.

§ 31
Optisch-elektronische Einrichtungen innerhalb der Anstalt

Die Beobachtung von Räumen und Freiflächen innerhalb der Anstalt mittels optisch-elektronischer Einrichtungen ist zulässig, soweit dies aus Gründen der Sicherheit erforderlich ist, insbesondere um die Gefangenen zu beaufsichtigen und das Betreten bestimmter Zonen durch Unbefugte zu verhindern, und § 32 nichts anderes bestimmt.

§ 32
Optisch-elektronische Einrichtungen innerhalb von Hafträumen und Zimmern

(1) Die Beobachtung innerhalb von Hafträumen und Zimmern mittels optisch-elektronischer Einrichtungen ist nicht zulässig, soweit nachfolgend nichts anderes bestimmt ist.

(2) Im Rahmen einer Beobachtung als besonderer Sicherungsmaßnahme ist die optisch-elektronische Beobachtung zulässig, soweit dies zur Abwehr einer gegenwärtigen Gefahr für Leib oder Leben erforderlich ist. Soweit die Erforderlichkeit entfällt, ist die optisch-elektronische Beobachtung unverzüglich zu beenden. Die optisch-elektronische Beobachtung ist im Rahmen der Anordnung der Beobachtung schriftlich anzuordnen und zu begründen; in der Anordnung ist der Umfang der Beobachtung zu bestimmen. Sie ist spätestens nach 72 Stunden zu beenden, sofern sie nicht durch eine neue Anordnung verlängert wird.

(3) Während der Dauer der optisch-elektronischen Beobachtung ist diese für die Gefangenen kenntlich zu machen.

(4) Bei der Gestaltung und Beobachtung optisch-elektronisch beobachteter Hafträume und Zimmer ist auf die elementaren Bedürfnisse der Gefangenen nach Wahrung ihrer Intimsphäre angemessen Rücksicht zu nehmen, insbesondere sind sanitäre Einrichtungen von der Beobachtung auszunehmen; hilfsweise ist die Erkennbarkeit dieser Bereiche durch technische Maßnahmen auszuschließen. Bei akuter Selbstverletzungs- oder Selbsttötungsgefahr ist im Einzelfall eine uneingeschränkte Überwachung zulässig. Die Beobachtung weiblicher Gefangener soll durch weibliche Bedienstete, die Beobachtung männlicher Gefangener durch männliche Bedienstete erfolgen.

(5) Die optisch-elektronische Beobachtung ist zu unterbrechen, wenn sie im Einzelfall vorübergehend nicht erforderlich oder die Beaufsichtigung gesetzlich ausgeschlossen ist.

§ 33
Speicherung mittels optischer oder akustischer Einrichtungen erhobener Daten, Dokumentation

(1) Die mittels optisch-elektronischer Einrichtungen zulässig erhobenen Daten dürfen nur gespeichert werden, wenn dies zur Erreichung des die Erhebung gestattenden Zwecks erforderlich ist. Sobald dieser Zweck entfällt, sind die Daten unverzüglich, spätestens nach 48 Stunden zu löschen. § 64 Absatz 1 Satz 1 Nummer 1 bis 3 und 5 bleibt unberührt.

(2) Für die Speicherung der mittels akustisch-elektronischer Einrichtungen zulässig erhobenen Daten gilt Absatz 1 entsprechend. Darüber hinaus ist eine Speicherung auch zulässig, soweit und solange dies zur Übermittlung der erhobenen Daten an das Gericht, das die inhaltliche Überwachung der Gespräche angeordnet hat, erforderlich ist.

(3) Mittels optisch-elektronischer oder akustisch-elektronischer Einrichtungen dürfen Daten nicht erhoben werden, die dem Kernbereich der privaten Lebensgestaltung unterfallen. Soweit möglich, ist dies technisch und durch geeignete Maßnahmen und Prüfungen sicherzustellen. Gleichwohl erhobene Daten, die den Kernbereich privater Lebensgestaltung betreffen, dürfen nicht verwertet werden und sind unverzüglich zu löschen. Die Tatsachen der Erhebung der Daten und ihrer Löschung sind gesondert zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Nicht vom Kernbereich der privaten Lebensgestaltung erfasst sind in der Regel Gespräche über Straftaten oder Gespräche, durch die Straftaten begangen werden.

(4) Die Verarbeitung der mittels optisch-elektronischer oder akustisch-elektronischer Einrichtungen erhobenen Daten ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt.

§ 34
Auslesen von Datenspeichern

(1) Elektronische Datenspeicher sowie elektronische Geräte mit Datenspeicher, die sich ohne Erlaubnis in der Anstalt befinden, dürfen auf schriftliche einzelfallbezogene Anordnung der Anstaltsleiterin oder des Anstaltsleiters ausgelesen werden, soweit konkrete tatsächliche Anhaltspunkte die Annahme rechtfertigen, dass dies für vollzugliche Zwecke erforderlich ist. Die Gründe sind in der Anordnung festzuhalten. Sind die betroffenen Personen bekannt, sind ihnen die Gründe vor dem Auslesen mitzuteilen. Beim Auslesen sind die schutzwürdigen Interessen der betroffenen Personen zu berücksichtigen. Das Auslesen ist möglichst auf die Inhalte zu beschränken, die zur Erreichung der die Anordnung begründenden Zwecke erforderlich sind.

(2) Die nach Absatz 1 erhobenen Daten dürfen zu den Zwecken, zu denen sie erhoben wurden, verarbeitet werden, soweit dies erforderlich ist. Darüber hinaus ist die Verarbeitung unter den Voraussetzungen des § 10 Absatz 2 und 3, § 12 Absatz 3 und 6 und § 17 zulässig.

(3) Daten, die dem Kernbereich privater Lebensgestaltung unterfallen, dürfen nicht nach Absatz 1 erhoben werden. Soweit möglich, ist dies technisch und durch geeignete Maßnahmen und Prüfungen sicherzustellen. Gleichwohl erhobene Daten, die den Kernbereich privater Lebensgestaltung betreffen, dürfen nicht verwertet werden und sind unverzüglich zu löschen. Die Tatsachen der Erhebung der Daten und ihrer Löschung sind gesondert zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist.

(4) Die Gefangenen sind bei der Aufnahme über die Möglichkeit des Auslesens von nicht gestatteten Datenspeichern zu belehren.

