Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung

19.11.1976

§ 1

Aufgabe und Gegenstand des Datenschutzes

(1) Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Mißbrauch bei ihrer Speicherung, Übermittlung, soweit sie die Voraussetzungen von § 7 Abs. 1 Satz 1 oder § 7 Abs. 2 Satz 1 Nr. 1 erfüllen.

(2) Die Vorschriften dieses Abschnittes gelten für die in Absatz 1 genannten Personen, Gesellschaften und anderen Personenvereinigungen auch insoweit, als personenbezogene Daten in deren Auftrag durch andere Personen oder Stellen verarbeitet werden. In diesen Fällen ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen (§ 6 Abs. 1) sorgfältig auszuwählen.

(3) Die Vorschriften dieses Abschnittes gelten nicht für die in Absatz 1 genannten Personen, Gesellschaften und anderen Personenvereinigungen, die Aufgaben der öffentlichen Verwaltung wahrnehmen.

§ 23

Datenspeicherung

Das Speichern personenbezogener Daten ist zulässig im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen oder soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden. Abweichend von Satz 1 ist das Speichern in nicht automatisierten Verfahren zulässig, soweit die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen sind.

§ 24

Datenübermittlung

(1) Die Übermittlung personenbezogener Daten ist zulässig im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses dem Betroffenen oder soweit es zur Wahrung berechtigter Interessen der Übermittelnden Stelle oder eines Dritten oder der Allgemeinheit erforderlich ist und dadurch schutzwürdige Belange des Betroffenen nicht beeinträchtigt werden. Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis (§ 45 Satz 2 Nr. 1, Satz 3) unterliegen und die von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden sind, dürfen vom Empfänger nicht mehr weitergegeben werden.

(2) Abweichend von Absatz 1 ist die Übermittlung von listenmäßig oder sonst zusammengefaßten Daten über Angehörige einer Personengruppe zulässig, wenn sie sich auf

1. Namen,

2. Titel, akademische Grade,

3. Geburtsdatum,

4. Beruf, Branchen- oder Geschäftsbezeichnung,

5. Anschrift,

6. Rufnummer

beschränkt und kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden. Zur Angabe der Zugehörigkeit des Betroffenen zu einer Personengruppe dürfen andere als die im vorstehenden Satz genannten Daten nicht übermittelt werden.

§ 25

Datenveränderung

Das Verändern personenbezogener Daten ist zulässig im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen oder soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden.

§ 26

Auskunft an den Betroffenen

(1) Werden erstmals zur Person des Betroffenen Daten gespeichert, ist er darüber zu benachrichtigen, es sei denn, daß er auf andere Weise Kenntnis von der Speicherung erlangt hat.

(2) Der Betroffene kann Auskunft über die zu seiner Person gespeicherten Daten verlangen. Werden die Daten automatisch verarbeitet, kann der Betroffene auch Auskunft über die Personen und Stellen verlangen, an die seine Daten regelmäßig übermittelt werden. Er soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Die Auskunft wird schriftlich erteilt, soweit nicht wegen besonderer Umstände eine andere Form der Auskunftserteilung angemessen ist.

(3) Für die Auskunft kann ein Entgelt verlangt werden, das über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen darf. Ein Entgelt kann in den Fällen nicht verlangt werden, in denen durch besondere Umstände die Annahme gerechtfertigt wird, daß personenbezogene Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergeben hat, daß die personenbezogenen Daten zu berichtigen oder unter der Voraussetzung des § 27 Abs. 3 Satz 2 erster Halbsatz zu löschen sind.

(4) Die Absätze 1 und 2 gelten nicht, soweit

1. das Bekanntwerden personenbezogener Daten die Geschäftszwecke oder Ziele der speichernden Stelle erheblich gefährden würde und berechtigte Interessen des Betroffenen nicht entgegenstellen,

2. die zuständige öffentliche Stelle gegenüber der speichernden Stelle festgestellt hat, daß das Bekanntwerden der personenbezogenen Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde,

3. die personenbezogenen Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen der überwiegenden berechtigten Interessen einer dritten Person, geheimgehalten werden müssen,

4. die personenbezogenen Daten unmittelbar aus allgemein zugänglichen Quellen entnommen sind,

5. die personenbezogenen Daten deshalb nach § 27 Abs. 2 Satz 2 gesperrt sind, weil sie auf Grund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht nach § 27 Abs. 3 Satz 1 gelöscht werden dürfen.

