(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung ist auf der Basis einer ausdrücklichen Einwilligung der betroffenen Person zulässig. Die Einwilligung in die Verarbeitung genetischer oder biometrischer Daten oder Gesundheitsdaten bedarf der Schriftform. Die Übermittlung derartiger Daten auf der Grundlage einer Einwilligung ist nur wirksam, wenn die empfangende Stelle Kenntnis von Inhalt und Reichweite der Einwilligung hat.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung durch öffentliche Stellen ist zulässig, wenn sie aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist und soweit die Interessen des Verantwortlichen an der Datenverarbeitung die schutzwürdigen Interessen der betroffenen Person überwiegen. Ein erhebliches öffentliches Interesse im Sinne des Satzes 1 ist insbesondere anzunehmen bei
- der Abwehr einer Gefahr für die öffentliche Sicherheit,
- der Verfolgung von Straftaten von Bedeutung,
- der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen oder
- der Abwehr von Nachteilen für das Gemeinwohl oder zur Wahrung von Belangen des Gemeinwohls.
(3) Bei der Verarbeitung genetischer oder biometrischer Daten oder Gesundheitsdaten haben die Verantwortlichen angemessene und spezifische Maßnahmen, insbesondere technische und organisatorische Maßnahmen, zur Wahrung der Grundrechte und Interessen der betroffenen Person vorzusehen. Mindestens haben die Verantwortlichen
- zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem die Daten eingegeben, verändert oder entfernt worden sind,
- die an den Verarbeitungsvorgängen Beteiligten zu sensibilisieren,
- den Zugang zu den Daten beim Verantwortlichen und von Auftragsverarbeitern zu beschränken,
- die Grundsätze der Datenminimierung und Speicherbegrenzung sowie die Notwendigkeit einer Datenschutz-Folgenabschätzung zu berücksichtigen,
- die Daten im Fall der Übermittlung zu verschlüsseln,
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten sicherzustellen,
- die Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten und
- im Fall einer Übermittlung oder Verarbeitung für andere Zwecke, die Einhaltung der Vorgaben dieses Gesetzes sowie der Datenschutz-Grundverordnung durch spezifische Verfahrensregelungen sicherzustellen.
Artikel 32 der Datenschutz-Grundverordnung bleibt unberührt.
(4) Die Verarbeitung von genetischen oder biometrischen Daten oder Gesundheitsdaten im Auftrag ist nur zulässig, wenn der Auftragsverarbeiter entsprechend dem Schutzbedarf der Daten angemessene Vorkehrungen zum Datenschutz im Sinne des Absatzes 3 getroffen hat und keine überwiegenden schutzwürdigen Interessen der betroffenen Person einer Auslagerung der Datenverarbeitung entgegenstehen. Die Beauftragung von Stellen außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung ist unzulässig.
(5) Sofern an einer gemeinsamen Verarbeitung personenbezogener Daten im Sinne von Artikel 26 der Datenschutz-Grundverordnung, die zumindest auch genetische oder biometrische Daten oder Gesundheitsdaten umfasst, Stellen beteiligt sind, die dem Geltungsbereich dieses Gesetzes unterliegen, ist diese nur zulässig, wenn die Erfüllung der in der Datenschutz-Grundverordnung enthaltenen Anforderungen vor Beginn der Datenverarbeitung gegenüber der oder dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit nachgewiesen worden ist.