Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong><strong>Hamburgische</strong>s</strong><br />
<strong>Datenschutz</strong>gesetz<br />
Gesetzestext <strong>und</strong> Erläuterungen<br />
Der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong><br />
<strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit
<strong><strong>Hamburgische</strong>s</strong><br />
<strong>Datenschutz</strong>gesetz<br />
Gesetzestext <strong>und</strong> Erläuterungen<br />
Hamburg, 2013
Herausgeber:<br />
Der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit<br />
Klosterwall 6, 20095 Hamburg<br />
Telefon: 040 / 428 54 - 40 40<br />
E-Mail: mailbox@datenschutz.hamburg.de<br />
Titelbild: Thomas Krenz<br />
Druck: Lütcke & Wulff, 22525 Hamburg<br />
1. Auflage, Dezember 2013
INHALTSVERZEICHNIS<br />
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4<br />
<strong><strong>Hamburgische</strong>s</strong> <strong>Datenschutz</strong>gesetz (HmbDSG)<br />
(zuletzt geändert am 5. April 2013) . . . . . . . . . . . . . . . . . . . . . . 5<br />
Erläuterungen zum HmbDSG . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3
Einleitung<br />
Das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz sichert das Recht auf informationelle<br />
Selbstbestimmung der Bürgerinnen <strong>und</strong> Bürger gegenüber den<br />
öffentlichen Stellen in Hamburg. Gleichzeitig stellt es aber auch die zentrale<br />
<strong>und</strong> unerlässliche Rechtsgr<strong>und</strong>lage <strong>für</strong> die <strong>Hamburgische</strong> Verwaltung<br />
dar, um zur Erfüllung ihrer unterschiedlichen Aufgaben Daten zu verarbeiten.<br />
Die Normen des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes garantieren<br />
daher individuelle Rechte ebenso wie sie den rechtsstaatlichen Ablauf der<br />
Verwaltung insbesondere beim Erheben, Speichern <strong>und</strong> Übermitteln von<br />
personenbezogenen Daten sicherstellen.<br />
Diese Broschüre soll das <strong>Hamburgische</strong> <strong>Datenschutz</strong>recht sowohl <strong>für</strong><br />
Interessierte <strong>und</strong> Fachleute als auch <strong>für</strong> alle öffentlichen Stellen in Hamburg<br />
kommentieren <strong>und</strong> handhabbarer machen. Dazu erfolgt nicht nur der<br />
Abdruck des Gesetzestextes. Im zweiten Teil werden darüber hinaus Erläuterungen<br />
zu den Normen aus der Perspektive des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit mitgeliefert. Die Kommentierung<br />
ist sowohl an der gesetzgeberischen Begründung als auch an der<br />
behördlichen Rechtspraxis ausgerichtet. Sie soll Ratsuchenden bei Auslegungsfragen<br />
des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>rechts wichtige Anhaltspunkte<br />
zu den eigenen Rechten oder einer gesicherten Rechtspraxis<br />
liefern. Jüngste rechtliche Entwicklungen im Zusammenhang mit einer<br />
künftigen EU-<strong>Datenschutz</strong>gr<strong>und</strong>verordnung konnten naturgemäß nicht<br />
berücksichtigt werden; das gesetzgeberische Verfahren wird hier auch<br />
noch einige Zeit in Anspruch nehmen.<br />
4
<strong><strong>Hamburgische</strong>s</strong> <strong>Datenschutz</strong>gesetz<br />
(HmbDSG)<br />
Vom 5. Juli 1990 (HmbGVBl. S. 133, 165, 226)<br />
zuletzt geändert am 5. April 2013 (HmbGVBl. S. 148, 155)<br />
Der Senat verkündet das nachstehende von der Bürgerschaft<br />
beschlossene Gesetz:<br />
Inhaltsübersicht<br />
ERSTER ABSCHNITT<br />
Allgemeine Vorschriften<br />
§ 1 Aufgabe des <strong>Datenschutz</strong>es<br />
§ 2 Anwendungsbereich<br />
§ 3 Datenverarbeitung im Auftrag<br />
§ 4 Begriffsbestimmungen<br />
§ 4 a Schriftform (aufgehoben)<br />
§ 5 Zulässigkeit der Datenverarbeitung<br />
§ 5 a Automatisierte Einzelentscheidungen<br />
§ 5 b Mobile Datenverarbeitungsmedien<br />
§ 6 Rechte der Betroffenen<br />
§ 7 Datengeheimnis<br />
§ 8 Technische <strong>und</strong> organisatorische Maßnahmen; Vorabkontrolle<br />
§ 9 Verfahrensbeschreibung<br />
§ 10 Durchführung des <strong>Datenschutz</strong>es<br />
§ 10 a Behördliche <strong>Datenschutz</strong>beauftragte bzw. behördlicher<br />
<strong>Datenschutz</strong>beauftragter<br />
§ 11 Automatisiertes Abrufverfahren<br />
§ 11 a Gemeinsame <strong>und</strong> verb<strong>und</strong>ene automatisierte Dateien<br />
ZWEITER ABSCHNITT<br />
Rechtsgr<strong>und</strong>lagen der Datenverarbeitung<br />
§ 12 Datenerhebung<br />
§ 12 a Unterrichtung bei der Erhebung<br />
§ 13 Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung<br />
§ 14 Übermittlung innerhalb des öffentlichen Bereichs<br />
5
§ 15 Übermittlung an öffentlich-rechtliche Religionsgesellschaften<br />
§ 16 Übermittlung an Stellen außerhalb des öffentlichen Bereichs<br />
§ 17 Übermittlung an Stellen außerhalb der<br />
B<strong>und</strong>esrepublik Deutschland<br />
DRITTER ABSCHNITT<br />
Rechte der Betroffenen<br />
§ 18 Auskunft<br />
§ 19 Berichtigung, Sperrung <strong>und</strong> Löschung<br />
§ 20 Schadensersatz<br />
VIERTER ABSCHNITT<br />
Die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit<br />
§ 21 Berufung<br />
§ 22 Rechtsstellung<br />
§ 23 Aufgaben<br />
§ 24 Aufsichtsbehörde zur Überwachung nicht-öffentlicher Stellen <strong>und</strong><br />
öffentlich-rechtlicher Wettbewerbsunternehmen<br />
§ 25 Beanstandungen<br />
§ 26 Anrufung<br />
FÜNFTER ABSCHNITT<br />
Besondere Vorschriften über den <strong>Datenschutz</strong><br />
§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher Forschung<br />
§ 28 Datenverarbeitung bei Beschäftigungsverhältnissen<br />
§ 29 Fernmessen <strong>und</strong> Fernwirken<br />
§ 30 Videobeobachtung <strong>und</strong> Videoaufzeichnung (Videoüberwachung)<br />
§ 31 Datenverarbeitung <strong>für</strong> Planungszwecke<br />
§ 32 Straftaten<br />
§ 33 Ordnungswidrigkeiten<br />
§ 34 Verwaltungsgebühren<br />
§ 35 Inkrafttreten<br />
SECHSTER ABSCHNITT<br />
Straf- <strong>und</strong> Bußgeldvorschriften;<br />
Gebührenvorschrift; Inkrafttreten<br />
6
ERSTER ABSCHNITT<br />
Allgemeine Vorschriften<br />
§1<br />
Aufgabe des <strong>Datenschutz</strong>es<br />
Dieses Gesetz regelt die Verarbeitung personenbezogener Daten durch<br />
öffentliche Stellen, um das Recht einer jeden Person zu schützen, selbst<br />
über die Preisgabe <strong>und</strong> Verwendung ihrer Daten zu bestimmen, soweit<br />
keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften<br />
zugelassen sind.<br />
§2<br />
Anwendungsbereich<br />
(1) 1 Dieses Gesetz gilt <strong>für</strong> die Verarbeitung personenbezogener Daten<br />
durch folgende öffentliche Stellen:<br />
1. die Bürgerschaft, die Behörden, die Organe der Rechtspflege, den<br />
Rechnungshof <strong>und</strong> die sonstigen öffentlich-rechtlich organisierten Einrichtungen<br />
der Freien <strong>und</strong> Hansestadt Hamburg,<br />
2. die der Aufsicht der Freien <strong>und</strong> Hansestadt Hamburg unterstehenden<br />
juristischen Personen des öffentlichen Rechts <strong>und</strong> deren öffentlichrechtlich<br />
organisierte Einrichtungen,<br />
3. Stellen, soweit sie als Beliehene hoheitliche Aufgaben der öffentlichen<br />
Verwaltung wahrnehmen.<br />
2 Für juristische Personen, Gesellschaften <strong>und</strong> andere Personenvereinigungen<br />
des privaten Rechts, an denen die Freie <strong>und</strong> Hansestadt Hamburg<br />
oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen<br />
Rechts beteiligt ist, gelten nur die auf nicht-öffentliche Stellen anzuwendenden<br />
Vorschriften des B<strong>und</strong>esdatenschutzgesetzes in der jeweils geltenden<br />
Fassung, wenn sie keine öffentlichen Stellen des B<strong>und</strong>es gemäß<br />
§ 2 Absatz 3 des B<strong>und</strong>esdatenschutzgesetzes sind.<br />
(2) 1 Soweit die in Absatz 1 Satz 1 genannten Stellen als Unternehmen am<br />
Wettbewerb teilnehmen, gelten von den Vorschriften dieses Gesetzes nur<br />
die §§ 10, 28, 29 <strong>und</strong> der Vierte Abschnitt. 2 Im Übrigen sind die <strong>für</strong> nicht-öffentliche<br />
Stellen geltenden Vorschriften des B<strong>und</strong>esdatenschutzgesetzes<br />
mit Ausnahme des § 38 in der jeweils geltenden Fassung anzuwenden.<br />
(3) Absatz 2 gilt nicht <strong>für</strong> die <strong>Hamburgische</strong> Investitions- <strong>und</strong> Förderbank.<br />
(4) Für die Ausübung des Gnadenrechts findet dieses Gesetz keine Anwendung.<br />
7
(5) 1 Auf die nicht-automatisierte Verarbeitung personenbezogener Daten<br />
außerhalb von Dateien<br />
1. durch die Gerichte im Rahmen der Rechtspflege,<br />
2. durch die Staatsanwaltschaften <strong>und</strong> ihre Hilfsbeamtinnen <strong>und</strong> Hilfsbeamten<br />
bei der Verfolgung von Straftaten <strong>und</strong> bei der Strafvollstreckung<br />
sowie<br />
3. durch die in Absatz 1 Satz 1 genannten Stellen bei der Verfolgung <strong>und</strong><br />
Ahndung von Ordnungswidrigkeiten<br />
finden § 5, § 6 Absatz 1 Nummern 1 bis 9 sowie die §§ 12 bis 19 keine<br />
Anwendung. 2 Satz 1 Nummer 1 gilt nicht <strong>für</strong> die Tätigkeit der Gerichtsvollzieherinnen<br />
<strong>und</strong> Gerichtsvollzieher.<br />
(6) Dieses Gesetz gilt nicht <strong>für</strong> personenbezogene Daten, solange sie in<br />
allgemein zugänglichen Quellen gespeichert sind, sowie <strong>für</strong> Daten von<br />
Betroffenen, die diese zur Veröffentlichung bestimmt haben.<br />
(7) Soweit besondere Rechtsvorschriften auf die Verarbeitung personenbezogener<br />
Daten anzuwenden sind (Rechtsvorschriften über den <strong>Datenschutz</strong>),<br />
gehen sie den Vorschriften dieses Gesetzes vor.<br />
§3<br />
Datenverarbeitung im Auftrag<br />
(1) 1 Die Vorschriften dieses Gesetzes gelten <strong>für</strong> die in § 2 Absatz 1 Satz 1<br />
genannten Stellen auch insoweit, als personenbezogene Daten in deren<br />
Auftrag durch andere Stellen verarbeitet werden. 2 In diesen Fällen ist die<br />
auftragnehmende Stelle unter besonderer Berücksichtigung der Eignung<br />
der von ihr getroffenen technischen <strong>und</strong> organisatorischen Maßnahmen<br />
(§ 8) sorgfältig auszuwählen. 3 Bei Erteilung des Auftrags sind, falls erforderlich,<br />
ergänzende technische <strong>und</strong> organisatorische Maßnahmen <strong>und</strong><br />
etwaige Unterauftragsverhältnisse festzulegen. 4 Die auftragnehmenden<br />
Stellen sind zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu<br />
dem sie ihnen überlassen worden sind, sowie nach Erledigung des<br />
Auftrags die überlassenen Datenträger zurückzugeben, zu löschen oder<br />
zu vernichten <strong>und</strong> bei ihnen gespeicherte personenbezogene Daten zu<br />
löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.<br />
(2) 1 Die Vorschriften der §§ 12 bis 20 gelten nicht <strong>für</strong> die in § 2 Absatz 1<br />
Satz 1 genannten Stellen, soweit sie personenbezogene Daten im Auftrag<br />
verarbeiten. 2 In diesen Fällen ist die Datenverarbeitung nur im Rahmen<br />
der Weisungen der auftraggebenden Stelle zulässig. 3 Ist die auftragnehmende<br />
Stelle der Ansicht, dass eine solche Weisung gegen dieses Gesetz<br />
8
oder andere Vorschriften über den <strong>Datenschutz</strong> verstößt, so hat sie die auftraggebende<br />
Stelle unverzüglich darauf hinzuweisen.<br />
(3) 1 Sofern die §§ 7 <strong>und</strong> 8 auf die auftragnehmende Stelle keine Anwendung<br />
finden, ist die auftraggebende Stelle verpflichtet, vertraglich sicherzustellen,<br />
dass die auftragnehmende Stelle die in diesen Bestimmungen<br />
<strong>für</strong> auftragnehmende Stellen enthaltenen Regelungen befolgt <strong>und</strong> sich,<br />
sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt<br />
wird, der Überwachung der oder des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit unterwirft. 2 Bei einer Auftragsdurchführung<br />
außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige<br />
<strong>Datenschutz</strong>aufsichtsbehörde zu unterrichten.<br />
(4) Die Absätze 1 bis 3 gelten entsprechend, soweit Stellen im Auftrag<br />
1. beratende, begutachtende oder vergleichbare unterstützende Tätigkeiten<br />
ausführen,<br />
2. Wartungsarbeiten oder Hilfstätigkeiten bei der Datenverarbeitung<br />
erledigen<br />
<strong>und</strong> hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen<br />
werden kann.<br />
§4<br />
Begriffsbestimmungen<br />
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder<br />
sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen<br />
(Betroffene, betroffene Personen).<br />
(2) 1 Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln,<br />
Sperren, Löschen <strong>und</strong> Nutzen personenbezogener Daten.<br />
2 Im Einzelnen ist<br />
1. Erheben das Beschaffen von Daten über Betroffene,<br />
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf<br />
einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,<br />
3. Verändern das inhaltliche Umgestalten von Daten,<br />
4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass<br />
die Daten weitergegeben, zur Einsicht bereitgehalten oder veröffentlicht<br />
werden oder dass Dritte in einem automatisierten Verfahren bereitgehaltene<br />
Daten abrufen,<br />
5. Sperren das Verhindern weiterer Verarbeitung von Daten,<br />
9
6. Löschen das Unkenntlichmachen von Daten oder das Vernichten des<br />
Datenträgers,<br />
7. Nutzen jede sonstige Verwendung von Daten<br />
ungeachtet der dabei angewendeten Verfahren.<br />
(3) Daten verarbeitende Stelle ist jede der in § 2 Absatz 1 Satz 1 genannten<br />
Stellen, die allein oder gemeinsam mit anderen Daten <strong>für</strong> sich selbst verarbeitet<br />
oder durch andere verarbeiten lässt.<br />
(4) Dritte sind alle Stellen außerhalb der Daten verarbeitenden Stelle,<br />
ausgenommen die Betroffenen <strong>und</strong> diejenigen Stellen, die in einem Mitgliedstaat<br />
der Europäischen Union personenbezogene Daten im Auftrag<br />
verarbeiten.<br />
(5) Empfängerinnen <strong>und</strong> Empfänger sind alle Personen oder Stellen, die<br />
Daten erhalten.<br />
(6) Eine Datei ist eine Sammlung personenbezogener Daten, die<br />
1. durch automatisierte Verfahren verarbeitet werden kann (automatisierte<br />
Datei) oder<br />
2. gleichartig aufgebaut <strong>und</strong> nach bestimmten Merkmalen zugänglich ist<br />
<strong>und</strong> ausgewertet werden kann (nicht-automatisierte Datei).<br />
(7) Stellen sind natürliche Personen, juristische Personen <strong>und</strong> ihre Handlungseinheiten,<br />
Gesellschaften <strong>und</strong> andere Personenvereinigungen des<br />
privaten Rechts.<br />
(8) Ein Datenträger ist jedes Material, auf dem Einzelangaben wahrnehmbar<br />
festgehalten werden.<br />
(9) Anonymisieren ist das Verändern personenbezogener Daten derart,<br />
dass die Einzelangaben über persönliche oder sachliche Verhältnisse<br />
nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit,<br />
Kosten <strong>und</strong> Arbeitskraft einer bestimmten oder bestimmbaren natürlichen<br />
Person zugeordnet werden können.<br />
(10) Pseudonymisieren ist das Verändern personenbezogener Daten mittels<br />
einer Zuordnungsregel derart, dass die Einzelangaben über persönliche<br />
oder sachliche Verhältnisse ohne Kenntnis dieser Regel nicht mehr<br />
oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten <strong>und</strong><br />
Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet<br />
werden können.<br />
§4a<br />
(aufgehoben)<br />
10
§5<br />
Zulässigkeit der Datenverarbeitung<br />
(1) 1 Die Verarbeitung personenbezogener Daten ist nur zulässig, soweit<br />
1. dieses Gesetz oder eine besondere Rechtsvorschrift über den <strong>Datenschutz</strong><br />
sie erlaubt oder<br />
2. die Betroffenen eingewilligt haben.<br />
2 Die Verarbeitung personenbezogener Daten, aus denen die rassische<br />
<strong>und</strong> ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche<br />
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,<br />
sowie von Daten über Ges<strong>und</strong>heit oder Sexualleben ist nur<br />
zulässig, soweit<br />
1. die §§ 15, 27 bis 30 oder eine besondere Rechtsvorschrift über den<br />
<strong>Datenschutz</strong> sie erlaubt,<br />
2. die Betroffenen ausdrücklich eingewilligt haben,<br />
3. es sich um Daten handelt, die die Betroffenen offensichtlich öffentlich<br />
gemacht haben,<br />
4. sie zum Schutz lebenswichtiger Interessen der Betroffenen oder Dritter<br />
erforderlich ist <strong>und</strong> die Betroffenen aus rechtlichen oder tatsächlichen<br />
Gründen außer Stande sind, ihre Einwilligung zu geben,<br />
5. sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen<br />
vor Gericht erforderlich ist,<br />
6. sie zur Abwehr erheblicher Nachteile <strong>für</strong> das Gemeinwohl zwingend<br />
erforderlich ist oder<br />
7. sie zum Zweck der Ges<strong>und</strong>heitsvorsorge, der medizinischen Diagnostik,<br />
der Ges<strong>und</strong>heitsversorgung oder Behandlung oder <strong>für</strong> die Verwaltung<br />
von Ges<strong>und</strong>heitsdiensten erforderlich ist <strong>und</strong> durch ärztliches<br />
Personal oder sonstige Personen erfolgt, die einem entsprechenden<br />
Berufs- oder besonderen Amtsgeheimnis unterliegen.<br />
3 Satz 2 gilt nicht <strong>für</strong><br />
1. die Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben<br />
der Gefahrenabwehr <strong>und</strong> der Verfolgung von Straftaten sowie<br />
2. die nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb<br />
von Dateien.<br />
4 Vor der Entscheidung, personenbezogene Daten nach Satz 2 Nummer 6<br />
zu verarbeiten, ist die bzw. der behördliche <strong>Datenschutz</strong>beauftragte oder,<br />
falls keine behördliche <strong>Datenschutz</strong>beauftragte bzw. kein behördlicher<br />
<strong>Datenschutz</strong>beauftragter bestellt wurde, die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit zu hören.<br />
11
(2) 1 Die Einwilligung in die Verarbeitung personenbezogener Daten bedarf<br />
der Schriftform, soweit nicht wegen besonderer Umstände eine andere<br />
Form angemessen ist. 2 Gegenstand, Inhalt <strong>und</strong> Umfang der erlaubten Verarbeitung,<br />
insbesondere die Art der Daten, die Adressaten der Übermittlung,<br />
der Verwendungszweck <strong>und</strong> die Dauer der Aufbewahrung, sind in der<br />
Einwilligungserklärung klar <strong>und</strong> verständlich zu bezeichnen; die Betroffenen<br />
sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie<br />
die Einwilligung verweigern <strong>und</strong> mit Wirkung <strong>für</strong> die Zukunft widerrufen<br />
können. 3 Wird die Einwilligung zusammen mit anderen Erklärungen<br />
schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild<br />
der Erklärung hervorzuheben. 4 Die Einwilligung ist unwirksam, wenn<br />
sie durch unangemessene Androhung von Nachteilen, durch fehlende<br />
Aufklärung oder in sonstiger, gegen die Gebote von Treu <strong>und</strong> Glauben<br />
verstoßender Weise erlangt wurde.<br />
(3) 1 Machen Betroffene schriftlich den Einwand geltend, dass einer Verarbeitung<br />
ihrer personenbezogenen Daten schutzwürdige, sich aus ihrer<br />
besonderen persönlichen Lage ergebende Gründe entgegenstehen, so ist<br />
die weitere Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall<br />
ergeben hat, dass die geltend gemachten Gründe hinter dem öffentlichen<br />
Interesse an der Verarbeitung zurückstehen müssen. 2 Satz 1 gilt<br />
nicht, soweit die Verarbeitung personenbezogener Daten<br />
1. auf einer Einwilligung der Betroffenen beruht oder<br />
2. zur Erfüllung einer rechtlichen Verpflichtung der Daten verarbeitenden<br />
Stelle erforderlich ist.<br />
3 Wird dem Einwand entsprochen, so sind unverzüglich die Stellen zu verständigen,<br />
denen die Daten übermittelt worden sind; die Verständigung<br />
kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern<br />
würde <strong>und</strong> schutzwürdige Interessen der Betroffenen nicht entgegenstehen.<br />
4 Wird dem Einwand nicht entsprochen, so sind die Betroffenen<br />
darauf hinzuweisen, dass sie sich an die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw.<br />
den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
wenden können.<br />
(4) 1 Die Verarbeitung personenbezogener Daten <strong>und</strong> die Auswahl <strong>und</strong><br />
Gestaltung technischer Einrichtungen haben sich auch an dem Ziel auszurichten,<br />
so wenig personenbezogene Daten wie möglich zu erheben <strong>und</strong><br />
weiter zu verarbeiten. 2 Dabei ist jeweils zu prüfen, inwieweit es möglich ist,<br />
personenbezogene Daten anonym oder pseudonym zu verarbeiten. 3 Erforderlich<br />
sind Maßnahmen zur anonymen oder pseudonymen Datenverarbeitung<br />
nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur<br />
Schutzwürdigkeit der Daten steht.<br />
12
§5 a<br />
Automatisierte Einzelentscheidungen<br />
(1) Entscheidungen, die <strong>für</strong> die Betroffenen rechtliche Folgen nach sich<br />
ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf<br />
eine automatisierte Verarbeitung personenbezogener Daten gestützt<br />
werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient.<br />
(2) Absatz 1 gilt nicht, soweit<br />
1. ein Gesetz, das die Wahrung der berechtigten Interessen der Betroffenen<br />
sicherstellt, solche Entscheidungen zulässt,<br />
2. mit der Entscheidung einem Begehren der Betroffenen stattgegeben<br />
wird oder<br />
3. den Betroffenen das Vorliegen einer Entscheidung im Sinne von Absatz<br />
1 mitgeteilt <strong>und</strong> die Wahrung ihrer berechtigten Interessen durch<br />
geeignete Maßnahmen sichergestellt wird; als geeignete Maßnahme<br />
gilt insbesondere die Möglichkeit der Betroffenen, ihren Standpunkt<br />
geltend zu machen; die Daten verarbeitende Stelle ist verpflichtet, ihre<br />
Entscheidung unter Berücksichtigung der Stellungnahme der bzw. des<br />
Betroffenen erneut zu prüfen.<br />
§5 b<br />
Mobile Datenverarbeitungsmedien<br />
1 Gibt eine in § 2 Absatz 1 Satz 1 genannte Stelle mobile Datenverarbeitungsmedien,<br />
insbesondere Chipkarten heraus, die mit von ihr oder Dritten<br />
bereitgestellten technischen Einrichtungen personenbezogene Daten mit<br />
oder ohne Mitwirkung der Betroffenen automatisiert austauschen können,<br />
so hat sie sicherzustellen, dass die Betroffenen den Datenaustausch jeweils<br />
erkennen <strong>und</strong> die ihnen nach diesem Gesetz zustehenden Rechte<br />
ohne unvertretbaren Aufwand geltend machen können. 2 Spätestens bei<br />
der Ausgabe sind die Betroffenen über die ihnen nach § 6 zustehenden<br />
Rechte sowie darüber aufzuklären, welche Maßnahmen bei Verlust oder<br />
beim Verdacht nicht ordnungsgemäßer Verarbeitung zu ergreifen sind.<br />
§6<br />
Rechte der Betroffenen<br />
(1) Die Betroffenen haben nach Maßgabe dieses Gesetzes ein Recht auf<br />
1. Geltendmachung von Einwänden gegen die Verarbeitung ihrer Daten<br />
(§ 5 Absatz 3),<br />
13
2. Aufklärung bei der Herausgabe mobiler Datenverarbeitungsmedien<br />
(§ 5 b),<br />
3. Anrufung der bzw. des behördlichen <strong>Datenschutz</strong>beauftragten (§ 10 a<br />
Absatz 6),<br />
4. Unterrichtung bei der Erhebung (§ 12 a),<br />
5. Sperrung der Übermittlung an Stellen außerhalb des öffentlichen<br />
Bereichs (§ 16 Absatz 3),<br />
6. Auskunft (§ 18),<br />
7. Berichtigung (§ 19 Absatz 1),<br />
8. Sperrung (§ 19 Absatz 2),<br />
9. Löschung (§ 19 Absatz 3),<br />
10. Schadensersatz (§ 20),<br />
11. Anrufung der oder des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit (§ 26).<br />
(2) Auf diese Rechte kann nicht im Vorwege verzichtet werden.<br />
§7<br />
Datengeheimnis<br />
1 Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen<br />
oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen<br />
Daten haben, ist es untersagt, geschützte personenbezogene<br />
Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung<br />
gehörenden Zweck zu verarbeiten, insbesondere bekannt zu<br />
geben oder zugänglich zu machen. 2 Dieses Verbot besteht auch nach<br />
Beendigung der Tätigkeit fort.<br />
§8<br />
Technische <strong>und</strong> organisatorische Maßnahmen; Vorabkontrolle<br />
(1) 1 Die Daten verarbeitenden Stellen <strong>und</strong> ihre auftragnehmenden Stellen<br />
haben die technischen <strong>und</strong> organisatorischen Maßnahmen zu treffen, die<br />
erforderlich sind, um die Ausführung der Vorschriften<br />
dieses Gesetzes zu gewährleisten. 2 Erforderlich sind technische <strong>und</strong> organisatorische<br />
Maßnahmen nur, wenn ihr Aufwand in einem angemessenen<br />
Verhältnis zur Schutzwürdigkeit der Daten steht.<br />
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind<br />
technische <strong>und</strong> organisatorische Maßnahmen zu treffen, die geeignet sind<br />
zu gewährleisten,<br />
14
1. dass nur Befugte die personenbezogenen Daten zur Kenntnis nehmen<br />
können (Vertraulichkeit),<br />
2. die personenbezogenen Daten während der Verarbeitung unverfälscht,<br />
vollständig <strong>und</strong> widerspruchsfrei bleiben (Integrität),<br />
3. die personenbezogenen Daten zeitgerecht zur Verfügung stehen <strong>und</strong><br />
ordnungsgemäß verarbeitet werden können (Verfügbarkeit),<br />
4. die personenbezogenen Daten ihrem Ursprung zugeordnet werden<br />
können (Authentizität),<br />
5. festgestellt werden kann, wer wann welche personenbezogenen Daten<br />
in welcher Weise verarbeitet hat (Revisionsfähigkeit).<br />
(3) Werden personenbezogene Daten nicht-automatisiert verarbeitet, sind<br />
technische <strong>und</strong> organisatorische Maßnahmen zu treffen, um insbesondere<br />
den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem<br />
Transport <strong>und</strong> der Vernichtung zu verhindern.<br />
(4) 1 Vor der Entscheidung über die Einführung oder die wesentliche Änderung<br />
eines automatisierten Verfahrens, mit dem personenbezogene Daten<br />
verarbeitet werden sollen, haben die Daten verarbeitenden Stellen zu<br />
untersuchen, ob <strong>und</strong> in welchem Umfang mit der Nutzung dieses Verfahrens<br />
Gefahren <strong>für</strong> die Rechte der Betroffenen verb<strong>und</strong>en sind. 2 Die Einführung<br />
<strong>und</strong> die wesentliche Änderung eines automatisierten Verfahrens<br />
sind nur zulässig, soweit derartige Gefahren durch technische <strong>und</strong> organisatorische<br />
Maßnahmen wirksam beherrscht werden können, es sei denn,<br />
dass solche Maßnahmen gemäß Absatz 1 Satz 2 nicht erforderlich sind.<br />
3 Ergibt die Untersuchung, dass von einem Verfahren eine besondere Gefährdung<br />
<strong>für</strong> die Rechte der Betroffenen ausgeht, so ist das Ergebnis der<br />
Untersuchung vor der Einführung oder wesentlichen Änderung des Verfahrens<br />
der bzw. dem behördlichen <strong>Datenschutz</strong>beauftragten oder, falls keine<br />
behördliche <strong>Datenschutz</strong>beauftragte bzw. kein behördlicher <strong>Datenschutz</strong>beauftragter<br />
bestellt wurde, der bzw. dem <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit zur Stellungnahme zuzuleiten.<br />
§9<br />
Verfahrensbeschreibung<br />
(1) 1 Die Daten verarbeitende Stelle legt in einer laufend auf dem neuesten<br />
Stand zu haltenden Verfahrensbeschreibung <strong>für</strong> jedes automatisierte Verfahren,<br />
mit dem personenbezogene Daten verarbeitet werden sollen, fest<br />
1. den Namen <strong>und</strong> die Anschrift der Daten verarbeitenden Stelle,<br />
2. die Bezeichnung des Verfahrens <strong>und</strong> seine Zweckbestimmungen,<br />
15
3. die Art der verarbeiteten Daten sowie die Rechtsgr<strong>und</strong>lage ihrer Verarbeitung<br />
oder die Ziele, zu deren Erfüllung die Kenntnis dieser Daten<br />
erforderlich ist,<br />
4. den Kreis der Betroffenen,<br />
5. die Empfängerinnen oder Empfänger oder den Kreis der Empfängerinnen<br />
<strong>und</strong> Empfänger, die Daten erhalten können,<br />
6. eine beabsichtigte Datenübermittlung nach § 17 Absätze 2 <strong>und</strong> 3,<br />
7. Fristen <strong>für</strong> die Sperrung <strong>und</strong> Löschung der Daten,<br />
8. die technischen <strong>und</strong> organisatorischen Maßnahmen nach § 8,<br />
9. die Art der Geräte, die Stellen, bei denen sie aufgestellt sind sowie das<br />
Verfahren zur Übermittlung, Sperrung, Löschung, Auskunftserteilung<br />
<strong>und</strong> Benachrichtigung.<br />
2 Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 <strong>für</strong> mehrere<br />
gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen.<br />
(2) Absatz 1 gilt nicht <strong>für</strong> Verfahren,<br />
1. deren einziger Zweck das Führen eines Registers ist, das zur Information<br />
der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes<br />
Interesse nachweisen können, zur Einsichtnahme offen steht,<br />
2. die der Unterstützung der allgemeinen Bürotätigkeit dienen, insbesondere<br />
Verfahren der Textverarbeitung, Vorgangsverwaltung, Terminüberwachung<br />
<strong>und</strong> der Führung von Adress-, Telefon <strong>und</strong> vergleichbaren Verzeichnissen,<br />
soweit sie keine Beeinträchtigung der Rechte Betroffener<br />
erwarten lassen.<br />
(3) 1 Daten verarbeitende Stellen, die keine behördlichen <strong>Datenschutz</strong>beauftragten<br />
bestellt haben, übersenden ihre Verfahrensbeschreibungen<br />
<strong>und</strong> deren Änderungen unverzüglich, jedenfalls aber vor der Einführung<br />
oder wesentlichen Änderung eines Verfahrens an die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit. 2 Die Verfahrensbeschreibungen können bei der<br />
Daten verarbeitenden Stelle von jeder Person eingesehen werden; <strong>für</strong> die<br />
Angaben nach Absatz 1 Satz 1 Nummern 8 <strong>und</strong> 9 gilt dies nur, soweit dadurch<br />
die Sicherheit des Verfahrens nicht beeinträchtigt wird. 3 Satz 2 gilt<br />
nicht <strong>für</strong> die Verfahrensbeschreibungen der in § 23 Absatz 6 genannten<br />
Stellen.<br />
§10<br />
Durchführung des <strong>Datenschutz</strong>es<br />
1 Die in § 2 Absatz 1 Satz 1 genannten Stellen haben die Ausführung dieses<br />
Gesetzes sowie anderer Rechtsvorschriften über den <strong>Datenschutz</strong> jeweils<br />
16
<strong>für</strong> ihren Geschäftsbereich sicherzustellen. 2 Sie haben insbesondere<br />
da<strong>für</strong> zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,<br />
mit deren Hilfe personenbezogene Daten verarbeitet<br />
werden sollen, überwacht wird. 3 Der Senat kann die Überwachung<br />
nach Satz 2 <strong>für</strong> die Stellen der Freien <strong>und</strong> Hansestadt Hamburg einer anderen<br />
Stelle zuweisen, wenn die Überwachung besondere Fachkenntnisse<br />
hinsichtlich der verwendeten Datenverarbeitungssysteme erfordert.<br />
§10 a<br />
Behördliche <strong>Datenschutz</strong>beauftragte bzw.<br />
behördlicher <strong>Datenschutz</strong>beauftragter<br />
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen können eine behördliche<br />
<strong>Datenschutz</strong>beauftragte oder einen behördlichen <strong>Datenschutz</strong>beauftragten<br />
bestellen. 2 Die Bestellung einer oder eines Beschäftigten einer anderen<br />
in § 2 Absatz 1 Satz 1 genannten Stelle ist zulässig.<br />
(2) Zu behördlichen <strong>Datenschutz</strong>beauftragten dürfen nur Personen bestellt<br />
werden, die die zur Aufgabenerfüllung erforderliche Fachk<strong>und</strong>e <strong>und</strong> Zuverlässigkeit<br />
besitzen.<br />
(3) 1 Die Bestellung kann in entsprechender Anwendung von § 626 des Bürgerlichen<br />
Gesetzbuchs widerrufen werden. 2 Vor der Entscheidung über<br />
den Widerruf sind die bzw. der behördliche <strong>Datenschutz</strong>beauftragte sowie<br />
die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
zu hören.<br />
(4) 1 Die behördlichen <strong>Datenschutz</strong>beauftragten können sich unmittelbar<br />
an die Leitung der Daten verarbeitenden Stelle wenden. 2 Sie sind bei ihrer<br />
Tätigkeit weisungsfrei <strong>und</strong> dürfen wegen der Erfüllung ihrer Aufgaben nicht<br />
benachteiligt werden. 3 Sie sind in erforderlichem Umfang von der Erfüllung<br />
anderer Aufgaben freizustellen <strong>und</strong> bei der Erfüllung ihrer Aufgaben<br />
zu unterstützen.<br />
(5) 1 Die behördlichen <strong>Datenschutz</strong>beauftragten haben die Aufgabe, die<br />
Daten verarbeitenden Stellen <strong>und</strong> deren Personalvertretungen in der Ausführung<br />
dieses Gesetzes sowie anderer Vorschriften über den <strong>Datenschutz</strong><br />
zu unterstützen. 2 Sie können sich zu diesem Zweck jederzeit unmittelbar<br />
an die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit wenden. 3 Zu ihren Aufgaben<br />
gehört es insbesondere,<br />
1. auf die Umsetzung <strong>und</strong> Einhaltung von Vorschriften über den <strong>Datenschutz</strong><br />
hinzuwirken,<br />
17
2. die nach § 9 Absatz 1 zu erstellenden Verfahrensbeschreibungen zu<br />
führen <strong>und</strong> zur Einsicht nach § 9 Absatz 3 bereitzuhalten,<br />
3. das Ergebnis der Untersuchung nach § 8 Absatz 4 zu prüfen <strong>und</strong> im<br />
Zweifelsfall die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit zu hören.<br />
4 Soweit Rechtsvorschriften nicht entgegenstehen, können sie die zur<br />
Erfüllung ihrer Aufgaben erforderliche Einsicht in alle Unterlagen <strong>und</strong><br />
Akten <strong>und</strong> die automatisierte Datenverarbeitung nehmen.<br />
(6) Betroffene <strong>und</strong> Beschäftigte der Daten verarbeitenden Stellen können<br />
sich in allen Angelegenheiten des <strong>Datenschutz</strong>es jederzeit unmittelbar an<br />
die behördlichen <strong>Datenschutz</strong>beauftragten wenden; niemand darf deswegen<br />
gemaßregelt oder benachteiligt werden.<br />
(7) 1 Die behördlichen <strong>Datenschutz</strong>beauftragten sind, auch nach Beendigung<br />
ihrer Tätigkeit, zur Verschwiegenheit über die Identität Betroffener<br />
<strong>und</strong> Beschäftigter, die sich an sie gewandt haben, sowie über Umstände,<br />
die Rückschlüsse auf diese Personen zulassen, verpflichtet. 2 Dies gilt<br />
nicht, soweit die Betroffenen oder Beschäftigten sie von der Pflicht zur Verschwiegenheit<br />
entb<strong>und</strong>en haben oder eine Übermittlung der Daten nach<br />
Absatz 5 Satz 2 erforderlich ist.<br />
(8) Die in § 2 Absatz 1 Satz 1 genannten Stellen melden die Bestellung <strong>und</strong><br />
den Widerruf der Bestellung oder die sonstige Beendigung des Amtes<br />
behördlicher <strong>Datenschutz</strong>beauftragter unverzüglich der bzw. dem <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit.<br />
§11<br />
Automatisiertes Abrufverfahren<br />
(1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten<br />
durch Dritte darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies<br />
ausdrücklich zulässt.<br />
(2) 1 Der Senat wird ermächtigt, die Einrichtung automatisierter Abrufverfahren<br />
durch Rechtsverordnung zuzulassen. 2 Die bzw. der <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit ist vorher zu hören.<br />
3 Ein solches Verfahren ist nur zulässig, wenn dies unter Berücksichtigung<br />
der schutzwürdigen Belange der Betroffenen <strong>und</strong> der Aufgaben der beteiligten<br />
Stellen angemessen ist. 4 Die Verordnung hat die abrufende Stelle,<br />
die Datenart <strong>und</strong> den Zweck des Abrufs festzulegen. 5 Sie hat technische<br />
<strong>und</strong> organisatorische Maßnahmen <strong>und</strong> Maßnahmen zur <strong>Datenschutz</strong>kontrolle<br />
vorzusehen, die in einem angemessenen Verhältnis zu dem ange-<br />
18
strebten Schutzzweck stehen. 6 Die Vorschriften über die Zulässigkeit des<br />
einzelnen Abrufs bleiben unberührt.<br />
(3) 1 Die Einrichtung eines automatisierten Abrufverfahrens innerhalb einer<br />
Daten verarbeitenden Stelle bedarf der Zulassung durch die Leiterin bzw.<br />
den Leiter der Stelle, wenn die Einheit, die die Daten zum Abruf bereithält,<br />
<strong>und</strong> die abrufende Einheit unterschiedliche Aufgaben wahrnehmen. 2 Für<br />
die Zulassung findet Absatz 2 Sätze 2 bis 6 entsprechende Anwendung.<br />
(4) Personenbezogene Daten dürfen <strong>für</strong> Stellen außerhalb des öffentlichen<br />
Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dies gilt<br />
nicht <strong>für</strong> Betroffene.<br />
(5) Die Absätze 1 bis 4 gelten nicht <strong>für</strong> Datenbestände, die jeder oder jedem<br />
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder<br />
deren Veröffentlichung zulässig wäre.<br />
§11 a<br />
Gemeinsame <strong>und</strong> verb<strong>und</strong>ene automatisierte Dateien<br />
(1) 1 Die Einrichtung gemeinsamer oder verb<strong>und</strong>ener automatisierter Dateien,<br />
in oder aus denen mehrere Daten verarbeitende Stellen personenbezogene<br />
Daten verarbeiten sollen, bedarf der ausdrücklichen Zulassung<br />
durch eine Rechtsvorschrift. 2 Der Senat wird ermächtigt, die Einrichtung<br />
automatisierter Dateien im Sinne des Satzes 1 durch Rechtsverordnung<br />
zuzulassen. 3 § 11 Absatz 2 Sätze 2, 3 <strong>und</strong> 5 <strong>und</strong> Absatz 5 gilt entsprechend.<br />
4 Die Verordnung hat die Art der zu verarbeitenden Daten, die Stellen,<br />
die in der gemeinsamen Datei oder in verb<strong>und</strong>enen Dateien Daten verarbeiten<br />
dürfen, sowie den Umfang ihrer Verarbeitungsbefugnis anzugeben<br />
<strong>und</strong> festzulegen, welche Stelle die datenschutzrechtliche Verantwortung<br />
gegenüber den Betroffenen trägt <strong>und</strong> die technischen <strong>und</strong><br />
organisatorischen Maßnahmen trifft. 5 Die Vorschriften über die Zulässigkeit<br />
der lesenden <strong>und</strong> schreibenden Datenverarbeitung im Einzelnen bleiben<br />
unberührt.<br />
(2) 1 Innerhalb einer Daten verarbeitenden Stelle bedarf die Einrichtung gemeinsamer<br />
oder verb<strong>und</strong>ener automatisierter Dateien, mit denen personenbezogene<br />
Daten aus unterschiedlichen Aufgabengebieten verarbeitet<br />
werden sollen, der Zulassung durch die Leiterin bzw. den Leiter der Stelle.<br />
2 Für die Zulassung gilt Absatz 1 Sätze 3 bis 5 entsprechend.<br />
19
ZWEITER ABSCHNITT<br />
Rechtsgr<strong>und</strong>lagen der Datenverarbeitung<br />
§12<br />
Datenerhebung<br />
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis<br />
zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.<br />
(2) 1 Personenbezogene Daten sollen bei den Betroffenen mit ihrer Kenntnis<br />
erhoben werden. 2 Werden Daten nicht über einzelne Betroffene, sondern<br />
über einen bestimmbaren Personenkreis erhoben, so genügt es,<br />
wenn die Betroffenen in zumutbarer Weise von der Datenerhebung Kenntnis<br />
nehmen können. 3 Bei anderen Stellen dürfen personenbezogene<br />
Daten unter den in § 13 Absatz 2 Satz 1 genannten Voraussetzungen erhoben<br />
werden. 4 Bei Betroffenen dürfen Daten ohne ihre Kenntnis nur erhoben<br />
werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt<br />
oder der Schutz von Leben oder Ges<strong>und</strong>heit oder die Abwehr<br />
einer erheblichen Gefährdung der natürlichen Lebensgr<strong>und</strong>lagen dies<br />
erforderlich macht. 5 Durch die Art <strong>und</strong> Weise des Erhebens dürfen<br />
schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden.<br />
§ 12 a<br />
Unterrichtung bei der Erhebung<br />
(1) 1 Werden Daten bei Betroffenen mit ihrer Kenntnis erhoben, so sind sie,<br />
sofern sie nicht bereits auf andere Weise Kenntnis erlangt haben, von der<br />
Daten verarbeitenden Stelle über<br />
1. die Zweckbestimmungen der Datenverarbeitung <strong>und</strong><br />
2. die Empfängerinnen oder Empfänger oder den Kreis der Empfängerinnen<br />
<strong>und</strong> Empfänger, soweit die Betroffenen nach den Umständen des<br />
Einzelfalls nicht damit rechnen müssen, dass diese die Daten erhalten,<br />
aufzuklären. 2 Werden die Daten auf Gr<strong>und</strong> einer Rechtsvorschrift erhoben,<br />
so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 3<br />
Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung <strong>für</strong><br />
die Gewährung von Rechtsvorteilen sind, sind die Betroffenen hierauf,<br />
sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. 4 Werden die Daten<br />
schriftlich oder zur Niederschrift erhoben, so sollen die Betroffenen auch<br />
über bestehende Auskunfts- <strong>und</strong> Berichtigungsrechte aufgeklärt werden.<br />
(2) 1 Werden Daten bei Dritten oder bei Betroffenen ohne ihre Kenntnis<br />
erhoben, so sind die Betroffenen, sofern sie nicht bereits auf andere Weise<br />
Kenntnis erlangt haben, von der Daten verarbeitenden Stelle bei Beginn<br />
20
der Speicherung in einer Datei (§ 4 Absatz 6) oder im Fall einer beabsichtigten<br />
Übermittlung spätestens bei deren erster Durchführung zu benachrichtigen<br />
<strong>und</strong> dabei<br />
1. die Art der erhobenen Daten,<br />
2. die Zweckbestimmungen der Datenverarbeitung <strong>und</strong><br />
3. die Empfängerinnen oder Empfänger oder der Kreis der Empfängerinnen<br />
<strong>und</strong> Empfänger, soweit die Betroffenen nach den Umständen des<br />
Einzelfalls nicht damit rechnen müssen, dass diese die Daten erhalten,<br />
anzugeben. 2 Bei schriftlicher Benachrichtigung sind die Betroffenen auch<br />
über bestehende Auskunfts- <strong>und</strong> Berichtigungsrechte aufzuklären. 3 Dienen<br />
die Daten der Erstellung einer Mitteilung an die Betroffenen, kann die<br />
Benachrichtigung mit der Mitteilung verb<strong>und</strong>en werden.<br />
(3) 1 Absatz 2 gilt nicht <strong>für</strong> die Verarbeitung personenbezogener Daten zur<br />
Wahrnehmung von Aufgaben der Gefahrenabwehr <strong>und</strong> der Verfolgung von<br />
Straftaten. 2 Er gilt ferner nicht, soweit<br />
1. die Verarbeitung der Daten durch Gesetz ausdrücklich vorgesehen ist,<br />
2. die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen<br />
Aufwand erfordern würde,<br />
3. die Benachrichtigung die ordnungsgemäße Erfüllung von Aufgaben der<br />
Gefahrenabwehr oder die Verfolgung von Straftaten oder berufsrechtlichen<br />
Vergehen gefährden würde,<br />
4. die Benachrichtigung die öffentliche Sicherheit oder die Sicherheit oder<br />
ein wichtiges wirtschaftliches oder finanzielles Interesse des B<strong>und</strong>es<br />
oder eines Landes gefährden würde oder<br />
5. die personenbezogenen Daten oder die Tatsache ihrer Speicherung<br />
nach einer Rechtsvorschrift oder wegen überwiegender schutzwürdiger<br />
Interessen der Betroffenen oder Dritter geheim gehalten werden müssen.<br />
3 Vor der Entscheidung, nach Satz 2 Nummer 1 oder 2 von einer Benachrichtigung<br />
abzusehen, ist die bzw. der behördliche <strong>Datenschutz</strong>beauftragte<br />
oder, falls keine behördliche <strong>Datenschutz</strong>beauftragte bzw. kein<br />
behördlicher <strong>Datenschutz</strong>beauftragter bestellt wurde, der bzw. die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit zu hören,<br />
wenn sich die Entscheidung auf eine Vielzahl von Einzelfällen auswirkt.<br />
(4) 1 Werden Daten bei Dritten außerhalb des öffentlichen Bereichs auf<br />
Gr<strong>und</strong> einer Rechtsvorschrift erhoben, so sind diese in geeigneter Weise<br />
über die Rechtsvorschrift aufzuklären. 2 Soweit eine Auskunftspflicht besteht<br />
oder die Angaben Voraussetzung <strong>für</strong> Gewährung von Rechtsvorteilen<br />
21
sind, sind sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.<br />
§13<br />
Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung<br />
(1) 1 Die weitere Datenverarbeitung ist zulässig, wenn sie<br />
1. erforderlich ist zur Erfüllung der Aufgaben der öffentlichen Stelle <strong>und</strong><br />
2. den Zwecken dient, <strong>für</strong> die die Daten erhoben wurden.<br />
2 Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat oder die<br />
bei ihr neu entstanden sind, dürfen <strong>für</strong> Zwecke verarbeitet werden, <strong>für</strong> die<br />
sie erstmals gespeichert worden sind.<br />
(2) 1 Die Datenverarbeitung <strong>für</strong> andere Zwecke ist nur zulässig, wenn<br />
1. eine Rechtsvorschrift dies erlaubt oder die Wahrnehmung einer durch<br />
Gesetz oder Rechtsverordnung begründeten Aufgabe die Verarbeitung<br />
dieser Daten zwingend voraussetzt,<br />
2. bei Teilnahme am Privatrechtsverkehr oder zur Durchsetzung öffentlichrechtlicher<br />
Geldforderungen ein rechtliches Interesse an der Kenntnis<br />
der zu verarbeitenden Daten vorliegt <strong>und</strong> kein Gr<strong>und</strong> zu der Annahme<br />
besteht, dass das schutzwürdige Interesse der Betroffenen an der<br />
Geheimhaltung überwiegt,<br />
3. Angaben der Betroffenen überprüft werden müssen, weil tatsächliche<br />
Anhaltspunkte da<strong>für</strong> bestehen, dass sie unrichtig sind,<br />
4. hierdurch erhebliche Nachteile <strong>für</strong> das Gemeinwohl oder schwer wiegende<br />
Beeinträchtigungen von gewichtigen Rechtspositionen Einzelner<br />
verhindert oder beseitigt werden sollen,<br />
5. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung<br />
oder zum Vollzug von Strafen oder von Maßnahmen im Sinne<br />
des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln<br />
oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes<br />
oder zur Erledigung eines gerichtlichen Auskunftsersuchens erforderlich<br />
ist <strong>und</strong> gesetzliche Regelungen nicht entgegenstehen,<br />
6. die Einholung der Einwilligung der Betroffenen nicht möglich ist oder mit<br />
unverhältnismäßigem Aufwand verb<strong>und</strong>en wäre, aber offensichtlich ist,<br />
dass es in ihrem Interesse liegt <strong>und</strong> sie in Kenntnis des anderen Zwecks<br />
ihre Einwilligung erteilen würden,<br />
7. die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen<br />
worden sind oder entnommen werden können oder die Daten verarbeitende<br />
Stelle sie veröffentlichen dürfte, es sei denn, dass schutzwürdige<br />
Interessen der Betroffenen offensichtlich entgegenstehen oder,<br />
22
8. sie der Bearbeitung von Eingaben sowie Kleinen oder Großen Anfragen<br />
dient <strong>und</strong> überwiegende schutzwürdige Interessen der Betroffenen<br />
nicht entgegenstehen.<br />
2 Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen<br />
Amtsgeheimnis <strong>und</strong> sind sie der öffentlichen Stelle von der zur Verschwiegenheit<br />
verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht<br />
zur Verfügung gestellt worden, findet Satz 1 Nummern 2 bis 8 keine<br />
Anwendung.<br />
(3) 1 Eine Datenverarbeitung zu anderen Zwecken liegt nicht vor, wenn sie<br />
der Wahrnehmung von Aufsichts- <strong>und</strong> Kontrollbefugnissen, der Rechnungsprüfung<br />
oder der Durchführung von Organisationsuntersuchungen<br />
dient. 2 Zulässig ist auch die Verarbeitung zu Ausbildungs- <strong>und</strong> Prüfungszwecken,<br />
soweit nicht schutzwürdige Interessen der Betroffenen an der<br />
Geheimhaltung der Daten offensichtlich überwiegen.<br />
§14<br />
Übermittlung innerhalb des öffentlichen Bereichs<br />
(1) 1 Die Übermittlung personenbezogener Daten an andere öffentliche<br />
Stellen ist zulässig, wenn sie zur Erfüllung der Aufgaben der übermittelnden<br />
oder der Stelle, der die Daten übermittelt werden, erforderlich ist <strong>und</strong><br />
die Voraussetzungen des § 13 erfüllt sind. 2 Die Übermittlung ist ferner<br />
zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der<br />
Beteiligung mehrerer öffentlicher Stellen bedarf.<br />
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden<br />
dürfen, weitere personenbezogene Daten von Betroffenen oder von<br />
Dritten in Akten so verb<strong>und</strong>en, dass eine Trennung nicht oder nur mit<br />
unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser<br />
Daten zulässig, soweit nicht schutzwürdige Interessen der Betroffenen<br />
oder Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung<br />
dieser Daten ist unzulässig.<br />
(3) 1 Die Verantwortung <strong>für</strong> die Zulässigkeit der Übermittlung trägt die übermittelnde<br />
Stelle. 2 Erfolgt die Übermittlung auf Gr<strong>und</strong> eines Ersuchens der<br />
Stelle, der die Daten übermittelt werden sollen, so hat die übermittelnde<br />
Stelle von den in die Sphäre der ersuchenden Stelle fallenden Übermittlungsvoraussetzungen<br />
lediglich zu prüfen, ob das Übermittlungsersuchen<br />
im Rahmen der Aufgaben der ersuchenden Stelle liegt. 3 Die Rechtmäßigkeit<br />
des Ersuchens prüft sie nur, wenn im Einzelfalll hierzu Anlass besteht;<br />
die ersuchende Stelle hat ihr die <strong>für</strong> diese Prüfung erforderlichen Angaben<br />
zu machen. 4 Erfolgt die Übermittlung durch Abruf in einem automatisier-<br />
23
ten Verfahren (§§ 11, 11 a), trägt die abrufende Stelle die Verantwortung <strong>für</strong><br />
die Rechtmäßigkeit des Abrufs.<br />
(4) Absatz 2 gilt entsprechend, wenn personenbezogene Daten innerhalb<br />
einer öffentlichen Stelle weitergegeben werden.<br />
§15<br />
Übermittlung an öffentlich-rechtliche Religionsgesellschaften<br />
Die Übermittlung personenbezogener Daten an Stellen der öffentlichrechtlichen<br />
Religionsgesellschaften ist in entsprechender Anwendung der<br />
Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig,<br />
sofern sichergestellt ist, dass bei der Stelle, der die Daten übermittelt werden,<br />
ausreichende <strong>Datenschutz</strong>maßnahmen getroffen sind.<br />
§16<br />
Übermittlung an Stellen außerhalb des öffentlichen Bereichs<br />
(1) 1 Die Übermittlung personenbezogener Daten an Stellen außerhalb des<br />
öffentlichen Bereichs ist zulässig, wenn<br />
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle<br />
liegenden Aufgaben erforderlich ist <strong>und</strong> die Voraussetzungen des § 13<br />
Absatz 1 vorliegen,<br />
2. die Voraussetzungen des § 13 Absatz 2 Satz 1 Nummern 1, 4, 6, 7 oder<br />
8 vorliegen <strong>und</strong> die Daten nicht einem nach § 13 Absatz 2 Satz 2 zu<br />
wahrenden Berufs- oder Amtsgeheimnis unterliegen,<br />
3. die Stelle, der die Daten übermittelt werden sollen, ein rechtliches<br />
Interesse an deren Kenntnis glaubhaft macht <strong>und</strong> kein Gr<strong>und</strong> zu der<br />
Annahme besteht, dass schutzwürdige Interessen der Betroffenen an<br />
der Geheimhaltung überwiegen,<br />
4. sie im öffentlichen Interesse liegt oder hier<strong>für</strong> ein berechtigtes Interesse<br />
geltend gemacht wird <strong>und</strong> die Betroffenen in diesen Fällen der Übermittlung<br />
nicht widersprochen haben.<br />
2 In den Fällen des Satzes 1 Nummer 4 sind die Betroffenen über die beabsichtigte<br />
Übermittlung, die Art der zu übermittelnden Daten <strong>und</strong> den Verwendungszweck<br />
in geeigneter Weise zu unterrichten.<br />
(2) Die Stelle, der die Daten übermittelt werden, ist darauf hinzuweisen,<br />
dass sie sie nur zur Verarbeitung <strong>für</strong> den Zweck erhält, zu dem sie ihr übermittelt<br />
werden.<br />
(3) Die Betroffenen können verlangen, dass die Übermittlung nach Absatz<br />
1 Satz 1 Nummer 2 in Verbindung mit § 13 Absatz 2 Satz 1 Nummer 6<br />
24
sowie nach Absatz 1 Satz 1 Nummern 3 <strong>und</strong> 4 gesperrt wird, wenn sie ein<br />
schutzwürdiges Interesse an der Sperrung darlegen.<br />
§17<br />
Übermittlung an Stellen außerhalb der B<strong>und</strong>esrepublik Deutschland<br />
(1) Die Übermittlung personenbezogener Daten in Mitgliedstaaten der<br />
Europäischen Union sowie an Organe <strong>und</strong> Einrichtungen der Europäischen<br />
Union ist unter den Voraussetzungen der §§ 14, 16 <strong>und</strong> 28 zulässig.<br />
(2) 1 Die Übermittlung personenbezogener Daten in Staaten außerhalb der<br />
Europäischen Union <strong>und</strong> an über- oder zwischenstaatliche Stellen ist unter<br />
den Voraussetzungen der §§ 14, 16 <strong>und</strong> 28 zulässig, wenn in dem Staat<br />
außerhalb der Europäischen Union oder bei der über- oder zwischenstaatlichen<br />
Stelle ein angemessenes Schutzniveau gewährleistet ist. 2 Die<br />
Angemessenheit des Schutzniveaus ist unter Berücksichtigung aller Umstände<br />
zu beurteilen, die bei der Datenübermittlung von Bedeutung sind,<br />
insbesondere der Art der Daten, der Zweckbestimmung <strong>und</strong> Dauer ihrer<br />
geplanten Verarbeitung, des Herkunfts- <strong>und</strong> des Endbestimmungslandes<br />
sowie der anwendbaren Rechtsvorschriften, Standesregeln <strong>und</strong> Sicherheitsmaßnahmen.<br />
(3) 1 Ist in Staaten außerhalb der Europäischen Union oder bei über- oder<br />
zwischenstaatlichen Stellen<br />
kein angemessenes Schutzniveau gewährleistet, so ist die Übermittlung<br />
personenbezogener Daten nur zulässig, soweit<br />
1. die Betroffenen eingewilligt haben,<br />
2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses<br />
oder zur Geltendmachung, Ausübung oder Verteidigung von<br />
Rechtsansprüchen vor Gericht erforderlich ist,<br />
3. die Übermittlung zur Wahrung lebenswichtiger Interessen der Betroffenen<br />
erforderlich ist oder<br />
4. die Übermittlung aus einem Register erfolgt, das zur Information der<br />
Öffentlichkeit bestimmt ist oder das allen Personen, die ein berechtigtes<br />
Interesse nachweisen können, zur Einsichtnahme offen steht, soweit<br />
die gesetzlichen Voraussetzungen im Einzelfall erfüllt sind.<br />
2 Darüber hinaus ist die Übermittlung unter den Voraussetzungen der<br />
§§ 14, 16 <strong>und</strong> 28 zulässig, wenn die Stelle, der die Daten übermittelt werden<br />
sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts<br />
der Betroffenen <strong>und</strong> der damit verb<strong>und</strong>enen Rechte bietet;<br />
die Garantien können sich insbesondere aus vertraglichen Vereinbarungen<br />
ergeben. 3 Die Übermittlung bedarf in diesem Falle der Zulassung<br />
25
durch die Leiterin bzw. den Leiter der übermittelnden Stelle. 4 Die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit ist vorher zu hören. 5 Zugelassene Übermittlungen<br />
sind der zuständigen Behörde mitzuteilen.<br />
(4) § 16 Absatz 2 gilt entsprechend.<br />
DRITTER ABSCHNITT<br />
Rechte der Betroffenen<br />
§18<br />
Auskunft<br />
(1) 1 Den Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag<br />
gebührenfrei Auskunft zu erteilen über<br />
1. die zu ihrer Person gespeicherten Daten,<br />
2. die Zweckbestimmungen <strong>und</strong> die Rechtsgr<strong>und</strong>lage der Speicherung,<br />
3. die Herkunft der Daten <strong>und</strong> die Empfängerinnen oder Empfänger oder<br />
den Kreis der Empfängerinnen <strong>und</strong> Empfänger; dies gilt nicht <strong>für</strong> Empfängerinnen<br />
<strong>und</strong> Empfänger, die die Daten im Einzelfall zur Verfolgung<br />
von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen<br />
erhalten,<br />
4. die an einem automatisierten Abrufverfahren teilnehmenden Stellen,<br />
5 in den Fällen des § 5 a den logischen Aufbau der automatisierten Verarbeitung<br />
der sie betreffenden Daten,<br />
auch soweit diese Angaben nicht zu ihrer Person gespeichert sind, aber mit<br />
vertretbarem Aufwand festgestellt werden können. 2 Die Betroffenen sollen<br />
die Art der personenbezogenen Daten, über die sie Auskunft verlangen,<br />
näher bezeichnen. 3 Aus Akten ist den Betroffenen Auskunft zu erteilen, soweit<br />
sie Angaben machen, die das Auffinden der Daten ermöglichen, <strong>und</strong><br />
der <strong>für</strong> die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis<br />
zum Auskunftsinteresse der Betroffenen steht. 4 Die Daten verarbeitende<br />
Stelle bestimmt die Form der Auskunftserteilung nach pflichtgemäßem<br />
Ermessen; die Auskunft kann auch in der Form erteilt werden,<br />
dass dem Betroffenen Akteneinsicht gewährt oder ein Ausdruck aus automatisierten<br />
Dateien überlassen wird. 5 § 29 des <strong>Hamburgische</strong>n Verwaltungsverfahrensgesetzes<br />
bleibt unberührt.<br />
(2) Die Verpflichtung zur Auskunftserteilung gilt nicht <strong>für</strong> die personenbezogenen<br />
Daten, die nur deshalb als gesperrte Daten gespeichert sind, weil<br />
sie auf Gr<strong>und</strong> gesetzlicher Aufbewahrungsvorschriften nicht gelöscht<br />
26
werden dürfen, sowie <strong>für</strong> solche Daten, die ausschließlich zum Zwecke der<br />
Datensicherung oder der <strong>Datenschutz</strong>kontrolle gespeichert sind.<br />
(3) Die Auskunftserteilung unterbleibt, soweit die Voraussetzungen <strong>für</strong> das<br />
Absehen von einer Benachrichtigung nach § 12 a Absatz 3 Satz 2 Nummern<br />
3 bis 5 vorliegen oder die Daten ausschließlich <strong>für</strong> Zwecke der<br />
wissenschaftlichen Forschung oder der Statistik verarbeitet werden.<br />
(4) 1 Einer Begründung <strong>für</strong> die Auskunftsverweigerung bedarf es nur insoweit<br />
nicht, als durch die Mitteilung der Gründe der mit der Auskunftsverweigerung<br />
verfolgte Zweck gefährdet würde. 2 In diesem Fall sind die wesentlichen<br />
Gründe <strong>für</strong> die Entscheidung aufzuzeichnen.<br />
(5) 1 Bezieht sich die Auskunft auf die Herkunft von personenbezogenen<br />
Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft<br />
<strong>und</strong> der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene<br />
Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich<br />
der Abgabenordnung zur Überwachung <strong>und</strong> Prüfung speichern,<br />
sowie von den in § 19 Absatz 3 des B<strong>und</strong>esdatenschutzgesetzes genannten<br />
Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. 2 Gleiches<br />
gilt, soweit sich die Auskunft auf die Übermittlung personenbezogener<br />
Daten an diese Behörden bezieht. 3 Für die Versagung der Zustimmung<br />
gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung<br />
findet, die Absätze 3 <strong>und</strong> 4 entsprechend.<br />
(6) Wird die Auskunft nicht gewährt, so sind die Betroffenen darauf hinzuweisen,<br />
dass sie sich an die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit wenden<br />
können.<br />
§19<br />
Berichtigung, Sperrung <strong>und</strong> Löschung<br />
(1) 1 Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie<br />
unrichtig sind. 2 Sind Daten außerhalb automatisierter Dateien zu berichtigen,<br />
reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem<br />
Zeitpunkt oder aus welchem Gr<strong>und</strong> diese Daten unrichtig waren oder<br />
unrichtig geworden sind.<br />
(2) 1 Personenbezogene Daten sind zu sperren, wenn<br />
1. ihre Richtigkeit von den Betroffenen bestritten wird <strong>und</strong> sich weder die<br />
Richtigkeit noch die Unrichtigkeit feststellen lässt,<br />
2. in den Fällen des Absatzes 3 Gr<strong>und</strong> zu der Annahme besteht, dass<br />
durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt<br />
27
würden, oder wenn Betroffene an Stelle der Löschung die Sperrung<br />
verlangen,<br />
3. sie nur zu Zwecken der Datensicherung oder der <strong>Datenschutz</strong>kontrolle<br />
gespeichert sind.<br />
2 Satz 1 Nummer 1 gilt nicht, wenn personenbezogene Daten in Akten gespeichert<br />
sind; in diesen Fällen ist in den Akten lediglich zu vermerken,<br />
dass die Daten von den Betroffenen bestritten worden sind. 3 Gesperrte<br />
Daten sind als solche zu kennzeichnen. 4 Ohne Einwilligung der Betroffenen<br />
dürfen sie nur weiterverarbeitet werden, wenn es zu wissenschaftlichen<br />
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus<br />
sonstigen im überwiegenden Interesse der Daten verarbeitenden Stelle<br />
oder Dritter liegenden Gründen unerlässlich ist <strong>und</strong> die Voraussetzungen<br />
des § 13 oder des § 27 vorliegen.<br />
(3) 1 Personenbezogene Daten sind zu löschen, wenn<br />
1. ihre Speicherung unzulässig ist oder<br />
2. ihre Kenntnis <strong>für</strong> die Daten verarbeitende Stelle zur Erfüllung ihrer<br />
Aufgaben nicht mehr erforderlich ist.<br />
2 Sind personenbezogene Daten in Akten gespeichert, ist die Löschung<br />
nach Satz 1 Nummer 2 nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung<br />
nicht mehr erforderlich ist; soweit hiernach eine Löschung<br />
nicht in Betracht kommt, sind die personenbezogenen Daten zu sperren.<br />
(4) Abgesehen von den Fällen des Absatzes 3 Satz 1 Nummer 1 sind die<br />
Daten vor einer Löschung dem zuständigen öffentlichen Archiv nach Maßgabe<br />
des § 3 des <strong>Hamburgische</strong>n Archivgesetzes vom 21. Januar 1991<br />
(HmbGVBl. S. 7), geändert am 30. Januar 2001 (HmbGVBl. S. 9, 16), in<br />
seiner jeweiligen Fassung anzubieten.<br />
(5) 1 Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener<br />
oder unzulässig gespeicherter Daten <strong>und</strong> der Löschung unzulässig gespeicherter<br />
Daten sind unverzüglich die Stellen zu verständigen, denen<br />
die Daten übermittelt worden sind; die Verständigung kann unterbleiben,<br />
wenn sie einen unverhältnismäßigen Aufwand erfordern würde <strong>und</strong><br />
schutzwürdige Interessen der Betroffenen nicht entgegenstehen. 2 Im<br />
Übrigen liegt die Verständigung im pflichtgemäßen Ermessen der Daten<br />
verarbeitenden Stelle.<br />
(6) In automatisierten Dateien gespeicherte Daten sind regelmäßig alle vier<br />
Jahre auf ihre Erforderlichkeit hin zu überprüfen <strong>und</strong> die Datenbestände<br />
gemäß Absatz 3 zu bereinigen.<br />
28
§20<br />
Schadensersatz<br />
(1) 1 Werden Betroffene durch eine unzulässige oder unrichtige Datenverarbeitung<br />
in ihren schutzwürdigen Belangen beeinträchtigt, so hat ihnen<br />
der Träger der in § 2 Absatz 1 Satz 1 genannten Stelle den daraus entstehenden<br />
Schaden zu ersetzen. 2 In schweren Fällen können Betroffene<br />
auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige<br />
Entschädigung in Geld verlangen. 3 Die Ersatzpflicht tritt nicht ein, soweit<br />
die Daten verarbeitende Stelle den Umstand, durch den der Schaden eingetreten<br />
ist, nicht zu vertreten hat. 4 Beruht der Schaden auf einer unzulässigen<br />
oder unrichtigen automatisierten Datenverarbeitung, so tritt die Ersatzpflicht<br />
auch im Falle des Satzes 3 ein, beschränkt sich jedoch in diesem<br />
Falle gegenüber jeder betroffenen Person auf zweih<strong>und</strong>ertfünfzigtausend<br />
Euro <strong>für</strong> jedes schädigende Ereignis.<br />
(2) Auf das Mitverschulden von Verletzten sind § 254, § 839 Absatz 3 des<br />
Bürgerlichen Gesetzbuches <strong>und</strong> auf die Verjährung die <strong>für</strong> unerlaubte<br />
Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs<br />
entsprechend anzuwenden.<br />
(3) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.<br />
VIERTER ABSCHNITT<br />
Die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit<br />
§21<br />
Berufung<br />
(1) 1 Auf Vorschlag des Senats wählt die Bürgerschaft eine <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. einen <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit; die Wiederwahl ist einmal zulässig. 2 Die bzw. der<br />
<strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit muss<br />
die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst<br />
haben <strong>und</strong> die zur Erfüllung ihrer bzw. seiner Aufgaben erforderliche<br />
Fachk<strong>und</strong>e besitzen. 3 Sie bzw. er muss bei ihrer bzw. seiner Bestellung<br />
das 35. Lebensjahr vollendet haben.<br />
(2) Der Senat bestellt die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit <strong>für</strong> eine<br />
Amtszeit von sechs Jahren.<br />
(3) 1 Die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit ist verpflichtet, das Amt bis zur<br />
29
Bestellung einer Nachfolgerin oder eines Nachfolgers weiterzuführen; die<br />
Amtszeit gilt als entsprechend verlängert. 2 Kommt die bzw. der <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit der Verpflichtung<br />
nach Satz 1 nicht nach, ist sie bzw. er zu entlassen.<br />
§22<br />
Rechtsstellung<br />
(1) 1 In Ausübung des Amtes ist die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong><br />
<strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit unabhängig <strong>und</strong> nur dem Gesetz unterworfen.<br />
2 Sie bzw. er untersteht der Dienstaufsicht des Senats, soweit<br />
nicht ihre bzw. seine Unabhängigkeit beeinträchtigt wird. 3 Insoweit sind die<br />
<strong>für</strong> Berufsrichterinnen <strong>und</strong> Berufsrichter geltenden Vorschriften entsprechend<br />
anzuwenden.<br />
(2) 1 Der bzw. dem <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
wird die zur Aufgabenerfüllung notwendige Personal- <strong>und</strong><br />
Sachausstattung vom Senat im Rahmen der haushaltsmäßigen Bestimmungen<br />
zur Verfügung gestellt. 2 Die Stellen werden auf Vorschlag der<br />
oder des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
besetzt. 3 Die Mitarbeiterinnen <strong>und</strong> Mitarbeiter können nur im Einvernehmen<br />
mit ihr bzw. ihm versetzt oder abgeordnet werden. 4 Die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit ist Dienstvorgesetzte bzw. Dienstvorgesetzter<br />
ihrer bzw. seiner Mitarbeiterinnen <strong>und</strong> Mitarbeiter; diese sind in<br />
ihrer Tätigkeit nach diesem Gesetz nur an ihre bzw. seine Weisungen<br />
geb<strong>und</strong>en.<br />
(3) 1 Die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit bestimmt eine Mitarbeiterin oder<br />
einen Mitarbeiter zur Vertreterin bzw. zum Vertreter. 2 Diese bzw. dieser<br />
nimmt die Befugnisse der oder des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit im Falle von deren bzw. dessen Verhinderung<br />
wahr. 3 Dauert die Verhinderung länger als zwei Monate, so kann<br />
der Senat eine Person mit der Wahrnehmung der Geschäfte beauftragen;<br />
die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
soll hierzu gehört werden. 4 Endet das Amtsverhältnis der bzw. des<br />
<strong>Hamburgische</strong>n <strong>Datenschutz</strong>beauftragten, gelten Satz 2 <strong>und</strong> Satz 3 erster<br />
Halbsatz bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers<br />
entsprechend.<br />
(4) Die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung<br />
sowie oberste Aufsichtsbehörde im Sinne des § 99 der Verwal-<br />
30
tungsgerichtsordnung, des § 119 des Sozialgerichtsgesetzes sowie des<br />
§ 86 der Finanzgerichtsordnung <strong>und</strong> trifft die Entscheidungen nach § 46<br />
des <strong>Hamburgische</strong>n Beamtengesetzes (HmbBG) vom 15. Dezember 2009<br />
(HmbGVBl. S. 405), zuletzt geändert am 11. Mai 2010 (HmbGVBl. S. 346,<br />
348), in der jeweils geltenden Fassung <strong>für</strong> sich <strong>und</strong> die bei ihr bzw. bei ihm<br />
beschäftigten Bediensteten.<br />
§23<br />
Aufgaben<br />
(1) 1 Die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit überwacht bei den in § 2 Absatz 1<br />
Satz 1 genannten Stellen <strong>und</strong> bei anderen Stellen, soweit sie sich auf<br />
Gr<strong>und</strong> gesetzlicher Vorschriften ihrer bzw. seiner Überwachung unterworfen<br />
haben, die Einhaltung der Vorschriften dieses Gesetzes sowie anderer<br />
Vorschriften über den <strong>Datenschutz</strong>. 2 Die Bürgerschaft, die Gerichte <strong>und</strong><br />
der Rechnungshof unterliegen der Überwachung durch die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit nur, soweit sie in Verwaltungsangelegenheiten tätig<br />
werden; die Einschränkung gilt nicht <strong>für</strong> Gerichtsvollzieherinnen <strong>und</strong> Gerichtsvollzieher.<br />
3 Bei den Gerichten <strong>und</strong> beim Rechnungshof überwacht<br />
die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
darüber hinaus, ob die erforderlichen technischen <strong>und</strong> organisatorischen<br />
Maßnahmen getroffen <strong>und</strong> eingehalten werden.<br />
(2) Die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
kann Empfehlungen zur Verbesserung des <strong>Datenschutz</strong>es<br />
geben; insbesondere soll sie bzw. er den Senat <strong>und</strong> die übrigen in § 2 Absatz<br />
1 Satz 1 genannten Stellen in Fragen des <strong>Datenschutz</strong>es beraten.<br />
(3) 1 Auf Anforderung des Senats oder auf Verlangen eines Viertels der Abgeordneten<br />
der Bürgerschaft hat die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit Gutachten zu erstellen <strong>und</strong> Berichte<br />
zu erstatten. 2 Außerdem erstattet sie bzw. er Senat <strong>und</strong> Bürgerschaft<br />
mindestens alle zwei Jahre einen Tätigkeitsbericht. 3 Sie bzw. er kann sich<br />
jederzeit an die Bürgerschaft wenden. 4 Schriftliche Äußerungen gegenüber<br />
der Bürgerschaft sind gleichzeitig dem Senat vorzulegen. 5 Auf Ersuchen<br />
des Senats geht die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit ferner Hinweisen auf Angelegenheiten <strong>und</strong><br />
Vorgänge nach, die ihren bzw. seinen Aufgabenbereich unmittelbar betreffen.<br />
(4) 1 Die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit soll zu den Auswirkungen der<br />
31
Nutzung neuer Informations- <strong>und</strong> Kommunikationstechniken auf den <strong>Datenschutz</strong><br />
Stellung nehmen. 2 Sie bzw. er ist über Planungen neuer Anwendungen<br />
zur Nutzung der Informations- <strong>und</strong> Kommunikationstechnik rechtzeitig<br />
zu unterrichten, sofern dabei personenbezogene Daten verarbeitet<br />
werden sollen.<br />
(5) 1 Die in Absatz 1 Satz 1 genannten Stellen sind verpflichtet, die <strong>Hamburgische</strong><br />
<strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit <strong>und</strong> ihre bzw. seine <strong>Beauftragte</strong>n bei der<br />
Erfüllung ihrer Aufgaben zu unterstützen. 2 Ihnen ist dabei insbesondere<br />
1. Auskunft zu ihren Fragen sowie die Einsicht in alle Unterlagen <strong>und</strong><br />
Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener<br />
Daten stehen, namentlich in die gespeicherten Daten<br />
<strong>und</strong> in die Datenverarbeitungsprogramme,<br />
2. jederzeit Zutritt zu allen Diensträumen zu gewähren.<br />
3 Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder<br />
Einsichtsverlangen nicht entgegengehalten werden.<br />
(6) 1 Absatz 5 Sätze 1 <strong>und</strong> 2 gilt <strong>für</strong> das Landesamt <strong>für</strong> Verfassungsschutz,<br />
die Behörden der Staatsanwaltschaft <strong>und</strong> der Polizei sowie gegenüber Landesfinanzbehörden,<br />
soweit sie personenbezogene Daten in Erfüllung ihrer<br />
gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur<br />
Überwachung <strong>und</strong> Prüfung speichern, mit der Maßgabe, dass die Unterstützung<br />
nur der bzw. dem <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit selbst <strong>und</strong> den von ihr bzw. ihm schriftlich damit<br />
betrauten <strong>Beauftragte</strong>n zu gewähren ist. 2 Absatz 5 Satz 2 gilt <strong>für</strong> die genannten<br />
Behörden nicht, soweit der Senat im Einzelfall feststellt, dass die<br />
Einsicht in Akten die Sicherheit des B<strong>und</strong>es oder eines Landes gefährdet.<br />
§24<br />
Aufsichtsbehörde zur Überwachung<br />
nicht-öffentlicher Stellen <strong>und</strong> öffentlich-rechtlicher<br />
Wettbewerbsunternehmen<br />
Die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
ist Aufsichtsbehörde nach § 38 des B<strong>und</strong>esdatenschutzgesetzes.<br />
Auch über diesen Tätigkeitsbereich ist ein Bericht nach § 23 Absatz 3<br />
Satz 2 zu erstatten.<br />
§25<br />
Beanstandungen<br />
(1) 1 Stellt die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit Verstöße gegen dieses Gesetz oder gegen andere Vor-<br />
32
schriften über den <strong>Datenschutz</strong> oder sonstige Mängel bei der Datenverarbeitung<br />
fest, so beanstandet sie bzw. er dies<br />
1. im Bereich der Verwaltung <strong>und</strong> der Gerichte der Freien <strong>und</strong> Hansestadt<br />
Hamburg gegenüber dem <strong>für</strong> die Behörde oder das Gericht verantwortlichen<br />
Senatsmitglied,<br />
2. im Bereich der Bezirksverwaltung gegenüber dem <strong>für</strong> die Aufsichtsbehörde<br />
verantwortlichen Senatsmitglied, im Bereich der der Aufsicht<br />
der Freien <strong>und</strong> Hansestadt Hamburg unterstehenden juristischen Personen<br />
des öffentlichen Rechts <strong>und</strong> deren öffentlich-rechtlich organisierten<br />
Einrichtungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten<br />
Organ,<br />
3. im Bereich der Bürgerschaft <strong>und</strong> des Rechnungshofs gegenüber der<br />
jeweiligen Präsidentin bzw. dem jeweiligen Präsidenten<br />
<strong>und</strong> fordert zur Behebung der Mängel <strong>und</strong> zur Stellungnahme innerhalb<br />
einer von ihr bzw. ihm zu bestimmenden Frist auf. 2 Werden die Mängel<br />
nicht fristgemäß behoben, richtet die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der<br />
<strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit eine<br />
weitere Beanstandung in den Fällen des Satzes 1 Nummer 1 an den Senat,<br />
in den Fällen des Satzes 1 Nummer 2 an die zuständige Aufsichtsbehörde;<br />
im Übrigen gilt Satz 1 entsprechend.<br />
(2) Die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong><br />
<strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit kann von einer Beanstandung absehen,<br />
insbesondere wenn die Mängel von geringer Bedeutung sind, bereits<br />
behoben sind oder ihre Behebung sichergestellt ist.<br />
(3) Mit der Beanstandung kann die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong><br />
<strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit Vorschläge zur Beseitigung der Mängel<br />
<strong>und</strong> zur sonstigen Verbesserung des <strong>Datenschutz</strong>es verbinden.<br />
(4) 1 Die gemäß Absatz 1 abzugebenden Stellungnahmen sollen auch eine<br />
Darstellung der Maßnahmen enthalten, die auf Gr<strong>und</strong> der Beanstandung<br />
getroffen worden sind. 2 Die in Absatz 1 Satz 1 Nummer 2 genannten<br />
Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer<br />
Stellungnahme zu.<br />
§26<br />
Anrufung<br />
(1) Jede Person kann sich an die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den<br />
<strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbe-<br />
33
zogenen Daten im Überwachungsbereich nach § 23 Absatz 1 in ihren<br />
Rechten verletzt worden zu sein.<br />
(2) 1 Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind,<br />
den Verdacht aufkommen zu lassen, das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz<br />
oder eine andere Rechtsvorschrift über den <strong>Datenschutz</strong> sei verletzt<br />
worden, gemaßregelt oder benachteiligt werden. 2 Bedienstete der Freien<br />
<strong>und</strong> Hansestadt Hamburg sind nicht verpflichtet, der bzw. dem <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit gegenüber<br />
den Dienstweg einzuhalten.<br />
FÜNFTER ABSCHNITT<br />
Besondere Vorschriften über den <strong>Datenschutz</strong><br />
§27<br />
Datenverarbeitung zum Zwecke wissenschaftlicher Forschung<br />
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene<br />
Daten ohne Einwilligung der Betroffenen <strong>für</strong> ein bestimmtes Forschungsvorhaben<br />
verarbeiten, soweit deren schutzwürdige Interessen<br />
wegen der Art der Daten, wegen ihrer Offenk<strong>und</strong>igkeit oder wegen der Art<br />
der Verwendung nicht beeinträchtigt werden. 2 Der Einwilligung der Betroffenen<br />
bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung<br />
des Forschungsvorhabens die schutzwürdigen Interessen der Betroffenen<br />
erheblich überwiegt <strong>und</strong> der Zweck der Forschung auf andere<br />
Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden<br />
kann.<br />
(2) 1 Über die Übermittlung entscheidet die Leiterin bzw. der Leiter der übermittelnden<br />
Stelle oder die von ihr bzw. ihm bestimmte Mitarbeiterin oder<br />
ein entsprechender Mitarbeiter. 2 Die Entscheidung muss die Stelle, der die<br />
Daten übermittelt werden, die Art der zu übermittelnden personenbezogenen<br />
Daten, den Kreis der Betroffenen <strong>und</strong> das Forschungsvorhaben bezeichnen;<br />
sie ist der bzw. dem <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit mitzuteilen.<br />
(3) 1 Die Daten sind, sobald der Forschungszweck es gestattet, zu anonymisieren.<br />
2 Die Merkmale, mit denen ein Bezug auf eine bestimmte natürliche<br />
Person wiederhergestellt werden kann, sind gesondert zu speichern;<br />
sie sind zu löschen, sobald der Forschungszweck dies gestattet.<br />
(4) Die übermittelten personenbezogenen Daten dürfen nur mit Einwilligung<br />
der Betroffenen weiter übermittelt oder <strong>für</strong> einen anderen als den<br />
ursprünglichen Zweck verarbeitet werden.<br />
34
(5) Die wissenschaftliche Forschung betreibenden in § 2 Absatz 1 Satz 1<br />
genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der<br />
Betroffenen nur veröffentlichen, wenn dies <strong>für</strong> die Darstellung von Forschungsergebnissen<br />
über Ereignisse der Zeitgeschichte unerlässlich ist.<br />
(6) 1 Soweit die Vorschriften dieses Gesetzes auf die Stelle, der die Daten<br />
übermittelt werden sollen, keine Anwendung finden, dürfen sie ihr nur<br />
übermittelt werden, wenn sie sich verpflichtet, die Vorschriften der Absätze<br />
3 bis 5 einzuhalten, <strong>und</strong> sich der Überwachung der bzw. des <strong>für</strong> den Ort der<br />
Forschungsstätte zuständigen <strong>Datenschutz</strong>beauftragten unterwirft. 2 Befindet<br />
sich der Ort der Forschungsstätte außerhalb der Europäischen<br />
Union, ist eine Übermittlung nur zulässig, wenn kein Gr<strong>und</strong> zu der Annahme<br />
besteht, dass bei der Durchführung des Forschungsvorhabens<br />
gegen Inhalt <strong>und</strong> Zweck eines deutschen Gesetzes verstoßen wird.<br />
(7) Die Absätze 1, 3 <strong>und</strong> 4 gelten entsprechend bei der Datenverarbeitung<br />
zur Vorbereitung oder Überprüfung von Regelungen allgemeiner Art durch<br />
eine in § 2 Absatz 1 Satz 1 genannte Stelle.<br />
§28<br />
Datenverarbeitung bei Beschäftigungsverhältnissen<br />
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene<br />
Daten ihrer Bewerberinnen <strong>und</strong> Bewerber, Beschäftigten, früheren<br />
Beschäftigten <strong>und</strong> von deren Hinterbliebenen nur verarbeiten, soweit dies<br />
eine Rechtsvorschrift, ein Tarifvertrag, eine allgemeine Regelung der<br />
obersten Dienstbehörde, die mit den Spitzenorganisationen der zuständigen<br />
Gewerkschaften <strong>und</strong> Berufsverbände beziehungsweise mit den Berufsverbänden<br />
der Richterinnen <strong>und</strong> Richter verbindlich vereinbart worden<br />
ist, oder eine Dienstvereinbarung vorsieht. 2 Soweit derartige Regelungen<br />
nicht bestehen, gelten die nachfolgenden Absätze.<br />
(2) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen, soweit die nachfolgenden<br />
Absätze keine besonderen Regelungen enthalten, personenbezogene<br />
Daten der in Absatz 1 genannten Personen nur verarbeiten, soweit<br />
dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des<br />
Beschäftigungsverhältnisses oder zur Durchführung organisatorischer,<br />
personeller oder sozialer Maßnahmen, insbesondere auch zu Zwecken der<br />
Personalplanung oder des Personaleinsatzes, erforderlich ist.<br />
(3) Die §§ 85 bis 92 HmbBG sind in der jeweils geltenden Fassung auf<br />
diejenigen in Absatz 1 genannten Personen entsprechend anzuwenden,<br />
die nicht in den Anwendungsbereich dieser Vorschriften fallen.<br />
35
(4) 1 Eine Übermittlung der Daten von Beschäftigten an Stellen außerhalb<br />
des öffentlichen Bereichs ist abweichend von § 16 Absatz 1 nur zulässig,<br />
soweit<br />
1. die Stelle, der die Daten übermittelt werden sollen, ein überwiegendes<br />
rechtliches Interesse darlegt,<br />
2. Art oder Zielsetzung der Aufgaben, die der oder dem Beschäftigten<br />
übertragen sind, die Übermittlung erfordert oder<br />
3. offensichtlich ist, dass die Übermittlung im Interesse der betroffenen<br />
Person liegt, <strong>und</strong> keine Anhaltspunkte vorliegen, dass diese in Kenntnis<br />
des Übermittlungszweckes ihre Einwilligung nicht erteilen würde.<br />
2 Die Übermittlung an eine künftige Dienstherrin oder Arbeitgeberin oder<br />
einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der<br />
betroffenen Person zulässig, es sei denn, dass eine Abordnung oder Versetzung<br />
vorbereitet wird, die der Zustimmung der oder des Beschäftigten<br />
nicht bedarf. 3 Absatz 3 in Verbindung mit § 89 HmbBG bleibt unberührt.<br />
(5) 1 Verlangt eine in § 2 Absatz 1 Satz 1 genannte Stelle medizinische oder<br />
psychologische Untersuchungen oder Tests (Untersuchungen), so hat sie<br />
Anlass <strong>und</strong> Zweck der Untersuchung anzugeben sowie erforderlichenfalls<br />
auf die der betroffenen Person obliegenden Aufgaben hinzuweisen. 2 Sie<br />
darf von der untersuchenden Stelle nur die Mitteilung der Untersuchungsergebnisse<br />
sowie derjenigen festgestellten Risikofaktoren verlangen,<br />
deren Kenntnis <strong>für</strong> ihre Entscheidung in personellen Angelegenheiten der<br />
betroffenen Person erforderlich ist; darüber hinausgehende Daten darf sie<br />
nur verlangen, soweit auch deren Kenntnis <strong>für</strong> ihre Entscheidung erforderlich<br />
ist. 3 Führt eine in § 2 Absatz 1 Satz 1 genannte Stelle die Untersuchungen<br />
durch, so gilt <strong>für</strong> die Weitergabe der erhobenen Daten Satz 2 entsprechend.<br />
4 Im Übrigen ist eine Weiterverarbeitung der bei den Untersuchungen<br />
erhobenen Daten ohne schriftliche Einwilligung der betroffenen Person<br />
nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.<br />
(6) 1 Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses<br />
erhoben wurden, sind unverzüglich zu löschen, sobald<br />
feststeht, dass ein Beschäftigungsverhältnis nicht zustande kommt. 2 Dies<br />
gilt nicht, soweit überwiegende berechtigte Interessen der Daten verarbeitenden<br />
Stelle der Löschung entgegenstehen oder die betroffene Person in<br />
die weitere Speicherung einwilligt. 3 Nach Beendigung eines Beschäftigungsverhältnisses<br />
sind personenbezogene Daten zu löschen, soweit<br />
diese Daten nicht mehr benötigt werden, es sei denn, dass Rechtsvorschriften<br />
entgegenstehen. 4 § 19 Absatz 4 findet Anwendung.<br />
(7) Soweit Daten der Beschäftigten im Rahmen der technischen <strong>und</strong> organisatorischen<br />
Maßnahmen nach § 8 Absatz 2 gespeichert werden, dürfen<br />
36
sie nicht zu anderen Zwecken, insbesondere nicht zu Zwecken der Verhaltens-<br />
oder Leistungskontrolle, genutzt werden.<br />
(8) § 27 findet Anwendung.<br />
§29<br />
Fernmessen <strong>und</strong> Fernwirken<br />
(1) 1 In § 2 Absatz 1 Satz 1 genannte Stellen dürfen ferngesteuerte Messungen<br />
oder Beobachtungen (Fernmessdienste) in Wohn- oder Geschäftsräumen<br />
Privater nur vornehmen, wenn die Betroffenen zuvor über den<br />
Verwendungszweck sowie über Art, Umfang <strong>und</strong> Zeitraum des Einsatzes<br />
unterrichtet worden sind <strong>und</strong> nach der Unterrichtung schriftlich eingewilligt<br />
haben. 2 Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu<br />
dienen soll, in Wohn- oder Geschäftsräumen Privater andere als die in<br />
Satz 1 genannten Wirkungen auszulösen (Fernwirkdienste). 3 Die Einrichtung<br />
von Fernmess- <strong>und</strong> Fernwirkdiensten ist nur zulässig, wenn die Betroffenen<br />
erkennen können, wann ein Dienst in Anspruch genommen wird <strong>und</strong><br />
welcher Art dieser Dienst ist. 4 Die Betroffenen können ihre Einwilligung<br />
jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes<br />
vereinbar ist. 5 Das Abschalten eines Dienstes gilt im Zweifel als Widerruf<br />
der Einwilligung.<br />
(2) 1 Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses<br />
dürfen nicht davon abhängig gemacht werden, dass die Betroffenen<br />
nach Absatz 1 Satz 1 oder Satz 2 einwilligen. 2 Verweigern oder<br />
widerrufen sie ihre Einwilligung, so dürfen ihnen keine Nachteile entstehen,<br />
die über die nachweisbaren Mehrkosten einer anderen Art der Datenerhebung<br />
hinausgehen.<br />
(3) 1 Soweit im Rahmen von Fernmess- <strong>und</strong> Fernwirkdiensten personenbezogene<br />
Daten erhoben werden, dürfen diese nur zu den vereinbarten<br />
Zwecken verarbeitet werden. 2 Sie sind zu löschen, sobald sie zur Erfüllung<br />
dieser Zwecke nicht mehr erforderlich sind.<br />
(4) Die Absätze 1 <strong>und</strong> 2 gelten nicht <strong>für</strong> Fernmess- <strong>und</strong> Fernwirkdienste der<br />
Versorgungsunternehmen <strong>und</strong> <strong>für</strong> entsprechende Dienste von Wohnungsunternehmen.<br />
§30<br />
Videobeobachtung <strong>und</strong> Videoaufzeichnung<br />
(Videoüberwachung)<br />
(1) Die Beobachtung öffentlich zugänglicher <strong>und</strong> besonders gefährdeter<br />
nicht öffentlich zugänglicher Bereiche innerhalb <strong>und</strong> außerhalb von Dienst-<br />
37
gebäuden mit optischelektronischen Einrichtungen (Videobeobachtung)<br />
ist nur zulässig, soweit sie in Ausübung des Hausrechts der verantwortlichen<br />
Stelle<br />
1. zum Schutz von Personen <strong>und</strong> Sachen oder<br />
2. zur Überwachung von Zugangsberechtigungen<br />
erforderlich ist <strong>und</strong> keine Anhaltspunkte da<strong>für</strong> bestehen, dass schutzwürdige<br />
Interessen der Betroffenen überwiegen.<br />
(2) Die nach Absatz 1 erhobenen Daten dürfen nur gespeichert werden<br />
(Videoaufzeichnung), wenn Tatsachen die Annahme rechtfertigen, dass<br />
mit einer Verletzung der Rechtsgüter nach Absatz 1 künftig zu rechnen ist<br />
<strong>und</strong> keine Anhaltspunkte da<strong>für</strong> bestehen, dass schutzwürdige Interessen<br />
der Betroffenen überwiegen. Eine weitere Verarbeitung der erhobenen<br />
Daten ist zulässig <strong>für</strong> den Zweck, <strong>für</strong> den sie erhoben wurden; <strong>für</strong> einen<br />
anderen Zweck nur, soweit dies zur Verfolgung von Straftaten oder zur<br />
Abwehr von Gefahren <strong>für</strong> Leib, Leben oder Freiheit einer Person oder <strong>für</strong><br />
bedeutende Sach- oder Vermögenswerte erforderlich ist.<br />
(3) Videobeobachtung <strong>und</strong> Videoaufzeichnung sowie die verantwortliche<br />
Stelle sind durch geeignete Maßnahmen <strong>für</strong> die Betroffenen erkennbar zu<br />
machen.<br />
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten<br />
Person zugeordnet, ist diese über die Tatsache der Speicherung <strong>und</strong> gegebenenfalls<br />
der weiteren Verarbeitung in entsprechender Anwendung des<br />
§ 12a zu benachrichtigen.<br />
(5) Aufzeichnungen einschließlich Kopien <strong>und</strong> daraus gefertigter Unterlagen<br />
sind spätestens nach einer Woche zu löschen oder zu vernichten,<br />
soweit sie zum Erreichen des verfolgten Zwecks nicht mehr zwingend<br />
erforderlich sind. Sie sind unverzüglich zu löschen, soweit schutzwürdige<br />
Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.<br />
(6) § 8 Absatz 1 findet Anwendung. Wird Videoüberwachung eingesetzt,<br />
sind technische <strong>und</strong> organisatorische Maßnahmen zu treffen, die geeignet<br />
sind zu gewährleisten, dass<br />
1. nur Befugte die durch Videoüberwachung erhobenen Daten zur Kenntnis<br />
nehmen können (Vertraulichkeit),<br />
2. die durch Videoüberwachung erhobenen Daten bei der Verarbeitung<br />
unverfälscht, vollständig <strong>und</strong> widerspruchsfrei bleiben (Integrität),<br />
3. die durch Videoüberwachung erhobenen Daten zeitgerecht zur Verfügung<br />
stehen <strong>und</strong> ordnungsgemäß verarbeitet werden können (Verfügbarkeit),<br />
38
4. die durch Videoüberwachung erhobenen Daten ihrem Ursprung zugeordnet<br />
werden können (Authentizität),<br />
5. festgestellt werden kann, wer wann welche durch Videoüberwachung<br />
erhobenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit).<br />
(7) Die Daten verarbeitende Stelle legt in einer laufend auf dem neusten<br />
Stand zu haltenden Dokumentation fest:<br />
1. den Namen <strong>und</strong> die Anschrift der Daten verarbeitenden Stelle,<br />
2. den Zweck der Videoüberwachung,<br />
3. die Rechtsgr<strong>und</strong>lage der Videoüberwachung,<br />
4. den Kreis der Betroffenen,<br />
5. den Personenkreis, der Zugang zu den durch Videoüberwachung erhobenen<br />
Daten erhält,<br />
6. die Abwägung der mit der Videoüberwachung verfolgten Ziele mit den<br />
mit der Videoüberwachung konkret verb<strong>und</strong>enen Gefahren <strong>für</strong> die<br />
Rechte der Betroffenen,<br />
7. die technischen <strong>und</strong> organisatorischen Maßnahmen nach Absatz 6,<br />
8. die Art der Geräte, ihr Standort <strong>und</strong> den räumlichen Überwachungsbereich,<br />
9. die Art der Überwachung,<br />
10. die Dauer der Überwachung.<br />
Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 <strong>für</strong> mehrere<br />
gleichartige Videoüberwachungen in einer Dokumentation zusammenfassen.<br />
Die behördlichen <strong>Datenschutz</strong>beauftragten führen die Dokumentation<br />
<strong>und</strong> halten sie zur Einsicht bereit. Daten verarbeitende Stellen, die keine<br />
behördlichen <strong>Datenschutz</strong>beauftragten bestellt haben, übersenden eine<br />
Ausfertigung ihrer Dokumentationen <strong>und</strong> deren Änderungen unverzüglich,<br />
jedenfalls aber vor der Einführung oder wesentlichen Änderung einer<br />
Videoüberwachung an die <strong>Hamburgische</strong> <strong>Beauftragte</strong> bzw. den <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit. Die Dokumentationen<br />
können bei der Daten verarbeitenden Stelle von jeder Person<br />
eingesehen werden; <strong>für</strong> die Angaben nach Satz 1 Nummern 7 <strong>und</strong> 8 gilt<br />
dies nur, soweit die Sicherheit der Videoüberwachung nicht beeinträchtigt<br />
wird.<br />
(8) Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere<br />
Erforderlichkeit zu überprüfen.<br />
(9) Beim Einsatz von Videokamera-Attrappen finden die Absätze 1, 3 <strong>und</strong> 8<br />
entsprechende Anwendung.<br />
39
§31<br />
Datenverarbeitung <strong>für</strong> Planungszwecke<br />
(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten<br />
verarbeitet werden, wenn der Planungszweck auf andere Weise nicht oder<br />
nur mit unverhältnismäßigem Aufwand erreicht werden kann <strong>und</strong> das<br />
öffentliche Interesse an der Planung die schutzwürdigen Interessen der<br />
Betroffenen erheblich überwiegt.<br />
(2) 1 Die zu Planungszwecken gespeicherten personenbezogenen Daten<br />
dürfen nicht <strong>für</strong> andere Zwecke genutzt werden. 2 Sobald es der Zweck der<br />
Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen<br />
Daten zu anonymisieren. 3 Eine Übermittlung von Daten,<br />
aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist<br />
unzulässig.<br />
(3) Soweit Daten <strong>für</strong> längere Zeit gespeichert werden, ist durch geeignete<br />
Maßnahmen sicherzustellen, dass sie innerhalb der Daten verarbeitenden<br />
Stelle getrennt von der Erfüllung anderer Verwaltungsaufgaben verarbeitet<br />
werden.<br />
SECHSTER ABSCHNITT<br />
Straf- <strong>und</strong> Bußgeldvorschriften; Gebührenvorschrift; Inkrafttreten<br />
§32<br />
Straftaten<br />
(1) Wer gegen Entgelt oder in der Absicht, sich oder eine andere bzw. einen<br />
anderen zu bereichern oder eine andere bzw. einen anderen zu schädigen,<br />
personenbezogene Daten, die nicht offenk<strong>und</strong>ig sind,<br />
1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder<br />
nutzt oder<br />
2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw.<br />
einen anderen übermitteln lässt,<br />
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.<br />
(2) Der Versuch ist strafbar.<br />
(3) Die Tat wird nur auf Antrag verfolgt.<br />
(4) Die Absätze 1 bis 3 finden nur Anwendung, soweit die Tat nicht nach<br />
anderen Vorschriften mit Strafe bedroht ist.<br />
40
§33<br />
Ordnungswidrigkeiten<br />
(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht offenk<strong>und</strong>ig<br />
sind,<br />
1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder<br />
nutzt oder<br />
2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw.<br />
einen anderen übermitteln lässt.<br />
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünf<strong>und</strong>zwanzigtausend<br />
Euro geahndet werden.<br />
§34<br />
Verwaltungsgebühren<br />
(1) 1 Für Amtshandlungen, die der Kontrolle nicht-öffentlicher Stellen durch<br />
die Aufsichtsbehörde nach § 38 des B<strong>und</strong>esdatenschutzgesetzes dienen,<br />
werden Gebühren, Zinsen <strong>und</strong> Auslagen erhoben. 2 Der Senat wird<br />
ermächtigt, die gebührenpflichtigen Tatbestände <strong>und</strong> die Gebührensätze<br />
durch Rechtsverordnung festzulegen.<br />
(2) 1 Zur Zahlung der Gebühren, Zinsen <strong>und</strong> Auslagen ist die kontrollierte<br />
Stelle verpflichtet. 2 Wird die Kontrolle weder von der Aufsichtsbehörde<br />
noch von der oder dem <strong>Datenschutz</strong>beauftragten der kontrollierten Stelle<br />
veranlasst, gilt dies jedoch nur, wenn Mängel festgestellt werden. 3 Werden<br />
im Fall des Satzes 2 keine Mängel festgestellt, sind die Gebühren, Zinsen<br />
<strong>und</strong> Auslagen von denjenigen zu tragen, die die Kontrolle veranlasst<br />
haben, soweit dies der Billigkeit entspricht.<br />
§35<br />
Inkrafttreten<br />
(1) 1 Dieses Gesetz tritt am 1. August 1990 in Kraft. 2 Abweichend davon tritt<br />
§ 9 Absätze 3 <strong>und</strong> 4 am 1. Januar 1991 in Kraft.<br />
(2) Zum gleichen Zeitpunkt tritt das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz vom<br />
31. März 1981 (HmbGVBl. S. 71) in der geltenden Fassung außer Kraft.<br />
Ausgefertigt Hamburg, den 5. Juli 1990.<br />
Der Senat<br />
41
Erläuterungen<br />
zum <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz<br />
(vom 5. Juli 1990, zuletzt geändert am 5. April 2013)<br />
Zu § 1 Aufgabe des <strong>Datenschutz</strong>es<br />
§ 1 enthält die Gr<strong>und</strong>satznorm des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes<br />
(HmbDSG). Diese orientiert sich eng an dem zentralen Urteil zum Volkszählungsgesetz<br />
durch das B<strong>und</strong>esverfassungsgericht (BVerfGE 65, 1 ff.),<br />
das gr<strong>und</strong>legende verfassungsrechtliche Vorgaben zum <strong>Datenschutz</strong>recht<br />
gerade auch <strong>für</strong> den Gesetzgeber in B<strong>und</strong> <strong>und</strong> Land macht. Der Entscheidung<br />
liegt eine verfassungsrichterliche Fortentwicklung des allgemeinen<br />
Persönlichkeitsrechts in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zum eigenständigen<br />
Gr<strong>und</strong>recht der informationellen Selbstbestimmung zugr<strong>und</strong>e.<br />
Durch das HmbDSG werden die gr<strong>und</strong>rechtlichen Vorgaben <strong>für</strong> die öffentlichen<br />
Stellen in Hamburg umgesetzt.<br />
Mit der Änderung des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes vom 5. Juli<br />
1990 (<strong><strong>Hamburgische</strong>s</strong> Gesetz- <strong>und</strong> Verordnungsblatt Seite 133, 165, 226)<br />
vollzieht das Landesdatenschutzgesetz den notwendigen Schritt hin zu<br />
einem am gr<strong>und</strong>rechtlichen Schutz der informationellen Selbstbestimmung<br />
orientierten Fachgesetz: Nicht allein der Missbrauch bei der Verarbeitung<br />
personenbezogener Daten ist danach zu verhindern, sondern es<br />
ist das individuelle Recht einer jeden Person zu schützen, selbst über die<br />
Preisgabe <strong>und</strong> Verwendung ihrer Daten zu bestimmen. In der Konsequenz<br />
der Konzeption des Volkszählungsurteils liegt es, dass das <strong>Hamburgische</strong><br />
<strong>Datenschutz</strong>gesetz die <strong>für</strong> die Verarbeitung von personenbezogenen<br />
Daten durch die Verwaltung der Freien <strong>und</strong> Hansestadt Hamburg erforderlichen<br />
Rechtsgr<strong>und</strong>lagen erst schafft. Insoweit enthält das <strong>Hamburgische</strong><br />
<strong>Datenschutz</strong>gesetz als übergreifende Querschnittsregelung die zentralen<br />
Vorschriften <strong>für</strong> den Umgang mit personenbezogenen Daten von Bürgerinnen<br />
<strong>und</strong> Bürgern durch öffentliche Stellen der FHH. Der Verweis in § 1 S. 2<br />
auf Einschränkungen des informationellen Selbstbestimmungsrechts in<br />
anderen Rechtsvorschriften macht deutlich, dass diese als Spezialregelungen<br />
Vorrang vor den allgemeinen Bestimmungen des <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>gesetzes genießen (vgl. § 2 Abs. 7).<br />
Die Konzeption eines gr<strong>und</strong>rechtsorientierten <strong>Datenschutz</strong>es in der Rechtsprechung<br />
des B<strong>und</strong>esverfassungsgerichts hat in der Praxis dazu geführt,<br />
dass Daten nur verarbeitet werden dürfen, wenn entweder eine Einwilligung<br />
des Betroffenen oder eine gesetzliche Gr<strong>und</strong>lage hier<strong>für</strong> vorliegt.<br />
42
Ferner erhält dadurch der Gr<strong>und</strong>satz der Erforderlichkeit aller relevanten<br />
Phasen der Datenverarbeitung sowie deren Zweckgeb<strong>und</strong>enheit ein verfassungsrechtliches<br />
F<strong>und</strong>ament.<br />
Neben der materiell-rechtlichen Seite erlangt das geltende <strong>Datenschutz</strong>recht<br />
auch ebenso wichtige formal-prozedurale Ausgestaltungen. Hier<br />
ergeben sich sowohl verfahrensrechtliche als auch diverse organisatorisch-technische<br />
Vorgaben: Neben der Vorabkontrolle, insbesondere der<br />
Verpflichtung zur Risikoanalyse (§ 8), gelten <strong>für</strong> automatisierte Verfahren<br />
Verpflichtungen zur Festlegung von Verfahrensbeschreibungen (§ 9); die<br />
Betroffenen haben gegenüber den verarbeitenden Stellen insbesondere<br />
Auskunftsrechte (§ 18), das Recht auf Berichtigung, Sperrung oder<br />
Löschung (§ 19) <strong>und</strong> auf Schadensersatz (§ 20). Ferner besteht eine Verpflichtung,<br />
die Betroffenen sowohl bei Kenntnis als auch bei Unkenntnis<br />
über die Datenerhebung insbesondere über den Zweck sowie über den<br />
Kreis der Empfängerinnen <strong>und</strong> Empfänger zu unterrichten (§ 12 a).<br />
Dieses seit dem Volkszählungsurteil verfassungsrechtlich maßgebliche<br />
Modell des gr<strong>und</strong>rechtsorientierten <strong>Datenschutz</strong>es wird gegenwärtig von<br />
Teilen der Politik, der Wissenschaft <strong>und</strong> digitalen Wirtschaft in Frage gestellt.<br />
Den aktuellen Forderungen, den Schutz von personenbezogenen<br />
Daten nur auf besonders risikoträchtige Datenverarbeitungen zu beziehen<br />
<strong>und</strong> den Schutzbereich des informationellen Selbstbestimmungsrechts insoweit<br />
zu beschränken, ist mit erheblicher Skepsis zu begegnen.<br />
Für den effektiven Schutz des informationellen Selbstbestimmungsrechts<br />
im Zeitalter der Digitalisierung ist die Erkenntnis des B<strong>und</strong>esverfassungsgerichts<br />
konstitutiv, dass es unter den Bedingungen der automatischen Datenverarbeitung<br />
keine belanglosen Daten mehr gibt (BVerfG Urteil vom<br />
15.12.83, http://openjur.de/u/268440.html, Rn 176). Eine Differenzierung<br />
zwischen risikoträchtigen <strong>und</strong> weniger risikoträchtigen Datenverarbeitungen<br />
würde gerade einer digitalen Profilbildung von Personen den Weg öffnen<br />
<strong>und</strong> damit das Gr<strong>und</strong>recht der informationellen Selbstbestimmung<br />
weithin zur Disposition stellen. Im Übrigen wäre eine Beschränkung auf<br />
besonders risikoträchtige Verarbeitungen von personenbezogenen Daten<br />
stets mit einer <strong>für</strong> den Rechtsvollzug wenig förderlichen begrifflichen Unschärfe<br />
verb<strong>und</strong>en. Gerade auch der in der EU derzeit (2013) diskutierte<br />
Entwurf einer <strong>Datenschutz</strong>-Gr<strong>und</strong>verordnung zeigt, dass die Tendenz<br />
einer Verengung des <strong>Datenschutz</strong>rechts zumindest durch die Kommission<br />
<strong>für</strong> die gesamteuropäische Ebene nicht aufgenommen wurde. Es bleibt<br />
abzuwarten, in welcher Weise eine gesamteuropäische Architektur des<br />
<strong>Datenschutz</strong>es in Europa letztlich aussehen wird.<br />
43
Zu § 2 Anwendungsbereich<br />
Absatz 1<br />
In Abs. 1 wird der Anwendungsbereich beschrieben <strong>und</strong> insbesondere der<br />
Begriff der öffentlichen Stelle nach § 1 konkretisiert.<br />
Dazu gehören vor allem auch „die Behörden“, ohne dass dieser Begriff gesetzlich<br />
näher definiert wird. Von gr<strong>und</strong>legender Bedeutung – auch <strong>für</strong> die<br />
„Daten verarbeitende Stelle“ nach § 4 Abs. 3 – ist die seit langem geführte<br />
Diskussion, ob dabei der organisatorische oder der funktionale Behördenbegriff<br />
zugr<strong>und</strong>e zu legen ist. Nach dem organisatorischen Behördenbegriff<br />
sind „Behörden“ in Hamburg die Senatsämter, Fachbehörden <strong>und</strong> Bezirksämter,<br />
wie sie im Verwaltungsbehörden- <strong>und</strong> Bezirksverwaltungsgesetz<br />
beschrieben sind. Nach dem funktionalen Behördenbegriff sind<br />
„Behörden“ die öffentlichen Organisationseinheiten, die eine durch Fachgesetze<br />
umschriebene Aufgabe mit entsprechenden Datenverarbeitungsvorgaben<br />
erfüllen. Auswirkungen hat die Unterscheidung vor allem <strong>für</strong> den<br />
Umgang mit personenbezogenen Daten innerhalb einer (organisatorischen)<br />
Behörde, <strong>und</strong> zwar u.a. bei den Fragen Nutzung oder Übermittlung<br />
(§§ 4, 14, 16), Rollenkonzept oder Mandantenfähigkeit (§ 8 Abs. 2), Verantwortlichkeit<br />
<strong>für</strong> die Datenverarbeitung (§ 10), Dienststellenleiterverfügung<br />
oder Rechtsverordnung des Senats (§§ 11, 11 a), Nutzung oder Erhebung<br />
(§§ 12, 12 a) <strong>und</strong> bei der Prüfung schutzwürdiger Interessen vor Weitergabe<br />
(§ 14 Abs. 2).<br />
Nach der herrschenden Meinung (vgl. Simitis, BDSG, § 2 Rn 15ff, Gola/<br />
Schomerus, BDSG, § 2 Rn 6ff) führte das Volkszählungsurteil zur Anwendung<br />
des funktionalen Behördenbegriffs: Der Senat ist auch bei organisationsrechtlichen<br />
Aufgabenzuweisungen an Recht <strong>und</strong> Gesetz geb<strong>und</strong>en<br />
(Bull in: Hoffmann-Riem, Koch, <strong><strong>Hamburgische</strong>s</strong> Staats- <strong>und</strong> Verfassungsrecht,<br />
3. Aufl., Seite 95). Seit dem Volkszählungsurteil zählen dazu auch<br />
das Gr<strong>und</strong>recht auf informationelle Selbstbestimmung <strong>und</strong> die b<strong>und</strong>es<strong>und</strong><br />
landesrechtlichen <strong>Datenschutz</strong>bestimmungen. Dies bedeutet, dass<br />
der organisatorische Behördenbegriff gilt, soweit <strong>und</strong> solange allgemeine<br />
<strong>und</strong> spezialgesetzliche datenschutzrechtliche Regelungen bzw. gesetzliche<br />
Aufgabenzuweisungen nichts Gegenteiliges bestimmen, wie etwa die<br />
Übermittlungsbeschränkungen zwischen Melde- <strong>und</strong> Ausländerbehörde<br />
(desselben Bezirksamtes) oder die rechtliche Eigenständigkeit von Standesamt,<br />
Sozialamt oder Jugendamt innerhalb eines Bezirksamts als<br />
Behörde im organisatorischen Sinne.<br />
2013 erstellte Roßnagel ein Fachgutachten „<strong>Datenschutz</strong>rechtliche Fragen<br />
der Schulstatistik in Hamburg“. Er beleuchtet die Verarbeitung personenbezogener<br />
Daten in einer gemeinsamen Datei von Schulbehörde <strong>und</strong><br />
44
staatlichen Schulen <strong>und</strong> kommt zu dem Ergebnis, dass nach den Vorschriften<br />
des <strong>Hamburgische</strong>n Schulgesetzes die Behörde <strong>für</strong> Schule <strong>und</strong> Berufsbildung<br />
zusammen mit den staatlichen Schulen eine gemeinsame<br />
Daten verarbeitende Stelle bilden, die einzelnen Schulen also unselbstständige<br />
Teile der Behörde <strong>für</strong> Schule <strong>und</strong> Berufsbildung sind. Roßnagel<br />
beruft sich auf Art. 2d S. 1 der EG-<strong>Datenschutz</strong>richtlinie, nach der <strong>für</strong> die<br />
Verarbeitung Verantwortlicher die Behörde sei, die allein oder gemeinsam<br />
mit anderen über die Zwecke <strong>und</strong> Mittel der Verarbeitung von personenbezogenen<br />
Daten entscheidet. Die Fachbehörde <strong>und</strong> die Schulen hätten die<br />
gemeinsame gesetzliche Aufgabe, schulische Bildung <strong>und</strong> Erziehung zu<br />
gewährleisten (aaO., Seite 11). Die Schulen entschieden auch nicht über<br />
Zwecke <strong>und</strong> Mittel der Datenverarbeitung, sondern nur die Behörde (aaO.,<br />
Seite 13).<br />
Die Gleichsetzung von Aufgaben <strong>und</strong> Zwecken erscheint jedoch problematisch.<br />
So ist in Übereinstimmung mit Art. 2 d S. 2 der EG-<strong>Datenschutz</strong>richtlinie<br />
die gr<strong>und</strong>sätzliche Zuständigkeit <strong>für</strong> die Vergabe von Mitteln <strong>für</strong> elektronische<br />
Datenverarbeitung durch Rahmenverträge der Finanzbehörde<br />
als Querschnittsaufgabe übertragen worden.<br />
Im Ergebnis ist davon auszugehen, dass der organisatorische Behördenbegriff<br />
durch den funktionalen Behördenbegriff in den Fällen begrenzt<br />
wird, in denen die <strong>Datenschutz</strong>gesetze <strong>und</strong> die fachgesetzlichen Bestimmungen<br />
über den <strong>Datenschutz</strong> Regelungen treffen. Anders als das Schulgesetz,<br />
das den gemeinsamen Bildungsauftrag von Fachbehörde <strong>und</strong><br />
Schulen betont, regeln etwa das Aufenthaltsgesetz, die Meldegesetze, das<br />
Gesetz zur Datenverarbeitung der Polizei oder das Verfassungsschutzgesetz<br />
im Einzelnen Datenverarbeitungsvorgänge von <strong>und</strong> zwischen den<br />
(funktionalen) Behörden innerhalb der (organisatorischen) Behörde <strong>für</strong><br />
Inneres <strong>und</strong> Sport.<br />
Nach Abs. 1 S. 1 Nr. 1 gilt das Gesetz auch <strong>für</strong> die Bürgerschaft bei allen<br />
Tätigkeiten. Ihre besondere Stellung ist durch die Formulierung eines<br />
entsprechenden Tatbestands im Katalog der Zweckdurchbrechung (§ 13<br />
Abs. 2 S. 1 Nr. 8) <strong>und</strong> durch die Beschränkung der <strong>Datenschutz</strong>kontrolle<br />
auf ihre Verwaltungstätigkeit (§ 23 Abs. 1 S. 2) berücksichtigt worden. Der<br />
Umgang mit personenbezogenen Daten ist bereichsspezifisch in der<br />
<strong>Datenschutz</strong>ordnung der <strong>Hamburgische</strong>n Bürgerschaft vom 19. Oktober<br />
1999 (HmbGVBl. S. 243) geregelt.<br />
Die Formulierung in Abs. 1 S. 1 Nr. 1 „<strong>und</strong> die sonstigen öffentlich-rechtlich<br />
organisierte Einrichtungen“ hat bisher keine Anwendung gef<strong>und</strong>en.<br />
Nicht hierunter fallen sog. Gleichordnungskonzerne zwischen juristischen<br />
45
Personen des öffentlichen <strong>und</strong> des Privatrechts. Sie sind nach wie vor entsprechend<br />
ihrer Rechtsform getrennt zu beurteilen.<br />
