(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände und die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (öffentliche Stellen). Untersteht die beaufsichtigte Stelle nicht der alleinigen Aufsicht des Landes, so gelten die Bestimmungen dieses Gesetzes nur, soweit dies ausdrücklich geregelt ist. § 25 gilt auch für nichtöffentliche Stellen.
(2) Als öffentliche Stellen gelten auch juristische Personen und sonstige Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen eine oder mehrere der in Absatz 1 genannten juristischen Personen des öffentlichen Rechts beteiligt sind. Beteiligt sich eine juristische Person oder sonstige Vereinigung des privaten Rechts, auf die dieses Gesetz nach Satz 1 Anwendung findet, an einer weiteren Vereinigung des privaten Rechts, so findet Satz 1 entsprechende Anwendung. Nehmen nichtöffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.
(3) Soweit besondere Rechtsvorschriften über den Datenschutz auf personenbezogene Daten anzuwenden sind, gehen sie den Bestimmungen dieses Gesetzes vor. Regeln diese Rechtsvorschriften einen Sachverhalt nicht oder nicht abschließend, finden die Bestimmungen dieses Gesetzes Anwendung. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(4) Fällt die Verarbeitung personenbezogener Daten nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 oder der in Umsetzung der Richtlinie (EU) 2016/680 getroffenen Regelungen, sind die Bestimmungen der Verordnung (EU) 2016/679 entsprechend anzuwenden, es sei denn, dieses Gesetz oder die jeweiligen Fachgesetze enthalten abweichende Regelungen. Satz 1 gilt mit Ausnahme der Artikel 30, 35 und 36 der Verordnung (EU) 2016/679 auch für die nichtautomatisierte Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(5) Die Bestimmungen dieses Gesetzes gehen denen des Thüringer Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(6) Die Bestimmungen dieses Gesetzes gelten für den Landtag nur, soweit er in Verwaltungsangelegenheiten tätig wird. Verwaltungsangelegenheiten des Landtags sind insbesondere
- die wirtschaftlichen Angelegenheiten des Landtags nach Artikel 57 Abs. 4 Satz 1 der Verfassung des Freistaats Thüringen,
- die Personalverwaltung des Landtags,
- die Ausübung des Hausrechts und der Ordnungs- und Polizeigewalt nach Artikel 57 Abs. 3 Satz 2 der Verfassung des Freistaats Thüringen und
- die Ausführung der Gesetze, soweit diese dem Präsidenten des Landtags zugewiesen sind.
Die Verarbeitung personenbezogener Daten bei der Wahrnehmung parlamentarischer Aufgaben durch den Landtag sowie der parlamentarischen Tätigkeit der Abgeordneten einschließlich der Fraktionen unterliegt nicht den Bestimmungen dieses Gesetzes. Der Landtag erlässt insoweit eine seiner verfassungsrechtlichen Stellung entsprechende Datenschutzordnung.
(7) Die Landesregierung darf personenbezogene Daten, die für andere Zwecke erhoben worden sind, zur Beantwortung parlamentarischer Anfragen sowie zur Vorlage von Unterlagen und Berichten im Rahmen der Geschäftsordnung des Thüringer Landtags in dem dafür erforderlichen Umfang verwenden. Dies gilt nicht, wenn die Übermittlung der Daten wegen ihres streng persönlichen Charakters für die Betroffenen unzumutbar ist. Besondere gesetzliche Übermittlungsverbote bleiben unberührt.
(8) Von der Landesregierung übermittelte personenbezogene Daten dürfen nicht in Landtagsdrucksachen aufgenommen oder in sonstiger Weise allgemein zugänglich gemacht werden. Dies gilt nicht, wenn keine Anhaltspunkte dafür bestehen, dass schutzwürdige Belange der Betroffenen beeinträchtigt werden.
(9) Für den Rechnungshof gelten die Bestimmungen über die Aufsichtsbehörde, den Datenschutzbeauftragten sowie das Führen von Verzeichnissen nach Artikel 30 der Verordnung (EU) 2016/679 nur, soweit er in Verwaltungsangelegenheiten tätig wird. Für die Gerichte gilt Satz 1 entsprechend mit der Maßgabe, dass § 50 auch bei Verarbeitungstätigkeiten, die in Zusammenhang mit der Mitwirkung an der Strafverfolgung, der Verfolgung von Ordnungswidrigkeiten und der Vollstreckung stehen, keine Anwendung findet.
(10) Bei der im Anwendungsbereich des § 31 geregelten Verarbeitung personenbezogener Daten gelten für die Staatsanwaltschaften die Bestimmungen des Ersten, Dritten und Vierten Abschnitts, im Übrigen gelten für sie die Bestimmungen des Ersten, Zweiten und Vierten Abschnitts.