Zum Inhalt

Das Niedersächsische Datenschutzgesetz

Am 16. Mai 2018 verabschiedete der Niedersächsische Landtag die novellierte Fassung des Niedersächsischen Datenschutzgesetzes (NDSG, s. Artikel 1 des Gesetzes zur Neuordnung des niedersächsischen Datenschutzrechts, Nds. GVBl. S. 66). Das NDSG ist am 25. Mai 2018 in Kraft getreten.

Damit erfolgte im Ersten und Dritten Teil des NDSG die Anpassung des Landesrechts an die Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 (DS-GVO) vom 27. April 2016, sowie im Zweiten und Dritten Teil die Umsetzung der sogenannten „JI Richtlinie“ (EU) 2016/680 vom 27. April 2016.

Die Vorschriften des NDSG gelten für die Datenverarbeitung von Behörden, Organen der Rechtspflege und anderen öffentlich-rechtlich organisierten Einrichtungen (öffentliche Stellen) des Landes, der Kommunen und der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts (s. § 1 NDSG).

Viele Regelungen sind aus Sicht der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) rechtlich problematisch. Bereits im Gesetzgebungsverfahren wurde seitens der LfD kritisiert, dass das NDSG u. a. erhebliche Lücken mit Blick auf die vollständige Umsetzung des sog. EU-Datenschutzpakets aufweist. Eine zeitnahe Überarbeitung des NDSG wird daher für erforderlich gehalten.

Stand: 25. Juni 2018

Inhalt

Erster Teil: Ergänzende Vorschriften für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DS-GVO -)

Erstes Kapitel - Allgemeines

§ 1 Regelungsgegenstand und Anwendungsbereich
§ 2 Erweiterte Anwendung der Datenschutz-Grundverordnung

Zweites Kapitel - Rechtsgrundlagen der Datenverarbeitung

§ 3 Zulässigkeit der Verarbeitung personenbezogener Daten
§ 4 Hinweis bei der Datenerhebung bei anderen Personen
§ 5 Übermittlung personenbezogener Daten
§ 6 Zweckbindung, Zweckänderung
§ 7 Automatisierte Verfahren und gemeinsame Dateien

Drittes Kapitel - Rechte der betroffenen Person

§ 8 Beschränkung der Informationspflicht nach Artikel 13 Abs. 1 und 2 und Artikel 14 Abs. 1 bis 3 der Datenschutz-Grundverordnung
§ 9 Beschränkung des Auskunftsrechts
§ 10 Beschränkung der Benachrichtigungspflicht nach Artikel 34 der Datenschutz-Grundverordnung
§ 11 Dokumentationspflicht bei der Beschränkung von Rechten der betroffenen Person

Viertes Kapitel - Besonderer Datenschutz

§ 12 Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen
§ 13 Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken
§ 14 Videoüberwachung
§ 15 Öffentliche Auszeichnungen und Ehrungen
§ 16 Begnadigungsverfahren
§ 17 Verarbeitung besonderer Kategorien personenbezogener Daten

Fünftes Kapitel - Die oder der Landesbeauftragte für den Datenschutz

§ 18 Aufsichtsbehörde, Rechtsstellung der oder des Landesbeauftragten für den Datenschutz
§ 19 Aufgaben der Aufsichtsbehörde
§ 20 Befugnisse der Aufsichtsbehörde, Mitwirkung
§ 21 Stellungnahme zum Tätigkeitsbericht
§ 22 Aufsichtsbehörde für die Datenverarbeitung außerhalb des Anwendungsbereichs der Vorschriften dieses Teils

Zweiter Teil: Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Abs. 1 der Richtlinie (EU) 2016/680

Erstes Kapitel - Anwendungsbereich und Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 23 Anwendungsbereich
§ 24 Begriffsbestimmungen
§ 25 Grundsätze für die Verarbeitung personenbezogener Daten
§ 26 Unterscheidung verschiedener Kategorien betroffener Personen
§ 27 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
§ 28 Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
§ 29 Automatisierte Entscheidungsfindung
§ 30 Datenübermittlung außerhalb des öffentlichen Bereichs
§ 31 Automatisiertes Abrufverfahren
§ 32 Gewährleistung des Datenschutzes bei Übermittlungen oder sonstiger Bereitstellung
§ 33 Einwilligung

Zweites Kapitel - Technische und organisatorische Pflichten des Verantwortlichen und Auftragsverarbeiters

§ 34 Technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit
§ 35 Anforderungen bei der automatisierten Datenverarbeitung, Protokollierung
§ 36 Datengeheimnis
§ 37 Verarbeitung auf Weisung
§ 38 Verzeichnis von Verarbeitungstätigkeiten
§ 39 Datenschutz-Folgenabschätzung
§ 40 Vorherige Anhörung der Aufsichtsbehörde
§ 41 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
§ 42 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
§ 43 Vertrauliche Meldung von Verstößen
§ 44 Gemeinsam Verantwortliche
§ 45 Auftragsverarbeitung

Drittes Kapitel - Datenübermittlungen an Drittländer und an internationale Organisationen

§ 46 Allgemeine Voraussetzungen
§ 47 Datenübermittlung bei geeigneten Garantien
§ 48 Ausnahmen für eine Datenübermittlung ohne geeignete Garantien
§ 49 Sonstige Datenübermittlung an Empfänger in Drittländern

Viertes Kapitel - Rechte der betroffenen Personen

§ 50 Allgemeine Informationen
§ 51 Auskunft
§ 52 Berichtigung, Löschung und Einschränkung der Verarbeitung
§ 53 Verfahren für die Ausübung der Rechte der betroffenen Person
§ 54 Schadensersatz
§ 55 Anrufung der Aufsichtsbehörde
§ 56 Rechtsschutz bei Untätigkeit der Aufsichtsbehörde

Fünftes Kapitel - Aufsichtsbehörde und Datenschutzbeauftragte öffentlicher Stellen

§ 57 Aufgaben und Befugnisse der Aufsichtsbehörde
§ 58 Datenschutzbeauftragte öffentlicher Stellen

Dritter Teil: Schlussvorschriften

§ 59 Ordnungswidrigkeiten
§ 60 Straftaten
§ 61 Übergangsvorschrift