§ 27

Berichtigung, Löschung und Sperrung von Daten

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

(2) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt. Sie sind ferner zu sperren, wenn ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist. Die Vorschriften über das Verfahren und die Rechtsfolgen der Sperrung in § 14 Abs. 2 Satz 3 gelten entsprechend.

(3) personenbezogene Daten können gelöscht werden, wenn ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist und kein Grund zur Annahme besteht, daß durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden.

Sie sind zu löschen, wenn ihre Speicherung unzulässig war oder wenn es in den Fällen des Absatzes 2 Satz 2 der Betroffene verlangt.

Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen sind zu löschen, wenn ihre Richtigkeit von der speichernden Stelle nicht bewiesen werden kann.

§ 28

Bestellung eines Beauftragten für den Datenschutz

(1) Die in § 22 Abs. 1 und 2 genannten Personen, Gesellschaften und anderen Personenvereinigungen, die personenbezogene Daten automatisch verarbeiten und hierbei in der Regel mindestens fünf Arbeitnehmer ständig beschäftigen, haben spätestens binnen eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich zu bestellen. Das gleiche gilt, wenn personenbezogene Daten auf andere Weise verarbeitet werden und soweit hierbei in der Regel mindestens zwanzig Arbeitnehmer ständig beschäftigt sind.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

(3) Der Beauftragte für den Datenschutz ist dem Inhaber, dem Vorstand, dem Geschäftsführer oder dem sonstigen gesetzlich oder verfassungsmäßig berufenen Leiter unmittelbar zu unterstellen. Er ist bei Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

(4) Der Beauftragte für den Datenschutz ist von den nach Absatz 1 zu seiner Bestellung verpflichteten Personen, Gesellschaften oder anderen Personenvereinigungen bei der Erfüllung seiner Aufgaben zu unterstützen.

§ 29

Aufgaben des Beauftragten für den Datenschutz

Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Zu diesem Zweck kann er sich in Zweifelsfällen an die Aufsichtsbehörde (§ 30) wenden. Er hat insbesondere

1. eine Übersicht über die Art der gespeicherten personenbezogenen Daten und über die Geschäftszwecke und Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, über deren regelmäßige Empfänger sowie über die Art der eingesetzten automatisierten Datenverarbeitungsanlagen zu führen,

2. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen,

3. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen,

4. bei der Auswahl der in der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.

§ 30

Aufsichtsbehörde

(1) Die nach Landesrecht zuständige Aufsichtsbehörde überprüft im Einzelfall die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Anwendungsbereich dieses Abschnittes, wenn ein Betroffener begründet darlegt, daß er bei der Verarbeitung seiner personenbezogenen Daten durch eine der in § 22 Abs. 1 und 2 genannten Personen, Gesellschaften oder anderen Personenvereinigungen in seinen Rechten verletzt worden ist. Sie hat den Beauftragten für den Datenschutz zu unterstützen, wenn er sich an sie wendet (§ 29 Abs. 1 Satz 2).

(2) Die in § 22 Abs. 1 und 2 genannten Personen, Gesellschaften und anderen Personenvereinigungen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Auskunftspflichtige kann die Auskunft, auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozeßordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.

(3) Die von der Aufsichtsbehörde mit der Überwachung beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragen en Aufgaben erforderlich ist, Grundstücke und Geschäftsräume der Stelle zu betreten, dort Prüfungen und Besichtigungen vorzunehmen und in die geschäftlichen Unterlagen, namentlich in die nach § 29 Nr. 1 vom Beauftragten für den Datenschutz zu führende Übersicht, in die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme Einsicht zu nehmen. Der Auskunftspflichtige hat diese Maßnahmen zu dulden. Das Grundrecht der Unverletzilchkeit der Wohnung (Artikel 13 des Grundgesetzes) wird insoweit eingeschränkt.

