Hamburgisches - Hamburgische Beauftragte für Datenschutz und

Hamburgisches
Datenschutzgesetz
Gesetzestext und Erläuterungen
Der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit

Hamburgisches
Datenschutzgesetz
Gesetzestext und Erläuterungen
Hamburg, 2013

Herausgeber:
Der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit
Klosterwall 6, 20095 Hamburg
Telefon: 040 / 428 54 - 40 40
E-Mail: mailbox@datenschutz.hamburg.de
Titelbild: Thomas Krenz
Druck: Lütcke & Wulff, 22525 Hamburg
1. Auflage, Dezember 2013

INHALTSVERZEICHNIS
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Hamburgisches Datenschutzgesetz (HmbDSG)
(zuletzt geändert am 5. April 2013) . . . . . . . . . . . . . . . . . . . . . . 5
Erläuterungen zum HmbDSG . . . . . . . . . . . . . . . . . . . . . . . . . 42
3

Einleitung
Das Hamburgische Datenschutzgesetz sichert das Recht auf informationelle
Selbstbestimmung der Bürgerinnen und Bürger gegenüber den
öffentlichen Stellen in Hamburg. Gleichzeitig stellt es aber auch die zentrale
und unerlässliche Rechtsgrundlage für die Hamburgische Verwaltung
dar, um zur Erfüllung ihrer unterschiedlichen Aufgaben Daten zu verarbeiten.
Die Normen des Hamburgischen Datenschutzgesetzes garantieren
daher individuelle Rechte ebenso wie sie den rechtsstaatlichen Ablauf der
Verwaltung insbesondere beim Erheben, Speichern und Übermitteln von
personenbezogenen Daten sicherstellen.
Diese Broschüre soll das Hamburgische Datenschutzrecht sowohl für
Interessierte und Fachleute als auch für alle öffentlichen Stellen in Hamburg
kommentieren und handhabbarer machen. Dazu erfolgt nicht nur der
Abdruck des Gesetzestextes. Im zweiten Teil werden darüber hinaus Erläuterungen
zu den Normen aus der Perspektive des Hamburgischen Beauftragten
für Datenschutz und Informationsfreiheit mitgeliefert. Die Kommentierung
ist sowohl an der gesetzgeberischen Begründung als auch an der
behördlichen Rechtspraxis ausgerichtet. Sie soll Ratsuchenden bei Auslegungsfragen
des Hamburgischen Datenschutzrechts wichtige Anhaltspunkte
zu den eigenen Rechten oder einer gesicherten Rechtspraxis
liefern. Jüngste rechtliche Entwicklungen im Zusammenhang mit einer
künftigen EU-Datenschutzgrundverordnung konnten naturgemäß nicht
berücksichtigt werden; das gesetzgeberische Verfahren wird hier auch
noch einige Zeit in Anspruch nehmen.
4

Hamburgisches Datenschutzgesetz
(HmbDSG)
Vom 5. Juli 1990 (HmbGVBl. S. 133, 165, 226)
zuletzt geändert am 5. April 2013 (HmbGVBl. S. 148, 155)
Der Senat verkündet das nachstehende von der Bürgerschaft
beschlossene Gesetz:
Inhaltsübersicht
ERSTER ABSCHNITT
Allgemeine Vorschriften
§ 1 Aufgabe des Datenschutzes
§ 2 Anwendungsbereich
§ 3 Datenverarbeitung im Auftrag
§ 4 Begriffsbestimmungen
§ 4 a Schriftform (aufgehoben)
§ 5 Zulässigkeit der Datenverarbeitung
§ 5 a Automatisierte Einzelentscheidungen
§ 5 b Mobile Datenverarbeitungsmedien
§ 6 Rechte der Betroffenen
§ 7 Datengeheimnis
§ 8 Technische und organisatorische Maßnahmen; Vorabkontrolle
§ 9 Verfahrensbeschreibung
§ 10 Durchführung des Datenschutzes
§ 10 a Behördliche Datenschutzbeauftragte bzw. behördlicher
Datenschutzbeauftragter
§ 11 Automatisiertes Abrufverfahren
§ 11 a Gemeinsame und verbundene automatisierte Dateien
ZWEITER ABSCHNITT
Rechtsgrundlagen der Datenverarbeitung
§ 12 Datenerhebung
§ 12 a Unterrichtung bei der Erhebung
§ 13 Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung
§ 14 Übermittlung innerhalb des öffentlichen Bereichs
5

§ 15 Übermittlung an öffentlich-rechtliche Religionsgesellschaften
§ 16 Übermittlung an Stellen außerhalb des öffentlichen Bereichs
§ 17 Übermittlung an Stellen außerhalb der
Bundesrepublik Deutschland
DRITTER ABSCHNITT
Rechte der Betroffenen
§ 18 Auskunft
§ 19 Berichtigung, Sperrung und Löschung
§ 20 Schadensersatz
VIERTER ABSCHNITT
Die bzw. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit
§ 21 Berufung
§ 22 Rechtsstellung
§ 23 Aufgaben
§ 24 Aufsichtsbehörde zur Überwachung nicht-öffentlicher Stellen und
öffentlich-rechtlicher Wettbewerbsunternehmen
§ 25 Beanstandungen
§ 26 Anrufung
FÜNFTER ABSCHNITT
Besondere Vorschriften über den Datenschutz
§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher Forschung
§ 28 Datenverarbeitung bei Beschäftigungsverhältnissen
§ 29 Fernmessen und Fernwirken
§ 30 Videobeobachtung und Videoaufzeichnung (Videoüberwachung)
§ 31 Datenverarbeitung für Planungszwecke
§ 32 Straftaten
§ 33 Ordnungswidrigkeiten
§ 34 Verwaltungsgebühren
§ 35 Inkrafttreten
SECHSTER ABSCHNITT
Straf- und Bußgeldvorschriften;
Gebührenvorschrift; Inkrafttreten
6

ERSTER ABSCHNITT
Allgemeine Vorschriften
§1
Aufgabe des Datenschutzes
Dieses Gesetz regelt die Verarbeitung personenbezogener Daten durch
öffentliche Stellen, um das Recht einer jeden Person zu schützen, selbst
über die Preisgabe und Verwendung ihrer Daten zu bestimmen, soweit
keine Einschränkungen in diesem Gesetz oder in anderen Rechtsvorschriften
zugelassen sind.
§2
Anwendungsbereich
(1) 1 Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten
durch folgende öffentliche Stellen:
1. die Bürgerschaft, die Behörden, die Organe der Rechtspflege, den
Rechnungshof und die sonstigen öffentlich-rechtlich organisierten Einrichtungen
der Freien und Hansestadt Hamburg,
2. die der Aufsicht der Freien und Hansestadt Hamburg unterstehenden
juristischen Personen des öffentlichen Rechts und deren öffentlichrechtlich
organisierte Einrichtungen,
3. Stellen, soweit sie als Beliehene hoheitliche Aufgaben der öffentlichen
Verwaltung wahrnehmen.
2 Für juristische Personen, Gesellschaften und andere Personenvereinigungen
des privaten Rechts, an denen die Freie und Hansestadt Hamburg
oder eine ihrer Aufsicht unterstehende juristische Person des öffentlichen
Rechts beteiligt ist, gelten nur die auf nicht-öffentliche Stellen anzuwendenden
Vorschriften des Bundesdatenschutzgesetzes in der jeweils geltenden
Fassung, wenn sie keine öffentlichen Stellen des Bundes gemäß
§ 2 Absatz 3 des Bundesdatenschutzgesetzes sind.
(2) 1 Soweit die in Absatz 1 Satz 1 genannten Stellen als Unternehmen am
Wettbewerb teilnehmen, gelten von den Vorschriften dieses Gesetzes nur
die §§ 10, 28, 29 und der Vierte Abschnitt. 2 Im Übrigen sind die für nicht-öffentliche
Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes
mit Ausnahme des § 38 in der jeweils geltenden Fassung anzuwenden.
(3) Absatz 2 gilt nicht für die Hamburgische Investitions- und Förderbank.
(4) Für die Ausübung des Gnadenrechts findet dieses Gesetz keine Anwendung.
7

(5) 1 Auf die nicht-automatisierte Verarbeitung personenbezogener Daten
außerhalb von Dateien
1. durch die Gerichte im Rahmen der Rechtspflege,
2. durch die Staatsanwaltschaften und ihre Hilfsbeamtinnen und Hilfsbeamten
bei der Verfolgung von Straftaten und bei der Strafvollstreckung
sowie
3. durch die in Absatz 1 Satz 1 genannten Stellen bei der Verfolgung und
Ahndung von Ordnungswidrigkeiten
finden § 5, § 6 Absatz 1 Nummern 1 bis 9 sowie die §§ 12 bis 19 keine
Anwendung. 2 Satz 1 Nummer 1 gilt nicht für die Tätigkeit der Gerichtsvollzieherinnen
und Gerichtsvollzieher.
(6) Dieses Gesetz gilt nicht für personenbezogene Daten, solange sie in
allgemein zugänglichen Quellen gespeichert sind, sowie für Daten von
Betroffenen, die diese zur Veröffentlichung bestimmt haben.
(7) Soweit besondere Rechtsvorschriften auf die Verarbeitung personenbezogener
Daten anzuwenden sind (Rechtsvorschriften über den Datenschutz),
gehen sie den Vorschriften dieses Gesetzes vor.
§3
Datenverarbeitung im Auftrag
(1) 1 Die Vorschriften dieses Gesetzes gelten für die in § 2 Absatz 1 Satz 1
genannten Stellen auch insoweit, als personenbezogene Daten in deren
Auftrag durch andere Stellen verarbeitet werden. 2 In diesen Fällen ist die
auftragnehmende Stelle unter besonderer Berücksichtigung der Eignung
der von ihr getroffenen technischen und organisatorischen Maßnahmen
(§ 8) sorgfältig auszuwählen. 3 Bei Erteilung des Auftrags sind, falls erforderlich,
ergänzende technische und organisatorische Maßnahmen und
etwaige Unterauftragsverhältnisse festzulegen. 4 Die auftragnehmenden
Stellen sind zu verpflichten, die Daten nur zu dem Zweck zu verarbeiten, zu
dem sie ihnen überlassen worden sind, sowie nach Erledigung des
Auftrags die überlassenen Datenträger zurückzugeben, zu löschen oder
zu vernichten und bei ihnen gespeicherte personenbezogene Daten zu
löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.
(2) 1 Die Vorschriften der §§ 12 bis 20 gelten nicht für die in § 2 Absatz 1
Satz 1 genannten Stellen, soweit sie personenbezogene Daten im Auftrag
verarbeiten. 2 In diesen Fällen ist die Datenverarbeitung nur im Rahmen
der Weisungen der auftraggebenden Stelle zulässig. 3 Ist die auftragnehmende
Stelle der Ansicht, dass eine solche Weisung gegen dieses Gesetz
8

oder andere Vorschriften über den Datenschutz verstößt, so hat sie die auftraggebende
Stelle unverzüglich darauf hinzuweisen.
(3) 1 Sofern die §§ 7 und 8 auf die auftragnehmende Stelle keine Anwendung
finden, ist die auftraggebende Stelle verpflichtet, vertraglich sicherzustellen,
dass die auftragnehmende Stelle die in diesen Bestimmungen
für auftragnehmende Stellen enthaltenen Regelungen befolgt und sich,
sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt
wird, der Überwachung der oder des Hamburgischen Beauftragten
für Datenschutz und Informationsfreiheit unterwirft. 2 Bei einer Auftragsdurchführung
außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige
Datenschutzaufsichtsbehörde zu unterrichten.
(4) Die Absätze 1 bis 3 gelten entsprechend, soweit Stellen im Auftrag
1. beratende, begutachtende oder vergleichbare unterstützende Tätigkeiten
ausführen,
2. Wartungsarbeiten oder Hilfstätigkeiten bei der Datenverarbeitung
erledigen
und hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen
werden kann.
§4
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder
sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen
(Betroffene, betroffene Personen).
(2) 1 Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln,
Sperren, Löschen und Nutzen personenbezogener Daten.
2 Im Einzelnen ist
1. Erheben das Beschaffen von Daten über Betroffene,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf
einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
3. Verändern das inhaltliche Umgestalten von Daten,
4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass
die Daten weitergegeben, zur Einsicht bereitgehalten oder veröffentlicht
werden oder dass Dritte in einem automatisierten Verfahren bereitgehaltene
Daten abrufen,
5. Sperren das Verhindern weiterer Verarbeitung von Daten,
9