§ 35
Identifikation anstaltsfremder Personen

(1) Das Betreten der Anstalt durch anstaltsfremde Personen kann davon abhängig gemacht werden, dass diese zur Identitätsfeststellung

1.

ihre Vornamen, ihren Namen und ihre Anschrift angeben und durch amtliche Ausweise nachweisen und

2.

die Erhebung von eindeutigen Identifikationsmerkmalen des Gesichts, der Augen, der Hände, der Stimme oder der Unterschrift dulden, soweit dies erforderlich oder, wenn es sich um biometrische Daten handelt, unbedingt erforderlich ist, um Entweichungen von Gefangenen durch verwechselungsbedingtes Verlassen der Anstalt zu verhindern.

(2) Eine Verarbeitung der nach Absatz 1 Nummer 2 erhobenen Identifikationsmerkmale ist nur zulässig, soweit dies erforderlich ist zur

1.

Identitätsüberprüfung vor dem Verlassen der Anstalt oder

2.

Verfolgung von Straftaten, bei denen der Verdacht besteht, dass sie während des Aufenthalts in der Anstalt begangen wurden; die zur Strafverfolgung erforderlichen Daten können hierzu der zuständigen Strafverfolgungsbehörde übermittelt werden; dies gilt auch für die Verfolgung von Ordnungswidrigkeiten gemäß § 115 des Gesetzes über Ordnungswidrigkeiten.

(3) Die nach Absatz 1 Nummer 2 erhobenen Identifikationsmerkmale sind spätestens 24 Stunden nach ihrer Erhebung zu löschen, soweit sie nicht nach Absatz 2 Nummer 2 übermittelt werden dürfen; in diesem Fall sind sie unverzüglich zu übermitteln und danach zu löschen.

(4) § 28 gilt entsprechend.

§ 36
Lichtbildausweise

(1) Die Anstalt kann die Gefangenen verpflichten, einen Lichtbildausweis mit sich zu führen, wenn dies aus Gründen der Sicherheit oder Ordnung der Anstalt erforderlich ist. Dabei ist sicherzustellen, dass der Ausweis nur die zur Erreichung dieser Zwecke notwendigen Daten enthält.

(2) Der Ausweis ist bei der Entlassung oder bei der Verlegung in eine andere Anstalt einzuziehen und unverzüglich zu vernichten.

Abschnitt 6
Schutzanforderungen

§ 37
Zweckbindung

Empfänger dürfen personenbezogene Daten nur zu dem Zweck speichern, nutzen und übermitteln, zu dessen Erfüllung sie übermittelt wurden. Für andere Zwecke dürfen sie diese Daten nur speichern, nutzen und übermitteln, soweit sie ihnen auch für diese Zwecke hätten überlassen werden dürfen und wenn im Fall einer Übermittlung an eine nichtöffentliche Stelle die Justizvollzugsbehörde zugestimmt hat. Die Justizvollzugsbehörden weisen die Empfänger auf die Zweckbindung nach den Sätzen 1 und 2 hin.

§ 38
Schutzvorkehrungen

(1) Personenbezogene Daten in Akten und Dateisystemen sind gegen unbefugten Zugang und unbefugten Gebrauch zu schützen. Für Art und Umfang der hierzu erforderlichen technischen und organisatorischen Maßnahmen gelten §§ 39 bis 41.

(2) Jede dem Verantwortlichen unterstellte Person, die Zugang zu personenbezogenen Daten hat, verarbeitet diese Daten ausschließlich auf Weisung des Verantwortlichen, es sei denn, dass eine Rechtsvorschrift sie zur Verarbeitung verpflichtet. Soweit nichts anderes geregelt ist, dürfen sich die Bediensteten von personenbezogenen Daten nur Kenntnis verschaffen, wenn dies zur Erfüllung der ihnen obliegenden Aufgaben oder sonst zur Erreichung des Vollzugsziels erforderlich ist.

(3) Gesundheitsakten sind getrennt von anderen Unterlagen zu führen und besonders zu sichern.

§ 39
Verzeichnis von Verarbeitungstätigkeiten

(1) Die Justizvollzugsbehörden haben ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in ihre Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:

1.

den Namen und die Kontaktdaten der jeweiligen Justizvollzugsbehörde und den Namen sowie die Kontaktdaten der oder des behördlichen Datenschutzbeauftragten,

2.

die Zwecke der Verarbeitung,

3.

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

4.

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,

5.

die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,

6.

die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten,

7.

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 40,

8.

die Rechtsgrundlage der Verarbeitung und

9.

die Verwendung von Profiling.

(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag der Justizvollzugsbehörden durchführt, das folgende Angaben zu enthalten hat:

1.

den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie der oder des behördlichen Datenschutzbeauftragten,

2.

Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation unter Angabe des Staates oder der Organisation und

3.

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 40.

(3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder in einem elektronischen Format zu führen.

(4) Die Justizvollzugsbehörden und Auftragsverarbeiter stellen ihre Verzeichnisse der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung.

§ 40
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

(1) Die Justizvollzugsbehörden und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten.

(2) Die von den Justizvollzugsbehörden zu treffenden technischen und organisatorischen Maßnahmen gewährleisten, dass

1.

nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),

2.

personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),

3.

personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),

4.

personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können (Authentizität),

5.

festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),

6.

die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz),

7.

personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck verarbeitet werden können, sofern nicht eine Rechtsvorschrift dies erlaubt oder anordnet (Nicht-Verkettbarkeit), und

8.

Verfahren so gestaltet werden, dass sie den betroffenen Personen die Ausübung der in den Abschnitten 8 und 9 genannten Rechte wirksam ermöglichen (Intervenierbarkeit).

(3) Zur Umsetzung der Maßnahmen nach Absatz 2 ergreifen die Justizvollzugsbehörden oder der Auftragsverarbeiter im Fall einer automatisierten Verarbeitung nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:

1.

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

2.

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

3.

Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

4.

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

5.

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

6.

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

7.

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

8.

Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

9.

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

10.

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

11.

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

12.

Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

13.

Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), und

14.

Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

(4) Die Justizvollzugsbehörden treffen geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellungen in der Regel nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.

(5) Die zu treffenden technischen und organisatorischen Maßnahmen sind auf der Grundlage eines zu dokumentierenden Sicherheitskonzepts zu ermitteln, zu dessen Bestandteilen die Abschätzung von Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für das Recht auf informationelle Selbstbestimmung gehört. Die Wirksamkeit der Maßnahmen ist unter Berücksichtigung sich verändernder Rahmenbedingungen und Entwicklungen der Technik zu überprüfen. Die sich daraus ergebenden notwendigen Anpassungen sind zeitnah umzusetzen, soweit dies mit einem angemessenen Aufwand möglich ist. § 41 bleibt unberührt.

§ 41
Datenschutz-Folgenabschätzung bei hohem Risiko

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, führen die Justizvollzugsbehörden vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durch.