(4) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberüht.

(5) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Überwachung der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden.

VIERTER ABSCHNITT

Geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke

§ 31

Anwendungsbereich

(1) Für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privaten Rechts sowie für öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, soweit sie die Voraussetzungen von § 7 Abs. 1 Satz 1 oder § 7 Abs. 2 Satz 1 Nr. 1 erfüllen, gelten

1. die §§ 32 bis 35, soweit diese Stellen geschäftsmäßig, geschützte personenbezogene Daten zum Zweck der Übermittlung speichern und Übermitteln; dabei ist es unerheblich, ob die Daten von der Übermittlung verändert werden.

2. § 36, soweit diese Stellen geschäftsmäßig geschützte personenbezogene Daten zum Zweck der Veränderung speichern, sie derart verändern, daß diese Daten sich weder auf eine bestimmte Person beziehen noch eine solche erkennen lassen (anonymisieren), und sie in dieser Form übermitteln,

3. § 37, soweit diese Stellen geschäftsmäßig geschützte personenbezogene Daten im Auftrag als Dienstleistungsunternehmen verarbeiten.

Für natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts gelten außerdem die § 38 bis 40. Satz 2 gilt nicht für juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht, soweit diese Personen oder Personenvereinigungen geschäftsmäßig geschützte personenbezogene Daten im Auftrag von Behörden oder sonstigen öffentlichen Stellen als Dienstleistungsunternehmen verarbeiten; § 8 Abs. 3 bleibt unberührt.

(2) Die in Absatz 1 genannten Vorschriften gelten für die dort genannten Personen, Gesellschaften und anderen Personenvereinigungen auch insoweit, als die Verarbeitung personenbezogener Daten in deren Auftrag durch andere Personen oder Stellen betrieben wird. In diesen Fällen ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen (§ 6 Abe. 1) sorgfältig auszuwählen.

§ 32

Datenspeicherung und -Übermittlung

(1) Das Speichern Personenbezogener Daten ist zulässig, soweit kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden. Abweichend von Satz 1 Ist das Speichern zulässig, soweit die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen sind.

(3) Abweichend von Absatz 2 Satz 1 ist die Übermittlung von listenmäßig oder sonst zusammengefaßten Daten über Angehörige einer Personengruppe zulässig, wenn sie sich auf Namen, Titel, akademische Grade, die Anschrift sowie auf eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe beschränkt und kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden.

§ 33

Datenveränderung

Das Verändern personenbezogener Daten ist zulässig, soweit dadurch schutzwürdige Belange des Betroffenen nicht beeinträchtigt werden.

§ 34

Auskunft an den Betroffenen

(1) Werden erstmals zur Person des Betroffenen Daten übermittelt, ist er über die Speicherung zu benachrichtigen, es sei denn, daß er auf andere Weise von der Speicherung Kenntnis erlangt hat. Satz 1 gilt nicht für Übermittlungen nach § 32 Abs. 3.

(2) Der Betroffene kann, Auskunft über die zu seiner Person gespeicherten Daten verlangen. Werden die Daten automatisch verarbeitet, kann der Betroffene Auskunft auch über die Personen und Stellen verlangen, an die seine Daten regelmäßig übermittelt werden. Die Auskunft wird schriftlich erteilt, soweit nicht wegen besonderer Umstände eine andere Form der Auskunftserteilung angemessen ist.

(3) Für die Auskunft kann ein Entgelt verlangt werden, das über die durch die Auskunftserteilung entstandenen direkt zurechenbaren Kosten nicht hinausgehen darf. Ein Entgelt kann in den Fällen nicht verlangt werden, in denen durch besondere Umstände die Annahme gerechtfertigt wird, daß personenbezogene Daten unrichtig oder unzulässig gespeichert werden, oder in denen die Auskunft ergeben hat, daß die personenbezogenen Daten zu berichtigen oder unter der Voraussetzung des § 35 Abs. 3 Satz 2 erster Halbsatz zu löschen sind.