6. Löschen das Unkenntlichmachen von Daten oder das Vernichten des
Datenträgers,
7. Nutzen jede sonstige Verwendung von Daten
ungeachtet der dabei angewendeten Verfahren.
(3) Daten verarbeitende Stelle ist jede der in § 2 Absatz 1 Satz 1 genannten
Stellen, die allein oder gemeinsam mit anderen Daten für sich selbst verarbeitet
oder durch andere verarbeiten lässt.
(4) Dritte sind alle Stellen außerhalb der Daten verarbeitenden Stelle,
ausgenommen die Betroffenen und diejenigen Stellen, die in einem Mitgliedstaat
der Europäischen Union personenbezogene Daten im Auftrag
verarbeiten.
(5) Empfängerinnen und Empfänger sind alle Personen oder Stellen, die
Daten erhalten.
(6) Eine Datei ist eine Sammlung personenbezogener Daten, die
1. durch automatisierte Verfahren verarbeitet werden kann (automatisierte
Datei) oder
2. gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist
und ausgewertet werden kann (nicht-automatisierte Datei).
(7) Stellen sind natürliche Personen, juristische Personen und ihre Handlungseinheiten,
Gesellschaften und andere Personenvereinigungen des
privaten Rechts.
(8) Ein Datenträger ist jedes Material, auf dem Einzelangaben wahrnehmbar
festgehalten werden.
(9) Anonymisieren ist das Verändern personenbezogener Daten derart,
dass die Einzelangaben über persönliche oder sachliche Verhältnisse
nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit,
Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen
Person zugeordnet werden können.
(10) Pseudonymisieren ist das Verändern personenbezogener Daten mittels
einer Zuordnungsregel derart, dass die Einzelangaben über persönliche
oder sachliche Verhältnisse ohne Kenntnis dieser Regel nicht mehr
oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und
Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet
werden können.
§4a
(aufgehoben)
10

§5
Zulässigkeit der Datenverarbeitung
(1) 1 Die Verarbeitung personenbezogener Daten ist nur zulässig, soweit
1. dieses Gesetz oder eine besondere Rechtsvorschrift über den Datenschutz
sie erlaubt oder
2. die Betroffenen eingewilligt haben.
2 Die Verarbeitung personenbezogener Daten, aus denen die rassische
und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie von Daten über Gesundheit oder Sexualleben ist nur
zulässig, soweit
1. die §§ 15, 27 bis 30 oder eine besondere Rechtsvorschrift über den
Datenschutz sie erlaubt,
2. die Betroffenen ausdrücklich eingewilligt haben,
3. es sich um Daten handelt, die die Betroffenen offensichtlich öffentlich
gemacht haben,
4. sie zum Schutz lebenswichtiger Interessen der Betroffenen oder Dritter
erforderlich ist und die Betroffenen aus rechtlichen oder tatsächlichen
Gründen außer Stande sind, ihre Einwilligung zu geben,
5. sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
vor Gericht erforderlich ist,
6. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl zwingend
erforderlich ist oder
7. sie zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik,
der Gesundheitsversorgung oder Behandlung oder für die Verwaltung
von Gesundheitsdiensten erforderlich ist und durch ärztliches
Personal oder sonstige Personen erfolgt, die einem entsprechenden
Berufs- oder besonderen Amtsgeheimnis unterliegen.
3 Satz 2 gilt nicht für
1. die Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben
der Gefahrenabwehr und der Verfolgung von Straftaten sowie
2. die nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb
von Dateien.
4 Vor der Entscheidung, personenbezogene Daten nach Satz 2 Nummer 6
zu verarbeiten, ist die bzw. der behördliche Datenschutzbeauftragte oder,
falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher
Datenschutzbeauftragter bestellt wurde, die bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit zu hören.
11

(2) 1 Die Einwilligung in die Verarbeitung personenbezogener Daten bedarf
der Schriftform, soweit nicht wegen besonderer Umstände eine andere
Form angemessen ist. 2 Gegenstand, Inhalt und Umfang der erlaubten Verarbeitung,
insbesondere die Art der Daten, die Adressaten der Übermittlung,
der Verwendungszweck und die Dauer der Aufbewahrung, sind in der
Einwilligungserklärung klar und verständlich zu bezeichnen; die Betroffenen
sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie
die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen
können. 3 Wird die Einwilligung zusammen mit anderen Erklärungen
schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild
der Erklärung hervorzuheben. 4 Die Einwilligung ist unwirksam, wenn
sie durch unangemessene Androhung von Nachteilen, durch fehlende
Aufklärung oder in sonstiger, gegen die Gebote von Treu und Glauben
verstoßender Weise erlangt wurde.
(3) 1 Machen Betroffene schriftlich den Einwand geltend, dass einer Verarbeitung
ihrer personenbezogenen Daten schutzwürdige, sich aus ihrer
besonderen persönlichen Lage ergebende Gründe entgegenstehen, so ist
die weitere Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall
ergeben hat, dass die geltend gemachten Gründe hinter dem öffentlichen
Interesse an der Verarbeitung zurückstehen müssen. 2 Satz 1 gilt
nicht, soweit die Verarbeitung personenbezogener Daten
1. auf einer Einwilligung der Betroffenen beruht oder
2. zur Erfüllung einer rechtlichen Verpflichtung der Daten verarbeitenden
Stelle erforderlich ist.
3 Wird dem Einwand entsprochen, so sind unverzüglich die Stellen zu verständigen,
denen die Daten übermittelt worden sind; die Verständigung
kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern
würde und schutzwürdige Interessen der Betroffenen nicht entgegenstehen.
4 Wird dem Einwand nicht entsprochen, so sind die Betroffenen
darauf hinzuweisen, dass sie sich an die Hamburgische Beauftragte bzw.
den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
wenden können.
(4) 1 Die Verarbeitung personenbezogener Daten und die Auswahl und
Gestaltung technischer Einrichtungen haben sich auch an dem Ziel auszurichten,
so wenig personenbezogene Daten wie möglich zu erheben und
weiter zu verarbeiten. 2 Dabei ist jeweils zu prüfen, inwieweit es möglich ist,
personenbezogene Daten anonym oder pseudonym zu verarbeiten. 3 Erforderlich
sind Maßnahmen zur anonymen oder pseudonymen Datenverarbeitung
nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur
Schutzwürdigkeit der Daten steht.
12

§5 a
Automatisierte Einzelentscheidungen
(1) Entscheidungen, die für die Betroffenen rechtliche Folgen nach sich
ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf
eine automatisierte Verarbeitung personenbezogener Daten gestützt
werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient.
(2) Absatz 1 gilt nicht, soweit
1. ein Gesetz, das die Wahrung der berechtigten Interessen der Betroffenen
sicherstellt, solche Entscheidungen zulässt,
2. mit der Entscheidung einem Begehren der Betroffenen stattgegeben
wird oder
3. den Betroffenen das Vorliegen einer Entscheidung im Sinne von Absatz
1 mitgeteilt und die Wahrung ihrer berechtigten Interessen durch
geeignete Maßnahmen sichergestellt wird; als geeignete Maßnahme
gilt insbesondere die Möglichkeit der Betroffenen, ihren Standpunkt
geltend zu machen; die Daten verarbeitende Stelle ist verpflichtet, ihre
Entscheidung unter Berücksichtigung der Stellungnahme der bzw. des
Betroffenen erneut zu prüfen.
§5 b
Mobile Datenverarbeitungsmedien
1 Gibt eine in § 2 Absatz 1 Satz 1 genannte Stelle mobile Datenverarbeitungsmedien,
insbesondere Chipkarten heraus, die mit von ihr oder Dritten
bereitgestellten technischen Einrichtungen personenbezogene Daten mit
oder ohne Mitwirkung der Betroffenen automatisiert austauschen können,
so hat sie sicherzustellen, dass die Betroffenen den Datenaustausch jeweils
erkennen und die ihnen nach diesem Gesetz zustehenden Rechte
ohne unvertretbaren Aufwand geltend machen können. 2 Spätestens bei
der Ausgabe sind die Betroffenen über die ihnen nach § 6 zustehenden
Rechte sowie darüber aufzuklären, welche Maßnahmen bei Verlust oder
beim Verdacht nicht ordnungsgemäßer Verarbeitung zu ergreifen sind.
§6
Rechte der Betroffenen
(1) Die Betroffenen haben nach Maßgabe dieses Gesetzes ein Recht auf
1. Geltendmachung von Einwänden gegen die Verarbeitung ihrer Daten
(§ 5 Absatz 3),
13

2. Aufklärung bei der Herausgabe mobiler Datenverarbeitungsmedien
(§ 5 b),
3. Anrufung der bzw. des behördlichen Datenschutzbeauftragten (§ 10 a
Absatz 6),
4. Unterrichtung bei der Erhebung (§ 12 a),
5. Sperrung der Übermittlung an Stellen außerhalb des öffentlichen
Bereichs (§ 16 Absatz 3),
6. Auskunft (§ 18),
7. Berichtigung (§ 19 Absatz 1),
8. Sperrung (§ 19 Absatz 2),
9. Löschung (§ 19 Absatz 3),
10. Schadensersatz (§ 20),
11. Anrufung der oder des Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit (§ 26).
(2) Auf diese Rechte kann nicht im Vorwege verzichtet werden.
§7
Datengeheimnis
1 Denjenigen Personen, die bei den in § 2 Absatz 1 Satz 1 genannten Stellen
oder ihren auftragnehmenden Stellen dienstlichen Zugang zu personenbezogenen
Daten haben, ist es untersagt, geschützte personenbezogene
Daten unbefugt zu einem anderen als dem zur jeweiligen Aufgabenerfüllung
gehörenden Zweck zu verarbeiten, insbesondere bekannt zu
geben oder zugänglich zu machen. 2 Dieses Verbot besteht auch nach
Beendigung der Tätigkeit fort.
§8
Technische und organisatorische Maßnahmen; Vorabkontrolle
(1) 1 Die Daten verarbeitenden Stellen und ihre auftragnehmenden Stellen
haben die technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung der Vorschriften
dieses Gesetzes zu gewährleisten. 2 Erforderlich sind technische und organisatorische
Maßnahmen nur, wenn ihr Aufwand in einem angemessenen
Verhältnis zur Schutzwürdigkeit der Daten steht.
(2) Werden personenbezogene Daten automatisiert verarbeitet, sind
technische und organisatorische Maßnahmen zu treffen, die geeignet sind
zu gewährleisten,
14

1. dass nur Befugte die personenbezogenen Daten zur Kenntnis nehmen
können (Vertraulichkeit),
2. die personenbezogenen Daten während der Verarbeitung unverfälscht,
vollständig und widerspruchsfrei bleiben (Integrität),
3. die personenbezogenen Daten zeitgerecht zur Verfügung stehen und
ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
4. die personenbezogenen Daten ihrem Ursprung zugeordnet werden
können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten
in welcher Weise verarbeitet hat (Revisionsfähigkeit).
(3) Werden personenbezogene Daten nicht-automatisiert verarbeitet, sind
technische und organisatorische Maßnahmen zu treffen, um insbesondere
den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem
Transport und der Vernichtung zu verhindern.
(4) 1 Vor der Entscheidung über die Einführung oder die wesentliche Änderung
eines automatisierten Verfahrens, mit dem personenbezogene Daten
verarbeitet werden sollen, haben die Daten verarbeitenden Stellen zu
untersuchen, ob und in welchem Umfang mit der Nutzung dieses Verfahrens
Gefahren für die Rechte der Betroffenen verbunden sind. 2 Die Einführung
und die wesentliche Änderung eines automatisierten Verfahrens
sind nur zulässig, soweit derartige Gefahren durch technische und organisatorische
Maßnahmen wirksam beherrscht werden können, es sei denn,
dass solche Maßnahmen gemäß Absatz 1 Satz 2 nicht erforderlich sind.
3 Ergibt die Untersuchung, dass von einem Verfahren eine besondere Gefährdung
für die Rechte der Betroffenen ausgeht, so ist das Ergebnis der
Untersuchung vor der Einführung oder wesentlichen Änderung des Verfahrens
der bzw. dem behördlichen Datenschutzbeauftragten oder, falls keine
behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter
bestellt wurde, der bzw. dem Hamburgischen Beauftragten
für Datenschutz und Informationsfreiheit zur Stellungnahme zuzuleiten.
§9
Verfahrensbeschreibung
(1) 1 Die Daten verarbeitende Stelle legt in einer laufend auf dem neuesten
Stand zu haltenden Verfahrensbeschreibung für jedes automatisierte Verfahren,
mit dem personenbezogene Daten verarbeitet werden sollen, fest
1. den Namen und die Anschrift der Daten verarbeitenden Stelle,
2. die Bezeichnung des Verfahrens und seine Zweckbestimmungen,
15