(2) Für mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.

(3) Die Justizvollzugsbehörden beteiligen die behördlichen Datenschutzbeauftragten an der Durchführung der Datenschutz-Folgenabschätzung.

(4) Die Datenschutz-Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und mindestens Folgendes zu enthalten:

1.

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

2.

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,

3.

eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und

4.

die Maßnahmen, mit denen Gefahren abgewendet werden sollen, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.

§ 42
Protokollierung

(1) In automatisierten Verarbeitungssystemen sind die folgenden Verarbeitungsvorgänge zu protokollieren:

1.

Erhebung und Speicherung,

2.

Veränderung,

3.

Abfrage,

4.

Offenlegung einschließlich Übermittlung,

5.

Kombination und

6.

Löschung oder Einschränkung der Verarbeitung.

(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen. Aus der Identität der Person muss sich auch die Begründung für eine Abfrage oder Offenlegung ableiten lassen.

(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die behördlichen Datenschutzbeauftragten, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit sowie für die Eigenüberwachung und für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten verwendet werden. Die Protokolldaten dürfen auch zur Verfolgung von Straftaten oder für beamtenrechtliche oder disziplinarrechtliche Maßnahmen im Zusammenhang mit einer Verletzung des Datengeheimnisses verarbeitet werden.

(4) Die Protokolldaten sind zwei Jahre nach ihrer Erstellung zu löschen.

(5) Die Protokolle sind der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit auf Anforderung zur Verfügung zu stellen.

§ 43
Kenntlichmachung innerhalb der Anstalt

(1) Personenbezogene Daten von Gefangenen dürfen innerhalb der Anstalt nur kenntlich gemacht werden, soweit dies für ein geordnetes Zusammenleben in der Anstalt erforderlich ist und Bestimmungen dieses Gesetzes nicht entgegenstehen.

(2) Besondere Kategorien personenbezogener Daten von Gefangenen dürfen in der Anstalt nicht allgemein kenntlich gemacht werden.

§ 44
Erkenntnisse aus Beaufsichtigungs-, Überwachungs- und Kontrollmaßnahmen

(1) Die bei der Beaufsichtigung oder der Überwachung der Besuche, der Überwachung der Telekommunikation, der Sichtkontrolle oder der Überwachung des Schriftwechsels oder der Kontrolle des Inhalts von Paketen in zulässiger Weise bekannt gewordenen personenbezogenen Daten sind in Akten und Dateisystemen des Vollzuges sowie bei einer Übermittlung eindeutig als solche zu kennzeichnen. Sie dürfen nur verarbeitet werden

1.

mit Einwilligung der Gefangenen,

2.

für die Maßnahmen der Vollzugs- und Eingliederungsplanung,

3.

zur Aufrechterhaltung der Sicherheit oder Ordnung der Anstalt oder

4.

für die in § 10 Absatz 2 Nummer 2 bis 7 und § 16 genannten Zwecke.

(2) Die nach Absatz 1 Satz 1 zulässig bekannt gewordenen Daten dürfen im Vollzug der Untersuchungshaft und der Freiheitsentziehungen nach § 1 Absatz 1 Nummer 2 über die in Absatz 1 Satz 2 bezeichneten Zwecke hinaus auch verarbeitet werden zur

1.

Abwehr von Gefährdungen der Aufgabe des Vollzuges der Untersuchungshaft oder

2.

Umsetzung einer Anordnung nach § 119 der Strafprozessordnung.

(3) Soweit die in Absatz 1 bezeichneten Daten dem Kernbereich der privaten Lebensgestaltung unterfallen, dürfen sie nicht aufgezeichnet, protokolliert oder sonst gespeichert und nicht auf andere Art verarbeitet werden. Nicht erfasst vom Kernbereich der privaten Lebensgestaltung sind in der Regel Gespräche über Straftaten oder Gespräche, durch die Straftaten begangen werden. Abweichend von Satz 1 gespeicherte Daten sind unverzüglich zu löschen. Die Tatsachen der Erfassung und der Löschung der Daten sind zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist.

Abschnitt 7
Besondere Bestimmungen für Geheimnisträgerinnen und Geheimnisträger

§ 45
Geheimnisträgerinnen und Geheimnisträger

(1) Die im Justizvollzug tätigen oder außerhalb des Justizvollzuges mit der Untersuchung, Behandlung oder Beratung von Gefangenen beauftragten

1.

Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Apothekerinnen und Apotheker oder Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert,

2.

Diplom-Psychologinnen und Diplom-Psychologen,

3.

staatlich anerkannten Sozialarbeiterinnen und Sozialarbeiter oder staatlich anerkannten Sozialpädagoginnen und Sozialpädagogen sowie

4.

Seelsorgerinnen und Seelsorger

unterliegen hinsichtlich der ihnen in der ausgeübten Funktion von Gefangenen anvertrauten oder sonst über Gefangene bekannt gewordenen Geheimnisse untereinander sowie gegenüber den Justizvollzugsbehörden und der Aufsichtsbehörde der Schweigepflicht, soweit nichts anderes bestimmt ist. Dies gilt entsprechend für ihre berufsmäßig tätigen Gehilfinnen und Gehilfen und die Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind, nicht aber gegenüber den Berufsgeheimnisträgerinnen oder den Berufsgeheimnisträgern.

(2) Die Anstalt weist externe Geheimnisträgerinnen und Geheimnisträger nach Absatz 1 Satz 1 Nummer 1 bis 3 (Berufsgeheimnisträgerinnen und Berufsgeheimnisträger) auf die Offenbarungspflichten und -befugnisse hin.

§ 46
Offenbarungspflicht

(1) Berufsgeheimnisträgerinnen und Berufsgeheimnisträger haben der Anstaltsleiterin oder dem Anstaltsleiter ihnen bekannte personenbezogene Daten von sich aus oder auf Befragen zu offenbaren, auch wenn sie ihnen im Rahmen des beruflichen Vertrauensverhältnisses anvertraut wurden oder sonst bekannt geworden sind, soweit dies auch unter Berücksichtigung der Interessen der Gefangenen an der Geheimhaltung der personenbezogenen Daten erforderlich, im Fall von besonderen Kategorien personenbezogener Daten unbedingt erforderlich, ist zur

1.

Abwehr einer Gefahr für das Leben eines Menschen, insbesondere zur Verhütung von Selbsttötungen,

2.

Abwehr einer erheblichen Gefahr für Körper oder Gesundheit eines Menschen,

3.

Abwehr der Gefahr der Begehung von Straftaten von erheblicher Bedeutung oder

4.

zur Aufgabenerfüllung der Justizvollzugsbehörden.

