Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)

wird nach vorheriger Unterrichtung verpflichtet, beim Umgang mit personenbezogenen Daten die datenschutzrechtlichen Bestimmungen einzuhalten.

  • Personenbezogene Daten dürfen Sie nur mit entsprechender Befugnis, die sich nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) insbesondere aus einer Rechtsvorschrift (u. a. Gesetz, Rechtsverordnung, Satzung) oder der Einwilligung der betroffenen Person ergeben kann, verarbeiten. 
  • Personenbezogene Daten dürfen Sie nur in dem Umfang und in der Weise verarbeiten, wie es zur Erfüllung der Ihnen übertragen Aufgaben erforderlich ist.
  • Personenbezogene Daten müssen Sie nach den Grundsätzen des Artikels 5 der Datenschutz-Grundverordnung verarbeiten. 
  • Sie haben die zur Gewährleistung des Datenschutzes nach Artikel 5, 24, 25, 32 und 36 der Datenschutz-Grundverordnung festgelegten technischen und organisatorischen Maßnahmen zu beachten. Insbesondere darf die Sicherheit der Verarbeitung nicht in einer Weise verletzt werden, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung personenbezogener Daten oder zum unbefugten Zugang zu personenbezogenen Daten führt.

 

Aus einer Verletzung der datenschutzrechtlichen Bestimmungen können sich für Sie dienst-, arbeits-, ordnungswidrigkeiten- oder strafrechtliche Konsequenzen ergeben. So kann die unbefugte Verarbeitung personenbezogener Daten nach Artikel 83 der Datenschutz-Grundverordnung mit einer Geldbuße oder nach § 32 des Brandenburgischen Datenschutzgesetzes (BbgDSG) mit einer Geldbuße bis zu 50.000 Euro oder gemäß § 33 BbgDSG als Straftat mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe geahndet werden. Unberührt davon bleibt eine mögliche Ahndung nach den §§ 120, 133, 201, 203, 204, 331, 332, 353 b oder 355 StGB mit Freiheits- oder Geldstrafe. Der oder die Brandenburgische Datenschutzbeauftragte verfolgt und ahndet Verletzungen von Rechtsvorschriften über den Schutz personenbezogener Daten. Bei Straftatbeständen kann der Dienstvorgesetzte Strafantrag stellen (§ 77 a Abs. 1 StGB).

In Spezialgesetzen (z. B. dem Beamtenrecht, Tarifrecht, Sozialrecht, Steuerrecht) geregelte Verschwiegenheitspflichten bleiben unberührt. 
Die Verpflichtung auf die Einhaltung des Datenschutzes besteht auch nach der Beendigung Ihrer Tätigkeit dauerhaft fort. 

 

 

Erklärung:
Ich erkläre, über die Pflichten nach den datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung sowie die Folgen ihrer Verletzung unterrichtet worden zu sein und diese Pflichten bei meiner Tätigkeit einzuhalten. Mit meiner Unterschrift bestätige ich zugleich den Empfang einer Kopie dieser Niederschrift einschließlich des Merkblattes zur Verpflichtung zur Einhaltung des Datenschutzes. 

Merkblatt zur Verpflichtung zur Einhaltung des Datenschutzes

Nachstehende ausgewählte gesetzliche Vorschriften sollen Ihnen einen Überblick über die datenschutzrechtlichen Regelungen verschaffen. Die Darstellung ist exemplarisch und nicht abschließend. Weitere Informationen zu datenschutzrechtlichen Fragestellungen erhalten Sie beim behördlichen Datenschutzbeauftragten bzw. bei der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

 

Auszug aus Artikel 4 (Begriffsbestimmungen)

 

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

4. “Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“

 

 

Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten)

 

(1)  Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

 

(2)  Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). 

 

 

Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen)

 

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; 

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; 

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; 

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; 

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und 

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: 

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; 

b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. 

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; 

d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

 (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Auszug aus dem Brandenburgischen Datenschutzgesetz:

 

§ 32 Ordnungswidrigkeiten 

 

(1)Ordnungswidrig handelt, wer entgegen den Vorschriften der Verordnung (EU) 2016/679, dieses Gesetzes oder einer anderen Rechtsvorschrift über den Schutz personenbezogener Daten, personenbezogene Daten, die nicht offenkundig sind,

1.erhebt, speichert, verwendet, verändert, übermittelt, weitergibt, zum Abruf bereit hält, den Personenbezug herstellt oder löscht,

2.abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung oder Weitergabe an sich oder andere veranlasst oder

3.in anderer Weise verarbeitet.

Ordnungswidrig handelt auch, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2)Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

(3)Gegen Behörden oder sonstige öffentliche Stellen im Sinne von § 2 Absatz 1 und 2 werden keine Geldbußen verhängt.

 

§ 33 Strafvorschrift

 

Wer gegen Entgelt oder in der Absicht sich oder einen anderen zu bereichern oder einen anderen zu schädigen, eine der in § 32 Absatz 1 genannten Handlungen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffenen Personen, die Verantwortlichen, die Auftragsverarbeiter und die oder der Landesbeauftragte.

