Erstes Buch Justizvollzugsgesetzbuch - Gemeinsame Regelungen und Organisation
Abschnitt 7 - Datenschutz (§§ 27 - 92) |
Unterabschnitt 5 - Datenverarbeitung zu Zwecken der Richtlinie (EU) 2016/680~Pflichten der Justizvollzugsanstalten und der Auftragsverarbeiter (§§ 71 - 82) |
(1) 1Die Justizvollzugsanstalten dürfen personenbezogene Daten durch andere Personen oder Stellen im Auftrag verarbeiten lassen. 2Dies gilt auch für Prüfungs- oder Wartungsarbeiten und vergleichbare Hilfstätigkeiten einschließlich der Fernwartung, über deren Durchführung neben der verantwortlichen Stelle auch das Justizministerium als Aufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden Stellen entscheiden kann.
(2) 1Werden personenbezogene Daten im Auftrag einer Justizvollzugsanstalt durch andere Personen oder Stellen verarbeitet, bleibt die Justizvollzugsanstalt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber der Justizvollzugsanstalt geltend zu machen.
(3) Eine Justizvollzugsanstalt darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
(4) 1Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung der Justizvollzugsanstalt keine weiteren Auftragsverarbeiter hinzuziehen. 2Hat die Justizvollzugsanstalt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter die Justizvollzugsanstalt über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. 3Die Justizvollzugsanstalt kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen.
(5) 1Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem dieselben Verpflichtungen aus seinem Vertrag mit der Justizvollzugsanstalt nach Absatz 6 aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter nicht schon aufgrund anderer Vorschriften verbindlich sind. 2Erfüllt ein weiterer Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter gegenüber der Justizvollzugsanstalt für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
(6) 1Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an die Justizvollzugsanstalt bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten der Justizvollzugsanstalt festlegt. 2Der Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter
1. | nur auf dokumentierte Weisung der Justizvollzugsanstalt handelt; ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat er die Justizvollzugsanstalt unverzüglich zu informieren, | |
2. | gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, | |
3. | die Justizvollzugsanstalt mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten, | |
4. | alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl der Justizvollzugsanstalt zurückgibt oder löscht und bestehende Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht, | |
5. | der Justizvollzugsanstalt alle erforderlichen Informationen, insbesondere die gemäß § 82 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur Verfügung stellt, | |
6. | Überprüfungen, die von der Justizvollzugsanstalt oder einem von dieser beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt, | |
7. | die in Absatz 4 und 5 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält, | |
8. | alle gemäß § 74 erforderlichen Maßnahmen ergreift und | |
9. | unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen die Justizvollzugsanstalt bei der Einhaltung der in den §§ 74 bis 77 und 84 genannten Pflichten unterstützt. |
(7) Der Vertrag im Sinne des Absatzes 6 ist in schriftlicher oder elektronischer Form abzufassen.
(8) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher anstelle der Justizvollzugsanstalt.
Vorschrift eingefügt durch das Gesetz zur Anpassung des besonderen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 für Justiz- und Bußgeldbehörden sowie zur Änderung vollzugsrechtlicher Gesetze vom 21.05.2019
Folgenabschätzung § 78Verzeichnis von Verarbeitungs-
tätigkeiten § 79Datenschutz durch Technikgestaltung und datenschutz-
freundliche Voreinstellung § 80Verfahren bei Übermittlungen § 81Berichtigung, Löschung und Einschränkung der Verarbeitung § 82Protokollierung