3. die Art der verarbeiteten Daten sowie die Rechtsgrundlage ihrer Verarbeitung
oder die Ziele, zu deren Erfüllung die Kenntnis dieser Daten
erforderlich ist,
4. den Kreis der Betroffenen,
5. die Empfängerinnen oder Empfänger oder den Kreis der Empfängerinnen
und Empfänger, die Daten erhalten können,
6. eine beabsichtigte Datenübermittlung nach § 17 Absätze 2 und 3,
7. Fristen für die Sperrung und Löschung der Daten,
8. die technischen und organisatorischen Maßnahmen nach § 8,
9. die Art der Geräte, die Stellen, bei denen sie aufgestellt sind sowie das
Verfahren zur Übermittlung, Sperrung, Löschung, Auskunftserteilung
und Benachrichtigung.
2 Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 für mehrere
gleichartige Verfahren in einer Verfahrensbeschreibung zusammenfassen.
(2) Absatz 1 gilt nicht für Verfahren,
1. deren einziger Zweck das Führen eines Registers ist, das zur Information
der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offen steht,
2. die der Unterstützung der allgemeinen Bürotätigkeit dienen, insbesondere
Verfahren der Textverarbeitung, Vorgangsverwaltung, Terminüberwachung
und der Führung von Adress-, Telefon und vergleichbaren Verzeichnissen,
soweit sie keine Beeinträchtigung der Rechte Betroffener
erwarten lassen.
(3) 1 Daten verarbeitende Stellen, die keine behördlichen Datenschutzbeauftragten
bestellt haben, übersenden ihre Verfahrensbeschreibungen
und deren Änderungen unverzüglich, jedenfalls aber vor der Einführung
oder wesentlichen Änderung eines Verfahrens an die Hamburgische
Beauftragte bzw. den Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit. 2 Die Verfahrensbeschreibungen können bei der
Daten verarbeitenden Stelle von jeder Person eingesehen werden; für die
Angaben nach Absatz 1 Satz 1 Nummern 8 und 9 gilt dies nur, soweit dadurch
die Sicherheit des Verfahrens nicht beeinträchtigt wird. 3 Satz 2 gilt
nicht für die Verfahrensbeschreibungen der in § 23 Absatz 6 genannten
Stellen.
§10
Durchführung des Datenschutzes
1 Die in § 2 Absatz 1 Satz 1 genannten Stellen haben die Ausführung dieses
Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz jeweils
16

für ihren Geschäftsbereich sicherzustellen. 2 Sie haben insbesondere
dafür zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,
mit deren Hilfe personenbezogene Daten verarbeitet
werden sollen, überwacht wird. 3 Der Senat kann die Überwachung
nach Satz 2 für die Stellen der Freien und Hansestadt Hamburg einer anderen
Stelle zuweisen, wenn die Überwachung besondere Fachkenntnisse
hinsichtlich der verwendeten Datenverarbeitungssysteme erfordert.
§10 a
Behördliche Datenschutzbeauftragte bzw.
behördlicher Datenschutzbeauftragter
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen können eine behördliche
Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten
bestellen. 2 Die Bestellung einer oder eines Beschäftigten einer anderen
in § 2 Absatz 1 Satz 1 genannten Stelle ist zulässig.
(2) Zu behördlichen Datenschutzbeauftragten dürfen nur Personen bestellt
werden, die die zur Aufgabenerfüllung erforderliche Fachkunde und Zuverlässigkeit
besitzen.
(3) 1 Die Bestellung kann in entsprechender Anwendung von § 626 des Bürgerlichen
Gesetzbuchs widerrufen werden. 2 Vor der Entscheidung über
den Widerruf sind die bzw. der behördliche Datenschutzbeauftragte sowie
die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
zu hören.
(4) 1 Die behördlichen Datenschutzbeauftragten können sich unmittelbar
an die Leitung der Daten verarbeitenden Stelle wenden. 2 Sie sind bei ihrer
Tätigkeit weisungsfrei und dürfen wegen der Erfüllung ihrer Aufgaben nicht
benachteiligt werden. 3 Sie sind in erforderlichem Umfang von der Erfüllung
anderer Aufgaben freizustellen und bei der Erfüllung ihrer Aufgaben
zu unterstützen.
(5) 1 Die behördlichen Datenschutzbeauftragten haben die Aufgabe, die
Daten verarbeitenden Stellen und deren Personalvertretungen in der Ausführung
dieses Gesetzes sowie anderer Vorschriften über den Datenschutz
zu unterstützen. 2 Sie können sich zu diesem Zweck jederzeit unmittelbar
an die Hamburgische Beauftragte bzw. den Hamburgischen Beauftragten
für Datenschutz und Informationsfreiheit wenden. 3 Zu ihren Aufgaben
gehört es insbesondere,
1. auf die Umsetzung und Einhaltung von Vorschriften über den Datenschutz
hinzuwirken,
17

2. die nach § 9 Absatz 1 zu erstellenden Verfahrensbeschreibungen zu
führen und zur Einsicht nach § 9 Absatz 3 bereitzuhalten,
3. das Ergebnis der Untersuchung nach § 8 Absatz 4 zu prüfen und im
Zweifelsfall die Hamburgische Beauftragte bzw. den Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit zu hören.
4 Soweit Rechtsvorschriften nicht entgegenstehen, können sie die zur
Erfüllung ihrer Aufgaben erforderliche Einsicht in alle Unterlagen und
Akten und die automatisierte Datenverarbeitung nehmen.
(6) Betroffene und Beschäftigte der Daten verarbeitenden Stellen können
sich in allen Angelegenheiten des Datenschutzes jederzeit unmittelbar an
die behördlichen Datenschutzbeauftragten wenden; niemand darf deswegen
gemaßregelt oder benachteiligt werden.
(7) 1 Die behördlichen Datenschutzbeauftragten sind, auch nach Beendigung
ihrer Tätigkeit, zur Verschwiegenheit über die Identität Betroffener
und Beschäftigter, die sich an sie gewandt haben, sowie über Umstände,
die Rückschlüsse auf diese Personen zulassen, verpflichtet. 2 Dies gilt
nicht, soweit die Betroffenen oder Beschäftigten sie von der Pflicht zur Verschwiegenheit
entbunden haben oder eine Übermittlung der Daten nach
Absatz 5 Satz 2 erforderlich ist.
(8) Die in § 2 Absatz 1 Satz 1 genannten Stellen melden die Bestellung und
den Widerruf der Bestellung oder die sonstige Beendigung des Amtes
behördlicher Datenschutzbeauftragter unverzüglich der bzw. dem Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit.
§11
Automatisiertes Abrufverfahren
(1) Ein automatisiertes Verfahren zum Abruf personenbezogener Daten
durch Dritte darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies
ausdrücklich zulässt.
(2) 1 Der Senat wird ermächtigt, die Einrichtung automatisierter Abrufverfahren
durch Rechtsverordnung zuzulassen. 2 Die bzw. der Hamburgische
Beauftragte für Datenschutz und Informationsfreiheit ist vorher zu hören.
3 Ein solches Verfahren ist nur zulässig, wenn dies unter Berücksichtigung
der schutzwürdigen Belange der Betroffenen und der Aufgaben der beteiligten
Stellen angemessen ist. 4 Die Verordnung hat die abrufende Stelle,
die Datenart und den Zweck des Abrufs festzulegen. 5 Sie hat technische
und organisatorische Maßnahmen und Maßnahmen zur Datenschutzkontrolle
vorzusehen, die in einem angemessenen Verhältnis zu dem ange-
18

strebten Schutzzweck stehen. 6 Die Vorschriften über die Zulässigkeit des
einzelnen Abrufs bleiben unberührt.
(3) 1 Die Einrichtung eines automatisierten Abrufverfahrens innerhalb einer
Daten verarbeitenden Stelle bedarf der Zulassung durch die Leiterin bzw.
den Leiter der Stelle, wenn die Einheit, die die Daten zum Abruf bereithält,
und die abrufende Einheit unterschiedliche Aufgaben wahrnehmen. 2 Für
die Zulassung findet Absatz 2 Sätze 2 bis 6 entsprechende Anwendung.
(4) Personenbezogene Daten dürfen für Stellen außerhalb des öffentlichen
Bereichs zum automatisierten Abruf nicht bereitgehalten werden; dies gilt
nicht für Betroffene.
(5) Die Absätze 1 bis 4 gelten nicht für Datenbestände, die jeder oder jedem
ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder
deren Veröffentlichung zulässig wäre.
§11 a
Gemeinsame und verbundene automatisierte Dateien
(1) 1 Die Einrichtung gemeinsamer oder verbundener automatisierter Dateien,
in oder aus denen mehrere Daten verarbeitende Stellen personenbezogene
Daten verarbeiten sollen, bedarf der ausdrücklichen Zulassung
durch eine Rechtsvorschrift. 2 Der Senat wird ermächtigt, die Einrichtung
automatisierter Dateien im Sinne des Satzes 1 durch Rechtsverordnung
zuzulassen. 3 § 11 Absatz 2 Sätze 2, 3 und 5 und Absatz 5 gilt entsprechend.
4 Die Verordnung hat die Art der zu verarbeitenden Daten, die Stellen,
die in der gemeinsamen Datei oder in verbundenen Dateien Daten verarbeiten
dürfen, sowie den Umfang ihrer Verarbeitungsbefugnis anzugeben
und festzulegen, welche Stelle die datenschutzrechtliche Verantwortung
gegenüber den Betroffenen trägt und die technischen und
organisatorischen Maßnahmen trifft. 5 Die Vorschriften über die Zulässigkeit
der lesenden und schreibenden Datenverarbeitung im Einzelnen bleiben
unberührt.
(2) 1 Innerhalb einer Daten verarbeitenden Stelle bedarf die Einrichtung gemeinsamer
oder verbundener automatisierter Dateien, mit denen personenbezogene
Daten aus unterschiedlichen Aufgabengebieten verarbeitet
werden sollen, der Zulassung durch die Leiterin bzw. den Leiter der Stelle.
2 Für die Zulassung gilt Absatz 1 Sätze 3 bis 5 entsprechend.
19

ZWEITER ABSCHNITT
Rechtsgrundlagen der Datenverarbeitung
§12
Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis
zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist.
(2) 1 Personenbezogene Daten sollen bei den Betroffenen mit ihrer Kenntnis
erhoben werden. 2 Werden Daten nicht über einzelne Betroffene, sondern
über einen bestimmbaren Personenkreis erhoben, so genügt es,
wenn die Betroffenen in zumutbarer Weise von der Datenerhebung Kenntnis
nehmen können. 3 Bei anderen Stellen dürfen personenbezogene
Daten unter den in § 13 Absatz 2 Satz 1 genannten Voraussetzungen erhoben
werden. 4 Bei Betroffenen dürfen Daten ohne ihre Kenntnis nur erhoben
werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt
oder der Schutz von Leben oder Gesundheit oder die Abwehr
einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies
erforderlich macht. 5 Durch die Art und Weise des Erhebens dürfen
schutzwürdige Interessen der Betroffenen nicht beeinträchtigt werden.
§ 12 a
Unterrichtung bei der Erhebung
(1) 1 Werden Daten bei Betroffenen mit ihrer Kenntnis erhoben, so sind sie,
sofern sie nicht bereits auf andere Weise Kenntnis erlangt haben, von der
Daten verarbeitenden Stelle über
1. die Zweckbestimmungen der Datenverarbeitung und
2. die Empfängerinnen oder Empfänger oder den Kreis der Empfängerinnen
und Empfänger, soweit die Betroffenen nach den Umständen des
Einzelfalls nicht damit rechnen müssen, dass diese die Daten erhalten,
aufzuklären. 2 Werden die Daten auf Grund einer Rechtsvorschrift erhoben,
so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 3
Soweit eine Auskunftspflicht besteht oder die Angaben Voraussetzung für
die Gewährung von Rechtsvorteilen sind, sind die Betroffenen hierauf,
sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. 4 Werden die Daten
schriftlich oder zur Niederschrift erhoben, so sollen die Betroffenen auch
über bestehende Auskunfts- und Berichtigungsrechte aufgeklärt werden.
(2) 1 Werden Daten bei Dritten oder bei Betroffenen ohne ihre Kenntnis
erhoben, so sind die Betroffenen, sofern sie nicht bereits auf andere Weise
Kenntnis erlangt haben, von der Daten verarbeitenden Stelle bei Beginn
20

der Speicherung in einer Datei (§ 4 Absatz 6) oder im Fall einer beabsichtigten
Übermittlung spätestens bei deren erster Durchführung zu benachrichtigen
und dabei
1. die Art der erhobenen Daten,
2. die Zweckbestimmungen der Datenverarbeitung und
3. die Empfängerinnen oder Empfänger oder der Kreis der Empfängerinnen
und Empfänger, soweit die Betroffenen nach den Umständen des
Einzelfalls nicht damit rechnen müssen, dass diese die Daten erhalten,
anzugeben. 2 Bei schriftlicher Benachrichtigung sind die Betroffenen auch
über bestehende Auskunfts- und Berichtigungsrechte aufzuklären. 3 Dienen
die Daten der Erstellung einer Mitteilung an die Betroffenen, kann die
Benachrichtigung mit der Mitteilung verbunden werden.
(3) 1 Absatz 2 gilt nicht für die Verarbeitung personenbezogener Daten zur
Wahrnehmung von Aufgaben der Gefahrenabwehr und der Verfolgung von
Straftaten. 2 Er gilt ferner nicht, soweit
1. die Verarbeitung der Daten durch Gesetz ausdrücklich vorgesehen ist,
2. die Benachrichtigung der Betroffenen unmöglich ist oder einen unverhältnismäßigen
Aufwand erfordern würde,
3. die Benachrichtigung die ordnungsgemäße Erfüllung von Aufgaben der
Gefahrenabwehr oder die Verfolgung von Straftaten oder berufsrechtlichen
Vergehen gefährden würde,
4. die Benachrichtigung die öffentliche Sicherheit oder die Sicherheit oder
ein wichtiges wirtschaftliches oder finanzielles Interesse des Bundes
oder eines Landes gefährden würde oder
5. die personenbezogenen Daten oder die Tatsache ihrer Speicherung
nach einer Rechtsvorschrift oder wegen überwiegender schutzwürdiger
Interessen der Betroffenen oder Dritter geheim gehalten werden müssen.
3 Vor der Entscheidung, nach Satz 2 Nummer 1 oder 2 von einer Benachrichtigung
abzusehen, ist die bzw. der behördliche Datenschutzbeauftragte
oder, falls keine behördliche Datenschutzbeauftragte bzw. kein
behördlicher Datenschutzbeauftragter bestellt wurde, der bzw. die Hamburgische
Beauftragte für Datenschutz und Informationsfreiheit zu hören,
wenn sich die Entscheidung auf eine Vielzahl von Einzelfällen auswirkt.
(4) 1 Werden Daten bei Dritten außerhalb des öffentlichen Bereichs auf
Grund einer Rechtsvorschrift erhoben, so sind diese in geeigneter Weise
über die Rechtsvorschrift aufzuklären. 2 Soweit eine Auskunftspflicht besteht
oder die Angaben Voraussetzung für Gewährung von Rechtsvorteilen
21

