§ 25 Datenübermittlungen durch öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden. Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist unter den Voraussetzungen des § 23 zulässig.
(2) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an nichtöffentliche Stellen ist zulässig, wenn
- sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden,
- der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
- es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Satz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
(3) Die Übermittlung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zulässig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Kommentar
§ 25 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.
Die Vorschrift behandelt die Anforderungen an die Datenübermittlung durch öffentliche Stellen und stellt eine Rechtsgrundlage zur Übermittlung personenbezogener Daten durch öffentliche Stellen dar, soweit dies zu anderen Zwecken als denjenigen erfolgt, zu denen die Daten ursprünglich erhoben worden sind. Die Vorschrift gilt auch für Fälle, in denen eine öffentliche Stelle Daten, die sie ursprünglich zu Zwecken gemäß § 45 erhoben hat, an einen Dritten übermittelt, der die Daten zu Zwecken der DSGVO verarbeiten möchte.
Absatz 1 befasst sich mit der Übermittlung an öffentliche Stellen. Absatz 2 hat die Übermittlung von Daten an nichtöffentliche Stellen zum Gegenstand.
Die Übermittlung von Daten an öffentliche Stellen ist nach Absatz 1 zulässig, soweit dies zur Aufgabenerfüllung der die Daten übermittelnden öffentlichen Stelle oder der Stelle, an die die Daten übermittelt werden, erforderlich ist. Zusätzlich müssen die Voraussetzungen von § 23 vorliegen, d. h., dass eine Weiterverarbeitung nach dieser Vorschrift zulässig sein würde. Die Vorschrift entspricht § 15 Absatz 1 und Absatz 3 BDSG a. F.
Absatz 1 Satz 2 beschränkt die Befugnis zur Datenverarbeitung auf die Zwecke zu denen die Datenübermittlung erfolgt ist. Gleichzeitig eröffnet Absatz 1 Satz 3 allerdings die Nutzung für andere Zwecke, wenn diesbezüglich die Voraussetzungen von § 23 vorliegen.
Absatz 2 behandelt die Voraussetzungen der Übermittlung personenbezogener Daten an nichtöffentliche Stellen. Die Regelung ist allerdings nicht neu, sondern entspricht § 16 Absatz 1 und 4 BDSG a. F. Die in Absatz 3 der vorgenannten Vorschrift enthaltenen Informationspflichten sind indessen nicht weggefallen, sondern diese gelten unmittelbar gemäß Artikel 13 Absatz 3 und Artikel 14 Absatz 4 DSGVO.
Absatz 3 stellt besondere Anforderungen an die Übermittlung besonderer Kategorien personenbezogener Daten: erforderlich ist neben dem Vorliegen einer der tatbestandlichen Voraussetzungen der Absätze 1 oder 2 zusätzlich ein Ausnahmetatbestand nach Artikel 9 Absatz 2 DSGVO oder nach § 22.