(Zur Übersicht: [[:thuerdsg:start|ThürDSG]]) ====== § 17 Thüringer Datenschutzgesetz ====== ===== Wortlaut ===== //**§ 17 Zweckbindung und Zulässigkeit der Weiterverarbeitung**\\ (Artikel 6 und 23 der Verordnung (EU) 2016/679 )\\ \\ (1) Als Zweck einer Verarbeitung personenbezogener Daten durch öffentliche Stellen gelten neben den ursprünglichen Zwecken immer auch die Verarbeitung\\ \\ 1. zur Wahrnehmung von Aufsichts- oder Kontrollbefugnissen,\\ 2. zur Erstellung von Geschäftsstatistiken für den Verantwortlichen,\\ 3. zur Rechnungsprüfung,\\ 4. zur Durchführung von Organisationsuntersuchungen für den Verantwortlichen oder\\ 5. zur Prüfung oder Wartung automatisierter Verfahren der Datenverarbeitung.\\ \\ Das gilt auch für die Verarbeitung zu Ausbildungs- oder Prüfungszwecken durch den Verantwortlichen, soweit nicht offensichtlich überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.\\ \\ (2) Die Verarbeitung personenbezogener Daten zu anderen Zwecken, als zu denen sie erhoben wurden, ist vorbehaltlich spezieller Vorschriften zulässig, wenn\\ \\ 1. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit erforderlich ist,\\ 2. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuches (StGB), von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,\\ 3. sie zum Schutz der Rechte und Freiheiten einer anderen Person erforderlich ist,\\ 4. Dritte, an welche die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegen und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat,\\ 5. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis der anderen Zwecke ihre Einwilligung verweigern würde,\\ 6. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,\\ 7. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte oder\\ 8. sie zur Sicherung des Kosten-, Steuer- und Zollaufkommens erforderlich ist,\\ \\ sofern nicht das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung überwiegt. Die Verarbeitung von personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke und statistische Zwecke ist stets zulässig. Im Übrigen hat der Verantwortliche bei der Feststellung, ob die Weiterverarbeitung mit dem Zweck der ursprünglichen Erhebung vereinbar ist, die Vorgaben des Artikels 6 Abs. 4 der Verordnung (EU) 2016/679 zu beachten. In den Fällen des Satzes 1 erfolgt eine Information der betroffenen Person nicht, soweit und solange dadurch die Zwecke der Verarbeitung gefährdet werden. \\ \\ (3) Für personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage verarbeitet werden, gilt Absatz 2 nicht.\\// ===== Amtliche Gesetzesbegründung ===== //**Zu § 17 Zweckbindung und Zulässigkeit der Weiterverarbeitung (Artikel 6 und 23 der Verordnung (EU) 2016/679)** \\ \\ § 17 regelt die zulässigen Zwecke einer jeden Datenverarbeitung und die ausnahmsweise zulässige Weiterverarbeitung personenbezogener Daten zu anderen Zwecken als denjenigen, zu denen sie erhoben wurden. Dabei normiert Absatz 1, welche Zwecke stets vom originären Verarbeitungszweck umfasst sind und welche daher bereits keine Weiterverarbeitung darstellen. Absatz 2 bestimmt, welche Zwecke nach den Grundsätzen der Verordnung (EU) 2016/679 mit dem ursprünglichen Verwendungszweck vereinbar sind. Absatz 3 schließlich regelt diejenigen Zwecke, zu denen eine Weiterverarbeitung zu anderen Zwecken nie zulässig ist. Da die Verordnung (EU) 2016/679 nur den Begriff der Verarbeitung verwendet und darunter nach Artikel 4 Nr. 2 der Verordnung (EU) 2016/679 neben der Datenerhebung