sind, sind sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
§13
Zulässigkeit der weiteren Datenverarbeitung; Zweckbindung
(1) 1 Die weitere Datenverarbeitung ist zulässig, wenn sie
1. erforderlich ist zur Erfüllung der Aufgaben der öffentlichen Stelle und
2. den Zwecken dient, für die die Daten erhoben wurden.
2 Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat oder die
bei ihr neu entstanden sind, dürfen für Zwecke verarbeitet werden, für die
sie erstmals gespeichert worden sind.
(2) 1 Die Datenverarbeitung für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies erlaubt oder die Wahrnehmung einer durch
Gesetz oder Rechtsverordnung begründeten Aufgabe die Verarbeitung
dieser Daten zwingend voraussetzt,
2. bei Teilnahme am Privatrechtsverkehr oder zur Durchsetzung öffentlichrechtlicher
Geldforderungen ein rechtliches Interesse an der Kenntnis
der zu verarbeitenden Daten vorliegt und kein Grund zu der Annahme
besteht, dass das schutzwürdige Interesse der Betroffenen an der
Geheimhaltung überwiegt,
3. Angaben der Betroffenen überprüft werden müssen, weil tatsächliche
Anhaltspunkte dafür bestehen, dass sie unrichtig sind,
4. hierdurch erhebliche Nachteile für das Gemeinwohl oder schwer wiegende
Beeinträchtigungen von gewichtigen Rechtspositionen Einzelner
verhindert oder beseitigt werden sollen,
5. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung
oder zum Vollzug von Strafen oder von Maßnahmen im Sinne
des § 11 Absatz 1 Nummer 8 des Strafgesetzbuches oder von Erziehungsmaßregeln
oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes
oder zur Erledigung eines gerichtlichen Auskunftsersuchens erforderlich
ist und gesetzliche Regelungen nicht entgegenstehen,
6. die Einholung der Einwilligung der Betroffenen nicht möglich ist oder mit
unverhältnismäßigem Aufwand verbunden wäre, aber offensichtlich ist,
dass es in ihrem Interesse liegt und sie in Kenntnis des anderen Zwecks
ihre Einwilligung erteilen würden,
7. die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen
worden sind oder entnommen werden können oder die Daten verarbeitende
Stelle sie veröffentlichen dürfte, es sei denn, dass schutzwürdige
Interessen der Betroffenen offensichtlich entgegenstehen oder,
22

8. sie der Bearbeitung von Eingaben sowie Kleinen oder Großen Anfragen
dient und überwiegende schutzwürdige Interessen der Betroffenen
nicht entgegenstehen.
2 Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen
Amtsgeheimnis und sind sie der öffentlichen Stelle von der zur Verschwiegenheit
verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht
zur Verfügung gestellt worden, findet Satz 1 Nummern 2 bis 8 keine
Anwendung.
(3) 1 Eine Datenverarbeitung zu anderen Zwecken liegt nicht vor, wenn sie
der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung
oder der Durchführung von Organisationsuntersuchungen
dient. 2 Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken,
soweit nicht schutzwürdige Interessen der Betroffenen an der
Geheimhaltung der Daten offensichtlich überwiegen.
§14
Übermittlung innerhalb des öffentlichen Bereichs
(1) 1 Die Übermittlung personenbezogener Daten an andere öffentliche
Stellen ist zulässig, wenn sie zur Erfüllung der Aufgaben der übermittelnden
oder der Stelle, der die Daten übermittelt werden, erforderlich ist und
die Voraussetzungen des § 13 erfüllt sind. 2 Die Übermittlung ist ferner
zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der
Beteiligung mehrerer öffentlicher Stellen bedarf.
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden
dürfen, weitere personenbezogene Daten von Betroffenen oder von
Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit
unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser
Daten zulässig, soweit nicht schutzwürdige Interessen der Betroffenen
oder Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung
dieser Daten ist unzulässig.
(3) 1 Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle. 2 Erfolgt die Übermittlung auf Grund eines Ersuchens der
Stelle, der die Daten übermittelt werden sollen, so hat die übermittelnde
Stelle von den in die Sphäre der ersuchenden Stelle fallenden Übermittlungsvoraussetzungen
lediglich zu prüfen, ob das Übermittlungsersuchen
im Rahmen der Aufgaben der ersuchenden Stelle liegt. 3 Die Rechtmäßigkeit
des Ersuchens prüft sie nur, wenn im Einzelfalll hierzu Anlass besteht;
die ersuchende Stelle hat ihr die für diese Prüfung erforderlichen Angaben
zu machen. 4 Erfolgt die Übermittlung durch Abruf in einem automatisier-
23

ten Verfahren (§§ 11, 11 a), trägt die abrufende Stelle die Verantwortung für
die Rechtmäßigkeit des Abrufs.
(4) Absatz 2 gilt entsprechend, wenn personenbezogene Daten innerhalb
einer öffentlichen Stelle weitergegeben werden.
§15
Übermittlung an öffentlich-rechtliche Religionsgesellschaften
Die Übermittlung personenbezogener Daten an Stellen der öffentlichrechtlichen
Religionsgesellschaften ist in entsprechender Anwendung der
Vorschriften über die Datenübermittlung an öffentliche Stellen zulässig,
sofern sichergestellt ist, dass bei der Stelle, der die Daten übermittelt werden,
ausreichende Datenschutzmaßnahmen getroffen sind.
§16
Übermittlung an Stellen außerhalb des öffentlichen Bereichs
(1) 1 Die Übermittlung personenbezogener Daten an Stellen außerhalb des
öffentlichen Bereichs ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle
liegenden Aufgaben erforderlich ist und die Voraussetzungen des § 13
Absatz 1 vorliegen,
2. die Voraussetzungen des § 13 Absatz 2 Satz 1 Nummern 1, 4, 6, 7 oder
8 vorliegen und die Daten nicht einem nach § 13 Absatz 2 Satz 2 zu
wahrenden Berufs- oder Amtsgeheimnis unterliegen,
3. die Stelle, der die Daten übermittelt werden sollen, ein rechtliches
Interesse an deren Kenntnis glaubhaft macht und kein Grund zu der
Annahme besteht, dass schutzwürdige Interessen der Betroffenen an
der Geheimhaltung überwiegen,
4. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse
geltend gemacht wird und die Betroffenen in diesen Fällen der Übermittlung
nicht widersprochen haben.
2 In den Fällen des Satzes 1 Nummer 4 sind die Betroffenen über die beabsichtigte
Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck
in geeigneter Weise zu unterrichten.
(2) Die Stelle, der die Daten übermittelt werden, ist darauf hinzuweisen,
dass sie sie nur zur Verarbeitung für den Zweck erhält, zu dem sie ihr übermittelt
werden.
(3) Die Betroffenen können verlangen, dass die Übermittlung nach Absatz
1 Satz 1 Nummer 2 in Verbindung mit § 13 Absatz 2 Satz 1 Nummer 6
24

sowie nach Absatz 1 Satz 1 Nummern 3 und 4 gesperrt wird, wenn sie ein
schutzwürdiges Interesse an der Sperrung darlegen.
§17
Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland
(1) Die Übermittlung personenbezogener Daten in Mitgliedstaaten der
Europäischen Union sowie an Organe und Einrichtungen der Europäischen
Union ist unter den Voraussetzungen der §§ 14, 16 und 28 zulässig.
(2) 1 Die Übermittlung personenbezogener Daten in Staaten außerhalb der
Europäischen Union und an über- oder zwischenstaatliche Stellen ist unter
den Voraussetzungen der §§ 14, 16 und 28 zulässig, wenn in dem Staat
außerhalb der Europäischen Union oder bei der über- oder zwischenstaatlichen
Stelle ein angemessenes Schutzniveau gewährleistet ist. 2 Die
Angemessenheit des Schutzniveaus ist unter Berücksichtigung aller Umstände
zu beurteilen, die bei der Datenübermittlung von Bedeutung sind,
insbesondere der Art der Daten, der Zweckbestimmung und Dauer ihrer
geplanten Verarbeitung, des Herkunfts- und des Endbestimmungslandes
sowie der anwendbaren Rechtsvorschriften, Standesregeln und Sicherheitsmaßnahmen.
(3) 1 Ist in Staaten außerhalb der Europäischen Union oder bei über- oder
zwischenstaatlichen Stellen
kein angemessenes Schutzniveau gewährleistet, so ist die Übermittlung
personenbezogener Daten nur zulässig, soweit
1. die Betroffenen eingewilligt haben,
2. die Übermittlung zur Wahrung eines überwiegenden öffentlichen Interesses
oder zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen vor Gericht erforderlich ist,
3. die Übermittlung zur Wahrung lebenswichtiger Interessen der Betroffenen
erforderlich ist oder
4. die Übermittlung aus einem Register erfolgt, das zur Information der
Öffentlichkeit bestimmt ist oder das allen Personen, die ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offen steht, soweit
die gesetzlichen Voraussetzungen im Einzelfall erfüllt sind.
2 Darüber hinaus ist die Übermittlung unter den Voraussetzungen der
§§ 14, 16 und 28 zulässig, wenn die Stelle, der die Daten übermittelt werden
sollen, ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts
der Betroffenen und der damit verbundenen Rechte bietet;
die Garantien können sich insbesondere aus vertraglichen Vereinbarungen
ergeben. 3 Die Übermittlung bedarf in diesem Falle der Zulassung
25

durch die Leiterin bzw. den Leiter der übermittelnden Stelle. 4 Die Hamburgische
Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit ist vorher zu hören. 5 Zugelassene Übermittlungen
sind der zuständigen Behörde mitzuteilen.
(4) § 16 Absatz 2 gilt entsprechend.
DRITTER ABSCHNITT
Rechte der Betroffenen
§18
Auskunft
(1) 1 Den Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag
gebührenfrei Auskunft zu erteilen über
1. die zu ihrer Person gespeicherten Daten,
2. die Zweckbestimmungen und die Rechtsgrundlage der Speicherung,
3. die Herkunft der Daten und die Empfängerinnen oder Empfänger oder
den Kreis der Empfängerinnen und Empfänger; dies gilt nicht für Empfängerinnen
und Empfänger, die die Daten im Einzelfall zur Verfolgung
von Straftaten, Ordnungswidrigkeiten oder berufsrechtlichen Vergehen
erhalten,
4. die an einem automatisierten Abrufverfahren teilnehmenden Stellen,
5 in den Fällen des § 5 a den logischen Aufbau der automatisierten Verarbeitung
der sie betreffenden Daten,
auch soweit diese Angaben nicht zu ihrer Person gespeichert sind, aber mit
vertretbarem Aufwand festgestellt werden können. 2 Die Betroffenen sollen
die Art der personenbezogenen Daten, über die sie Auskunft verlangen,
näher bezeichnen. 3 Aus Akten ist den Betroffenen Auskunft zu erteilen, soweit
sie Angaben machen, die das Auffinden der Daten ermöglichen, und
der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis
zum Auskunftsinteresse der Betroffenen steht. 4 Die Daten verarbeitende
Stelle bestimmt die Form der Auskunftserteilung nach pflichtgemäßem
Ermessen; die Auskunft kann auch in der Form erteilt werden,
dass dem Betroffenen Akteneinsicht gewährt oder ein Ausdruck aus automatisierten
Dateien überlassen wird. 5 § 29 des Hamburgischen Verwaltungsverfahrensgesetzes
bleibt unberührt.
(2) Die Verpflichtung zur Auskunftserteilung gilt nicht für die personenbezogenen
Daten, die nur deshalb als gesperrte Daten gespeichert sind, weil
sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht
26