 

Auszug aus dem Brandenburgischen Brand- und Katastrophenschutzgesetz - BbgBKG

 

§ 17 Datenschutz

 

(1) Für die Verarbeitung personenbezogener Daten sind die geltenden Datenschutzbestimmungen nach Maßgabe der folgenden Absätze einzuhalten.

(2) Die Aufgabenträger nach § 2 Abs. 1, die Aufsichtsbehörden und die Ausbildungsstätte nach § 5 Nr. 3 dürfen für Einsätze, Übungen sowie für die Aus- und Fortbildung notwendige personenbezogene Daten von Feuerwehrangehörigen und Helfern im Katastrophenschutz im erforderlichen Umfang verarbeiten. 

Hierzu zählen nur folgende Daten:

Name,

Vorname,

Geburtsdatum,

Anschrift,

Beruf,

Datum des Eintritts in die Feuerwehr oder der Verpflichtung in der Einheit oder Einrichtung des Katastrophenschutzes,

Name der Feuerwehr oder Bezeichnung der Einheit oder Einrichtung des Katastrophenschutzes,

Dienstgrad und Funktion in der Feuerwehr oder in der Einheit oder Einrichtung des Katastrophenschutzes,

Aus- und Fortbildungslehrgänge einschließlich der Beurteilungsergebnisse,

besondere Kenntnisse und Fähigkeiten,

Angaben über die Erreichbarkeit und

Beschäftigungsstelle und Bankverbindung.

(3) Die Träger der integrierten Regionalleitstellen dürfen personenbezogene Daten von Einsatzkräften und Patientinnen und Patienten zum Zwecke der Vorsorge für die Gefahrenabwehr, zur Bearbeitung von Notrufen, zur Steuerung und zur Abrechnung von Einsätzen nach diesem Gesetz verarbeiten und Notrufe aufzeichnen. Die personenbezogenen Daten und Aufzeichnungen sind spätestens nach sechs Monaten zu löschen. Satz 1 gilt entsprechend für Leitstellen oder Feuermelde- und Alarmzentralen der Werkfeuerwehren im Rahmen der ihnen gesetzlich übertragenen Zuständigkeit.

(4) Bei der Erfüllung von Entschädigungsansprüchen und Erstattungsansprüchen dürfen die zur Erstattung Verpflichteten personenbezogene Daten im dafür erforderlichen Umfang verarbeiten. Hierzu zählen nur folgende Daten:

die in Absatz 2 Nr. 1 bis 5 genannten Daten,

Name und Anschrift des Arbeitgebers und

Höhe und Art der Ansprüche sowie Bankverbindung.

(5) Die Aufgabenträger nach § 2 Abs. 1 können die notwendigen personenbezogenen Daten für die nach diesem Gesetz erstellten Gefahrenabwehrpläne, Alarm- und Einsatzpläne im erforderlichen Umfang verarbeiten. Hierzu zählen nur folgende Daten:

Name,

Vorname,

Anschrift,

Beruf und Funktion und

Angaben über die Erreichbarkeit.

(6) Die jeweils zuständigen Behörden dürfen den Trägern des örtlichen Brandschutzes und der örtlichen Hilfeleistung und den Katastrophenschutzbehörden die zur Aufgabenerfüllung erforderlichen betrieblichen Daten einschließlich der darin enthaltenen personenbezogenen Daten übermitteln. Die Behörden übermitteln diese Daten auf Anforderung, soweit ihnen diese im Rahmen ihrer Aufgabenerfüllung bekannt geworden sind. Sie übermitteln die Daten im Einzelfall auch ohne Anforderung, wenn dies zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist.

 

§ 27 Rechtsstellung der ehrenamtlichen Feuerwehrangehörigen

 

(6) Die Mitglieder der Freiwilligen Feuerwehr haben über Angelegenheiten, die ihnen bei oder bei Gelegenheit ihrer ehrenamtlichen Tätigkeit bekannt geworden sind, Verschwiegenheit zu wahren, insbesondere keine Auskünfte über Einsätze zu erteilen sowie keine Bildaufnahmen und Bild- und Tonaufzeichnungen weiterzugeben; die Verschwiegenheitspflicht gilt auch nach Beendigung der ehrenamtlichen Tätigkeit. Eine Bildberichterstattung bedarf der vorherigen Erlaubnis des Wehrführers. Satz 1 gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Für Mitglieder der Freiwilligen Feuerwehr im Ehrenbeamtenverhältnis gilt daneben die Verschwiegenheitspflicht gemäß § 37 des Beamtenstatusgesetzes vom 17. Juni 2008 (BGBl. I S. 1010), das zuletzt durch Artikel 1 des Gesetzes vom 29. November 2018 (BGBl. I S. 2232) geändert worden ist.

 

§ 48 Ordnungswidrigkeiten

(1)Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

11.entgegen § 27 Absatz 6 seiner Verschwiegenheitsverpflichtung nicht nachkommt, …