unter anderem auch die Datenübermittlung zählt, ist auch jede Übermittlung zukünftig eine Datenverarbeitung nach § 17 Abs. 1 oder 2. Von den Regelungen zur Zulässigkeit der Verarbeitung zu anderen Zwecken erfasst sind zukünftig auch die Fälle der Datenübermittlung an Stellen außerhalb des Verantwortlichen sowie die Weitergabe personenbezogener Daten innerhalb desselben. Sofern dies erforderlich ist, kann im Fachrecht weiterhin zwischen Datenerhebung und Datenübermittlung unterschieden werden, insbesondere kann die Übermittlung an bestimmte Stellen strengeren Voraussetzungen unterworfen werden.\\ \\ Zu Absatz 1:\\ Absatz 1 nennt die Nebenzwecke, die stets vom originären Erhebungs-zweck umfasst sind und übernimmt die bisherige Bestimmung des § 20 Abs. 3 ThürDSG a. F. Es handelt sich um eine Fiktion, die es den öffentlichen Stellen ermöglicht, die ihnen obliegenden Aufsichts- und Kontrollaufgaben wahrzunehmen, ohne dass hierfür stets die Voraussetzungen für eine Datenerhebung nach der Verordnung (EU) 2016/679 vorliegen müssen. Mit Absatz 1 wird von Artikel 6 Abs. 1 Buchst. e, Abs. 2 und 3 der Verordnung (EU) 2016/679 Gebrauch gemacht. Demgemäß darf durch Rechtsvorschriften die Zweckbindung festgelegt werden, welcher die Verarbeitung personenbezogener Daten unterliegt. Die Regelung gilt daher nur für öffentliche Stellen, wenn die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihr als Verantwortlichem übertragen wurde. Da es sich gerade nicht um eine Weiterverarbeitung zu anderen Zwecken handelt, kann eine Informa-tion nach Artikel 13 Abs. 3 und Artikel 14 Abs. 4 der Verordnung (EU) 2016/679 unterbleiben. Das Vorhalten von Back-up-Daten ist ausdrücklich von der Regelung erfasst.\\ \\ Zu Absatz 2:\\ Absatz 2 regelt unter Berufung auf Artikel 6 Abs. 4 der Verordnung (EU) 2016/679 die Weiterverarbeitung zu anderen Zwecken als denen, zu denen die Daten erhoben wurden. Dies ist nur zulässig, wenn die be-troffene Person eingewilligt hat oder die Weiterverarbeitung auf eine Rechtsgrundlage gestützt werden kann, die eine notwendige und ver-hältnismäßige Maßnahme zum Schutz der in Artikel 23 Abs. 1 der Ver-ordnung (EU) 2016/679 genannten Ziele darstellt. Absatz 2 schafft hierfür landesrechtliche Rechtsgrundlagen und öffnet so die Möglichkeit eines Datenumgangs aus anderen als den ursprünglichen Erhebungs-zwecken. In den aufgeführten Fällen ist eine Einschränkung des Rechts auf informationelle Selbstbestimmung aus überwiegenden Gründen des Gemeinwohls zulässig und geboten. Diese Regelungen sind entschei-dend für den reibungslosen und rechtssicheren Datenfluss im Anwen-dungsbereich des Absatzes 2.\\ \\ Zu Satz 1:\\ Satz 1 übernimmt die bisherigen Bestimmungen des § 20 Abs. 2 Nr. 3 bis 8 sowie des § 22 Abs. 1 Nr. 2 ThürDSG a. F. und passt diese in ihrer Formulierung, soweit notwendig, an die Anforderungen des Artikels23 Abs. 1 der Verordnung (EU) 2016/679 an. Die Zulässigkeit der Weiter-verarbeitung aufgrund einer Einwilligung folgt unmittelbar aus Artikel 6 Abs. 4 der Verordnung (EU) 2016/679, die Zulässigkeit aufgrund einer Rechtsvorschrift nach bisherigem Recht ist zu unspezifisch und erfüllt nicht die in Artikel 6 Abs. 4 der Verordnung (EU) 2016/679 genannten konkreten Anforderungen.\\ \\ Zu Nummer 1:\\ Nummer 1 - die Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit - wird in Artikel 23 Abs. 1 Buchst. c und e der Verordnung (EU) 2016/679 als legitimes Ziel genannt.