werden dürfen, sowie für solche Daten, die ausschließlich zum Zwecke der
Datensicherung oder der Datenschutzkontrolle gespeichert sind.
(3) Die Auskunftserteilung unterbleibt, soweit die Voraussetzungen für das
Absehen von einer Benachrichtigung nach § 12 a Absatz 3 Satz 2 Nummern
3 bis 5 vorliegen oder die Daten ausschließlich für Zwecke der
wissenschaftlichen Forschung oder der Statistik verarbeitet werden.
(4) 1 Einer Begründung für die Auskunftsverweigerung bedarf es nur insoweit
nicht, als durch die Mitteilung der Gründe der mit der Auskunftsverweigerung
verfolgte Zweck gefährdet würde. 2 In diesem Fall sind die wesentlichen
Gründe für die Entscheidung aufzuzeichnen.
(5) 1 Bezieht sich die Auskunft auf die Herkunft von personenbezogenen
Daten von Behörden des Verfassungsschutzes, der Staatsanwaltschaft
und der Polizei, von Landesfinanzbehörden, soweit diese personenbezogene
Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich
der Abgabenordnung zur Überwachung und Prüfung speichern,
sowie von den in § 19 Absatz 3 des Bundesdatenschutzgesetzes genannten
Behörden, ist sie nur mit Zustimmung dieser Stellen zulässig. 2 Gleiches
gilt, soweit sich die Auskunft auf die Übermittlung personenbezogener
Daten an diese Behörden bezieht. 3 Für die Versagung der Zustimmung
gelten, soweit dieses Gesetz auf die genannten Behörden Anwendung
findet, die Absätze 3 und 4 entsprechend.
(6) Wird die Auskunft nicht gewährt, so sind die Betroffenen darauf hinzuweisen,
dass sie sich an die Hamburgische Beauftragte bzw. den Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit wenden
können.
§19
Berichtigung, Sperrung und Löschung
(1) 1 Personenbezogene Daten sind unverzüglich zu berichtigen, wenn sie
unrichtig sind. 2 Sind Daten außerhalb automatisierter Dateien zu berichtigen,
reicht es aus, in geeigneter Weise kenntlich zu machen, zu welchem
Zeitpunkt oder aus welchem Grund diese Daten unrichtig waren oder
unrichtig geworden sind.
(2) 1 Personenbezogene Daten sind zu sperren, wenn
1. ihre Richtigkeit von den Betroffenen bestritten wird und sich weder die
Richtigkeit noch die Unrichtigkeit feststellen lässt,
2. in den Fällen des Absatzes 3 Grund zu der Annahme besteht, dass
durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt
27

würden, oder wenn Betroffene an Stelle der Löschung die Sperrung
verlangen,
3. sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle
gespeichert sind.
2 Satz 1 Nummer 1 gilt nicht, wenn personenbezogene Daten in Akten gespeichert
sind; in diesen Fällen ist in den Akten lediglich zu vermerken,
dass die Daten von den Betroffenen bestritten worden sind. 3 Gesperrte
Daten sind als solche zu kennzeichnen. 4 Ohne Einwilligung der Betroffenen
dürfen sie nur weiterverarbeitet werden, wenn es zu wissenschaftlichen
Zwecken, zur Behebung einer bestehenden Beweisnot oder aus
sonstigen im überwiegenden Interesse der Daten verarbeitenden Stelle
oder Dritter liegenden Gründen unerlässlich ist und die Voraussetzungen
des § 13 oder des § 27 vorliegen.
(3) 1 Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die Daten verarbeitende Stelle zur Erfüllung ihrer
Aufgaben nicht mehr erforderlich ist.
2 Sind personenbezogene Daten in Akten gespeichert, ist die Löschung
nach Satz 1 Nummer 2 nur durchzuführen, wenn die gesamte Akte zur Aufgabenerfüllung
nicht mehr erforderlich ist; soweit hiernach eine Löschung
nicht in Betracht kommt, sind die personenbezogenen Daten zu sperren.
(4) Abgesehen von den Fällen des Absatzes 3 Satz 1 Nummer 1 sind die
Daten vor einer Löschung dem zuständigen öffentlichen Archiv nach Maßgabe
des § 3 des Hamburgischen Archivgesetzes vom 21. Januar 1991
(HmbGVBl. S. 7), geändert am 30. Januar 2001 (HmbGVBl. S. 9, 16), in
seiner jeweiligen Fassung anzubieten.
(5) 1 Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener
oder unzulässig gespeicherter Daten und der Löschung unzulässig gespeicherter
Daten sind unverzüglich die Stellen zu verständigen, denen
die Daten übermittelt worden sind; die Verständigung kann unterbleiben,
wenn sie einen unverhältnismäßigen Aufwand erfordern würde und
schutzwürdige Interessen der Betroffenen nicht entgegenstehen. 2 Im
Übrigen liegt die Verständigung im pflichtgemäßen Ermessen der Daten
verarbeitenden Stelle.
(6) In automatisierten Dateien gespeicherte Daten sind regelmäßig alle vier
Jahre auf ihre Erforderlichkeit hin zu überprüfen und die Datenbestände
gemäß Absatz 3 zu bereinigen.
28

§20
Schadensersatz
(1) 1 Werden Betroffene durch eine unzulässige oder unrichtige Datenverarbeitung
in ihren schutzwürdigen Belangen beeinträchtigt, so hat ihnen
der Träger der in § 2 Absatz 1 Satz 1 genannten Stelle den daraus entstehenden
Schaden zu ersetzen. 2 In schweren Fällen können Betroffene
auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige
Entschädigung in Geld verlangen. 3 Die Ersatzpflicht tritt nicht ein, soweit
die Daten verarbeitende Stelle den Umstand, durch den der Schaden eingetreten
ist, nicht zu vertreten hat. 4 Beruht der Schaden auf einer unzulässigen
oder unrichtigen automatisierten Datenverarbeitung, so tritt die Ersatzpflicht
auch im Falle des Satzes 3 ein, beschränkt sich jedoch in diesem
Falle gegenüber jeder betroffenen Person auf zweihundertfünfzigtausend
Euro für jedes schädigende Ereignis.
(2) Auf das Mitverschulden von Verletzten sind § 254, § 839 Absatz 3 des
Bürgerlichen Gesetzbuches und auf die Verjährung die für unerlaubte
Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs
entsprechend anzuwenden.
(3) Weitergehende sonstige Schadensersatzansprüche bleiben unberührt.
VIERTER ABSCHNITT
Die bzw. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit
§21
Berufung
(1) 1 Auf Vorschlag des Senats wählt die Bürgerschaft eine Hamburgische
Beauftragte bzw. einen Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit; die Wiederwahl ist einmal zulässig. 2 Die bzw. der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit muss
die Befähigung zum Richteramt oder zum höheren Verwaltungsdienst
haben und die zur Erfüllung ihrer bzw. seiner Aufgaben erforderliche
Fachkunde besitzen. 3 Sie bzw. er muss bei ihrer bzw. seiner Bestellung
das 35. Lebensjahr vollendet haben.
(2) Der Senat bestellt die Hamburgische Beauftragte bzw. den Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit für eine
Amtszeit von sechs Jahren.
(3) 1 Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit ist verpflichtet, das Amt bis zur
29

Bestellung einer Nachfolgerin oder eines Nachfolgers weiterzuführen; die
Amtszeit gilt als entsprechend verlängert. 2 Kommt die bzw. der Hamburgische
Beauftragte für Datenschutz und Informationsfreiheit der Verpflichtung
nach Satz 1 nicht nach, ist sie bzw. er zu entlassen.
§22
Rechtsstellung
(1) 1 In Ausübung des Amtes ist die bzw. der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit unabhängig und nur dem Gesetz unterworfen.
2 Sie bzw. er untersteht der Dienstaufsicht des Senats, soweit
nicht ihre bzw. seine Unabhängigkeit beeinträchtigt wird. 3 Insoweit sind die
für Berufsrichterinnen und Berufsrichter geltenden Vorschriften entsprechend
anzuwenden.
(2) 1 Der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
wird die zur Aufgabenerfüllung notwendige Personal- und
Sachausstattung vom Senat im Rahmen der haushaltsmäßigen Bestimmungen
zur Verfügung gestellt. 2 Die Stellen werden auf Vorschlag der
oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
besetzt. 3 Die Mitarbeiterinnen und Mitarbeiter können nur im Einvernehmen
mit ihr bzw. ihm versetzt oder abgeordnet werden. 4 Die Hamburgische
Beauftragte bzw. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit ist Dienstvorgesetzte bzw. Dienstvorgesetzter
ihrer bzw. seiner Mitarbeiterinnen und Mitarbeiter; diese sind in
ihrer Tätigkeit nach diesem Gesetz nur an ihre bzw. seine Weisungen
gebunden.
(3) 1 Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit bestimmt eine Mitarbeiterin oder
einen Mitarbeiter zur Vertreterin bzw. zum Vertreter. 2 Diese bzw. dieser
nimmt die Befugnisse der oder des Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit im Falle von deren bzw. dessen Verhinderung
wahr. 3 Dauert die Verhinderung länger als zwei Monate, so kann
der Senat eine Person mit der Wahrnehmung der Geschäfte beauftragen;
die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
soll hierzu gehört werden. 4 Endet das Amtsverhältnis der bzw. des
Hamburgischen Datenschutzbeauftragten, gelten Satz 2 und Satz 3 erster
Halbsatz bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers
entsprechend.
(4) Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung
sowie oberste Aufsichtsbehörde im Sinne des § 99 der Verwal-
30

tungsgerichtsordnung, des § 119 des Sozialgerichtsgesetzes sowie des
§ 86 der Finanzgerichtsordnung und trifft die Entscheidungen nach § 46
des Hamburgischen Beamtengesetzes (HmbBG) vom 15. Dezember 2009
(HmbGVBl. S. 405), zuletzt geändert am 11. Mai 2010 (HmbGVBl. S. 346,
348), in der jeweils geltenden Fassung für sich und die bei ihr bzw. bei ihm
beschäftigten Bediensteten.
§23
Aufgaben
(1) 1 Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit überwacht bei den in § 2 Absatz 1
Satz 1 genannten Stellen und bei anderen Stellen, soweit sie sich auf
Grund gesetzlicher Vorschriften ihrer bzw. seiner Überwachung unterworfen
haben, die Einhaltung der Vorschriften dieses Gesetzes sowie anderer
Vorschriften über den Datenschutz. 2 Die Bürgerschaft, die Gerichte und
der Rechnungshof unterliegen der Überwachung durch die Hamburgische
Beauftragte bzw. den Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit nur, soweit sie in Verwaltungsangelegenheiten tätig
werden; die Einschränkung gilt nicht für Gerichtsvollzieherinnen und Gerichtsvollzieher.
3 Bei den Gerichten und beim Rechnungshof überwacht
die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
darüber hinaus, ob die erforderlichen technischen und organisatorischen
Maßnahmen getroffen und eingehalten werden.
(2) Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
kann Empfehlungen zur Verbesserung des Datenschutzes
geben; insbesondere soll sie bzw. er den Senat und die übrigen in § 2 Absatz
1 Satz 1 genannten Stellen in Fragen des Datenschutzes beraten.
(3) 1 Auf Anforderung des Senats oder auf Verlangen eines Viertels der Abgeordneten
der Bürgerschaft hat die bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit Gutachten zu erstellen und Berichte
zu erstatten. 2 Außerdem erstattet sie bzw. er Senat und Bürgerschaft
mindestens alle zwei Jahre einen Tätigkeitsbericht. 3 Sie bzw. er kann sich
jederzeit an die Bürgerschaft wenden. 4 Schriftliche Äußerungen gegenüber
der Bürgerschaft sind gleichzeitig dem Senat vorzulegen. 5 Auf Ersuchen
des Senats geht die bzw. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit ferner Hinweisen auf Angelegenheiten und
Vorgänge nach, die ihren bzw. seinen Aufgabenbereich unmittelbar betreffen.
(4) 1 Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit soll zu den Auswirkungen der
31

Nutzung neuer Informations- und Kommunikationstechniken auf den Datenschutz
Stellung nehmen. 2 Sie bzw. er ist über Planungen neuer Anwendungen
zur Nutzung der Informations- und Kommunikationstechnik rechtzeitig
zu unterrichten, sofern dabei personenbezogene Daten verarbeitet
werden sollen.
(5) 1 Die in Absatz 1 Satz 1 genannten Stellen sind verpflichtet, die Hamburgische
Beauftragte bzw. den Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit und ihre bzw. seine Beauftragten bei der
Erfüllung ihrer Aufgaben zu unterstützen. 2 Ihnen ist dabei insbesondere
1. Auskunft zu ihren Fragen sowie die Einsicht in alle Unterlagen und
Akten zu gewähren, die im Zusammenhang mit der Verarbeitung personenbezogener
Daten stehen, namentlich in die gespeicherten Daten
und in die Datenverarbeitungsprogramme,
2. jederzeit Zutritt zu allen Diensträumen zu gewähren.
3 Gesetzliche Geheimhaltungsvorschriften können einem Auskunfts- oder
Einsichtsverlangen nicht entgegengehalten werden.
(6) 1 Absatz 5 Sätze 1 und 2 gilt für das Landesamt für Verfassungsschutz,
die Behörden der Staatsanwaltschaft und der Polizei sowie gegenüber Landesfinanzbehörden,
soweit sie personenbezogene Daten in Erfüllung ihrer
gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur
Überwachung und Prüfung speichern, mit der Maßgabe, dass die Unterstützung
nur der bzw. dem Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit selbst und den von ihr bzw. ihm schriftlich damit
betrauten Beauftragten zu gewähren ist. 2 Absatz 5 Satz 2 gilt für die genannten
Behörden nicht, soweit der Senat im Einzelfall feststellt, dass die
Einsicht in Akten die Sicherheit des Bundes oder eines Landes gefährdet.
§24
Aufsichtsbehörde zur Überwachung
nicht-öffentlicher Stellen und öffentlich-rechtlicher
Wettbewerbsunternehmen
Die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
ist Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes.
Auch über diesen Tätigkeitsbereich ist ein Bericht nach § 23 Absatz 3
Satz 2 zu erstatten.
§25
Beanstandungen
(1) 1 Stellt die bzw. der Hamburgische Beauftragte für Datenschutz und
Informationsfreiheit Verstöße gegen dieses Gesetz oder gegen andere Vor-
32