(4) Die Absätze 1 und 2 gelten nicht, soweit das Bekanntwerden der personenbezogenen Daten überwiegende berechtigte Interessen einer dritten Person schädigen oder nach Feststellung durch die zuständige öffentliche Stelle gegenüber der speichernden Stelle die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.

§ 35

Berichtigung, Löschung und Sperrung von Daten

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

(2) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen läßt. Sie sind ferner am Ende des fünften Kalenderjahres nach ihrer Einspeicherung zu sperren. Die Vorschriften über das Verfahren und die Rechtsfolgen der Sperrung in § 14 Abs. 2 Satz 3 gelten entsprechend.

(3) Personenbezogene Daten können gelöscht werden, soweit kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden.

Sie sind zu löschen, wenn ihre Speicherung unzulässig war oder wenn es in den Fällen des Absatzes 2 Satz 2 der Betroffene verlangt.

Daten über gesundheitliche Verhältnisse, strafbare Handlungen. Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen sind zu löschen, wenn ihre Richtigkeit von der speichernden Stelle nicht bewiesen werden kann.

§ 36

Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung in anonymisierter Form

(1) Die in 31 Abs, 1 Nr. 2 genannten Personen, Gesellschaften und anderen Personenvereinigungen sind verpflichtet, die gespeicherten personenbezogenen Daten zu anonymisieren. Die Merkmale, mit deren Hilfe anonymisierte Daten derart verändert werden können, daß sie sich auf eine bestimmte Person beziehen oder eine solche erkennen lassen, sind gesondert zu speichern. Diese Merkmale dürfen mit den anonymisierten Daten nicht mehr zugammengeführt werden, es sei denn, daß die dadurch ermöglichte Nutzung der Daten noch für die Erfüllung des Zweckes der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.

(2) Für die Veränderung und Löschung personenbezogener Daten gelten § 33 und § 35 Abs. 3 Satz 1 und Satz 2 erster Halbsatz entsprechend.

(3) Bei automatischer Datenverarbeitung ist die Durchführung der in Absatz 1 vorgesehenen Maßnahmen durch entsprechende Vorkehrungen sicherzustellen.

§ 37

Verarbeitung personenbezogener Daten im Auftrag

Den in 31 Abs. 1 Nr. 3 genannten Personen, Gesellschaften und anderen Personenvereinigungen ist die Verarbeitung personenbezogener Daten in jeder ihrer in 1 Abe. 1 genannten Phasen nur im Rahmen der Weisungen des Auftraggebers gestattet.

§ 38

Beauftragter für den Datenschutz

Die in § 31 genannten Personen, Gesellschaften und anderen Personenvereinigungen haben einen Beauftragten für den Datenschutz zu bestellen. Die Vorschriften über den Beauftragten für den Datenschutz in § 28 und § 29 gelten entsprechend.

§ 39

Meldepflichten

(1) Die in § 31 genannten Personen, Gesellschaften und anderen Personenvereinigungen sowie ihre Zweigniederlassungen und unselbständigen Zweigstellen haben die Aufnahme ihrer Tätigkeit bei der zuständigen Aufsichtsbehörde binnen eines Monats anzumelden.

(2) Bei der Anmeldung sind folgende Angaben zu dem bei der Aufsichtsbehörde geführten Register mitzuteilen.

1. Name oder Firma der Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder verfassungsmäßig berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragte Personen,

3. Anschrift,

4. Geschäftszwecke oder Ziele der Stelle und der Datenverarbeitung,

5. Art der eingesetzten automatisierten Datenverarbeitungsanlagen,

6. Name des Beauftragten für den Datenschutz,

7. Art der von ihr oder in ihrem Auftrag gespeicherten personenbezogenen Daten,

8. bei regelmäßiger Übermittlung personenbezogener Daten Empfänger und Art der übermittelten Daten.