Abs. 1 S. 1 Nr. 2 regelt die Geltung des Gesetzes <strong>für</strong> die mittelbare Staatsverwaltung.<br />
Abs. 1 S. 1 Nr. 3 stellt schließlich klar, dass Beliehene, denen die Wahrnehmung<br />
hoheitlicher Aufgaben der öffentlichen Verwaltung durch Gesetz<br />
oder aufgr<strong>und</strong> Gesetzes übertragen ist, insoweit öffentliche Stellen im<br />
Sinne des Gesetzes sind. Zur praktischen Abgrenzung zwischen Beleihung<br />
<strong>und</strong> Auftragsdatenverarbeitung vgl. die Erläuterungen zu § 3. So<br />
wurde in § 4 Maßregelvollzugsgesetz (MVollzG) die Möglichkeit geschaffen,<br />
mit einem Beleihungsvertrag auch private <strong>und</strong> freigemeinnützige Träger<br />
mit der Durchführung des Maßregelvollzugs zu betrauen. § 4 Abs. 6<br />
MVollzG schreibt <strong>für</strong> die Verarbeitung personenbezogener Daten „im Falle<br />
der Beleihung“ auch spezialgesetzlich die Geltung des HmbDSG ausdrücklich<br />
fest (21. TB 2006/2007, 10.3).<br />
Mit Abs. 1 S. 2 wird seit 1990 zur Vermeidung von Abgrenzungsschwierigkeiten<br />
abschließend geregelt, dass <strong>für</strong> Beteiligungen öffentlicher Stellen<br />
an juristischen Personen des privaten Rechts die Vorschriften des BDSG<br />
<strong>für</strong> nicht-öffentliche Stellen gelten. Das gilt auch <strong>für</strong> die Kontrollkompetenz<br />
der Aufsichtsbehörde nach § 38 B<strong>und</strong>esdatenschutzgesetz (BDSG). Die<br />
Aussage des Abs. 1 S. 2 stellt eine landesgesetzliche Regelung über den<br />
<strong>Datenschutz</strong> im Sinne von § 1 Abs. 2 Nr. 2 <strong>und</strong> § 12 Abs. 2 BDSG dar. Für<br />
diejenigen privatrechtlich organisierten Vereinigungen, die § 2 Abs. 2<br />
BDSG als öffentliche Stellen des Landes bezeichnet, kommen nicht die<br />
Vorschriften des BDSG <strong>für</strong> öffentliche Stellen zur Anwendung. Sind an<br />
einer derartigen Vereinigung auch öffentliche Stellen anderer Länder beteiligt,<br />
wird es bei der Frage, welchem Land die Vereinigung rechtlich zuzuordnen<br />
ist, auf staatsvertragliche Regelungen oder – wenn diese nicht bestehen<br />
– auf den Sitz der Vereinigung ankommen.<br />
Die Einschränkung am Ende des Abs. 1 S. 2 ist aufgr<strong>und</strong> Art. 31 Gr<strong>und</strong>gesetz<br />
erforderlich, da § 2 Abs. 1 S. 2 BDSG bestimmte privatrechtlich<br />
organisierte Vereinigungen, an denen auch öffentliche Stellen des B<strong>und</strong>es<br />
beteiligt sind, als öffentliche Stellen des B<strong>und</strong>es bezeichnet.<br />
Absatz 2<br />
Gemäß Abs. 2 soll <strong>für</strong> öffentliche Stellen, die dem Wettbewerb unterliegen,<br />
materiell im Wesentlichen das BDSG gelten. Im Sinne einer eindeutigen<br />
Regelung wird hier <strong>und</strong> in den nachfolgenden Vorschriften ausdrücklich<br />
geregelt, dass es sich nur um die in Abs. 1 S. 1 genannten Stellen handelt.<br />
Um auch die Vorschriften des BDSG über betriebliche <strong>Datenschutz</strong>beauf-<br />
46
tragte unzweifelhaft anwendbar zu machen, wird Bezug genommen auf die<br />
<strong>für</strong> nicht-öffentliche Stellen geltenden Vorschriften des BDSG. Die Gleichstellung<br />
mit nicht-öffentlichen Stellen wird beschränkt durch die Verwendung<br />
des Wortes „soweit“ auf die Bereiche, mit denen die Stellen im Wettbewerb<br />
stehen. Da sich die <strong>Datenschutz</strong>kontrolle weiterhin nach dem<br />
<strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz richtet, wird § 38 BDSG von der Verweisung<br />
ausgenommen.<br />
Absatz 3<br />
Abs. 3 wurde 2013 neu gefasst mit der Errichtung der Investitions- <strong>und</strong><br />
Förderbank als Nachfolgerin der Wohnungsbaukreditanstalt (HmbGVBl.<br />
2013, Seiten 148, 153). War die Wohnungsbaukreditanstalt zuvor zur Vermeidung<br />
wettbewerbsrechtlicher Nachteile den privaten Kreditanstalten<br />
nach dem BDSG gleichgestellt, hat der Gesetzgeber sich nun mit der Neubestimmung<br />
der Bank-Aufgaben <strong>für</strong> eine ausschließliche Geltung des<br />
HmbDSG entschieden (Bü-Drs. 20/6335, S. 53).<br />
Absatz 4<br />
Abs. 4 ist mit der Novellierung 1990 aufgenommen worden <strong>und</strong> nimmt die<br />
Ausübung des Gnadenrechts wegen der Besonderheiten des Verfahrens<br />
nach wie vor vom Anwendungsbereich des Gesetzes aus.<br />
Absatz 5<br />
Auch Absatz 5 wurde 1990 eingeführt <strong>und</strong> sollte teilweise verschiedene<br />
Anwendungsbereiche von Abs. 7 (Vorrang besonderer Rechtsvorschriften)<br />
vorweg nehmen. Zwischenzeitlich sind in diesen Bereichen in den verschiedenen<br />
Verfahrensordnungen – insbesondere in der Strafprozessordnung<br />
(StPO) <strong>und</strong> im Ordnungswidrigkeitengesetz – weitgehend spezialgesetzliche<br />
Regelungen getroffen worden, die nach Abs. 7 dem Abs. 5 vorgehen.<br />
Obwohl Abs. 5 nur die „nicht-automatisierte Verarbeitung außerhalb<br />
von Dateien“, also die Verarbeitung in Akten, ausnimmt, gehen die genannten<br />
spezialgesetzlichen Datenverarbeitungsvorschriften – soweit sie<br />
tatbestandlich zutreffen – nach Abs. 7 auch bei einer automatisierten Datenverarbeitung<br />
vor. So enthält z.B. die StPO in den §§ 483 ff. ausdrücklich<br />
eigene „Dateiregelungen“ mit Übermittlungsbefugnissen <strong>und</strong> Betroffenenrechten.<br />
Das Auskunftsrecht des § 18, dessen Anwendbarkeit Abs. 5 nur<br />
<strong>für</strong> die Aktenverarbeitung ausschließt, wird in § 491 StPO auch <strong>für</strong> Dateien<br />
– z.B. im Rahmen des Vorgangsverwaltungssystem MESTA der Staatsanwaltschaft<br />
Hamburg – speziell <strong>und</strong> vorrangig geregelt.<br />
Mit Abs. 5 S. 2 sollte vor diesem Hintergr<strong>und</strong> klar gestellt werden, dass die<br />
seinerzeit <strong>für</strong> die Gerichte geltenden Ausnahmen nicht <strong>für</strong> Gerichtsvollzie-<br />
47
herinnen <strong>und</strong> Gerichtsvollzieher gelten sollten. Der allgemeine Vorrang bereichsspezifischer<br />
Regelungen über den <strong>Datenschutz</strong> gemäß § 2 Abs. 7 gilt<br />
selbstverständlich auch <strong>für</strong> Gerichtsvollzieherinnen <strong>und</strong> Gerichtsvollzieher.<br />
Absatz 6<br />
Abs. 6 schließt die Geltung des HmbDSG <strong>für</strong> personenbezogene Daten<br />
aus, solange sie in allgemein zugänglichen Quellen wie Zeitungen, Adress<strong>und</strong><br />
Telefonbüchern, heute aber auch in öffentlich zugänglichen Bereichen<br />
sozialer Netzwerke enthalten sind. Dasselbe gilt <strong>für</strong> solche Daten, die der<br />
Betroffene zur Veröffentlichung bestimmt hat.<br />
Dies ist zu modifizieren: Nach Art. 3 Abs. 2 der EG-<strong>Datenschutz</strong>richtlinie,<br />
die mit der Novellierung 2001 umgesetzt wurde, fallen nur solche Aktivitäten<br />
nicht unter die Richtlinie, die von einer natürlichen Person zur Ausübung<br />
ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen<br />
werden. Dies ist nicht der Fall beim Austausch von Informationen zwischen<br />
Organisationen wie Selbsthilfegruppen u.ä. <strong>und</strong> insbesondere nicht<br />
bei der Nutzung einer allgemein zugänglichen Website im Internet (vgl.<br />
Simitis BDSG, § 1 Rn 151 unter Hinweis auf EuGH C 101/01 vom 06.11.03,<br />
Lindquist). Abs. 6 ist daher eng auszulegen: Mangels hinreichender Umsetzung<br />
der Richtlinie 2001 gelten die Vorschriften des Gesetzes auch in<br />
den Fällen, in denen Betroffene ihre Daten zur Veröffentlichung vorsehen.<br />
Wollen Bezirksabgeordnete ihre Redebeiträge über das Bezirksamt im<br />
Internet veröffentlicht wissen, gelten also alle Vorschriften des HmbDSG<br />
einschließlich der erforderlichen Vorabkontrolle.<br />
Schon immer ging der Gesetzgeber zutreffend davon aus, dass die Daten<br />
jedenfalls dann wieder dem <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz unterfallen,<br />
wenn sie nach ihrer Erhebung in Dateien oder Akten gespeichert<br />
werden.<br />
Absatz 7<br />
Abs. 7 verdeutlicht, dass es sich beim <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz<br />
um ein Auffanggesetz handelt, das gegenüber spezialgesetzlichen Regelungen<br />
(Regelungen über den <strong>Datenschutz</strong>) subsidiär ist. Aufgr<strong>und</strong> des<br />
geltenden Gesetzesvorbehalts gilt dies nur <strong>für</strong> Gesetze im materiellen<br />
Sinn, also Gesetze, Verordnungen, Satzungen, aber auch Tarifvertragsnormen,<br />
die <strong>für</strong> allgemein verbindlich erklärt worden sind, <strong>und</strong> nach § 28<br />
Abs. 1 <strong>für</strong> Dienstvereinbarungen. Nicht unter „besondere Rechtsvorschriften“<br />
fallen Verwaltungsvorschriften.<br />
48
Mittlerweile gibt es eine Vielzahl von Spezialregelungen. Immer ist dabei<br />
zu prüfen, inwieweit sie abschließend sind <strong>und</strong> den Vorschriften des<br />
HmbDSG vorgehen oder ob nur Teilregelungen getroffen wurden. So sind<br />
etwa <strong>für</strong> Ges<strong>und</strong>heitsdaten (§ 5 Abs. 1 S. 2) auch die Normen der ärztlichen<br />
Berufsordnungen <strong>und</strong> das strafrechtliche Verbot einer Verletzung der ärztlichen<br />
Schweigepflicht (§ 203 Strafgesetzbuch [StGB]) zu berücksichtigen.<br />
Diese gelten gr<strong>und</strong>sätzlich neben den <strong>Datenschutz</strong>vorschriften, da beide<br />
Regelungsbereiche sich in ihrer Wirkung zwar überschneiden, aber inhaltlich<br />
nicht decken: So hat ein Patient nach der Berufsordnung gr<strong>und</strong>sätzlich<br />
ein Recht auf Einsicht in die ihn betreffenden Krankenunterlagen. Dagegen<br />
gewährt § 18 nur ein datenschutzrechtliches Auskunftsrecht. Dies erstreckt<br />
sich aber auf alle zur Person des Patienten gespeicherten Daten –<br />
also auch auf andere als die in der Behandlungsdokumentation genannten.<br />
Das <strong>Datenschutz</strong>recht erlischt mit dem Tod des Betroffenen, die ärztliche<br />
Schweigepflicht reicht über den Tod des Betroffenen hinaus. Bei der Inanspruchnahme<br />
von gesetzlichen Übermittlungsbefugnissen ist bei Ges<strong>und</strong>heitsdaten<br />
stets gesondert zu prüfen, ob die Übermittlungsbefugnis<br />
gerade auch die Weitergabe von Daten erfassen soll, die der ärztlichen<br />
Schweigepflicht unterliegen. Ist dies nicht der Fall wie z.B. bei den §§ 14-<br />
18, dann ist die Übermittlungsbefugnis keine „Befugnisnorm“ im Sinne des<br />
§ 203 StGB, <strong>und</strong> es bedarf <strong>für</strong> eine Übermittlung zusätzlich einer Schweigepflichtentbindung<br />
durch die betroffene Person.<br />
Zu § 3 Auftragsdatenverarbeitung<br />
Absätze 1–3<br />
Hamburger öffentliche Stellen (§ 2 Abs. 1) können Dritte mit der Verarbeitung<br />
personenbezogener Daten beauftragen. Der Anwendungsbereich<br />
einer solchen „Auftragsdatenverarbeitung“ ist nach der Gesetzesbegründung<br />
„auf die technische Hilfeleistung beschränkt“ (Bü-Drs. 13/3282, Begründung<br />
zu § 3, 1. Abs. ). In der Verwaltungspraxis haben sich aber auch<br />
nicht-technische Tätigkeiten wie z.B. die Essensverteilung <strong>und</strong> der Krankentransport<br />
im Universitäts-Klinikum Hamburg-Eppendorf (UKE) mit den<br />
begleitenden Patientendaten als Auftragsdatenverarbeitungen ergeben.<br />
Abzugrenzen ist die Auftragsdatenverarbeitung von einer „Funktionsübertragung“.<br />
Diese liegt dann vor, wenn die öffentliche Stelle die Erfüllung<br />
einer ihrer gesetzlichen (Teil-)Aufgaben als ganzer auf einen Dritten überträgt.<br />
Abgrenzungskriterien sind insbesondere der Grad der eigenen Entscheidungs-,<br />
Ermessens- <strong>und</strong> Gestaltungsfreiheit des Verarbeiters – je<br />
größer, desto eher liegt eine Funktionsübertragung vor – bzw. umgekehrt<br />
die bloße Hilfs- <strong>und</strong> Unterstützungsfunktion <strong>und</strong> Unterordnung unter die<br />
Vorstellungen des Auftraggebers.<br />
49
Die wesentliche Folge einer Auftragsdatenverarbeitung in diesem Sinne<br />
ist, dass „der Auftraggeber letztlich die alleinige Verantwortung <strong>für</strong> die Einhaltung<br />
datenschutzrechtlicher Vorschriften trägt“ (Bü-Drs. 13/3282, zu § 3,<br />
2. Abs. ). Nach § 4 Abs. 3 bleibt die öffentliche Stelle selbst „Daten verarbeitende<br />
Stelle“, obwohl die eigentliche Datenverarbeitung ein Dritter vornimmt.<br />
Der Auftraggeber ist auch Adressat der Rechte der Betroffenen. Die<br />
Datenweitergabe an den Auftragnehmer zum Zwecke der Auftragsdatenverarbeitung<br />
ist <strong>für</strong> die auftraggebende öffentliche Stelle eine bloße Nutzung,<br />
keine Übermittlung (siehe § 4 Abs. 2 Nr. 4 in Verbindung mit Abs. 4),<br />
der Auftragnehmer kein Dritter im Sinne des § 4 Abs. 4. Aus diesem Gr<strong>und</strong>e<br />
bedarf es <strong>für</strong> die Weitergabe der Daten an die auftragnehmende Stelle –<br />
z.B. ein Rechenzentrum – auch weder einer gesetzlichen Übermittlungsbefugnis<br />
noch einer Einwilligung.<br />
Eine Ausnahme bildet aufgr<strong>und</strong> der Definition in § 4 Abs. 4 die Auftragsdatenverarbeitung<br />
außerhalb der Europäischen Union. Auftragnehmer<br />
sind in diesen Fällen rechtlich Dritte. Werden personenbezogene Daten<br />
außerhalb der Mitgliedstaaten der EU verarbeitet, sind die Voraussetzungen<br />
nach § 17 einzuhalten. Für die Nutzung von Google Analytics <strong>und</strong> des<br />
Cloud Computing sei darauf hingewiesen, dass es nach § 17 anders als<br />
beim B<strong>und</strong>esdatenschutzgesetz ausschließlich auf den Ort der Verarbeitung<br />
ankommt <strong>und</strong> nicht auf den Sitz des Anbieters. Gr<strong>und</strong>sätzlich kann<br />
auch nicht aus rein fiskalischen Gründen in Länder ohne angemessenes<br />
Schutzniveau ausgewichen werden. Der Auftraggeber bleibt <strong>für</strong> die Einhaltung<br />
des angemessenen Schutzniveaus nach §§ 8, 10 verantwortlich, <strong>und</strong><br />
die Betroffenen können nach herrschender Meinung jedenfalls nicht regelhaft<br />
auf das Schutzniveau, etwa auf die Einhaltung technisch-organisatorischer<br />
Maßnahmen, im Wege der Einwilligung verzichten.<br />
Die Verantwortung <strong>für</strong> den <strong>Datenschutz</strong> kann die auftraggebende öffentliche<br />
Stelle nur wahrnehmen, wenn sie ihrer Sorgfaltspflicht bei der Auswahl<br />
des Auftragnehmers genügt <strong>und</strong> die in Abs. 1 S. 4 <strong>und</strong> Abs. 3 S. 1 gesetzlich<br />
vorgegebenen Vertragsinhalte vereinbart: Festlegung technischer <strong>und</strong><br />
organisatorischer Sicherungsmaßnahmen <strong>und</strong> etwaiger Unterauftragsverhältnisse,<br />
Umschreibung der Zweckbindung der Datenverarbeitung, Bestimmungen<br />
zu Rückgabe / Löschen / Vernichten der übergebenen Daten<br />
nach Auftragsabwicklung, Verpflichtung des Auftragnehmers, die <strong>für</strong> die<br />
auftraggebende Stelle geltenden <strong>Datenschutz</strong>vorschriften zu befolgen<br />
<strong>und</strong> sich – als nicht-öffentliche Stelle in Hamburg – der Überwachung<br />
durch den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
zu unterwerfen. Zudem stehen der auftraggebenden Stelle<br />
gegenüber dem Auftragnehmer Kontroll- <strong>und</strong> Weisungsrechte zu.<br />
50
Anders als bei nicht-öffentlichen Stellen ist der Vertrag zwischen auftraggebender<br />
<strong>und</strong> auftragnehmender Stelle nach dem Wortlaut der Vorschrift<br />
nicht mehr zwingend schriftlich zu erteilen. Schon aus Gründen der Dokumentation<br />
des Verwaltungshandelns ist jedoch angesichts der verschiedenen<br />
vorgegebenen Vertragsinhalte zumindest eine elektronische Speicherung<br />
der Absprachen zu fordern. Für die Dienststellen der Freien <strong>und</strong> Hansestadt<br />
Hamburg (Kernverwaltung) fordert ferner die Freigaberichtlinie der<br />
Finanzbehörde eine schriftliche oder elektronische Form der Auftragserteilung.<br />
Bei einem außer-hamburgischen Auftragnehmer verlangt § 3 Abs. 3<br />
Satz 2, dass die auftraggebende öffentliche Stelle die zuständige <strong>Datenschutz</strong>aufsichtsbehörde<br />
von der Auftragsdurchführung in ihrem Bereich<br />
unterrichtet.<br />
Wegen verschiedener negativer Vorfälle bei der Auftragsdatenverarbeitung<br />
wurde 2010 die Parallelvorschrift § 11 B<strong>und</strong>esdatenschutzgesetz<br />
(BDSG) <strong>für</strong> nicht-öffentliche Auftraggeber stark erweitert <strong>und</strong> verschärft.<br />
Die Anforderungen an eine zulässige Auftragsdatenverarbeitung sind seitdem<br />
im nicht-öffentlichen Bereich strenger als im Hamburger öffentlichen<br />
Bereich. Dies ist jedoch inhaltlich kaum zu begründen. Zumindest bei der<br />
datenschutzrechtlichen Beratung öffentlicher Stellen wird der HmbBfDI<br />
deswegen auch Anregungen aus § 11 BDSG aufnehmen <strong>und</strong> z.B. in die<br />
Auslegung notwendiger organisatorischer Maßnahmen (Abs. 1 Satz 2, 3)<br />
einbeziehen.<br />
Absatz 4<br />
Abs. 4 ist eine landesspezifische Regelung, die sich so in anderen<br />
<strong>Datenschutz</strong>gesetzen nicht findet. Sie stellt die Vergabe beratender <strong>und</strong><br />
begutachtender „oder vergleichbarer unterstützender Tätigkeiten“ sowie<br />
von (Fern-)Wartungsarbeiten <strong>für</strong> EDV-Systeme der Auftragsdatenverarbeitung<br />
gleich. „Diese Tätigkeiten bewegen sich einerseits allenfalls im Randbereich<br />
der Auftragsdatenverarbeitung, da Beratern, Gutachtern <strong>und</strong> vergleichbar<br />
Tätigen wegen ihrer besonderen Sachkenntnis <strong>und</strong> der ihnen zur<br />
Erfüllung ihrer Aufgaben notwendigerweise einzuräumenden Entscheidungsspielräume<br />
die Verarbeitung personenbezogener Daten nach Art <strong>und</strong><br />
Umfang nicht im Einzelnen vorgegeben werden kann. Andererseits fällt es<br />
häufig schwer, in diesen Fällen eine gesetzliche Übermittlungsbefugnis herzuleiten.<br />
Die neue Nr. 1 schließt diese Lücke.“ (Bü-Drs. 16/3995).<br />
Die in Abs. 4 Nr. 1 genannten „begutachtenden Tätigkeiten“ kommen vor<br />
allem Im Sozial- <strong>und</strong> Ges<strong>und</strong>heitsbereich vor. Für die Datenweitergabe z.B.<br />
vom UKE, vom Ges<strong>und</strong>heitsamt oder vom Medizinischen Dienst an externe<br />
Auftragnehmer gehen jedoch die spezialgesetzlichen Vorschriften etwa<br />
im <strong>Hamburgische</strong>n Krankenhausgesetz (§ 9) oder im Sozialgesetzbuch<br />
51
(§ 80 Sozialgesetzbuch X) vor, § 2 Abs. 7. Wo diese nicht greifen <strong>und</strong> Ges<strong>und</strong>heitsdaten<br />
betroffen sind, die der ärztlichen Schweigepflicht unterliegen,<br />
kann § 3 diese mangels ausdrücklicher Einbeziehung von ärztlichen<br />
Daten nicht durchbrechen; § 3 ist keine „Befugnisnorm“ im Sinne des § 203<br />
Strafgesetzbuch. Vielmehr bedarf die Weitergabe von medizinischen Daten<br />
z.B. durch Ärzte des Ges<strong>und</strong>heitsamtes an eine auftragnehmende Stelle<br />
der zusätzlichen Schweigepflichtentbindung durch die betroffene Person.<br />
Zu § 4 Begriffsbestimmungen<br />
Die Vorschrift enthält alle <strong>für</strong> das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz<br />
(HmbDSG) wesentlichen Begriffsbestimmungen.<br />
Absatz 1<br />
Der Begriff der personenbezogenen Daten ist von zentraler Bedeutung <strong>für</strong><br />
den Anwendungsbereich des HmbDSG. Nur wenn personenbezogene<br />
Daten verarbeitet werden, ist der Anwendungsbereich des HmbDSG überhaupt<br />
eröffnet (siehe § 1).<br />
Abs. 1 geht vom Begriff der Einzelangabe aus. „Damit sind alle Angaben<br />
über persönliche <strong>und</strong> sachliche Verhältnisse gemeint, die über eine lebende<br />
natürliche Person etwas aussagen, unabhängig davon, in welcher technischen<br />
Form (z.B. Bildaufnahme) dies geschieht. Der Begriff hält die Einbeziehung<br />
neuer technischer Verfahren in das Gesetz offen“ (Bü-Drs. 13/3282<br />
zu § 4 Abs. 1).<br />
Der Begriff der Einzelangabe über persönliche <strong>und</strong> sachliche Verhältnisse<br />
ist also sehr weit gefasst <strong>und</strong> umfasst jede Information, die einer bestimmten<br />
oder bestimmbaren natürlichen Person zugeordnet werden kann. Ob<br />
es sich dabei um besonders sensible Daten handelt oder nicht, spielt keine<br />
Rolle, da es keine von vornherein belanglosen Daten gibt (vgl. BVerfGE 65,<br />
1 ff., 45).<br />
Was im Einzelnen zu den Angaben über persönliche <strong>und</strong> sachliche Verhältnisse<br />
einer Person gehört, lässt sich nicht abschließend aufzählen. In § 5<br />
Abs. 1 S. 2 HmbDSG werden besonders sensible Daten, wie etwa Daten<br />
über Ges<strong>und</strong>heit <strong>und</strong> Sexualleben, politische Meinungen oder religiöse<br />
<strong>und</strong> weltanschauliche Überzeugungen benannt, welche ebenso wie die<br />
Sozialdaten nach § 35 Abs. 1 Sozialgesetzbuch I (SGB I) einen gesteigerten<br />
Schutz genießen. Zu den persönlichen Verhältnissen zählen nicht nur<br />
körperliche Merkmale, wie etwa Größe, Alter, Gewicht oder biometrische<br />
Daten (Fingerabdruck, Gesichtsprofil, genetischer Fingerabdruck), Bild<strong>und</strong><br />
Tonaufzeichnungen von einer Person (Foto, Röntgenbild), sondern<br />
ebenso etwa alle Angaben über berufliche, private, finanzielle, wirtschaftli-<br />
52
che oder ges<strong>und</strong>heitliche u.a. Verhältnisse. Sachliche Verhältnisse müssen<br />
einen direkten Bezug zum Betroffenen haben, z.B. Angaben über<br />
einen Gegenstand, eine Wohnung, ein Gr<strong>und</strong>stück oder einen Betrieb,<br />
welche sich im Besitz oder Eigentum des Betroffenen befinden oder welche<br />
er bewohnt oder bewirtschaftet (vgl. dazu Simitis, BDSG, 7. Aufl., § 3<br />
Rn 10ff.). Auch der, z.B. durch GPS ermittelte, Aufenthaltsort einer Person<br />
stellt ein personenbezogenes Datum dar (BGH, 1 StR 32/13 Rn 35 ff.).<br />
Namen <strong>und</strong> als Namensersatz fungierende Angaben, welche der Identifizierung<br />
der Person dienen, ohne meist selbst etwas über ihre Verhältnisse<br />
auszusagen, gehören, so sie im Kontext verwendet werden, zwingend<br />
logisch zu den personenbezogenen Daten (Simitis, BDSG, 7. Aufl., § 3 Rn<br />
10). Zu diesen identifizierenden Angaben gehören z.B. Geburtsnamen <strong>und</strong><br />
frühere Namen, Künstler- oder Decknamen, Konto- <strong>und</strong> Kreditkartennummern,<br />
IP-Adressen (mehr hierzu weiter unten), Personenkennzeichen,<br />
Sozialversicherungsnummern <strong>und</strong> Ausweisnummern (Simitis, BDSG,<br />
7. Aufl., § 3 Rn 10).<br />
Auch Werturteile, Planungs- <strong>und</strong> Prognosedaten sowie Wahrscheinlichkeitsaussagen<br />
<strong>und</strong> sogenannte Scorewerte fallen darunter, wenn sie einer<br />
konkreten natürlichen Person zugeordnet werden können. Der fehlende<br />
Wahrheitswert eines Datums schließt das Vorliegen einer Angabe i.S. des<br />
§ 4 Abs. 1 nicht aus (vgl. Simitis, BDSG, 7. Aufl., § 3 Rn 6). In welcher Form<br />
(mündlich, schriftlich, digital oder analog) die Angaben vorliegen, ist <strong>für</strong><br />
den Begriff des personenbezogenen Datums unerheblich.<br />
Personenbezogen sind nur die Einzelangaben, die sich auf eine bestimmte<br />
oder bestimmbare natürliche Person beziehen. Bestimmt ist eine Person<br />
dann, wenn die Daten mit dem Namen des Betroffenen verb<strong>und</strong>en sind<br />
oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar<br />
herstellen lässt. Bestimmbar ist eine Person, wenn gr<strong>und</strong>sätzlich die Möglichkeit<br />
besteht, ihre Identität direkt oder auch indirekt, <strong>und</strong> sei es über<br />
mehrere Zwischenschritte, festzustellen. Bestimmbar ist eine Person auch<br />
dann, wenn nur unter Verwendung eines Zusatzwissens der Personenbezug<br />
hergestellt werden kann. Ob Einzelangaben allein oder auch erst in<br />
Kombination eine Person bestimmbar machen, hängt vom vorhandenen<br />
Zusatzwissen <strong>und</strong> vom Verwendungszusammenhang ab <strong>und</strong> lässt sich nur<br />
anhand der konkreten Umstände des Einzelfalls beurteilen. Beispielsweise<br />
handelt es sich bei der der Internetkommunikation dienenden IP-Adresse<br />
(statische <strong>und</strong> dynamische) regelmäßig um ein personenbezogenes<br />
Datum, da hier häufig eine Zuordnung zum Nutzer durch den jeweiligen<br />
Access- oder Content-Provider erfolgen kann (siehe Beschluss der obersten<br />
Aufsichtsbehörden <strong>für</strong> den <strong>Datenschutz</strong> im nicht-öffentlichen Bereich<br />
am 26./27. November 2009 in Strals<strong>und</strong>: „<strong>Datenschutz</strong>konforme Ausge-<br />
53
staltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“,<br />
abrufbar unter http://www.bfdi.b<strong>und</strong>.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.html).<br />
Access-Provider, die z.B. eine DSL-Leitung zur Verfügung<br />
stellen, speichern die Zuordnung von IP-Adressen zur Person zu Abrechnungszwecken<br />
oder <strong>für</strong> einen kurzen Zeitraum <strong>für</strong> andere Zwecke. Content-Provider,<br />
die ein Internetangebot zur Verfügung stellen, können die<br />
Verbindung der IP-Adresse zur Person mindestens dann herstellen, wenn<br />
sich der dort registrierte Nutzer anmeldet.<br />
Für Kfz-Kennzeichen, die durch eine Halterabfrage dem Fahrzeughalter<br />
zugeordnet werden können, Fahrzeug-ID-Nummern <strong>und</strong> die Fahrzeugbriefnummern<br />
ist in § 45 S. 2 Straßenverkehrsgesetz (StVG) explizit geregelt,<br />
dass es sich um personenbezogene Daten handelt.<br />
Auch bei Geodaten kann ein Personenbezug vorliegen.<br />
Geodaten können vor allem eine der folgenden Ortsfunktionen <strong>für</strong> eine<br />
Person haben:<br />
1. Aufenthalt, Herkunft, Ziel<br />
2. Nutzungsbeziehung (Bewohner, Bewirtschafter)<br />
3. Eigentum.<br />
Bei Geodaten wird unterschieden zwischen Punkt- <strong>und</strong> Flächendaten.<br />
Punktdaten werden dargestellt durch Geokoordinaten. Flächendaten basieren<br />
meist auf Kartendarstellungen, in denen die Flächengrenzen in<br />
einem Geokoordinatensystem dargestellt sind. Punktdaten sind, auch<br />
wenn sie sich auf Sachdaten beziehen, regelmäßig personenbezogen. Bei<br />
Flächendaten verschwimmt der Personenbezug umso mehr, je größer die<br />
Fläche wird <strong>und</strong> wenn dadurch mehr als nur eine Person erfasst wird (vgl.<br />
dazu Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3 Rn 21; 23. TB<br />
2010/2011, III 12.2). Das <strong>Hamburgische</strong> Geodateninfrastrukturgesetz<br />
berücksichtigt in § 10 die Schutzbedürftigkeit personenbezogener Daten,<br />
ohne diese im Zusammenhang mit Geodaten zu definieren. Besonders bei<br />
Luftaufnahmen können bei Gr<strong>und</strong>stücksansichten Zweifel an der Personenbeziehbarkeit<br />
entstehen. Um diese nicht zum Hindernis <strong>für</strong> die gewollte<br />
öffentlich zugängliche Geodateninfrastruktur werden zu lassen, haben der<br />
<strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit <strong>und</strong><br />
das Landesamt <strong>für</strong> Geoinformationen <strong>und</strong> Vermessung (LGV) eine Verfahrensweise<br />
vereinbart, wonach das LGV bei digitalen Orthofotos (bearbeitete<br />
Luftbilder) mit einer Pixelgröße, die 20x20 cm (oder mehr) in der Realität<br />
repräsentiert („DOP 20“), gr<strong>und</strong>sätzlich von einer Zulässigkeit der Internetveröffentlichung<br />
ausgehen kann, weil die Bildschärfe weder Personen<br />
noch z.B. Kfz-Kennzeichen erkennen lässt (24. TB 2012/2013, III 9.1).<br />
54
Nur im Ausnahmefall kann hier ein Bürger die Löschung der auf ihn beziehbaren<br />
(sensiblen) Information – z.B. ein deutlich erkennbares Krankenbett<br />
im Garten – beantragen.<br />
Gr<strong>und</strong>sätzlich kein Personenbezug besteht:<br />
– bei statistischen, aggregierten Daten: hier wurden die Einzelangaben<br />
<strong>für</strong> eine Gruppe natürlicher Personen zusammengefasst, z.B. Anzahl<br />
der Einwohner über 50 Jahre in einer ausreichend großen Gebietsfläche<br />
– absolut anonymisierte Daten, die sich aufgr<strong>und</strong> ihres Inhaltes nach Fortlassen<br />
sämtlicher Identifikationsmerkmale (z.B. Name, Geburtstag)<br />
weder auf eine bestimmte Person beziehen noch eine solche erkennen<br />
lassen.<br />
Bei statistischen Daten ist stets zu prüfen, ob aus der Zahl oder der Art der<br />
Daten auf eine bestimmte Person geschlossen werden kann. Dies kann<br />
z.B. der Fall sein, wenn gewisse Merkmalsausprägungen selten vorhanden<br />
sind oder aber die Bezugsfläche klein ist. Weist beispielsweise eine<br />
kommunale Ges<strong>und</strong>heitsstatistik im Feld „Alter“ nur einen 100-Jährigen<br />
aus, sind alle Angaben auf diese in der Gemeinde bekannte Person beziehbar.<br />
Gibt es in einer Gemeinde nur sehr wenige Gewerbetreibende, liegt ein<br />
Personenbezug vor, wenn Angaben, die zu einem von ihnen bekannt sind,<br />
zu den jeweils anderen Gewerbetreibenden durch Subtraktion ermittelt<br />
werden können. Ob der Personenbezug bei statistischen Daten aufgehoben<br />
ist, kann nur im Einzelfall festgestellt werden. Wann dies der Fall ist,<br />
hängt von Art, Menge, Detailliertheit <strong>und</strong> Kombinations- <strong>und</strong> Verschneidungsmöglichkeiten<br />
der Daten ab (vgl. dazu auch die Erläuterungen zu § 4<br />
Abs. 9). Es sollte jedoch gr<strong>und</strong>sätzlich in jedem Feld eine Merkmalsausprägung<br />
von mehr als drei Fällen angegeben sein. Andernfalls wäre eine<br />
höhere Aggregationsstufe zu wählen.<br />
Auch Daten, die lediglich statistische Wahrscheinlichkeiten abbilden, können<br />
ab einer bestimmten Kleinräumigkeit personenbezogen sein. Kleingliedrige<br />
statistische Angaben, zum Teil herunter gebrochen bis auf Häuser<br />
<strong>und</strong> Häuserblöcke, gibt es inzwischen zu allen erdenklichen Fragestellungen<br />
mit Informationen über Lebensstandard, Interessen, Konsumverhalten,<br />
Ges<strong>und</strong>heitszustand, Wahlverhalten, Beschäftigung, Bildung etc.<br />
Zusammengefasst werden diese als soziodemographische Daten bzw.<br />
Milieu-Profilbildungen bezeichnet. Auch hier kann ein Personenbezug bestehen,<br />
wenn ein Gruppenergebnis im gegebenen sozialen Kontext den<br />
einzelnen Mitgliedern der Gruppe zugerechnet wird. Soweit Informationen<br />
sich z.B. auf die Charakteristika von individualisierbaren Haushalten beziehen<br />
(z.B. sog. Sinus-Milieus), werden diese Bewertungen allen Mitgliedern<br />
des Hauses oder Haushaltes zugeschrieben <strong>und</strong> müssen damit als perso-<br />
55
nenbezogen (wenn auch nicht unbedingt als richtig) angesehen werden<br />
(vgl. dazu 23. TB 2010/2011, III 19.3).<br />
Betroffener kann nur eine noch lebende natürliche Person sein. Daten Verstorbener<br />
werden vom HmbDSG nicht geschützt. Zwar ist die Würde des<br />
Menschen nach Art. 1 Abs. 1 Gr<strong>und</strong>gesetz (GG) auch nach seinem Tode zu<br />
respektieren, jedoch geht das B<strong>und</strong>esverfassungsgericht (BVerfGE 30,<br />
194) davon aus, dass das vom Gr<strong>und</strong>gesetz geschützte Persönlichkeitsrecht<br />
nach Art. 2 Abs. 1 GG mit dem Tod endet. Das gilt auch <strong>für</strong> das daraus<br />
fließende informationelle Selbstbestimmungsrecht. Gleichwohl sind<br />
die Daten Verstorbener nicht völlig schutzlos gestellt. Hier greifen spezielle<br />
Schutzvorschriften wie z.B. Strafvorschriften, die das Andenken Verstorbener<br />
zum Gegenstand haben, personenstandsrechtliche <strong>und</strong> archivrechtliche<br />
Vorschriften. Zudem gelten die ärztliche Schweigepflicht (vgl. § 9 Abs.<br />
1 S. 1 Muster-Berufsordnung <strong>für</strong> die in Deutschland tätigen Ärztinnen <strong>und</strong><br />
Ärzte; ähnlich auch § 7 Abs. 1 S. 4 HmbKrankenhausG), das Steuer- <strong>und</strong><br />
Statistikgeheimnis über den Tod des Betroffenen hinaus. Unabhängig<br />
davon können ggf. auch die Hinterbliebenen durch den Missbrauch von<br />
Daten Verstorbener in ihrem eigenen Persönlichkeitsrecht betroffen sein<br />
(vgl. dazu Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 12).<br />
Absatz 2<br />
Abs. 2 S. 1 bezieht sieben Phasen (Erheben, Speichern, Verändern, Übermitteln,<br />
Sperren, Löschen, Nutzen) in den Begriff der Datenverarbeitung<br />
ein, welche anschließend in S. 2 näher definiert werden. „Nach wie vor<br />
kommt der Legaldefinition einzelner Verarbeitungsphasen Bedeutung zu,<br />
weil nicht darauf verzichtet werden kann, <strong>für</strong> sie im Gesetz besondere Zulässigkeitsanforderungen<br />
vorzugeben…. Um <strong>für</strong> den Umgang mit personenbezogenen<br />
Daten keine Regelungslücke offen zu lassen, wird in Satz 1 auch<br />
das (sonstige) Nutzen personenbezogener Daten im Sinne jedweder Verwendung<br />
als besondere Phase definiert <strong>und</strong> den übrigen Phasen gleichgestellt.<br />
Auch das B<strong>und</strong>esverfassungsgericht bindet das Recht auf informationelle<br />
Selbstbestimmung nicht an bestimmte Phasen der Datenverarbeitung,<br />
sondern spricht allgemein von der „Verwendung“ personenbezogener<br />
Daten“ (Bü-Drs. 13/3282 zu § 4 Abs. 1). Die Regelung in Abs. 2 S. 1<br />
HmbDSG unterscheidet sich insoweit von der b<strong>und</strong>esgesetzlichen Regelung,<br />
als dass im BDSG die Nutzung als Verwendung außerhalb der Verarbeitung<br />
definiert wird.<br />
Abs. 2 S. 2 Nr. 1 definiert die Datenverarbeitungsphase der Erhebung.<br />
„Das Recht, selbst über die Preisgabe <strong>und</strong> Verwendung persönlicher Daten<br />
bestimmen zu dürfen, ist gerade am Beginn der Datenverarbeitung von<br />
gr<strong>und</strong>legender Bedeutung. Der Begriff umfasst nicht die zufällig erlangten<br />
56
oder aufgedrängten Informationen, <strong>für</strong> die aber Regelungen über die Zweckbindung<br />
gelten sollen (vgl. § 13 Absatz 1 Satz 2)“ (Bü-Drs. 13/3282 zu § 4<br />
Abs. 2). Das Gesetz „geht verfassungskonform in erster Linie vom Beschaffen<br />
personenbezogener Daten beim Betroffenen selbst aus, muss jedoch bei<br />
der Unterschiedlichkeit der Aufgabenstellung auch andere Formen der Informationsbeschaffung<br />
mit einbeziehen. Die der Behörde zugewiesene Tätigkeit<br />
kann es erforderlich machen, Informationen bei anderen Stellen oder<br />
Personen zu beschaffen. Das Erheben umfasst folglich jede Form gezielt betriebener<br />
Gewinnung personenbezogener Daten unter Mitwirkung Betroffener,<br />
anderer öffentlicher Stellen oder privater Dritter sowie durch zweckgerichtete<br />
Beobachtung“ (Bü-Drs. 13/3282 zu § 4 Abs. 2). Der Begriff des<br />
Erhebens setzt also nach allgemeiner Auffassung ein finales, zielgerichtetes<br />
Beschaffen personenbezogener Daten voraus. Unter welchen Voraussetzungen<br />
eine Datenerhebung zulässig ist, wird in § 12 geregelt.<br />
In Abs. 2 S. 2 Nr. 2 <strong>und</strong> 3 werden die Begriffsbestimmungen des Speicherns<br />
<strong>und</strong> des Veränderns aus dem BDSG übernommen (s. Bü-Drs.<br />
9/1112 zu § 4). Der Tatbestand des Speicherns ist erfüllt, wenn von der datenverarbeitenden<br />
Stelle erhobene oder ihr sonst bekannte Informationen,<br />
in welcher Form auch immer, „nachlesbar“ fixiert werden oder wenn von<br />
anderer Seite (z.B. vom Betroffenen oder einem Dritten) übermittelte<br />
Daten, die bereits auf einem Datenträger zur Verfügung gestellt wurden,<br />
nunmehr von der datenverarbeitenden Stelle weiter vorrätig gehalten werden.<br />
Unter den Begriff des Speicherns fällt jedoch nicht die automatisierte<br />
Verarbeitung im Arbeitsspeicher eines Rechners, beispielsweise bei einer<br />
reinen Videobeobachtung, bei der der Bildstrom nicht auf einem Datenträger<br />
festgehalten wird. Das Merkmal des Verfügbar-Haltens ist hierbei nicht<br />
gegeben.<br />
Unter den Begriff des Veränderns fällt jede inhaltliche Umgestaltung von<br />
gespeicherten Daten, durch welche sich der Informationswert ändert. Dies<br />
kann auch durch die Verknüpfung von Daten aus verschiedenen Dateien<br />
geschehen, da die Daten durch die Zusammenfassung ihren bisherigen<br />
Kontext verlieren <strong>und</strong> einen neuen Informationsgehalt bekommen.<br />
In Abs. 2 S. 2 Nr. 4 wird der Begriff der Übermittlung als Bekanntgabe von<br />
Daten an Dritte definiert. Es werden vier Formen der Übermittlung benannt:<br />
1. Weitergabe der Daten, 2. Bereitstellung von Daten zur Einsichtnahme,<br />
3. Veröffentlichung <strong>und</strong> 4. Abruf von Daten in einem automatisierten<br />
Verfahren.<br />
In welcher Form die Weitergabe erfolgt (schriftlich, mündlich, per Fax, per<br />
E-Mail oder durch Weitergabe eines Datenträgers), ist dabei unerheblich.<br />
Nachdem die früher bestehende Beschränkung auf die Bekanntgabe<br />
57
zuvor gespeicherter oder durch Datenverarbeitung gewonnener Daten aufgehoben<br />
wurde, umfasst der Übermittlungsbegriff auch solche Daten, die<br />
noch nicht auf einem Datenträger (vgl. § 4 Abs. 8) erfasst sind, sondern sich<br />
(zunächst) nur „im Kopf“ einer oder eines Bediensteten der datenverarbeitenden<br />
Stelle befinden (siehe dazu Bü-Drs. 15/4411 zu § 4).<br />
Die Bekanntgabe von zur Einsicht bereitgehaltenen Daten betrifft<br />
beispielsweise Planfeststellungsverfahren, in denen der Plan <strong>für</strong> eine<br />
bestimmte Dauer zur Einsicht auszulegen ist (vgl. § 73 Abs. 3 S. 1<br />
HmbVwVfG) <strong>und</strong> in denen die Behörden gem. § 3b HmbVwVfG den Vorschriften<br />
des HmbDSG unterliegen, soweit sie personenbezogene Daten<br />
verarbeiten.<br />
Auch das Veröffentlichen von Daten an einen von vornherein nicht klar<br />
bestimmten Adressatenkreis gehört zum Begriff des Übermittelns. Das<br />
B<strong>und</strong>esverfassungsgericht hat in einem Beschluss vom 24. Juli 1990<br />
(NVwZ 1990, 1162) ausgeführt, die öffentliche Bekanntmachung (eine besondere<br />
Form der Veröffentlichung) personenbezogener Daten stelle die<br />
„intensivste Form einer Übermittlung personenbezogener Daten“ dar <strong>und</strong><br />
sei datenschutzrechtlich eine „Datenübermittlung auf Vorrat“.<br />
Die Übermittlungsform des Abrufs von Daten aus einem automatisierten<br />
Verfahren betrifft den Datenabruf aus einem automatisierten Abrufverfahren<br />
(§ 11) <strong>und</strong> aus gemeinsamen <strong>und</strong> verb<strong>und</strong>enen Dateien (§ 11a).<br />
Während nach früherer Rechtslage bereits das Bereithalten von Daten<br />
zum Abruf als Übermittlung galt, ist nunmehr erst in dem tatsächlichen Datenabruf<br />
eine Übermittlung zu sehen. Da mit Einführung der Regelungen<br />
der §§ 11 <strong>und</strong> 11a besondere Zulässigkeitsvoraussetzungen <strong>für</strong> automatisierte<br />
Abrufverfahren <strong>und</strong> gemeinsame <strong>und</strong> verb<strong>und</strong>ene Dateien geschaffen<br />
wurden, „besteht keine Notwendigkeit mehr, bereits im Bereithalten von<br />
Daten zum Abruf eine Übermittlung zu sehen“ (Bü-Drs. 13/3182 zu § 4<br />
Abs. 2 S. 2 Nr. 4). Siehe in diesem Zusammenhang auch die Vorschrift des<br />
§ 14 Abs. 3 S. 4, der eine den tatsächlichen Verfügungsmöglichkeiten, der<br />
an einem automatisierten Abrufverfahren oder an gemeinsamen <strong>und</strong><br />
verb<strong>und</strong>enen Dateien beteiligten Stellen, entsprechende Regelung der<br />
datenschutzrechtlichen Verantwortung enthält (vgl. Bü-Drs. 13/3182 zu § 4<br />
Abs. 2 S. 2 Nr. 4).<br />
Unter welchen Voraussetzungen eine Datenübermittlung zulässig ist, wird<br />
in den §§ 14 ff. geregelt.<br />
In Abs. 2 S. 2 Nr. 5 „…wird das…Sperren als zusätzliche Datenverarbeitungsphase<br />
definiert; es bedarf nicht der ausdrücklichen Erwähnung im Gesetz,<br />
dass das Löschen als die regelmäßig dem Interesse der Betroffenen<br />
dienende <strong>und</strong> noch stärker wirkende Maßnahme damit nicht ausgeschlos-<br />
58
sen ist“ (Bü-Drs. 13/3282 zu § 4 Abs. 2). Die Sperrung von Daten bedeutet,<br />
dass diese nur noch eingeschränkt verarbeitet <strong>und</strong> genutzt werden dürfen,<br />
wobei diese Beschränkung kenntlich zu machen ist. Wann Sperrverpflichtungen<br />
bestehen <strong>und</strong> welche Verarbeitungs- <strong>und</strong> Nutzungsbeschränkungen<br />
dann bestehen, regelt § 19.<br />
In Abs. 2 S. 2 Nr. 6 wird die Phase des Löschens definiert, welche die Verarbeitung<br />
der Daten beendet. Unter Löschen ist jede Form der endgültigen<br />
Unkenntlichmachung zu verstehen, vom Überschreiben bis hin zur physikalischen<br />
Vernichtung. In jedem Fall müssen die Daten dauerhaft unlesbar<br />
geworden bzw. eine Kenntnisnahme <strong>und</strong> auch eine Wiederherstellbarkeit<br />
ausgeschlossen sein. Beim Löschen von sensiblen oder vertraulichen<br />
Daten auf magnetischen Datenträgern ist daher zu gewährleisten, dass die<br />
Daten sicher, d.h. vollständig <strong>und</strong> unumkehrbar, gelöscht werden. Einfache<br />
Löschbefehle des jeweiligen Betriebssystems oder auch das Formatieren<br />
des Datenträgers reichen hierzu regelmäßig nicht aus, denn dabei werden<br />
nur die Indexeinträge modifiziert. Die Daten selbst bleiben auf dem Datenträger<br />
erhalten <strong>und</strong> können mit frei verfügbaren Softwarewerkzeugen<br />
leicht wiederhergestellt werden. Daten, die sicher gelöscht werden sollen,<br />
müssen durch physikalische Maßnahmen (mechanische oder thermische<br />
Zerstörung, magnetische Durchflutung des Datenträgers) oder durch<br />
mehrmaliges Überschreiben unkenntlich gemacht werden. Das B<strong>und</strong>esamt<br />
<strong>für</strong> Sicherheit in der Informationstechnik hat dazu in den Gr<strong>und</strong>schutzkatalogen<br />
differenzierte Ausführungen gemacht, wie das Löschen umgesetzt<br />
werden kann (vgl. insbesondere https://www.bsi.b<strong>und</strong>.de/DE/Themen/ITGr<strong>und</strong>schutz/ITGr<strong>und</strong>schutzKataloge/Inhalt/content/m/m02/m024<br />
33.html).<br />
Eine Wiederherstellbarkeit von Daten ist auch dann gegeben, wenn neben<br />
dem Produktivdatenbestand nicht auch die Backup-Dateien der Datensicherung<br />
in die Löschung mit einbezogen werden. Wenn die gesetzliche<br />
Verpflichtung besteht, dass zu einem definierten Zeitpunkt die Löschung<br />
erfolgt sein muss, so betrifft diese Löschungsverpflichtung auch die Datensicherung.<br />
So sind etwa die biometrischen Fingerabdruckdaten, die bei der<br />
Antragstellung eines Reisepasses erhoben werden, spätestens mit der<br />
Aushändigung des Reisepasses an den Antragsteller zu vernichten. Zu<br />
diesem Zeitpunkt dürfen diese Daten somit auch nicht mehr in der Datensicherung<br />
gespeichert sein (22. TB. 2008/2009, III 18.1).<br />
In Abs. 2 S. 2 Nr. 7 wird jede Verwendung von Daten als das Nutzen von<br />
Daten definiert <strong>und</strong> den sonstigen Datenverarbeitungsphasen gleichgestellt.<br />
Erfasst wird jeder zweckgerichtete Gebrauch des Datums. Eine Nutzung<br />
kann bspw. im Auswerten von Daten, einer stelleninternen Weitergabe<br />
oder in einer zielgerichteten Kenntnisnahme bestehen.<br />
59
Absatz 3<br />
Mit dem zweiten Gesetz zur Änderung des HmbDSG wurde der frühere Begriff<br />
der „speichernden Stelle“ durch den Begriff der „Daten verarbeitenden<br />
Stelle“ ersetzt, weil es auf das Kriterium der Speicherung <strong>für</strong> die Anwendung<br />
des Gesetzes nicht wesentlich ankommt (vgl. Bü-Drs. 16/3995 zu § 4<br />
Abs. 3). „Der Daten verarbeitenden Stelle entspricht der Begriff des „<strong>für</strong> die<br />
Verarbeitung Verantwortlichen“ im Sinne von Artikel 2 Buchstabe d der EG-<br />
<strong>Datenschutz</strong>richtlinie.“ (Bü-Drs. 16/3995 zu § 4 Abs. 3). Daten verarbeitende<br />
Stelle ist jede der in § 2 Abs. 1 S. 1 genannten Stellen, die gem. § 3<br />
Abs. 2 personenbezogene Daten verarbeitet. Sie ist gr<strong>und</strong>sätzlich Normadressat<br />
dieses Gesetzes. Für den Begriff der Stelle verweist das Gesetz<br />
auf § 2 Abs. 1 S. 1 <strong>und</strong> die dort genannten Stellen. Da im <strong>Datenschutz</strong>recht<br />
der sogenannte „funktionale Behörden- bzw. Stellenbegriff“ gilt, sind in der<br />
Regel nicht die Behörden als Ganzes, sondern ihre organisatorisch unselbstständigen<br />
funktionalen Einheiten, welchen eine spezielle öffentlichrechtliche<br />
Verwaltungstätigkeit (Fachaufgabe) übertragen worden ist, z.B.<br />
Jugend-, Melde-, Ges<strong>und</strong>heits- oder Standesämter, die Ausländerbehörde<br />
als Abteilung des Einwohnerzentralamtes der Behörde <strong>für</strong> Inneres, Daten<br />
verarbeitende Stelle i.S. d. HmbDSG (vgl. zum funktionalen Behördenbegriff<br />
die Erläuterungen zu § 2 Abs. 1). Auch wenn die öffentliche Stelle die<br />
Daten durch andere in ihrem Auftrag verarbeiten lässt, bleibt sie <strong>für</strong> die Einhaltung<br />
der Vorschriften dieses Gesetzes verantwortlich (vgl. § 3 Abs. 1).<br />
„Die Formulierung „allein oder gemeinsam mit anderen“ stellt klar, dass im<br />
Falle verteilter Datenverarbeitung jede beteiligte Stelle als Daten verarbeitende<br />
Stelle gilt. Besondere Vorschriften über die datenschutzrechtliche<br />
Verantwortung, z.B. nach § 11 a Absatz 1 Satz 4, bleiben hiervon allerdings<br />
unberührt.“ (Bü-Drs. 16/3995 zu § 4 Abs. 3).<br />
Absatz 4<br />
Verschiedene Daten verarbeitende Stellen sind im Verhältnis zueinander<br />
Dritte. Einzelne Teile der Daten verarbeitenden Stelle oder andere „Untergliederungen<br />
einer Stelle, die bloße Hilfstätigkeiten <strong>für</strong> die von der Stelle zu<br />
erfüllenden Aufgaben erbringen (z.B. Zentrale Schreibdienste, Hausdruckerei)<br />
sind mangels eigenen Aufgabenbereichs keine „Dritte“.“ (Bü-Drs.<br />
13/3282 zu § 4 Abs. 3).<br />
Da bei einer Auftragsdatenverarbeitung gem. § 4 Abs. 3 <strong>und</strong> § 3 Abs. 1 die<br />
datenschutzrechtliche Verantwortung bei dem Auftraggeber verbleibt <strong>und</strong><br />
er über die Art <strong>und</strong> Weise der Datenverarbeitung bestimmt, sind Auftragnehmer<br />
gr<strong>und</strong>sätzlich nicht als Dritte i.S. d. HmbDSG zu betrachten. Dies<br />
hat zur Folge, dass die Übermittlungsvorschriften hier keine Anwendung<br />
finden. Früher galt dies nur <strong>für</strong> inländische Auftragsdatenverarbeiter. In<br />
60
Umsetzung der EG-<strong>Datenschutz</strong>richtlinie (Art. 2 Buchstabe f), wonach die<br />
Mitgliedsstaaten den freien Verkehr personenbezogener Daten zwischen<br />
den Mitgliedsstaaten nicht unter Berufung auf Gründe des <strong>Datenschutz</strong>es<br />
beschränken oder untersagen dürfen, gilt dies auch <strong>für</strong> Auftragsdatenverarbeiter<br />
in den Mitgliedsstaaten der EU. Ist der Auftragnehmer jedoch<br />
außerhalb des Anwendungsbereiches der EU-Richtlinie tätig, ist er als Dritter<br />
zu behandeln. Das gilt z.B. auch <strong>für</strong> Unternehmen in den USA, die von<br />
dort aus die Fernwartung <strong>für</strong> in hamburgischen öffentlichen Stellen eingesetzte<br />
amerikanische IuK-Anlagen durchführen, vgl. § 3 Abs. 4 Nr. 2.<br />
Der Betroffene selbst ist nicht Dritter im Sinne des HmbDSG. Dies gilt<br />
jedoch nur im Verhältnis zwischen dem Betroffenen <strong>und</strong> der Daten verarbeitenden<br />
Stelle. Es gibt jedoch Konstellationen, in welchen die Daten<br />
einer weiteren Person (mit)verarbeitet werden müssen (z.B. Einkommensverhältnisse<br />
des Ehepartners oder Bürgen in Subventions-, Sozial-, oder<br />
Besteuerungsverfahren). Bei einer Weitergabe dieser Daten ist der Antragsteller<br />
bzw. die weitere Person dann Dritter <strong>und</strong> die Voraussetzungen <strong>für</strong><br />
eine zulässige Datenübermittlung müssen geprüft werden.<br />
Absatz 5<br />
…„definiert den auch von der EG-<strong>Datenschutz</strong>richtlinie verwendeten Begriff<br />
der Empfängerinnen <strong>und</strong> Empfänger. …Zu den Empfängerinnen <strong>und</strong> Empfängern<br />
zählen neben den (dritten) Stellen, denen Daten übermittelt werden…auch<br />
Auftragsdatenverarbeiter sowie innerhalb einer Daten verarbeitenden<br />
Stelle solche Daten empfangenen Untergliederungen, die andere<br />
Aufgaben wahrnehmen als diejenigen Untergliederungen, von denen sie die<br />
Daten erhalten.“ (Bü-Drs. 16/3995 zu § 4 Abs. 5).<br />
Absatz 6<br />
Vor der Neufassung des HmbDSG im Jahr 1990, mit der das Volkzählungsurteil<br />
des BVerfG gesetzlich umgesetzt wurde, kam der Definition des Dateibegriffs<br />
eine wesentlich größere Bedeutung zu, als es heute der Fall ist.<br />
Begründet war dies darin, dass bis dahin die Anwendbarkeit des <strong>Datenschutz</strong>gesetzes<br />
an den Dateibegriff geknüpft <strong>und</strong> nach der damaligen Definition<br />
die aktenmäßige Datenverarbeitung nicht vom Dateibegriff erfasst<br />
war. Die Folge war, dass die aktenmäßige Datenverarbeitung durch öffentliche<br />
Stellen nicht dem HmbDSG unterfiel. Diese Beschränkung wurde jedoch<br />
dem Gr<strong>und</strong>recht auf informationelle Selbstbestimmung, welches im<br />
öffentlichen Bereich <strong>für</strong> jede Form der Datenverarbeitung Geltung hat,<br />
nicht gerecht. Mit der Neufassung im Jahr 1990 wurde daher der Anwendungsbereich<br />
des HmbDSG erweitert <strong>und</strong> <strong>für</strong> jede Form der Datenverarbeitung<br />
eröffnet, also auch <strong>für</strong> die nicht automatisierte Datenverarbeitung<br />
61
in Akten, so dass insoweit die Definition des Dateibegriffs an Bedeutung<br />
verloren hat (vgl. Bü-Drs. 13/3282 zu § 1 <strong>und</strong> § 4 Abs. 5).<br />
Seit der Gesetzesänderung im Jahre 2001 wird der Begriff der Datei im<br />
HmbDSG in Anlehnung an Art. 2 Buchstabe c der EG-<strong>Datenschutz</strong>richtlinie<br />
definiert. Danach ist eine Datei jede strukturierte Sammlung personenbezogener<br />
Daten, die nach bestimmten Kriterien zugänglich ist, so dass<br />
auch strukturierte Akten <strong>und</strong> Aktensammlungen vom Dateibegriff erfasst<br />
werden. Eine strukturierte Aktensammlung liegt vor, wenn z.B. die zu einer<br />
Person geführte Akte in einer Hängeregistratur abgelegt wird, deren Ordnung<br />
an die alphabetische Reihenfolge der Namen anknüpft oder durch<br />
Aktenzeichen nach Aktenplan gekennzeichnet ist. Dadurch, dass Akten<br />
nun vom Dateibegriff umfasst wurden, wurde die bis dato bestehende eigenständige<br />
Legaldefinition des Begriffs der Akte als „jede sonstige amtlichen<br />
<strong>und</strong> dienstlichen Zwecken dienende Unterlage; nicht hierunter fallen<br />
Vorentwürfe <strong>und</strong> Notizen, die nicht Bestandteil eines Vorgangs werden sollen“<br />
<strong>für</strong> verzichtbar erachtet (Bü-Drs. 16/3995 zu § 4 Abs. 6).<br />
Nach wie vor sind jedoch „<strong>für</strong> die aktenmäßige Datenverarbeitung einige<br />
Sonderregelungen unvermeidbar, weil sich nur so sachgerechte <strong>und</strong> überzeugende<br />
Ergebnisse erzielen lassen. Bei konventioneller Verarbeitung personenbezogener<br />
Daten in bzw. aus Akten handelt es sich gegenüber der automatisierten<br />
Datenverarbeitung oft nicht um ausschließlich auf eine bestimmte<br />
Person bezogene Einzelinformationen, sondern um personenbezogene<br />
Angaben, die untrennbar mit anderen Daten verb<strong>und</strong>en sind, so dass<br />
die an sich gebotene beschränkte Übermittlung, die Auskunft oder die Korrektur<br />
bestimmter Daten in der Regel nicht möglich ist, ohne den inneren <strong>und</strong><br />
äußeren Sachzusammenhang der Informationen zu zerstören. Bestimmte<br />
Pflichten datenverarbeitender Stellen können daher nicht mit den gleichen<br />
Methoden verwirklicht werden, wie dies bei der Datenverarbeitung in automatisierten<br />
Verfahren möglich ist.“ (Bü-Drs. 13/3282 zu § 4 Abs. 6). Bei der<br />
Anwendung dieser Sonderregelungen <strong>für</strong> die aktenmäßige Datenverarbeitung<br />
(z.B. § 14 Abs. 2 Übermittlung aus Akten, § 18 Abs. 1 Auskunft aus<br />
Akten, § 19 Abs. 2 u. 3 Sperrung <strong>und</strong> Löschung von Daten) führte die<br />
frühere Legaldefinition des Aktenbegriffs „nicht wesentlich weiter, da es<br />
dort ersichtlich nicht darauf ankommt, dass es sich um eine amtlichen oder<br />
dienstlichen Zwecken dienende Unterlage handelt, was auch von einzelnen<br />
Vorgängen innerhalb einer Akte behauptet werden könnte, sondern auf den<br />
Konvolutcharakter einer Akte im herkömmlichen Sinne, der die Erschließung<br />
einzelner Daten wesentlich erschwert, auf der anderen Seite aber auch die<br />
davon ausgehenden Gefahren <strong>für</strong> das Recht auf informationelle Selbstbestimmung<br />
als weniger gravierend erscheinen lässt, als diejenigen, die von<br />
62
einer ohne weiteres auswertbaren Datei ausgehen.“ (Bü-Drs. 16/3995 zu<br />
§ 4 Abs. 6).<br />
Zu beachten ist, dass die genannten Sonderregelungen (Aktenprivilegien)<br />
<strong>für</strong> die aktenmäßige Bearbeitung zu Zeiten der Papieraktenführung getroffen<br />
wurden <strong>und</strong> sich daher auch nur auf Papierakten beziehen. Für die<br />
immer mehr zunehmende Datenverarbeitung in elektronische Akten sind<br />
die spezialgesetzlichen Vorschriften, welche die elektronische Aktenführung<br />
regeln, zu beachten.<br />
Gemeinsames Merkmal aller Dateien <strong>und</strong> auch der Akten ist, dass sie<br />
Sammlungen von personenbezogenen Daten auf Datenträgern sind.<br />
In § 4 Abs. 6 wird zwischen der automatisierten Datei <strong>und</strong> der nicht-automatisierten<br />
Datei unterschieden. In einer automatisierten Datei werden personenbezogene<br />
Daten durch ein bestimmtes automatisiertes Verfahren verarbeitet.<br />
Ein automatisiertes Verfahren umfasst demzufolge sämtliche Programme<br />
<strong>und</strong> Programmteile, mit denen die Daten verarbeitende Stelle aufgr<strong>und</strong><br />