schriften über den Datenschutz oder sonstige Mängel bei der Datenverarbeitung
fest, so beanstandet sie bzw. er dies
1. im Bereich der Verwaltung und der Gerichte der Freien und Hansestadt
Hamburg gegenüber dem für die Behörde oder das Gericht verantwortlichen
Senatsmitglied,
2. im Bereich der Bezirksverwaltung gegenüber dem für die Aufsichtsbehörde
verantwortlichen Senatsmitglied, im Bereich der der Aufsicht
der Freien und Hansestadt Hamburg unterstehenden juristischen Personen
des öffentlichen Rechts und deren öffentlich-rechtlich organisierten
Einrichtungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten
Organ,
3. im Bereich der Bürgerschaft und des Rechnungshofs gegenüber der
jeweiligen Präsidentin bzw. dem jeweiligen Präsidenten
und fordert zur Behebung der Mängel und zur Stellungnahme innerhalb
einer von ihr bzw. ihm zu bestimmenden Frist auf. 2 Werden die Mängel
nicht fristgemäß behoben, richtet die Hamburgische Beauftragte bzw. der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit eine
weitere Beanstandung in den Fällen des Satzes 1 Nummer 1 an den Senat,
in den Fällen des Satzes 1 Nummer 2 an die zuständige Aufsichtsbehörde;
im Übrigen gilt Satz 1 entsprechend.
(2) Die Hamburgische Beauftragte bzw. der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit kann von einer Beanstandung absehen,
insbesondere wenn die Mängel von geringer Bedeutung sind, bereits
behoben sind oder ihre Behebung sichergestellt ist.
(3) Mit der Beanstandung kann die bzw. der Hamburgische Beauftragte für
Datenschutz und Informationsfreiheit Vorschläge zur Beseitigung der Mängel
und zur sonstigen Verbesserung des Datenschutzes verbinden.
(4) 1 Die gemäß Absatz 1 abzugebenden Stellungnahmen sollen auch eine
Darstellung der Maßnahmen enthalten, die auf Grund der Beanstandung
getroffen worden sind. 2 Die in Absatz 1 Satz 1 Nummer 2 genannten
Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer
Stellungnahme zu.
§26
Anrufung
(1) Jede Person kann sich an die Hamburgische Beauftragte bzw. den
Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbe-
33

zogenen Daten im Überwachungsbereich nach § 23 Absatz 1 in ihren
Rechten verletzt worden zu sein.
(2) 1 Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind,
den Verdacht aufkommen zu lassen, das Hamburgische Datenschutzgesetz
oder eine andere Rechtsvorschrift über den Datenschutz sei verletzt
worden, gemaßregelt oder benachteiligt werden. 2 Bedienstete der Freien
und Hansestadt Hamburg sind nicht verpflichtet, der bzw. dem Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit gegenüber
den Dienstweg einzuhalten.
FÜNFTER ABSCHNITT
Besondere Vorschriften über den Datenschutz
§27
Datenverarbeitung zum Zwecke wissenschaftlicher Forschung
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene
Daten ohne Einwilligung der Betroffenen für ein bestimmtes Forschungsvorhaben
verarbeiten, soweit deren schutzwürdige Interessen
wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art
der Verwendung nicht beeinträchtigt werden. 2 Der Einwilligung der Betroffenen
bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung
des Forschungsvorhabens die schutzwürdigen Interessen der Betroffenen
erheblich überwiegt und der Zweck der Forschung auf andere
Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden
kann.
(2) 1 Über die Übermittlung entscheidet die Leiterin bzw. der Leiter der übermittelnden
Stelle oder die von ihr bzw. ihm bestimmte Mitarbeiterin oder
ein entsprechender Mitarbeiter. 2 Die Entscheidung muss die Stelle, der die
Daten übermittelt werden, die Art der zu übermittelnden personenbezogenen
Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen;
sie ist der bzw. dem Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit mitzuteilen.
(3) 1 Die Daten sind, sobald der Forschungszweck es gestattet, zu anonymisieren.
2 Die Merkmale, mit denen ein Bezug auf eine bestimmte natürliche
Person wiederhergestellt werden kann, sind gesondert zu speichern;
sie sind zu löschen, sobald der Forschungszweck dies gestattet.
(4) Die übermittelten personenbezogenen Daten dürfen nur mit Einwilligung
der Betroffenen weiter übermittelt oder für einen anderen als den
ursprünglichen Zweck verarbeitet werden.
34

(5) Die wissenschaftliche Forschung betreibenden in § 2 Absatz 1 Satz 1
genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der
Betroffenen nur veröffentlichen, wenn dies für die Darstellung von Forschungsergebnissen
über Ereignisse der Zeitgeschichte unerlässlich ist.
(6) 1 Soweit die Vorschriften dieses Gesetzes auf die Stelle, der die Daten
übermittelt werden sollen, keine Anwendung finden, dürfen sie ihr nur
übermittelt werden, wenn sie sich verpflichtet, die Vorschriften der Absätze
3 bis 5 einzuhalten, und sich der Überwachung der bzw. des für den Ort der
Forschungsstätte zuständigen Datenschutzbeauftragten unterwirft. 2 Befindet
sich der Ort der Forschungsstätte außerhalb der Europäischen
Union, ist eine Übermittlung nur zulässig, wenn kein Grund zu der Annahme
besteht, dass bei der Durchführung des Forschungsvorhabens
gegen Inhalt und Zweck eines deutschen Gesetzes verstoßen wird.
(7) Die Absätze 1, 3 und 4 gelten entsprechend bei der Datenverarbeitung
zur Vorbereitung oder Überprüfung von Regelungen allgemeiner Art durch
eine in § 2 Absatz 1 Satz 1 genannte Stelle.
§28
Datenverarbeitung bei Beschäftigungsverhältnissen
(1) 1 Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene
Daten ihrer Bewerberinnen und Bewerber, Beschäftigten, früheren
Beschäftigten und von deren Hinterbliebenen nur verarbeiten, soweit dies
eine Rechtsvorschrift, ein Tarifvertrag, eine allgemeine Regelung der
obersten Dienstbehörde, die mit den Spitzenorganisationen der zuständigen
Gewerkschaften und Berufsverbände beziehungsweise mit den Berufsverbänden
der Richterinnen und Richter verbindlich vereinbart worden
ist, oder eine Dienstvereinbarung vorsieht. 2 Soweit derartige Regelungen
nicht bestehen, gelten die nachfolgenden Absätze.
(2) Die in § 2 Absatz 1 Satz 1 genannten Stellen dürfen, soweit die nachfolgenden
Absätze keine besonderen Regelungen enthalten, personenbezogene
Daten der in Absatz 1 genannten Personen nur verarbeiten, soweit
dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des
Beschäftigungsverhältnisses oder zur Durchführung organisatorischer,
personeller oder sozialer Maßnahmen, insbesondere auch zu Zwecken der
Personalplanung oder des Personaleinsatzes, erforderlich ist.
(3) Die §§ 85 bis 92 HmbBG sind in der jeweils geltenden Fassung auf
diejenigen in Absatz 1 genannten Personen entsprechend anzuwenden,
die nicht in den Anwendungsbereich dieser Vorschriften fallen.
35

(4) 1 Eine Übermittlung der Daten von Beschäftigten an Stellen außerhalb
des öffentlichen Bereichs ist abweichend von § 16 Absatz 1 nur zulässig,
soweit
1. die Stelle, der die Daten übermittelt werden sollen, ein überwiegendes
rechtliches Interesse darlegt,
2. Art oder Zielsetzung der Aufgaben, die der oder dem Beschäftigten
übertragen sind, die Übermittlung erfordert oder
3. offensichtlich ist, dass die Übermittlung im Interesse der betroffenen
Person liegt, und keine Anhaltspunkte vorliegen, dass diese in Kenntnis
des Übermittlungszweckes ihre Einwilligung nicht erteilen würde.
2 Die Übermittlung an eine künftige Dienstherrin oder Arbeitgeberin oder
einen künftigen Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der
betroffenen Person zulässig, es sei denn, dass eine Abordnung oder Versetzung
vorbereitet wird, die der Zustimmung der oder des Beschäftigten
nicht bedarf. 3 Absatz 3 in Verbindung mit § 89 HmbBG bleibt unberührt.
(5) 1 Verlangt eine in § 2 Absatz 1 Satz 1 genannte Stelle medizinische oder
psychologische Untersuchungen oder Tests (Untersuchungen), so hat sie
Anlass und Zweck der Untersuchung anzugeben sowie erforderlichenfalls
auf die der betroffenen Person obliegenden Aufgaben hinzuweisen. 2 Sie
darf von der untersuchenden Stelle nur die Mitteilung der Untersuchungsergebnisse
sowie derjenigen festgestellten Risikofaktoren verlangen,
deren Kenntnis für ihre Entscheidung in personellen Angelegenheiten der
betroffenen Person erforderlich ist; darüber hinausgehende Daten darf sie
nur verlangen, soweit auch deren Kenntnis für ihre Entscheidung erforderlich
ist. 3 Führt eine in § 2 Absatz 1 Satz 1 genannte Stelle die Untersuchungen
durch, so gilt für die Weitergabe der erhobenen Daten Satz 2 entsprechend.
4 Im Übrigen ist eine Weiterverarbeitung der bei den Untersuchungen
erhobenen Daten ohne schriftliche Einwilligung der betroffenen Person
nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.
(6) 1 Personenbezogene Daten, die vor der Eingehung eines Beschäftigungsverhältnisses
erhoben wurden, sind unverzüglich zu löschen, sobald
feststeht, dass ein Beschäftigungsverhältnis nicht zustande kommt. 2 Dies
gilt nicht, soweit überwiegende berechtigte Interessen der Daten verarbeitenden
Stelle der Löschung entgegenstehen oder die betroffene Person in
die weitere Speicherung einwilligt. 3 Nach Beendigung eines Beschäftigungsverhältnisses
sind personenbezogene Daten zu löschen, soweit
diese Daten nicht mehr benötigt werden, es sei denn, dass Rechtsvorschriften
entgegenstehen. 4 § 19 Absatz 4 findet Anwendung.
(7) Soweit Daten der Beschäftigten im Rahmen der technischen und organisatorischen
Maßnahmen nach § 8 Absatz 2 gespeichert werden, dürfen
36

sie nicht zu anderen Zwecken, insbesondere nicht zu Zwecken der Verhaltens-
oder Leistungskontrolle, genutzt werden.
(8) § 27 findet Anwendung.
§29
Fernmessen und Fernwirken
(1) 1 In § 2 Absatz 1 Satz 1 genannte Stellen dürfen ferngesteuerte Messungen
oder Beobachtungen (Fernmessdienste) in Wohn- oder Geschäftsräumen
Privater nur vornehmen, wenn die Betroffenen zuvor über den
Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes
unterrichtet worden sind und nach der Unterrichtung schriftlich eingewilligt
haben. 2 Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu
dienen soll, in Wohn- oder Geschäftsräumen Privater andere als die in
Satz 1 genannten Wirkungen auszulösen (Fernwirkdienste). 3 Die Einrichtung
von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die Betroffenen
erkennen können, wann ein Dienst in Anspruch genommen wird und
welcher Art dieser Dienst ist. 4 Die Betroffenen können ihre Einwilligung
jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes
vereinbar ist. 5 Das Abschalten eines Dienstes gilt im Zweifel als Widerruf
der Einwilligung.
(2) 1 Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses
dürfen nicht davon abhängig gemacht werden, dass die Betroffenen
nach Absatz 1 Satz 1 oder Satz 2 einwilligen. 2 Verweigern oder
widerrufen sie ihre Einwilligung, so dürfen ihnen keine Nachteile entstehen,
die über die nachweisbaren Mehrkosten einer anderen Art der Datenerhebung
hinausgehen.
(3) 1 Soweit im Rahmen von Fernmess- und Fernwirkdiensten personenbezogene
Daten erhoben werden, dürfen diese nur zu den vereinbarten
Zwecken verarbeitet werden. 2 Sie sind zu löschen, sobald sie zur Erfüllung
dieser Zwecke nicht mehr erforderlich sind.
(4) Die Absätze 1 und 2 gelten nicht für Fernmess- und Fernwirkdienste der
Versorgungsunternehmen und für entsprechende Dienste von Wohnungsunternehmen.
§30
Videobeobachtung und Videoaufzeichnung
(Videoüberwachung)
(1) Die Beobachtung öffentlich zugänglicher und besonders gefährdeter
nicht öffentlich zugänglicher Bereiche innerhalb und außerhalb von Dienst-
37

gebäuden mit optischelektronischen Einrichtungen (Videobeobachtung)
ist nur zulässig, soweit sie in Ausübung des Hausrechts der verantwortlichen
Stelle
1. zum Schutz von Personen und Sachen oder
2. zur Überwachung von Zugangsberechtigungen
erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige
Interessen der Betroffenen überwiegen.
(2) Die nach Absatz 1 erhobenen Daten dürfen nur gespeichert werden
(Videoaufzeichnung), wenn Tatsachen die Annahme rechtfertigen, dass
mit einer Verletzung der Rechtsgüter nach Absatz 1 künftig zu rechnen ist
und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen
der Betroffenen überwiegen. Eine weitere Verarbeitung der erhobenen
Daten ist zulässig für den Zweck, für den sie erhoben wurden; für einen
anderen Zweck nur, soweit dies zur Verfolgung von Straftaten oder zur
Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person oder für
bedeutende Sach- oder Vermögenswerte erforderlich ist.
(3) Videobeobachtung und Videoaufzeichnung sowie die verantwortliche
Stelle sind durch geeignete Maßnahmen für die Betroffenen erkennbar zu
machen.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten
Person zugeordnet, ist diese über die Tatsache der Speicherung und gegebenenfalls
der weiteren Verarbeitung in entsprechender Anwendung des
§ 12a zu benachrichtigen.
(5) Aufzeichnungen einschließlich Kopien und daraus gefertigter Unterlagen
sind spätestens nach einer Woche zu löschen oder zu vernichten,
soweit sie zum Erreichen des verfolgten Zwecks nicht mehr zwingend
erforderlich sind. Sie sind unverzüglich zu löschen, soweit schutzwürdige
Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
(6) § 8 Absatz 1 findet Anwendung. Wird Videoüberwachung eingesetzt,
sind technische und organisatorische Maßnahmen zu treffen, die geeignet
sind zu gewährleisten, dass
1. nur Befugte die durch Videoüberwachung erhobenen Daten zur Kenntnis
nehmen können (Vertraulichkeit),
2. die durch Videoüberwachung erhobenen Daten bei der Verarbeitung
unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),
3. die durch Videoüberwachung erhobenen Daten zeitgerecht zur Verfügung
stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
38