(3) Absatz 1 gilt für die Beendigung der Tätigkeit sowie für die Änderung der nach Absatz 2 mitgeteilten Angaben entsprechend.

§ 40

Aufsichtsbehörde

(1) Die nach Landesrecht zuständige Aufsichtsbehörde überwacht die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Anwendungsbereich dieses Abschnittes; sie nimmt insbesondere auch die in 30 Abs. 1 genannten Aufgaben wahr. Sie führt das Register über die nach § 39 Abs. 1 anmeldepflichtigen Stellen; das Register kann von jedem eingesehen werden.

(2) Die übrigen Vorschriften über die Aufsichtsbehörde in § 30 Abs. 2 bis 5 finden entsprechende Anwendung.

FÜNFTER ABSCHNITT

Straf- und Bußgeldvorschriften

§ 41

Straftaten

(1) Wer unbefugt von diesem Gesetz geschützte personenbezogene Daten, die nicht offenkundig sind,

1. übermittelt oder verändert oder

2. abruft oder sich aus in Behältnissen verschlossenen Dateien verschafft.

wird mit Freiheitsstrafe bis zu eine Jahr oder mit Geldstrafe bestraft.

(2) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe.

(3) Die Tat wird nur auf Antrag verfolgt.

§ 42

Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 34 Abs. 1, § 26 Abs. 1 den Betroffenen nicht benachrichtigt,

2. entgegen § 28 Abs. 1, § 38 in Verbindung mit § 28 Abs. 1 einen Beauftragten für den Datenschutz nicht oder nicht rechtzeitig beruft,

3. entgegen § 34 Abs. 2 Satz 2 die dort bezeichneten Gründe oder Mittel nicht aufzeichnet,

4. entgegen § 39 Abs. 1 oder 3 eine Meldung nicht oder nicht rechtzeitig erstattet oder entgegen § 39 Abs. 2 oder 3 bei einer solchen Meldung die erforderlichen Angaben nicht, nicht richtig oder nicht vollständig mitteilt,

5. entgegen § 30 Abs. 2 Satz 1, § 40 Abs. 2 in Verbindung mit § 30 Abs. 2 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 33 Abs. 3 Satz 2, § 40 Abs. 2 in Verbindung mit § 30 Abs. 3 Satz 2 den Zutritt zu den Grundstücken oder Geschäftsräumen oder die Vornahme von Prüfungen oder Besichtigungen oder die Einsicht in geschäftliche Unterlagen nicht duldet.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Deutsche Mark geahndet werden.

SECHSTER ABSCHNITT

Übergangs- und Schlußvorschriften

§ 43

Übergangsvorschriften

(1) Die Veröffentlichung über personenbezogene Daten (§ 12), die beim Inkrafttreten des Gesetzes schon gespeichert waren, hat binnen eines Jahres nach Inkrafttreten des Gesetzes zu erfolgen.

(2) Die in § 28 Abs. 1, § 38 in Verbindung mit § 29 Abs. 1 und 29 Abs. 1 genannten Verpflichtungen treten für die Personen, Gesellschaften und anderen Personenvereinigungen, die bei Inkrafttreten des Gesetzes personenbezogene Daten verarbeiten, mit dem Inkrafttreten des Gesetzes ein.

(3) Sind zur Person des Betroffenen bereits vor dem Inkrafttreten des Gesetzes Daten gespeichert worden, so ist der Betroffene darüber nach § 26 Abs. 1 zu benachrichtigen, wenn die Daten erstmals nach dem Inkrafttreten des Gesetzes Übermittelt worden sind.

(4) Sind die zur Person des Betroffenen gespeicherten Daten bereits vor dem Inkrafttreten des Gesetzes übermittelt worden, so ist der Betroffene über die Speicherung nach § 34 Abs. 1 zu benachrichtigen, wenn die Daten erstmals nach dem Inkrafttreten des Gesetzes übermittelt worden sind.

§ 44

Anwendung des Verwaltungsverfahrensgesetzes

Für die Ausführung dieses Gesetzes (...)