einer bestimmten Rechtsgr<strong>und</strong>lage <strong>für</strong> einen bestimmten Zweck<br />
personenbezogene Daten verarbeitet. Bei einem automatisierten Verfahren<br />
werden Daten von Systemkomponenten nach vorgegebenen Regeln in<br />
Programmen verarbeitet. Es müssen dabei nicht alle Phasen der Verarbeitung<br />
automatisiert sein. Beispielsweise ist die Speicherung der Daten nicht<br />
zwingend erforderlich. Daher fällt auch die Videobeobachtung unter den<br />
Begriff des automatisierten Verfahrens, auch wenn keine Aufzeichnung erfolgt.<br />
In der Praxis wird häufig die Frage gestellt, ob es sich bei Bürokommunikationsprogrammen,<br />
wie etwa Textverarbeitungs- oder Tabellenkalkulationsprogrammen,<br />
um ein automatisiertes Verfahren i.S. des <strong>Datenschutz</strong>gesetzes<br />
handelt. Ein Bürokommunikationsprogramm <strong>für</strong> sich allein<br />
kann kein automatisiertes Verfahren i.S. d. HmbDSG sein, weil kein Bezug<br />
zur Verarbeitung personenbezogener Daten besteht. Im Gegensatz dazu<br />
sind aber das Bürokommunikationsprogramm <strong>und</strong> damit erstellte Dateien,<br />
mit denen personenbezogene Daten verarbeitet werden (z.B. Excel-Tabelle<br />
mit zu überwachenden Gaststättenbetreibern etc.), automatisierte Verfahren<br />
i.S. d. HmbDSG.<br />
Dem verarbeitungstechnisch geprägten Dateibegriff werden diejenigen<br />
nicht-automatisierten sonstigen strukturierten Datensammlungen gleichgestellt,<br />
die gleichartig aufgebaut sind <strong>und</strong> nach bestimmten Merkmalen<br />
geordnet <strong>und</strong> ausgewertet werden können (nicht-automatisierte Datei) (vgl.<br />
Bü-Drs. 13/3282 zu § 4 Abs. 5). Eine nicht-automatisierte Datensammlung<br />
ist dann gleichartig aufgebaut, wenn sie derart strukturiert ist, dass sie eine<br />
äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in<br />
einer bestimmten räumlichen Verteilung, einer bestimmten physikalischen<br />
63
oder logischen Struktur dargestellt sind. Nach bestimmten Merkmalen zugänglich<br />
ist die Datensammlung, wenn sich die in der Sammlung enthaltenen<br />
Daten nicht nur durch ein Durchsehen der gesamten Sammlung auffinden<br />
lassen, sondern vereinfachte Möglichkeiten der inhaltlichen Erschließung<br />
bestehen, die einen leichten Zugriff auf die Daten ermöglichen,<br />
z.B. eine alphabetische, chronologische Sortierung oder ein der Sammlung<br />
zugeordnetes automatisches Erschließungssystem, das eine programmgesteuerte<br />
Suche mit Hilfe von Identifikations- oder Sachmerkmalen<br />
erlaubt (z.B. Halter des Fahrzeugs mit dem polizeilichen Kennzeichen<br />
XY). Beispiele <strong>für</strong> nicht-automatisierte Dateien sind Krankheits- oder<br />
K<strong>und</strong>enkarteien <strong>und</strong> geordnete Sammlungen ausgefüllter Formulare wie<br />
Anträge oder Erfassungsbögen.<br />
Absatz 7<br />
„Die Bestimmung ermöglicht es, den Gesetzeswortlaut dort kürzer zu fassen,<br />
wo alle in Betracht kommenden Personen, Behörden…oder sonstige<br />
verselbständigte Handlungseinheiten erfasst werden sollen.“ (Bü-Drs.<br />
13/3282 zu § 4 Abs. 7). Beispiele <strong>für</strong> die Verwendung des Begriffs der Stelle<br />
im Sinne der Definition des Abs. 7 finden sich z.B. in § 5 Abs. 3 S. 3, wonach<br />
alle Stellen, denen Daten übermittelt worden sind, zu verständigen sind<br />
<strong>und</strong> in § 28 Abs. 5 S. 2, wo von der „untersuchenden Stelle“ die Rede ist.<br />
Absatz 8<br />
Der Begriff des Datenträgers (z.B. in § 4 Abs. 2 Nr. 2 <strong>und</strong> 6) erfasst jedes<br />
Medium das geeignet ist, personenbezogene Daten aufzunehmen, d.h.,<br />
auf dem Informationen <strong>für</strong> eine spätere Wahrnehmung festgehalten werden<br />
können (vgl. dazu Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 26).<br />
Auf die Art des Datenträgers kommt es also nicht an. Regelmäßig sind dies<br />
schriftliche Unterlagen, Akten, Karteien oder elektronische Datenträger<br />
wie USB-Sticks, Chipkarten, CD, DVD, Festplatten. Als Datenträger z.B.<br />
von genetischen Daten kommt auch Körpergewebe in Betracht. Genetische<br />
Untersuchungen von Gewebe, Blut u.a. unterliegen jedoch bereichsspezifischen<br />
Sonderregelungen (z.B. Gendiagnostikgesetz <strong>und</strong> § 12a<br />
HmbKHG).<br />
Absatz 9<br />
In Abs. 9 ist die Definition des Anonymisierens enthalten, die <strong>für</strong> die §§ 27<br />
<strong>und</strong> 31 „sowie <strong>für</strong> Sonderregelungen in bereichsspezifischen Gesetzen<br />
Bedeutung hat, falls dort nicht eine andere – nach § 2 Absatz 7 vorrangige –<br />
Regelung getroffen wurde. Die Definition stellt klar, dass personenbezogene<br />
Daten nicht nur dann anonymisiert sind, wenn ein Personenbezug über-<br />
64
haupt nicht mehr herstellbar ist, sondern auch dann, wenn die Zuordnung<br />
nur noch mit unverhältnismäßigem Aufwand an Zeit, Kosten <strong>und</strong> Arbeitskraft<br />
möglich wäre (faktische Anonymisierung)“ (Bü-Drs. 15/ 4411 zu § 4 Abs. 9).<br />
Ziel der Anonymisierung ist es, den Gehalt eines Datensatzes zu einer<br />
Person zu erhalten, ohne dass noch eine inhaltliche Aussage über eine<br />
bestimmte Person möglich ist. Solche anonymisierten Daten werden im<br />
Bereich der Statistik <strong>und</strong> Planung <strong>und</strong> der wissenschaftlichen Forschung<br />
verwendet.<br />
Abs. 9 unterscheidet in seiner Definition zwei Arten des Anonymisierens.<br />
Alternative 1 betrifft die absolute Anonymisierung, bei der <strong>für</strong> die verbleibenden<br />
Daten überhaupt kein Personenbezug mehr hergestellt werden<br />
kann. Alternative 2 bezeichnet die sogenannte faktische Anonymisierung,<br />
bei der die Herstellung des Personenbezugs zwar theoretisch, aber nur<br />
noch mit unverhältnismäßigem Aufwand an Zeit, Kosten <strong>und</strong> Arbeitskraft<br />
möglich ist.<br />
Bei der Beantwortung der Frage, ob der zu betreibende Aufwand „unverhältnismäßig<br />
hoch“ wäre <strong>und</strong> deshalb ein Personenbezug praktisch nicht<br />
mehr hergestellt werden kann, sind strenge Maßstäbe anzusetzen. Es handelt<br />
sich dabei immer um eine aus objektiver Sicht zu treffende Einzelfallentscheidung.<br />
Dabei kommt es darauf an, ob Erkenntnisquellen (Zusatzwissen)<br />
zur Verfügung stehen oder stehen könnten, welche eine personenbezogene<br />
Zuordnung ermöglichen würden. Der Streit, ob Zusatzwissen<br />
nur der Daten verarbeitenden Stelle oder auch das Zusatzwissen Dritter<br />
ausreicht, ist durch die EG-<strong>Datenschutz</strong>richtlinie 95/46 (Erwägungsgr<strong>und</strong><br />
26) dahingehend entschieden worden, dass auch Drittwissen ausreicht.<br />
Für die Verfügbarkeit des Zusatzwissens genügt also auch eine theoretische<br />
Möglichkeit. Nicht beachtlich ist, dass diese Möglichkeit nicht in Anspruch<br />
genommen werden soll oder dass der Aufwand einer Zuordnung<br />
nur <strong>für</strong> die betreffende Stelle unverhältnismäßig ist. Wenn auch das Zusatzwissen<br />
nur unter einem unverhältnismäßigen Aufwand an Zeit, Kosten<br />
<strong>und</strong> Arbeitskraft beschafft werden kann, genügt dies <strong>für</strong> eine Anonymisierung.<br />
Die verantwortliche Stelle trägt die Beweislast <strong>für</strong> eine ausreichende<br />
Anonymisierung (vgl. Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3<br />
Rn 46 f.). Eine Anonymisierung kann in sehr unterschiedlicher Weise erfolgen.<br />
Bereits Erhebung <strong>und</strong> Speicherung können anonym erfolgen. Dies<br />
setzt jedoch voraus, dass nicht feststellbar ist (z.B. durch Markierungen der<br />
Belege oder Handschriftenabgleich), wer welche Erhebungsbögen abgegeben<br />
hat. Auch darf nicht nach Angaben gefragt werden, durch die Einzelne<br />
ohne unverhältnismäßig großen Aufwand aus der Gesamtmenge der<br />
Befragten bestimmbar sind.<br />
65
In den empirischen Sozial- <strong>und</strong> Erziehungswissenschaften wird die Bezeichnung<br />
„anonyme Befragung“ häufig bereits dann verwendet, wenn<br />
keine Namen <strong>und</strong> Anschriften erhoben werden oder wenn diese Angaben<br />
nur mit Hilfe einer laufenden Nummer auf dem Erhebungsbogen <strong>und</strong> einer<br />
unter Verschluss gehaltenen (evtl. zur späteren Vernichtung vorgesehenen)<br />
Zuordnungsliste auf bestimmte Personen bezogen werden können.<br />
Dieser Sprachgebrauch entspricht jedoch nicht dem <strong>Datenschutz</strong>gesetz<br />
<strong>und</strong> kann daher eine die Einwilligung unwirksam machende Täuschung<br />
der Betroffenen darstellen. In den meisten Fällen lässt sich bei einer Befragung<br />
schwer vermeiden, dass einzelne Personen aus der Kombination<br />
ihrer Angaben <strong>und</strong> den Umständen der Erhebung bestimmbar sind. Deshalb<br />
ist die nachträgliche Anonymisierung der Regelfall (vgl. Simitis,<br />
BDSG, 7. Aufl., § 3 Rn 201 f.).<br />
In der Praxis werden ganz unterschiedliche Methoden der Anonymisierung<br />
angewendet. Welche Methode zum Erfolg führt, hängt vom Aufbau <strong>und</strong><br />
Inhalt des jeweiligen Datenbestandes ab. Da alle Möglichkeiten, die Bezugspersonen<br />
mit noch verhältnismäßigem Aufwand zu bestimmen, ausgeschlossen<br />
werden müssen, wird häufig eine Kombination mehrerer Methoden<br />
erforderlich sein (vgl. Simitis, BDSG, 7. Aufl., § 3 Rn 205). Unerlässlicher<br />
Bestandteil der Anonymisierung ist in jedem Falle die Löschung der<br />
expliziten bzw. direkten Identifikationsmerkmale wie Namen, Anschriften,<br />
Personenkennzeichen, Kontonummern usw. Dies kann zwar schon im<br />
Interesse der Datensparsamkeit geboten sein, ist aber in der Regel nicht<br />
ausreichend <strong>für</strong> eine Anonymisierung im Sinne des <strong>Datenschutz</strong>rechts.<br />
Ist eine Bestimmung von Bezugspersonen dadurch möglich, dass innerhalb<br />
der Gesamtheit der vom Datenbestand betroffenen Personen (z.B.<br />
Einwohner der Gemeinde A) eine bestimmte Merkmalsausprägung oder<br />
eine bestimmte Kombination von Merkmalsausprägungen nur bei wenigen<br />
oder gar nur einer Person vorliegt (z.B. „Alter 103 Jahre“ oder „6 Kinder“),<br />
so müssen diese Angaben gelöscht <strong>und</strong> durch allgemeiner gehaltene Aussagen<br />
(wie etwa „Alter über 80 Jahre“ oder „3 <strong>und</strong> mehr Kinder“ ersetzt<br />
werden (Merkmalsaggregierung) oder die Bezugsgröße (Kreis, Bezirk,<br />
Land) vergrößert werden. In jedem Fall müssen pro Merkmalsausprägung<br />
mindestens vier Fälle vorliegen, damit ein Personenbezug auch durch<br />
Subtraktion ausgeschlossen ist. Das sehr selektive Geburtsdatum kann<br />
meist ohne wesentlichen Informationsverlust durch das Geburtsjahr ersetzt<br />
werden. Verallgemeinert besteht die Methode der Aggregierung<br />
darin, bei quantitativen Merkmalen (Größe, Einkommen, Alter usw.)<br />
größere Größenklassen zu bilden <strong>und</strong> bei qualitativen Merkmalen die selten<br />
auftretenden Ausprägungen in allgemeinere Ausdrücke mit aufzunehmen<br />
(z.B. „Oberbürgermeister“ zu „leitendes Verwaltungspersonal“).<br />
66
Eine weitere im Bereich der Statistik verwandte Methode, die Bestimmbarkeit<br />
der Bezugspersonen aufzuheben, besteht darin, in kontrollierter Weise<br />
Fehler in den Datenbestand einzubauen (vgl. zum Ganzen Simitis, BDSG,<br />
7. Aufl., § 3 Rn 206 ff.).<br />
Insbesondere bei komplexeren Datensätzen lässt sich zumeist keine absolute,<br />
sondern nur eine faktische Anonymisierung erreichen. Wenn Daten<br />
nicht absolut anonym sind, sondern nur im Hinblick auf den unverhältnismäßigen<br />
Aufwand einer Personenbestimmung, so ist zu bedenken, dass<br />
sich dieser Aufwand im Zeitverlauf verändern kann, z.B. durch nun (leichter)<br />
verfügbares Zusatzwissen, nachträgliche Veröffentlichungen von<br />
Daten, welche eine Zuordnung ermöglichen, oder neue automatisierte<br />
Datenverarbeitungsverfahren. Ein Beispiel ist die Anonymität von DNA-Sequenzen:<br />
Je verbreiteter genetische Untersuchungen nicht nur in der<br />
Forschung, sondern auch in der (personenbezogenen) Diagnostik werden,<br />
desto größer das Risiko, dass DNA-Vergleiche z.B. in forschenden Universitätskliniken<br />
zu einer Identifizierbarkeit der Person führen, von der die<br />
Probe stammt.<br />
Nur faktisch anonymisierte Daten sind daher zwar aktuell nicht personenbezogen,<br />
aber doch potentiell personenbezogen (vgl. Simitis, BDSG,<br />
7. Aufl., § 3 Rn 36). Der Begriff des Anonymisierens schließt somit ein<br />
gewisses Restrisiko der Reidentifizierung ein (vgl. Däubler/Klebe/Wedde/<br />
Weichert, BDSG, 3. Aufl., § 3 Rn 50).<br />
Diesem Risiko der Reidentifizierung muss durch geeignete technische <strong>und</strong><br />
organisatorische Maßnahmen Rechnung getragen werden. So müssen<br />
Schutzmaßnahmen gegen unbefugten Zugang <strong>und</strong> zur Sicherung der<br />
Integrität ergriffen werden. Getroffene technische <strong>und</strong> organisatorische<br />
Maßnahmen müssen regelmäßig auf ihre anhaltende Wirksamkeit geprüft<br />
werden <strong>und</strong> bei der Übermittlung oder Veröffentlichung anonymisierter Datenbestände<br />
muss berücksichtigt werden, dass solche Datenbestände,<br />
auch wenn sie <strong>für</strong> sich genommen anonym sind, im Verhältnis zu anderen,<br />
ähnlich hergestellten Datenbeständen gerade das Zusatzwissen enthalten<br />
können, das eine Identifizierung von Bezugspersonen mit geringerem Aufwand<br />
ermöglichen kann. Die <strong>für</strong> eine statistische Datenbank oder ein sozialwissenschaftliches<br />
Archiv verantwortliche Stelle muss daher den Umlauf<br />
von Versionen, die im Zusammenspiel eine Bestimmbarkeit der Betroffenen<br />
mit verhältnismäßigem Aufwand ermöglichen könnten, genau kontrollieren,<br />
z.B. indem solche Datenbestände nur <strong>für</strong> begrenzte Zeit zur<br />
Verfügung gestellt werden (vgl. zum Ganzen Simitis, BDSG, 7. Aufl.; § 3 Rn<br />
36 <strong>und</strong> 211). Nicht mehr erforderliche anonymiserte Daten sollten daher<br />
gelöscht werden, um jedwede Reidentifizierungsgefahr auszuschließen.<br />
67
In § 43 Abs. 2 BDSG, §§ 21, 22 B<strong>und</strong>esstatistikgesetz (BStatG) <strong>und</strong> § 9<br />
<strong><strong>Hamburgische</strong>s</strong> Statistikgesetz (HmbStatG) sind strafbewehrte Reidentifizierungsverbote<br />
normiert.<br />
Absatz 10<br />
Pseudonymisieren ist das Verändern identifizierbarer, direkt personenbezogener<br />
Daten durch Verwendung einer Zuordnungsregel derart, dass die<br />
Einzelangaben – mit einem verhältnismäßigen Aufwand – nur in Kenntnis<br />
dieser Regel einer bestimmten oder bestimmbaren natürlichen Person zugeordnet<br />
werden kann. An die Stelle identifizierbarer Daten tritt ein Pseudonym,<br />
welches es ermöglicht, personenbezogene Daten ohne Kenntnis<br />
der Identität des Betroffenen zu nutzen.<br />
Die Grenze zwischen Anonymisieren <strong>und</strong> Pseudonymisieren ist fließend.<br />
Während das Anonymisieren von Daten darauf abzielt, deren Zuordnung<br />
zu einer Person dauerhaft gegenüber jedem auszuschließen, existiert<br />
beim Pseudonymisieren eine Zuordnungsregel, die es dem Kenner dieser<br />
Regel ermöglicht, den Personenbezug wieder herzustellen. Dabei ist zu<br />
beachten, dass das Erschweren der Identifizierung durch Pseudonym bei<br />
Fehlen der Zuordnungsfunktion zur Anonymisierung führen muss. Entscheidend<br />
ist, dass durch die Verwendung eines sicheren Pseudonyms unbefugte<br />
Dritte keine Möglichkeit der Identifizierung bekommen. Leicht<br />
identifizierbare Chiffren (z.B. Initialen, Namensbestandteile verb<strong>und</strong>en mit<br />
Geburtsdatum) genügen daher <strong>für</strong> eine wirksame Pseudonymisierung<br />
nicht (vgl. Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3 Rn 52).<br />
Hiergegen verstießen in der Vergangenheit immer wieder Sponsoren von<br />
klinischen Arzneimittelstudien, die den Prüfärzten vorgaben, Probandendaten<br />
<strong>für</strong> den Sponsor / Arzneimittelhersteller nur mit den Initialen <strong>und</strong> /<br />
oder dem Geburtsdatum zu codieren, anstatt sie nach § 40 Abs. 2a Nr. 1b<br />
Arzneimittelgesetz (sicher) zu pseudonymisieren.<br />
Pseudonyme können unterschiedlich gestaltet werden. Hinsichtlich der<br />
verschiedenen Arten <strong>und</strong> Verfahren der Pseudonymisierung (vgl. dazu<br />
Hinweise des AK „Technische <strong>und</strong> organisatorische <strong>Datenschutz</strong>fragen“ in<br />
BfD, 17. TB, S. 601; Orientierungshilfe: Pseudonymisierung in der medizinischen<br />
Forschung http://www.datenschutz-bayern.de/technik/orient/<br />
ohilfe_psn_03.html) kann unterschieden werden, ob der Personenbezug<br />
nur vom Betroffenen (selbstgenerierte Pseudonyme), nur über eine Referenzliste<br />
(Referenz-Pseudonyme) oder nur unter Verwendung einer sog.<br />
Einweg-Funktion mit geheimen Parametern (Einweg-Pseudonyme) wieder<br />
hergestellt werden kann (Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 47).<br />
Selbst generierte Pseudonyme werden ausschließlich vom Betroffenen<br />
vergeben <strong>und</strong> dürfen nicht gleichzeitig mit dessen Identitätsdaten verwen-<br />
68
det oder gespeichert werden, damit gewährleistet ist, dass die unter<br />
Pseudonym gespeicherten Daten nur durch den Betroffenen selbst diesem<br />
wieder zugeordnet werden können.<br />
Referenz- <strong>und</strong> Einweg-Pseudonyme werden durch die Daten verarbeitende<br />
Stelle oder einen vertrauenswürdigen Dritten (z.B. Datentreuhänder<br />
in der wissenschaftlichen Forschung) vergeben. Bei Referenz-Pseudonymen<br />
kann die Zuordnung zu dem Träger des Pseudonyms über entsprechende<br />
Referenzlisten erfolgen. Ohne Verwendung entsprechender Listen<br />
ist die Identität des Betroffenen dann nicht zu ermitteln. Einweg-Pseudonyme<br />
zeichnen sich dadurch aus, dass sie – möglichst mittels mathematischer<br />
Algorithmen, „notfalls“ auch manuell – aus personenbezogenen<br />
Identitätsdaten gebildet werden. Einweg-Verschlüsselungen erfolgen z.B.<br />
bei medizinischen Verlaufs- oder Längsschnitt-Studien, bei denen spätere<br />
Bef<strong>und</strong>e den früheren zugeordnet werden müssen, ohne dass <strong>für</strong> die Forscher<br />
die Identität der betroffenen Personen offenbart wird. Zu verschiedenen<br />
Zeitpunkten leiten die behandelnden Ärzte vor Ort von den feststehenden<br />
Identitätsdaten (Namensbestandteilen, Geburtsdaten) nach derselben<br />
Regel immer dasselbe Pseudonym ab, das „rückwärts“ aber nicht entschlüsselt<br />
werden kann. Wenn jedoch eine bekannte Gr<strong>und</strong>gesamtheit gegeben<br />
ist <strong>und</strong> ein (manuelles) Standardverfahren zur Pseudonymisierung<br />
genutzt wird, kann eine nachträgliche Zuordnung leicht vorgenommen<br />
werden. Ein pseudonymisierter Datenbestand kann daraufhin untersucht<br />
werden, ob die Daten einer bestimmten Person dort enthalten sind, indem<br />
deren Identitätsdaten mit dem genutzten Pseudonymisierungs-Algorithmus<br />
verarbeitet werden, um daraus den Suchbegriff zu generieren. Um<br />
dies zu verhindern, kann ein Pseudonym aus bekannten Identifizierungsmerkmalen<br />
<strong>und</strong> zusätzlich einer geheimen Zufallszahl gebildet werden.<br />
Aufgr<strong>und</strong> der Tatsache, dass bei pseudonymisierten Daten eine Zuordnungsregel<br />
existiert, über welche das Pseudonym einer Person zugeordnet<br />
<strong>und</strong> somit der Personenbezug hergestellt werden kann, stellen pseudonymisierte<br />
Daten personenbezogene bzw. personenbeziehbare Daten<br />
i.S. des § 4 Abs. 1 dar. Sie unterfallen damit den Vorschriften dieses Gesetzes.<br />
Daher benötigen sowohl die übermittelnde Stelle als auch die Empfänger<br />
von pseudonymisierten Daten <strong>für</strong> die Verarbeitung dieser Daten eine<br />
Rechtsgr<strong>und</strong>lage oder die Einwilligung der Betroffenen.<br />
Zu § 5 Zulässigkeit der Datenverarbeitung<br />
Die Vorschrift vereinigt mehrere Prinzipien, die bei der Datenverarbeitung<br />
personenbezogener Daten einzuhalten sind:<br />
69
– das Verbot mit Erlaubnisvorbehalt (Abs. 1, S. 1)<br />
– den erhöhten Schutzbedarf besonders sensibler Datenarten (Abs. 1, S. 2)<br />
– die Freiwilligkeit, „Informiertheit“ <strong>und</strong> Widerruflichkeit einer Einwilligung<br />
(Abs. 2)<br />
– die Berücksichtigung besonderer persönlicher Einwände (Abs. 3)<br />
– Datenvermeidung <strong>und</strong> Datensparsamkeit (Abs. 4).<br />
Absatz 1, Satz 1<br />
Jede Verarbeitung personenbezogener Daten durch eine öffentliche Stelle<br />
greift mehr oder weniger stark in Gr<strong>und</strong>rechte der Person ein, über die die<br />
Daten Informationen offenbaren (Betroffene, § 4 Abs. 1). Im Volkszählungsurteil<br />
von 1983 hat das B<strong>und</strong>esverfassungsgericht aus Art. 1 Abs. 1 Gr<strong>und</strong>gesetz<br />
(Menschenwürde) <strong>und</strong> Art. 2 Abs. 1 GG (Persönlichkeitsrecht) ein<br />
„Gr<strong>und</strong>recht auf informationelle Selbstbestimmung“ abgeleitet – „die Befugnis<br />
des Einzelnen, gr<strong>und</strong>sätzlich selbst über Preisgabe <strong>und</strong> Verwendung<br />
seiner persönlichen Daten zu bestimmen.“ (BVerfGE 65, 1 ff.).<br />
Dieses Gr<strong>und</strong>recht gilt jedoch nicht unbegrenzt, es wird nach Art. 2 Abs. 1<br />
GG vielmehr durch die „Rechte anderer“ eingeschränkt. Damit sind normenklare,<br />
verhältnismäßige gesetzliche oder auf einem Gesetz beruhende<br />
Rechtsverordnungen im Allgemeininteresse gemeint, die ausdrücklich die<br />
Verarbeitung personenbezogener Daten zum Gegenstand haben.<br />
Die Einwilligung durch die betroffene Person ist unmittelbare Wahrnehmung<br />
der informationellen Selbstbestimmung, also Gr<strong>und</strong>rechtsausübung,<br />
<strong>und</strong> kann damit – allerdings in Grenzen, siehe unten Abs. 2 –<br />
gr<strong>und</strong>sätzlich ebenfalls eine Verarbeitung von Daten der einwilligenden<br />
Person durch öffentliche Stellen rechtfertigen.<br />
Absatz 1, Satz 2<br />
„Die neu angefügten Sätze 2 <strong>und</strong> 3 setzen die Bestimmungen des Artikels 8<br />
der EG-<strong>Datenschutz</strong>richtlinie über die Verarbeitung besonderer Kategorien<br />
personenbezogener Daten (sogenannte sensitive Daten) um. … Aufgr<strong>und</strong><br />
der Richtlinie war die Vorschrift ungeachtet möglicher Probleme, die ihre Anwendung<br />
nach sich ziehen kann, zwingend in das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz<br />
aufzunehmen. Mit Schwierigkeiten ist insbesondere in Fällen<br />
zu rechnen, in denen Betroffene selbst der Verwaltung Daten der genannten<br />
Art offenbaren, ohne dass eine besondere Rechtsvorschrift die Datenverarbeitung<br />
zulässt. Zu denken ist etwa an Eingaben, in denen Petenten ihre<br />
politischen Anschauungen oder ges<strong>und</strong>heitlichen Verhältnisse k<strong>und</strong>tun“<br />
(Bü-Drs. 16/3995 zu Nr. 6 (§ 5) Abs. 1).<br />
70
Nr. 1 (besondere Rechtsvorschrift) verweist z.B. auf Regelungen zur Kirchensteuererhebung,<br />
auf das Gesetz <strong>für</strong> Hilfen <strong>und</strong> Schutzmaßnahmen<br />
bei psychischen Krankheiten oder das <strong>Hamburgische</strong> Krankenhausgesetz.<br />
„Weltanschauliche Überzeugungen“ können auch zulässiger Gegenstand<br />
der Datenverarbeitung nach dem <strong>Hamburgische</strong>n Verfassungsschutzgesetz<br />
sein.<br />
Nr. 2 fordert bei einer Einwilligung in die Verarbeitung sensitiver Daten,<br />
dass sie ausdrücklich, d.h. im Hinblick auf die besondere Schutzbedürftigkeit,<br />
erklärt wurde.<br />
Auch die weiteren Nummern des S. 2 beruhen auf Einzelbestimmungen<br />
von Art. 8 Abs. 2–4 der EU-<strong>Datenschutz</strong>richtlinie, die zu übernehmen<br />
waren.<br />
Absatz 1, Satz 3<br />
„Der neu eingeführte Satz 3 schließt anknüpfend an den beschränkten Geltungsbereich<br />
der EG-<strong>Datenschutz</strong>richtlinie (Art. 3) die Datenverarbeitung<br />
zur Wahrnehmung von Gefahrenabwehr- <strong>und</strong> Strafverfolgungsaufgaben<br />
sowie die nicht–automatisierte Verarbeitung außerhalb von Dateien von der<br />
Anwendung des Satzes 2 aus. Damit bleibt es insbesondere auch in den eingangs<br />
genannten Fällen möglich, sensitive Daten in nicht weiter strukturierten<br />
Vorgangsakten zu führen, so dass den Anforderungen einer ordnungsgemäßen<br />
Verwaltung in jedem Fall genügt werden kann… …Aufgr<strong>und</strong> der<br />
Nichtgeltung des Satzes 2 (bleibt es) bei den allgemeinen Voraussetzungen<br />
<strong>für</strong> die Zulässigkeit der Datenverarbeitung nach § 5 Absatz 1 Satz 1. Auch<br />
die schon bisher aus gr<strong>und</strong>rechtlichen Erwägungen herzuleitende Forderung,<br />
dass bestimmte Datenverarbeitungen aufgr<strong>und</strong> ihrer Sensitivität in<br />
jedem Falle einer bereichsspezifischen Gr<strong>und</strong>lage bedürfen, bleibt unberührt“<br />
(Bü-Drs. 16/3995 zu Nr. 6 (§ 5) Abs. 1, am Ende).<br />
Absatz 1, Satz 4<br />
S. 4 ergänzt S. 2 Nr. 6 (Abwehr von Gemeinwohlnachteilen) durch eine obligatorische<br />
Anhörung des bzw. der behördlichen <strong>Datenschutz</strong>beauftragten<br />
oder der bzw. des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit. Angesichts der sehr allgemein formulierten Tatbestandsmerkmale<br />
bildet diese Anhörung eine notwendige zusätzliche<br />
Sicherungsvorkehrung <strong>für</strong> die Betroffenen.<br />
Absatz 2<br />
In Umsetzung der Europäischen <strong>Datenschutz</strong>richtlinie von 1995 sieht die<br />
Vorschrift vor, dass Behörden <strong>und</strong> andere öffentliche Stellen – ebenso wie<br />
71
nicht-öffentliche Stellen – personenbezogene Daten aufgr<strong>und</strong> einer Einwilligung<br />
der betroffenen Person verarbeiten dürfen. Auch wenn in Abs. 2<br />
strenge Anforderungen an eine gültige Einwilligung gestellt werden, ist<br />
vorab zu klären, ob die beabsichtigte Datenverarbeitung überhaupt zum<br />
übertragenen Aufgabenbereich oder zumindest zur Annex-Kompetenz der<br />
öffentlichen Stelle gehört. Denn anders als nicht-öffentliche Stellen genießt<br />
der Staat gr<strong>und</strong>sätzlich keine Vertrags- oder allgemeine Handlungsfreiheit;<br />
vielmehr ist er umgekehrt an die Gr<strong>und</strong>rechte der Bürgerinnen <strong>und</strong> Bürger<br />
<strong>und</strong> an eine verfassungsrechtlich vorgegebene Zuständigkeitsstruktur geb<strong>und</strong>en.<br />
Staatliche Stellen der Eingriffs- <strong>und</strong> Leistungsverwaltung handeln<br />
aufgr<strong>und</strong> gesetzlicher Aufgabenübertragungen <strong>und</strong> Ermächtigungen, die<br />
ihren Aktionsradius festlegen <strong>und</strong> rechtsstaatlich begrenzen. Diese demokratische<br />
Legitimationsbasis können öffentliche Stellen gr<strong>und</strong>sätzlich<br />
nicht durch das Einholen von Einwilligungen ausdehnen. Gesetzlich gewollte<br />
Legitimationslücken dürfen nicht durch Einwilligungen überbrückt<br />
werden. So hat z.B. das B<strong>und</strong>essozialgericht entschieden, dass gesetzliche<br />
Krankenkassen von den Krankenhäusern nur die im Sozialgesetzbuch<br />
festgelegten Daten erheben dürfen <strong>und</strong> weitere Daten auch nicht<br />
durch eine Einwilligung der Versicherten erlangen können.<br />
Einwilligungen im öffentlichen Bereich kommen deswegen nur dann in Betracht,<br />
wenn eine öffentliche Stelle wie eine private Stelle auftritt oder<br />
zulässigerweise im Rahmen einer Annex-Kompetenz zum eigentlichen<br />
Aufgabenbereich agiert. Für die erste Möglichkeit mag das fiskalische<br />
Handeln der Liegenschaftsverwaltung als Beispiel gelten, <strong>für</strong> die zweite<br />
die Durchführung von Zufriedenheits- oder Statistik-Umfragen unter den<br />
betroffenen Verwaltungs-„K<strong>und</strong>en“. Entscheidend ist, dass die um die Einwilligung<br />
gebetene Person vollständig frei ist, die Einwilligung zu erteilen<br />
oder abzulehnen, ohne dass die Entscheidung irgendwelche Konsequenzen<br />
<strong>für</strong> das Verhältnis des Bürgers zur öffentlichen Stelle hat (vgl. 21. TB<br />
2006/2007, 1.).<br />
Ist in diesem verfassungsrechtlich vorgegebenen Rahmen eine Einwilligung<br />
gr<strong>und</strong>sätzlich zulässig, bestimmt Abs. 2 folgende Bedingungen <strong>für</strong><br />
die Wirksamkeit: Die Erklärung muss deutlich erkennbar sein <strong>und</strong><br />
gr<strong>und</strong>sätzlich unterschrieben werden. Geht es um eine Einwilligung im<br />
Rahmen von staatlichen Telemediendiensten, ist <strong>für</strong> die Form <strong>und</strong> Bedingungen<br />
der Einwilligung die Spezialnorm des § 13 Abs. 2 Telemediengesetz<br />
zu berücksichtigen.<br />
Vor einer schriftlichen Einwilligung nach Abs. 2 muss die notwendige Aufklärung<br />
über Gegenstand, Inhalt, Umfang, Zweck <strong>und</strong> Dauer der Datenverarbeitung,<br />
die Art der verarbeiteten Daten, mögliche Übermittlungsempfänger,<br />
die Folgen einer Ablehnung <strong>und</strong> das Widerrufsrecht der betroffenen<br />
72
Person informieren. S. 4 betont die notwendige Freiwilligkeit der Einwilligungserklärung<br />
durch die beispielhafte Angabe unzulässiger Beeinflussungen.<br />
Nach Abs. 2, S. 1 kann bei der Einwilligung von der Schriftform abgesehen<br />
werden, wenn dies wegen „besonderer Umstände“ angemessen erscheint.<br />
Besondere Umstände können z.B. darin liegen, dass bei der Einwilligung<br />
zur Teilnahme an einem Forschungsprojekt (z.B. zu Migranten-<br />
Verhalten) eine einseitige Probandenauswahl vermieden werden muss<br />
<strong>und</strong> dies nur über eine mündliche Einwilligung erreicht werden kann, vgl.<br />
<strong>für</strong> den nicht-öffentlichen Bereich § 4a Abs. 2 B<strong>und</strong>esdatenschutzgesetz.<br />
Unter „besonderen Umständen“ kann sogar eine konkludente Einwilligung<br />
in Betracht kommen – etwa, wenn der Zugang von internationalen Menschenrechts-Kontrollgremien<br />
zu Gefangenenakten nicht aufgr<strong>und</strong> einer<br />
(zu späten) individuellen Einwilligung, sondern aufgr<strong>und</strong> einer allgemeinen<br />
vorherigen Ankündigung mit ausdrücklichem Widerspruchsrecht zugelassen<br />
wird <strong>und</strong> die Gefangenen in Kenntnis der Ankündigung auf einen<br />
Widerspruch verzichten (23. TB 2010/2011, III 6.2).<br />
Absatz 3<br />
„Der neu gefasste Absatz setzt Artikel 14 Buchstabe a der EG-<strong>Datenschutz</strong>richtlinie<br />
über den ‚Widerspruch der betroffenen Person‘ um … … Der Einwand<br />
richtet sich nicht wie der (verwaltungsprozessuale) Widerspruch<br />
gegen rechtswidriges oder unzweckmäßiges Verwaltungshandeln, sondern<br />
gibt den Betroffenen Gelegenheit, besondere persönliche Gründe geltend<br />
zu machen, die gegen die an sich recht- <strong>und</strong> zweckmäßige Verarbeitung<br />
ihrer Daten oder eine bestimmte Art <strong>und</strong> Weise der Verarbeitung sprechen<br />
mögen“ (Bü-Drs. 16/3995 zu Nr. 6 (§ 5,) Abs. 3).<br />
Die Regelung gilt in erster Linie <strong>für</strong> die auf gesetzlichen Vorschriften beruhenden<br />
Verarbeitungsfälle. Bei einer auf Einwilligung beruhenden Datenverarbeitung<br />
ist es der betroffenen Person zuzumuten, gleich die Einwilligung<br />
abzulehnen <strong>und</strong> nicht erst zuzustimmen <strong>und</strong> dann prüfungsbedürftige<br />
Einwände zu erheben. Ergeben sich – z.B. in langfristigen Rechtsverhältnissen<br />
aufgr<strong>und</strong> einer Einwilligung – erst später besondere<br />
persönliche Verarbeitungshindernisse, kann die betroffene Person die Einwilligung<br />
widerrufen, siehe oben zu Abs. 2. Ist die öffentliche Stelle zur Verarbeitung<br />
der Daten spezialgesetzlich verpflichtet, hat sie keinen Spielraum<br />
<strong>für</strong> Betroffenen-Einwände. Für beide Fälle schließt S. 2 deswegen<br />
das Einwendungsrecht des S. 1 aus.<br />
Besteht das Einwendungsrecht, „ist die Daten verarbeitende Stelle gehalten<br />
zu prüfen, ob die geltend gemachten Gründe dem öffentlichen Interesse an<br />
73
der Verarbeitung vorgehen. Fällt die Abwägung zugunsten der vorgebrachten<br />
persönlichen Gründe aus, so ist die weitere Datenverarbeitung unzulässig.<br />
Möglich ist auch ein Teilerfolg in dem Sinne, dass nur eine bestimmte<br />
Modalität oder Phase der Datenverarbeitung unzulässig wird. Insgesamt<br />
werden die Anwendungsfälle der Vorschrift voraussichtlich gering bleiben“<br />
(Bü-Drs. 16/3995 a.a.O.). Hat der Einwand Erfolg, muss die Daten verarbeitende<br />
Stelle mögliche Datenempfänger davon unterrichten, wenn dies<br />
keinen unverhältnismäßigen Aufwand erfordert <strong>und</strong> das schutzwürdige<br />
Interesse der Betroffenen die Unterrichtung nicht erfordert.<br />
Absatz 4<br />
Zum Gr<strong>und</strong>satz der Datenvermeidung <strong>und</strong> Datensparsamkeit hat schon<br />
das B<strong>und</strong>esverfassungsgericht im Volkszählungsurteil festgestellt, dass<br />
bereits bei der Datenerhebung zu prüfen ist, „ob das Ziel der Erhebung<br />
nicht auch durch eine anonymisierte Ermittlung erreicht werden kann“, <strong>und</strong><br />
dass „das Gebot einer möglichst frühzeitigen (faktischen) Anonymisierung,<br />
verb<strong>und</strong>en mit Vorkehrungen gegen eine Deanonymisierung“ zu beachten<br />
ist (BVerfGE 65,1, 48 f.).<br />
Die Norm betont einerseits das im Gesetz vielfach ausgedrückte Erforderlichkeitsprinzip:<br />
Es dürfen nur die personenbezogenen Daten verarbeitet<br />
werden, die <strong>für</strong> die gesetzliche Aufgabenerfüllung erforderlich sind.<br />
Zum anderen verpflichtet Abs. 4 zur Prüfung, ob das Verarbeitungsziel<br />
nicht auch ganz ohne personenbezogene Daten, nämlich anonym – etwa<br />
durch Barzahlung –, mit anonymisierten Daten, oder aber mit pseudonymen<br />
Daten erreicht werden kann. Damit verweist Abs. 4 auf § 4 Abs. 9 <strong>und</strong><br />
10. Pseudonyme Daten sind zwar auch personenbeziehbar <strong>und</strong> unterfallen<br />
damit dem <strong>Datenschutz</strong>recht; sie können aber nur durch wenige Berechtigte,<br />
die den Schlüssel bzw. die „Zuordnungsregel“ kennen, auf bestimmte<br />
Personen bezogen werden. Ebenso wie in § 8 bildet ein unangemessener<br />
Aufwand im Verhältnis zur Schutzwürdigkeit der Daten eine Grenze <strong>für</strong><br />
Maßnahmen der Anonymisierung oder Pseudonymisierung.<br />
Zu § 5a Automatisierte Einzelentscheidungen<br />
Mit dieser Vorschrift wurde die EU-<strong>Datenschutz</strong>richtlinie (Richtlinie<br />
95/46/EG) im hamburgischen Landesrecht umgesetzt. Sie regelt die Befugnis,<br />
Rechtsfolgen an eine bestimmte Art der Datenverarbeitung (Datennutzung)<br />
zu knüpfen. Die Vorschrift soll ein rechtstaatliches, transparentes<br />
Entscheidungsverfahren sichern.<br />
74
Machen Betroffene im Falle von automatisierten Einzelentscheidungen<br />
von ihrem Auskunftsrecht nach § 18 Gebrauch, ist der logische Aufbau der<br />
automatisierten Verarbeitung der Daten der Betroffenen mitzuteilen (siehe<br />
§ 18 Abs. 1 S. 1 Nr. 5).<br />
Absatz 1<br />
„Die Vorschrift beruht auf dem Gr<strong>und</strong>gedanken, dass Entscheidungen, die<br />
auf einer Bewertung der Persönlichkeit der Betroffenen beruhen <strong>und</strong> damit<br />
ihr Persönlichkeitsrecht im Kern berühren, nicht allein einem technischen<br />
System überlassen werden sollen, sondern letztlich von einem Menschen<br />
verantwortet werden müssen“ (Bü-Drs. 16/3995 zu § 5a).<br />
Mit „Entscheidungen“ sind vor allem solche gemeint, die die Betroffenen<br />
beschweren (zu begünstigenden Entscheidungen siehe Abs. 2 Nr. 2). Bewertungen<br />
einer Person müssen, wenn Rechtsfolgen oder Belastungen<br />
damit verb<strong>und</strong>en sind, immer auf ausreichender Tatsachengr<strong>und</strong>lage von<br />
einem Menschen (z.B. Behördenmitarbeiter) getroffen oder zumindest von<br />
einer natürlichen Person inhaltlich überprüft – <strong>und</strong> verantwortet – werden.<br />
Persönlichkeitswertungen aufgr<strong>und</strong> einzelner Profildaten dürfen also nicht<br />
von einer Maschine „technisch errechnet“ (kombiniert) werden, sondern<br />
müssen auf menschlicher Logik unter Berücksichtigung der Individualität<br />
der Betroffenen beruhen. Relevant kann dies z.B. bei (gewerbe- oder waffenrechtlichen)<br />
Zuverlässigkeitsbeurteilungen oder in Bewerberauswahlverfahren<br />
(Leistungsfähigkeit, Teamfähigkeit) werden. „Nicht ausschließlich“<br />
bedeutet, dass es zulässig ist, zunächst einen maschinellen Entscheidungsvorschlag<br />
zu erzeugen, der dann aber von einer natürlichen Person<br />
inhaltlich geprüft werden muss (vgl. Simitis, BDSG, 7. Aufl., § 6a Rn 16).<br />
Absatz 2<br />
„Absatz 2 macht von den Ausnahmemöglichkeiten des Artikels 15 Absatz 2<br />
der EG-<strong>Datenschutz</strong>richtlinie Gebrauch. Nummer 1 enthält lediglich einen<br />
klarstellenden deklaratorischen Verweis auf die Möglichkeit abweichender<br />
bereichsspezifischer Vorschriften. Nummern 2 <strong>und</strong> 3 greifen die Ausnahmemöglichkeiten<br />
des Artikels 15 Absatz 2 Buchstabe a der EG-<strong>Datenschutz</strong>richtlinie<br />
auf. Die erneute Prüfung unter Berücksichtigung der<br />
Stellungnahme der oder des Betroffenen (Nummer 3, 3. Halbsatz) darf nicht<br />
ausschließlich automatisiert erfolgen“ (Bü-Drs. 16/3995 zu § 5a).<br />
Zumindest müssen Betroffene die Möglichkeit haben, die der maschinellen<br />
Entscheidung zugr<strong>und</strong>e liegenden Profile <strong>und</strong> Bewertungsmaßstäbe zu<br />
erfahren <strong>und</strong> ihre Belange rechtzeitig einzubringen.<br />
75
Zu § 5b Mobile Datenverarbeitungsmedien<br />
In Anlehnung an § 3 Abs. 10 B<strong>und</strong>esdatenschutzgesetz sind Datenträger<br />
dann mobile Datenverarbeitungsmedien, wenn die ausgebende oder eine<br />
andere Stelle auf diesen Datenträgern Daten über die Speicherung hinaus<br />
automatisiert verarbeiten kann. Die Verarbeitung kann dabei durch den Betroffenen<br />
nicht wie etwa bei einem tragbaren Computer gesteuert werden.<br />
Zu mobilen Datenverarbeitungsmedien zählen u.a. Prozessor-Chipkarten,<br />
wie z.B. die elektronische Ges<strong>und</strong>heitskarte, Geldkarten, SIM-Karten <strong>für</strong><br />
Mobiltelefone oder auch RFID (Radio Frequency Identification)-Tags<br />
(Transponder) in Kombination mit Prozessor-Chip in RFID-Systemen.<br />
§ 5b „regelt Pflichten, die die ausgebenden Stellen im Zusammenhang mit<br />
der Herausgabe von Chipkarten <strong>und</strong> vergleichbaren mobilen Datenverarbeitungsmedien<br />
treffen. Die Datenverarbeitungsvorgänge, die mit Hilfe solcher<br />
Datenverarbeitungsmedien ablaufen, lassen sich zwar mit den geltenden<br />
Vorschriften über die Zulässigkeit der Verarbeitung personenbezogener<br />
Daten <strong>und</strong> die Modalitäten der zulässigen Datenverarbeitung bewältigen.<br />
Die Herausgabe mobiler Datenverarbeitungsmedien ist aber mit dem besonderen<br />
Risiko verb<strong>und</strong>en, dass sie einerseits, insbesondere auch im Falle<br />
kontaktloser Chipkarten, <strong>für</strong> die Betroffenen nicht ohne weiteres erkennbare<br />
Datenverarbeitungsvorgänge ermöglichen <strong>und</strong> den Betroffenen andererseits<br />
oftmals nicht deutlich ist, wo <strong>und</strong> in welcher Weise sie die ihnen auch in<br />
Bezug auf die Datenverarbeitungsmedien zustehenden datenschutzrechtlichen<br />
Rechte geltend machen können. Die Vorschrift beugt diesen Gefahren<br />
vor, indem sie die ausgebende Stelle verpflichtet sicherzustellen, dass die<br />
Betroffenen Datenverarbeitungsvorgänge erkennen <strong>und</strong> ihre datenschutzrechtlichen<br />
Rechte geltend machen können. Für die Erkennbarkeit des Datenaustauschs<br />
genügt es, wenn jeweils erkannt werden kann, dass überhaupt<br />
ein Datenaustausch stattfindet. Die Sicherstellungspflicht überlässt<br />
es der ausgebenden Stelle, inwieweit sie selbst <strong>für</strong> die Verwirklichung der<br />
Betroffenenrechte sorgt oder sicherstellt, dass andere Stellen dies übernehmen.<br />
Die Betroffenen sind bei der Ausgabe der Datenverarbeitungsmedien<br />
entsprechend aufzuklären“ (Bü-Drs. 16/3995 zu § 5b).<br />
Weiterführende Hinweise vermittelt zum einen die Orientierungshilfe „<strong>Datenschutz</strong>gerechter<br />
Einsatz von RFID“ (http://www.datenschutz-hamburg.de/uploads/media/Orientierungshilfe_Einsatz_RFID.pdf).<br />
Zum anderen<br />
liefern der Rahmen <strong>für</strong> die <strong>Datenschutz</strong>folgeabschätzung (Privacy<br />
Impact Assessment (PIA) Framework) sowie die Technische Richtlinie<br />
BSI TR-03126 wichtige Hinweise, die berücksichtigt werden sollten<br />
(https://www.bsi.b<strong>und</strong>.de/DE/Themen/ElektronischeAusweise/RadioFrequencyIdentification/PIA/pia_node.html).<br />
76
Zu § 6 Rechte der Betroffenen<br />
In Absatz 1 werden die Rechte der Betroffenen in einer vollständigen Aufzählung<br />
in Katalogform zusammengefasst, so dass die Betroffenen über<br />
ihre an verschiedenen Stellen im Gesetz geregelten Rechte besser informiert<br />
werden. „Die Voraussetzungen, unter denen die aufgeführten Rechte<br />
wahrgenommen werden können, ergeben sich aus den jeweils angegebenen<br />
Einzelvorschriften“ (Bü-Drs. 13/3282 zu § 6).<br />
Gemäß Absatz 2 ist ein vorheriger Verzicht auf diese Rechte unwirksam.<br />
Daher wäre zum Beispiel bezüglich des in Nr. 11 genannten Rechtes auf<br />
Anrufung des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>beauftragten eine behördeninterne<br />
Regelung oder Dienstvereinbarung, dass der HmbBfDI nur über<br />
den Dienstweg angerufen werden kann, nicht zulässig.<br />
Zu § 7 Datengeheimnis<br />
Die Vorschrift verpflichtet Personen, die dienstlichen oder sonst berechtigten<br />
Zugang zu personenbezogenen Daten haben, unmittelbar zum <strong>Datenschutz</strong>,<br />
ohne dass es einer gesonderten Verpflichtungserklärung bedarf.<br />
Geschützte personenbezogene Daten dürfen nur zum Zweck der<br />
Aufgabenerfüllung verarbeitet werden. Durch das Wort „insbesondere“<br />
wird Bezug genommen auf den umfassenden Begriff der Datenverarbeitung<br />
in § 4 Abs. 2.<br />
§ 7 erfasst jede Person, die in erlaubter Weise in einer der in § 2 Abs. 1 S. 1<br />
genannten öffentlichen Stelle Kenntnis von personenbezogenen Daten<br />
nehmen kann <strong>und</strong> diese damit nutzen könnte. Allein die faktische Zugangsmöglichkeit<br />
<strong>und</strong> Möglichkeit der Nutzung reichen aus. Die Vorschrift<br />
erfasst damit auch Personen, die im Rahmen eines Auftragsdatenverarbeitungsverhältnisses<br />
oder eines entsprechenden Auftrags im Sinne des § 3<br />
Abs. 4 Zugang zu personenbezogenen Daten der öffentlichen Stelle<br />
haben. Außerdem werden Personen erfasst, die nicht mit der konkreten<br />
Aufgabenwahrnehmung betraut sind, sondern die z.B. in einem Rechenzentrum<br />
die technischen Voraussetzungen der Datenverarbeitung sicher<br />
stellen, sowie Registratur-Mitarbeiter oder behördliche <strong>Datenschutz</strong>beauftragte.<br />
§ 7 gilt im Rahmen einer Auftragsdatenverarbeitung auch <strong>für</strong> den<br />
Auftragnehmer, unabhängig davon, ob er nach § 5 BDSG verpflichtet ist,<br />
sein Personal auf das Datengeheimnis zu verpflichten.<br />
Zugang <strong>und</strong> Nutzung personenbezogener Daten sind einer Person nur im<br />
Rahmen ihrer individuellen organisatorischen Zuständigkeit erlaubt.<br />
77
Zu § 8 Technische <strong>und</strong> organisatorische Maßnahmen;<br />
Vorabkontrolle<br />
Absatz 1<br />
Jede Verwendung personenbezogener Daten durch öffentliche Stellen im<br />
Rahmen der Selbst- oder der Auftragsdatenverarbeitung erfordert technische<br />
<strong>und</strong> organisatorische Maßnahmen, um die Ausführung der Vorschriften<br />
dieses Gesetzes zu gewährleisten. Dabei gilt nach § 8 Abs. 1 S. 2 der<br />
Gr<strong>und</strong>satz der Zweck-Mittel-Relation. Aufgr<strong>und</strong> der unterschiedlichen Verarbeitungsbedingungen<br />
werden hierbei <strong>für</strong> die automatisierte <strong>und</strong> nichtautomatisierte<br />
Datenverarbeitung differenzierte Maßnahmen vorgeschrieben.<br />
Mit welchen konkreten Maßnahmen die Ziele erfüllt werden, bleibt den<br />
verantwortlichen Stellen überlassen. Die Erforderlichkeit <strong>und</strong> das angemessene<br />
Verhältnis zur Schutzwürdigkeit der Daten im Einzelfall lassen<br />
sich immer nur anhand der konkreten Gegebenheiten bestimmen. Mehrere<br />
Faktoren (Art <strong>und</strong> Schutzwürdigkeit der Daten, Schulung <strong>und</strong> Zuverlässigkeit<br />
des Personals, räumliche <strong>und</strong> technische Gegebenheiten, Abgeschlossenheit<br />
der Dienststelle usw.) sind dabei zu berücksichtigen. Die<br />
Entscheidung liegt bei der jeweiligen öffentlichen Stelle, der insoweit ein<br />
organisatorischer Handlungsspielraum zusteht. Dass Maßnahmen nach<br />
dem jeweiligen Stand der Technik zu treffen sind, bedarf dabei keiner ausdrücklichen<br />
gesetzlichen Festlegung (Vgl. Bü-Drs 13/3282). Der aktuelle<br />
Stand der Technik ergibt sich u.a. aus den IT-Gr<strong>und</strong>schutz-Katalogen des<br />
B<strong>und</strong>esamtes <strong>für</strong> Sicherheit in der Informationstechnik. Die Einhaltung der<br />
technischen <strong>und</strong> organisatorischen Maßnahmen wird gr<strong>und</strong>sätzlich <strong>für</strong><br />
nicht abdingbar gehalten. Betroffene können somit nicht darin einwilligen,<br />
dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der<br />
Technik verarbeitet werden. Die elektronische Übertragung sensibler personenbezogener<br />
Daten ohne Verschlüsselung etwa per Mail scheidet deshalb<br />
auch dann aus, wenn der Betroffene explizit um die Übersendung per<br />
Mail bittet.<br />
Absatz 2<br />
Neben der Beachtung des Gr<strong>und</strong>satzes der Datenvermeidung <strong>und</strong> der<br />
Datensparsamkeit, an dem sich nach § 4 Abs. 4 HmbDSG Auswahl <strong>und</strong><br />
Gestaltung technischer Einrichtungen auszurichten haben, müssen sich<br />
bei automatisierter Verarbeitung die zu treffenden Maßnahmen an fünf<br />
übergeordneten Sicherungszielen orientieren, die im Wesentlichen selbsterklärend<br />
sind (Abs. 2 Nr. 1 bis 5):<br />
• „Das Sicherungsziel der Vertraulichkeit verlangt, dass kein unbefugter<br />
Informationsgewinn stattfinden kann;<br />
78
• Integrität bedeutet, dass keine nicht beabsichtigten Veränderungen der<br />
Daten herbeigeführt werden können;<br />
• Verfügbarkeit verlangt, dass die Daten <strong>und</strong> damit das Datenverarbeitungssystem<br />
zu den vorgegebenen Zeiten im erforderlichen Maß zur Verfügung<br />
steht;<br />
• Authentizität ist gegeben, wenn die Urheberschaft der Daten sicher festgestellt<br />
werden kann;<br />
• Revisionsfähigkeit verlangt die Nachvollziehbarkeit der Datenverarbeitung.<br />
Hierzu gehört auch die Dokumentation der Verarbeitungsverfahren,<br />
soweit sie erforderlich ist, um festzustellen, in welcher Weise personenbezogene<br />
Daten verarbeitet werden. Wie <strong>für</strong> alle Sicherungsziele, gilt auch<br />
<strong>für</strong> die Revisionsfähigkeit die Bestimmung des Absatzes 1 Satz 2. Danach<br />
sind technische <strong>und</strong> organisatorische Maßnahmen nur erforderlich,<br />
wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit<br />
der Daten steht. Hierdurch wird insbesondere auch der Umfang notwendiger<br />
Protokollierungen bestimmt <strong>und</strong> begrenzt (Bü-Drs. 16/3995 zu<br />
§ 8).<br />
Diese gesetzlichen Anforderungen orientieren sich „möglichst technologieunabhängig<br />
an den Sicherungszielen, die sich zur Datensicherheit<br />
herausgebildet haben <strong>und</strong> auch den in der hamburgischen Verwaltung angewandten<br />
Sicherungskonzepten zugr<strong>und</strong>e liegen“ (Bü-Drs. 13/3282 zu<br />
§8).<br />
Zur Zentralisierung <strong>und</strong> Konsolidierung verteilter Datenverarbeitung sowie<br />
aus Kostengründen greifen Daten verarbeitende Stellen zunehmend auf<br />
kooperative Betriebsmodelle zurück, die die gemeinsame Nutzung von<br />
Systemen <strong>und</strong> Programmen zur automatisierten Verarbeitung personenbezogener<br />
Daten vorsehen. Die gemeinsame Nutzung einer solchen Infrastruktur<br />
unterliegt erhöhten Anforderungen an die Trennung der personenbezogenen<br />
Daten, um die aus der gemeinsamen Nutzung von technischen<br />
Ressourcen entstehenden Risiken <strong>für</strong> die informationelle Gewaltenteilung,<br />
die Zweckbindung <strong>und</strong> Vertraulichkeit hinreichend zu reduzieren. Die <strong>Datenschutz</strong>beauftragten<br />
des B<strong>und</strong>es <strong>und</strong> der Länder haben die Anforderungen,<br />
die einzuhalten sind, um dem Trennungsgebot zu genügen, in der<br />
Orientierungshilfe „Mandantenfähigkeit“ dargelegt (http://www.datenschutz-hamburg.de/news/detail/article/orientierungshilfe-mandantenfaehigkeit.html).<br />
Im ersten der dort aufgeführten fünf Prüfschritte, sind die jeweiligen<br />
rechtlichen Gr<strong>und</strong>lagen <strong>für</strong> das IT-Verfahren zu prüfen. Die weiteren<br />
drei Prüfschritte zielen insbesondere darauf ab sicherzustellen, dass<br />
sowohl die verarbeiteten Daten als auch die Nutzer, die Zugriff auf diese<br />
Daten erhalten, immer nur genau einem Mandanten zugeordnet sind. Eine<br />
ausreichende Mandantentrennung kann danach nur sichergestellt wer-<br />
79
den, wenn ein Datenaustausch zwischen den Mandanten ausschließlich<br />
über definierte Schnittstellen erfolgen kann <strong>und</strong> nicht allein durch ein<br />
Rechte- <strong>und</strong> Rollenkonzept geregelt ist. Der letzte Prüfschritt nimmt insbesondere<br />
die mandantenspezifische- <strong>und</strong> die mandantenübergreifende Protokollierung<br />
in den Blick.<br />
Wenn die Anforderungen der Mandantenfähigkeit nicht eingehalten<br />
werden, führt das im Ergebnis dazu, dass <strong>für</strong> unterschiedliche Daten verarbeitende<br />
Stellen ein gemeinsames Verfahren betrieben wird. Da ein gemeinsames<br />
Verfahren nach § 11a HmbDSG jedoch einer ausdrücklichen<br />
Zulassung durch eine Rechtsvorschrift bedarf, die häufig spezialgesetzlich<br />
nicht gegeben ist, würde eine nicht ausreichende Trennung dazu führen,<br />
dass ein gemeinsames Verfahren ohne Rechtsgr<strong>und</strong>lage betrieben werden<br />
würde. Dies wäre nach § 5 Abs. 1 Satz 1 HmbDSG unzulässig <strong>und</strong><br />
könnte auch nicht durch eine Abwägung nach § 8 Abs. 1 Satz 2 HmbDSG<br />
geheilt werden. Mit § 11a HmbDSG wurde dem Senat jedoch die Möglichkeit<br />
gegeben, die Einführung gemeinsamer Dateien durch Rechtsverordnung<br />
zu regeln <strong>und</strong> damit <strong>für</strong> eine hinreichende Rechtsgr<strong>und</strong>lage zu<br />
sorgen, soweit die spezialgesetzlichen Regelungen nicht abschließend<br />
sind.<br />
Angesichts der weit fortgeschrittenen Digitalisierung der automatisierten<br />
Datenverarbeitung <strong>und</strong> ihrer Allgegenwart, <strong>und</strong> angesichts der Verkettbarkeit<br />
personenbezogener Daten kommen technischen <strong>und</strong> organisatorischen<br />
Schutzvorkehrungen eine immer größere Bedeutung zu. Die<br />
besten rechtlichen Verarbeitungsbeschränkungen sind praktisch wertlos,<br />
wenn ihre technische <strong>und</strong> organisatorische Absicherung fehlt oder mangelhaft<br />
ist. Im geltenden Recht finden sich nur punktuelle Lösungsansätze<br />
hinsichtlich der konzeptionellen Absicherung vor <strong>Datenschutz</strong>risiken beim<br />
Einsatz automatisierter Verfahren. Dies betrifft auch Verfahren, bei denen<br />
eine Verarbeitung personenbezogener Daten nicht von vornherein intendiert,<br />
aber (ggf. zu einem späteren Zeitpunkt) möglich ist. Die Konferenz<br />
der <strong>Datenschutz</strong>beauftragten des B<strong>und</strong>es <strong>und</strong> der Länder schlägt deshalb<br />
seit langem eine gr<strong>und</strong>sätzliche Reform der Regeln zum technischen <strong>und</strong><br />
organisatorischen <strong>Datenschutz</strong> vor, die auch folgende Aspekte berücksichtigen<br />
müsste (vgl. „Ein modernes <strong>Datenschutz</strong>recht <strong>für</strong> das 21. Jahrh<strong>und</strong>ert<br />
– Eckpunkte“ (2010), http://www.bfdi.b<strong>und</strong>.de/SharedDocs/Publikationen/Allgemein/79DSKEckpunktepapierBroschuere.pdf):<br />
• Die elementaren Schutzziele sollten folgende Bedingungen erfüllen:<br />
– Die Schutzziele sollten einfach, verständlich <strong>und</strong> praxistauglich sein.<br />
– Die Schutzziele sind an den Vorgaben des <strong>Datenschutz</strong>es zu messen,<br />
müssen längere Zeit Bestand haben <strong>und</strong> dürfen sich trotz aller<br />
80
Überschneidungen nicht allein an den Vorgaben der IT-Sicherheit<br />
orientieren.<br />
– Aus den Schutzzielen sollten sich die konkret in der Praxis zu treffenden<br />
Maßnahmen ableiten lassen. Die Maßnahmen müssen in einfachen,<br />
flexiblen <strong>und</strong> praxistauglichen Verfahren – durch Software<br />
unterstützt – umgesetzt werden können. Sie können die Basis <strong>für</strong> die<br />
Kriterien eines <strong>Datenschutz</strong>audits bilden.<br />
– Die Schutzziele müssen technologieunabhängig definiert werden.<br />
– Die Schutzziele sind nachhaltig. Lediglich die Maßnahmen sind dem<br />
Stand der Technik anzupassen.<br />
– Die Schutzziele sind so zu fassen, dass gr<strong>und</strong>sätzliche rechtliche<br />