\\ \\ Zu Nummer 2:\\ Nummer 2 lässt erforderliche Zweckänderungen zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Voll-zug von Strafen oder Maßnahmen im Sinne von § 11 Abs. 1 Nr. 8 StGB oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugend-gerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen zu. Die genannten Ziele werden in Artikel 23 Abs. 1 Buchst. d der Verord-nung (EU) 2016/679 hinsichtlich der Verfolgung und Vollstreckung von Straftaten und in Buchstabe e hinsichtlich der Ordnungswidrigkeiten als legitimes Ziel genannt.\\ \\ Zu Nummer 3:\\ Nummer 3 - der Schutz der Rechte und Freiheiten einer anderen Per-son - entspricht dem Wortlaut von Artikel 23 Abs. 1 Buchst. i der Verord-nung (EU) 2016/679.\\ \\ Zu Nummer 4:\\ Nach Nummer 4 ist die zweckändernde Weiterverarbeitung im Sinne einer Datenübermittlung an Dritte, die ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegen und wenn be-troffene Personen kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung haben, zulässig. Nummer 4 entspricht der bisherigen Bestimmung des § 22 Abs. 1 Nr. 2 ThürDSG a.F., die bislang die Zu-lässigkeit der Datenübermittlung an nichtöffentliche Stellen festlegte. Nach neuer Rechtslage gilt die Bestimmung nun neben der Datenüber-mittlung an nichtöffentliche Stellen auch innerhalb des öffentlichen Be-reichs. Der Begriff des Dritten wird in Artikel 4 Nr. 10 der Verordnung (EU) 2016/679 definiert.\\ \\ Zu Nummer 5:\\ Nach Nummer 5 ist eine zweckändernde Weiterverarbeitung zulässig, wenn dies offensichtlich im Interesse der betroffenen Person liegt und wenn kein Grund zur Annahme besteht, dass die betroffene Person die Einwilligung hierzu verweigern würde. Es handelt sich dabei um einen legitimen Zweck im Sinne des Artikels 23 Abs. 1 Buchst. i der Verord-nung (EU) 2016/679.\\ \\ Zu Nummer 6:\\ Nummer 6 regelt Fälle, in denen offensichtliche Anhaltspunkte für die Unrichtigkeit der Angaben der betroffenen Person bestehen. Es handelt sich dabei um ein legitimes Ziel im Zusammenspiel aller Zielsetzungen von Artikel 23 Abs. 1 der Verordnung (EU) 2016/679.\\ \\ Zu Nummer 7:\\ Nummer 7 regelt Fälle, in denen die Daten allgemein zugänglich sind oder die öffentliche Stelle sie veröffentlichen dürfte. Eine Auswertung allgemein zugänglicher Quellen kann insbesondere erforderlich sein zur Sicherstellung der öffentlichen Sicherheit, als auch zum Schutz der Rech-te und Freiheiten einzelner Personen und finanziellen Interessen des Landes, etwa Steuerbetrug oder Sozialmissbrauch. Es handelt sich da-mit jedenfalls um ein legitimes Ziel der Weiterverarbeitung nach Artikel 23 Abs. 1 Buchst. c, e und i der Verordnung (EU) 2016/679.\\ \\ Zu Nummer 8:\\ Nummer 8 soll nach Artikel 23 Abs. 1 Buchst. e der Verordnung (EU) 2016/679 sicherstellen, dass, sofern öffentliche Stellen personenbezogene Daten im Zusammenhang mit steuerrelevanten Sachverhalten erhalten, diese weiterverarbeiten können.\\ \\ Zu Satz 2:\\ Satz 2 stellt klar, dass auch eine Weiterverarbeitung zu Archiv-, Forschungs- und Statistikzwecken nach Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 stets kompatibel ist. Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 geht im Rahmen einer Fiktion davon aus, dass die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke immer zweckkompatibel ist.