(1) 1Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft zu erteilen über
1. |
die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören, |
2. |
den Zweck und die Rechtsgrundlage der Verarbeitung, |
3. |
die verfügbaren Informationen über die Herkunft der Daten, |
4. |
die Empfänger oder die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, und |
5. |
die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. |
2Der Verantwortliche hat die betroffene Person auf ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten durch den Verantwortlichen und das Bestehen des Rechts nach § 55, die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anzurufen, hinzuweisen und deren Kontaktdaten mitzuteilen.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Gewährleistung der Datensicherheit oder der Datenschutzkontrolle verarbeitet werden, wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(3) 1Der Verantwortliche kann die Auskunftserteilung einschränken oder ablehnen, soweit und solange
1. |
die Auskunft die Erfüllung der in § 23 bezeichneten Aufgaben gefährden würden, |
2. |
die Auskunft die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes einen Nachteil bereiten würde oder |
3. |
die Auskunft die Interessen einer anderen Person an der Geheimhaltung gefährden würde, |
es sei denn, das Informationsinteresse der betroffenen Person überwiegt das Interesse an der Vermeidung dieser Gefahren. 2Die Auskunftserteilung kann auch eingeschränkt oder abgelehnt werden, soweit und solange die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift geheim gehalten werden müssen.
(4) 1Bezieht sich die Auskunftserteilung auf personenbezogene Daten, die an die Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung übermittelt wurden, so ist sie nur mit Zustimmung dieser Stellen zulässig. 2Satz 1 gilt entsprechend für personenbezogene Daten, die von einer Behörde nach Satz 1 übermittelt wurden.
(5) 1Der Verantwortliche hat die betroffene Person über die Ablehnung oder die Einschränkung der Auskunftserteilung unverzüglich schriftlich zu unterrichten. 2Die Ablehnung oder Einschränkung der Auskunft nach Satz 1 ist zu begründen, es sei denn, dass durch die Mitteilung der Gründe der mit der Ablehnung oder Einschränkung der Auskunft verfolgte Zweck gefährdet würde. 3Soweit die Ablehnung oder die Einschränkung der Auskunftserteilung nicht nach Satz 2 begründet wird, sind die Gründe hierfür aktenkundig zu machen.
(6) 1Wird die betroffene Person nach Absatz 5 über die Ablehnung oder die Einschränkung der Auskunftserteilung unterrichtet, so kann die betroffene Person ihr Auskunftsrecht auch über die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ausüben. 2Der Verantwortliche hat die betroffene Person über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 55 die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anrufen oder gerichtlichen Rechtsschutz suchen kann. 3Auf Verlangen der betroffenen Person erteilt der Verantwortliche der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde die begehrte Auskunft und stellt dieser die nach Absatz 5 Satz 3 dokumentierten Gründe für die Ablehnung oder Einschränkung der Auskunftserteilung zur Verfügung, es sei denn, es liegt ein Ausschlussgrund nach § 57 Abs. 7 Satz 1 [Bis 09.02.2024: § 57 Abs. 8] vor. 4Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde hat die betroffene Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen oder eine Überprüfung durch sie erfolgt sind, oder über die Gründe, aus denen eine Überprüfung nicht erfolgt ist. 5Diese Mitteilung kann die Information enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. 6Die Mitteilung der von dem oder der Landesbeauftragten für den Datenschutz geleiteten Behörde an die betroffene Person darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern er nicht einer weitergehenden Auskunft zustimmt. 7Der Verantwortliche darf die Zustimmung nur soweit und solange verweigern, wie er nach Absatz 3 von einer Auskunft absehen oder sie einschränken könnte.