(2) Diplom-Psychologinnen und Diplom-Psychologen, staatlich anerkannte Sozialarbeiterinnen und Sozialarbeiter sowie staatlich anerkannte Sozialpädagoginnen und Sozialpädagogen, die als Bedienstete im Justizvollzug tätig sind, haben der Anstaltsleiterin oder dem Anstaltsleiter ihnen bekannte personenbezogene Daten von sich aus oder auf Befragen zu offenbaren, soweit dies zu vollzuglichen Zwecken erforderlich ist.

(3) Berufsgeheimnisträgerinnen und Berufsgeheimnisträger außerhalb des Justizvollzuges können die Verpflichtung nach Absatz 1 auch gegenüber in der Anstalt beschäftigten Berufsgeheimnisträgerinnen oder Berufsgeheimnisträgern erfüllen.

§ 47
Offenbarungsbefugnis

(1) Die Berufsgeheimnisträgerinnen und Berufsgeheimnisträger sind befugt, die ihnen im Rahmen des beruflichen Vertrauensverhältnisses anvertrauten oder sonst bekannt gewordenen personenbezogenen Daten gegenüber der Anstaltsleiterin oder dem Anstaltsleiter zu offenbaren, soweit die Gefangenen einwilligen. Sonstige Offenbarungsbefugnisse bleiben unberührt.

(2) Behandeln Berufsgeheimnisträgerinnen oder Berufsgeheimnisträger gleichzeitig oder nacheinander dieselben Gefangenen, unterliegen sie im Verhältnis zueinander nicht der Schweigepflicht und sind zur umfassenden gegenseitigen Information und Auskunft befugt, wenn eine wirksame Einwilligung der Gefangenen vorliegt oder wenn dies zum Zwecke einer zielgerichteten gemeinsamen Behandlung erforderlich, im Fall von besonderen Kategorien personenbezogener Daten unbedingt erforderlich ist.

§ 48
Benachrichtigung der Gefangenen über Offenbarungen

(1) Vor der Erhebung personenbezogener Daten sind die Gefangenen durch die Berufsgeheimnisträgerinnen oder Berufsgeheimnisträger oder durch die Anstalt schriftlich über die nach diesem Gesetz bestehenden Offenbarungspflichten und Offenbarungsbefugnisse zu unterrichten. Bei Einschaltung von Berufsgeheimnisträgerinnen oder Berufsgeheimnisträgern außerhalb der Anstalt erfolgt die Unterrichtung nach Satz 1 stets durch die Anstalt.

(2) Die Gefangenen sind von einer Offenbarung gemäß § 46 Absatz 1 Nummer 2 und Absatz 3 und § 47 Absatz 1 zu benachrichtigen. Eine Pflicht zur Benachrichtigung besteht nicht, sofern die Gefangenen auf andere Weise Kenntnis von der Offenbarung erlangt haben. Die Benachrichtigung kann unterbleiben, solange hierdurch der Zweck der Maßnahme vereitelt würde. Die Benachrichtigung ist unverzüglich nachzuholen, sobald der Zweck der Maßnahme entfallen ist.

§ 49
Zweckbindung offenbarter personenbezogener Daten, Zulassung von Offenbarungsempfängern

(1) Die nach den § 46 und § 47 offenbarten personenbezogenen Daten dürfen nur für den Zweck, für den sie offenbart wurden oder für den eine Offenbarung zulässig gewesen wäre, und nur unter denselben Voraussetzungen gespeichert, genutzt und übermittelt werden, unter denen Berufsgeheimnisträgerinnen und Berufsgeheimnisträger selbst hierzu befugt wären.

(2) Die Anstaltsleiterin oder der Anstaltsleiter kann unter diesen Voraussetzungen die unmittelbare Offenbarung gegenüber bestimmten Bediensteten allgemein zulassen.

§ 50
Zugriff auf Daten in Notfällen

(1) Alle im Justizvollzug tätigen Personen dürfen sich Kenntnis auch von besonderen Kategorien personenbezogener Daten zu dem Zweck verschaffen, diese Daten unmittelbar und unverzüglich den zur Notfallrettung eingesetzten Personen zu übermitteln, soweit die Gefangene oder der Gefangene

1.

einwilligt oder

2.

zur Einwilligung unfähig ist und die Kenntnisverschaffung zur Abwehr einer gegenwärtigen Gefahr für das Leben eines Menschen oder einer gegenwärtigen erheblichen Gefahr für die Gesundheit eines Menschen unbedingt erforderlich ist.

(2) Soweit dies zur Abwehr einer gegenwärtigen Gefahr für das Leben oder einer gegenwärtigen erheblichen Gefahr für die Gesundheit eines Menschen erforderlich ist, dürfen sich im Justizvollzug tätige Personen Kenntnis von personenbezogenen Daten verschaffen, die von Berufsgeheimnisträgerinnen oder Berufsgeheimnisträgern erhoben worden sind.

(3) Die anderweitige Verarbeitung der so erlangten Daten ist unzulässig. Die Kenntnisnahme ist in den Gefangenenpersonalakten zu dokumentieren.

Abschnitt 8
Rechte der betroffenen Personen und Pflichten des Verantwortlichen und
Auftragsverarbeiters bei Verletzungen des Schutzes personenbezogener Daten

§ 51
Allgemeine Informationen zur Datenverarbeitung

Die verantwortlichen Justizvollzugsbehörden stellen den Gefangenen und anderen betroffenen Personen Informationen in allgemeiner und verständlicher Form zur Verfügung über

1.

die Zwecke, für die die personenbezogenen Daten verarbeitet werden,

2.

die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung,

3.

ihre Namen und ihre Kontaktdaten und die Kontaktdaten ihrer behördlichen Datenschutzbeauftragten,

4.

das Recht, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit anzurufen, und deren oder dessen Kontaktdaten.

§ 52
Aufklärungspflicht bei der Datenerhebung mit Kenntnis der betroffenen Personen

Werden personenbezogene Daten bei betroffenen Personen mit deren Kenntnis erhoben, sind sie in geeigneter Weise über den Zweck der Datenerhebung und das Bestehen von Auskunfts- und Berichtigungsrechten aufzuklären. Werden die personenbezogenen Daten aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, sind die betroffenen Personen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. Sind die Angaben für die Gewährung einer Leistung erforderlich, sind die betroffenen Personen über die möglichen Folgen einer Nichtbeantwortung aufzuklären.