4. die durch Videoüberwachung erhobenen Daten ihrem Ursprung zugeordnet
werden können (Authentizität),
5. festgestellt werden kann, wer wann welche durch Videoüberwachung
erhobenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit).
(7) Die Daten verarbeitende Stelle legt in einer laufend auf dem neusten
Stand zu haltenden Dokumentation fest:
1. den Namen und die Anschrift der Daten verarbeitenden Stelle,
2. den Zweck der Videoüberwachung,
3. die Rechtsgrundlage der Videoüberwachung,
4. den Kreis der Betroffenen,
5. den Personenkreis, der Zugang zu den durch Videoüberwachung erhobenen
Daten erhält,
6. die Abwägung der mit der Videoüberwachung verfolgten Ziele mit den
mit der Videoüberwachung konkret verbundenen Gefahren für die
Rechte der Betroffenen,
7. die technischen und organisatorischen Maßnahmen nach Absatz 6,
8. die Art der Geräte, ihr Standort und den räumlichen Überwachungsbereich,
9. die Art der Überwachung,
10. die Dauer der Überwachung.
Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 für mehrere
gleichartige Videoüberwachungen in einer Dokumentation zusammenfassen.
Die behördlichen Datenschutzbeauftragten führen die Dokumentation
und halten sie zur Einsicht bereit. Daten verarbeitende Stellen, die keine
behördlichen Datenschutzbeauftragten bestellt haben, übersenden eine
Ausfertigung ihrer Dokumentationen und deren Änderungen unverzüglich,
jedenfalls aber vor der Einführung oder wesentlichen Änderung einer
Videoüberwachung an die Hamburgische Beauftragte bzw. den Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit. Die Dokumentationen
können bei der Daten verarbeitenden Stelle von jeder Person
eingesehen werden; für die Angaben nach Satz 1 Nummern 7 und 8 gilt
dies nur, soweit die Sicherheit der Videoüberwachung nicht beeinträchtigt
wird.
(8) Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere
Erforderlichkeit zu überprüfen.
(9) Beim Einsatz von Videokamera-Attrappen finden die Absätze 1, 3 und 8
entsprechende Anwendung.
39

§31
Datenverarbeitung für Planungszwecke
(1) Für Zwecke der öffentlichen Planung können personenbezogene Daten
verarbeitet werden, wenn der Planungszweck auf andere Weise nicht oder
nur mit unverhältnismäßigem Aufwand erreicht werden kann und das
öffentliche Interesse an der Planung die schutzwürdigen Interessen der
Betroffenen erheblich überwiegt.
(2) 1 Die zu Planungszwecken gespeicherten personenbezogenen Daten
dürfen nicht für andere Zwecke genutzt werden. 2 Sobald es der Zweck der
Planungsaufgabe erlaubt, sind die zu diesem Zweck verarbeiteten personenbezogenen
Daten zu anonymisieren. 3 Eine Übermittlung von Daten,
aus denen Rückschlüsse auf Einzelpersonen gezogen werden können, ist
unzulässig.
(3) Soweit Daten für längere Zeit gespeichert werden, ist durch geeignete
Maßnahmen sicherzustellen, dass sie innerhalb der Daten verarbeitenden
Stelle getrennt von der Erfüllung anderer Verwaltungsaufgaben verarbeitet
werden.
SECHSTER ABSCHNITT
Straf- und Bußgeldvorschriften; Gebührenvorschrift; Inkrafttreten
§32
Straftaten
(1) Wer gegen Entgelt oder in der Absicht, sich oder eine andere bzw. einen
anderen zu bereichern oder eine andere bzw. einen anderen zu schädigen,
personenbezogene Daten, die nicht offenkundig sind,
1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder
nutzt oder
2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw.
einen anderen übermitteln lässt,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Die Tat wird nur auf Antrag verfolgt.
(4) Die Absätze 1 bis 3 finden nur Anwendung, soweit die Tat nicht nach
anderen Vorschriften mit Strafe bedroht ist.
40

§33
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht offenkundig
sind,
1. unbefugt erhebt, speichert, löscht, sperrt, verändert, übermittelt oder
nutzt oder
2. durch Vortäuschung falscher Tatsachen an sich oder eine andere bzw.
einen anderen übermitteln lässt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfundzwanzigtausend
Euro geahndet werden.
§34
Verwaltungsgebühren
(1) 1 Für Amtshandlungen, die der Kontrolle nicht-öffentlicher Stellen durch
die Aufsichtsbehörde nach § 38 des Bundesdatenschutzgesetzes dienen,
werden Gebühren, Zinsen und Auslagen erhoben. 2 Der Senat wird
ermächtigt, die gebührenpflichtigen Tatbestände und die Gebührensätze
durch Rechtsverordnung festzulegen.
(2) 1 Zur Zahlung der Gebühren, Zinsen und Auslagen ist die kontrollierte
Stelle verpflichtet. 2 Wird die Kontrolle weder von der Aufsichtsbehörde
noch von der oder dem Datenschutzbeauftragten der kontrollierten Stelle
veranlasst, gilt dies jedoch nur, wenn Mängel festgestellt werden. 3 Werden
im Fall des Satzes 2 keine Mängel festgestellt, sind die Gebühren, Zinsen
und Auslagen von denjenigen zu tragen, die die Kontrolle veranlasst
haben, soweit dies der Billigkeit entspricht.
§35
Inkrafttreten
(1) 1 Dieses Gesetz tritt am 1. August 1990 in Kraft. 2 Abweichend davon tritt
§ 9 Absätze 3 und 4 am 1. Januar 1991 in Kraft.
(2) Zum gleichen Zeitpunkt tritt das Hamburgische Datenschutzgesetz vom
31. März 1981 (HmbGVBl. S. 71) in der geltenden Fassung außer Kraft.
Ausgefertigt Hamburg, den 5. Juli 1990.
Der Senat
41

Erläuterungen
zum Hamburgischen Datenschutzgesetz
(vom 5. Juli 1990, zuletzt geändert am 5. April 2013)
Zu § 1 Aufgabe des Datenschutzes
§ 1 enthält die Grundsatznorm des Hamburgischen Datenschutzgesetzes
(HmbDSG). Diese orientiert sich eng an dem zentralen Urteil zum Volkszählungsgesetz
durch das Bundesverfassungsgericht (BVerfGE 65, 1 ff.),
das grundlegende verfassungsrechtliche Vorgaben zum Datenschutzrecht
gerade auch für den Gesetzgeber in Bund und Land macht. Der Entscheidung
liegt eine verfassungsrichterliche Fortentwicklung des allgemeinen
Persönlichkeitsrechts in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zum eigenständigen
Grundrecht der informationellen Selbstbestimmung zugrunde.
Durch das HmbDSG werden die grundrechtlichen Vorgaben für die öffentlichen
Stellen in Hamburg umgesetzt.
Mit der Änderung des Hamburgischen Datenschutzgesetzes vom 5. Juli
1990 (Hamburgisches Gesetz- und Verordnungsblatt Seite 133, 165, 226)
vollzieht das Landesdatenschutzgesetz den notwendigen Schritt hin zu
einem am grundrechtlichen Schutz der informationellen Selbstbestimmung
orientierten Fachgesetz: Nicht allein der Missbrauch bei der Verarbeitung
personenbezogener Daten ist danach zu verhindern, sondern es
ist das individuelle Recht einer jeden Person zu schützen, selbst über die
Preisgabe und Verwendung ihrer Daten zu bestimmen. In der Konsequenz
der Konzeption des Volkszählungsurteils liegt es, dass das Hamburgische
Datenschutzgesetz die für die Verarbeitung von personenbezogenen
Daten durch die Verwaltung der Freien und Hansestadt Hamburg erforderlichen
Rechtsgrundlagen erst schafft. Insoweit enthält das Hamburgische
Datenschutzgesetz als übergreifende Querschnittsregelung die zentralen
Vorschriften für den Umgang mit personenbezogenen Daten von Bürgerinnen
und Bürgern durch öffentliche Stellen der FHH. Der Verweis in § 1 S. 2
auf Einschränkungen des informationellen Selbstbestimmungsrechts in
anderen Rechtsvorschriften macht deutlich, dass diese als Spezialregelungen
Vorrang vor den allgemeinen Bestimmungen des Hamburgischen
Datenschutzgesetzes genießen (vgl. § 2 Abs. 7).
Die Konzeption eines grundrechtsorientierten Datenschutzes in der Rechtsprechung
des Bundesverfassungsgerichts hat in der Praxis dazu geführt,
dass Daten nur verarbeitet werden dürfen, wenn entweder eine Einwilligung
des Betroffenen oder eine gesetzliche Grundlage hierfür vorliegt.
42

Ferner erhält dadurch der Grundsatz der Erforderlichkeit aller relevanten
Phasen der Datenverarbeitung sowie deren Zweckgebundenheit ein verfassungsrechtliches
Fundament.
Neben der materiell-rechtlichen Seite erlangt das geltende Datenschutzrecht
auch ebenso wichtige formal-prozedurale Ausgestaltungen. Hier
ergeben sich sowohl verfahrensrechtliche als auch diverse organisatorisch-technische
Vorgaben: Neben der Vorabkontrolle, insbesondere der
Verpflichtung zur Risikoanalyse (§ 8), gelten für automatisierte Verfahren
Verpflichtungen zur Festlegung von Verfahrensbeschreibungen (§ 9); die
Betroffenen haben gegenüber den verarbeitenden Stellen insbesondere
Auskunftsrechte (§ 18), das Recht auf Berichtigung, Sperrung oder
Löschung (§ 19) und auf Schadensersatz (§ 20). Ferner besteht eine Verpflichtung,
die Betroffenen sowohl bei Kenntnis als auch bei Unkenntnis
über die Datenerhebung insbesondere über den Zweck sowie über den
Kreis der Empfängerinnen und Empfänger zu unterrichten (§ 12 a).
Dieses seit dem Volkszählungsurteil verfassungsrechtlich maßgebliche
Modell des grundrechtsorientierten Datenschutzes wird gegenwärtig von
Teilen der Politik, der Wissenschaft und digitalen Wirtschaft in Frage gestellt.
Den aktuellen Forderungen, den Schutz von personenbezogenen
Daten nur auf besonders risikoträchtige Datenverarbeitungen zu beziehen
und den Schutzbereich des informationellen Selbstbestimmungsrechts insoweit
zu beschränken, ist mit erheblicher Skepsis zu begegnen.
Für den effektiven Schutz des informationellen Selbstbestimmungsrechts
im Zeitalter der Digitalisierung ist die Erkenntnis des Bundesverfassungsgerichts
konstitutiv, dass es unter den Bedingungen der automatischen Datenverarbeitung
keine belanglosen Daten mehr gibt (BVerfG Urteil vom
15.12.83, http://openjur.de/u/268440.html, Rn 176). Eine Differenzierung
zwischen risikoträchtigen und weniger risikoträchtigen Datenverarbeitungen
würde gerade einer digitalen Profilbildung von Personen den Weg öffnen
und damit das Grundrecht der informationellen Selbstbestimmung
weithin zur Disposition stellen. Im Übrigen wäre eine Beschränkung auf
besonders risikoträchtige Verarbeitungen von personenbezogenen Daten
stets mit einer für den Rechtsvollzug wenig förderlichen begrifflichen Unschärfe
verbunden. Gerade auch der in der EU derzeit (2013) diskutierte
Entwurf einer Datenschutz-Grundverordnung zeigt, dass die Tendenz
einer Verengung des Datenschutzrechts zumindest durch die Kommission
für die gesamteuropäische Ebene nicht aufgenommen wurde. Es bleibt
abzuwarten, in welcher Weise eine gesamteuropäische Architektur des
Datenschutzes in Europa letztlich aussehen wird.
43