Anforderungen (z.B. Datenvermeidung/Datensparsamkeit, Zweckbindung<br />
oder Betroffenenrechte wie Berichtigung oder Löschung)<br />
technisch umgesetzt werden können.<br />
• Entsprechend den genannten Anforderungen sind folgende Schutzziele<br />
aufzunehmen:<br />
– Verfügbarkeit<br />
– Vertraulichkeit<br />
– Integrität<br />
– Transparenz<br />
– Nichtverkettbarkeit (als technische Sicherung der Zweckbindung)<br />
– Intervenierbarkeit (als technische Gestaltung von Verfahren zur<br />
Ausübung der Betroffenenrechte).<br />
• Technische <strong>und</strong> organisatorische Maßnahmen sind im Sinne eines vorgelagerten<br />
Systemdatenschutzes schon dann zu treffen, wenn in einem<br />
Verfahren die Möglichkeit besteht, dass personenbezogene Daten verarbeitet<br />
werden oder dass dies zu einem späteren Zeitpunkt intendiert<br />
ist.<br />
Der HmbBfDI sieht daher einen großen Bedarf, die Regeleung des § 8<br />
HmbDSG weiterzuentwickeln <strong>und</strong> damit der fortschreitenden Digitalisierung<br />
Rechnung zu tragen.<br />
Absatz 3<br />
Absatz 3 stellt klar, dass angemessene technische <strong>und</strong> organisatorische<br />
Maßnahmen auch bei nicht-automatisierter Verarbeitung zu treffen sind,<br />
also insbesondere auch bei einer klassischen Aktenführung in Papierform.<br />
81
Gegenüber der automatisierten Datenverarbeitung sind allerdings die Gewichte<br />
der Maßnahmen unterschiedlich gesetzt: hier kommt der Verhinderung<br />
des Zugriffs durch Unbefugte zentrale Bedeutung zu (Vertraulichkeit);<br />
wird dies sichergestellt, können auch die anderen Sicherungsziele erreicht<br />
werden (vgl. Bü-Drs. 13/3282 zu § 8).<br />
Absatz 4<br />
Insbesondere mit Absatz 4 soll Artikel 20 der EG-<strong>Datenschutz</strong>richtlinie umgesetzt<br />
werden, wonach die Mitgliedsstaaten festlegen, welche Verarbeitungen<br />
spezifische Risiken <strong>für</strong> die Rechte der Betroffenen beinhalten können<br />
<strong>und</strong> da<strong>für</strong> Sorge tragen, dass diese Verarbeitungen vor ihrem Beginn<br />
geprüft werden. Der <strong>Hamburgische</strong> Gesetzgeber hat sich <strong>für</strong> eine datenschutzfre<strong>und</strong>liche<br />
Regelung entschieden <strong>und</strong> die Vorabkontrolle ausnahmslos<br />
<strong>für</strong> alle automatisierten Verfahren geregelt, unabhängig sowohl<br />
von der Sensibilität der im Verfahren verarbeiteten personenbezogenen<br />
Daten als auch von der Art des automatisierten Verfahrens (zum Begriff des<br />
Verfahrens siehe Erläuterungen zu § 9 Abs. 1). Ausnahmen, wie sie etwa in<br />
§ 9 HmbDSG zur Verfahrensbeschreibung <strong>für</strong> bestimmte Verfahren der<br />
Bürokommunikation oder <strong>für</strong> Stellen wie der Polizei <strong>und</strong> weitere in § 23 Abs.<br />
6 HmbDSG festgelegte Stellen vorgesehen sind, bestehen <strong>für</strong> die Erstellung<br />
einer Risikoanalyse nicht. Die Feststellung spezifischer Risiken <strong>und</strong><br />
deren Beherrschbarkeit ist somit nicht Voraussetzung, sondern Teil der obligatorischen<br />
Risikoanalyse bei automatisierten Verfahren. Die Risikoanalyse<br />
ist in jedem Fall mit rechtzeitigem Vorlauf vor der Freigabe <strong>und</strong> der<br />
anschließenden Produktionsaufnahme zu erstellen.<br />
Absatz 4 „verpflichtet die Stellen, die automatisierte Verfahren zur Verarbeitung<br />
personenbezogener Daten betreiben wollen, vor der Entscheidung<br />
über die Einführung oder die wesentliche Änderung eines solchen Verfahrens,<br />
eine Risikoanalyse durchzuführen. Hierin sind die Risiken des geplanten<br />
Verfahrens abzuschätzen sowie mögliche Alternativen mit geringerer<br />
Eingriffstiefe <strong>für</strong> die Betroffenen zu prüfen. Form <strong>und</strong> Tiefe der vorzunehmenden<br />
Prüfung haben sich an der Sensibilität der zu verarbeitenden Daten <strong>und</strong><br />
an den technischen <strong>und</strong> organisatorischen Rahmenbedingungen der geplanten<br />
Datenverarbeitung zu orientieren. Ein in bestimmter Weise formalisiertes<br />
Prüfverfahren wird dabei nicht vorgeschrieben.<br />
Nur soweit die Risiken durch technische <strong>und</strong> organisatorische Maßnahmen<br />
– bei Geltung der Verhältnismäßigkeitsregelung des Absatzes 1 Satz 2 –<br />
beherrschbar sind, ist der Einsatz des Verfahrens zulässig.<br />
Diese Vorschrift … beinhaltet eine Regelung des sogenannten vorgezogenen<br />
<strong>Datenschutz</strong>es; schon vor dem Einsatz oder der Änderung eines ADV-<br />
82
Verfahrens hat sich die … (Daten verarbeitende) Stelle bewusst zu machen,<br />
welche Risiken <strong>für</strong> den <strong>Datenschutz</strong> mit einem bestimmten Verfahren<br />
verb<strong>und</strong>en sind <strong>und</strong> wie diese beherrscht werden können“ (Bü-Drs. 16/3995<br />
zu § 8).<br />
Zudem ist „die Daten verarbeitende Stelle dazu verpflichtet, das Ergebnis<br />
der Risikoanalyse der oder dem behördlichen <strong>Datenschutz</strong>beauftragten<br />
bzw. der oder dem <strong>Hamburgische</strong>n <strong>Datenschutz</strong>beauftragten zur Stellungnahme<br />
vorzulegen, soweit danach von einem Verfahren eine besondere<br />
Gefährdung <strong>für</strong> die Rechte der Betroffenen ausgeht (Absatz 4 Satz 3)“<br />
(Bü-Drs. 16/3995 zu § 8). Der HmbBfDI geht davon aus, dass mit dem Ergebnis<br />
der Untersuchung jeweils auch deren Begründung so rechtzeitig<br />
zugeleitet wird, dass die Stellungnahme dazu noch vor Produktionsaufnahme<br />
von der Daten verarbeitenden Stelle berücksichtigt wird.<br />
Der Begriff der „besonderen Gefährdung“ kann als unbestimmter Rechtsbegriff<br />
nur einzelfallbezogen konkretisiert werden. Als Beurteilungskriterien<br />
kommen insbesondere die Art <strong>und</strong> der Umfang der zu verarbeitenden Daten<br />
sowie Zweck, Art <strong>und</strong> Umfang ihrer Verarbeitung in Betracht. Eine besondere<br />
Gefährdung liegt in jedem Fall nur vor, wenn die Gefahren, die von<br />
einem Datenverarbeitungsverfahren <strong>für</strong> die Rechte der Betroffenen ausgehen,<br />
deutlich das übliche Maß der Gefährdung übersteigen, das jede automatisierte<br />
Datenverarbeitung mit sich bringt. Im Hinblick auf Art <strong>und</strong> Umfang<br />
der Daten kann eine besondere Gefährdung z.B. vorliegen, wenn sensitive<br />
Daten im Sinne von § 5 Absatz 1 Satz 2 Gegenstand der Verarbeitung sind,<br />
Daten, die einer besonderen Geheimhaltenspflicht unterliegen wie z.B. Sozialdaten<br />
<strong>und</strong> Steuerdaten oder Daten der einzelnen Betroffenen in einem Umfang<br />
verarbeitet werden, der weitreichende Schlüsse auf die Persönlichkeit<br />
oder den Lebenswandel der Betroffenen ermöglicht. Aus Zweck, Art <strong>und</strong><br />
Umfang der Verarbeitung können sich besondere Gefährdungen z.B. ergeben,<br />
wenn es sich um Verarbeitungen nach den §§ 5a <strong>und</strong> 5b handelt oder<br />
aus den Ergebnissen der Verarbeitung gravierende nachteilige Folgen <strong>für</strong> die<br />
Betroffenen gezogen werden sollen.<br />
Da es im Übrigen wenig sinnvoll erscheint, Datenverarbeitungen, die besondere<br />
Gefährdungen beinhalten, vorab <strong>und</strong> abstrakt zu definieren – es ist vielmehr<br />
gerade Inhalt der Risikoanalyse, solche Risiken aufzudecken –, sieht<br />
das Gesetz eine verfahrensmäßige Lösung vor. Danach hat die Risikoanalyse<br />
selbst sich zu der Frage etwaiger besonderer Gefährdungen zu äußern.<br />
Bejahendenfalls findet eine weitere Prüfung durch die behördlichen bzw.<br />
durch die oder den <strong>Hamburgische</strong>n <strong>Datenschutz</strong>beauftragten statt. Die<br />
Frage, ob es sich überhaupt um ein vorabkontrollpflichtiges Verfahren handelt,<br />
ist von ihnen allerdings eigenständig zu beurteilen <strong>und</strong> somit Gegenstand<br />
der weiteren Prüfung. Die behördlichen bzw. die oder der Hamburgi-<br />
83
sche <strong>Datenschutz</strong>beauftragte haben vor Einführung oder wesentlicher Änderung<br />
des Verfahrens somit die Gelegenheit, aufgr<strong>und</strong> ihrer Prüfung eine<br />
Stellungnahme abzugeben. Die Verantwortung der Daten verarbeitenden<br />
Stelle <strong>für</strong> die Entscheidung über die Einführung des Datenverarbeitungsverfahrens<br />
bleibt hiervon unberührt“ (Bü-Drs. 16/3995 zu § 8). Anders als bei<br />
der Einführung eines automatisierten Verfahrens haben die verantwortlichen<br />
Stellen zur Frage der besonderen Gefährdung ein gewisses Beurteilungsermessen<br />
bei der Fortschreibung von Verfahren. So wird es bei<br />
einfachen Rechtsänderungen oft zu keiner Gefährdung der Betroffenenrechte<br />
kommen, bei komplexen Änderungen <strong>und</strong> bei neuen Schnittstellen<br />
wird jedoch regelmäßig von einer besonderen Gefährdung auszugehen<br />
sein.“<br />
Der HmbBfDI hat Hinweise zur Risikoanalyse <strong>und</strong> Vorabkontrolle sowie<br />
eine Checkliste zur Erstellung einer Risikoanalyse in sein Internetangebot<br />
eingestellt (http://www.datenschutz-hamburg.de/news/detail/article/<br />
verfahrensbeschreibung-risikoanalyse-<strong>und</strong>-vorabkontrolle.html).<br />
Zu § 9 Verfahrensbeschreibung<br />
Verfahrensbeschreibungen dienen dem Ziel, die Öffentlichkeit über Art<br />
<strong>und</strong> Umfang von automatisierten Verarbeitungen personenbezogener<br />
Daten zu unterrichten <strong>und</strong> entlasten insoweit auch die Verwaltung als erste<br />
Orientierungsquelle <strong>für</strong> die Betroffenen im Rahmen von Auskunftsansprüchen<br />
nach § 18. Die Vorschrift „begründet ein Recht <strong>für</strong> jedermann<br />
zur Einsicht in die Verfahrensbeschreibungen. Hintergr<strong>und</strong> <strong>für</strong> die Ersetzung<br />
des Datei- durch ein Verfahrensverzeichnis sind die Artikel 18 <strong>und</strong> 19 der EG-<br />
<strong>Datenschutz</strong>richtlinie. Danach sind die Daten verarbeitenden Stellen verpflichtet,<br />
automatisierte Datenverarbeitungen unter Mitteilung bestimmter, in<br />
Artikel 19 Absatz 1 der EG-<strong>Datenschutz</strong>richtlinie genannter Angaben einer<br />
Kontrollstelle zu melden“ (Bü-Drs. 16/3995 zu § 9).<br />
Absatz 1<br />
„Die Verfahrensbeschreibung nach Satz 1 verlangt gegenüber der bisherigen<br />
Dateibeschreibung nicht mehr die Bezeichnung bestimmter – auch manueller<br />
– Datensammlungen, sondern nur die Beschreibung von Verfahren<br />
zur (zumindest teil-) automatisierten Verarbeitung personenbezogener<br />
Daten, die ihrerseits naturgemäß eine ganze Reihe von Dateien beinhalten<br />
können. Dabei ist der Begriff des Verfahrens, wie bisher bereits in § 8 Absatz<br />
4, nicht programmtechnisch, sondern unter dem Gesichtspunkt von Arbeitsabläufen<br />
zu verstehen (z.B. Verfahren zur Bearbeitung von Bauanträgen<br />
84
oder dgl.) (Bü-Drs. 16/3995 zu § 9). Ein automatisiertes Verfahren umfasst<br />
damit ein „Paket bzw. eine Abfolge von Verarbeitungsschritten“ (Simitis,<br />
BDSG, 7. Aufl., § 4d Rn 25), „die einer bestimmten Zweckbestimmung dienen“<br />
(Gola/Schomerus, BDSG, 11. Aufl., § 4d Rn 9a). Verfahren können<br />
dabei mehrere Softwareprogramme <strong>und</strong> eine ganze Reihe von Dateien<br />
beinhalten. Für jedes Verfahren ist nur eine Beschreibung zu erstellen.<br />
„Die Verfahrensbeschreibung muss in Übereinstimmung mit Artikel 19 Absatz<br />
1 der EG-<strong>Datenschutz</strong>richtlinie die in den Nummern 1 bis 9 genannten<br />
Daten umfassen“ (Bü-Drs. 16/3995 zu § 9).<br />
Die Verfahrensbeschreibung ist klar von einer Verfahrensdokumentation<br />
abzugrenzen. Während die Verfahrensbeschreibung nur einen Überblick<br />
über das Verfahren gewährleistet, enthält die Verfahrensdokumentation<br />
alle zum Verständnis <strong>und</strong> zur Abwicklung eines automatisierten Verfahrens<br />
notwendigen Informationen. Das Ziel der Öffentlichkeitsinformation ist<br />
damit auch Maßstab <strong>für</strong> den Umfang <strong>und</strong> den Detaillierungsgrad der Verfahrensbeschreibung.<br />
Die Verfahrensbeschreibung sollte aus sich heraus verständlich sein <strong>und</strong><br />
kein besonderes Vorwissen oder spezifische Kenntnisse voraussetzen.<br />
Daher sollten auch keine Verweise auf die nur <strong>für</strong> interne Zwecke erstellte,<br />
ausführlichere Risikoanalyse vorgenommen werden. Abkürzungen sollten<br />
möglichst allgemeinverständlich erläutert werden. Auch sollte eine vollständige<br />
Liste der Datenelemente, die in dem Verfahren verarbeitet werden,<br />
enthalten sein. Die Form der Verfahrensbeschreibung ist nicht vorgeschrieben.<br />
Der HmbBfDI hat Hinweise dazu im Internet (unter<br />
http://www.datenschutz-hamburg.de/uploads/media/Hinweise_zur_Erstellung_einer_Verfahrensbeschreibung.doc)<br />
veröffentlicht. Die Punkte 2,<br />
3 <strong>und</strong> 5 der Verfahrensbeschreibung können von der Daten verarbeitenden<br />
Stelle auch herangezogen werden, wenn Betroffene ihr Auskunftsrecht<br />
nach § 18 Abs. 1. Nr. 2 <strong>und</strong> 3 HmbDSG geltend machen.<br />
Absatz 2<br />
„Für Verfahren der allgemeinen Bürokommunikation“ (Bü-Drs. 16/3995 zu<br />
§ 9) müssen jedoch keine Verfahrensbeschreibungen erstellt werden.<br />
Diese Verfahren „gehören heute zu der durchweg üblichen Gr<strong>und</strong>ausstattung<br />
jeder Verwaltung. Sie lassen im Allgemeinen keine Gefährdung des<br />
Rechts auf informationelle Selbstbestimmung erwarten“ (Bü-Drs. 16/3995<br />
zu § 9). Wenn jedoch im konkreten Anwendungsfall Anhaltspunkte <strong>für</strong> mögliche<br />
Gefährdungen dieses Rechts bestehen, ist auch <strong>für</strong> diese Verfahren<br />
eine Verfahrensbeschreibung zu erstellen. Dabei ist zu bedenken, dass<br />
auch mit Software, die allein mit der allgemeinen Bürokommunikation zur<br />
85
Verfügung gestellt wird (z.B. MS-Excel oder MS-Word), Verfahren unterstützen<br />
werden können, <strong>für</strong> die eine Verfahrensbeschreibung erstellt<br />
werden muss. Dazu gehören z.B. Tabellen zur Unterstützung der Sachbearbeitung,<br />
in denen neben Namen <strong>und</strong> Anschriften von Betroffenen<br />
auch weitere sensible personenbezogene Daten verarbeitet werden.<br />
Absatz 3<br />
„Das Einsichtsrecht steht jeder Person unabhängig davon zu, ob sie durch<br />
eine Datenverarbeitung betroffen ist. Die Wahrnehmung des Einsichtsrechts<br />
erfolgt bei den Daten verarbeitenden Stellen selbst, soweit sie behördliche<br />
<strong>Datenschutz</strong>beauftragte bestellt haben, im Übrigen bei der oder dem<br />
<strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit.“<br />
(Bü-Drs. 16/3995 zu § 9). Von diesem Recht sind nur die im § 23 Abs. 6<br />
HmbDSG genannten Stellen, das Landesamt <strong>für</strong> Verfassungsschutz, die<br />
Behörden der Staatsanwaltschaft <strong>und</strong> der Polizei sowie der Landesfinanzbehörden<br />
ausgenommen. Darüber hinaus sollte der öffentliche Teil der<br />
Verfahrensbeschreibung, der die Ziffern 1–7 umfasst, gemäß § 3 Abs. 2<br />
<strong><strong>Hamburgische</strong>s</strong> Transparenzgesetz auch im Informationsregister veröffentlicht<br />
werden.<br />
Zu § 10 Durchführung des <strong>Datenschutz</strong>es<br />
Die Regelung begründet die Pflicht der öffentlichen Stellen, die Beachtung<br />
aller <strong>Datenschutz</strong>vorschriften sicherzustellen. Sie bringt die schon aus<br />
Artikel 20 Abs. 3 GG folgende Bindung an das geltende Recht <strong>und</strong> die<br />
Pflicht zu seinem Vollzug <strong>für</strong> den Bereich des HmbDSG zum Ausdruck.<br />
Die Vorschrift dient auch der Klarstellung, dass trotz der externen Kontrollinstanz<br />
des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
(HmbBfDI) nach §§ 21 ff. die vollumfängliche Verantwortlichkeit<br />
der Daten verarbeitenden Stelle besteht. Dies gilt seit 2001 gleichermaßen<br />
<strong>für</strong> die behördlichen <strong>Datenschutz</strong>beauftragten. Deren Aufgabe besteht<br />
nach § 10a in der Unterstützung <strong>und</strong> Beratung der verantwortlichen Stelle,<br />
indem sie auf die Einhaltung der Vorschriften hinwirken.<br />
Satz 1 regelt dieselben Pflichten <strong>für</strong> alle Stellen nach § 2 Abs. 1 S. 1. Die<br />
Frage nach dem maßgeblichen Behördenbegriff (organisatorisch oder<br />
funtional) kann wie unter § 2 Abs. 1 beantwortet werden.<br />
Die Sätze 2 <strong>und</strong> 3 greifen die Wertung aus § 8 auf, dass alle automatisierten<br />
Verfahren einer laufenden <strong>und</strong> erforderlichenfalls besonders sachk<strong>und</strong>igen<br />
Überwachung bedürfen.<br />
86
Die in Satz 3 enthaltene ausdrückliche Ermächtigung des Senats zur<br />
abweichenden Aufgabenzuweisung soll insbesondere der Wirtschaftlichkeit<br />
des Verwaltungshandelns dienen <strong>und</strong> ermöglicht dem Senat, die interne<br />
IT-Revision ganz oder teilweise zu zentralisieren. Sie stellt als solche<br />
gegenüber den allgemeinen organisationsrechtlichen Regelungen eine<br />
Spezialregelung über den <strong>Datenschutz</strong> dar.<br />
Zu § 10 a Behördliche <strong>Datenschutz</strong>beauftragte<br />
Die Vorschrift wurde 2001 in das Gesetz eingefügt (Bü-Drs. 16/3995) <strong>und</strong><br />
nutzt eine von Art. 18 Abs. 2 EG-<strong>Datenschutz</strong>richtlinie angebotene Alternative<br />
zu Meldepflichten gegenüber dem Landesdatenschutzbeauftragten:<br />
Machen öffentliche Stellen von der Möglichkeit Gebrauch, behördliche <strong>Datenschutz</strong>beauftragte<br />
zu bestellen, sind diese statt des <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit (HmbBfDI) <strong>für</strong> die<br />
Vorabkontrolle nach § 8, <strong>für</strong> die Verfahrensbeschreibungen nach § 9 <strong>und</strong><br />
<strong>für</strong> die Anhörung nach § 12 a Abs. 3 Satz zuständig. Jedoch entlasten<br />
behördliche <strong>Datenschutz</strong>beauftragte nicht nur den HmbBfDI in seiner Beratungs-<br />
<strong>und</strong> Kontrollaufgabe. Sie sind auch eine Art Vermittlungsstelle der<br />
Behördenleitungen zum HmbBfDI sowie interne Ansprechpartner der<br />
Behörde, „Vor-Klärer“ <strong>und</strong> insoweit sicher auch behördeninterne Filter gegenüber<br />
dem HmbBfDI, ohne § 26 (Anrufungsrecht) aushebeln zu können.<br />
Absatz 1<br />
Nach dem Wortlaut steht es im Ermessen jeder Behörde, eine oder einen<br />
<strong>Datenschutz</strong>beauftragte/n zu bestellen. In seinem 21. Tätigkeitsbericht<br />
(2006/2007, 3.) hatte der <strong>Hamburgische</strong> <strong>Datenschutz</strong>beauftragte angeregt,<br />
in § 10 a eine Pflicht zur Bestellung behördlicher <strong>Datenschutz</strong>beauftragter<br />
einzuführen. Dem sind Senat <strong>und</strong> Bürgerschaft zwar nicht gefolgt;<br />
im Mai 2010 nahm der Senat jedoch ein von Finanz- <strong>und</strong> Justizbehörde erarbeitetes<br />
„Konzept behördliche <strong>Datenschutz</strong>beauftragte (behDSB)“<br />
(www.datenschutz-hamburg.de/uploads/media/Konzept_Behoerdliche_<br />
<strong>Datenschutz</strong>beauftragte.pdf) zur Kenntnis <strong>und</strong> beschloss „dass die Senatsämter,<br />
Fachbehörden <strong>und</strong> Bezirksämter jeweils mindestens eine<br />
behördliche <strong>Datenschutz</strong>beauftragte bzw. einen behördlichen <strong>Datenschutz</strong>beauftragten<br />
<strong>für</strong> ihren jeweiligen Zuständigkeitsbereich unter<br />
Berücksichtigung des Konzepts bestellen“. Damit reduzierte der Senat das<br />
gesetzliche Ermessen <strong>für</strong> die unmittelbare Staatsverwaltung intern auf<br />
null.<br />
Die Bestellung kann <strong>für</strong> den Gesamtbereich einer Behörde erfolgen. Möglich<br />
ist aber auch die Bestellung von <strong>Beauftragte</strong>n <strong>für</strong> größere Teilbereiche<br />
87
– so hat die Behörde <strong>für</strong> Justiz <strong>und</strong> Gleichstellung jeweils eine behördliche<br />
<strong>Datenschutz</strong>beauftragte <strong>für</strong> das Justizverwaltungsamt <strong>und</strong> <strong>für</strong> das Strafvollzugsamt<br />
bestellt. Auch die Polizei oder das Einwohnerzentralamt mit<br />
der Ausländerbehörde bieten sich als Teilbereiche <strong>für</strong> eigene <strong>Datenschutz</strong>beauftragte<br />
an. Möglich ist nach Abs. 1 S. 2 auch umgekehrt die Bestellung<br />
von gemeinsamen <strong>Beauftragte</strong>n <strong>für</strong> mehrere öffentliche Stellen – so haben<br />
verschiedene Hamburger Hochschulen sich auf eine gemeinsame <strong>Beauftragte</strong><br />
geeinigt.<br />
Absatz 2<br />
Die <strong>für</strong> eine Bestellung erforderliche Fachk<strong>und</strong>e umfasst datenschutzrechtliche,<br />
informationstechnische, organisatorische <strong>und</strong> informationsfreiheitsrechtliche<br />
Kenntnisse <strong>und</strong> muss gr<strong>und</strong>sätzlich vorher erworben werden.<br />
Da es keine staatliche Ausbildung zum <strong>Datenschutz</strong>beauftragten gibt,<br />
ist der von der Behördenleitung ausgewählten Person ausreichend Gelegenheit<br />
zur Fortbildung in Schulungen <strong>und</strong> Fachseminaren zu geben. Das<br />
„Konzept behördliche <strong>Datenschutz</strong>beauftragte“ vom 1.5.2010 enthält dazu<br />
einen Katalog rechtlicher <strong>und</strong> technischer Einzelfragen.<br />
Die ebenfalls notwendige „Zuverlässigkeit“ bezieht sich einerseits auf die<br />
Fähigkeit, die Vertrauensposition zwischen Mitarbeiterschaft <strong>und</strong> Behördenleitung<br />
glaubwürdig <strong>und</strong> unabhängig wahrzunehmen <strong>und</strong> die Verschwiegenheitspflicht<br />
einzuhalten. Andererseits soll die „Zuverlässigkeit“<br />
Interessenskonflikte bei der Aufgabenerfüllung vermeiden. Deswegen sind<br />
zumindest die Leiterinnen <strong>und</strong> Leiter der behördlichen Personal- <strong>und</strong> IT-<br />
Abteilungen ebenso wenig <strong>für</strong> die Aufgabe der oder des behördlichen <strong>Datenschutz</strong>beauftragten<br />
geeignet wie Geheimschutz- oder IT-<strong>Beauftragte</strong><br />
oder auch Revisoren.<br />
Absatz 3<br />
„Die Vorschrift regelt den Widerruf der Bestellung zur bzw. zum behördlichen<br />
<strong>Datenschutz</strong>beauftragten. Im Hinblick auf die unabhängige Stellung der <strong>für</strong><br />
einen unbestimmten Zeitraum zu bestellenden behördlichen <strong>Datenschutz</strong>beauftragten<br />
(Absatz 4 Satz 2) ist der Widerruf zum Ausschluss von Missbräuchen<br />
an enge Voraussetzungen geknüpft. Eine zusätzliche Verfahrenssicherung<br />
bietet die obligatorische Anhörung der bzw. des <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>beauftragten vor der Entscheidung über den Widerruf.<br />
Der Sache nach ist der Widerruf lediglich bei Eintritt eines wichtigen Gr<strong>und</strong>es<br />
im Sinne von § 626 des Bürgerlichen Gesetzbuchs zulässig“ (Bü-Drs.<br />
16/3995, Gesetzesbegründung zu Nr. 11). In der Praxis stellt sich die Frage<br />
insbesondere auch bei mangelnder Fachk<strong>und</strong>e.<br />
88
Absatz 4<br />
„Absatz 4 beschreibt den unabhängigen Status der behördlichen <strong>Datenschutz</strong>beauftragten…<br />
… Die Pflicht, sie in erforderlichem Umfang von der<br />
Erfüllung anderer Aufgaben freizustellen <strong>und</strong> sie bei der Erfüllung ihrer Aufgaben<br />
zu unterstützen, schließt eine angemessene Ausstattung mit sächlichen<br />
<strong>und</strong> unter Umständen auch personellen Ressourcen ebenso ein wie<br />
die Pflicht zur Information über <strong>für</strong> ihre Aufgabenwahrnehmung bedeutsame<br />
Vorgänge“ (Bü-Drs. 16/3995 a.a.O.). In der Behördenpraxis haben die<br />
<strong>Datenschutz</strong>beauftragten meist schwerpunktmäßig rechtliche oder technische<br />
Kenntnisse. Zur Unterstützung gehört deshalb auch, dass andere<br />
Mitarbeiter der Behörde sie bei Bedarf fachk<strong>und</strong>ig beraten. Notwendig ist<br />
auch die Einrichtung von besonderen Funktionspostfächern <strong>und</strong> die Bestellung<br />
von Vertretern (vgl. auch das Konzept Behördliche <strong>Datenschutz</strong>beauftragte,<br />
Mustertext Bestellung).<br />
Absatz 5<br />
Die in Abs. 5 umschriebene Aufgabe der behördlichen <strong>Datenschutz</strong>beauftragten<br />
liegt – anders als beim HmbBfDI (§ 23 Abs. 1) – weniger in der<br />
„Überwachung“, sondern vielmehr in der „Unterstützung“ der öffentlichen<br />
Stelle <strong>und</strong> ihres Personalrats. Dies schließt aber nicht aus, dass die <strong>Datenschutz</strong>beauftragten<br />
sich Einblick in die automatisierte <strong>und</strong> aktenmäßige<br />
Verarbeitung personenbezogener Daten verschaffen (S. 4) <strong>und</strong> beim „Hinwirken“<br />
auf die Einhaltung von <strong>Datenschutz</strong>vorschriften (S. 3 Nr. 1) auch<br />
Kontrollfunktionen wahrnehmen. „Hierzu gehört es auch, Hinweisen auf datenschutzrechtliche<br />
Mängel in der Daten verarbeitenden Stelle nachzugehen.<br />
Auch die Information über datenschutzrechtliche Erfordernisse <strong>und</strong><br />
eine entsprechende Schulung von Bediensteten der Daten verarbeitenden<br />
Stelle kommen als Maßnahmen der Hinwirkung auf die Umsetzung <strong>und</strong> Einhaltung<br />
von <strong>Datenschutz</strong>vorschriften in Betracht“ (Bü-Drs. 16/3995 a.a.O.).<br />
Das Einsichtsrecht der behördlichen <strong>Datenschutz</strong>beauftragten ist eingeschränkt,<br />
„soweit Rechtsvorschriften nicht entgegenstehen“. Dies<br />
betrifft vor allem Personalakten, in die behördliche <strong>Datenschutz</strong>beauftragte<br />
gr<strong>und</strong>sätzlich nicht ohne Einwilligung der Betroffenen einsehen dürfen.<br />
Absätze 6 <strong>und</strong> 7<br />
Die besondere Stellung der behördlichen <strong>Datenschutz</strong>beauftragten zeigt<br />
sich auch darin, dass sich die Mitarbeiterinnen <strong>und</strong> Mitarbeiter der Behörden<br />
direkt an sie wenden dürfen, ohne den Dienstweg über Vorgesetze<br />
einhalten zu müssen. Ein gesetzliches Benachteiligungsverbot sowie die<br />
89
Verschwiegenheitspflicht der behördlichen <strong>Datenschutz</strong>beauftragten nach<br />
Abs. 7 sichern dieses Recht ab. Die Identität der Hinweisgeber oder<br />
Beschwerdeführer muss gegenüber der Behördenleitung – nicht aber<br />
gegenüber dem HmbBfDI – gewahrt bleiben. Das Recht, sich an den<br />
behördlichen <strong>Datenschutz</strong>beauftragten zu wenden, verdrängt nicht das<br />
Recht, auch direkt den HmbBfDI anzurufen, § 26 Abs. 1.<br />
Absatz 8<br />
Die Pflicht der Behörden, dem HmbBfDI die Bestellung oder Beendigung<br />
des Amtes behördlicher <strong>Datenschutz</strong>beauftragter zu melden, ermöglicht<br />
diesem, sich z.B. <strong>für</strong> allgemein interessierende Mitteilungen, <strong>für</strong> Fortbildungsmaßnahmen<br />
oder Einladungen zu einem Erfahrungsaustausch an<br />
den ganzen Kreis der behördlichen <strong>Datenschutz</strong>beauftragten zu wenden.<br />
Andererseits sichert die Meldepflicht, dass der HmbBfDI <strong>für</strong> datenschutzrechtliche<br />
Nachfragen <strong>und</strong> Prüfungen aktuelle Ansprechpartner in den<br />
Behörden hat. Schließlich offenbart sie dem HmbBfDI aber auch, ob er<br />
– mangels Bestellung behördlicher <strong>Datenschutz</strong>beauftragter – selbst der<br />
obligatorische Empfänger von Verfahrensbeschreibungen <strong>und</strong> Vorabkontrollen<br />
nach § 8 Abs. 4 ist <strong>und</strong> diese selbst überprüfen muss.<br />
Zu § 11 Automatisiertes Abrufverfahren<br />
Automatisierte Abrufverfahren nach § 11 zeichnen sich dadurch aus, dass<br />
eine verantwortliche speichernde Stelle einer dritten öffentlichen Stelle<br />
über eine technische Schnittstelle einen dauerhaften (lesenden) Zugriff<br />
auf ein Fachverfahren einräumt. Dies kann im Zusammenhang mit den<br />
Zwecken des eigenen Fachverfahrens stehen (z.B. Einrichtung eines automatisierten<br />
Abrufverfahrens statt laufender Übermittlung von Daten der<br />
Gewerbeanzeigen an öffentliche Stellen), aber auch ganz anderen<br />
Zwecken der abrufenden Stelle dienen (z.B. Meldedatenübermittlungsverordnung).<br />
Mit der Einrichtung der Schnittstelle hat die empfangende Stelle<br />
faktisch die Möglichkeit, alle freigegebenen Datenfelder aus allen vorhandenen<br />
Datensätzen abzurufen. Automatisierten Abrufverfahren kommt als<br />
Informationsaustausch unter dem Aspekt des <strong>Datenschutz</strong>es deshalb besondere<br />
Bedeutung zu. Sie sind nach § 11 daher gr<strong>und</strong>sätzlich unzulässig,<br />
es sei denn, sie sind durch eine Rechtsvorschrift oder zumindest durch<br />
eine Senatsverordnung ausdrücklich zugelassen. Sie sollen der beschleunigten<br />
Verarbeitung zwischen mehreren Daten verarbeitenden Stellen dienen.<br />
Das Verfahren gliedert sich gr<strong>und</strong>sätzlich in zwei Abschnitte: Die Einrichtung<br />
des Verfahrens durch die verantwortliche Stelle einschließlich der<br />
Autorisierung teilnehmender Stellen <strong>und</strong> der Bestimmung der zum Abruf<br />
90
ereitgehaltenen Daten einerseits <strong>und</strong> den Abruf im Einzelfall durch die<br />
autorisierte abrufende Stelle andererseits. Die Daten verarbeitende Stelle<br />
nimmt bei Einrichtung die Prüfung der Erforderlichkeit <strong>und</strong> der Zulässigkeit<br />
einer Übermittlung im Einzelfall in typisierender Betrachtung vorweg.<br />
Tatsächlich kann sie nach Einrichtung eines solchen Anschlusses den<br />
einzelnen Abruf nicht mehr beeinflussen. Aus diesem Gr<strong>und</strong> hat der Gesetzgeber<br />
die datenschutzrechtliche Verantwortung <strong>für</strong> die Rechtmäßigkeit<br />
des Abrufs in ausdrücklich der abrufenden Stelle zugeordnet (§ 14 Abs. 3<br />
S. 4).<br />
§ 11 regelt die Voraussetzungen der Zulässigkeit sowie die Ausgestaltung<br />
des technischen Verfahrens durch die verantwortliche Daten verarbeitende<br />
Stelle. Aus Gründen der Verhältnismäßigkeit <strong>und</strong> weil insbesondere in dem<br />
letztgenannten Fall der Gr<strong>und</strong>satz der Erhebung beim Betroffenen umgangen<br />
werden kann, wird diese Form der Übermittlung typischerweise auf<br />
Sachverhalte von geringerer Eingriffstiefe oder besonderer Eilbedürftigkeit<br />
beschränkt. Besonderen Anforderungen <strong>für</strong> besondere Verarbeitungserfordernisse<br />
kann darüber hinaus im Rahmen der Senatsverordnung<br />
nach Abs. 2 bereichsspezifisch Rechnung getragen werden.<br />
Absatz 1<br />
Die Einrichtung automatisierter Abrufverfahren durch öffentliche Stellen ist<br />
prinzipiell nur auf der Gr<strong>und</strong>lage ausdrücklicher Rechtsvorschriften zugelassen;<br />
die Einrichtung solcher Verfahren wird nicht dem Ermessen <strong>und</strong><br />
der Einzelabwägung der beteiligten Behörden überlassen.<br />
Absatz 2<br />
In S. 1 wird die Einführung durch Rechtsverordnung des Senats zugelassen,<br />
wenn spezialgesetzliche Ermächtigungen zur Durchführung eines<br />
automatisierten Abrufs fehlen. Sind außerhamburgische Körperschaften<br />
betroffen, bedarf es des Abschlusses eines Staatsvertrages (21. TB, 17.2)<br />
Mit S. 2 wollte der Gesetzgeber die Unterrichtung der oder des <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>beauftragten sicherstellen, damit sogleich oder auch<br />
später eine datenschutzrechtliche Kontrolle durchgeführt werden kann.<br />
Daneben ist die Beteiligung im Gesetzgebungsverfahren durch die Beteiligungsrichtlinie<br />
geregelt. Bei der Einrichtung eines automatisierten Abrufverfahrens<br />
handelt es sich regelmäßig um eine wesentliche Änderung<br />
eines bereits bestehenden automatisierten Verfahrens, so dass immer<br />
auch eine neue Vorabkontrolle nach § 8 vorgenommen werden muss.<br />
91
Die S. 3 bis 5 schreiben den erforderlichen Regelungsinhalt der Verordnung<br />
vor. Die Einrichtung eines automatisierten Abrufverfahrens muss<br />
immer unter Berücksichtigung der schutzwürdigen Belange der Betroffenen<br />
angemessen sein. Neben den in S. 2 genannten Inhalten müssen<br />
auch die erforderlichen technisch-organisatorischen Maßnahmen sowie<br />
Maßnahmen zur <strong>Datenschutz</strong>kontrolle festgelegt werden. Einzelheiten<br />
dazu sind in der Verordnung zu regeln, insbesondere, welche Stelle die<br />
Verantwortung <strong>für</strong> die inhaltliche Prüfung trägt. Dabei wird es bei komplexen<br />
Materien <strong>und</strong> mehreren abrufberechtigten Stellen sachgerecht sein,<br />
die Rechtmäßigkeit durch die abrufende Stelle prüfen zu lassen <strong>und</strong> der<br />
Daten bereit haltenden Stelle das Ergebnis zurückzumelden. Insbesondere<br />
bei hohem <strong>und</strong> sehr hohem Schutzbedarf der verarbeiteten Daten<br />
oder des Verarbeitungszusammenhangs sind Prüfungsroutinen wie Stichprobenkontrollen<br />
angezeigt (vgl. 21. TB, 16.1), mit denen im Nachhinein<br />
die Zulässigkeit einzelner Abrufe geprüft werden kann.<br />
S. 6 stellt klar, dass § 11 lediglich die Einrichtung des automatisierten Abrufverfahrens<br />
regelt; die materiell-rechtliche Zulässigkeit des einzelnen Abrufs<br />
bestimmt sich nach den §§ 12 ff.<br />
Absatz 3<br />
Abs. 3 schränkt die <strong>für</strong> den Abruf durch Dritte geltenden Restriktionen <strong>für</strong><br />
Abrufe innerhalb einer Daten verarbeitenden Stelle ein. Innerhalb einer<br />
Daten verarbeitenden Stelle erfolgen Abrufe, wenn die übermittelnde Einheit<br />
<strong>und</strong> die Einheit, an die Daten weitergegeben werden, unterschiedliche<br />
Aufgaben wahrnehmen. Die Zulassung erfolgt unter den gleichen Voraussetzungen<br />
wie beim Abruf durch Dritte (vgl. Abs. 2), doch tritt an die Stelle<br />
einer Rechtsverordnung des Senats ein innerdienstlicher Organisationsakt<br />
der Behördenleitung. Nach S. 2 ist auch vor der Einrichtung dieser Art von<br />
automatisierter Abrufverfahren die Anhörung der bzw. des <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>beauftragten obligatorisch.<br />
Absatz 4<br />
Unzulässig sind automatisierte Abrufverfahren im Verhältnis der öffentlichen<br />
Verwaltung zu Stellen außerhalb des öffentlichen Bereichs. Privaten<br />
Stellen soll kein unmittelbarer Zugriff auf Datenbanken der öffentlichen<br />
Verwaltung mit personenbezogenem Inhalt ermöglicht werden. Dies gilt<br />
nicht in den Fällen, in denen die Betroffenen ihre eigenen Daten abrufen<br />
können; hier kann keine Verletzung des informationellen Selbstbestimmungsrechts<br />
erfolgen.<br />
92
Absatz 5<br />
In Abs. 5 privilegiert der Gesetzgeber Abrufverfahren, die sich aus öffentlichen<br />
Quellen speisen oder Daten beinhalten, die die Daten verarbeitende<br />
Stelle veröffentlichen dürfte. In diesem Falle ist die Eingriffstiefe in das<br />
informationelle Selbstbestimmungsrecht der Betroffenen gering, weshalb<br />
eine Rechtsverordnung nach den vorgenannten Bestimmungen entbehrlich<br />
ist. Die sonstigen Verarbeitungsvoraussetzungen bleiben jedoch<br />
unberührt.<br />
Zu § 11 a Gemeinsame <strong>und</strong> verb<strong>und</strong>ene automatisierte<br />
Dateien<br />
Mit Umsetzung der EG-<strong>Datenschutz</strong>richtlinie 2001 hat der Gesetzgeber<br />
entsprechend Art. 20 der Richtlinie neben den automatisierten Abrufverfahren<br />
auch die Verarbeitung in gemeinsamen oder verb<strong>und</strong>enen Dateien<br />
als besonders gefährdende Verarbeitungsform angesehen <strong>und</strong> im Wesentlichen<br />
denselben erhöhten Verarbeitungsvoraussetzungen unterstellt, wie<br />
sie in § 11 seit langem <strong>für</strong> die automatisierten Abrufverfahren gelten.<br />
Auch § 11a regelt ausschließlich die Ausgestaltung des technischen<br />
Verfahrens bei Einbindung mehrerer Daten verarbeitender Stellen in ein<br />
Verfahren. Die materielle Verarbeitungsbefugnis jeder einzelnen Stelle<br />
nach den allgemeinen Vorschriften bleibt unberührt (Abs. 1 S. 5): Nach § 14<br />
Abs. 3 trägt jede beteiligte Stelle die datenschutzrechtliche Verantwortung<br />
<strong>für</strong> die Rechtmäßigkeit ihrer Verarbeitung in oder aus der gemeinsamen<br />
oder verb<strong>und</strong>enen Datei.<br />
Wie in § 11 gilt, dass nur öffentliche Stellen an gemeinsamen oder verb<strong>und</strong>enen<br />
Dateien teilnehmen dürfen. Einer ausdrücklichen Regelung wie in<br />
§ 11 Abs. 4, wonach die Verarbeitung zusammen mit Stellen außerhalb des<br />
öffentlichen Bereichs ausgeschlossen wäre, bedarf es wegen der gesetzlichen<br />
Definition der Daten verarbeitenden Stelle in § 4 Absatz 3 nicht.<br />
Automatisierte Verfahren werden typischerweise als Fachverfahren zur<br />
Unterstützung eines bestimmten Aufgabenkreises <strong>für</strong> eine zuständige<br />
Stelle <strong>und</strong> ihre Mitarbeiter eingerichtet. Diese erhalten im Rahmen eines<br />
Rechte- <strong>und</strong> Rollenkonzepts Zugriffsberechtigungen in dem <strong>für</strong> ihre Aufgabenerfüllung<br />
erforderlichen Umfang. Sind mehrere örtlich zuständige Stellen<br />
mit derselben Aufgabe betraut, können die Daten bei entsprechender<br />
Abschottung der Bereiche in einem gemeinsamen Fachverfahren vorgehalten<br />
werden. Gleiches gilt <strong>für</strong> Daten, die in den verschiedensten Verarbeitungszusammenhängen<br />
erforderlich sind <strong>und</strong> aus einer gemeinsamen<br />
Datei auch in eigene Fachverfahren übernommen werden wie z.B. die<br />
93
Kommunikationsdaten der Mitarbeiter nach der Verwaltungsverzeichnisverordnung<br />
(VerwVerzV).<br />
Die besondere Gefährdungslage bezüglich der informationellen Selbstbestimmung,<br />
<strong>und</strong> damit der Regelungsbedarf, steigt gegenüber § 11<br />
nochmals in den Fällen, in denen mehrere Stellen in einem automatisierten<br />
Verfahren nicht nur lesend (Abruf), sondern auch schreibend (Eingabe,<br />
Veränderung, Löschung) unmittelbar auf einen Datenbestand zugreifen<br />
können, der entweder als gemeinsame (zentrale) Datei oder als Dateienverb<strong>und</strong><br />
konzipiert ist. Die Fälle sind dadurch gekennzeichnet, dass der<br />
Datenbestand ohne zentrale Kontrolle durch eine bestimmte Daten verarbeitende<br />
Stelle von allen angeschlossenen Stellen unmittelbar bedient<br />
werden kann, <strong>und</strong> dass die eingebende Stelle keine Kontrolle darüber hat,<br />
wer eine von ihr eingegebene Information nutzt. Bereichsspezifische Beispiele<br />
<strong>für</strong> Regelungen über gemeinsame Dateien finden sich in Hamburg<br />
z.B. in § 1 Ausländerdateienverordnung <strong>und</strong> in § 1 Verwaltungsverzeichnis-<br />
Verordnung.<br />
Die Vorschrift orientiert sich in Aufbau <strong>und</strong> Inhalt an § 11.<br />
Absatz 1<br />
Die Einrichtung der näher bezeichneten automatisierten Dateien, in oder<br />
aus denen mehrere hamburgische öffentliche Stellen personenbezogene<br />
Daten verarbeiten dürfen, bedarf nach S. 1 der ausdrücklichen Zulassung<br />
durch eine Rechtsvorschrift. Gr<strong>und</strong>sätzlich sollten gemeinsame <strong>und</strong> verb<strong>und</strong>ene<br />
Dateien wegen der besonderen Gefährdungen der Rechte der<br />
Betroffen vorzugsweise vom Gesetzgeber spezialgesetzlich geregelt werden.<br />
So ist auf unsere Empfehlung die Ermächtigung <strong>für</strong> eine gemeinsame<br />
Datei <strong>für</strong> ein hochschulübergreifendes Identitätsmanagement in § 111 Absatz<br />
4 des <strong>Hamburgische</strong>n Hochschulgesetzes aufgenommen worden<br />
(vgl. 22. TB, 11.1, 23. TB, 11.2).<br />
S. 2 ermächtigt den Senat parallel zu § 11 Abs. 2 S. 1, die Einrichtung<br />
solcher Dateien durch Rechtsverordnung zuzulassen, wenn es keine spezialgesetzliche<br />
Ermächtigung dazu gibt. S. 3 verweist auf die parallelen<br />
Regelungen in § 11 Abs. 2.<br />
Nach S. 4 sind <strong>für</strong> gemeinsame <strong>und</strong> verb<strong>und</strong>ene Dateien insbesondere<br />
Regelungen darüber zu treffen, welche Stellen an der gemeinsamen oder<br />
verb<strong>und</strong>enen Datei teilnehmen, welche Verarbeitungsbefugnisse die einzelnen<br />
Stellen jeweils haben <strong>und</strong> – als Ausfluss der verfassungsrechtlichen<br />
Konstruktion der Freien <strong>und</strong> Hansestadt Hamburg als Einheitsgemeinde –<br />
welche der teilnehmenden Stellen unabhängig vom Umfang ihrer tatsäch-<br />
94
lichen Beteiligung am Verfahren die datenschutzrechtliche Gesamtverantwortung<br />
gegenüber den Betroffenen trägt.<br />
Auch bei gemeinsamen oder verb<strong>und</strong>enen Dateien ist ein besonderes<br />
Augenmerk auf die Ausgestaltung der technisch-organisatorischen Sicherungsmaßnahmen<br />
zu legen. Insbesondere ist durch geeignete Sperrungs<strong>und</strong><br />
Löschungsroutinen sicherzustellen, dass jede beteiligte Stelle nur<br />
soweit <strong>und</strong> solange Daten aus der gemeinsamen Datei nutzen kann, wie<br />
sie ihr bei alleiniger Verarbeitung gesetzlich zur Verfügung stehen würden.<br />
Absatz 2<br />
Abs. 2 regelt analog dem Abrufverfahren die Zulassung gemeinsamer Dateien<br />
innerhalb einer Daten verarbeitenden Stelle durch Dienststellenleiterverfügung,<br />
wenn Daten aus verschiedenen Aufgabenbereichen zusammengeführt<br />
<strong>und</strong> gemeinsam verarbeitet werden sollen. Auch hier sind<br />
die Grenzen der materiellen Verarbeitungsbefugnisse wie Erforderlichkeit<br />
im Einzelfall oder Ausschluss gemeinsamer Dateien durch Spezialgesetze<br />
beachtlich. Im einzelnen vgl. zu § 11 Abs. 3.<br />
Zu § 12 Datenerhebung<br />
Absatz 1<br />
Die Datenerhebung ist nach § 4 Abs. 2 S. 2 Nr. 1 eine Form der in § 4<br />
Abs. 2 benannten sieben Phasen der Datenverarbeitung. „Erhebung“ ist<br />
das zielgerichtete „Beschaffen von Daten über Betroffene“ durch die<br />
öffentliche Stelle, § 4 Abs. 2 S. 2 Nr. 1. „Nicht unter den Erhebungsbegriff<br />
fallen personenbezogene Daten, die von Betroffenen selbst oder von Dritten<br />
ohne Anforderung der öffentlichen Stelle geliefert werden, sowie Erkenntnisse,<br />
die der Verwaltungsbehörde durch Zufall bekannt werden“ (Bü-Drs.<br />
13/3282 zu § 12). In diesen Fällen kommt dann – auch ohne eine Erhebung<br />
– eine weitere Verarbeitung durch Speichern, Nutzen oder Übermitteln in<br />
Betracht, wobei § 13 Abs. 1 S. 2 deren Zweck an den Zweck der erstmaligen<br />
rechtmäßigen Speicherung bindet.<br />
Auch zur Datenerhebung gibt es eine Reihe von Spezialvorschriften, die<br />
§ 12 vorgehen. Hier sind insbesondere die zahlreichen Datenerhebungsnormen<br />
im Polizeirecht <strong>und</strong> <strong>für</strong> den Verfassungsschutz zu nennen: §§ 5 –<br />
12 Gesetz über die Datenverarbeitung der Polizei (PolDVG), §§ 7, 8 <strong><strong>Hamburgische</strong>s</strong><br />
Verfassungsschutzgesetz (HmbVerfSchG).<br />
95
Nach § 12 ist Zulässigkeitsvoraussetzung der Datenerhebung, dass die<br />
Kenntnis der Daten <strong>für</strong> die rechtmäßige Aufgabenerfüllung der öffentlichen<br />
Stelle erforderlich ist. „Erforderlich ist die Datenerhebung nicht erst dann,<br />
wenn kein anderes Mittel zur Aufgabenerfüllung zur Verfügung steht (ultima<br />
ratio). Es genügt, wenn die Aufgabe auf andere Weise nur unter unverhältnismäßig<br />
großen Schwierigkeiten erfüllt werden könnte“ (Bü-Drs. 13/3282 zu<br />
§ 12). Dagegen reicht es nicht aus, dass die Daten <strong>für</strong> gegenwärtige oder<br />
zukünftige Behördenaufgaben nützlich sein könnten.<br />
So musste die Justizbehörde <strong>für</strong> die Zahnbehandlung von Gefangenen<br />
einen neuen Vordruck entwickeln, der keine Felder <strong>für</strong> Vorstrafen, Delikte<br />
<strong>und</strong> Strafmaß mehr enthielt (21. TB 2006/2007,10.5), weil diese Daten <strong>für</strong><br />
die Aufgabe Zahnbehandlung nicht erforderlich sind. Auch das hochschulübergreifende<br />
Identitätsmanagement eCampus-IDMS muss sich auf<br />
die Erhebung der wenigen Studierenden-Daten beschränken, die <strong>für</strong> hochschulübergreifende<br />
Zusammenarbeit <strong>und</strong> <strong>für</strong> den Bibliothekenverb<strong>und</strong><br />
tatsächlich gebraucht werden (22. TB 2008/2009, III 11.1). Die Hamburg<br />
Port Authority musste schließlich die Erhebung von Kfz-Kennzeichen durch<br />
Videoaufzeichnungen einstellen. Mit diesen wollte sie die Verkehrsströme<br />
im Hafengebiet analysieren. Diese Erhebung der personenbezogenen<br />
Kfz-Daten war nicht erforderlich, weil geeignete Verfahren zur Pseudonymisierung<br />
unmittelbar bei Aufzeichnung zur Verfügung standen (23. TB<br />
2010/2011, III 14.1).<br />
Wie weit die Aufgabe einer öffentlichen Stelle reicht, ergibt sich gr<strong>und</strong>sätzlich<br />
aus den Rechtsgr<strong>und</strong>lagen, die die konkrete Behörde anwendet. Darüber<br />
hinaus können bestimmte Annexkompetenzen <strong>und</strong> -aufgaben anerkannt<br />
werden, etwa die Beschaffung von Büromaterial, die Beauftragung<br />
von Handwerkern oder die Versendung von Ratgebern <strong>und</strong> Informationsmaterial.<br />
Auch die Erhebung personenbezogener (K<strong>und</strong>en-, Adress-)Daten<br />
zu diesen Zwecken kann erforderlich sein.<br />
Absatz 2<br />
In Abs. 2 S. 1 wird der Gr<strong>und</strong>satz der offenen „Erhebung beim Betroffenen“<br />
normiert. „Denn nur auf diesem Wege kann er sein Recht, selbst über die<br />
Preisgabe <strong>und</strong> Verwendung seiner Daten bestimmen zu dürfen, wirksam<br />
ausüben. Die Erhebung personenbezogener Daten ohne seine Kenntnis –<br />
bei Behörden oder privaten Stellen – oder auch durch eine verdeckte Beobachtung…<br />
soll im Gr<strong>und</strong>satz ausgeschlossen sein. Der so umrissene<br />
Schutzgedanke lässt es aber zu, dass der Betroffene eines Verwaltungsverfahrens<br />
z.B. über personenbezogene Daten Dritter – sie sind ebenfalls „Betroffene“<br />
im Sinne des Gesetzes – selbst Auskunft gibt, wenn das Gesetz<br />
seine Rechtsposition von den persönlichen Verhältnissen dieser Personen<br />
96
abhängig macht (z.B. von Ehegatten, Eltern <strong>und</strong> Kindern)“ (Bü-Drs. 13/3282<br />
zu § 12).<br />
Werden Daten nicht nur von einem einzelnen Betroffenen erhoben, sondern<br />
von einem bestimmbaren Personenkreis, nimmt S. 2 die Anforderungen<br />
„insoweit zurück, als in diesem Fall nicht die positive Kenntnisnahme,<br />
sondern lediglich die zumutbare Möglichkeit einer Kenntnisnahme von der<br />
Datenerhebung gefordert wird“ (Bü-Drs. 16/3995, zu Nr. 14 (§ 12)). Diese<br />
Regelung zielte seinerzeit vor allem auf Videoüberwachungen mit deutlichen<br />
Hinweisschildern ab <strong>und</strong> wurde durch die Einfügung des § 30 im<br />
Jahre 2010 weitgehend obsolet.<br />
Der Gr<strong>und</strong>satz der offenen Erhebung beim Betroffenen gilt jedoch nicht<br />
ausnahmslos. Ohne Kenntnis der Betroffenen dürfen personenbezogene<br />
Daten bei ihnen selbst oder bei einer anderen Stelle erhoben werden,<br />
wenn eine Rechtsvorschrift dies ausdrücklich zulässt „oder die Wahrnehmung<br />
einer durch Gesetz oder Rechtsverordnung begründeten Aufgabe<br />
die Verarbeitung dieser Daten zwingend voraussetzt“, S. 3 <strong>und</strong> 4 in Verbindung<br />
mit § 13 Abs. 2 Nr. 1. In der ersten Alternative weisen die S. 3 <strong>und</strong> 4<br />
etwa auf die Datenerhebungsvorschriften der §§ 2, 7 PolDVG, §§ 7, 8<br />
HmbVerfSchG <strong>und</strong> § 25 Abs. 2 <strong><strong>Hamburgische</strong>s</strong> Ges<strong>und</strong>heitsdienstgesetz<br />
hin. Zu „zwingend voraussetzt“ siehe unten zu § 13.<br />
Eine Datenerhebung beim Betroffenen ohne dessen Kenntnis ist nach S. 4<br />
darüber hinaus, also ohne bereichsspezifische Rechtsgr<strong>und</strong>lage, zulässig<br />
zum Schutz von Leben, Ges<strong>und</strong>heit <strong>und</strong> der natürlichen Lebensgr<strong>und</strong>lagen.<br />
Letzteres bezieht sich auf erhebliche Umweltschäden, die etwa<br />
durch Unfälle oder Straftaten drohen.<br />
S. 5 betont „zugleich die besondere Geltung des Verhältnismäßigkeitsgr<strong>und</strong>satzes<br />
im <strong>Datenschutz</strong>recht. Die Vorschrift soll unangemessene <strong>und</strong> unzumutbare<br />
Methoden bei der Erhebung, ebenso aber auch unzumutbare<br />
Fragen ausschließen“ (Begründung zur ursprünglichen Fassung des § 12,<br />
Bü-Drs. 13/3282).<br />
Zu § 12 a Unterrichtung bei der Erhebung<br />
Die 2009 eingeführte Vorschrift hat den Sinn, eine Datenverarbeitung nach<br />
Treu <strong>und</strong> Glauben sicherzustellen, wie es die EG-<strong>Datenschutz</strong>richtlinie mit<br />
ihren Unterrichtungspflichten vorgibt. „Dabei wird die bisherige Systematik<br />
beibehalten, die zwischen der Datenerhebung bei Betroffenen mit ihrer<br />
Kenntnis, der Erhebung bei Dritten <strong>und</strong> der Erhebung bei den Betroffenen<br />
ohne ihre Kenntnis unterscheidet“ (Bü-Drs. 16/3995 zu Nr. 15, § 12 a<br />
– neu –). Die bereichsspezifisch geregelten Benachrichtigungspflichten,<br />
97
z.B. in § 10 c Abs. 4 Gesetz über die Datenverarbeitung der Polizei, § 8<br />
Abs. 6 <strong><strong>Hamburgische</strong>s</strong> Verfassungsschutzgesetz, § 12 Art.10-Gesetz,<br />
gehen der allgemeinen Regelung in § 12a vor.<br />
Absatz 1<br />
Bei der offenen Datenerhebung muss die Behörde die Betroffenen darüber<br />
aufklären, welchem Zweck die Datenverarbeitung dient, welcher Empfängerkreis<br />
die Daten – voraussichtlich – erhält, welche Rechtsvorschrift der<br />
Erhebung zugr<strong>und</strong>e liegt <strong>und</strong> ob eine Auskunftspflicht (oder eine<br />
Auskunftsobliegenheit zur Erlangung von Rechtsvorteilen) besteht oder ob<br />
die Datenoffenbarung freiwillig ist. Diese Aufklärungspflicht entfällt, soweit<br />
die Betroffenen mit der Datenübermittlung an die konkreten Empfänger<br />
rechnen mussten, d.h. Übermittlung <strong>und</strong> Empfänger sich den Betroffenen<br />
aufdrängen mussten. Im Übrigen entfällt die Pflicht zur Aufklärung, wenn<br />
die Betroffenen die genannten Informationen bereits positiv kennen. Die<br />
bloße Möglichkeit der Kenntnisnahme aufgr<strong>und</strong> von Aushängen oder<br />
Hinweisen usw. reicht dazu nicht. Nur bei schriftlicher Erfassung der Daten<br />
sollen (nicht: müssen) die Betroffenen auch über ihr Auskunfts- <strong>und</strong> Berichtigungsrecht<br />
unterrichtet werden.<br />
Absatz 2<br />
Bei der verdeckten Datenerhebung – bei den Betroffenen selbst oder bei<br />
einer anderen Stelle – muss die Behörde die Betroffenen in der Regel zusätzlich<br />
auch über die Art der erhobenen Daten aufklären. Werden die<br />
Daten in einer Datei erfasst, muss die Aufklärung bei Beginn der Speicherung<br />
erfolgen, anderenfalls bis zur ersten Durchführung einer beabsichtigten<br />
Übermittlung. Anders als bei der offenen Erhebung nach Abs. 1 wird<br />
die Rechtsgr<strong>und</strong>lage als Aufklärungsgegenstand hier nicht genannt. Es ist<br />
jedoch kein Gr<strong>und</strong> ersichtlich, warum die verdeckte Erhebung gegenüber<br />
der offenen Erhebung in dieser Beziehung privilegiert werden sollte. Die<br />
Worte „zu benachrichtigen <strong>und</strong> dabei…anzugeben“ sind deswegen auch<br />
als ein Verweis auf Abs. 1 S. 2 zu verstehen. Gerade bei der verdeckten<br />
Datenerhebung ist <strong>für</strong> die Betroffenen der Hinweis auf die Rechtsgr<strong>und</strong>lage<br />
besonders wichtig.<br />
Absatz 3<br />
„Absatz 3 regelt die Ausnahmen von der Benachrichtigungspflicht nach<br />
Absatz 2. Von den Ausnahmemöglichkeiten, die sich aus dem beschränkten<br />
Anwendungsbereich der EG-<strong>Datenschutz</strong>richtlinie sowie ihrem Artikel 11<br />
Absatz 2 <strong>und</strong> 13 ergeben, wird dabei umfassend Gebrauch gemacht, um<br />
den anderenfalls zu erwartenden Verwaltungsaufwand zu vermeiden, der in<br />
98
keinem angemessenen Verhältnis zu dem durch die Benachrichtigung verfolgten<br />
Schutzzweck stünde“, Bü-Drs. 16/3995 zu Nummer 15 (§ 12 a neu).<br />
Bei der verdeckten Datenerhebung unterbleibt die Benachrichtigung,<br />
wenn die Datenverarbeitung allgemein der Strafverfolgung oder der Gefahrenabwehr<br />
durch die Polizei oder durch eine Fachbehörde dient. Zusätzlich<br />
normiert Satz 2 entsprechend den Vorgaben der EG-<strong>Datenschutz</strong>richtlinie<br />
weitere fünf Ausnahmen von der Unterrichtungspflicht. Eine Aufklärung<br />
der Betroffenen unterbleibt, wenn ein bereichsspezifisches Spezialgesetz<br />
die Datenverarbeitung – insbesondere die Datenerhebung –<br />
ausdrücklich vorsieht oder die Aufklärung die Wahrnehmung öffentlicher<br />
Aufgaben gefährden oder schutzwürdige Geheimhaltungsinteressen einzelner<br />
Personen verletzen würde. Darüber hinaus rechtfertigen auch die<br />
Unmöglichkeit der Benachrichtigung <strong>und</strong> ein „unverhältnismäßiger Aufwand“<br />
einen Verzicht auf die Unterrichtung der Betroffenen. „Unmöglich ist<br />
die Benachrichtigung, wenn die Betroffenen nicht ausreichend identifizierbar,<br />
insbesondere keine Adressen bekannt sind. Die Benachrichtigungspflicht<br />
selbst ist keine Rechtsgr<strong>und</strong>lage <strong>und</strong> begründet auch keine Rechtspflicht<br />
zur Erhebung von Daten mit dem alleinigen Zweck, die Benachrichtigung<br />
zu ermöglichen. Die Unverhältnismäßigkeit des Aufwandes ist im Einzelfall<br />
in Abwägung mit dem Informationsinteresse der Betroffenen zu<br />
bewerten“ (Bü-Drs. 16/3995, zu Nummer 15, § 12 a – neu –).<br />
Zum Ausgleich <strong>für</strong> diese vielfältigen Einschränkungen der Aufklärungspflicht<br />
verlangen Art. 11 <strong>und</strong> 13 EG-<strong>Datenschutz</strong>richtlinie „geeignete Garantien“<br />
<strong>für</strong> die Betroffenen. Dies setzt Satz 3 um: Er verpflichtet die Daten<br />