§ 53
Benachrichtigung bei Datenerhebung ohne Kenntnis der betroffenen Personen
oder bei Datenübermittlung zu einem anderen als dem Erhebungszweck

(1) Über eine ohne ihre Kenntnis vorgenommene Erhebung personenbezogener Daten oder eine Übermittlung von Daten zu Zwecken, zu denen sie nicht erhoben worden sind, werden die Gefangenen und andere betroffene Personen unter Angabe dieser Daten benachrichtigt. Diese Benachrichtigung enthält neben den in § 51 aufgeführten allgemeinen Informationen insbesondere die folgenden Angaben:

1.

die Rechtsgrundlage der Verarbeitung,

2.

die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer und

3.

die Empfänger der personenbezogenen Daten.

(2) In den Fällen des Absatzes 1 dürfen die Justizvollzugsbehörden die Benachrichtigung aufschieben, einschränken oder unterlassen, soweit und solange andernfalls

1.

die Erreichung der vollzuglichen Zwecke nach § 2 Nummer 2 gefährdet würde,

2.

Verfahren zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Strafvollstreckung gefährdet würden,

3.

die öffentliche Sicherheit gefährdet würde,

4.

dem Wohl des Bundes oder eines Landes Nachteile bereitet würden oder

5.

die Rechte einer anderen Person gefährdet oder beeinträchtigt würden, und das Interesse an der Vermeidung dieser Gefahren und Nachteile das Interesse der betroffenen Personen an der Benachrichtigung überwiegt.

(3) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an Behörden der Staatsanwaltschaft, Polizeibehörden, Landesfinanzbehörden, soweit diese personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, Verfassungsschutzbehörden des Bundes und der Länder, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. Dies gilt für die Erhebung von personenbezogenen Daten bei den in Satz 1 genannten Behörden entsprechend.

(4) Im Fall der eingeschränkten Benachrichtigung gemäß Absatz 2 gilt § 54 Absatz 6 entsprechend. Die Justizvollzugsbehörden dokumentieren die Gründe für die Entscheidung nach Absatz 2.

§ 54
Auskunftsrecht der betroffenen Personen

(1) Die Justizvollzugsbehörden erteilen den betroffenen Personen auf Antrag Auskunft darüber, ob sie diese Personen betreffende personenbezogene Daten verarbeiten. Bei einer Datenverarbeitung nach Satz 1 haben betroffene Personen darüber hinaus das Recht, Informationen zu erhalten über

1.

die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,

2.

die verfügbaren Informationen zur Herkunft der Daten,

3.

die Zwecke der Verarbeitung und deren Rechtsgrundlage,

4.

die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind,

5.

die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

6.

das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch die Justizvollzugsbehörden,

7.

das Recht, die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit anzurufen, sowie

8.

Angaben zu den Kontaktdaten der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit.

(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

(3) Von der Auskunftserteilung ist abzusehen, wenn die betroffenen Personen keine Angaben machen, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von den betroffenen Personen geltend gemachten Informationsinteresse steht.

(4) Die Justizvollzugsbehörden dürfen unter den Voraussetzungen des § 53 Absatz 2 und 3 von einer Auskunft absehen, diese aufschieben oder einschränken.

(5) Die Justizvollzugsbehörden unterrichten die betroffenen Personen unverzüglich schriftlich über das Absehen von oder die Einschränkung einer Auskunft. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung, einen Nachteil oder eine Beeinträchtigung im Sinne des § 53 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten Zweck gefährden würde.

(6) Werden die betroffenen Personen nach Absatz 5 über das Absehen von oder die Einschränkung der Auskunft unterrichtet, können sie ihr Auskunftsrecht auch über die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit ausüben. Die Justizvollzugsbehörden unterrichten die betroffenen Personen über diese Möglichkeit sowie darüber, dass sie die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit anrufen oder gerichtlichen Rechtsschutz suchen können. Machen die betroffenen Personen von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft auf ihr Verlangen der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit zu erteilen. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit unterrichtet die betroffenen Personen darüber, dass alle erforderlichen Prüfungen erfolgt sind oder eine Überprüfung durch sie oder ihn stattgefunden hat. Diese Mitteilung kann die Information enthalten, dass datenschutzrechtliche Verstöße festgestellt wurden, darf jedoch Rückschlüsse auf den Erkenntnisstand der Justizvollzugsbehörden nicht zulassen, soweit diese keiner weitergehenden Auskunft zustimmen. Die Justizvollzugsbehörden dürfen die Zustimmung nur soweit und solange verweigern, wie sie nach Absatz 4 von einer Auskunft absehen oder sie einschränken können. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit unterrichtet zudem die betroffenen Personen über ihr Recht auf gerichtlichen Rechtsschutz.

(7) Die Auskunft kann auch durch die Gewährung von Akteneinsicht oder die Aushändigung von Kopien oder Ausdrucken erteilt werden. Dabei ist das Interesse der Gefangenen und anderer betroffener Personen an einer bestimmten Form der Auskunftserteilung zu berücksichtigen.

(8) Die Justizvollzugsbehörden dokumentieren die Gründe für die Entscheidung.

(9) Die Auskunft nach Absatz 1 ist unentgeltlich. Die Fertigung von Ablichtungen und Ausdrucken ist gebührenpflichtig. Die betroffenen Personen entrichten die zu erwartenden Kosten im Voraus. Sind die Gefangenen dazu nicht in der Lage, können die Justizvollzugsbehörden die Kosten in begründeten Fällen in angemessenem Umfang übernehmen.

§ 55
Akteneinsichtsrecht

(1) Ist betroffenen Personen Auskunft nach § 54 zu gewähren, erhalten sie auf Antrag Akteneinsicht, soweit eine Auskunft für die Wahrnehmung ihrer rechtlichen Interessen nicht ausreicht, die Einsichtnahme hierfür unbedingt erforderlich ist und überwiegende berechtigte Interessen Dritter nicht entgegenstehen. Soweit Aktenbestandteile mit einem Sperrvermerk versehen sind, unterliegen sie nicht der Akteneinsicht.

(2) Betroffene Personen können auf eigene Kosten bei einer Einsicht hinzuziehen

1.

eine Person aus dem Kreis

a)

der Rechtsanwältinnen und Rechtsanwälte,

b)

der Notarinnen und Notare,

c)

der gewählten Verteidigerinnen und Verteidiger im Sinne des § 138 Absatz 1 und 2 der Strafprozessordnung,

d)

der Beistände nach § 69 des Jugendgerichtsgesetzes,

2.

Personensorgeberechtigte sowie

3.

eine allgemein beeidigte Dolmetscherin oder einen allgemein beeidigten Dolmetscher.

