Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt Dokumenttext
Trefferliste

Dokument

  in html speichern drucken Dokumentansicht maximierenStandardansicht wiederherstellen
Einzelnorm
Aktuelle Gesamtausgabe
Blättern zur vorhergehenden Norm Blättern im Gesetz Blättern zur nachfolgenden Norm
Amtliche Abkürzung:NDSG
Fassung vom:16.05.2018
Gültig ab:25.05.2018
Dokumenttyp: Gesetz
Quelle:Wappen Niedersachsen
Gliederungs-Nr:20600
Niedersächsisches Datenschutzgesetz
(NDSG)
Vom 16. Mai 2018*)**)
§ 17
Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung ist zulässig, soweit und solange es erforderlich ist

1.

zur Wahrnehmung von Rechten und Pflichten, die aus dem Recht der sozialen Sicherheit und des Sozialschutzes folgen,

2.

zur Wahrnehmung von Rechten und Pflichten der öffentlichen Stellen auf dem Gebiet des Dienst- und Arbeitsrechts,

3.

zum Zweck der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit von beschäftigten Personen, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einer oder einem Angehörigen eines Gesundheitsberufs, wenn diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden,

4.

aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und des Infektionsschutzes, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten; ergänzend zu den in den Absätzen 2 und 3 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,

5.

zur Abwehr erheblicher Nachteile für das Gemeinwohl oder von Gefahren für die öffentliche Sicherheit und Ordnung,

6.

zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs (StGB) oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen.

(2) Werden im Rahmen der Datenverarbeitung nach diesem Kapitel oder nach anderen datenschutzrechtlichen Bestimmungen besondere Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung verarbeitet, so sind von den Verantwortlichen und den Auftragsverarbeitern zur Wahrung der Grundrechte und Interessen der betroffenen Person die folgenden Maßnahmen zu treffen:

1.

Sicherstellung, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet worden sind,

2.

Beschränkung der Befugnisse für den Zugriff auf personenbezogene Daten auf das erforderliche Maß sowie die Dokumentation der Befugnisse,

3.

Sensibilisierung der Personen, die Zugang zu den personenbezogenen Daten haben.

(3) 1Soweit es zum Schutz besonderer Kategorien personenbezogener Daten erforderlich ist, haben die Verantwortlichen und Auftragsverarbeiter ergänzend zu Absatz 2 weitere angemessene und spezifische Maßnahmen zu treffen. 2Als Maßnahmen kommen insbesondere in Betracht:

1.

Sicherstellung, dass die personenbezogenen Daten zur Verarbeitung nur im Vier-Augen-Prinzip freigegeben werden,

2.

Sicherstellung, dass auf die personenbezogenen Daten nur nach einer Zwei-Faktor-Authentisierung zugegriffen wird,

3.

Sicherstellung, dass die elektronische Übermittlung von personenbezogenen Daten nur mit einer Verschlüsselung erfolgt,

4.

Sicherstellung, dass in einem vernetzten IT-System die personenbezogenen Daten nur mit Verschlüsselung gespeichert werden,

5.

Sicherstellung, dass durch eine redundante Auslegung der Systeme, der Energieversorgung und der Datenübertragungseinrichtungen ein Datenverlust vermieden wird,

6.

Sicherstellung, dass Daten nicht unbefugt verändert werden und ihre Integrität gewahrt ist, etwa durch Einsatz einer elektronischen Signatur,

7.

Schulung der Personen, die Zugang zu den personenbezogenen Daten haben.

(4) Art und Umfang der Maßnahmen nach den Absätzen 2 und 3 richten sich nach dem Stand der Technik und den Implementierungskosten, nach der Art, dem Umfang, den Umständen und dem Zweck der Datenverarbeitung sowie nach der Eintrittswahrscheinlichkeit und der Schwere der mit der Datenverarbeitung verbundenen Risiken für die Grundrechte und Interessen der betroffenen Person.

Fußnoten ausblendenFußnoten

*)
Die Vorschriften des Zweiten und des Dritten Teils dienen der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU Nr. L 119 S. 89).
**)
Verkündet als Artikel 1 des Gesetzes zur Neuordnung des niedersächsischen Datenschutzrechts vom 16. Mai 2018 (Nds. GVBl. S. 66)

 


Abkürzung Fundstelle Diesen Link können Sie kopieren und verwenden, wenn Sie immer auf die gültige Fassung der Vorschrift verlinken möchten:
http://www.nds-voris.de/jportal/?quelle=jlink&query=DSG+ND+%C2%A7+17&psml=bsvorisprod.psml&max=true


Blättern zur vorhergehenden Norm Blättern im Gesetz Blättern zur nachfolgenden Norm