erhebende Stelle, die <strong>Datenschutz</strong>beauftragte oder den <strong>Datenschutz</strong>beauftragten<br />
(der Behörde bzw. der Stadt Hamburg) anzuhören, wenn sie den<br />
Aufklärungsverzicht mit einer ausdrücklichen gesetzliche Regelung, der<br />
Unmöglichkeit der Aufklärung oder einem „unverhältnismäßigen Aufwand“<br />
begründen will. Die Anhörungspflicht besteht im letzteren Falle jedoch wiederum<br />
nur dann, wenn sich der Aufklärungsverzicht auf eine Vielzahl von<br />
Einzelfällen auswirkt. Damit wird das Anhörungsrecht des oder der <strong>Datenschutz</strong>beauftragten<br />
tendenziell wieder stark eingeschränkt.<br />
Absatz 4<br />
Sehen Rechtsvorschriften vor, dass die öffentliche Stelle Daten Betroffener<br />
auch bei einem privaten Dritten, z.B. beim Vermieter oder beim Arbeitgeber,<br />
erheben darf, so muss die Stelle diese Dritten über die Vorschrift<br />
<strong>und</strong> darüber aufklären, ob die Datenoffenbarung freiwillig ist, einer Auskunftspflicht<br />
unterliegt oder Voraussetzung <strong>für</strong> eine Rechtsgewährung an<br />
die betroffene Person ist.<br />
99
Zu § 13 Zulässigkeit der weiteren Datenverarbeitung;<br />
Zweckbindung<br />
Absatz 1<br />
Wie schon die Erhebung (§ 12) ist auch die weitere Verarbeitung der erhobenen<br />
Daten nur zulässig, wenn sie im Rahmen der gesetzlich übertragenen<br />
Aufgaben oder anzuerkennender Annexkompetenzen der öffentlichen<br />
Stelle erfolgt <strong>und</strong> <strong>für</strong> die Aufgabenwahrnehmung erforderlich ist<br />
(siehe dazu § 12), S. 1 Nr. 1. Das gilt auch <strong>für</strong> eine Datenverarbeitung, <strong>für</strong><br />
die eine Einwilligung der Betroffenen eingeholt wurde.<br />
Die im Jahre 2001 nur redaktionell veränderte Vorschrift des § 13 enthält in<br />
Abs. 1 S. 1 Nr. 2 „die zentrale Zweckbindungsregelung <strong>für</strong> die Datenverarbeitung<br />
durch eine öffentliche Stelle, die beim Bürger personenbezogene<br />
Daten zu bestimmten Zwecken zulässigerweise erhoben hat. Das mit der<br />
Einbeziehung der Erhebungsphase in den Schutzbereich des Gesetzes gewährleistete<br />
Recht des Betroffenen, im Regelfall selbst über die Preisgabe<br />
<strong>und</strong> Verwendung seiner Daten bestimmen zu dürfen, hat zur logischen Konsequenz,<br />
dass der Verwendungszweck der Daten bei der anschließenden<br />
Verarbeitung gr<strong>und</strong>sätzlich nicht ohne Wissen des Betroffenen geändert<br />
werden darf. Die Zweckbindung gilt aber nicht nur <strong>für</strong> personenbezogene<br />
Daten, die zielgerichtet erhoben worden sind, sondern auch <strong>für</strong> solche<br />
Daten, die der Verwaltung ohne ihr Zutun zugehen oder erst, wie z.B. Einbürgerungen<br />
oder Namensänderungen, durch behördliches Handeln entstehen<br />
(Abs. 1 S. 2)“ (Bü-Drs. 13/3282 zu § 13).<br />
Die Grenzen der Aufgaben- <strong>und</strong> Zweckbindung bzw. der Umfang der<br />
Zweckidentität können im Einzelfall schwer zu bestimmen sein. „Es besteht<br />
aber keine Veranlassung, die Zweckidentität nach zu engen Kriterien zu bestimmen.<br />
Da der Zweck einer jeden Datenverarbeitung im Regelfall die Erreichung<br />
fachlicher Ziele ist, muss sich die Bestimmung einer Zweckidentität<br />
maßgebend nach der Art der fachlichen Aufgabe richten; es ist damit<br />
zunächst Aufgabe der öffentlichen Stelle, eine fachbezogene Abgrenzung<br />
vorzunehmen. Zweckidentität besteht z.B. in folgenden Falllagen:<br />
– Vorrangig zu nennen sind die „Annexfälle“. In den Zusammenhang einer<br />
Fachaufgabe gehören z.B. die Abwicklung von Schadensersatzansprüchen<br />
aus Anlass dieser Tätigkeit, die Beauftragung <strong>und</strong> Information<br />
von Rechtsanwälten, die Hinzuziehung von Sachverständigen, die Abrechnung<br />
der Kosten eines Verwaltungs- oder Gerichtsverfahrens.<br />
– In behördlichen Abstimmungsverfahren – z.B. Planfeststellungen –<br />
haben mehrere öffentliche Stellen ihre fachlichen Ziele <strong>und</strong> Erfahrung zu<br />
100
dem einen Zweck zusammenzufassen, die Zulässigkeit einer Maßnahme<br />
festzustellen (vgl. die deklaratorische Aussage in § 14 Abs. 1 S. 2).<br />
– Zweckidentität besteht zwischen der Gewerbeanmeldung des X im Jahre<br />
1983 <strong>und</strong> seiner erneuten Anmeldung (<strong>für</strong> ein anderes Gewerbe) in Jahre<br />
1988 (<strong>für</strong> den Rückgriff auf persönliche Anmeldegründe im Jahre 1983<br />
liegt hier jedoch eine andere Wertung näher); entsprechendes gilt <strong>für</strong> die<br />
Daten zur Erlangung einer Gasölverbilligung im Jahre 1987 <strong>und</strong> erneut im<br />
Jahre 1988.<br />
– Ein Betrieb mit mehreren Produktgruppen ist auf Gr<strong>und</strong> verschiedener<br />
Rechtsvorschriften zu überwachen; die aus diesem Anlass zu den verschiedenen<br />
Bereichen verarbeiteten Daten dienen dem gleichen Zweck,<br />
soweit die Zuverlässigkeit des Betreibers zu beurteilen ist.<br />
– Zu dem behördlichen Zweck, Sorge <strong>für</strong> eine handlungsunfähige Person<br />
zu tragen, gehört die Information der Angehörigen über Aufenthalt <strong>und</strong><br />
Zustand der Person.<br />
– Der Streifenbeamte der Polizei verarbeitet (als Handeln im ersten Zugriff)<br />
Daten auch <strong>für</strong> die Zwecke derjenigen Ordnungsbehörden, die fachliche<br />
Aufgaben im Zusammenhang mit der festgestellten Gefahr <strong>für</strong> die öffentliche<br />
Sicherheit <strong>und</strong> Ordnung wahrnehmen.<br />
– Bei der Betreuung durch die Ges<strong>und</strong>heitsverwaltung wird es auf die Umstände<br />
ankommen, ob der betroffene Bürger sich zu einem bestimmten<br />
Zweck (z.B. Betreuung allein der Körperbehinderung) oder zu einer umfassenden<br />
Betreuung in die Obhut der Verwaltung begibt.“ (Bü-Drs.<br />
13/3282 zu § 13).<br />
Anders ist dagegen folgende Falllage zu beurteilen: Die Weitergabe der<br />
Personalien von Erbbauberechtigten an eine private Maklerfirma, damit<br />
diese mit den Berechtigten über den Verkauf ihres Erbbaurechts verhandelt,<br />
dient nicht demselben Zweck wie die erstmalige Speicherung dieser<br />
Daten vor vielen Jahren, um den Erbbauvertrag abzuschließen <strong>und</strong> durchzuführen<br />
(21. TB 2006/2007, 11.1).<br />
Satz 2 bindet die weitere Verarbeitung von Daten, die nicht gezielt zu einem<br />
bestimmten Zweck erhoben wurden, an den Zweck, zu dem die Daten erstmals<br />
gespeichert wurden. Das setzt allerdings unausgesprochen voraus,<br />
dass die Speicherung <strong>und</strong> ihr Zweck in den Zuständigkeits- <strong>und</strong> Aufgabenbereich<br />
der verantwortlichen Stelle fallen <strong>und</strong> auch die weiteren Voraussetzungen<br />
z.B. der Datensparsamkeit <strong>und</strong> Erforderlichkeit erfüllen.<br />
Absatz 2<br />
Eine weitere Datenverarbeitung <strong>für</strong> einen anderen Zweck ist nur unter den<br />
in Abs. 2 einzeln aufgeführten alternativen Bedingungen zulässig.<br />
101
Nach Ziff. 1 kann eine eigene Rechtsvorschrift dies ausdrücklich zulassen,<br />
z.B. § 14 Abs. 2 Gesetz über die Datenverarbeitung der Polizei, §§ 483, 485<br />
Strafprozessordnung. Eng auszulegen ist die zweite Möglichkeit einer<br />
zweckändernden Verarbeitung, wenn nämlich die Wahrnehmung einer gesetzlichen<br />
Aufgabe die Zweckänderung „zwingend voraussetzt“. Diese<br />
Voraussetzung liegt z.B. nicht vor, wenn die Justizbehörde zum Zwecke der<br />
Anerkennung eines ausländischen Scheidungsurteils die vollständige<br />
Ausländerakte von der Ausländerbehörde abfordert – <strong>und</strong> dies, obwohl die<br />
Spezialregelung in § 107 Gesetz <strong>für</strong> Familiensachen <strong>und</strong> freiwillige Gerichtsbarkeit<br />
eine solche Datenübermittlung nicht vorsieht (23. TB<br />
2010/2011, III 5.2.). „Die Vorschrift (§ 13 Abs. 2) soll den öffentlichen Stellen<br />
nicht prinzipiell die Möglichkeit einräumen, etwa ohne bereichsspezifische<br />
Normen Datenverarbeitung betreiben zu dürfen, sondern sie nur in denjenigen<br />
Fällen zur Datenverarbeitung legitimieren, in denen der Zweck vorhandener<br />
Normen eine andere Interpretation ausschließt“ (Bü-Drs. 13/3282 zu<br />
§ 13).<br />
In Ziff. 2 wird eine zweckändernde Datenübermittlung oder -offenbarung<br />
erlaubt, wenn die öffentliche Stelle wie ein privater Gläubiger ein „rechtliches<br />
Interesse“ – also ein Interesse an der Durchsetzung von Rechtsansprüchen<br />
– hat <strong>und</strong> dazu nach einer Abwägung mit den Betroffeneninteressen<br />
die <strong>für</strong> andere Zwecke erhobenen Daten nutzt.<br />
Ziff. 3 rechtfertigt eine zweckändernde Datenverarbeitung zur Überprüfung<br />
von Angaben der Betroffenen, wenn es tatsächliche Anhaltspunkte <strong>für</strong><br />
deren Unrichtigkeit gibt. Nicht erforderlich ist ein Täuschungsverdacht gegenüber<br />
den Betroffenen. „In diesen Fällen wird dem Gr<strong>und</strong>satz rechtmäßiger<br />
Aufgabenerfüllung Priorität zuerkannt. Dies liegt auch im Interesse des<br />
Betroffenen, der sich sonst möglicherweise später Erstattungsansprüchen<br />
oder sonstigen Maßnahmen der öffentlichen Verwaltung ausgesetzt sieht“<br />
(Bü-Drs. 13/3282 zu § 13).<br />
Ziff. 4 hebt die Zweckbindung auch auf <strong>für</strong> eine Datenverarbeitung zum<br />
Schutz von Gemeinwohl oder „gewichtigen Rechtspositionen“ Einzelner –<br />
„z.B. Leib, Leben, Freiheit, aber auch wesentliche Vermögensinteressen“<br />
(Bü-Drs. 13/3282 zu § 13). In diesem Bereich gehen jedoch regelmäßig<br />
bereichsspezifische Normen vor <strong>und</strong> regeln die Datenverarbeitung abschließend.<br />
Dies gilt etwa <strong>für</strong> das Gesetz <strong>für</strong> die Datenverarbeitung der Polizei,<br />
aber auch <strong>für</strong> die <strong>Datenschutz</strong>vorschriften des Sozialgesetzbuchs X<br />
<strong>für</strong> den gesamten Sozialleistungsbereich.<br />
Ziff. 5 nimmt die Strafverfolgung <strong>und</strong> den Strafvollzug ebenso von der<br />
Zweckbindung aus wie Bußgeldverfahren. Hier gelten sowohl <strong>für</strong> die<br />
102
Behörden als auch <strong>für</strong> die Gerichte in erster Linie die Prozessordnungen<br />
bzw. die Vollzugsgesetze.<br />
Ziff. 6 erlaubt die zweckändernde Datennutzung <strong>und</strong> -verarbeitung<br />
zugunsten der Betroffenen, wenn diese keine Einwilligung erteilen können.<br />
Das Verarbeitungsinteresse des Betroffenen muss allerdings „offensichtlich“<br />
sein. Ein aus Verwaltungssicht bestehendes „wohlverstandenes<br />
Eigeninteresse“, das aber dem – etwa früher geäußerten – tatsächlichen<br />
Willen der Betroffenen nicht entspricht, kann die Datenverarbeitung nicht<br />
rechtfertigen.<br />
Ziff. 7 lässt die anderweitige Verwendung von bereits veröffentlichten oder<br />
publizierbaren Daten zu. Dennoch muss die öffentliche Stelle prüfen, ob<br />
nicht schutzwürdige Interessen der Betroffenen „offensichtlich“ entgegenstehen.<br />
Daran ist z.B. zu denken, wenn die Daten unrichtig (geworden) sind<br />
– etwa weil der betroffene Mitarbeiter längst die Dienststelle verlassen hat,<br />
die seine Daten auf der Behörden-Homepage veröffentlichte.<br />
Ziff. 8 wurde später eingefügt <strong>und</strong> stellt klar, dass die Zweckbindung der<br />
Datenerhebung nicht der Beantwortung von Eingaben <strong>und</strong> Kleinen <strong>und</strong><br />
Großen Anfragen entgegensteht. Hier wird das Verfassungsrecht des Parlaments<br />
dem informationellen Selbstbestimmungsrecht der Betroffenen<br />
vorgezogen. Eine Grenze findet die Fragen-Beantwortung auch hier in den<br />
schutzwürdigen Interessen der Betroffenen. Dies kann etwa bei anvertrauten<br />
Sozialdaten der Jugendhilfe einer Beantwortung entgegenstehen, vgl.<br />
§ 65 Sozialgesetzbuch VIII.<br />
In S. 2 wird die in den Ziff. 2–8 aufgehobene Zweckbindung <strong>für</strong> solche<br />
Daten wieder hergestellt, die einer beruflichen Schweigepflicht oder einem<br />
besonderem Amtsgeheimnis unterliegen <strong>und</strong> der öffentlichen Stelle von<br />
den Verpflichteten „zur Verfügung gestellt“ wurden. Dabei ist es unerheblich,<br />
ob die öffentliche Stelle die Daten mit Einwilligung oder aufgr<strong>und</strong> einer<br />
gesetzlichen Übermittlungsbefugnis erhalten hat. Auch die Datenweitergabe<br />
innerhalb derselben Stelle – z.B. durch einen schweigeverpflichteten<br />
Sozialarbeiter – ist eine „Zur-Verfügung-Stellung“, einer Übermittlung im<br />
<strong>Datenschutz</strong>sinne bedarf es nicht.<br />
So darf die Schule keine Ges<strong>und</strong>heitsinformationen an Dritte weitergeben,<br />
die sie vom Arzt eines Schülers zum Zweck seiner Förderung erhalten hat.<br />
Auch darf eine Justizvollzugsanstalt Informationen, die sie mit Einwilligung<br />
des Betroffenen von dessen Bewährungshelfer (schweigeverpflichteter Sozialarbeiter)<br />
bekommen hat, nicht an andere Stellen weitergeben (22. TB<br />
2008/2009, III 6.2) Auch die polizeiliche Koordinierungsstelle <strong>für</strong> Fallkonferenzen<br />
zu jugendlichen Intensivtätern darf ohne besondere Einwilligung<br />
103
der Betroffenen keine Informationen an die anderen Fallkonferenzteilnehmer<br />
weitergeben, wenn sie von einem schweigeverpflichteten Bewährungshelfer<br />
stammen.<br />
Absatz 3<br />
„Absatz 3 stellt klar, dass die Nutzung personenbezogener Daten im Rahmen<br />
von Aufsichts- <strong>und</strong> Kontrollbefugnissen, die Rechnungsprüfung (dazu<br />
gehört auch die Vorprüfung nach § 100 LHO <strong>und</strong> § 56 Absatz 3 HGrG) oder<br />
auch von Organisationsuntersuchungen nicht als Zweckänderung anzusehen<br />
ist. Die angesprochenen Tätigkeiten sind einer rechtmäßigen<br />
Aufgabenerfüllung der Verwaltung notwendig akzessorisch <strong>und</strong> stellen<br />
keine spürbare Gefährdung des informationellen Selbstbestimmungsrechts<br />
dar“ (Bü-Drs. 13/3282 zu § 13).<br />
Dasselbe gilt <strong>für</strong> die Datenverarbeitung zu Ausbildungs- <strong>und</strong> Prüfungszwecken,<br />
wobei die Datenverarbeitung hier mit den schutzwürdigen<br />
Interessen der Betroffenen abgewogen werden muss. Dabei ist insbesondere<br />
der Gr<strong>und</strong>satz der Datenvermeidung <strong>und</strong> Datensparsamkeit, § 5 Abs.<br />
4, zu berücksichtigen. Häufig ist hier eine vorherige Pseudonymisierung<br />
oder Anonymisierung der Daten möglich <strong>und</strong> dann auch zwingend geboten.<br />
Zu § 14 Übermittlung innerhalb des öffentlichen Bereichs<br />
§ 13 behandelt die Aufgaben- <strong>und</strong> Zweckbindung <strong>für</strong> jede „weitere Datenverarbeitung“,<br />
was nach § 4 Abs. 2 auch eine Übermittlung umfasst. Die<br />
§§ 14–17 knüpfen daran an, stellen aber weitere Zulässigkeitsbedingungen<br />
je nach Art der Übermittlungsempfänger auf. § 14 regelt Übermittlungen<br />
von einer Hamburger Behörde bzw. Stelle an eine andere oder auch an<br />
eine außerhamburgische öffentliche Stelle.<br />
Für die Definition einer „Übermittlung“ gilt § 4 Abs. 2 S. 2 Nr. 4: Danach liegt<br />
eine solche einerseits schon beim Bereithalten papiergeb<strong>und</strong>ener Daten<br />
zur Einsicht, andererseits – bei automatisierten Abrufverfahren – erst mit<br />
dem tatsächlichen Abruf durch den Empfänger vor.<br />
Absatz 1<br />
„Soweit nicht bereichsspezifische gesetzliche Vorschriften etwas anderes<br />
bestimmen, ist eine gegenseitige Informationshilfe öffentlicher Stellen unter<br />
Durchbrechung der Zweckbindung nur noch unter den in dieser Vorschrift<br />
aufgeführten Voraussetzungen zulässig“ (Bü-Drs. 13/3282 zu § 14). Mit dem<br />
Verweis auf § 13 sind auch die Ausnahmeregelungen des § 13 Abs. 2 S. 1<br />
104
Nr. 2–8 gemeint, die wiederum § 13 Abs. 2 S. 2 außer Kraft setzt <strong>für</strong> Daten,<br />
die einer Schweigepflicht unterliegen. Soweit die empfangende Behörde<br />
Aufsichts-, Kontroll- <strong>und</strong> Rechnungsprüfungsbefugnisse gegenüber der<br />
übermittelnden öffentlichen Stelle ausübt, wird <strong>für</strong> die Übermittlung nach<br />
§ 13 Abs. 3 eine Zweckidentität fingiert.<br />
„Die in Absatz 1 Satz 2 vorgesehene Regelung entspricht den Erfordernissen<br />
komplexer Verwaltungsverfahren, bei denen mehrere öffentliche Stellen<br />
an einem Entscheidungsprozess beteiligt sind. Die Beteiligung kann durch<br />
Gesetz oder durch Verwaltungsvorschrift, z.B. durch Organisationsanordnung<br />
des Senats nach Artikel 57 Satz 2 der Hamburger Verfassung, vorgeschrieben<br />
sein. Die Regelung des Satz 2 ist im Gr<strong>und</strong>e nur eine deklaratorische<br />
Klarstellung. Der Begriff des Verwaltungsverfahrens ist hier weiter als<br />
in § 9 HmbVwVfG“ (Bü-Drs. 13/3282 zu § 14).<br />
Absätze 2 <strong>und</strong> 4<br />
Abs. 2 <strong>und</strong> Abs. 4 normieren ein „Aktenprivileg“: Anders als bei elektronischen<br />
Daten kann eine Übermittlung oder innerbehördliche Weitergabe<br />
von papiergeb<strong>und</strong>enen Informationen häufig nicht auf die Daten begrenzt<br />
werden, die <strong>für</strong> die Aufgabenerfüllung erforderlich sind. Dieser faktischen<br />
Unmöglichkeit trägt Abs. 2 Rechnung, indem er auch die Übermittlung<br />
nicht erforderlicher, aber untrennbar verb<strong>und</strong>ener Informationen zulässt,<br />
ihre Weiterverarbeitung beim Empfänger aber untersagt. Bedingung <strong>für</strong><br />
das Aktenprivileg ist, dass schutzwürdige Interessen Betroffener an der<br />
Geheimhaltung der „überflüssigen“ Daten nicht offensichtlich überwiegen.<br />
Diese Voraussetzung kompensiert, dass die nicht erforderlichen, aber untrennbar<br />
verb<strong>und</strong>enen Daten in keiner Weise auf ihre Sensibilität, ihren<br />
Speicherzweck oder ihre Aufgaben-Relevanz geprüft werden. Ergibt die<br />
Abwägung durch die übermittelnde Stelle, dass die Geheimhaltungsinteressen<br />
der Betroffenen insofern offensichtlich überwiegen, muss auch die<br />
Übermittlung der <strong>für</strong> die Aufgabenerfüllung „eigentlich“ erforderlichen<br />
Daten unterbleiben.<br />
Ein Anwendungsbereich dieser Vorschrift ist die elektronische Ausländerakte<br />
nach § 1 a Ausländerdateienverordnung, vgl. 23. TB 2010/2011,<br />
III 16.1. In der elektronischen Ausländerakte sind sensibelste Dokumente<br />
zum Leben eines Ausländers, z.B. über Familie, Ges<strong>und</strong>heit <strong>und</strong> Herkunft,<br />
ferner Gerichtsentscheidungen <strong>und</strong> Bescheide der Ausländerbehörde<br />
sowie das gesamte Verwaltungshandeln gesammelt. Ob das Aktenprivileg<br />
des Abs. 2 auch <strong>für</strong> die elektronische Form der Akte gilt, hängt im Wesentlichen<br />
davon ab, ob es sich um ein einheitliches, als Ganzes vor Teil-Zugriffen<br />
geschütztes Dokument handelt (zusammenhängende Bild-Datei) oder<br />
105
ob einzelne Dokumente <strong>und</strong> Daten <strong>für</strong> eine (elektronische) Übermittlung<br />
leicht vom übrigen Akteninhalt getrennt werden können. Im ersten Fall hat<br />
die übermittelnde Ausländerbehörde genau zu prüfen, ob das Interesse<br />
des Ausländers an der Geheimhaltung aller anderen in der Akte vereinigten<br />
Informationen „offensichtlich“ größer ist als das Interesse der öffentlichen<br />
Stellen an der Übermittlung. Für diesen Fall kommt ausschließlich<br />
die (nicht-elektronische) Übermittlung eines Ausdrucks nur der erforderlichen<br />
Daten, nicht die Übermittlung der ganzen Akte in Betracht.<br />
Absatz 3<br />
Abs. 3 regelt die datenschutzrechtliche Verantwortung da<strong>für</strong>, dass eine<br />
andere öffentliche Stelle erstmals von personenbezogenen Daten Betroffener<br />
Kenntnis erhält. Gr<strong>und</strong>sätzlich ist diejenige Stelle verantwortlich, die<br />
die Daten übermittelt, also preisgibt. Handelt sie jedoch auf Ersuchen des<br />
Empfängers, hat sie nur zu prüfen, ob das Ersuchen <strong>und</strong> damit die Kenntnisnahme<br />
der betroffenen Daten zum Aufgabenbereich der ersuchenden<br />
Stelle gehört. Besteht Anlass, hieran zu zweifeln, muss die ersuchte<br />
Behörde die Rechtmäßigkeit des Ersuchens prüfen. Die ersuchende<br />
Behörde muss dazu erforderliche Angaben machen.<br />
Unabhängig von einem Ersuchen muss die übermittelnde Stelle aber<br />
immer auch die eigene Übermittlungsbefugnis klären. Eine andere Auslegung<br />
würde dem vom B<strong>und</strong>esverfassungsgericht festgestellten Gr<strong>und</strong>satz<br />
widersprechen, dass spezifische Datenverwendungsregelungen „amtshilfefest“<br />
sind, also nicht durch die allgemeine Amtshilfepflicht des Art. 35<br />
GG außer Kraft gesetzt werden können.<br />
Bei einem zulässigen automatisierten Abrufverfahren nach §§ 11, 11a ist<br />
<strong>für</strong> die einzelne konkrete Übermittlung durch Abruf dagegen die abrufende<br />
Stelle allein verantwortlich.<br />
Zu § 15 Übermittlung an öffentlich-rechtliche<br />
Religionsgesellschaften<br />
§ 15 stellt <strong>für</strong> den speziellen Fall einer Datenübermittlung an (körperschaftlich<br />
verfasste) öffentlich-rechtliche Religionsgesellschaften besondere Anforderungen<br />
auf, unter denen sie bei Übermittlungen so behandelt werden,<br />
als wären sie eine öffentliche Stelle. Neben dem Vorliegen des Status einer<br />
„öffentlich-rechtlichen Religionsgesellschaft“ verlangt § 15 <strong>für</strong> die entsprechende<br />
Anwendung des § 14, dass ausreichende <strong>Datenschutz</strong>maßnahmen<br />
beim Empfänger getroffen sein müssen.<br />
106
Bei der Anwendung der Übermittlungsvorschriften sind Art. 140 Gr<strong>und</strong>gesetz<br />
(GG) i.V.m. Art. 137 Abs. 3 S. 1 der Weimarer Verfassung (WV) zu<br />
berücksichtigen, die bestimmen, dass jede Religionsgesellschaft ihre Angelegenheiten<br />
selbstständig innerhalb der Schranken des <strong>für</strong> alle geltenden<br />
Gesetzes ordnet <strong>und</strong> verwaltet. Das bedeutet im Hinblick auf die<br />
Zweckbindung gemäß § 14 Abs. 1 S. 1 i. V. m. § 13 einerseits, dass öffentlich-rechtliche<br />
Religionsgesellschaften sich ihre Aufgaben in eigener Verantwortung<br />
selbstständig erteilen können, <strong>und</strong> im Hinblick auf datenschutzrechtliche<br />
Anforderungen andererseits, dass sie auch zur Regelung<br />
insoweit eigenständig berufen sind. Um dieser Sonderstellung bei einem<br />
bestehenden Datenübermittlungserfordernis gerecht zu werden, verlangt<br />
§ 15 zu Recht die Sicherstellung eines ausreichenden <strong>Datenschutz</strong>niveaus.<br />
Gr<strong>und</strong>voraussetzung <strong>für</strong> die Privilegierung gegenüber § 16 ist, dass der<br />
Status einer „öffentlich-rechtlichen Religionsgesellschaft“ gegeben ist.<br />
Wem dieser Status zusteht, richtet sich zunächst ebenfalls gr<strong>und</strong>gesetzlich<br />
nach Art. 140 GG i.V.m. Art. 137 Abs. 5 WV. Hiernach bleiben diejenigen<br />
Religionsgesellschaften Körperschaften des öffentlichen Rechtes, soweit<br />
sie solche auch schon vor dem 23.05.1949 waren. Anderen Religionsgesellschaften<br />
sind auf ihren Antrag gleiche Rechte zu gewähren, wenn sie<br />
durch ihre Verfassung <strong>und</strong> die Zahl ihrer Mitglieder die Gewähr der Dauer<br />
bieten. Nicht unter § 15 fallen somit Religionsgesellschaften, die in Ermangelung<br />
des Status einer Körperschaft des öffentlichen Rechts privatrechtlich<br />
organisiert sind. Auf derartige privatrechtlich organisierte Gesellschaften<br />
findet § 16 Anwendung.<br />
§ 15 benennt ferner den Empfänger der Daten als „Stellen der öffentlichrechtlichen<br />
Religionsgesellschaft“. Hieraus ist zum einen abzuleiten, dass<br />
nicht die gesamte öffentlich-rechtliche Religionsgesellschaft die Daten<br />
erhalten darf, sondern nur diejenige einzelne Stelle, die diese Daten zur<br />
Erfüllung ihrer Aufgaben benötigt. Zum anderen muss diese empfangende<br />
Stelle organisatorisch so in die originäre öffentlich-rechtliche Religionsgesellschaft<br />
eingeb<strong>und</strong>en sein, dass sie als deren Teil anzusehen ist <strong>und</strong><br />
nicht nach außen als eigenständige Daten verarbeitende Stelle auftritt. Solche<br />
eigenständigen Daten verarbeitenden Stellen, die selber aber nicht die<br />
originäre öffentlich-rechtliche Religionsgesellschaft sind, sondern z.B.<br />
ihrerseits – wenn auch in kirchlicher Trägerschaft – privatrechtlich organisiert<br />
sind (z.B. Kindergärten, Krankenhäuser, Pflegeheime, Schulen usw.),<br />
können <strong>für</strong> sich nicht die Befugnis des § 15 in Anspruch nehmen; eine Datenübermittlung<br />
an diese Stellen unterliegt vielmehr den Regelungen des<br />
§ 16. Erfasst werden von § 15 somit nur unselbständige Stellen derjenigen<br />
Religionsgesellschaften, die den Status einer Körperschaft des öffentlichen<br />
Rechts innehaben.<br />
107
Durch den Verweis auf die „Vorschriften über die Datenübermittlung an<br />
öffentliche Stellen“ unterliegt eine Datenübermittlung auch dem Gr<strong>und</strong>satz<br />
der Zweckbindung. Insoweit besteht die Besonderheit, dass sich die<br />
öffentlich-rechtlichen Religionsgesellschaften im verfassungsrechtlichen<br />
Rahmen ihre Aufgaben selber stellen können. Um diesem Zweckbindungserfordernis<br />
gerecht zu werden, muss daher die Stelle, der die Daten<br />
übermittelt werden sollen, den Verwendungszweck der angeforderten<br />
Daten angeben <strong>und</strong> sich verpflichten, diese nur <strong>für</strong> den angegebenen<br />
Zweck zu verwenden.<br />
Hierneben muss sich der Umfang der Datenübermittlung in analoger Anwendung<br />
des § 14 Abs. 1 S. 1 auch an dem Gr<strong>und</strong>satz der Erforderlichkeit<br />
orientieren. Benötigt die öffentlich-rechtliche Religionsgesellschaft die in<br />
Frage stehenden Daten gar nicht <strong>für</strong> die Erfüllung der Aufgabe, scheitert<br />
eine Datenübermittlung schon von vornherein an der Erforderlichkeit. Werden<br />
die Daten hingegen <strong>für</strong> die Aufgabenerfüllung benötigt, scheidet eine<br />
Datenübermittlung dennoch aus, wenn deren Kenntnis nur zu einer<br />
Erleichterung bei der Aufgabenerfüllung führt; ist die öffentlich-rechtliche<br />
Religionsgesellschaft in der Lage, die Daten auf andere Weise zu erhalten<br />
– insbesondere von den Betroffenen selbst –, so ist die Erforderlichkeit <strong>für</strong><br />
einen Eingriff in das informationelle Selbstbestimmungsrecht gemäß § 15<br />
nicht gegeben. Alternativ kann dem informationellen Selbstbestimmungsrecht<br />
der Betroffenen auch dadurch Rechnung getragen werden, dass sie<br />
der öffentlich-rechtlichen Religionsgesellschaft eine Einwilligung zur<br />
Datenerhebung bei einer staatlichen Stelle erteilen. Im Übrigen ist eine<br />
Datenübermittlung ohne Einwilligung der Betroffenen nur zulässig, wenn<br />
die Aufgabenerfüllung ohne die Kenntnis dieser Daten nicht oder nur mit<br />
unverhältnismäßig großem Aufwand realisierbar ist.<br />
Zusätzlich muss geprüft werden, ob die öffentlich-rechtliche Religionsgesellschaft<br />
ausreichende <strong>Datenschutz</strong>maßnahmen getroffen hat, die im<br />
Ergebnis mit den Regelungen des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes<br />
<strong>und</strong> dessen Schutzwirkung vergleichbar sind. Sofern Religionsgesellschaften<br />
<strong>Datenschutz</strong>regelungen erlassen haben, die im Wesentlichen<br />
den staatlichen <strong>Datenschutz</strong>gesetzen entsprechen, kann von gleichwertigen<br />
<strong>Datenschutz</strong>maßnahmen ausgegangen werden. Ist dieses nicht der<br />
Fall oder liegt weder eine allgemeine förmliche noch eine spezialgesetzliche<br />
Feststellung über ausreichende <strong>Datenschutz</strong>maßnahmen vor, sind solche<br />
Maßnahmen vor jeder Datenübermittlung im Einzelfall – insbesondere<br />
anhand einer nachprüfbaren Erklärung der Stelle, der die Daten übermittelt<br />
werden sollen – nachzuweisen.<br />
108
Zu § 16 Übermittlung an Stellen außerhalb des öffentlichen<br />
Bereichs<br />
Die Vorschrift regelt die Zulässigkeit einer Datenübermittlung an Stellen<br />
außerhalb des öffentlichen Bereichs, teils durch Verweisungen auf § 13,<br />
sehr differenziert (siehe im Einzelnen auch die Erläuterungen zu § 13).<br />
Absatz 1<br />
S. 1 Nr. 1 legt fest, dass die Übermittlung sowohl zur Erfüllung der Aufgaben<br />
der übermittelnden öffentlichen Stelle erforderlich sein muss als auch<br />
den Zwecken dient, <strong>für</strong> die die Daten erhoben wurden (Erforderlichkeit <strong>und</strong><br />
Zweckbindung).<br />
S. 1 Nr. 2 regelt durch Verweisungen auf § 13 die Ausnahmen vom Zweckbindungsgr<strong>und</strong>satz<br />
in den Fällen, in denen das Gr<strong>und</strong>recht der Betroffenen<br />
auf informationelle Selbstbestimmung zurück zu treten hat, wobei bereichsspezifische<br />
Sonderregelungen (z.B. <strong>für</strong> Auskünfte aus öffentlichen<br />
Registern) unberührt bleiben. Danach ist die Übermittlung <strong>für</strong> andere<br />
Zwecke zulässig, wenn<br />
• eine Rechtsvorschrift dies erlaubt,<br />
• die Wahrnehmung einer durch Gesetz oder Rechtsverordnung begründeten<br />
Aufgabe die Übermittlung dieser Daten zwingend voraussetzt<br />
• durch die Übermittlung erhebliche Nachteile <strong>für</strong> das Gemeinwohl verhindert<br />
oder beseitigt werden sollen (<strong>und</strong> keine vorrangigen, bereichsspezifischen<br />
Normen entgegenstehen),<br />
• schwer wiegende Beeinträchtigungen von gewichtigen Rechtspositionen<br />
Einzelner (z.B. Leib, Leben, Freiheit, wesentliche Vermögensinteressen)<br />
verhindert oder beseitigt werden sollen,<br />
• die Einholung einer Einwilligung der Betroffenen nicht oder nur mit unverhältnismäßigem<br />
Aufwand möglich ist, aber offensichtlich ist, dass die<br />
Übermittlung im Interesse der Betroffenen liegt <strong>und</strong> sie in Kenntnis des<br />
anderen Zwecks ihre Einwilligung erteilen würden,<br />
• die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen<br />
worden sind oder entnommen werden können,<br />
• die Daten verarbeitende Stelle sie veröffentlichen dürfte, es sei denn,<br />
dass schutzwürdige Interessen der Betroffenen offensichtlich entgegenstehen,<br />
• sie der Bearbeitung von Eingaben oder Großen <strong>und</strong> Kleinen Anfragen<br />
dient (<strong>und</strong> damit dem parlamentarischen Kontrollauftrag) <strong>und</strong> überwiegende<br />
schutzwürdige Interessen der Betroffenen nicht entgegen stehen<br />
109
<strong>und</strong> die Daten nicht einem nach § 13 Abs. 2 S. 2 zu wahrenden Berufs- oder<br />
besonderen Amtsgeheimnis unterliegen.<br />
In S. 1 Nr. 3 findet sich eine weitere Ausnahme vom Zweckbindungsgebot<br />
<strong>für</strong> den Fall, dass die nicht-öffentliche Stelle ein rechtliches Interesse<br />
geltend macht. Jedoch darf kein Gr<strong>und</strong> zur Annahme bestehen, dass<br />
schutzwürdige Interessen der Betroffenen überwiegen.<br />
Wenn die Übermittlung an eine Stelle außerhalb des öffentlichen Bereichs<br />
im öffentlichen Interesse liegt oder hier<strong>für</strong> von der Stelle außerhalb des<br />
öffentlichen Bereichs ein berechtigtes Interesse geltend gemacht wird <strong>und</strong><br />
die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen<br />
haben, ist nach S. 1 Nr. 4 eine weitere Ausnahme vom Zweckbindungsgr<strong>und</strong>satz<br />
gegeben. Dann jedoch müssen die Betroffenen vor der Übermittlung<br />
über die beabsichtigte Übermittlung, die Art der zu übermittelnden<br />
Daten <strong>und</strong> den Verwendungszweck in geeigneter Weise unterrichtet<br />
werden: „…in beiden Fällen ist dem Betroffenen vorher die qualifizierte (vgl.<br />
S. 2) Gelegenheit zu einem – die Verwaltung dann bindenden – Widerspruch<br />
zu geben. Die Regelung nimmt in Form der Widerspruchslösung den Fall des<br />
§ 12 Absatz 2 des geltenden Gesetzes auf.“ (Bü-Drs. 13/3282 zu § 16).<br />
Absatz 2<br />
Abs. 2 verpflichtet die öffentliche Stelle, die nicht öffentliche Stelle auf die<br />
Zweckbindung hinzuweisen. Eine Verpflichtung der nicht öffentlichen<br />
Stelle im <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz, die Daten nur zu dem Zweck<br />
zu nutzen, zu dem sie übermittelt wurden, ist dem Landesgesetzgeber<br />
verwehrt.<br />
Zu § 17 Übermittlung an Stellen außerhalb<br />
der B<strong>und</strong>esrepublik Deutschland<br />
Die Problematik der Übermittlung „ins Ausland“ war anfangs nicht gesehen<br />
worden <strong>und</strong> wurde erstmals anlässlich der Umsetzung des Volkszählungsurteils<br />
im Gesetz von 1990 behandelt. Die neue Regelung wurde ausschließlich<br />
unter dem Aspekt der eigenen Aufgabenwahrnehmung diskutiert<br />
<strong>und</strong> sollte „in erster Linie Einzelfall-Übermittlungen“ in Länder mit<br />
gleichwertigen <strong>Datenschutz</strong>regelungen ermöglichen (Bü-Drs. 13/3282<br />
S. 21). Mit der Umsetzung der EG-<strong>Datenschutz</strong>richtlinie 2001 wurden die<br />
Gleichbehandlung der Mitgliedstaaten <strong>und</strong> die umfassenden Regelungen<br />
zur Übermittlung in Drittländer nach Art. 25 f der Richtlinie aufgenommen.<br />
Die Erwägungsgründe zeigen, dass auch der Richtliniengeber in erster<br />
Linie von der Übermittlung im Einzelfall zur Aufgabenerledigung ausgegangen<br />
ist.<br />
110
Neben der konkreten Regelung <strong>für</strong> die Verarbeitung von Einzelfällen<br />
kommt der Vorschrift in letzter Zeit besondere Bedeutung zu <strong>für</strong> alle Anbieter<br />
von Auftragsdatenverarbeitung, die ihre Dienste außerhalb der EU<br />
erbringen oder dies nicht ausschließen können. Zu den typischen Fragestellungen<br />
in diesem Zusammenhang siehe unter § 3. In jüngerer Zeit<br />
wurde verneinend diskutiert, ob Betroffene zugunsten einer kostengünstigeren<br />
Auftragsdatenverarbeitung im unsicheren Ausland im Wege der Einwilligung<br />
auf technisch-organisatorische Maßnahmen nach § 8 HmbDSG<br />
verzichten könnten.<br />
Absatz 1<br />
Abs. 1 setzt Art. 1 Abs. 2 der EG-<strong>Datenschutz</strong>richtlinie um. Danach gelten<br />
die Übermittlungsregelungen des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes<br />
<strong>für</strong> innerstaatliche Übermittlungen – vorbehaltlich entgegenstehende spezialgesetzlicher<br />
Regelungen – auch <strong>für</strong> Übermittlungen in Mitgliedstaaten<br />
der Europäischen Union <strong>und</strong> an Organe <strong>und</strong> Einrichtungen der Europäischen<br />
Union. Neben den allgemeinen Übermittlungsbestimmungen der<br />
§§ 14 <strong>und</strong> 16 ist dabei auch § 28 zu nennen, der <strong>für</strong> Beschäftigtendaten bereichsspezifische<br />
Übermittlungsvorschriften enthält. Danach sind Übermittlungsbeschränkungen<br />
aus <strong>Datenschutz</strong>gründen im Datenverkehr<br />
unter den Mitgliedstaaten nicht mehr zulässig. Im Übrigen stellen die Übermittlungsvorschriften<br />
des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes Übermittlungsermächtigungen<br />
dar, ziehen aber keine Übermittlungspflichten<br />
nach sich, so dass eine Datenübermittlung im Rahmen der Ermessensausübung<br />
versagt werden kann (<strong>und</strong> unter Umständen auch muss), wenn<br />
im Einzelfall Anlass zu der Annahme besteht, dass mangelnder <strong>Datenschutz</strong><br />
in dem empfangenden EU-Mitgliedstaat zu einer ungerechtfertigten<br />
Beeinträchtigung der Rechte Betroffener führen würde. Dasselbe gilt <strong>für</strong><br />
Datenübermittlungen im Anwendungsbereich der EG-<strong>Datenschutz</strong>richtlinie<br />
in Länder, die die Richtlinie nicht oder nicht vollständig umgesetzt<br />
haben.<br />
Absatz 2<br />
Abs. 2 stellt in Umsetzung des Artikels 25 Abs. 2 der EG-<strong>Datenschutz</strong>richtlinie<br />
die Übermittlungen in Drittländer mit einem angemessenen<br />
Schutzniveau den innerstaatlichen <strong>und</strong> EU-internen Übermittlungen<br />
gleich. Die Angemessenheit des Schutzniveaus ist gr<strong>und</strong>sätzlich unter<br />
Berücksichtigung aller Umstände zu beurteilen, die <strong>für</strong> die Datenübermittlung<br />
von Bedeutung sind. Von Bedeutung ist insbesondere die Anerkennung<br />
eines angemessenen Schutzniveaus durch die EU-Kommission.<br />
111
Absatz 3<br />
Abs. 3 regelt die Ausnahmen, in denen die Datenübermittlung in Drittländer<br />
ohne angemessenes Schutzniveau erfolgen darf. Die – engen – Übermittlungsvoraussetzungen<br />
des Satzes 1, mit denen Artikel 26 Abs. 1 der<br />
Richtlinie umgesetzt wird, sind abschließend. Bei der Anwendung wird zu<br />
berücksichtigen sein, dass der Gesetzgeber regelhaft nur von Einzelübermittlungen<br />
ausging, s.o.<br />
Die Möglichkeit der Einwilligung der Betroffenen in die Datenverarbeitung<br />
durch öffentliche Stellen wird vom HmbBfDI gr<strong>und</strong>sätzlich kritisch gesehen<br />
<strong>und</strong> ist daher zurückhaltend einzusetzen. Die Einwilligung muss im<br />
Lichte der Richtlinie „zweifelsfrei“ sein <strong>und</strong> darf nicht solche Umstände betreffen,<br />
die nach § 6 unabdingbar sind oder von entsprechender Wichtigkeit.<br />
Auch die Einhaltung technisch-organisatorischer Maßnahmen wird <strong>für</strong><br />
gr<strong>und</strong>sätzlich nicht abdingbar gehalten. Eine Auftragsdatenverarbeitung<br />
im unsicheren Ausland unter Einwilligung in den Verzicht auf angemessene<br />
technisch-organisatorische Maßnahmen wird daher als unzulässig<br />
angesehen.<br />
Die Wahrung überwiegender öffentlicher Interessen ist restriktiv auszulegen.<br />
Da<strong>für</strong> kann die von der Kommission angeführte Bekämpfung von<br />
Geldwäsche als Maßstab herangezogen werden.<br />
Die Wahrung lebenswichtiger Interessen der Betroffenen ist nur schwer<br />
gegen die Fälle abzugrenzen, in denen die Betroffenen nicht in der Lage<br />
sind, selbst zu entscheiden. Als Beispiel wurde genannt die Übermittlung<br />
von Blutwerten <strong>für</strong> eine Transfusion.<br />
Die Übermittlung von Daten aus öffentlichen Registern wird jedenfalls hinsichtlich<br />
der dem berechtigten Interesse unterliegenden Daten ebenfalls<br />
nicht unkritisch gesehen.<br />
Sätze 2 bis 5 setzen Art. 26 Abs. 2 der Richtlinie um. Danach sollen Übermittlungen<br />
möglich sein, wenn die ausländische Stelle entsprechende Garantien<br />
bietet oder vertragliche Verpflichtungen eingeht. Hierunter fallen<br />
die Nutzung der von der Kommission vorgegebenen Standardvertragsklauseln<br />
nach zusätzlicher Prüfung durch die Dienststelle der oder des<br />
<strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
(HmbBfDI) sowie der Beitritt einzelner US-Unternehmen zum Safe-Harbor-<br />
Abkommen.<br />
Sollen Übermittlungen aufgr<strong>und</strong> dieser Regelwerke vorgenommen werden,<br />
bedürfen sie der Zulassung des Leiters der Dienststelle, der Beteiligung<br />
des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
sowie der Finanzbehörde als zuständiger Behörde nach Satz 5.<br />
112
Absatz 4<br />
Nach Abs. 4 hat die übermittelnde Stelle die empfangende Stelle ausdrücklich<br />
auf die Einhaltung der strengen Zweckbindung hinzuweisen.<br />
Zu § 18 Auskunft<br />
Das Auskunftsrecht sichert die Ausübung des Rechts auf informationelle<br />
Selbstbestimmung; auf diese Weise können Betroffene feststellen, wer<br />
was <strong>und</strong> bei welcher Gelegenheit über sie weiß. Deshalb muss gr<strong>und</strong>sätzlich<br />
Auskunft erteilt werden sowohl über Daten, die in Akten gespeichert<br />
sind, als auch über Daten aus Dateien, <strong>und</strong> zwar gebührenfrei. Einschränkungen<br />
dieses Rechts werden im Gesetz eindeutig <strong>und</strong> abschließend geregelt.<br />
Absatz 1<br />
Die Auskunft ist auf Antrag der Betroffenen zu erteilen. Dabei soll im Antrag<br />
näher bezeichnet werden, über welche Art von Daten Auskunft verlangt<br />
wird (S. 2).<br />
In der Auskunft sind nicht nur die gespeicherten personenbezogenen<br />
Daten offenzulegen (S. 1 Nr. 1), sondern Zweck <strong>und</strong> Rechtsgr<strong>und</strong>lage der<br />
Speicherung (S. 1 Nr. 2) sind ebenso zu nennen wie die Herkunft der Daten<br />
(S. 1 Nr. 3). Eine Pflicht, Angaben über die Herkunft von Daten zu speichern,<br />
ist mit der Regelung allerdings nicht verb<strong>und</strong>en. Gr<strong>und</strong>sätzlich ist<br />
auch Auskunft über die Weitergabe der Daten an Dritte, einschließlich der<br />
an einem automatisierten Abrufverfahren teilnehmenden Stellen zu erteilen<br />
(S. 1 Nr. 3 <strong>und</strong> 4). Auch über personenbezogene Daten des Betroffenen,<br />
die nicht zu seiner Person gespeichert sind, ist Auskunft zu erteilen, soweit<br />
diese Speicherungen mit vertretbarem Aufwand festgestellt werden können.<br />
Werden personenbezogene Daten automatisiert verarbeitet (§ 5a), muss<br />
die Daten verarbeitende Stelle den logischen Aufbau der automatisierten<br />
Verarbeitung beschreiben (S. 1 Nr. 5). Allerdings erstreckt sich diese Auskunftspflicht<br />
nur auf vorgesehene oder praktizierte Verarbeitungen. Die<br />
Auskunft soll in allgemein verständlicher Form beschreiben, wie aus den<br />
verarbeiteten personenbezogenen Daten Bewertungen von Persönlichkeits-<br />
oder Verhaltensmerkmalen gewonnen <strong>und</strong> welche Entscheidungskriterien<br />
herangezogen werden.<br />
Wird Auskunft über personenbezogene Daten verlangt, die in Akten gespeichert<br />
sind, müssen im Auskunftsverlangen hinreichend konkrete Angaben<br />
über die F<strong>und</strong>stelle gemacht werden (S. 3). Dadurch soll dem Verwaltungsaufwand<br />
(Auffindbarkeit der Daten) Rechnung getragen werden.<br />
113
Ausnahmen vom Auskunftsrecht in Abs. 1 sind folgende:<br />
• Über Empfänger, die die Daten im Einzelfall zur Verfolgung von Straftaten,<br />
Ordnungswidrigkeiten oder berufsrechtlicher Vergehen erhalten,<br />
muss keine Auskunft erteilt werden;<br />
• sind Angaben über die Betroffenen nicht zu ihrer Person gespeichert,<br />
entfällt die Auskunftspflicht, wenn die Angaben nicht mit vertretbarem<br />
Aufwand festgestellt werden können;<br />
• steht der Aufwand der Daten verarbeitenden Stelle, Auskunft über personenbezogene<br />
Daten aus Akten zu erteilen, außer Verhältnis zum Auskunftsinteresse<br />
der Betroffenen, kann die Auskunft versagt werden.<br />
Die Form der Auskunftserteilung bestimmt die Daten verarbeitende Stelle<br />
nach pflichtgemäßem Ermessen (Auskunft, Akteneinsicht, Überlassung<br />
von Ausdrucken aus automatisierten Dateien).<br />
Das Recht zur Akteneinsicht im Verwaltungsverfahren nach § 29 des <strong>Hamburgische</strong>n<br />
Verwaltungsverfahrensgesetzes bleibt unberührt, denn die<br />
Vorschrift hat vorrangig kein datenschutzrechtliches Ziel. Unter den gesetzlichen<br />
Voraussetzungen geht die Regelung des § 29 des <strong>Hamburgische</strong>n<br />
Verwaltungsverfahrensgesetzes jedoch vor. Außerhalb eines Verwaltungsverfahrens<br />
ist die Auskunft nach pflichtgemäßem Ermessen zu<br />
erteilen, denn § 29 des <strong>Hamburgische</strong>n Verwaltungsverfahrensgesetzes beschränkt<br />
das Recht zur Akteneinsicht nicht auf das Verwaltungsverfahren.<br />
Absätze 2 <strong>und</strong> 3<br />
Abs. 2 <strong>und</strong> 3 beinhalten weitere Ausnahmen von der Pflicht der Daten<br />
verarbeitenden Stelle, Auskunft zu erteilen.<br />
Absatz 4<br />
Eine Auskunftsverweigerung bedarf der Begründung. Kann die Begründung<br />
nicht gegenüber dem Betroffenen offenbart werden, weil dies dem<br />
Zweck der Auskunftsverweigerung zuwider liefe, muss die Begründung so<br />
dokumentiert werden, dass eine zur Überprüfung der Auskunftsverweigerung<br />
berufene Stelle, z.B. der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit (siehe Abs. 6), sie nachvollziehen kann.<br />
Absatz 5<br />
Die Vorschrift formuliert eine Ausnahme zur Auskunft über die Herkunft<br />
oder Übermittlung von Daten nach Abs. 1 S. 1 Nr. 3 von bzw. an die dort<br />
näher bezeichneten Sicherheitsbehörden; diese müssen der Auskunft<br />
über die Herkunft bzw. Übermittlung der Daten zustimmen.<br />
114
Zu § 19 Berichtigung, Sperrung <strong>und</strong> Löschung<br />
Die Vorschrift regelt die Rechtsposition der Betroffenen bei den Korrekturansprüchen.<br />
„Von besonderer Bedeutung ist die Einführung der obligatorischen<br />
Löschungsverpflichtung <strong>für</strong> die Daten verarbeitenden öffentlichen<br />
Stellen in den Fällen, in denen die Kenntnis der Daten <strong>für</strong> die Daten verarbeitende<br />
Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist“. (Bü-Drs.<br />
13/3282 zu § 19) „Für die Erforderlichkeit gilt wie immer ein strenger<br />
Maßstab: Eine Aufgabe kann ohne Kenntnis der betreffenden Daten nicht<br />
ordnungsgemäß erfüllt werden“ (Simitis, BDSG, 7. Aufl., § 4 Rn 32). Eine<br />
nachträgliche Veränderung der elektronischen Akte (z.B. Herausnahme/<br />
Hinzufügen von Dokumenten, Änderung von Dokumenten oder Bearbeitungs-/Metainformationen)<br />
muss technisch-organisatorisch im Regelfall<br />
auch <strong>für</strong> die zur Aktenführung befugten Personen ausgeschlossen sein.<br />
Ausnahmen sind über die zur Erfüllung der in § 19 aufgeführten Anlässe<br />
hinaus in dem Umfange zuzulassen, in dem sie auch bei ordnungsgemäßer<br />
Aktenführung anzuerkennen sind. Für die in organisatorischen<br />
Regelungen klar zu definierenden Fälle, in denen eine Veränderung zulässig<br />
ist, muss<br />
• geregelt sein, unter welchen sachlichen Voraussetzungen <strong>und</strong> binnen<br />
welcher Fristen (z.B. zur Korrektur von Fehlzuordnungen/„Irrläufern“)<br />
eine Löschung/Veränderung in Betracht kommt,<br />
• bestimmt sein, wer in welchem Verfahren in welchen Phasen der Aktenführung<br />
befugt ist, eine Löschung/Veränderung anzuordnen, <strong>und</strong><br />
• stets gewährleistet sein, dass die Löschung/Änderung in der Akte aussagekräftig<br />
dokumentiert wird (Art/Umfang der Löschung/Veränderung;<br />
Lösch-/Veränderungsgr<strong>und</strong>; Verantwortlichkeit <strong>für</strong> Anordnung <strong>und</strong><br />
Durchführung der Löschung/Veränderung; Zeitpunkt).<br />
Absatz 1<br />
In Absatz 1 bedeutet „zu berichtigen“, „dass die gespeicherten Daten in<br />
Übereinstimmung mit der Realität gebracht werden müssen. Dies kann<br />
durch eine Veränderung (inhaltliche Umgestaltung der gespeicherten<br />
Daten), eine ganze oder teilweise Löschung oder durch die Speicherung<br />
ergänzender (bei Unvollständigkeit), neu erhobener (Fortschreibung) oder<br />
der berichtigten Angaben (bei ursprünglicher Unrichtigkeit) geschehen. Bei<br />
der automatisierten Datenverarbeitung ist in der Regel das unrichtige Datum<br />
zu verändern, doch ist bei entsprechender Interessenlage auch die lediglich<br />
ergänzende Speicherung des richtigen Datums geboten; in manchen Fällen<br />
wäre den Betroffenen (z.B. bei der beabsichtigten Verfolgung von Schadensersatzansprüchen)<br />
nicht damit gedient, wenn das später als fehlerhaft erkannte<br />
Datum einfach durch das richtige Datum ersetzt wird. Ein modifizier-<br />
115
tes Berichtigungsverfahren schreibt Satz 2 <strong>für</strong> die Daten außerhalb automatisierter<br />
Dateien vor, ohne jedoch Art <strong>und</strong> Weise vorzugeben. Bei Akten soll<br />
die Berichtigung in der Weise gestaltet werden, wie Schutzzweck der Norm<br />
<strong>und</strong> Eigenart der jeweiligen Akte es am sinnvollsten erscheinen lassen. Deshalb<br />
braucht z.B. ein in umfangreichen Akten mehrfach enthaltenes personenbezogenes<br />
Datum nicht an jeder einzelnen Stelle berichtigt zu werden,<br />
dies kann auch durch einen der Akte vorangestellten Vermerk geschehen“<br />
(Bü-Drs. 13/3282 zu § 19).<br />
Absatz 2<br />
In Abs. 2 S. 1 Nr. 1 bis 3 sind die Sperrungsfälle definiert: Nach Nr. 1 müssen<br />
die Betroffenen substantiiert die Richtigkeit bestreiten. „Die bloße Behauptung,<br />
die gespeicherten Daten seien unrichtig, zwingen die Daten verarbeitende<br />
Stelle nicht zu einer Überprüfung oder gar Sperrung des Datenbestandes.<br />
Eine Sperrung nach Nummer 2 kommt angesichts der obligatorischen<br />
Löschungsverpflichtung nach Absatz 3 Nummer 1 nur in zwei<br />
Fallgruppen in Betracht. Die erste Fallgruppe umfasst die Fälle, in denen die<br />
... (Daten verarbeitende) Stelle davon ausgehen muss, dass die Verwirklichung<br />
ihrer obligatorischen Löschungspflicht nach Absatz 3 dem Interesse<br />
des Betroffenen nicht entspricht, weil <strong>für</strong> ihn die Möglichkeit, noch auf die<br />
Daten zugreifen zu können, als vorrangig angesehen werden muss. In der<br />
zweiten Fallgruppe muss der Betroffene ausdrücklich an Stelle der<br />
Löschung die Sperrung verlangt haben (erklärter Wille). Ein Anspruch des<br />
Betroffenen auf Sperrung besteht ferner, wenn die personenbezogenen<br />
Daten nur zu Zwecken der Datensicherung <strong>und</strong> der <strong>Datenschutz</strong>kontrolle<br />
gespeichert sind (Nr. 3).<br />
Absatz 2 Satz 2 berücksichtigt ein besonderes Erfordernis bei der Datenverarbeitung<br />
in Akten: Eine Sperrung bestrittener Daten in Akten wäre mit<br />
dem typischerweise aus der Aktenführung sich ergebenden Anliegen, den<br />
Verfahrensgang <strong>und</strong> die damit zusammenhängende Darstellung der unterschiedlichen<br />
Bewertungen <strong>und</strong> Rechtsauffassungen von Behörden <strong>und</strong><br />
Betroffenen zu dokumentieren, nicht vereinbar ...<br />
In welcher Form Daten zu sperren sind, wird die Verwaltung im Einklang mit<br />
dem Schutzzweck der Norm nach Praktikabilität entscheiden. Das Sperren<br />
in Akten wird regelmäßig sachgerecht durch Stempelaufdruck oder in vergleichbarer<br />
Weise durchgeführt werden. In Satz 4 wurde … als weiterer Ausnahmetatbestand<br />
die Unerlässlichkeit einer weiteren Bearbeitung nach<br />
Maßgabe einer Güterabwägung aufgenommen“ (Bü-Drs. 13/3282 zu § 19).<br />
Eine Sperrung in elektronischen Akten kann etwa durch Deckblätter, das<br />
Setzen entsprechender Karteireiter oder das Setzen von Attributen umgesetzt<br />
werden.<br />
116
Absatz 3<br />
„Nach Absatz 3 Satz 1 Nummer 1 sind … personenbezogene Daten zu<br />
löschen, wenn ihre Speicherung unzulässig ist; das hier gebrauchte Präsens<br />
erfasst auch den Fall, dass nicht mehr nach heutiger, wohl aber nach<br />
früherer Rechts- <strong>und</strong> Tatsachenlage die Speicherung unzulässig war“<br />
(Bü-Drs. 13/3282 zu § 19).<br />
Es ist zu beachten, dass die Löschungsverpflichtung durch ein Sperren der<br />
Daten nicht erfüllt wird, wenn nicht die spezifischen Voraussetzungen des<br />
§ 19 Abs. 2 vorliegen.<br />
Eine Ausnahme von der Löschungspflicht nach Wegfall der Erforderlichkeit<br />
im Sinne von Abs. 3 S. 1 Nr. 2 gilt <strong>für</strong> die Speicherung in Akten, „wenn die<br />
Datenkenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist (Satz 2). Die<br />
Löschung wird nur dann durchgeführt, wenn die gesamte Akte zur Aufgabenerfüllung<br />
nicht mehr benötigt wird; wird sie noch benötigt, sind die jeweiligen<br />
Daten zu sperren. In der Praxis der öffentlichen Stellen wird regelmäßig<br />
in Aufbewahrungsbestimmungen nach fachlicher Einschätzung festgelegt,<br />
<strong>für</strong> welchen Zeitraum die Aufbewahrung von Akten zur Aufgabenerfüllung<br />
(dazu gehört auch die externe Rechnungsprüfung) noch erforderlich ist“<br />
(Bü-Drs. 13/3282 zu § 19). Von der Löschungsverpflichtung sind neben den<br />
zu löschenden Daten im Produktivdatenbestand auch die Daten in den Sicherungskopien<br />
umfasst. Der Löschungsvorgang erfolgt in solchen Fällen<br />
regelhaft mehrstufig: „beginnend mit dem aktuellen Bestand; erst mit der<br />
Löschung der letzten, das Datum enthaltenen Sicherungsversion ist die Löschung<br />
vollendet“ (Simitis, BDSG, 7. Aufl. § 3 Rd 185).<br />
Absatz 4<br />
„Die obligatorische Verpflichtung der öffentlichen Stelle, nicht mehr zur Aufgabenerfüllung<br />
benötigte personenbezogene Daten in Dateien zu löschen,<br />
darf allerdings nicht das öffentliche Interesse an einer Überlieferung historisch<br />
gewordener Vorgänge an die Nachwelt unmöglich machen“ (Bü-Drs.<br />
13/3282 zu § 19). Abs. 4 bringt deshalb zum Ausdruck, dass eine Anbietungspflicht<br />
an das zuständige Archiv besteht <strong>und</strong> die Löschung<br />
gr<strong>und</strong>sätzlich erst nach Verneinung der Archivwürdigkeit erfolgen darf (Archivklausel).<br />
Eine Ausnahme besteht nur bezüglich Daten, deren Speicherung<br />
unzulässig ist; dies stimmt mit § 3 Abs. 2 S. 2 <strong><strong>Hamburgische</strong>s</strong> Archivgesetz<br />
(HmbArchG) überein. Zuständig ist in der Regel das Staatsarchiv,<br />
doch kommt nach Maßgabe des <strong>Hamburgische</strong>n Archivgesetzes auch ein<br />
von einem Träger mittelbarer Staatsverwaltung errichtetes Archiv in Betracht<br />
(vgl. Bü-Drs. 13/3282 zu § 19).<br />
117
Absatz 5<br />
Abs. 5 begründet die Pflicht der Daten verarbeitenden Stelle, alle Stellen,<br />
denen die Daten übermittelt worden sind, unverzüglich von der Berichtigung,<br />
Sperrung oder Löschung zu benachrichtigen. Das Recht auf informationelle<br />
Selbstbestimmung der Betroffenen ist nur dann in angemessenem<br />
Umfang gewahrt, „wenn der Empfänger solcher Daten von den erforderlich<br />
gewordenen Korrekturen Kenntnis erlangt <strong>und</strong> sich entsprechend<br />
verhalten kann“ (Bü-Drs. 13/3282 zu § 19).<br />
Um einer erheblichen Überforderung der Verwaltung vorzubeugen, wird<br />
die Nachberichtspflicht allerdings insgesamt unter den Vorbehalt des nicht<br />
unverhältnismäßigen Aufwandes gestellt. Andererseits haben die Daten<br />