Die betroffenen Personen können ihr Akteneinsichtsrecht auch durch eine Person aus dem in Satz 1 Nummer 1 und 2 genannten Personenkreis allein ausüben lassen (Akteneinsicht durch Beauftragte). Eine Hinzuziehung oder Beauftragung anderer Gefangener ist unzulässig, auch wenn diese zu dem in Satz 1 genannten Personenkreis gehören.

(3) Bei einer Einsichtnahme haben die betroffenen Personen das Recht, sich aus den Akten Notizen zu machen.

(4) Den betroffenen Personen sind aus den über sie geführten Akten oder Dateisystemen auf schriftlichen Antrag Ablichtungen oder Ausdrucke einzelner Dokumente zu überlassen, soweit ein berechtigtes Interesse vorliegt. Ein solches Interesse ist insbesondere anzunehmen, wenn die betroffenen Personen zur Geltendmachung von Rechten gegenüber Gerichten und Behörden auf Ablichtungen oder Ausdrucke angewiesen sind.

(5) Die Akteneinsicht ist unentgeltlich. Die Fertigung von Ablichtungen und Ausdrucken ist gebührenpflichtig. Die betroffenen Personen entrichten die zu erwartenden Kosten im Voraus. Sind die Gefangenen dazu nicht in der Lage, können die Justizvollzugsbehörden die Kosten in begründeten Fällen in angemessenem Umfang übernehmen.

§ 56
Auskunft und Akteneinsicht in Gesundheitsakten

Die Gefangenen erhalten auf Antrag Auskunft aus ihren oder Einsicht in ihre Gesundheitsakten. Für das Recht auf Akteneinsicht gilt § 55 Absatz 1 Satz 2, Absatz 2, 3 und 5 entsprechend.

§ 57
Sperrvermerke

(1) Sperrvermerke dürfen nur angebracht werden, soweit dies

1.

aus medizinischen Gründen allein zum Wohl der Gefangenen,

2.

zum Schutz überwiegender schutzwürdiger Interessen sowie von Leib oder Leben Dritter oder

3.

aufgrund einer Rechtsvorschrift, die zur Geheimhaltung verpflichtet,

und auch unter Berücksichtigung des Informationsinteresses der betroffenen Personen unbedingt erforderlich ist. Der Sperrvermerk gemäß Satz 1 Nummer 1 wird von den Berufsgeheimnisträgerinnen und Berufsgeheimnisträgern angebracht, die die zu sperrenden Aktenbestandteile zur Akte verfügt haben; die übrigen Sperrvermerke bringt die Anstaltsleiterin oder der Anstaltsleiter an.

(2) Der Grund und der Umfang der Sperrung sind in der Akte zu vermerken. Dieser Vermerk unterliegt ebenfalls der Sperrung. Gesperrte Aktenbestandteile sind gesondert von den übrigen Akten zu verwahren, soweit die Akten in Papierform geführt werden; im Übrigen sind sie besonders zu sichern.

§ 58
Verfahren für die Ausübung der Rechte der betroffenen Personen

(1) Die Justizvollzugsbehörden kommunizieren mit den betroffenen Personen in präziser, verständlicher und leicht zugänglicher Form und verwenden hierbei eine klare und einfache Sprache. Unbeschadet besonderer Formvorschriften sollen sie bei der Beantwortung von Anträgen die für den Antrag gewählte Form verwenden.

(2) Die Justizvollzugsbehörden informieren die betroffenen Personen unverzüglich schriftlich darüber, wie mit ihrem Antrag verfahren wurde. § 54 Absatz 5 und § 66 Absatz 3 bleiben unberührt.

(3) Die Erteilung von allgemeinen Informationen nach § 51, die Aufklärung bei der Datenerhebung nach § 52, die Benachrichtigungen nach den § 53 und § 62 und die Bearbeitung von Anträgen nach den § 54 und § 66 erfolgen gebührenfrei. Bei offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 54, 55 und § 66 können die Justizvollzugsbehörden es ablehnen, aufgrund des Antrags tätig zu werden. In diesem Fall tragen die Justizvollzugsbehörden die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter des Antrags.

(4) Haben die Justizvollzugsbehörden begründete Zweifel an der Identität einer betroffenen Person, die einen Antrag nach den § 54 oder § 66 gestellt hat, können sie von ihr zusätzliche Informationen anfordern, die zur Bestätigung ihrer Identität erforderlich sind.

§ 59
Anrufung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit

(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit wenden, wenn sie der Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch die Justizvollzugsbehörden im Anwendungsbereich dieses Gesetzes in ihren Rechten verletzt worden zu sein. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 60 hinzuweisen.

(2) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer anderen Aufsichtsbehörde fällt, unverzüglich an die zuständige Aufsichtsbehörde weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.

§ 60
Rechtsschutz gegen Entscheidungen der oder des Landesbeauftragten für
Datenschutz und Informationsfreiheit oder bei deren oder dessen Untätigkeit

(1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit vorgehen.

(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit mit einer Beschwerde nach § 59 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

§ 61
Meldung von Verletzungen des Schutzes personenbezogener Daten an die
Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit

(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit nicht innerhalb von 72 Stunden, so ist die Verzögerung zu begründen.

(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.

(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:

1.

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,

2.

den Namen und die Kontaktdaten der oder des behördlichen Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,

3.

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und

4.

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.

(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.

(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.

(7) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.

§ 62
Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung zu benachrichtigen.

(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 61 Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.

(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn

1.

der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden;

2.

der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr im Sinne des Absatzes 1 mehr besteht, oder

3.

dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten nicht benachrichtigt hat, kann die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit von dem Verantwortlichen verlangen, dies nachzuholen oder förmlich feststellen, dass ihrer oder seiner Auffassung nach bestimmte in Absatz 3 genannte Voraussetzungen erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat.

(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 53 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.

Abschnitt 9
Löschung, Einschränkung der Verarbeitung und Berichtigung

§ 63
Löschung

(1) Personenbezogene Daten sind unverzüglich zu löschen, soweit ihre weitere Verarbeitung nicht mehr zulässig oder aus anderem Grund

1.

für die Erfüllung vollzuglicher Zwecke oder

2.

für die Durchführung wissenschaftlicher Forschungsvorhaben gemäß § 22 oder statistische Zwecke

nicht erforderlich ist. Unrichtige personenbezogene Daten sind unverzüglich zu löschen, wenn ihre Berichtigung nicht möglich ist.

(2) Die Erforderlichkeit der Löschung ist jährlich zu kontrollieren. Die Frist zur Kontrolle personenbezogener Daten nach Satz 1 beginnt mit dem Abschluss des Jahres der Entlassung oder Verlegung der Gefangenen in eine andere Anstalt, in sonstigen Fällen mit dem Abschluss des Jahres der Erhebung der personenbezogenen Daten.