\\ \\ Zu Satz 3:Über die Bestimmung der Sätze 1 und 2 in Absatz 2 hinaus ist die Weiterverarbeitung nach Artikel 6 Abs. 4 der Verordnung (EU) 2016/679 dann zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist. Dieser Fall der Zweckkompatibilität bedarf nach Erwägungsgrund 50 keiner eigenen Rechtsgrundlage. Die Bewertung der Vereinbarkeit obliegt dem Verantwortlichen, wobei unter anderem die in Artikel 6 Abs. 4 der Verordnung (EU) 2016/679 und die in Erwägungsgrund 50 genannten Grundsätze zu berücksichtigen sind.\\ \\ Zu Satz 4:\\ Für den Fall, dass eine zweckändernde Weiterverarbeitung zur Verfolgung der in Artikel 23 Abs. 1 der Verordnung (EU) 2016/679 genannten Ziele zugelassen wurde, normiert Satz 4, dass eine Informationspflicht gegenüber der betroffenen Person nicht besteht, solange und soweit der Zweck der Verarbeitung durch eine solche Information gefährdet würde. Nach Artikel 23 Abs. 1 der Verordnung (EU) 2016/679 können die Rechte und Pflichten nach den Artikeln 12 bis 22 und 34 der Verordnung (EU) 2016/679 beschränkt werden, soweit dies erforderlich ist, um die in Arti-kel 23 Abs. 1 Buchst. a bis j der Verordnung (EU) 2016/679 genannten Ziele sicherzustellen. Sobald eine Gefährdungssituation durch zeitliche oder sachliche Erledigung nicht mehr besteht, hat eine Information an die betroffene Person zu erfolgen.\\ \\ Zu Absatz 3:\\ Absatz 3 bestimmt, dass bei personenbezogenen Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage verarbeitet werden, eine Weiterverarbeitung zu anderen Zwecken stets unzulässig ist. Die Bestimmung entspricht der Regelung des bisherigen § 20 Abs. 4 ThürDSG a.F. und wird gerechtfertigt durch Artikel 6 Abs. 2 und 3 der Verordnung (EU) 2016/679. Demgemäß darf durch Rechtsvorschriften die Zweckbindung festgelegt werden, denen personenbezogene Daten unterliegen.\\ Für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke ist eine Weiterverarbeitung stets zulässig, da Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679 nicht abbedungen werden kann. Gleiches gilt für die Weiterverarbeitung zu den in Absatz 1 genannten Zwecken.\\ // (Quelle: Thüringer Landtag Drucksache 6/4943, S. 82) ===== Parallelvorschriften ===== ==== Art. 6 BayDSG ==== Art. 6 BayDSG((Wortlaut: [[https://www.gesetze-bayern.de/Content/Document/BayDSG-6|Art. 6]] BayDSG)) dürfte weitgehend inhaltsgleich zu § 17 ThürDSG sein ausgenommen, dass das BayDSG versucht den [[:besondere Kategorien personenbezogener Daten|besonderen Kategorien personenbezogener Daten]] gemäß [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] DSGVO gerecht zu werden. Die amtliche Gesetzesbegründung(([[https://www.stmi.bayern.de/assets/stmi/ser/gesetzentwuerfe/baydsg_stand_28_09_2017.pdf|Quelle]])) lautet: //** Zu Art. 6\\ Zweckbindung\\ (zu Art. 6 Abs. 3 und 4 DSGV)**\\ \\ Die Vorschrift stellt klar, welche Zwecke bei einer Verarbeitung personenbezogener Daten durch öffentliche Stellen als Ausfluss ihrer Funktion und organisationsrechtlichen Grundstrukturen neben deren jeweiligen aufgabenbezogenen Hauptzweck regelmäßig mitverfolgt werden und begründet ergänzend besondere Erlaubnisse zur Änderung des Verarbeitungszwecks.\\ \\ Abs. 1\\ Die in Abs. 1 genannten Zwecke sind bei einer Verarbeitung personenbezogener Daten regelmäßig mit umfasst. Die Regelung macht von der Befugnis in Art. 6 Abs. 3 DSGV Gebrauch, nach der die Mitgliedstaaten in einer Rechtsgrundlage die Zwecke von Verarbeitungen festlegen können, sofern dies für die Erfüllung einer Aufgabe nach Art. 6 Abs. 1 Buchstabe e DSGV zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, erforderlich ist.