verarbeitenden Stellen Übermittlungen in jedem Einzelfall zuverlässig zu<br />
dokumentieren, soweit dies erforderlich ist, um die Stellen, denen die<br />
Daten übermittelt worden sind, von der Berichtigung, Sperrung <strong>und</strong> Löschung<br />
personenbezogener Daten unverzüglich verständigen zu können.<br />
Die Nachberichtspflicht erfasst nicht die Fälle der Löschung nach Abs. 3<br />
S. 1 Nr. 2. Der Daten verarbeitenden Stelle steht insofern vielmehr nach<br />
S. 2 ein Ermessen zu.<br />
Absatz 6<br />
Die Regelung in Absatz 6 beschränkt die Pflicht zur regelmäßigen Überprüfung<br />
auf automatisierte Dateien. Damit unterliegen auch die Dateien<br />
der elektronischen Aktenführung im Gegensatz zur Aktenführung in<br />
Papierform der Pflicht einer regelmäßigen Überprüfung.<br />
Zu § 20 Schadensersatz<br />
§ 20 enthält einen eigenständigen Schadensersatzanspruch <strong>für</strong> die Betroffenen<br />
gegenüber den in § 2 Abs. 1 aufgezählten öffentlichen Stellen. Voraussetzung<br />
des Haftungstatbestands ist eine unzulässige oder unrichtige<br />
Datenverarbeitung, die die Betroffenen in ihren schutzwürdigen Belangen<br />
beeinträchtigt. Die Vorschrift enthält nur zum Teil eine verschuldensabhängige<br />
Haftung: Soweit der Schaden auf einer unzulässigen bzw. unrichtigen<br />
automatisierten Datenverarbeitung beruht, braucht ein Verschulden der<br />
Daten verarbeitenden Stellen nicht vorzuliegen, gleichzeitig beschränkt<br />
sich dann jedoch die Ersatzpflicht gegenüber der betroffenen Person auf<br />
250.000,– Euro.<br />
Die Geltendmachung eines Schadensersatzanspruchs ist <strong>für</strong> den Betroffenen<br />
nur dann sinnvoll, wenn belegt werden kann, dass eine rechtswidrige<br />
Datenverarbeitung der verantwortlichen Stelle erfolgt ist <strong>und</strong> diese <strong>für</strong> den<br />
118
ei ihm eingetretenen Schaden ursächlich war. Dabei muss es sich nicht<br />
zwingend um materielle Beeinträchtigungen im Sinne eines Vermögensschadens<br />
handeln. Die Vorschrift eröffnet auch einen Anspruch auf Ersatz<br />
immaterieller Schäden unter der Voraussetzung, dass eine schwere Beeinträchtigung<br />
des Betroffenen vorliegt. Dies dürfte regelmäßig dann der Fall<br />
sein, wenn eine mit dem <strong>Datenschutz</strong>verstoß verb<strong>und</strong>ene Verletzungshandlung<br />
wesentlich in das Persönlichkeitsrecht eingreift <strong>und</strong> eine anderweitige<br />
Kompensation nicht angemessen gewährt werden könnte (vgl. zum<br />
Schmerzensgeld in § 7 BDSG Gola/Schomerus, BDSG, § 7 Rdn. 19). Für<br />
die Höhe sind der Umfang <strong>und</strong> die Auswirkungen der Persönlichkeitsrechtsverletzung<br />
entscheidend.<br />
Ausdrücklich macht Abs. 3 klar, dass es sich bei der Haftungsnorm des<br />
§ 20 um eine besondere öffentlich-rechtliche Erstattungsvorschrift handelt,<br />
die weitergehende sonstige Schadensersatzansprüche des Betroffenen<br />
nicht ausschließt. Soweit daher die Haftungsbegrenzung <strong>für</strong> eine unzulässige<br />
oder unrichtige Datenverarbeitung eingreift, können weitergehende<br />
Schadensersatzansprüche über anderweitige Regelungen durchaus geltend<br />
gemacht werden.<br />
Zu § 21 Berufung<br />
§ 21 regelt die Berufung der/des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit (HmbBfDI). Der Gesetzgeber sieht hier<strong>für</strong><br />
ein zweistufiges Verfahren vor. Danach ist es zunächst Aufgabe des Senats,<br />
sich auf eine/n Kandidaten/Kandidatin zu verständigen, den/die er<br />
der Bürgerschaft dann in einer zweiten Stufe zur Wahl vorschlägt. Das<br />
zweistufige Verfahren sichert der Exekutive eine wesentliche Mitsprache<br />
an der Bestimmung des <strong>Datenschutz</strong>beauftragten, der letztlich die verantwortlichen<br />
öffentlichen Stellen der Verwaltung kontrolliert.<br />
Anders als das auf zwei unterschiedliche Beteiligte an Vorschlag <strong>und</strong> Wahl<br />
beruhende Modell, dem im Übrigen auch der B<strong>und</strong> folgt (vgl. § 22 BDSG<br />
zur Wahl des B<strong>und</strong>esbeauftragten), sehen einige B<strong>und</strong>esländer ein einstufiges<br />
Berufungsverfahren des Landesbeauftragten vor. Danach erfolgt die<br />
Wahl unmittelbar durch den Landtag, ohne Beteiligung der Regierung (so<br />
etwa § 35 Abs. 1 LDSG Schleswig-Holstein). In jedem Fall stellt die Wahl<br />
des Landesbeauftragten durch das jeweilige Parlament eine deutliche Aufwertung<br />
der Institution einer unabhängigen <strong>Datenschutz</strong>kontrolle dar <strong>und</strong><br />
ist wesentliches Strukturelement <strong>für</strong> dessen Unabhängigkeit <strong>und</strong> demokratische<br />
Legitimation.<br />
119
Der bzw. die <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
ist Beamtin bzw. Beamter auf Zeit nach § 7 Abs. 1 Nr. 2 <strong><strong>Hamburgische</strong>s</strong><br />
Beamtengesetz.<br />
Die Bürgerschaft wählt den HmbBfDI mit der einfachen Stimmenmehrheit.<br />
Die frühere Fassung des Abs. 1 hatte vorgesehen, dass der HmbBfDI von<br />
der Bürgerschaft „mit mehr als der Hälfte der gesetzlichen Zahl ihrer Mitglieder“<br />
gewählt werden müsste. Diese Vorschrift widersprach jedoch<br />
Art. 19 der <strong>Hamburgische</strong>n Verfassung, die vom Gr<strong>und</strong>satz ausgeht, dass<br />
zu einem Beschluss der Bürgerschaft eine einfache Stimmenmehrheit<br />
erforderlich ist, sofern die Verfassung nicht ein anderes Stimmenverhältnis<br />
vorschreibt. Da eine derartige Regelung in der Verfassung <strong>für</strong> die Wahl des<br />
HmbBfDI nicht besteht, war auch eine Bezugnahme auf die Mehrheitsverhältnisse<br />
nicht zulässig.<br />
Anders als das BDSG <strong>für</strong> den B<strong>und</strong>esbeauftragten <strong>für</strong> <strong>Datenschutz</strong> fordert<br />
das Gesetz in § 21 nicht nur, dass die/der <strong>Datenschutz</strong>beauftragte bei seiner<br />
Bestellung das 35. Lebensjahr vollendet hat, sondern nach § 21 Abs. 1<br />
S. 2 auch, dass sie/er die Befähigung zum Richteramt oder zum höheren<br />
Verwaltungsdienst haben <strong>und</strong> die zur Erfüllung seiner Aufgabe erforderliche<br />
Fachk<strong>und</strong>e besitzen muss. Die Laufbahnbefähigung wäre mangels<br />
eines besonderen Weisungs- oder Eingriffsrechts gegenüber den zu kontrollierenden<br />
Stellen im öffentlichen Bereich zwar nicht unmittelbar gefordert,<br />
ist aber nicht zuletzt wegen der dem HmbBfDI verliehenen<br />
aufsichtsbehördlichen Kompetenzen gegenüber privaten Stellen, die es<br />
ihm ermöglichen, Verwaltungsakte oder Bußgeldbescheide zu erlassen,<br />
bedeutsam.<br />
Die Amtszeit der bzw. des <strong>Beauftragte</strong>n beträgt 6 Jahre. Die Wiederwahl ist<br />
nur <strong>für</strong> eine Amtsperiode möglich. Hintergr<strong>und</strong> dieser Beschränkung ist,<br />
dass das Amt nicht als eine Dauertätigkeit wahrgenommen werden soll.<br />
Einerseits bleibt dadurch bewahrt, dass die Kontrolle nicht durch eine Routineausübung<br />
der Funktion erstarrt. Andererseits ermöglicht die einmalige<br />
Wiederwahl auch eine gewisse personelle Kontinuität, die angesichts der<br />
Komplexität der Aufgabenstellung durchaus sachgerecht ist. Die Wiederwahl<br />
nach Ablauf der ersten Amtsperiode soll eine qualifizierte Entscheidung<br />
darüber ermöglichen, ob der oder die <strong>Datenschutz</strong>beauftragte seinen<br />
bzw. ihren Aufgaben gewachsen ist <strong>und</strong> damit die Wiederwahl rechtfertigt<br />
(i.d.S. zu § 22 BDSG, Gola/Schomerus, BDSG, 11 Aufl., § 22 Rn 7).<br />
Insoweit ist in diesem Zusammenhang festzustellen, dass das Amt des<br />
bzw. der <strong>Datenschutz</strong>beauftragten bzw. seine/ihre Wiederwahl letztlich<br />
auch vor dem Hintergr<strong>und</strong> einer sachk<strong>und</strong>igen Kontrolltätigkeit zu entscheiden<br />
ist.<br />
120
Eine gesetzliche Begrenzung der Wiederwahl auf eine Amtsperiode ist<br />
jedoch nicht zwingend. So sieht etwa die Regelung in Berlin keine Beschränkung<br />
der Amtsperioden des dortigen <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
vor (vgl. § 21 Abs. 3 BlnDSG, sondern es wird pauschal bestimmt, dass<br />
eine Wiederwahl zulässig ist). Letztlich sind die Erwägungen <strong>für</strong> oder<br />
gegen eine mehrmalige Wiederwahl bei <strong>Datenschutz</strong>beauftragten nicht<br />
anders zu beurteilen als insgesamt bei politisch herausgehobenen Amtsträgern<br />
mit besonderer Verantwortung. Hier gibt es weniger Vorgaben <strong>für</strong><br />
richtige <strong>und</strong> falsche Lösungen als unterschiedliche Modelle.<br />
Die hamburgische Regelung verzichtet auf eine Abwahlklausel durch das<br />
Parlament. Dies ist einerseits dadurch begründet, dass das Parlament<br />
die/den <strong>Datenschutz</strong>beauftragte/n auf den Vorschlag der Regierung gewählt<br />
hat. Zum anderen würde eine politische Abberufung aus anderen<br />
Gründen als denen des Beamtenrechts die/den <strong>Datenschutz</strong>beauftragte/n<br />
in derer/dessen unabhängiger Amtsführung eher schwächen.<br />
Nach Abs. 3 hat der bzw. die <strong>Hamburgische</strong> <strong>Datenschutz</strong>beauftragte das<br />
Amt bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers weiterzuführen.<br />
Insoweit gilt die Amtszeit als verlängert. Der Gesetzgeber verfolgt<br />
damit das Ziel, das <strong>für</strong> den Schutz des informationellen Selbstbestimmungsrechts<br />
wichtige Amt der/des <strong>Datenschutz</strong>beauftragten permanent<br />
besetzt zu halten.<br />
Zu § 22 Rechtsstellung<br />
Mit Urteil vom März 2010 (C-1518/07) hat der Europäische Gerichtshof die<br />
Stellung der <strong>Datenschutz</strong>beauftragten nachhaltig gestärkt. Nach Art. 28<br />
Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments <strong>und</strong> des Rats<br />
vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung<br />
personenbezogener Daten <strong>und</strong> zum freien Datenverkehr soll die<br />
Überwachung der Umsetzung der <strong>Datenschutz</strong>bestimmungen in den Mitgliedstaaten<br />
von öffentlichen Kontrollstellen vorgenommen werden, die in<br />
„völliger Unabhängigkeit“ ihre Aufgaben wahrnehmen. Dies bedeutet nach<br />
dem EuGH, dass entsprechende Kontrollstellen die Unabhängigkeit besitzen<br />
in dem Sinne, dass sie jeglicher äußeren Einflussnahme entzogen sein<br />
müssen, die ihre Entscheidung steuern könnte (EuGH a.a.O.).<br />
Dieses Urteil hatte insbesondere in B<strong>und</strong>esländern, die die <strong>Datenschutz</strong>aufsicht<br />
über private Stellen nach § 38 BDSG bislang in ihre Ministerialverwaltung<br />
integriert hatten, weitreichende Umstrukturierungen zur<br />
Folge: Bis auf das B<strong>und</strong>esland Bayern, wo eine neue selbständige Aufsichtsbehörde<br />
geschaffen wurde, legten die Länder die Funktionen der<br />
Aufsichtsbehörde <strong>und</strong> des <strong>Datenschutz</strong>beauftragten in der Folgezeit zu-<br />
121
sammen. Aber auch <strong>für</strong> den Bereich des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong><br />
<strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit (HmbBfDI) ergaben sich Anpassungsbedarfe,<br />
obwohl hier bereits zuvor die Aufgaben der Aufsichtsbehörde<br />
<strong>und</strong> der Landesdatenschutzkontrolle zusammen wahrgenommen<br />
wurden. Im Bereich der aufsichtsbehördlichen Tätigkeit über die nicht-öffentlichen<br />
Stellen bestanden eine dem Unabhängigkeitspostulat der EU-<br />
<strong>Datenschutz</strong>richtlinie widersprechende Dienstaufsicht sowie eine Rechtsaufsicht<br />
durch den Senat.<br />
Um einen europarechtskonformen Zustand zu schaffen, wurde die Kernbestimmung<br />
der Unabhängigkeit des <strong>Datenschutz</strong>beauftragten auch auf die<br />
Überwachung des nicht-öffentlichen Bereichs bezogen <strong>und</strong> die Dienstaufsicht<br />
weitergehend eingeschränkt. Dies erfolgte durch eine Gleichstellung<br />
der <strong>Datenschutz</strong>beauftragten mit den Berufsrichterinnen <strong>und</strong> Berufsrichtern<br />
nach Maßgabe des Richtergesetzes. Damit wird ausgeschlossen,<br />
dass durch dienstrechtliche Maßnahmen mittelbar auf die Tätigkeit der<br />
oder des <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
Einfluss genommen werden kann (vgl. Bü-Drs. 20/369 vom<br />
3.5.2011, S. 3).<br />
Durch die Verweisungen in § 22 Abs. 1 S. 3 sind insbesondere die Regelungen<br />
des § 26 des Deutschen Richtergesetzes (DRiG) anwendbar. Dies bedeutet,<br />
dass eine Dienstaufsicht nur besteht, soweit die Unabhängigkeit<br />
nicht beeinträchtigt wird. Nach § 26 Abs. 2 DRiG umfasst die Dienstaufsicht<br />
die Möglichkeit, die ordnungswidrige Art der Ausführung eines Amtsgeschäfts<br />
vorzuhalten <strong>und</strong> zu ordnungsgemäßer, unverzögerter Erledigung<br />
der Amtsgeschäfte zu ermahnen. Besteht die Annahme, dass Maßnahmen<br />
der Dienstaufsicht die Unabhängigkeit beeinträchtigen, kann dies auf Antrag<br />
der/des <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit gem. §<br />
26 Abs. 3 DRiG gerichtlich überprüft werden.<br />
Eine wichtige Voraussetzung <strong>für</strong> die vollständige Unabhängigkeit der/des<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit regelte bereits<br />
zuvor § 22 Abs. 2. Danach ist der/dem <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit die zur Aufgabenerfüllung notwendige Personal- <strong>und</strong><br />
Sachausstattung im Rahmen der haushaltsmäßigen Bestimmungen zur<br />
Verfügung zu stellen. Obwohl die Fragen des <strong>Datenschutz</strong>es im Zuge der<br />
umfassenden Entwicklung hin zu einer Digitalisierung von Staat <strong>und</strong> Gesellschaft<br />
wesentlich an Brisanz <strong>und</strong> Komplexität zugenommen haben, ist<br />
die personelle <strong>und</strong> finanzielle Ausstattung der/des <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong><br />
<strong>und</strong> Informationsfreiheit seit Beginn der 2000er Jahre eher rückläufig<br />
(siehe Anhang zum Tätigkeitsbericht 2010/2011, „<strong>Datenschutz</strong> – Fakten,<br />
Zahlen, Daten“, Abbildung 2). Dies erschwert nicht nur die Überwachung,<br />
122
sondern auch die erforderliche Beratung der öffentlichen <strong>und</strong> nicht-öffentlichen<br />
Stellen nicht unerheblich.<br />
Frei werdende oder neu zu besetzende Stellen werden auf Vorschlag<br />
der/des HmbBfDI besetzt, so dass hier eine eigenständige Entscheidung<br />
über die personelle Zusammensetzung des Unterstützungsteams besteht.<br />
Abordnungen <strong>und</strong> Versetzungen erfolgen lediglich im Einvernehmen mit<br />
der/dem HmbBfDI, die/der auch die/der Dienstvorgesetzte/r ihrer/seiner<br />
Mitarbeiterinnen <strong>und</strong> Mitarbeiter ist.<br />
§ 22 Abs. 3 regelt die Verpflichtung der/des HmbBfDI zur Ernennung einer<br />
Stellvertreterin oder eines Stellvertreters. Die Regelung bezweckt, dass<br />
der Schutz des Rechts auf informationelle Selbstbestimmung auch bei der<br />
Verhinderung der Amtsinhaberin bzw. des Amtsinhabers durch einen Stellvertreter<br />
zumindest <strong>für</strong> einen bestimmten Zeitraum sichergestellt werden<br />
kann. Bei Verhinderungen, die länger als 2 Monate dauern, hat der Senat<br />
die Möglichkeit, eine andere Person mit der Wahrnehmung der Aufgaben<br />
des <strong>Datenschutz</strong>beauftragten zu betrauen. Vor einer Vertreterbestellung<br />
durch den Senat soll der bzw. die <strong>Hamburgische</strong> <strong>Datenschutz</strong>beauftragte<br />
gehört werden, falls das die Art der Verhinderung zulässt.<br />
Zu § 23 Aufgaben<br />
Nach § 23 überwacht der <strong>Hamburgische</strong> Beauftrage <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit (HmbBfDI) bei allen in § 2 Abs. 1 S. 1 aufgeführten öffentlichen<br />
Stellen die Einhaltung der Vorschriften des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes,<br />
aber auch anderer öffentlich-rechtlicher <strong>Datenschutz</strong>bestimmungen,<br />
die von diesen Stellen zu beachten sind. Hierzu gehören<br />
b<strong>und</strong>esrechtliche Vorschriften, wie etwa die des SGB X ebenso, wie die<br />
landesrechtlichen Regelungen z.B. die des PolDVG oder der Schuldatenschutzverordnung.<br />
Die Kontrolltätigkeiten nach § 23 Abs. 1 betreffen daher<br />
alle öffentlich-rechtlichen Stellen, die – sei es durch Normen des B<strong>und</strong>esrechts,<br />
sei es durch Landesrecht – datenschutzrechtlichen Vorgaben unterworfen<br />
sind.<br />
Nicht zu den der Überwachung unterliegenden Stellen gehören öffentlichrechtlich<br />
organisierte Religionsgesellschaften, soweit diese nicht in die<br />
öffentlich-rechtliche Organisationsform der staatlichen Verwaltung eingeb<strong>und</strong>en<br />
sind bzw. keine eigenen verwaltungsrechtlichen Aufgaben mit<br />
hoheitlichen Befugnissen erfüllen (in diesem Sinne Simitis, BDSG, 7. Aufl.,<br />
§ 2 Rn 114). Ebenfalls ausgenommen von der Überwachungs- <strong>und</strong> Kontrollkompetenz<br />
des HmbBfDI ist der öffentlich-rechtliche R<strong>und</strong>funk. § 41 NDR-<br />
Staatsvertrag sieht ausdrücklich vor, dass die einschlägigen Kompetenznormen<br />
in §§ 21–23, 25 <strong>und</strong> 26 HmbDSG <strong>für</strong> den NDR nicht gelten. Zur Ab-<br />
123
sicherung der Staatsfreiheit des öffentlich-rechtlichen R<strong>und</strong>funks sieht § 41<br />
Abs. 2 NDR-Staatsvertrag stattdessen einen eigenständigen <strong>Datenschutz</strong>beauftragten<br />
des NDR vor, der dort hausintern <strong>für</strong> die Einhaltung der Vorschriften<br />
über den <strong>Datenschutz</strong> zuständig ist.<br />
Ausnahmen von der Kontrollzuständigkeit des HmbBfDI ergeben sich ferner<br />
bei Rechtsträgern außerhalb der klassischen Verwaltungsfunktionen.<br />
Hierzu zählt zunächst die <strong>Hamburgische</strong> Bürgerschaft, die im Bereich ihrer<br />
verfassungsrechtlichen Stellung als Legislativorgan nicht, sondern nur soweit<br />
sie in Verwaltungsangelegenheiten tätig wird, der Kontrolle des<br />
HmbBfDI unterliegt. Entsprechendes gilt <strong>für</strong> den mit eigenen landesverfassungsrechtlichen<br />
Garantien der Unabhängigkeit ausgestatteten Rechnungshof.<br />
Für die Judikative wird die gerichtliche Unabhängigkeit durch<br />
eine entsprechende Bereichsausnahme von der Kontrolle des HmbBfDI<br />
gewahrt. Bei Gerichten <strong>und</strong> <strong>für</strong> den Rechnungshof gilt allerdings eine Kontrollbefugnis<br />
<strong>für</strong> die erforderlichen technischen <strong>und</strong> organisatorischen<br />
Maßnahmen, die nach § 8 zu treffen sind.<br />
Bei der Strafverfolgung gilt der Richtervorbehalt gegenüber dem HmbBfDI<br />
gr<strong>und</strong>sätzlich nicht gegenüber der Tätigkeit der Staatsanwaltschaft (gegen<br />
eine Freistellung der Rechtspflegetätigkeit der Staatsanwaltschaften von<br />
der <strong>Datenschutz</strong>kontrolle siehe Bü-Drs. 13/3282 vom 14.02.89 Seite 23).<br />
Diese ist zwar auch im Rahmen der Rechtspflege weitgehend unabhängig,<br />
stellt aber kein Gericht im Sinne des Wortlauts des § 23 Abs. 1 S. 2 dar. Mit<br />
Blick auf die Anträge der Staatsanwaltschaft in den strafprozessualen Bereichen,<br />
wo Richtervorbehalte bestehen (§ 100 StPO), wird zumindest<br />
durch die Gerichte <strong>und</strong> die Innenministerien davon ausgegangen, dass bereits<br />
der Antrag der StA an dem strafprozessualen Richtervorbehalt teilnimmt<br />
<strong>und</strong> der Kontrolle durch den <strong>Datenschutz</strong> entzogen ist. In diesem<br />
Zusammenhang ist jedoch darauf hinzuweisen, dass § 2 Abs. 5 <strong>für</strong> die<br />
nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb<br />
von Dateien durch die Gerichte im Rahmen der Rechtspflege so wie <strong>für</strong> die<br />
Staatsanwaltschaften <strong>und</strong> ihre Hilfsbeamten bei der Verfolgung von<br />
Straftaten <strong>und</strong> bei der Strafvollstreckung eine Ausnahme der Geltung der<br />
materiellen Vorschriften des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes anordnet.<br />
Hier sind dann vielmehr die Normen der StPO einschlägig. Im Umkehrschluss<br />
bedeutet dies: Soweit Daten durch den Einsatz von Datenverarbeitungsanlagen<br />
verarbeitet werden, unterfallen diese auch dem Regelungsbereich<br />
des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>rechts.<br />
Neben der Aufgabe der Überwachung der Datenverarbeitung öffentlicher<br />
Stellen sieht Abs. 2 als zweite zentrale Säule die Funktion der Beratung vor.<br />
Diese soll insbesondere gegenüber dem Senat <strong>und</strong> den in § 2 Abs. 1 S. 1<br />
genannten Stellen wahrgenommen werden.<br />
124
Eine explizite Norm <strong>für</strong> die Beratung <strong>und</strong> Information von Bürgern fehlt im<br />
HmbDSG. Gleichwohl bezieht sich die Aufgabe der Beratung auch auf die<br />
von der Datenverarbeitung durch öffentliche Stellen betroffenen Bürgerinnen<br />
<strong>und</strong> Bürger. Dies ergibt sich zum einen nach Maßgabe des Insbesondere-Satzes<br />
<strong>und</strong> zum anderen aus § 26, der ein allgemeines Anrufungsrecht<br />
des HmbBfDI durch die Bürgerinnen <strong>und</strong> Bürger vorsieht. Insoweit ist<br />
der HmbBfDI nicht ausschließlich auf eine bloße Rechtskontrolle der verantwortlichen<br />
Stellen beschränkt (vgl. dazu auch unter § 25, wonach Beanstandungen<br />
auch bei bloßen Mängeln der Datenverarbeitung möglich<br />
sind). Er kann <strong>und</strong> sollte darüber hinaus auch Einschätzungen, Empfehlungen<br />
<strong>und</strong> Informationen zu <strong>Datenschutz</strong>fragen abgeben, die sich insbesondere<br />
auf die Fähigkeit der Bürgerinnen <strong>und</strong> Bürger zum eigenverantwortlichen<br />
Datenmanagement auswirken (vgl. nur Simitis, BDSG, 7. Aufl.,<br />
§ 24 Rn 3).<br />
Soweit darüber hinaus gezielte Warnungen der Öffentlichkeit erfolgen sollen,<br />
ist dies nach ständiger Rechtsprechung auch ohne eine explizite<br />
Rechtsgr<strong>und</strong>lage möglich. Voraussetzung ist hier<strong>für</strong> ein gewichtiger, dem<br />
Inhalt <strong>und</strong> der Bedeutung des informationellen Selbstbestimmungsrechts<br />
entsprechender Anlass <strong>und</strong> ein im wesentlich zutreffender oder zumindest<br />
sachgerecht <strong>und</strong> vertretbar gewürdigter Tatsachenkern (so z.B. BVerfG<br />
NJW 1989, 3269, 3270; mit Blick auf die Tätigkeit des <strong>Datenschutz</strong>beauftragten<br />
jüngst VG Schleswig, Beschluss vom 8.11.2013, S. 4f, mit weiteren<br />
Nachweisen; ferner VG Köln mit Blick auf die Öffentlichkeitsarbeit der B<strong>und</strong>esdatenschutzbeauftragten,<br />
Beschluss vom 11.3.1999. 20 L 3757/98).<br />
Dennoch sollte im Rahmen einer Novellierung des HmbDSG eine ausdrückliche<br />
Erweiterung der Aufgaben des HmbBfDI zumindest mit deklaratorischer<br />
Wirkung erfolgen.<br />
Das Amt des <strong>Datenschutz</strong>beauftragten ist zwar weltanschaulich neutral,<br />
doch nicht auf datenschutzpolitische Neutralität beschränkt. Einschätzungen<br />
<strong>und</strong> Stellungnahmen zu datenschutzrelevanten Fragestellungen sind<br />
dem <strong>Datenschutz</strong>beauftragten jederzeit möglich, gerade auch gegenüber<br />
datenverarbeitenden Stellen in seinem Kompetenzbereich. Dies folgt letztlich<br />
auch aus der vollständigen Unabhängigkeit der <strong>Datenschutz</strong>beauftragten<br />
nach Art. 28 der EU-<strong>Datenschutz</strong>richtlinie. Insoweit wirkt der <strong>Datenschutz</strong>beauftragte<br />
mit seiner Tätigkeit zur Optimierung des <strong>Datenschutz</strong>es<br />
gerade auch in die Öffentlichkeit hinein.<br />
Gemäß § 23 Abs. 3 S. 1 ist der <strong>Datenschutz</strong>beauftragte verpflichtet, auf<br />
Anforderung des Senats oder auf Verlangen eines Viertels der Abgeordneten<br />
der Bürgerschaft Gutachten zu erstellen <strong>und</strong> Bericht zu erstatten. Das<br />
Quorum von einem Viertel der Abgeordneten der Bürgerschaft stellt dabei<br />
sicher, dass auch die Opposition die Möglichkeit hat, sich Informationen<br />
125
<strong>und</strong> Einschätzungen beim <strong>Datenschutz</strong>beauftragten zu verschaffen. Die<br />
thematisch-inhaltliche Befassung des <strong>Datenschutz</strong>beauftragten ist dabei<br />
möglichst weit zu verstehen. Hierzu zählen nicht nur datenschutzrechtliche<br />
Gutachten, sondern auch technisch organisatorische Fragstellungen<br />
oder allgemeine Einschätzungen zu datenschutzrelevanten Fragen.<br />
Der Senat sowie die Bürgerschaft können den HmbBfDI nach Abs. 3 S. 1<br />
auffordern, Gutachten zu erstellen <strong>und</strong> Berichte zu erstatten. Das Quorum<br />
von einem Viertel der Abgeordneten ermöglicht daher, dass auch die<br />
Opposition sich der Expertise des HmbBfDI bedienen kann. Der Senat<br />
kann den HmbBfDI ferner ersuchen, Angelegenheiten <strong>und</strong> Vorgängen<br />
nachzugehen, die dessen Aufgabenbereich unmittelbar betreffen.<br />
Ein Schwerpunkt der Tätigkeit des <strong>Datenschutz</strong>beauftragten im Bereich<br />
der Beratung <strong>und</strong> Information ist die Veröffentlichung des Tätigkeitsberichts,<br />
der nach Abs. 3 S. 2 mindestens alle zwei Jahre der Bürgerschaft<br />
<strong>und</strong> dem Senat erstattet werden soll. Hierin informiert der <strong>Datenschutz</strong>beauftragte<br />
Senat, Bürgerschaft <strong>und</strong> Öffentlichkeit über die wichtigsten<br />
<strong>Datenschutz</strong>themen der vergangenen Berichtsperiode <strong>und</strong> gibt Einschätzungen<br />
sowie Hinweise zu technisch-organisatorischen Maßnahmen<br />
sowie zu anderen datenschutzrelevanten Fragestellungen ab.<br />
Nach Abs. 3 S. 3 kann sich der HmbBfDI jederzeit an die Bürgerschaft wenden.<br />
Danach hat er gr<strong>und</strong>sätzlich auch das Recht, in den Ausschüssen der<br />
Bürgerschaft anwesend zu sein <strong>und</strong> dort zu datenschutzrelevanten Fragen<br />
Stellung zu nehmen.<br />
Nach Abs. 3 S. 4 sind schriftliche Äußerungen gegenüber der Bürgerschaft<br />
gleichzeitig dem Senat vorzulegen. Diese Norm verpflichtet den HmbBfDI<br />
zur Herstellung eines Gleichgewichts von Informationen gegenüber dem<br />
Senat, soweit der HmbBfDI sich mit einer schriftlichen Stellungnahme an<br />
die Bürgerschaft gewandt hat. Anfragen von Fraktionen oder Abgeordneten<br />
aus der Bürgerschaft führen daher, soweit deren Beantwortung schriftlich<br />
erfolgt, zu einer parallelen Unterrichtung des Senats. Ausgenommen<br />
hiervon sind Anfragen von Abgeordneten der <strong>Hamburgische</strong>n Bürgerschaft,<br />
die diese in ihrer persönlichen Eigenschaft als Bürger stellen.<br />
Eine Besonderheit betrifft die Beteiligung des HmbBfDI in parlamentarischen<br />
Anfragen nach Art. 25 Abs. 1 der Verfassung der Freien <strong>und</strong> Hansestadt<br />
Hamburg (HV). Danach sind die Abgeordneten berechtigt, zu öffentlichen<br />
Angelegenheiten Große <strong>und</strong> Kleine Anfragen an den Senat zu richten.<br />
Die Großen <strong>und</strong> Kleinen Anfragen sind wesentliche Mittel der parlamentarischen<br />
Kontrolle von Abgeordneten gegenüber der Regierung.<br />
Antwortpflichtig nach Art. 25 HV ist allein der Senat (m. w.N. David, Verfassung<br />
der Freien <strong>und</strong> Hansestadt Hamburg, Kommentar, 2. Auflage, Art. 25,<br />
126
Rn 9). Der HmbBfDI ist in seiner Eigenschaft als Aufsichtsbehörde zwar im<br />
weiteren Sinne der Exekutive zuzurechnen, gegenüber dem Senat ist er jedoch<br />
eine unabhängige Stelle. Eine Verpflichtung, auf konkrete Anforderung<br />
des Senats im Rahmen parlamentarischer Anfragen nach Art. 25 HV<br />
in einer bestimmten Frist Stellung zu nehmen, besteht daher nicht. Dennoch<br />
ist der HmbBfDI bemüht, aus Anlass konkreter Anfragen von Abgeordneten<br />
den Senat im Rahmen von hamburgweiten Behördenabstimmungen<br />
über datenschutzrelevante Fragen zu informieren <strong>und</strong> ihn bei der Abfassung<br />
von Antworten mit seinem datenschutzrechtlichen Sachverstand<br />
zu unterstützen.<br />
Sinn <strong>und</strong> Zweck des parlamentarischen Fragerechts beschränken den<br />
Gegenstand des Fragerechts auf unmittelbar in der Verantwortung der<br />
Regierung liegende Themenbereiche. Einschätzungen <strong>und</strong> Bewertungen<br />
datenschutzrelevanter Vorgänge aus Sicht des HmbBfDI selbst können<br />
daher gr<strong>und</strong>sätzlich nicht Gegenstand parlamentarischer Anfragen sein.<br />
Entsprechende eigenständige bewertende Stellungnahmen zu datenschutzrelevanten<br />
Fragen können durch Abgeordnete der Bürgerschaft direkt<br />
beim HmbBfDI abgefragt werden. Gleichwohl ist der HmbBfDI anlässlich<br />
der ihm durch den Senat zugeleiteten Anfragen nicht gehindert, auch<br />
Antwortbeiträge mit wertendem Gehalt beizusteuern. Soweit es sich dabei<br />
um eigene Einschätzungen handelt, sollten diese in ihrem Wortlaut unverändert<br />
in die Beantwortung der Anfrage aufgenommen werden <strong>und</strong> zeigen,<br />
dass es sich dabei um eine Bewertung des HmbBfDI handelt.<br />
Der Senat sowie die Bürgerschaft können den HmbBfDI nach Abs. 3 S. 1<br />
auffordern, Gutachten zu erstellen <strong>und</strong> Berichte zu erstatten. Das Quorum<br />
von einem Viertel der Abgeordneten ermöglicht daher, dass auch die<br />
Opposition sich der Expertise des HmbBfDI bedienen kann. Der Senat<br />
kann den HmbBfDI ferner ersuchen, Angelegenheiten <strong>und</strong> Vorgängen<br />
nachzugehen, die dessen Aufgabenbereich unmittelbar betreffen. Ein<br />
Schwerpunkt der Tätigkeit des HmbBfDI im Bereich der Beratung <strong>und</strong> Information<br />
ist die Veröffentlichung des Tätigkeitsberichts, der nach Abs. 3 S.<br />
2 mindestens alle zwei Jahre der Bürgerschaft <strong>und</strong> dem Senat erstattet<br />
werden soll. Hierin informiert der HmbBfDI Senat, Bürgerschaft <strong>und</strong> Öffentlichkeit<br />
über die wichtigsten <strong>Datenschutz</strong>themen der vergangenen Berichtsperiode<br />
<strong>und</strong> gibt Einschätzungen sowie Hinweise zu technisch-organisatorischen<br />
Maßnahmen sowie zu anderen datenschutzrelevanten Fragestellungen<br />
ab.<br />
Ein wesentlicher Arbeitsschwerpunkt des HmbBfDI besteht darin, die Einführung<br />
neuer Informations- <strong>und</strong> Kommunikationstechniken in die Verwaltung<br />
der Freien <strong>und</strong> Hansestadt Hamburg zu begleiten <strong>und</strong> technisch organisatorisch<br />
zu überprüfen. Hier<strong>für</strong> sieht Absatz 4 eine Verpflichtung aller<br />
127
verantwortlichen Stellen vor, den HmbBfDI möglichst frühzeitig über Planungen<br />
neuer Anwendungen zu informieren.<br />
Abs. 5 S. 1 statuiert <strong>für</strong> die verantwortlichen Stellen eine allgemeine Verpflichtung,<br />
den HmbBfDI bei der Erfüllung seiner Aufgaben zu unterstützen.<br />
Hierzu wird dem HmbBfDI bzw. dessen Mitarbeitern, die ihn bei der<br />
Erfüllung seiner Aufgaben unterstützen, das Recht eingeräumt, Auskunft<br />
zu Fragen sowie die Einsicht in alle Unterlagen <strong>und</strong> Akten zu erhalten, die<br />
im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen.<br />
Ferner ist ihnen Zutritt zu allen Diensträumen zu gewähren.<br />
Geheimhaltungsvorschriften können diesem umfassenden Auskunfts- <strong>und</strong><br />
Einsichtsverlangen nicht entgegen gehalten werden. Dies gilt auch, soweit<br />
die Geheimhaltung durch B<strong>und</strong>esrecht vorgeschrieben wurde, es sei<br />
denn, dass eine Auslegung der b<strong>und</strong>esrechtlichen Vorschriften eine ausdrücklich<br />
auch gegenüber der <strong>Datenschutz</strong>kontrolle gewollte Sperre ergibt<br />
(Vgl. Bü-Drs. 13/3282, Seite 24, mit dem Hinweis, dass sich insbesondere<br />
mit Blick auf die Anwendung des § 203 StGB eine entsprechende Ermächtigung<br />
aus den landesrechtlichen Vorschriften zur <strong>Datenschutz</strong>kontrolle<br />
ergebe).<br />
Abs. 6 enthält demgegenüber eine Sondervorschrift <strong>für</strong> das Landesamt <strong>für</strong><br />
Verfassungsschutz, die Behörden der Staatsanwaltschaft <strong>und</strong> der Polizei<br />
sowie den Landesfinanzbehörden. Danach werden die oben genannten<br />
Kontrollrechte nur dem HmbBfDI persönlich bzw. den von ihm damit schriftlich<br />
beauftragten Mitarbeitern übertragen. Für die in Abs. 6 genannten<br />
Behörden wird zudem eine Ausnahme vom Zutritt <strong>und</strong> Akteneinsichtsrecht<br />
statuiert <strong>für</strong> den Fall, dass der Senat im Einzelfall feststellt, dass die Einsicht<br />
in Akten die Sicherheit des B<strong>und</strong>es oder eines Landes gefährdet.<br />
Zu § 24 Aufsichtsbehörde<br />
Nach § 24 wird dem <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong><br />
Informationsfreiheit (HmbBfDI) die Aufgabe der Aufsichtsbehörde <strong>für</strong> den<br />
<strong>Datenschutz</strong> in europarechtskonformer Auslegung gem. § 38 Abs. 6 BDSG<br />
übertragen (dazu Bü-Drs. 20/369, S. 4). Damit erfolgt die Befugnisübertragung<br />
nun durch eine gesetzliche Vorschrift, nicht wie bisher aufgr<strong>und</strong> einer<br />
Anordnung des Senats (vgl. dazu den bisherigen § 23 Abs. 8, Bü.-Drs.<br />
13/3282 vom 14.2.1989, S. 8). Die Kontrolle des öffentlichen Bereichs nach<br />
§ 23 wie auch die Kontrolltätigkeit gegenüber nicht-öffentlichen Stellen ist<br />
daher dem HmbBfDI in seiner Eigenschaft als unabhängiger Stelle zugewiesen.<br />
128
Zu § 25 Beanstandungen<br />
Während im Bereich der aufsichtsbehördlichen Tätigkeit gegenüber nichtöffentlichen<br />
Stellen die Möglichkeit besteht, Bußgelder <strong>und</strong> Anordnungen<br />
nach dem BDSG zu erlassen, ist das schärfste Schwert des <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit (HmbBfDI)<br />
gegenüber den von ihm kontrollierten öffentlichen Stellen das Instrument<br />
der Beanstandung. Voraussetzung <strong>und</strong> Verfahren von Beanstandungen regelt<br />
§ 25.<br />
Eine Beanstandung setzt zunächst voraus, dass der HmbBfDI Verstöße<br />
gegen das <strong>Hamburgische</strong> <strong>Datenschutz</strong>gesetz oder gegen andere Vorschriften<br />
des <strong>Datenschutz</strong>es durch die in § 2 Abs. 1 S. 1 genannten Stellen<br />
feststellt. Der Landesgesetzgeber lässt – ebenso wie der B<strong>und</strong>esgesetzgeber<br />
in § 25 BDSG – nicht nur Verstöße, sondern bereits auch Mängel bei der<br />
Datenverarbeitung als Gr<strong>und</strong> <strong>für</strong> eine Beanstandung ausreichen. Dies dokumentiert,<br />
dass das Kontrollrecht des <strong>Datenschutz</strong>beauftragten gegenüber<br />
den öffentlichen Stellen umfassend ist <strong>und</strong> sich nicht auf eine reine<br />
Rechtskontrolle öffentlicher Stellen beschränkt (insoweit Gola/Schomerus,<br />
BDSG, 11. Aufl., § 25 Rn 2). Gr<strong>und</strong>sätzlich wird jedoch bei der Beanstandung<br />
auch sonstiger Mängel eine gewisse Erheblichkeit zu fordern sein.<br />
Dies ergibt sich bereits aus dem Gr<strong>und</strong>satz der Verhältnismäßigkeit, dessen<br />
Anwendung nicht zuletzt auch im Eigeninteresse der <strong>Datenschutz</strong>behörden<br />
liegen sollte, zumal eine exzessive Beanstandungspraxis das<br />
Instrument der Beanstandung abwerten würde. Insoweit sollten die Mängel<br />
geeignet sein, zumindest abstrakt das Persönlichkeitsrecht oder<br />
schutzwürdige Interessen der Betroffenen zu beeinträchtigen (Gola/Schomerus,<br />
a.a.O., Rn 2).<br />
Absatz 1 regelt im Einzelnen, an welche Stellen die Beanstandungen zu<br />
richten sind. Dies ist im Bereich der Verwaltung sowie der Gerichte der<br />
Freien Hansestadt Hamburg das <strong>für</strong> die Behörden oder das Gericht verantwortliche<br />
Senatsmitglied.<br />
Anknüpfungspunkt <strong>für</strong> die Frage, an wen eine Beanstandung zu richten ist,<br />
ist die Verantwortlichkeit der Stelle, die gegen <strong>Datenschutz</strong>regeln verstoßen<br />
hat. Im Bereich von größeren IT-Vorhaben der Verwaltung führt dies<br />
mitunter zu der Konsequenz, dass gegenüber der <strong>für</strong> die Aufsicht über die<br />
Bezirke zuständigen Behörde eine Beanstandung auszusprechen ist, da<br />
die Bezirke letztlich die Aufgabe der Datenverarbeitung übernehmen, obwohl<br />
in derartigen Fällen die Ursachen <strong>für</strong> <strong>Datenschutz</strong>verstöße häufig auf<br />
der Planungs- <strong>und</strong> Durchführungsebene <strong>und</strong> damit im Bereich der jeweils<br />
verantwortlichen Lenkungsausschüsse <strong>und</strong> der damit betrauten Fachbehörden<br />
liegen. Richtet sich die Beanstandung gegen einen Verstoß im<br />
129
Bereich der Bezirksverwaltung (z.B. der bezirklichen Jugendämter), so ist<br />
dies gegenüber dem Senatsmitglied zu beanstanden, das <strong>für</strong> die Bezirksaufsichtsbehörde<br />
i.S. d. § 43 Bezirksverwaltungsgesetz verantwortlich ist.<br />
Insoweit bleibt es unbenommen, dem insofern wertungsmäßig zumindest<br />
auch verantwortlichen anderen Senator nicht nur die ausgesprochene Beanstandung<br />
nachrichtlich zuzusenden, sondern ihn auch gesondert auf<br />
den Gesetzesverstoß bzw. Mangel hinzuweisen, damit auch dieses Ressort<br />
<strong>für</strong> Abhilfe sorgt.<br />
Beanstandungen, die sich gegen die Datenverarbeitung durch die der Aufsicht<br />
der Freien <strong>und</strong> Hansestadt Hamburg unterstehenden juristischen<br />
Personen des öffentlichen Rechts richten, sind gegenüber dem Vorstand<br />
oder dem sonst vertretungsberechtigten Organ geltend zu machen. Zuständige<br />
Stelle <strong>für</strong> Beanstandungen gegenüber der Bürgerschaft bzw.<br />
dem Rechnungshof ist die jeweilige Präsidentin bzw. der jeweilige Präsident.<br />
Inhalt der Beanstandung ist zunächst die Darstellung der gerügten<br />
Mängel <strong>und</strong> die Aufforderung zu ihrer Behebung, <strong>für</strong> die dem Adressaten<br />
eine angemessene Frist zu setzen ist. Der Sachverhalt, der der Beanstandung<br />
zugr<strong>und</strong>e liegt, sollte dabei möglichst sachlich, örtlich <strong>und</strong> zeitlich<br />
abgrenzbar beschrieben werden, wobei eine Subsumtion der Verstöße<br />
unter eine <strong>Datenschutz</strong>bestimmung erfolgen sollte (vgl. Simitis, BDSG,<br />
7. Aufl., § 25 Rn 9). Gleichzeitig wird die beanstandete Stelle unter Fristsetzung<br />
zu einer Stellungnahme aufgefordert. Nach Absatz 4 sollen darin<br />
auch die Maßnahmen dargestellt werden, die aufgr<strong>und</strong> der Beanstandung<br />
von der verantwortlichen Stelle getroffen worden sind bzw. wie die Abhilfe<br />
der Verstöße bzw. Mängel erfolgen soll. Das gilt auch <strong>für</strong> Maßnahmen, die<br />
ergriffen werden, um in der festgelegten Frist zur Mängelbeseitigung zu<br />
gelangen. Mit der Forderung nach Beseitigung der Mängel kann der <strong>Datenschutz</strong>beauftragte<br />
Vorschläge zur sonstigen Verbesserung des <strong>Datenschutz</strong>es<br />
verbinden.<br />
Eine Beanstandung steht nach Absatz 2 im Ermessen des HmbBfDI (vgl.<br />
Bü-Drs. 9/12, vom 14.8.1979, S. 20f). Von einer Beanstandung kann insbesondere<br />
abgesehen werden, wenn die Mängel von geringer Bedeutung<br />
oder bereits behoben sind oder ihre Behebung sichergestellt ist. Auch<br />
außerhalb dieses Insbesondere-Satzes kann nach Maßgabe des Ermessens<br />
von einer Beanstandung abgesehen werden. Bei der zu treffenden<br />
Ermessensentscheidung sind die Schwere des Verstoßes bzw. die Beeinträchtigung<br />
von Rechten Betroffener oder die Bedeutsamkeit der Gefahren<br />
<strong>für</strong> die Datensicherheit zugr<strong>und</strong>ezulegen. Gr<strong>und</strong>sätzlich hat der HmbBfDI<br />
lediglich ein Recht, keine Pflicht zur Beanstandung (vgl. Taeger/Gabel,<br />
BDSG, 1. Aufl., § 25 Rn 11). Im Einzelfall kann sich eine Pflicht zur Beanstandung<br />
ergeben, wenn diese als letztes Mittel zum Schutz gegen die<br />
130
schwerwiegende <strong>und</strong> andauernde Verletzung des informationellen Selbstbestimmungsrechts<br />
Betroffener durch eine verantwortliche Stelle in Betracht<br />
kommt.<br />
Anders als im BDSG, das <strong>für</strong> die Beanstandung durch den B<strong>und</strong>esbeauftragten<br />
lediglich eine Stellungnahmepflicht im Zusammenhang mit einer<br />
Beanstandung vorsieht, ist die Beanstandung nach Abs. 1 auf die Beseitigung<br />
des Mangels gerichtet. Allerdings hat der <strong>Datenschutz</strong>beauftragte<br />
keine rechtlichen Möglichkeiten, dies im Ergebnis gegenüber den öffentlichen<br />
Stellen durchzusetzen.<br />
Bei nicht fristgemäßer Behebung der Mängel hat der HmbBfDI zu prüfen,<br />
ob eine weitere Beanstandung erforderlich ist. Insoweit sieht das Gesetz<br />
ein zweistufiges Verfahren vor, das als letzte Möglichkeit die Beanstandung<br />
auf der höchsten politischen Ebene vorsieht: Danach richtet der HmbBfDI<br />
in den Fällen, in denen gegenüber einem verantwortlichen Senatsmitglied<br />
beanstandet wurde, die Beanstandung nunmehr an den Senat. In den Fällen,<br />
in denen der Vorstand oder ein vertretungsberechtigtes Organ einer juristischen<br />
Person des öffentlichen Rechts Adressat der Beanstandung war,<br />
geht eine weitere Beanstandung an die <strong>für</strong> die Aufsicht über die mittelbaren<br />
Staatsverwaltung zuständige Behörde.<br />
Im Zusammenhang mit der Kontrolle öffentlicher Stellen kommen neben<br />
einer Beanstandung als weitere Optionen die Darstellung des relevanten<br />
Sachverhaltes in der Öffentlichkeit wie auch die Aufnahme des relevanten<br />
Verstoßes in den Tätigkeitsbericht des <strong>Datenschutz</strong>beauftragten in Betracht.<br />
Ferner kann sich der HmbBfDI nach § 23 Abs. 3 direkt an die Bürgerschaft<br />
wenden. Gegenüber dem zuständigen Ausschuss kommt insbesondere<br />
eine Bitte um Beitritt zur Kritik in Betracht. Soweit der beanstandete<br />
Sachverhalt gleichzeitig Verstöße nach § 32 oder § 33 <strong><strong>Hamburgische</strong>s</strong> <strong>Datenschutz</strong>gesetz<br />
enthält, obliegt die Einleitung von Straf- bzw. Ordnungswidrigkeitsverfahren<br />
der Staatsanwaltschaft bzw. der jeweils zuständigen<br />
Fachbehörde (zur Zuständigkeit <strong>für</strong> die Verfolgung von Ordnungswidrigkeiten<br />
vgl. die Erläuterungen zu § 33).<br />
Das Gesetz regelt nicht, inwieweit Betroffene vom Ergebnis einer von ihnen<br />
angestoßenen <strong>Datenschutz</strong>kontrolle zu unterrichten sind. Die Entscheidung<br />
steht gr<strong>und</strong>sätzlich im Ermessen des <strong>Datenschutz</strong>beauftragten.<br />
Allerdings sollte in Fällen, in denen der Hinweis eines Betroffenen <strong>für</strong> die<br />
<strong>Datenschutz</strong>kontrolle ursächlich war, eine Unterrichtung erfolgen (in diesem<br />
Sinne Gola/Schomerus, BDSG, 11. Aufl., § 25 Rn 9).<br />
Eine Beanstandung kann aufgr<strong>und</strong> der Unabhängigkeit des <strong>Datenschutz</strong>beauftragten<br />
weder im Wege der Rechts- noch im Wege der Fachaufsicht<br />
131
angegriffen werden (dazu bereits unter § 22). Eine Klage der beanstandeten<br />
Stelle vor dem Verwaltungsgericht scheitert gr<strong>und</strong>sätzlich an der fehlenden<br />
Klagebefugnis der öffentlichen Stelle. Soweit im Einzelfall Stellen<br />
der mittelbaren Staatsverwaltung über eigene Rechtspositionen verfügen,<br />
fehlt gleichwohl eine Beeinträchtigung <strong>und</strong> damit das Rechtsschutzinteresse.<br />
Die Beanstandung kann nämlich durch die <strong>Datenschutz</strong>behörde<br />
rechtlich nicht durchgesetzt werden, um insoweit eine eigene Rechtswirkung<br />
gegenüber der beanstandeten Stelle zu erzeugen (vergleiche<br />
BVerwG, RDV 1993, 27; ferner Simitis, BDSG, 7. Aufl., § 25, Rn 20).<br />
Zu § 26 Anrufung<br />
Die Vorschrift enthält ein allgemeines Recht, den <strong>Hamburgische</strong>n <strong>Beauftragte</strong>n<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit (HmbBfDI) anzurufen,<br />
das jeder Bürgerin <strong>und</strong> jedem Bürger zur Verfügung steht. Berechtigt zur<br />
Anrufung ist jeder Betroffene, der der Ansicht ist, bei der Verarbeitung seiner<br />
personenbezogenen Daten im Überwachungsbereich des § 23 Abs. 1<br />
in seinen Rechten verletzt worden zu sein.<br />
In der Praxis stellen die Eingaben von Bürgerinnen <strong>und</strong> Bürgern einen<br />
wesentlichen Schwerpunkt der Arbeit des HmbBfDI dar. Neben der Bearbeitung<br />
von Eingaben, die sich gegen nicht-öffentliche Stellen nach § 38<br />
BDSG richten, gilt dies auch <strong>für</strong> die weniger zahlreichen Eingaben gegen<br />
öffentliche Stellen im Sinne des § 2 Abs. 1 S. 1.<br />
In verfassungskonformer Auslegung mit dem Petitionsrecht nach Art. 17<br />
GG hat derjenige, der eine zulässige Eingabe einreicht, ein Recht darauf,<br />
dass die angegangene Stelle sich damit befasst, in eine sachliche Prüfung<br />
eintritt <strong>und</strong> ihm antwortet (vgl. BVerfG 2, 225, 230).<br />
Der HmbBfDI nimmt die Eingabe entgegen, prüft diese sachlich, stellt fest,<br />
ob eine Verletzung der Rechte des Betroffenen vorliegt oder nicht, <strong>und</strong> bescheidet<br />
den Petenten entsprechend. Inwieweit darüber hinaus das Recht<br />
auf eine Begründung besteht, ist umstritten (verneinend BVerfGE 2, 225,<br />
230; BVerfG NJW 1992, 2033; bejahend hingegen Pagenkopf, in: Sachs,<br />
GG. Kommentar, 5. Aufl. Art. 17, Rn 8). Im Regelfall ist davon auszugehen,<br />
dass die Entscheidung über eine zulässige Eingabe stets mit einer <strong>für</strong> den<br />
Betroffenen versehenen Begründung ergeht.<br />
Da ein subjektives Recht des Petenten auf ein bestimmtes Tätigwerden<br />
des HmbBfDI nicht besteht, wird auch eine verwaltungsgerichtliche Klage<br />
auf eine bestimmte Entscheidung regelmäßig nicht zum Erfolg führen. Anders<br />
ist dies jedoch, wenn in die subjektiven Petitionsrechte des Betroffenen<br />
eingegriffen wird (vgl. Simitis, BDSG, 7. Aufl., § 21 Rn 28).<br />
132
§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher<br />
Forschung<br />
Was „wissenschaftliche Forschung“ ist, definiert § 27 nicht. Wegen der im<br />
Gr<strong>und</strong>gesetz verankerten Freiheit von Wissenschaft <strong>und</strong> Forschung ist von<br />
einem weiten Begriff auszugehen, von der „planmäßigen, methodisch kontrollierten,<br />
unbefangenen Suche nach Erkenntnissen“ (Bü-Drs. 13/3282 zu<br />
§ 27 Abs. 7).<br />
„§ 27 regelt als allgemeine ‚Forschungsklausel‘ die Verarbeitung personenbezogener<br />
Daten <strong>für</strong> wissenschaftliche Zwecke durch öffentliche Stellen<br />
einschließlich der Datenübermittlung an private Forschungsstellen. Eine solche<br />
Vorschrift…ist unverzichtbar. Denn die wissenschaftliche Forschung genießt,<br />
auch wenn ihr durch Artikel 5 Absatz 3 Satz 1 GG ein gewichtiger Stellenwert<br />
zugewiesen wurde, keinen Vorrang gegenüber dem Recht auf informationelle<br />
Selbstbestimmung; die einander prinzipiell gegenüberstehenden<br />
Interessen sind daher durch eine gesetzliche Forschungsklausel in Einklang<br />
zu bringen. Die mit dem Begriff der wissenschaftlichen Forschung angesprochenen<br />
Sachverhalte sind jedoch so unterschiedlich, dass § 27 nur allgemeine<br />
Gr<strong>und</strong>sätze zur Auflösung des Spannungsverhältnisses zwischen<br />
Forschung <strong>und</strong> Selbstbestimmungsrecht aufzeigen kann; ergänzende oder<br />
modifizierende bereichsspezifische <strong>Datenschutz</strong>regelungen sind dadurch<br />
nicht ohne weiteres verzichtbar“ (Bü-Drs. 13/3282 zu § 27).<br />
Wichtige – vorgehende – Spezialregelungen zur Datenverarbeitung zu<br />
Forschungszwecken finden sich in §§ 12, 12a <strong><strong>Hamburgische</strong>s</strong> Krankenhausgesetz<br />
(HmbKHG). Dort wird die Datenverarbeitung <strong>für</strong> Zwecke der<br />
medizinischen Forschung stufenweise zugelassen: Zunächst ist eine anonyme<br />
Nutzung von Patientendaten zu prüfen; ist dies nicht ausreichend, ist<br />
gr<strong>und</strong>sätzlich die Einwilligung der Betroffenen einzuholen; ist auch dies<br />
nicht möglich – etwa bei retrospektiven Studien –, muss eine Abwägung<br />
stattfinden zwischen dem öffentlichen Interesse an der Durchführung des<br />
Forschungsvorhabens <strong>und</strong> dem Geheimhaltungsinteresse der betroffenen<br />
Personen. § 12a HmbKHG enthält eine Regelung <strong>für</strong> die Sammlung von<br />
Proben <strong>und</strong> Daten (Biobanken) zum Zwecke zukünftiger Forschung, (vgl.<br />
21. TB 2006/2007, 14.1).<br />
Weitere spezialgesetzliche Forschungsklauseln enthalten auch § 3 Abs. 5<br />
<strong><strong>Hamburgische</strong>s</strong> Bestattungsgesetz, § 28 <strong><strong>Hamburgische</strong>s</strong> Ges<strong>und</strong>heitsdienstgesetz,<br />
§ 5 Abs. 4 <strong><strong>Hamburgische</strong>s</strong> Archivgesetz, die §§ 7–11 <strong><strong>Hamburgische</strong>s</strong><br />
Krebsregistergesetz sowie b<strong>und</strong>esgesetzlich z.B. § 75 Sozialgesetzbuch<br />
X <strong>und</strong> § 476 Strafprozessordnung.<br />
Bei Forschungen kommt es überwiegend nicht auf die einzelne Person an.<br />
Deshalb sollen die Daten möglichst bereits in einem frühen Stadium der<br />
133
Forschung so verarbeitet werden, dass eine Person nicht mehr bestimmbar<br />
ist oder nur in Ausnahmefällen bestimmt werden kann. Dies ist durch frühzeitige<br />
Anonymisierung <strong>und</strong> Pseudonymisierung der Daten möglich (zu<br />
den Begriffen vgl. Erläuterungen zu § 4 Abs. 9 <strong>und</strong> 10).<br />
Absatz 1<br />
Trotz des insoweit unklaren Wortlauts von S. 1 ist daher – ähnlich der insoweit<br />
deutlicheren Regelung in § 12 HmbKHG – immer zunächst die Möglichkeit<br />
einer nicht personenbezogenen, also anonymen Datenverarbeitung<br />
zu prüfen. Ist diese aus Gründen des Forschungsdesigns nicht möglich<br />
– z.B. bei Daten aus verschiedenen Quellen – ist gr<strong>und</strong>sätzlich vorrangig<br />
die Einwilligung der Betroffenen einzuholen. Dies entspricht dem<br />
Gr<strong>und</strong>recht auf informationelle Selbstbestimmung. Die Wirksamkeit einer<br />
Einwilligung richtet sich nach § 5 Abs. 2: Sie setzt eine ausreichende Aufklärung<br />
über Forschungszweck <strong>und</strong> Datenverarbeitungsprozess voraus.<br />
Hierbei ist – auch im Interesse der Betroffenen – ein angemessener Mittelweg<br />
zu finden zwischen einer sehr detailreichen Projektbeschreibung, die<br />
die Betroffenen leicht überfordert, <strong>und</strong> einer Kurzbezeichnung, die den Betroffenen<br />
keine ausreichende Entscheidungsgr<strong>und</strong>lage <strong>für</strong> die Einwilligung<br />
gibt (21. TB 2006/2007, 14.7.).<br />
Werden allerdings durch die Datenverarbeitung die schutzwürdigen<br />
Interessen der Betroffenen gar nicht beeinträchtigt, kann nach S. 1 auf die<br />
Einwilligung verzichtet werden. Dies kann z.B. sein, wenn <strong>für</strong> ein Forschungsprojekt<br />
wenig sensible Daten wie etwa die Größe der Wohnung<br />
oder die Anzahl der Haushaltsmitglieder unmittelbar nach einer persönlichen<br />
Befragung nur in anonymisierter Form erfasst, gespeichert <strong>und</strong> ausgewertet<br />
werden.<br />
S. 2 gibt eine gesetzliche Befugnis zur Datenverarbeitung zu Forschungszwecken,<br />
auch wenn Betroffeneninteressen dadurch potentiell beeinträchtigt<br />
werden: Voraussetzung ist, dass eine Abwägung zwischen dem öffentlichen<br />
Interesse an der Forschung <strong>und</strong> den schutzwürdigen Geheimhaltungsinteressen<br />
der Betroffenen zu der Wertung führt, dass das öffentliche<br />
Interesse an der Forschung erheblich überwiegt. Der insoweit <strong>und</strong>eutliche<br />
Wortlaut ist nach dem Sinn der Vorschrift so auszulegen, dass das Ergebnis<br />
der Forschung (nicht nur die Befassung mit der Fragestellung) im besonderen<br />
öffentlichen Interesse liegen muss. Angesichts der gr<strong>und</strong>gesetzlich<br />
garantierten Forschungsfreiheit ist die <strong>Datenschutz</strong>kontrolle hier aber<br />
auf eine eher pauschale Plausibilitätsprüfung beschränkt. Dabei können<br />
etwa der Rahmen bzw. Auftraggeber des Forschungsprojekts <strong>und</strong> die<br />
erwarteten Forschungsergebnisse eine Rolle spielen. Reine Privatforschung<br />
– etwa Ahnenforschung – kann dagegen kaum auf diese gesetzliche<br />
Forschungsklausel gestützt werden.<br />
134
Eine weitere Voraussetzung <strong>für</strong> die gesetzliche Ermächtigung zur Forschungs-Datenverarbeitung<br />
ist, dass der Forschungszweck nicht auf andere<br />
Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden<br />
kann. Ob zur „anderen Weise“ auch die Einholung einer vorherigen Einwilligung<br />
der Betroffenen in die Forschungs-Datenverarbeitung zählt, die Interessensabwägung<br />
also erst bei einer Unmöglichkeit der Einwilligungseinholung<br />
zum Tragen kommt, ist umstritten. Da eine Einwilligung beide<br />
Gr<strong>und</strong>rechte (Forschung <strong>und</strong> <strong>Datenschutz</strong>) optimal zur Geltung bringt,<br />
erscheint dies im Sinne der anzustrebenden Gr<strong>und</strong>rechtskonkordanz in<br />
der Tat die vorzugswürdige Interpretation.<br />
Absatz 2<br />
Besteht die nach Abs. 1 gr<strong>und</strong>sätzlich zugelassene Datenverarbeitung zu<br />
Forschungszwecken in einer Übermittlung personenbezogener Daten<br />
durch eine öffentliche Hamburger Stelle an einen Dritten, gelten die Abs. 2<br />
bis 6. Dritte können andere öffentliche Hamburger Stellen wie staatliche<br />
Hochschulen sein, aber auch außerhamburgische öffentliche wie private<br />