(3) Personenbezogene Daten sind spätestens fünf Jahre nach der Entlassung oder der Verlegung der Gefangenen zu löschen; im Vollzug der Jugendstrafe beträgt die Frist drei Jahre und beim Jugendarrest zwei Jahre. Hiervon können bis zum Ablauf der Aufbewahrungsfrist für die Gefangenenpersonalakte die Angaben über Familienname, Vorname, Geburtsname, Geburtstag, Geburtsort, Eintritts- und Austrittsdatum der Gefangenen ausgenommen werden, soweit dies für das Auffinden der Gefangenenpersonalakte erforderlich ist.

(4) Soweit die Justizvollzugsbehörden im Vollzug der Untersuchungshaft und einer der Freiheitsentziehungen nach § 1 Absatz 1 Nummer 2 von einer nicht nur vorläufigen Einstellung des Verfahrens, einer unanfechtbaren Ablehnung der Eröffnung des Hauptverfahrens oder einem rechtskräftigen Freispruch Kenntnis erlangen, haben sie die personenbezogenen Daten unverzüglich zu löschen. Darüber hinaus sind in diesen Fällen auf Antrag der Gefangenen die Stellen, die eine Mitteilung nach § 20 erhalten haben, über den Verfahrensausgang in Kenntnis zu setzen. Die Gefangenen sind auf ihr Antragsrecht bei der Anhörung oder der nachträglichen Unterrichtung (§ 20 Absatz 6) hinzuweisen.

§ 64
Einschränkung der Verarbeitung

(1) Statt die gespeicherten personenbezogenen Daten zu löschen, ist deren Verarbeitung einzuschränken, wenn dies erforderlich ist,

1.

weil tatsächliche Anhaltspunkte zur Gefahrenverhütung, zur Gefahrenabwehr, zur Verhinderung und Verfolgung von Straftaten oder zur Erreichung der in § 10 Absatz 2 Nummer 4 genannten Zwecke bestehen,

2.

zur Feststellung, Durchsetzung oder Abwehr von Rechtsansprüchen im Zusammenhang mit dem Justizvollzug,

3.

weil Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Interessen betroffener Personen beeinträchtigt werden können,

4.

zu Zwecken der Datensicherung oder Datenschutzkontrolle,

5.

zu sonstigen Beweiszwecken,

6.

weil eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist oder

7.

weil einer Löschung nach § 63 die Aufbewahrungsfrist einer anderen Rechtsnorm entgegensteht.

Der Zweck der Einschränkung der Verarbeitung ist zu dokumentieren.

(2) In ihrer Verarbeitung nach Absatz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand; sie dürfen auch verarbeitet werden, soweit dies zur Behebung einer Beweisnot oder zur Verfolgung von Straftaten unerlässlich ist oder die betroffenen Personen einwilligen. Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist. Der Verarbeitungszweck ist zu dokumentieren sowie im Fall der Übermittlung der Empfänger.

(3) Die Verarbeitung personenbezogener Daten ist abweichend von Absatz 2 wieder uneingeschränkt möglich und die Einschränkung der Verarbeitung ist aufzuheben, wenn

1.

die betroffenen Personen eingewilligt haben oder

2.

die Gefangenen erneut in den Justizvollzug aufgenommen werden.

(4) Nach Absatz 1 in der Verarbeitung eingeschränkte Daten dürfen nicht über zehn Jahre hinaus aufbewahrt werden. Dies gilt nicht, wenn konkrete tatsächliche Anhaltspunkte dafür vorliegen, dass die Aufbewahrung für die in Absatz 1 genannten Zwecke weiterhin erforderlich ist. Die Aufbewahrungsfrist beginnt mit dem auf das Jahr der Weglegung folgenden Kalenderjahr. Die Bestimmungen des Bremischen Archivgesetzes bleiben unberührt.

§ 65
Berichtigung

(1) Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie unrichtig sind. Sie sind zu berichtigen, wenn sie unvollständig oder nicht mehr aktuell sind. Bei Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Soweit dies mit angemessenem Aufwand möglich ist, sind die personenbezogenen Daten vor ihrer Verarbeitung auf Richtigkeit, Vollständigkeit und Aktualität zu überprüfen. In Akten genügt es, in geeigneter Weise kenntlich zu machen, zu welchem Zeitpunkt oder aus welchem Grund sie unrichtig waren oder unrichtig geworden sind. Eine Vervollständigung personenbezogener Daten kann auch mittels einer ergänzenden Erklärung erfolgen.

(2) Kann die Richtigkeit oder Unrichtigkeit der personenbezogenen Daten nicht festgestellt werden, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. Vor der Aufhebung der Einschränkung sind die betroffenen Personen zu unterrichten.

§ 66
Rechte der betroffenen Personen auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

(1) Die betroffenen Personen haben das Recht, von den Justizvollzugsbehörden unverzüglich die Berichtigung sie betreffender unrichtiger Daten gemäß § 65 zu verlangen. Die betroffenen Personen können zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.

(2) Die betroffenen Personen können unter den Voraussetzungen von § 63 die Löschung der Daten verlangen.

(3) Die Justizvollzugsbehörden unterrichten die betroffenen Personen schriftlich über ein Absehen von der Berichtigung oder Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung der Verarbeitung. Dies gilt nicht, wenn bereits die Erteilung dieser Informationen eine Gefährdung im Sinne des § 53 Absatz 2 mit sich bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde. § 54 Absatz 6 und 8 gilt entsprechend.

§ 67
Mitteilungen

(1) Die Justizvollzugsbehörden teilen die Berichtigung personenbezogener Daten der Stelle mit, die sie ihnen zuvor übermittelt hat. Gleiches gilt in den Fällen der Löschung oder Einschränkung der Verarbeitung wegen unzulässiger Verarbeitung oder der Berichtigung der Daten für die Empfänger von Daten. Die Übermittlung unrichtiger personenbezogener Daten und die unrechtmäßige Übermittlung personenbezogener Daten sind den Empfängern unverzüglich mitzuteilen. Die Empfänger haben die Daten in eigener Verantwortung zu löschen, ihre Verarbeitung einzuschränken oder zu berichtigen.

(2) Die Einhaltung der vorgenannten Maßgaben ist durch geeignete technische oder organisatorische Vorkehrungen sicherzustellen.

Abschnitt 10
Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit

§ 68
Aufsichtsbehörde

Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit überwacht als Aufsichtsbehörde im Sinne des Artikels 41 der Richtlinie (EU) 2016/680 für den Anwendungsbereich dieses Gesetzes die Einhaltung der Vorschriften über den Datenschutz. Sie oder er ist zuständig für die Erfüllung der Aufgaben und Ausübung der Befugnisse, die ihr oder ihm durch dieses Gesetz übertragen wurden.

