(1) Personenbezogene Daten dürfen, soweit dies gesetzlich vorgesehen ist und vorbehaltlich der Regelungen in den §§ 97a und 97b, an öffentliche Stellen anderer Staaten sowie an zwischen- oder überstaatliche Einrichtungen übermittelt werden, wenn

1.

dies für die Verhütung oder Verfolgung von Straftaten oder von Ordnungswidrigkeiten oder für die Vollstreckung oder den Vollzug von strafrechtlichen Sanktionen oder zur Abwehr von Gefahren erforderlich ist,

2.

die empfangende Stelle für eine der in Nummer 1 genannten Aufgaben zuständig ist,

3.

in Fällen, in denen die personenbezogenen Daten aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem Schengen-assoziierten Staat übermittelt wurden, dieser Staat der Übermittlung zuvor zugestimmt oder auf das Zustimmungserfordernis ausdrücklich verzichtet hat,

4.

die Europäische Kommission nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89; L 127 vom 23.5.2018, S. 9) einen Beschluss zum angemessenen Datenschutzniveau des Empfängerstaats oder der empfangenden zwischen- oder überstaatlichen Einrichtung gefasst hat (Angemessenheitsbeschluss) oder die Voraussetzungen von § 77f erfüllt sind und

5.

die personenbezogenen Daten in Fällen, in denen sie zu einem anderen als dem der Übermittlung zugrunde liegenden Zweck erhoben wurden, mit vergleichbaren Mitteln auch für den Übermittlungszweck erhoben werden dürften.

(2) Die Übermittlung personenbezogener Daten unterbleibt, auch unter Berücksichtigung eines besonderen öffentlichen Interesses an der Datenübermittlung, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den personenbezogenen Daten im Empfängerstaat oder bei der empfangenden zwischen- oder überstaatlichen Einrichtung nicht hinreichend gesichert ist oder sonst schutzwürdige Interessen der betroffenen Person entgegenstehen.

(3) Die Übermittlung von personenbezogenen Daten an andere als die in Absatz 1 Nummer 2 genannten zuständigen Stellen oder an nicht-öffentliche Stellen ist unter Einhaltung der übrigen Voraussetzungen des Absatzes 1 zulässig, wenn

1.

dies für die Erfüllung einer der übermittelnden Stelle zugewiesenen Aufgabe unbedingt erforderlich ist,

2.

die Übermittlung an die zuständige Stelle wirkungslos oder ungeeignet wäre, insbesondere, weil die Übermittlung nicht rechtzeitig durchgeführt werden könnte, und

3.

die empfangende Stelle auf den Zweck der Datenübermittlung sowie darauf hingewiesen wird, dass die personenbezogenen Daten nur verwendet werden dürfen, soweit dies zur Zweckerreichung erforderlich ist.

(4) Kann die nach Absatz 1 Nummer 3 erforderliche vorherige Zustimmung des betroffenen Mitgliedstaates der Europäischen Union oder des betroffenen Schengen-assoziierten Staates nicht rechtzeitig eingeholt werden, so ist die Übermittlung von personenbezogenen Daten auch ohne Zustimmung zulässig, wenn die Übermittlung erforderlich ist zur Abwehr einer gegenwärtigen und erheblichen Gefahr

1.

für die öffentliche Sicherheit eines Staates oder

2.

für wesentliche Interessen eines Mitgliedstaates der Europäischen Union oder eines Schengen-assoziierten Staates.

(5) Die Verantwortung für die Zulässigkeit der Übermittlung von personenbezogenen Daten trägt die übermittelnde Stelle. Die Möglichkeit, die Übermittlung personenbezogener Daten mit Bedingungen zu versehen, bleibt unberührt.

(6) Mitgliedstaaten der Europäischen Union im Sinne dieser Vorschrift sind solche, für die die Richtlinie (EU) 2016/680 gilt; Schengen-assoziierte Staaten sind solche gemäß § 91 Absatz 3.

(1) Die übermittelnde Stelle

1.

soll personenbezogene Daten vor deren Übermittlung auf Richtigkeit, Vollständigkeit und Aktualität überprüfen,

2.

fügt bei der Übermittlung personenbezogener Daten nach Möglichkeit Informationen bei, die es der empfangenden Stelle gestatten, Richtigkeit, Vollständigkeit, Aktualität und Zuverlässigkeit der Daten zu beurteilen,

3.

weist die empfangende Stelle bei der Übermittlung ausdrücklich darauf hin, dass die übermittelten personenbezogenen Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden,

4.

weist die empfangende Stelle ausdrücklich darauf hin, dass eine Weiterleitung an andere Staaten oder zwischen- oder überstaatliche Einrichtungen der vorherigen Zustimmung der übermittelnden Stelle bedarf,

5.

weist die empfangende Stelle bei der Übermittlung auf Bedingungen hin, die nach deutschem Recht für die Verarbeitung der übermittelten personenbezogenen Daten gelten und einzuhalten sind,

6.

unterrichtet die empfangende Stelle unverzüglich, wenn sich herausstellt, dass Daten nicht hätten übermittelt werden dürfen oder dass unrichtige Daten übermittelt wurden,

7.

unterrichtet die zuständige datenschutzrechtliche Aufsichtsbehörde über Datenübermittlungen nach § 77d Absatz 3 und

8.

dokumentiert jede Übermittlung von personenbezogenen Daten nach Maßgabe der innerstaatlichen Vorschriften.