\\ \\ Abs. 2\\ Abs. 2 enthält Voraussetzungen, unter denen – ergänzend zu den in der DSGV enthaltenen Vorschriften – eine Zweckänderung zulässig ist. Mit der Vorschrift wird von dem durch Art. 6 Abs. 2 und 4 DSGV eröffneten Regelungsspielraum Gebrauch gemacht. Mitgliedstaaten können in nationalen Bestimmungen die Verarbeitungen zu anderen Zwecken regeln, soweit die nationale Regelung eine „in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Absatz 1 genannten Ziele darstellt“. Die Vorschrift entspricht der Regelung im bisherigen Art. 17 Abs. 3 BayDSG, deren Katalog durch den Zweck der Gewährleistung der Netz- und Informationssicherheit aktualisiert wird, den die DSGV selbst allgemein als berechtigtes Verarbeiterinteresse anerkennt (Erwägungsgrund 49 DSGV).\\ \\ Abs. 3\\ Soweit die Verarbeitung auch besondere Kategorien personenbezogener Daten umfasst gelten wie im geltenden Recht zusätzlich die in Satz 3 in Bezug genommenen Voraussetzungen des Art. 9 Abs. 2 DSGV und seiner Durchführungsbestimmungen in Art. 8 Abs. 1. Abs. 4 greift die geltende Vorschrift des Art. 17 Abs. 4 BayDSG auf.\\ // ==== § 7 LDSG-RLP ==== Anders strukturiert aber inhaltlich ähnlich zu § 17 ThürDSG ist § 7 LDSG Rheinland-Pfalz. ===== Erläuterung ===== Die Vorschrift nutzt Öffnungsklauseln der DSGVO um Zwecke der Verarbeitung neben dem eigentlichen Hauptzweck festzulegen. Es handelt **nicht** um eine Fiktion wie die thüringische Gesetzesbegründung meint, sondern der bayrischen Gesetzesbegründung folgend um tatsächliche Zwecke, die letztlich aus dem Erfordernis einer ordnungsgemäßen Verarbeitung beziehungsweise Verwaltung insgesamt resultieren. ==== Verfolgung von Straftaten und Ordnungswidrigkeiten (Abs. 2 Nr. 2) ==== Wilde et al Art. 6 Rn. 32 zur Parallelvorschrift Art. 6 Abs. 2 Nr. 3 lit. b BayDSG und Kugelmann/Richter § 7 Rn. 19 zur Parallelvorschrift § 7 Abs. 1 Nr. 4 LDSG RP gehen davon aus, dass diese Vorschriften konstitutiv sind; zumindest werden keine vorrangigen Vorschriften insbesondere des Bundesrechts oder des Europarechts benannt. Nach [[https://www.gesetze-im-internet.de/stpo/__161.html|§ 161]] Abs. 1 StPO sind Behörden aber zur Herausgabe von personenbezogenen Daten verpflichtet.((Vgl. Meyer-Goßner, 50. Auflage, § 161 Rn. 1a.)) Mit Behörden(Gem. [[https://www.gesetze-im-internet.de/vwvfg/__1.html|§ 1]] Abs. 4 VwVfG "jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt") ist schon ein großer Teil des Anwendungsbereichs des ThürDSG gemäß [[2_thuerdsg|§ 2]] ThürDSG erfasst. Auch von anderen Stellen kann die Staatsanwaltschaft Auskunft verlangen,((Vgl. Meyer-Goßner, 50. Auflage, § 161 Rn. 2.)) auch wenn das in § 161 Abs. 1 StPO nicht so explizit formuliert wird. Folglich hat Abs. 2 Nr. 2 insoweit nur deklaratorische Bedeutung. Gleiches gilt aufgrund von [[https://www.gesetze-im-internet.de/owig_1968/__46.html|§ 46 Abs. 1 und 2 OWiG]] auch für Ordnungswidrigkeitenverfahren. Von Bedeutung ist diese Frage nach der Natur der Norm, wenn durch Landesrecht die Weiterverwendung von Daten eingeschränkt wird, wie bei [[28 thuerdsg|§ 28]] Abs. 1 ThürDSG. ===== Weblinks ===== * [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+17&psml=bsthueprod.psml&max=true|Quelle Wortlaut]] * [[http://www.parldok.thueringen.de/ParlDok/dokument/65346/th%C3%BCringer-gesetz-zur-anpassung-des-allgemeinen-datenschutzrechts-an-die-verordnung-eu-2016-687-und-zur-umsetzung-der-richtlinie-eu-2016-680.pdf|Quelle Begründung (PDF): Thüringer Landtag Drucksache 6/4943]] {{tag>Artikel ThuerDSG}}