§ 69
Aufgaben

(1) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit hat im Anwendungsbereich dieses Gesetzes die weiteren Aufgaben,

1.

die Anwendung der datenschutzrechtlichen Regelungen dieses Gesetzes zu überwachen und durchzusetzen,

2.

die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären,

3.

die Bürgerschaft (Landtag), den Senat (Landesregierung) und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten zu beraten,

4.

die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich den zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,

5.

auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit anderen Aufsichtsbehörden im Sinne des Artikels 41 der Richtlinie (EU) 2016/680 zusammenzuarbeiten,

6.

sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und die Beschwerdeführerin oder den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde im Sinne des Artikels 41 der Richtlinie (EU) 2016/680 notwendig ist,

7.

mit anderen Aufsichtsbehörden im Sinne des Artikels 41 der Richtlinie (EU) 2016/680 zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten,

8.

Untersuchungen über die Anwendung dieses Gesetzes und sonstiger zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde im Sinne des Artikels 41 der Richtlinie (EU) 2016/680 oder einer anderen Behörde,

9.

maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,

10.

Beratung in Bezug auf die in § 71 genannten Verarbeitungsvorgänge zu leisten und

11.

Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.

(2) Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit bei der Erfüllung ihrer oder seiner Aufgaben mit dieser oder diesem zusammen.

(3) Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit erleichtert das Einreichen der in Absatz 1 Nummer 6 genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(4) Die Erfüllung der Aufgaben der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit ist für die betroffene Person unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

§ 70
Befugnisse

(1) Stellt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit bei der Datenverarbeitung durch die Justizvollzugsbehörden, deren Auftragsverarbeiter oder die Stellen, auf die die Justizvollzugsbehörden ihre Aufgaben ganz oder teilweise übertragen haben, Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber der Senatorin oder dem Senator für Justiz und Verfassung und fordert diese oder diesen zur Stellungnahme und, soweit notwendig, Abhilfe innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen oder auf eine Stellungnahme und soweit notwendig Abhilfe verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme der Senatorin oder des Senators für Justiz und Verfassung soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit getroffen worden sind. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit kann den Verantwortlichen oder einen Auftragsverarbeiter auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.

(2) Sofern die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit Verstöße nach Absatz 1 beanstandet hat und der Verstoß nach Fristablauf nach Absatz 1 fortbesteht, kann sie oder er nach nochmaliger Fristsetzung geeignete Maßnahmen anordnen, soweit dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften unbedingt erforderlich ist. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit darf nicht die sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung anordnen.

(3) Stellt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit einen strafbewehrten Verstoß gegen dieses Gesetz fest, ist sie oder er befugt, diesen zur Anzeige zu bringen.

(4) Die Justizvollzugsbehörden, ihre Auftragsverarbeiter und die Stellen, auf die die Justizvollzugsbehörden ihre Aufgaben ganz oder teilweise übertragen haben, sind verpflichtet, der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit und ihren oder seinen Beauftragten Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren. Die Pflicht nach Satz 1 besteht nicht, soweit die Senatorin oder der Senator für Justiz und Verfassung im Einzelfall feststellt, dass die Kenntniserlangung der Daten und Informationen die Sicherheit des Bundes oder eines Landes gefährden würde.

§ 71
Anhörung

(1) Der Verantwortliche oder der Auftragsverarbeiter hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Landesbeauftragte oder den Landesbeauftragten für Datenschutz und Informationsfreiheit anzuhören, wenn

1.

aus einer Datenschutz-Folgenabschätzung nach § 41 hervorgeht, dass die Verarbeitung eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hätte, sofern der Verantwortliche keine Abhilfemaßnahmen trifft, oder

2.

die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat.

Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.

(2) Der oder dem Landesbeauftragten für Datenschutz und Informationsfreiheit ist im Fall des Absatzes 1 die nach § 41 durchgeführte Datenschutz-Folgenabschätzung vorzulegen. Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.

(3) Falls die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten, und ihre in § 70 genannten Befugnisse ausüben. Die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung und die Gründe für die Verzögerung zu informieren.

(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit im Nachhinein zu berücksichtigen und die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.

Abschnitt 11
Anwendung weiterer Vorschriften und Schlussvorschriften

§ 72
Anwendung weiterer Vorschriften des allgemeinen Datenschutzrechts

(1) Soweit in diesem Gesetz nicht etwas Abweichendes geregelt ist, gilt das allgemeine Datenschutzrecht. Insbesondere finden die Vorschriften für

1.

die vertrauliche Meldung von Verstößen gegen Datenschutzvorschriften im Sinne des § 77 des Bundesdatenschutzgesetzes,

2.

die Benennung, Bestellung und die Aufgaben der behördlichen Datenschutzbeauftragten nach §§ 5 bis 7 des Bundesdatenschutzgesetzes; die Vorschriften des Bremischen Personalvertretungsgesetzes bleiben unberührt;

3.

die Übermittlung von personenbezogenen Daten an Stellen in Drittstaaten oder an internationale Organisationen im Sinne des §§ 78 bis 81 des Bundesdatenschutzgesetzes,

4.

Rechte und Pflichten sowie den Tätigkeitsbericht der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit nach § 13 Absatz 6 beziehungsweise § 15 des Bundesdatenschutzgesetzes,

5.

den Anspruch auf Schadensersatz, Entschädigung und die Strafvorschriften im Sinne des § 83 und § 84 des Bundesdatenschutzgesetzes,

6.

den gerichtlichen Rechtsschutz gegen Entscheidungen der oder des Landesbeauftragten für Datenschutz und Informationsfreiheit im Sinne des § 20 des Bundesdatenschutzgesetzes

entsprechende Anwendung.

(2) Für die Verarbeitung personenbezogener Daten durch Justizvollzugsbehörden außerhalb vollzuglicher Zwecke im sachlichen Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. Mai 2016, S. 1; ABl. L 314 vom 22. November 2016, S. 72; ABl. L 127 vom 23. Mai 2018, S. 2) gelten ausschließlich deren Bestimmungen und die hierzu erlassenen Vorschriften.

§ 73
Einschränkung von Grundrechten

Durch dieses Gesetz werden das Grundrecht auf informationelle Selbstbestimmung nach Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes und das Grundrecht auf Schutz personenbezogener Daten nach Artikel 12 Absatz 3 Satz 1 der Landesverfassung der Freien Hansestadt Bremen eingeschränkt.