Forschungsinstitute, vgl. Abs. 6.<br />
Abs. 2 bestimmt, wer in der öffentlichen Stelle über die Übermittlung entscheidet,<br />
was die Entscheidung beinhalten muss <strong>und</strong> dass sie dem <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>beauftragten mitzuteilen ist. Die meisten vorgehenden<br />
bereichsspezifischen Forschungsklauseln enthalten eine solche<br />
Mitteilungspflicht allerdings nicht.<br />
Absatz 3<br />
Abs. 3 konkretisiert den Gr<strong>und</strong>satz der Erforderlichkeit <strong>und</strong> den der Datensparsamkeit<br />
<strong>und</strong> Datenvermeidung des § 5 Abs. 4: Gr<strong>und</strong>sätzlich hat Forschung<br />
mit anonymen oder pseudonymisierten Daten (zu den Begriffen<br />
vgl. Erläuterungen zu § 4 Abs. 9 <strong>und</strong> 10) zu erfolgen, weil es generell nicht<br />
auf die Identität der betroffenen Personen ankommt.<br />
Der Forschungszweck gestattet eine frühzeitige Anonymisierung aber zum<br />
Beispiel nicht bei Verlaufs- <strong>und</strong> Längsschnittuntersuchungen, weil bei solchen<br />
Untersuchungen mehrere Datenerhebungen zu einer Person zu unterschiedlichen<br />
Zeiten notwendig sind, um eine wissenschaftliche Aussage<br />
über eine bestimmte Entwicklung zu erhalten. Für solche Untersuchungen<br />
bietet es sich an, Pseudonyme zu verwenden, die es erlauben,<br />
zeitlich unterschiedliche Erhebungen zusammenzuführen <strong>und</strong> die dabei<br />
dennoch sicherstellen, dass die betroffene Person durch die Forschenden<br />
oder andere Dritte nicht mehr oder nur mit unverhältnismäßig hohem Aufwand<br />
bestimmt werden kann. Das Pseudonym stellt also die Verbindung<br />
zwischen der personenbezogenen Datenerhebung <strong>und</strong> der dann nichtper-<br />
135
sonenbezogenen, aber individuellen Datenverarbeitung zu Forschungszwecken<br />
dar. Daher soll das Pseudonym von einer Stelle verwaltet werden,<br />
die räumlich, organisatorisch <strong>und</strong> personell unabhängig von der forschenden<br />
Stelle ist. Dies kann die speichernde Stelle sein, wenn sie die Daten an<br />
die forschende Stelle übermittelt oder eine andere unabhängige Stelle, die<br />
als Datentreuhänder fungiert. Als Datentreuhänder eigenen sich insbesondere<br />
solche Stellen, bei denen die Daten durch ein Berufsgeheimnis geschützt<br />
ist, wie beispielweise Ärzte oder Notare.<br />
Wird bei der Pseudonymisierung eine Schlüsselliste verwendet, welche<br />
Namen <strong>und</strong> Code einander zuordnet, ist diese gesondert zu speichern <strong>und</strong><br />
darf nur möglichst wenigen Befugten <strong>für</strong> festgelegte Entschlüsselungs-Anlässe<br />
zugänglich gemacht werden. Sobald der Forschungszweck es<br />
erlaubt, sind die Daten durch eine Vernichtung / Löschung der Schlüsselliste<br />
zu anonymisieren. Bei der Pseudonymisierung ist zudem darauf zu<br />
achten, dass nicht nur die üblichen Identitätsdaten wie Name, Geburtsdatum<br />
<strong>und</strong> Adresse eine Person bestimmbar machen. Vielmehr können<br />
auch sehr detaillierte Einzelangaben mit entsprechendem Zusatzwissen<br />
des Datenempfängers oder -verarbeiters eine Identifizierung ermöglichen.<br />
Hier hilft nur eine Aggregierung (Zusammenfassung) von mehreren<br />
Einzelangaben zu Daten, die <strong>für</strong> eine Mehrzahl von Personen gelten<br />
(vgl. 22. TB 2008/2009, III 10.2.).<br />
Absatz 4<br />
Die Aufklärung der Betroffenen über das Forschungsprojekt <strong>und</strong> die darauf<br />
bezogene Einwilligung bedeuten eine eindeutige Zweckbindung <strong>für</strong> die<br />
Datenverarbeitung. Deswegen bedarf eine über Aufklärung <strong>und</strong> Einwilligung<br />
hinausgehende Datenübermittlung oder die Datenverwendung <strong>für</strong><br />
neue Forschungsprojekte einer erneuten Einwilligung der Betroffenen.<br />
Diese datenschutzrechtlich gr<strong>und</strong>sätzlich erforderliche Bestimmtheit der<br />
Einwilligung wird allein in § 12 a HmbKHG spezialgesetzlich gelockert, um<br />
auch Datensammlungen <strong>für</strong> zukünftige Forschungsprojekte zu ermöglichen,<br />
deren Ziel <strong>und</strong> Auswertungsmethode zum Zeitpunkt der Einwilligung<br />
noch nicht feststeht.<br />
Absatz 5<br />
In aller Regel sind Forschungsergebnisse ohne einen Bezug auf bestimmte<br />
Personen, also anonymisiert – meist aggregiert –, zu veröffentlichen.<br />
Bei Forschungen zur Zeitgeschichte können jedoch auch einmal<br />
Lebensläufe, Entscheidungen <strong>und</strong> Äußerungen von bekannten Einzelpersonen<br />
eine Rolle spielen. „Prinzipiell ist die Einwilligung des Betroffenen<br />
erforderlich; nur in Fällen, in denen die Veröffentlichung personenbezogener<br />
Daten <strong>für</strong> die Darstellung von Forschungsergebnissen über Ereignisse der<br />
136
Zeitgeschichte unerlässlich ist, soll das informationelle Selbstbestimmungsrecht<br />
gegenüber dem zeitgeschichtlichen Interessen zurücktreten. Damit<br />
ergeben sich Berührungspunkte zu möglichen Archivregelungen“ (Bü-Drs.<br />
13/3282 zu § 27 Abs. 5). Diese gesetzliche Veröffentlichungsbefugnis ohne<br />
Einwilligung greift jedoch nicht ein <strong>für</strong> Publikationen privater Forscher <strong>und</strong><br />
bei Familienforschungen (vgl. 19. TB 2002/2003, 17.2). Entsprechendes<br />
gilt auch <strong>für</strong> die Veröffentlichung von Gruppenfotos in bestimmten zeitgeschichtlichen<br />
Zusammenhängen, wenn jede einzelne Person gut zu erkennen<br />
ist (vgl. 22. TB 2008/2009, III 10.3.).<br />
Absatz 6<br />
Werden personenbezogene Daten zu Forschungszwecken von öffentlichen<br />
Hamburger Stellen an private Forschungseinrichtungen übermittelt,<br />
besteht die Kontrolle nach § 38 B<strong>und</strong>esdatenschutzgesetz durch die jeweilige<br />
<strong>Datenschutz</strong>-Aufsichtsbehörde. Werden die Daten an außer-hamburgische<br />
aber deutsche öffentliche Stellen – z.B. universitären Forschungseinrichtungen<br />
– übermittelt, haben sich diese gegenüber der übermittelnden<br />
Stelle zu verpflichten, die vorstehenden Schutzregelungen der Abs. 3 bis 5<br />
einzuhalten, sowie sich der Kontrolle des oder der <strong>für</strong> den Ort der Forschungsstätte<br />
zuständigen Landesdatenschutzbeauftragten zu unterwerfen.<br />
Bei Übermittlungen ins außereuropäische Ausland „ist eine Kontrolle<br />
durch einen <strong>Datenschutz</strong>beauftragten nicht durchführbar; <strong>für</strong> diese Fälle ist<br />
die Beachtung des ordre public weitere Voraussetzung der Übermittlung“<br />
(Bü-Drs. 13/3282 zu § 27); <strong>für</strong> Übermittlungen in ein Mitgliedsland der EU<br />
gilt <strong>für</strong> die Stelle, der die Daten übermittelt werden, das an die EG-<strong>Datenschutz</strong>richtlinie<br />
angepasste nationale <strong>Datenschutz</strong>recht.<br />
Absatz 7<br />
„Absatz 7 berücksichtigt die in der Praxis des Öfteren auftretende Notwendigkeit,<br />
zur Vorbereitung von Rechtsnormen oder allgemeinen Verwaltungsvorschriften<br />
oder auch, um die Praxisnähe solcher Vorschriften zu überprüfen,<br />
„Rechtstatsachenforschung“ zu betreiben. Es mag zweifelhaft sein, ob<br />
die Auswertung einer Gruppe von Einzelfällen aus der Praxis zu diesem<br />
Zweck immer als „wissenschaftliche“ Forschung …anzusehen ist. Angesichts<br />
einer gleichen Interessenlage sind die Vorschriften über die wissenschaftliche<br />
Forschung <strong>für</strong> diese Fälle auch dann anzuwenden, wenn nicht<br />
alle Anforderungen an eine wissenschaftliche Tätigkeit erfüllt sind“ (Bü-Drs.<br />
13/3282 zu § 27 Abs. 7). Auf Abs. 2 wird nicht verwiesen, weil hier in aller<br />
Regel keine Übermittlung an dritte Stellen stattfindet. Ist dies jedoch ausnahmsweise<br />
der Fall, werden auch die Formalia des Abs. 2 einschließlich<br />
der Mitteilung an den <strong>Hamburgische</strong>n <strong>Datenschutz</strong>beauftragten einzuhalten<br />
sein. Denn § 27 stellt eine Privilegierung der Forschung dar; bei einer<br />
137
– möglicherweise nicht ganz wissenschaftlichen – Rechtstatsachen„forschung“<br />
kann der <strong>Datenschutz</strong>standard nicht geringer sein.<br />
Zu § 28 Datenverarbeitung<br />
bei Beschäftigungsverhältnissen<br />
§ 28 regelt die Besonderheiten bei Beschäftigungsverhältnissen im Bereich<br />
der öffentlichen Verwaltung. Der Begriff der Beschäftigungsverhältnisse<br />
ist weit zu verstehen: Er umfasst neben den Beamten-, Angestellten<strong>und</strong><br />
früheren Arbeiterverhältnissen beispielsweise auch öffentlich-rechtliche<br />
Dienstverhältnisse eigener Art, öffentlich-rechtliche wie privat-rechtliche<br />
Ausbildungsverhältnisse <strong>und</strong> Nebentätigkeitsverhältnisse; auch die<br />
Versorgungsverhältnisse sind zu den Beschäftigungsverhältnissen zu<br />
zählen.<br />
Der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
(HmbBfDI) vertritt die Auffassung, dass diese Vorschrift nur die Datenverarbeitung<br />
erfasst, die die einzelnen Beschäftigten usw. in ihrem jeweiligen<br />
Beschäftigungsverhältnis betrifft. Dagegen bleiben nach seiner Auffassung<br />
die allgemeinen Vorschriften der §§ 13 ff. einschließlich § 16 <strong>und</strong> auch<br />
§ 31 anwendbar, wenn die Daten einer Vielzahl von Beschäftigten <strong>für</strong> einen<br />
anderen Zweck verarbeitet werden, z.B. wenn Verzeichnisse mit personenbezogenen<br />
Daten <strong>für</strong> den Geschäftsbetrieb verwendet werden (u.a.<br />
Telefonverzeichnisse).<br />
„Die in den Absätzen 1 bis 6 1997 neu gefasste Vorschrift bezweckt eine<br />
weitgehende Vereinheitlichung des Rechts der Verarbeitung personenbezogener<br />
Daten bei Beschäftigungsverhältnissen mit öffentlichen Stellen“<br />
(Bü-Drs. 15/4411 zu § 28). Die zum 01.01.2010 neu gefassten bzw. geänderten<br />
Vorschriften der §§ 85–92 <strong><strong>Hamburgische</strong>s</strong> Beamtengesetz (HmbBG)<br />
gehen in ihrem Anwendungsbereich den Regelungen des <strong>Hamburgische</strong>n<br />
<strong>Datenschutz</strong>gesetzes vor (§ 2 Abs. 7).<br />
Die §§ 85–92 HmbBG regeln den <strong>Datenschutz</strong> der Beamtinnen <strong>und</strong><br />
Beamten sowie (über § 8 Abs. 1 des <strong>Hamburgische</strong>n Richtergesetzes –<br />
HmbRiG) der Richterinnen <strong>und</strong> Richter <strong>und</strong> gemäß der Erstreckung im<br />
Abs. 3 den der sonstigen Beschäftigten im öffentlichen Dienst nicht<br />
abschließend. Sie gelten, von Ausnahmen abgesehen, nur <strong>für</strong> diejenigen<br />
personenbezogenen Daten, die Personalaktendaten sind. Aber auch im<br />
Bereich der Personalaktendaten ist die Regelung des <strong>Datenschutz</strong>es nicht<br />
abschließend. Aus diesem Gr<strong>und</strong> behalten die aus dem geltenden § 28 im<br />
Wesentlichen übernommenen Regelungen weiterhin ihre Bedeutung.<br />
Soweit nicht ausdrücklich etwas anderes bestimmt ist, erstreckt sich die<br />
Verarbeitungsbefugnis hinsichtlich personenbezogener Daten von Be-<br />
138
schäftigten usw. im jeweils erforderlichen Umfang auch auf die Einleitung<br />
<strong>und</strong> Durchführung behördlicher <strong>und</strong> gerichtlicher Verfahren im Zusammenhang<br />
mit dem jeweiligen Verwendungszweck. Es gelten die übrigen<br />
Vorschriften des Gesetzes, soweit § 28 nicht bei gleichem Sachverhalt<br />
Sonderregelungen trifft.<br />
Absatz 1<br />
Nach Abs. 1 ist eine Datenverarbeitung bei Beschäftigungsverhältnissen<br />
zulässig, soweit eine Rechtsvorschrift dies vorsieht. Dieser Hinweis ist im<br />
Gr<strong>und</strong>e nur deklaratorisch; der Vorrang bereichsspezifischer Rechtsvorschriften<br />
folgt bereits aus § 2 Abs. 7. Wie bisher wird gesetzlich der Vorrang<br />
von Tarifvertrag <strong>und</strong> Dienstvereinbarung vorgesehen, soweit darin Regelungen<br />
über die Verarbeitung personenbezogener Daten enthalten sind.<br />
Neu aufgenommen wurde 1997 als Zwischenstufe zwischen Dienstvereinbarung<br />
<strong>und</strong> Tarifvertrag die Vereinbarung der obersten Dienstbehörde mit<br />
den Spitzenorganisationen der zuständigen Gewerkschaften <strong>und</strong> Berufsverbände<br />
gemäß § 94 des <strong>Hamburgische</strong>n Personalvertretungsgesetzes<br />
bzw. mit den Berufsverbänden der Richterinnen <strong>und</strong> Richter gemäß § 59<br />
Abs. 1 HmbRiG.<br />
Abs. 1 S. 2 stellt klar, dass S. 1 die „Einstiegsnorm“ darstellt; nur soweit<br />
Regelungen der in Satz 1 bezeichneten Art nicht existieren, kommen die<br />
nachfolgenden Absätze zum Zug.<br />
Absatz 2<br />
Abs. 2 präzisiert <strong>für</strong> die Datenverarbeitung den allgemeinen Gr<strong>und</strong>satz der<br />
Zweckbindung (§ 13 Abs. 1 S. 1 Nr. 2). Der Einschub „soweit die nachfolgenden<br />
Absätze keine besonderen Regelungen enthalten“ verdeutlicht,<br />
dass Abs. 2 gegenüber den nachfolgenden Absätzen eine subsidiäre Auffangnorm<br />
ist. Auf sie kann gleichwohl nicht verzichtet werden. Zwar enthält<br />
der über Abs. 3 entsprechend anzuwendende § 85 S. 1 HmbBG eine inhaltlich<br />
fast identische Regelung, doch gilt diese nur <strong>für</strong> die Erhebung, nicht <strong>für</strong><br />
die weitere Verarbeitung der Daten.<br />
Absatz 3<br />
Abs. 3 erstreckt den Anwendungsbereich der §§ 85–92 HmbBG auf<br />
diejenigen Beschäftigungsverhältnisse bei hamburgischen öffentlichen<br />
Stellen, <strong>für</strong> die diese Vorschriften nicht ohnehin schon gelten.<br />
Absatz 4<br />
Die Übermittlung als in der Praxis regelmäßig besonders bedeutsame<br />
Verarbeitungsphase ist <strong>für</strong> einige Sonderfälle in Abs. 4 gesondert ange-<br />
139
sprochen, wobei in S. 1 verdeutlicht wird, dass es sich hierbei um eine<br />
Sonderregelung gegenüber der Vorschrift über die Datenübermittlung an<br />
nicht-öffentliche Stellen (§ 16) handelt. S. 3 weist auf den Vorrang des § 89<br />
HmbBG (vor allem dessen Abs. 3) <strong>für</strong> beamtenrechtliche Beschäftigungsverhältnisse<br />
hin; <strong>für</strong> Beamte <strong>und</strong> Richter ergibt sich (insoweit) der Vorrang<br />
des § 89 HmbBG bereits aus § 2 Abs. 7.<br />
Absatz 5<br />
Abs. 5 S. 1 verpflichtet die Stelle, die Untersuchungen verlangt, Anlass <strong>und</strong><br />
Zweck der Untersuchung anzugeben. Soweit die Art des Beschäftigungsverhältnisses<br />
oder der Untersuchungsanlass dies zulassen, ist auch auf<br />
die der betroffenen Person konkret obliegende Aufgabe hinzuweisen. Das<br />
setzt die untersuchende Stelle in die Lage, diejenigen Risikofaktoren zu<br />
bestimmen, die <strong>für</strong> die konkrete Untersuchung von Bedeutung sind. Die<br />
Vorschrift beschränkt sich außerdem nicht auf Untersuchungen zur Eingehung<br />
eines Beschäftigungsverhältnisses, sondern umfasst auch Untersuchungen<br />
während <strong>und</strong> ggf. nach dem Ende eines Beschäftigungsverhältnisses.<br />
S. 2 knüpft an der Befugnis der die Untersuchung verlangenden Stelle an;<br />
hiermit wird berücksichtigt, dass Ärztinnen <strong>und</strong> Ärzte sowie Psychologinnen<br />
<strong>und</strong> Psychologen, die nicht einer (hamburgischen) öffentlichen Stelle<br />
angehören, nicht den Regelungen des <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetzes<br />
unterliegen. Nur soweit die Untersuchungen <strong>und</strong> Tests von öffentlichen<br />
Stellen selbst durchgeführt werden, kann die Weitergabebefugnis näher<br />
bestimmt werden (S. 3). Der Begriff „weitergeben“ berücksichtigt, dass untersuchende<br />
<strong>und</strong> die Untersuchung verlangende Stelle in vielen Fällen dieselbe<br />
Stelle im organisatorischen Sinn sind, eine Übermittlung im eigentlichen<br />
Sinn (§ 4 Abs. 2 S. 2 Nr. 4) somit nicht stattfindet.<br />
Um einem Wunsch der Praxis Rechnung zu tragen, wird im zweiten<br />
Halbsatz des S. 2 klargestellt, dass dann auch Einzelheiten über die im<br />
ersten Halbsatz genannten Untersuchungsergebnisse <strong>und</strong> Risikofaktoren<br />
hinaus verlangt bzw. mitgeteilt werden dürfen, wenn dies im Einzelfall <strong>für</strong><br />
die Entscheidung erforderlich ist, zu deren Vorbereitung die Untersuchung<br />
angeordnet wurde. Da Betroffene einen Anspruch auf eine auf richtigen<br />
Gr<strong>und</strong>lagen beruhende Entscheidung haben, muss auch die Möglichkeit<br />
bestehen, dass die zur Entscheidung zuständige Stelle die notwendigen<br />
Entscheidungsgr<strong>und</strong>lagen erhält. Auch insoweit muss sich aber das<br />
Verlangen nach Weitergabe bzw. Übermittlung von Daten im Rahmen des<br />
Untersuchungsauftrags halten; ggf. ist die Erforderlichkeit der weiteren<br />
Daten von der auftraggebenden Stelle gegenüber der untersuchenden<br />
Stelle zu begründen.<br />
140
S. 4 macht klar, dass es jedenfalls beim jetzt erweiterten Umfang der Regelung<br />
nicht ausnahmslos auf die Einwilligung der betroffenen Person in die<br />
weitere Datenverarbeitung ankommen kann. Ansonsten könnte die betroffene<br />
Person bei einer gegen ihren Willen angeordneten Untersuchung, die<br />
ein <strong>für</strong> sie ungünstiges Ergebnis hat, zwar nicht die Weitergabe der Ergebnisse,<br />
aber deren Speicherung <strong>und</strong> Nutzung <strong>für</strong> die zu treffende Entscheidung<br />
verhindern; das wäre in keiner Weise sachgerecht. Dort wo es auf die<br />
Einwilligung ankommt, soll diese künftig stets schriftlich gegeben werden<br />
müssen; S. 4 ist insofern vorrangig gegenüber § 5 Abs. 2 S. 1.<br />
Absatz 6<br />
Abs. 6 S. 1 enthält ein Gebot unverzüglicher Löschung zum Schutz der Bewerberinnen<br />
<strong>und</strong> Bewerber <strong>und</strong> der Beschäftigten. Eine Einschränkung<br />
dieses Gr<strong>und</strong>satzes enthält S. 2 bei Vorliegen überwiegender berechtigter<br />
Interessen der Daten verarbeitenden Stelle. Bei bestimmten Behörden<br />
zeichnet sich das Bewerbungsverfahren durch Besonderheiten aus. So<br />
sind z.B. bei der Polizei die ges<strong>und</strong>heitlichen Voraussetzungen eingehend<br />
geregelt. Ansonsten geeignete Bewerberinnen <strong>und</strong> Bewerber können<br />
zunächst aus behebbaren Gründen scheitern. Da zudem ein berechtigtes<br />
Interesse an einer möglichst guten Personalauswahl besteht, kann es<br />
sachgerecht sein, bestimmte Daten zunächst abgelehnter Bewerberinnen<br />
<strong>und</strong> Bewerber weiter zu speichern, um nicht allein auf die jeweils eingehenden<br />
Bewerbungen beschränkt zu sein. Bei einer größeren Zahl von Wiederholungsbewerbungen<br />
kann es auch sachgerecht sein, das Einstellungsverfahren<br />
nicht jedes Mal wieder in allen Stufen durchzuführen, wenn eine<br />
erhebliche Anzahl solcher Bewerbungen schon durch einen Rückgriff auf<br />
frühere Unterlagen ausgeschlossen werden kann.<br />
Die weitere Speicherung kann aber auch im Interesse der Bewerberin oder<br />
des Bewerbers liegen, z.B. einer beabsichtigten erneuten Bewerbung auf<br />
eine demnächst freiwerdende Stelle. Deshalb enthält S. 2 mit der Einwilligung<br />
der Betroffenen eine weitere Ausnahme vom Gebot unverzüglicher<br />
Löschung.<br />
Absatz 7<br />
Abs. 7 stellt sicher, dass die gespeicherten Daten von Beschäftigten im<br />
Rahmen der Durchführung der technischen <strong>und</strong> organisatorischen Maßnahmen<br />
nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt<br />
werden. Ansonsten träte auch eine Ungleichbehandlung gegenüber den<br />
Beschäftigten ein, die nicht an Datenverarbeitungsgeräten tätig sind.<br />
Die Vorschrift hindert aber nicht eine Nutzung, die gerade aus Gründen der<br />
Datensicherung erforderlich ist (z.B. Überprüfung, ob ein Beschäftigter<br />
141
<strong>und</strong> ggf. welcher Beschäftigte personenbezogene Daten sachgerecht <strong>und</strong><br />
rechtmäßig verarbeitet hat, einschließlich von Straf- <strong>und</strong> Disziplinarmaßnahmen).<br />
Absatz 8<br />
Nach Abs. 8 ist die „Forschungsklausel“ auch in dem speziellen Bereich<br />
der Beschäftigungsverhältnisse anwendbar. Insbesondere soweit es um<br />
zeitgeschichtliche Forschung geht, haben Mitarbeiter des öffentlichen<br />
Dienstes keine Sonderstellung.<br />
Zu § 29 Fernmessen <strong>und</strong> Fernwirken<br />
Diese 1997 in das HmbDSG aufgenommene Vorschrift hatte bisher <strong>und</strong> hat<br />
wohl auch in Zukunft nur geringe praktische Bedeutung. Das liegt<br />
zunächst daran, dass Abs. 4 die Geltung der Vorschrift <strong>für</strong> Versorgungsunternehmen<br />
<strong>und</strong> <strong>für</strong> Wohnungsunternehmen ausschließt, diese Institutionen<br />
aber bislang die einzigen Stellen sind, die <strong>für</strong> ein Fernmessen <strong>und</strong><br />
Fernwirken im Sinne der Vorschrift in Betracht kommen.<br />
Zum anderen hat sich seit 1997 sowohl die Technik als auch das gesellschaftliche<br />
Bewusstsein zum Klimaschutz <strong>und</strong> zur Erforderlichkeit einer<br />
effizienten Energieverbrauchsmessung <strong>und</strong> ggf. -steuerung weiterentwickelt.<br />
Zur Umsetzung des dritten „Binnenmarktpaketes“ der EU führte<br />
der B<strong>und</strong>esgesetzgeber 2011 mit den §§ 21c bis 21i Energiewirtschaftsgesetz<br />
(EnWG) bereichsspezifische Neuregelungen zu intelligenten Messsystemen<br />
(sog. „smart metering“) ein, die dem HmbDSG vorgehen. Dies<br />
betrifft gerade auch die in § 29 herausgestellte Freiwilligkeit bzw. Einwilligungsbedürftigkeit<br />
der Einrichtung von Fernmessdiensten: § 21c EnWG<br />
verpflichtet Bauherrn von Neubauten <strong>und</strong> größeren Renovierungen, Betreiber<br />
größerer Solaranlagen sowie Letztverbraucher, die im Jahr mehr als<br />
6000 kwh verbrauchen, zur Einführung solcher intelligenten Messsysteme.<br />
Da die §§ 21a – 21i EnWG sowie anstehende untergesetzliche Vorschriften<br />
ausdrücklich auch Anforderungen des <strong>Datenschutz</strong>es umfassen, scheidet<br />
auch eine subsidiäre Geltung des § 29 jedenfalls <strong>für</strong> Energiemessungen<br />
aus.<br />
Auch bei der Fernmessung durch eine sog. „elektronische Fußfessel“<br />
verdrängen die ausführlichen spezialgesetzlichen Regelungen der §§ 68b<br />
Abs. 1 Nr. 12 Strafgesetzbuch in Verbindung mit § 463a Abs. 4 Strafprozessordnung<br />
den § 29 HmbDSG. Insbesondere kommt bei einer<br />
solchen „elektronischen Aufenthaltsüberwachung“ als Weisung der<br />
Führungsaufsicht eine Einwilligung nicht in Betracht.<br />
142
Eine Bedeutung der Vorschrift könnte sich aber zukünftig im Rahmen von<br />
ALL (Ambient Assistent Living)-Projekten ergeben. Dies sind Ges<strong>und</strong>heits-<br />
Dienstleistungen, bei denen Körperfunktionen eines Patienten mit Messgeräten<br />
überwacht werden, die direkt am Körper angebracht <strong>und</strong> mit einem<br />
Rechenzentrum eines medizinischen Dienstleisters verb<strong>und</strong>en sind. Gegenwärtig<br />
werden solche Projekte durch privatrechtliche Träger betrieben.<br />
Soweit das Universitätsklinikum Hamburg-Eppendorf solche Techniken<br />
nutzt, agiert es im Rahmen der Krankenversorgung als Unternehmen im<br />
Wettbewerb (§ 2 Abs. 2), also nicht als eine in § 2 Abs. 1 S. 1 genannte<br />
Stelle. Es ist jedoch nicht auszuschließen, dass sich in Zukunft auch Ges<strong>und</strong>heitsämter<br />
oder andere öffentliche Stellen dieser Möglichkeiten bedienen.<br />
In diesen Fällen gibt die Vorschrift wesentliche Inhalte des mit dem<br />
Patienten abzuschließenden Vertrages <strong>und</strong> der Einwilligungserklärung vor.<br />
Zu § 30 Videoüberwachung<br />
Die Vorschrift trat am 15. September 2010 in Kraft. Sie „regelt die Videoüberwachung<br />
ausschließlich in Ausübung des Hausrechts“ (Bü-Drs.<br />
19/6086) durch öffentliche Stellen. Eine Videoüberwachung zur Erfüllung<br />
anderer gesetzlicher Zwecke wird in verschiedenen Fachgesetzen spezialgesetzlich<br />
geregelt – etwa in § 8 Gesetz über die Datenverarbeitung der<br />
Polizei, § 8 <strong><strong>Hamburgische</strong>s</strong> Verfassungsschutzgesetz, § 31 Abs. 4 <strong><strong>Hamburgische</strong>s</strong><br />
Schulgesetz, § 119 <strong><strong>Hamburgische</strong>s</strong> Strafvollzugsgesetz, § 40a<br />
<strong><strong>Hamburgische</strong>s</strong> Maßregelvollzugsgesetz, § 100h Strafprozessordnung.<br />
Für nicht öffentliche Stellen gilt § 6 b B<strong>und</strong>esdatenschutzgesetz.<br />
„Videoüberwachung“ ist ausschließlich eine Erhebung <strong>und</strong> Verarbeitung<br />
von Bildern. Die technisch vielfach mögliche zusätzliche akustische Überwachung<br />
ist von § 30 in keinem Fall gedeckt – weder das Mithören in Echtzeit<br />
noch der Mitschnitt des gesprochenen Wortes. Auch bei zulässiger<br />
optischer Überwachung ist die Mikrofon-Funktion in einer Videokamera<br />
immer auszubauen bzw. sicher auszuschalten.<br />
Absatz 1<br />
Das Hausrecht der öffentlichen Stellen entspricht zunächst der privatrechtlichen<br />
Befugnis zur Verfügung über das eigene Eigentum <strong>und</strong> den eigenen<br />
Besitz. Zugleich hat der öffentliche Hausherr aber auch zu gewährleisten,<br />
dass die in dem öffentlichen Gebäude wahrgenommene gesetzliche Aufgabe<br />
erfüllt wird. Dazu gehört die Wahrung des Hausfriedens als Voraussetzung<br />
<strong>für</strong> einen geordneten Dienstbetrieb. Dies umfasst den präventiven<br />
Schutz der Mitarbeiterinnen <strong>und</strong> Mitarbeiter <strong>und</strong> der notwendigen sachlichen<br />
Ausstattung ebenso wie die Gewährleistung des freien Zutritts <strong>und</strong><br />
Schutzes von Bürgerinnen <strong>und</strong> Bürgern, die als Antragsteller, Verfahrens-<br />
143
eteiligte, Auskunftsbegehrende usw. einen Anspruch auf ein bestimmtes<br />
staatliches Verhalten oder ein anderweitiges Recht zum Zutritt haben. Das<br />
Hausrecht dient insofern in erster Linie der Gefahrenabwehr. Insbesondere<br />
bei seltenem Publikumsverkehr <strong>und</strong> wenn besonders gefährdete Bereiche<br />
zu schützen sind, kann der Hausherr besondere Zugangsberechtigungen<br />
vergeben bzw. den Zutritt von einer vorherigen Legitimation abhängig<br />
machen, <strong>und</strong> dies ggf. durch eine Videokamera überwachen.<br />
Eine Delegation dieses Hausrechts z.B. auf private Sicherheitsunternehmen<br />
ist nur begrenzt möglich. Eine Auftragsdatenverarbeitung im Sinne<br />
des § 3 kommt nur <strong>für</strong> technische Unterstützungsleistungen, etwa die Wartung<br />
der Anlagen, in Betracht. Ein Outsourcing der Überwachung selbst<br />
auf ein Privatunternehmen, also die Monitorbeobachtung mit Eingreifrechten<br />
bei einem beobachteten Ereignis oder die Auswertung von Videoaufzeichnungen<br />
wäre dagegen eine Funktionsübertragung, die eine<br />
Beleihung voraussetzen würde.<br />
Das Hausrecht umfasst gr<strong>und</strong>sätzlich nicht die nachträgliche Verfolgung<br />
von Verstößen bzw. die „Strafverfolgungsvorsorge“ durch eine Unterstützung<br />
der Ermittlung von Straftätern. Eine Videoüberwachung allein zu<br />
diesem Zweck kann sich nur auf das Strafprozessrecht, nicht aber auf das<br />
Hausrecht stützen. Einen präventiven (Hausrechts-)Aspekt kann eine<br />
Videoüberwachung zu diesem Zweck allerdings durch den abschreckenden<br />
Hinweis nach Abs. 3 auf eine bestehende Videoüberwachung gewinnen.<br />
Wegen des Hausrechtsbezuges betrifft die Vorschrift nur eine Videoüberwachung,<br />
die sich auf Dienstgebäude bezieht <strong>und</strong> zwar auf deren öffentlich<br />
zugängliche Bereiche <strong>und</strong> auf deren besonders gefährdete nicht öffentlich<br />
zugängliche Bereiche. Flächen außerhalb des Dienstgebäudes werden<br />
vom Hausrecht nur in engem örtlichen <strong>und</strong> sachlichen Zusammenhang mit<br />
der Aufgabenerfüllung in dem Gebäude erfasst – z.B. Parkplätze im Innenhof<br />
des Dienstgebäudes. Das gilt auch <strong>für</strong> die öffentlichen Wege <strong>und</strong><br />
Straßen, die an dem Gebäude vorbeiführen <strong>und</strong> (auch) von Verkehrsteilnehmern<br />
genutzt werden, die das Dienstgebäude weder verlassen haben<br />
noch betreten wollen. Mit Videokameras zu beobachten ist deswegen nur<br />
ein schmaler Streifen des umgebenden Terrains, von dem aus direkt Fassaden,<br />
Fenster oder nicht <strong>für</strong> die Öffentlichkeit bestimmte Türen von außen<br />
angegriffen werden können. Eine Videoüberwachung von öffentlichen<br />
Plätzen, Fußgängerzonen oder Promenaden kann dagegen nicht auf § 30<br />
gestützt werden.<br />
Abs. 1 bringt zwei gegensätzliche Interessen zum Ausgleich: einerseits das<br />
Interesse des (staatlichen) Hausrechtsinhabers, den Zugang zu seinem<br />
Gebäude nur Personen zu gewähren, die ein legitimes Anliegen haben,<br />
<strong>und</strong> sein Gebäude <strong>und</strong> die in ihm befindlichen Personen <strong>und</strong> Sachen im<br />
144
Übrigen gegen unbefugte Dritte zu schützen; <strong>und</strong> andererseits das Interesse<br />
der Personen, die ein öffentliches Gebäude mit einem legitimen Anliegen<br />
betreten (wollen), in ihm arbeiten oder auch nur an ihm vorüber<br />
gehen oder fahren, hierbei nicht erfasst, beobachtet <strong>und</strong> registriert zu werden.<br />
„Wird ein öffentlich zugänglicher Bereich per Video überwacht, besteht<br />
<strong>für</strong> jeden, der diesen Bereich betritt <strong>und</strong> unter Umständen sogar betreten<br />
muss, im Gr<strong>und</strong>e ein Zwang zur Angabe personenbezogener Daten, denn<br />
es wird beispielsweise registriert, wann sich der Besucher wie lange dort<br />
aufgehalten hat, wie er sich verhalten hat, wie er gekleidet war <strong>und</strong> wer ihn<br />
begleitet hat“ (Bü-Drs. 19/6086).<br />
Diesen Interessenkonflikt löst § 30 in der Weise, dass er <strong>für</strong> die Zulässigkeit<br />
einer Videoüberwachung abgestufte Voraussetzungen definiert: Abs. 1 betrifft<br />
ausschließlich die Videobeobachtung, d.h. die technisch vermittelte<br />
Wahrnehmung von identifizierbaren Personen oder personenbeziehbaren<br />
Sachen (Kfz) in Echtzeit ohne eine Speicherung. Die von der Videokamera<br />
erfassten Bilder werden zur aktuellen Betrachtung auf einen Monitor übertragen<br />
<strong>und</strong> bleiben flüchtig. Zulässigkeitsvoraussetzung <strong>für</strong> eine solche Videobeobachtung<br />
ist neben dem Hausrechts-Zweck immer eine Abwägung<br />
zwischen den dargestellten gegenläufigen Interessen <strong>und</strong> das Fehlen von<br />
Anhaltspunkten, dass die Interessen der Betroffenen höher zu bewerten<br />
sind als das Interesse des Hausrechtsinhabers.<br />
Bei dieser Abwägung sind verschiedene Gesichtspunkte einzubeziehen:<br />
Offenbart das Betreten eines Dienstgebäudes deutlich das inhaltliche Ziel<br />
der im Bild erkennbaren Betroffenen – z.B. beim Betreten des Psychiatrischen<br />
Dienstes des Ges<strong>und</strong>heitsamtes, des Job Centers, einer AIDS-Beratungsstelle<br />
o.ä.), so ist das Geheimhaltungsinteresse des Betroffenen besonders<br />
groß. Dasselbe gilt <strong>für</strong> einen Eingriff in den Kernbereich des Persönlichkeitsrechts<br />
wie bei einer Videoüberwachung von Sanitärräumen<br />
oder von Umkleidekabinen in einem öffentlichen Schwimmbad. Gab es auf<br />
der anderen Seite schon verschiedene Einbruchsversuche in das Dienstgebäude<br />
<strong>und</strong>/oder existieren in dem Gebäude besonders sensible Bereiche<br />
mit hohem Sach- oder Funktionswert – z.B. Rechnerräume, Schalt<strong>und</strong><br />
Einsatzzentralen –, so wiegt das Interesse des Hausherrn an einer<br />
Videoüberwachung besonders schwer.<br />
Überwiegt im Ergebnis das Schutzinteresse des Hausrechtsinhabers,<br />
muss die Videobeobachtung auch geeignet <strong>und</strong> erforderlich sein, es zu sichern.<br />
Aufstellungsort <strong>und</strong> Aufnahmewinkel der Kamera(s) müssen sich<br />
also unmittelbar auf den gefährdeten Bereich beziehen. Zur Erforderlichkeit<br />
gehört ferner die Frage, wie scharf das Bild sein muss. In bestimmten<br />
Fällen kann es durchaus genügen, nur wahrzunehmen (<strong>und</strong> dann vorbeugend<br />
zu handeln), dass eine konkrete Störung droht, nicht aber, welche<br />
identifizierbare Person als Störer in Betracht kommt.<br />
145
Absatz 2<br />
Dieser Absatz regelt die Voraussetzungen <strong>für</strong> eine Videoaufzeichnung,<br />
also die Speicherung von Videoaufnahmen erkennbarer Personen <strong>und</strong><br />
personenbeziehbarer Sachen. Da die Aufzeichnung mit der Möglichkeit<br />
einer detaillierten Auswertung, insbesondere der Identifikation von Personen,<br />
einen tiefergehenden Gr<strong>und</strong>rechtseingriff darstellt als die flüchtige<br />
Videobeobachtung, fordert die Vorschrift ein erhöhtes Risiko der Rechtsverletzung.<br />
Es müssen Tatsachen vorliegen, aus denen geschlossen werden<br />
kann, dass mit einer Verletzung von Personen oder Sachen in Zukunft<br />
zu rechnen ist. Solche Tatsachen liegen in der Regel in bereits erfolgten<br />
Rechtsverletzungen. Wenn diese vermehrt aufgetreten sind oder andere<br />
Umstände eine Wiederholung nahelegen, kann auch zukünftig von<br />
Rechtsverletzungen ausgegangen werden.<br />
Auch in diesen Fällen ist die bereits zur Videobeobachtung vorzunehmende<br />
Abwägung zwischen den Interessen noch einmal auf der „Aufzeichnungs-Stufe“<br />
vorzunehmen. Hier ist die besondere Eingriffsintensität einer<br />
Aufzeichnung zu berücksichtigen. „Es ist zu prüfen, ob die Aufzeichnung<br />
zur Erreichung des verfolgten Zwecks geeignet <strong>und</strong> erforderlich ist. Dabei<br />
kann nicht von der Zulässigkeit der Videobeobachtung auf die Zulässigkeit<br />
der Videoaufzeichnung geschlossen werden; vielmehr bedarf es einer<br />
eigenständigen Erforderlichkeitsprüfung. Insbesondere ist zu prüfen, ob der<br />
verfolgte Zweck nicht bereits durch die bloße Videobeobachtung ohne Aufzeichnung<br />
oder sonstige, die Interessen der Betroffenen weniger beeinträchtigende<br />
Mittel erreicht werden kann“ (Bü-Drs. 19/6086).<br />
Eine besondere Form der Aufzeichnung ist das sogenannte „Black-Box-<br />
Verfahren“, wie es z.B. in den öffentlichen Verkehrsmitteln Anwendung findet:<br />
Die Stufe der Videobeobachtung wird hier gleichsam übersprungen: Es<br />
wird in einem besonders gesicherten Speicher laufend auf Vorrat aufgezeichnet<br />
<strong>und</strong> in bestimmten Zeitintervallen immer wieder überspielt <strong>und</strong> gelöscht,<br />
bis eine tatsächliche Hausrechtsverletzung die Nutzung der zum Tatzeitpunkt<br />
aufgenommen Bilder erfordert. Die Grenzen zur reinen Strafverfolgungsvorsorge<br />
sind hier fließend. Deswegen müssen bei der Einrichtung<br />
auch einer solchen „black-box-Videoüberwachung“ die genannten Voraussetzungen<br />
des Abs. 2 geprüft werden <strong>und</strong> vorliegen. Der Zugriff auf die Speicher<br />
ist nach Anlass, Frist <strong>und</strong> Berechtigung datenschutzgerecht zu regeln.<br />
Die Verwendung der aufgezeichneten Videosequenzen ist nach S. 2<br />
gr<strong>und</strong>sätzlich auf die Durchsetzung des Hausrechts beschränkt. Ausnahmsweise<br />
dürfen die gespeicherten Videobilder aber auch <strong>für</strong> die Strafverfolgung<br />
<strong>und</strong> zur Abwehr von Gefahren <strong>für</strong> hochrangige individuelle<br />
Schutzgüter weiter verarbeitet, also genutzt <strong>und</strong> auch übermittelt, werden,<br />
wenn sie da<strong>für</strong> erforderlich sind.<br />
146
Absatz 3<br />
Die Vorschrift dient der Transparenz <strong>für</strong> die Betroffenen. Dieser Zweck hat<br />
Bedeutung <strong>für</strong> Standort, Schriftgröße <strong>und</strong> Ausgestaltung des Hinweises.<br />
„Der Hinweis soll dabei erkennen lassen, ob lediglich beobachtet oder auch<br />
aufgezeichnet wird. Die Kenntlichmachung der verantwortlichen Stelle<br />
ermöglicht bzw. erleichtert es den Betroffenen, gegebenenfalls ihre datenschutzrechtlichen<br />
Ansprüche (z.B. auf Auskunft <strong>und</strong> Löschung) gegenüber<br />
dieser Stelle geltend zu machen“ (Bü-Drs. 19/6086). Um den Normzweck zu<br />
erreichen, hat sich die zusätzliche Verwendung eines Piktogramms auf<br />
Augenhöhe bewährt.<br />
Absatz 4<br />
Bei einer Videoüberwachung mit Aufzeichnung muss die verantwortliche<br />
Stelle die Betroffenen gr<strong>und</strong>sätzlich dann unterrichten, wenn die Auswertung<br />
der Bilder zu einer Identifizierung <strong>und</strong> einer weiteren Datenverarbeitung<br />
geführt hat. Die Verweisung auf § 12a schränkt diese Unterrichtungspflicht<br />
jedoch wieder dadurch ein, dass bei einer Datenverarbeitung (Bildauswertung)<br />
zur „Wahrnehmung von Aufgaben der Gefahrenabwehr <strong>und</strong><br />
der Verfolgung von Straftaten“ die Unterrichtungspflicht entfällt. Dies<br />
dürfte in der Praxis die Regel sein.<br />
Absatz 5<br />
Die erhöhte Eingriffsintensität durch eine Videoaufzeichnung berücksichtigt<br />
der Gesetzgeber durch eine Fristsetzung <strong>für</strong> ihre Löschung. „Die<br />
Wochenfrist trägt einerseits dem Interesse der Betroffenen an der möglichst<br />
baldigen Löschung der Daten Rechnung; andererseits berücksichtigt sie,<br />
dass es eine gewisse Zeit dauern kann, bis die Bedeutung der Aufzeichnung<br />
einer bestimmten Kamera <strong>für</strong> Hausrechtszwecke erkannt wird. Dabei handelt<br />
es sich um eine Höchstfrist. Ist bereits zu einem früheren Zeitpunkt<br />
erkennbar, dass das Bildmaterial nicht mehr benötigt wird, so ist es bereits<br />
zu diesem Zeitpunkt zu löschen oder zu vernichten“ (Bü-Drs. 19/6086). Dasselbe<br />
gilt <strong>für</strong> den Fall, dass durch die Identifizierung einer Person oder weiterer<br />
Erkenntnisse bei der Auswertung deutlich wird, dass das Geheimhaltungsinteresse<br />
des oder der konkreten Betroffenen „einer weiteren<br />
Speicherung entgegensteht“, also gegenüber dem Hausrechtsinteresse<br />
der verantwortlichen Stelle überwiegt.<br />
Absatz 6<br />
Diese Vorschrift wiederholt sowohl <strong>für</strong> die Videobeobachtung als auch <strong>für</strong><br />
die Videoaufzeichnung wortgetreu die nach § 8 Abs. 2 notwendigen technischen<br />
<strong>und</strong> organisatorischen Maßnahmen (dazu Näheres bei § 8). Damit<br />
147
entfällt eine eigenständige Bedeutung des Tatbestandsmerkmals „automatisierte<br />
Verarbeitung“ in § 8 Abs. 2. Nach Auffassung des <strong>Hamburgische</strong>n<br />
<strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit handelt es sich zumindest<br />
bei digitaler Videoaufnahme-, übermittlungs-, speicher- <strong>und</strong> auswertungstechnik<br />
auch um ein automatisiertes Verfahren im Sinne des § 8<br />
Abs. 4, was zusätzlich die Pflicht zu einer systematischen Risikoanalyse<br />
nach dieser Vorschrift auslöst, vgl. dazu 23. TB 2010/2011, 1.2.1.<br />
Absätze 7 <strong>und</strong> 8<br />
Diese Vorschrift ähnelt § 9 <strong>und</strong> bezieht die dort aufgezählten Punkte einer<br />
Verfahrensbeschreibung konkret auf die Videoüberwachung. Dabei wird<br />
wiederum auf das in § 9 normierte Tatbestandsmerkmal „automatisiertes<br />
Verfahren“ verzichtet. Die gebotene Dokumentation zwingt die verantwortliche<br />
Stelle insbesondere zur Abwägung der mit der Videoüberwachung<br />
verfolgten Ziele mit den datenschutzrechtlichen Gefahren <strong>und</strong> Risiken <strong>für</strong><br />
die von der Kameraüberwachung Erfassten, vgl. 23. TB 2010/2011, 1.2.1.<br />
„Gefahren drohen den von einer Videoüberwachung Betroffenen durch den<br />
darin liegenden Eingriff in ihr Recht auf informationelle Selbstbestimmung,<br />
insbesondere durch die Möglichkeit einer Identifizierung durch die zugriffsberechtigten<br />
Personen, einer Feststellung ihres Aufenthalts zu einem bestimmten<br />
Zeitpunkt an einem bestimmten Ort sowie – im Fall einer Videoaufzeichnung<br />
– einer technisch gr<strong>und</strong>sätzlich möglichen automatisierten Auswertung<br />
<strong>und</strong> Verknüpfung mit anderen Daten….(Es) werden zwangsläufig<br />
auch das äußere Erscheinungsbild der Betroffenen sowie ihr gesamtes Verhalten<br />
am überwachten Ort erfasst“ (Bü-Drs. 19/6086).<br />
Die Pflicht zur Vorlage der Dokumentation bei dem oder der (behördlichen)<br />
<strong>Datenschutz</strong>beauftragten, das – beschränkte – Einsichtsrecht der Allgemeinheit<br />
<strong>und</strong> die Pflicht zur Überprüfung im 2-Jahres-Intervall nach Abs. 8<br />
dienen der Transparenz <strong>und</strong> sichern die sorgfältige Befassung mit den<br />
Zulässigkeitsvoraussetzungen der Videoüberwachung durch die verantwortliche<br />
Stelle.<br />
Absatz 9<br />
Die Vorschrift trägt dem Umstand Rechnung, dass Kamera-Attrappen mangels<br />
Datenverarbeitung nicht gegen <strong>Datenschutz</strong>vorschriften verstoßen<br />
können, dass sie aber gleichwohl das Verhalten von Personen beeinflussen<br />
<strong>und</strong> damit ihr Gr<strong>und</strong>recht auf freie Entfaltung der Persönlichkeit, Art. 2<br />
Abs. 1 GG tangieren können.<br />
Der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
(HmbBfDI) initiierte kurz nach dem Inkrafttreten der Vorschrift eine Gesamterhebung<br />
der Videoüberwachung durch öffentliche Stellen, vgl. 23.<br />
148
TB 2010/2011, 1.2.2. Dabei wurden erhebliche Defizite bei der Anwendung<br />
der Vorschrift festgestellt. Zur Erleichterung der Normanwendung <strong>und</strong> zur<br />
Hilfestellung <strong>für</strong> die in Abs. 7 geforderte Dokumentation veröffentlichte der<br />
HmbBfDI 2010 eine umfangreiche „Handreichung zur Videoüberwachung“<br />
<strong>und</strong> ein „Musterformular“ <strong>für</strong> die Dokumentation. Beides ist abrufbar unter<br />
http://www.datenschutz-hamburg.de/datenschutz-fuer-firmen-behoerden/<br />
videoueberwachung.html.<br />
Zu § 31 Datenverarbeitung <strong>für</strong> Planungszwecke<br />
Die Vorschrift „berücksichtigt die Notwendigkeit von Planungen <strong>für</strong> eine den<br />
sozialen, kulturellen, wirtschaftlichen <strong>und</strong> ökologischen Erfordernissen entsprechende<br />
Entwicklung. Die Planung ist häufig Bestandteil der jeweiligen<br />
Verwaltungsaufgabe <strong>und</strong> insoweit bereits nach § 13 (<strong>und</strong> ggf. § 14) zulässig.<br />
Die Regelung erfasst daher nur die Fälle, in denen Daten ausschließlich <strong>für</strong><br />
Planungszwecke erhoben werden oder in denen <strong>für</strong> andere Zwecke gespeicherte<br />
Daten <strong>für</strong> Planungszwecke genutzt oder übermittelt werden sollen.<br />
Nicht unter die Regelung fällt die Aggregierung bereits gespeicherter personenbezogener<br />
Daten zu Planungszwecken, bei der lediglich anonymisierte<br />
Daten gewonnen <strong>und</strong> weiterverarbeitet werden. Die Vorschrift lässt die Verarbeitung<br />
<strong>für</strong> Planungszwecke in Anlehnung an § 27 (Datenverarbeitung<br />
zum Zwecke wissenschaftlicher Forschung) zu.“ (Bü-Drs. 13/3282 zu § 30).<br />
Die Daten unterliegen gemäß Abs. 2 einer strikten Zweckbindung. Sie sind<br />
möglichst frühzeitig zu anonymisieren (vgl. § 4 Abs. 9) <strong>und</strong> dürfen nicht<br />
übermittelt werden, soweit Rückschlüsse auf Einzelpersonen gezogen<br />
werden können. Gem. Abs. 3 sind die Planungsdaten in der Daten verarbeitenden<br />
Stelle getrennt von den sonstigen Daten zur Aufgabenerfüllung<br />
zu verarbeiten.<br />
Zu § 32 Straftaten<br />
Nach dieser Vorschrift ist ein Fehlverhalten im Zusammenhang mit der dateimäßigen<br />
<strong>und</strong> nicht dateimäßigen Verarbeitung personenbezogener<br />
Daten dann strafbar, wenn es sich um ein qualifiziertes Delikt handelt, die<br />
Täter also in Bereicherungs- oder Schädigungsabsicht vorgehen.<br />
Die in Abs. 1 Nrn. 1 <strong>und</strong> 2 aufgeführten Handlungsformen erfassen mit<br />
Ausnahme des Sperrens alle von diesem Gesetz behandelten Verarbeitungsphasen.<br />
Das Abrufen <strong>und</strong> Sichverschaffen von Daten ebenso wie das<br />
Einsehen wurden als Unterformen des Erhebens nicht gesondert aufgeführt.<br />
Abruf ist eine besondere Art der Kenntnisnahme von automatisiert<br />
gespeicherten Daten, insbesondere im Onlineverkehr durch entsprechende<br />
Abrufroutine am Terminal oder vom Computer. Nach der Begriffsbestimmung<br />
in § 4 Abs. 2 S. 2 Nr. 4 werden alle Formen des Übermittelns<br />
149
erfasst; dies gilt auch, wenn man Daten weitergibt oder zum Abruf bereithält.<br />
Auch der Versuch ist strafbar.<br />
Ausgenommen vom Schutz der Strafvorschrift sind Daten, die offenk<strong>und</strong>ig<br />
sind. Solche Daten müssen aber rechtmäßigerweise öffentlich zugänglich<br />
sein. Dies sind Daten, die allgemein zugänglich sind oder sein sollen, wie<br />
z.B. im Internet, in Zeitungen <strong>und</strong> Zeitschriften, in öffentlichen Adress- <strong>und</strong><br />
Telefonbüchern <strong>und</strong> in öffentlichen behördlichen Registern (Schuldnerverzeichnis,<br />
Handelsregister der Amtsgerichte).<br />
Die Handlung muss unbefugt begangen werden. Dies ist bei der Erhebung<br />
<strong>und</strong> Verarbeitung geschützter Daten stets der Fall, wenn sie unzulässig<br />
sind, wenn also weder eine Rechtsvorschrift sie erlauben noch der Betroffene<br />
eingewilligt hat.<br />
Die Tat wird nur auf Antrag verfolgt; die bzw. der <strong>Hamburgische</strong> <strong>Beauftragte</strong><br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit kann die Betroffenen gegebenenfalls<br />
auf ihr Antragsrecht hinweisen.<br />
Andere Strafvorschriften, insbesondere solche des B<strong>und</strong>esrechts (z.B.<br />
§§ 202 a, 303 a, 303b StGB), gehen vor (Abs. 4).<br />
Zu § 33 Ordnungswidrigkeiten<br />
Da in § 32 nur qualifizierte Delikte unter Strafe gestellt sind, enthält § 33<br />
einen Katalog von Ordnungswidrigkeitentatbeständen <strong>für</strong> die nicht qualifizierten<br />
Verhaltensweisen; vorsätzliches Fehlverhalten im Umgang mit personenbezogenen<br />
Daten bleibt nicht sanktionsfrei. Der Tatbestandskatalog<br />
deckt sich mit dem Katalog des § 32. Wer <strong>für</strong> die Verfolgung solcher<br />
Ordnungswidrigkeiten zuständig ist, bleibt im <strong>Hamburgische</strong>n <strong>Datenschutz</strong>gesetz<br />
(HmbDSG) offen.<br />
Der Hamburger Senat hat von der Möglichkeit einer Zuständigkeitsvorschrift<br />
nach § 36 Abs. 2 Ordnungswidrigkeitengesetz (OWiG) Gebrauch gemacht<br />
<strong>und</strong> neben Fachbehörden <strong>und</strong> Bezirksämtern allgemein auch den<br />
<strong>Hamburgische</strong>n <strong>Beauftragte</strong>n <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
(HmbBfDI) zur Verfolgung von Ordnungswidrigkeiten <strong>für</strong> zuständig erklärt.<br />
Nach § 24 wird dem HmbBfDI die Aufgabe der Aufsichtsbehörde <strong>für</strong> den<br />
<strong>Datenschutz</strong> im nicht-öffentlichen Bereich gem. § 38 Abs. 6 BDSG übertragen<br />
(dazu Bü-Drs. 20/369, S. 4). Die Verfolgungszuständigkeit des<br />
HmbBfDI beschränkt sich ausschließlich auf diesen (nicht-öffentlichen)<br />
Bereich, weil der HmbBfDI nach dem <strong>Hamburgische</strong>n Verwaltungsbehördengesetz<br />
keine Verwaltungsbehörde i.S. d. der §§ 35, 36 OWiG ist <strong>und</strong> die<br />
Beschreibung seiner Aufgaben im HmbDSG eine Verfolgung von Ordnungswidrigkeiten<br />
nicht umfasst. Im öffentlichen Bereich sind vielmehr<br />
zunächst die Verwaltungsbehörden als Daten verarbeitende Stellen selbst<br />
150
<strong>für</strong> die Durchführung des HmbDSG zuständig – dazu gehört auch die Ordnungswidrigkeitenvorschrift<br />
des § 33. Der HmbBfDI kontrolliert <strong>und</strong> überwacht<br />
die Behörden mit den im HmbDSG genannten Mitteln (vgl. § 23).<br />
Für die Verfolgung von Ordnungswidrigkeiten nach § 33 HmbDSG durch<br />
ihre Beschäftigten sind die Behörden in ihrem jeweiligen Aufgabenbereich<br />
selbst zuständig.<br />
Zu § 34 Verwaltungsgebühren<br />
Absatz 1<br />
Die im Jahr 2001 eingefügte Vorschrift begründet mit Satz 1 erstmals eine<br />
„Gebührenpflicht <strong>für</strong> Amtshandlungen der Aufsichtsbehörde im nicht-öffentlichen<br />
Bereich. Erfasst wird der gesamte Aufsichtsbereich der Aufsichtsbehörde<br />
nach § 38 BDSG <strong>und</strong> anderen Rechtsvorschriften über den <strong>Datenschutz</strong><br />
( )“ (Bü.-Drs. 16/6266 vom 19.06.01 zu § 34). In Abschnitt I der Senatsanordnung<br />
über Zuständigkeiten auf dem Gebiet des <strong>Datenschutz</strong>es<br />
vom 23. September 1994 wurde festgelegt, dass Aufsichtsbehörde nach<br />
§ 38 des BDSG in der jeweils geltenden Fassung der <strong>Hamburgische</strong> <strong>Datenschutz</strong>beauftragte<br />
ist.<br />
Durch die Vorschrift wird eine Gebührenpflicht sowohl <strong>für</strong> anlassbezogene<br />
als auch anlassfreie Kontrollen geregelt. Nicht erfasst vom Anwendungsbereich<br />
sind dagegen sonstige Amtshandlungen der <strong>Datenschutz</strong>aufsichtsbehörde.<br />
Dazu gehören alle Tätigkeiten der Aufsichtsbehörde, die<br />
nicht unmittelbar der Kontrolle dienen, insbesondere die nach § 38 Abs. 1<br />
BDSG verpflichtende Beratung <strong>und</strong> Unterstützung betrieblicher <strong>Datenschutz</strong>beauftragter<br />
<strong>und</strong> der verantwortlichen Stellen mit Rücksicht auf<br />
deren typische Bedürfnisse.<br />
Mit der <strong>Datenschutz</strong>gebührenordnung vom 11. September 2001<br />
(HmbGVBl. S. 401), zuletzt geändert am 18. Dezember 2002 (HmbGVBl. S.<br />
317) hat der Senat von seiner Ermächtigung aus Satz 2 der Vorschrift, die<br />
gebührenpflichtigen Tatbestände <strong>und</strong> die Gebührensätze durch Rechtsverordnung<br />
festzulegen, Gebrauch gemacht. Die Verordnung enthält 3 Gebührentatbestände,<br />
<strong>für</strong> die unterschiedliche Gebührensätze bestehen. Die<br />
Spanne reicht von derzeit 150 e <strong>für</strong> eine Kontrolle ohne besondere Prüfintensität<br />
bis 300 – 1500 e Rahmengebühren <strong>für</strong> Kontrollen mit besonderer<br />
Prüfintensität. Die konkrete Gebühr ist in jedem Einzelfall im Rahmen des<br />
Ermessens von der Aufsichtsbehörde festzusetzen. Dabei sind der zeitliche<br />
Aufwand <strong>und</strong> die Anzahl der beteiligten Prüfer zu berücksichtigen.<br />
Für das Verlangen der Aufsichtsbehörde nach Abberufung der oder des<br />
betrieblichen <strong>Datenschutz</strong>beauftragten nach § 38 Abs. 5 Satz 3 BDSG liegt<br />
der Gebührensatz bei 1500 e.<br />
151
Abs. 2 der <strong>Datenschutz</strong>gebührenordnung regelt, dass in den Fällen, in<br />
denen die Kontrolle von der Aufsichtsbehörde oder von der oder dem<br />
betrieblichen <strong>Datenschutz</strong>beauftragten veranlasst wurde, die Gebühr auf<br />
Antrag der kontrollierten Stelle ganz oder teilweise erlassen werden kann,<br />
soweit deren Zahlung <strong>für</strong> die kontrollierte Stelle eine unzumutbare Härte<br />
darstellen würde. Von dieser Möglichkeit ist bisher in einigen Fällen, insbesondere<br />
bei der Prüfung von gemeinnützigen Vereinen, Gebrauch gemacht<br />
worden.<br />
Absatz 2<br />
Nach Absatz 2 Satz 1 ist die kontrollierte Stelle als Schuldner zur Zahlung<br />
der Gebühren, Zinsen <strong>und</strong> Auslagen verpflichtet.<br />
Dies gilt bei anlassbezogenen Kontrollen nach Satz 2 jedoch nur, wenn bei<br />
der Kontrolle Mängel festgestellt wurden. Hingegen können bei anlassfreien<br />
Kontrollen auf Initiative der Aufsichtsbehörde oder von der kontrollierten<br />
Stelle selbst veranlassten Kontrollen auch ohne Vorliegen eines<br />
Mangels Gebühren erhoben werden.<br />
Ein Mangel liegt immer dann vor, wenn die kontrollierte Stelle gegen Vorschriften<br />
des BDSG verstoßen hat. Ein ordnungswidriges Verhalten ist<br />
dabei nicht erforderlich. So liegt z.B. auch dann ein Mangel vor, wenn die<br />
kontrollierte Stelle keine ausreichenden technischen <strong>und</strong> organisatorischen<br />
Maßnahmen zur Einhaltung des <strong>Datenschutz</strong>es getroffen hat.<br />
Nach Satz 3 können bei Kontrollen, die durch Beschwerdeführer veranlasst<br />
wurden, Gebühren, Zinsen <strong>und</strong> Auslagen von ihnen verlangt werden, wenn<br />
bei der Kontrolle keine Mängel festgestellt wurden <strong>und</strong> dies der Billigkeit<br />
entspricht. Nach der Gesetzesbegründung verhindert die Regelung „einerseits,<br />
dass kontrollierte Stellen aufgr<strong>und</strong> unberechtigter, unter Umständen<br />
sogar in Schädigungsabsicht gr<strong>und</strong>los geäußerter Beschuldigungen Dritter<br />
mit kostenpflichtigen Kontrollen überzogen werden. Auf der anderen Seite<br />
werden die Dritten nur insoweit zur Rechenschaft gezogen, als dies der Billigkeit<br />
entspricht. Hierdurch wird insbesondere gewährleistet, dass Dritte,<br />
denen sich aufgr<strong>und</strong> der Umstände des Einzelfalles die Vermutung einer<br />
nicht ordnungsgemäßen Verarbeitung ihrer personenbezogenen Daten aufdrängt,<br />
bei einer diesbezüglichen Eingabe an die Aufsichtsbehörde auch<br />
dann nicht mit einem Kostenrisiko belastet werden, wenn sich ihre Vermutung<br />
im Ergebnis nicht bestätigt“ (Bü-Drs. 16/6266 v.19.06.01).<br />
Bisher hat die Aufsichtsbehörde von der Möglichkeit, vom Beschwerdeführer<br />
die Zahlung der Gebühren zu verlangen, noch keinen Gebrauch<br />
gemacht.<br />
152
Kontakt<br />
Herausgeber:<br />
Der <strong>Hamburgische</strong> <strong>Beauftragte</strong> <strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
Klosterwall 6<br />
20095 Hamburg<br />
Tel.: 040/42854-4040 (Geschäftsstelle)<br />
Fax: 040/42854-4000<br />
E-Mail: mailbox@datenschutz.hamburg.de<br />
Titelbild: Thomas Krenz<br />
Reinzeichnung Cover: KAMEKO DESIGN<br />
Druck: Lütcke & Wulff, Hamburg