(2) Absatz 1 Nummer 5 gilt entsprechend, wenn die übermittelnde Stelle die Daten von einem anderen Staat oder von einer zwischen- oder überstaatlichen Einrichtung unter Bedingungen erhalten hat, die auch von der empfangenden Stelle einzuhalten sind.

(1) Die übermittelnde Stelle

1.

soll personenbezogene Daten vor deren Übermittlung auf Richtigkeit, Vollständigkeit und Aktualität überprüfen,

2.

fügt bei der Übermittlung personenbezogener Daten nach Möglichkeit Informationen bei, die es der empfangenden Stelle gestatten, Richtigkeit, Vollständigkeit, Aktualität und Zuverlässigkeit der Daten zu beurteilen,

3.

weist die empfangende Stelle bei der Übermittlung ausdrücklich darauf hin, dass die übermittelten personenbezogenen Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden,

4.

weist die empfangende Stelle ausdrücklich darauf hin, dass eine Weiterleitung an andere Staaten oder zwischen- oder überstaatliche Einrichtungen der vorherigen Zustimmung der übermittelnden Stelle bedarf,

5.

weist die empfangende Stelle bei der Übermittlung auf Bedingungen hin, die nach deutschem Recht für die Verarbeitung der übermittelten personenbezogenen Daten gelten und einzuhalten sind,

6.

unterrichtet die empfangende Stelle unverzüglich, wenn sich herausstellt, dass Daten nicht hätten übermittelt werden dürfen oder dass unrichtige Daten übermittelt wurden,

7.

unterrichtet die zuständige datenschutzrechtliche Aufsichtsbehörde über Datenübermittlungen nach § 77d Absatz 3 und

8.

dokumentiert jede Übermittlung von personenbezogenen Daten nach Maßgabe der innerstaatlichen Vorschriften.

(2) Absatz 1 Nummer 5 gilt entsprechend, wenn die übermittelnde Stelle die Daten von einem anderen Staat oder von einer zwischen- oder überstaatlichen Einrichtung unter Bedingungen erhalten hat, die auch von der empfangenden Stelle einzuhalten sind.

(1) Ohne Angemessenheitsbeschluss gemäß § 77d Absatz 1 Nummer 4 dürfen personenbezogene Daten übermittelt werden, wenn

1.

in einem für den Empfängerstaat oder für die empfangende zwischen- oder überstaatliche Einrichtung rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen sind oder

2.

die übermittelnde Stelle nach Bewertung aller relevanten Umstände zu der Auffassung gelangt, dass geeignete Garantien zum Schutz der personenbezogenen Daten bestehen.

(2) Liegt kein Angemessenheitsbeschluss vor und bestehen keine geeigneten Garantien gemäß Absatz 1, so dürfen personenbezogene Daten im Einzelfall nur übermittelt werden, wenn dies erforderlich ist

1.

zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person,

2.

zur Wahrung schutzwürdiger Interessen der betroffenen Person,

3.

zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,

4.

zur Verhütung oder Verfolgung von Straftaten oder von Ordnungswidrigkeiten oder für die Vollstreckung oder den Vollzug von strafrechtlichen Sanktionen oder

5.

zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in Nummer 4 genannten Zwecken.

(3) Die übermittelnde Stelle unterrichtet die zuständige datenschutzrechtliche Aufsichtsbehörde über Fallgruppen von Übermittlungen nach Absatz 1 Nummer 2.

(1) Die übermittelnde Stelle

1.

soll personenbezogene Daten vor deren Übermittlung auf Richtigkeit, Vollständigkeit und Aktualität überprüfen,

2.

fügt bei der Übermittlung personenbezogener Daten nach Möglichkeit Informationen bei, die es der empfangenden Stelle gestatten, Richtigkeit, Vollständigkeit, Aktualität und Zuverlässigkeit der Daten zu beurteilen,

3.

weist die empfangende Stelle bei der Übermittlung ausdrücklich darauf hin, dass die übermittelten personenbezogenen Daten nur zu dem Zweck verwendet werden dürfen, zu dem sie übermittelt wurden,

4.

weist die empfangende Stelle ausdrücklich darauf hin, dass eine Weiterleitung an andere Staaten oder zwischen- oder überstaatliche Einrichtungen der vorherigen Zustimmung der übermittelnden Stelle bedarf,

5.

weist die empfangende Stelle bei der Übermittlung auf Bedingungen hin, die nach deutschem Recht für die Verarbeitung der übermittelten personenbezogenen Daten gelten und einzuhalten sind,

6.

unterrichtet die empfangende Stelle unverzüglich, wenn sich herausstellt, dass Daten nicht hätten übermittelt werden dürfen oder dass unrichtige Daten übermittelt wurden,

7.

unterrichtet die zuständige datenschutzrechtliche Aufsichtsbehörde über Datenübermittlungen nach § 77d Absatz 3 und

8.

dokumentiert jede Übermittlung von personenbezogenen Daten nach Maßgabe der innerstaatlichen Vorschriften.

(2) Absatz 1 Nummer 5 gilt entsprechend, wenn die übermittelnde Stelle die Daten von einem anderen Staat oder von einer zwischen- oder überstaatlichen Einrichtung unter Bedingungen erhalten hat, die auch von der empfangenden Stelle einzuhalten sind.

(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftragten zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftragten nicht innerhalb von 72 Stunden, so ist die Verzögerung zu begründen.

(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.

(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:

1.

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,

2.

den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,

3.

eine Beschreibung der wahrscheinlichen Folgen der Verletzung und

4.

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.

(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.

(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.

(7) § 42 Absatz 4 findet entsprechende Anwendung.

(8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten bleiben unberührt.