Zu § 2 Anwendungsbereich
Absatz 1
In Abs. 1 wird der Anwendungsbereich beschrieben und insbesondere der
Begriff der öffentlichen Stelle nach § 1 konkretisiert.
Dazu gehören vor allem auch „die Behörden“, ohne dass dieser Begriff gesetzlich
näher definiert wird. Von grundlegender Bedeutung – auch für die
„Daten verarbeitende Stelle“ nach § 4 Abs. 3 – ist die seit langem geführte
Diskussion, ob dabei der organisatorische oder der funktionale Behördenbegriff
zugrunde zu legen ist. Nach dem organisatorischen Behördenbegriff
sind „Behörden“ in Hamburg die Senatsämter, Fachbehörden und Bezirksämter,
wie sie im Verwaltungsbehörden- und Bezirksverwaltungsgesetz
beschrieben sind. Nach dem funktionalen Behördenbegriff sind
„Behörden“ die öffentlichen Organisationseinheiten, die eine durch Fachgesetze
umschriebene Aufgabe mit entsprechenden Datenverarbeitungsvorgaben
erfüllen. Auswirkungen hat die Unterscheidung vor allem für den
Umgang mit personenbezogenen Daten innerhalb einer (organisatorischen)
Behörde, und zwar u.a. bei den Fragen Nutzung oder Übermittlung
(§§ 4, 14, 16), Rollenkonzept oder Mandantenfähigkeit (§ 8 Abs. 2), Verantwortlichkeit
für die Datenverarbeitung (§ 10), Dienststellenleiterverfügung
oder Rechtsverordnung des Senats (§§ 11, 11 a), Nutzung oder Erhebung
(§§ 12, 12 a) und bei der Prüfung schutzwürdiger Interessen vor Weitergabe
(§ 14 Abs. 2).
Nach der herrschenden Meinung (vgl. Simitis, BDSG, § 2 Rn 15ff, Gola/
Schomerus, BDSG, § 2 Rn 6ff) führte das Volkszählungsurteil zur Anwendung
des funktionalen Behördenbegriffs: Der Senat ist auch bei organisationsrechtlichen
Aufgabenzuweisungen an Recht und Gesetz gebunden
(Bull in: Hoffmann-Riem, Koch, Hamburgisches Staats- und Verfassungsrecht,
3. Aufl., Seite 95). Seit dem Volkszählungsurteil zählen dazu auch
das Grundrecht auf informationelle Selbstbestimmung und die bundesund
landesrechtlichen Datenschutzbestimmungen. Dies bedeutet, dass
der organisatorische Behördenbegriff gilt, soweit und solange allgemeine
und spezialgesetzliche datenschutzrechtliche Regelungen bzw. gesetzliche
Aufgabenzuweisungen nichts Gegenteiliges bestimmen, wie etwa die
Übermittlungsbeschränkungen zwischen Melde- und Ausländerbehörde
(desselben Bezirksamtes) oder die rechtliche Eigenständigkeit von Standesamt,
Sozialamt oder Jugendamt innerhalb eines Bezirksamts als
Behörde im organisatorischen Sinne.
2013 erstellte Roßnagel ein Fachgutachten „Datenschutzrechtliche Fragen
der Schulstatistik in Hamburg“. Er beleuchtet die Verarbeitung personenbezogener
Daten in einer gemeinsamen Datei von Schulbehörde und
44

staatlichen Schulen und kommt zu dem Ergebnis, dass nach den Vorschriften
des Hamburgischen Schulgesetzes die Behörde für Schule und Berufsbildung
zusammen mit den staatlichen Schulen eine gemeinsame
Daten verarbeitende Stelle bilden, die einzelnen Schulen also unselbstständige
Teile der Behörde für Schule und Berufsbildung sind. Roßnagel
beruft sich auf Art. 2d S. 1 der EG-Datenschutzrichtlinie, nach der für die
Verarbeitung Verantwortlicher die Behörde sei, die allein oder gemeinsam
mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet. Die Fachbehörde und die Schulen hätten die
gemeinsame gesetzliche Aufgabe, schulische Bildung und Erziehung zu
gewährleisten (aaO., Seite 11). Die Schulen entschieden auch nicht über
Zwecke und Mittel der Datenverarbeitung, sondern nur die Behörde (aaO.,
Seite 13).
Die Gleichsetzung von Aufgaben und Zwecken erscheint jedoch problematisch.
So ist in Übereinstimmung mit Art. 2 d S. 2 der EG-Datenschutzrichtlinie
die grundsätzliche Zuständigkeit für die Vergabe von Mitteln für elektronische
Datenverarbeitung durch Rahmenverträge der Finanzbehörde
als Querschnittsaufgabe übertragen worden.
Im Ergebnis ist davon auszugehen, dass der organisatorische Behördenbegriff
durch den funktionalen Behördenbegriff in den Fällen begrenzt
wird, in denen die Datenschutzgesetze und die fachgesetzlichen Bestimmungen
über den Datenschutz Regelungen treffen. Anders als das Schulgesetz,
das den gemeinsamen Bildungsauftrag von Fachbehörde und
Schulen betont, regeln etwa das Aufenthaltsgesetz, die Meldegesetze, das
Gesetz zur Datenverarbeitung der Polizei oder das Verfassungsschutzgesetz
im Einzelnen Datenverarbeitungsvorgänge von und zwischen den
(funktionalen) Behörden innerhalb der (organisatorischen) Behörde für
Inneres und Sport.
Nach Abs. 1 S. 1 Nr. 1 gilt das Gesetz auch für die Bürgerschaft bei allen
Tätigkeiten. Ihre besondere Stellung ist durch die Formulierung eines
entsprechenden Tatbestands im Katalog der Zweckdurchbrechung (§ 13
Abs. 2 S. 1 Nr. 8) und durch die Beschränkung der Datenschutzkontrolle
auf ihre Verwaltungstätigkeit (§ 23 Abs. 1 S. 2) berücksichtigt worden. Der
Umgang mit personenbezogenen Daten ist bereichsspezifisch in der
Datenschutzordnung der Hamburgischen Bürgerschaft vom 19. Oktober
1999 (HmbGVBl. S. 243) geregelt.
Die Formulierung in Abs. 1 S. 1 Nr. 1 „und die sonstigen öffentlich-rechtlich
organisierte Einrichtungen“ hat bisher keine Anwendung gefunden.
Nicht hierunter fallen sog. Gleichordnungskonzerne zwischen juristischen
45

Personen des öffentlichen und des Privatrechts. Sie sind nach wie vor entsprechend
ihrer Rechtsform getrennt zu beurteilen.
Abs. 1 S. 1 Nr. 2 regelt die Geltung des Gesetzes für die mittelbare Staatsverwaltung.
Abs. 1 S. 1 Nr. 3 stellt schließlich klar, dass Beliehene, denen die Wahrnehmung
hoheitlicher Aufgaben der öffentlichen Verwaltung durch Gesetz
oder aufgrund Gesetzes übertragen ist, insoweit öffentliche Stellen im
Sinne des Gesetzes sind. Zur praktischen Abgrenzung zwischen Beleihung
und Auftragsdatenverarbeitung vgl. die Erläuterungen zu § 3. So
wurde in § 4 Maßregelvollzugsgesetz (MVollzG) die Möglichkeit geschaffen,
mit einem Beleihungsvertrag auch private und freigemeinnützige Träger
mit der Durchführung des Maßregelvollzugs zu betrauen. § 4 Abs. 6
MVollzG schreibt für die Verarbeitung personenbezogener Daten „im Falle
der Beleihung“ auch spezialgesetzlich die Geltung des HmbDSG ausdrücklich
fest (21. TB 2006/2007, 10.3).
Mit Abs. 1 S. 2 wird seit 1990 zur Vermeidung von Abgrenzungsschwierigkeiten
abschließend geregelt, dass für Beteiligungen öffentlicher Stellen
an juristischen Personen des privaten Rechts die Vorschriften des BDSG
für nicht-öffentliche Stellen gelten. Das gilt auch für die Kontrollkompetenz
der Aufsichtsbehörde nach § 38 Bundesdatenschutzgesetz (BDSG). Die
Aussage des Abs. 1 S. 2 stellt eine landesgesetzliche Regelung über den
Datenschutz im Sinne von § 1 Abs. 2 Nr. 2 und § 12 Abs. 2 BDSG dar. Für
diejenigen privatrechtlich organisierten Vereinigungen, die § 2 Abs. 2
BDSG als öffentliche Stellen des Landes bezeichnet, kommen nicht die
Vorschriften des BDSG für öffentliche Stellen zur Anwendung. Sind an
einer derartigen Vereinigung auch öffentliche Stellen anderer Länder beteiligt,
wird es bei der Frage, welchem Land die Vereinigung rechtlich zuzuordnen
ist, auf staatsvertragliche Regelungen oder – wenn diese nicht bestehen
– auf den Sitz der Vereinigung ankommen.
Die Einschränkung am Ende des Abs. 1 S. 2 ist aufgrund Art. 31 Grundgesetz
erforderlich, da § 2 Abs. 1 S. 2 BDSG bestimmte privatrechtlich
organisierte Vereinigungen, an denen auch öffentliche Stellen des Bundes
beteiligt sind, als öffentliche Stellen des Bundes bezeichnet.
Absatz 2
Gemäß Abs. 2 soll für öffentliche Stellen, die dem Wettbewerb unterliegen,
materiell im Wesentlichen das BDSG gelten. Im Sinne einer eindeutigen
Regelung wird hier und in den nachfolgenden Vorschriften ausdrücklich
geregelt, dass es sich nur um die in Abs. 1 S. 1 genannten Stellen handelt.
Um auch die Vorschriften des BDSG über betriebliche Datenschutzbeauf-
46

tragte unzweifelhaft anwendbar zu machen, wird Bezug genommen auf die
für nicht-öffentliche Stellen geltenden Vorschriften des BDSG. Die Gleichstellung
mit nicht-öffentlichen Stellen wird beschränkt durch die Verwendung
des Wortes „soweit“ auf die Bereiche, mit denen die Stellen im Wettbewerb
stehen. Da sich die Datenschutzkontrolle weiterhin nach dem
Hamburgischen Datenschutzgesetz richtet, wird § 38 BDSG von der Verweisung
ausgenommen.
Absatz 3
Abs. 3 wurde 2013 neu gefasst mit der Errichtung der Investitions- und
Förderbank als Nachfolgerin der Wohnungsbaukreditanstalt (HmbGVBl.
2013, Seiten 148, 153). War die Wohnungsbaukreditanstalt zuvor zur Vermeidung
wettbewerbsrechtlicher Nachteile den privaten Kreditanstalten
nach dem BDSG gleichgestellt, hat der Gesetzgeber sich nun mit der Neubestimmung
der Bank-Aufgaben für eine ausschließliche Geltung des
HmbDSG entschieden (Bü-Drs. 20/6335, S. 53).
Absatz 4
Abs. 4 ist mit der Novellierung 1990 aufgenommen worden und nimmt die
Ausübung des Gnadenrechts wegen der Besonderheiten des Verfahrens
nach wie vor vom Anwendungsbereich des Gesetzes aus.
Absatz 5
Auch Absatz 5 wurde 1990 eingeführt und sollte teilweise verschiedene
Anwendungsbereiche von Abs. 7 (Vorrang besonderer Rechtsvorschriften)
vorweg nehmen. Zwischenzeitlich sind in diesen Bereichen in den verschiedenen
Verfahrensordnungen – insbesondere in der Strafprozessordnung
(StPO) und im Ordnungswidrigkeitengesetz – weitgehend spezialgesetzliche
Regelungen getroffen worden, die nach Abs. 7 dem Abs. 5 vorgehen.
Obwohl Abs. 5 nur die „nicht-automatisierte Verarbeitung außerhalb
von Dateien“, also die Verarbeitung in Akten, ausnimmt, gehen die genannten
spezialgesetzlichen Datenverarbeitungsvorschriften – soweit sie
tatbestandlich zutreffen – nach Abs. 7 auch bei einer automatisierten Datenverarbeitung
vor. So enthält z.B. die StPO in den §§ 483 ff. ausdrücklich
eigene „Dateiregelungen“ mit Übermittlungsbefugnissen und Betroffenenrechten.
Das Auskunftsrecht des § 18, dessen Anwendbarkeit Abs. 5 nur
für die Aktenverarbeitung ausschließt, wird in § 491 StPO auch für Dateien
– z.B. im Rahmen des Vorgangsverwaltungssystem MESTA der Staatsanwaltschaft
Hamburg – speziell und vorrangig geregelt.
Mit Abs. 5 S. 2 sollte vor diesem Hintergrund klar gestellt werden, dass die
seinerzeit für die Gerichte geltenden Ausnahmen nicht für Gerichtsvollzie-
47

herinnen und Gerichtsvollzieher gelten sollten. Der allgemeine Vorrang bereichsspezifischer
Regelungen über den Datenschutz gemäß § 2 Abs. 7 gilt
selbstverständlich auch für Gerichtsvollzieherinnen und Gerichtsvollzieher.
Absatz 6
Abs. 6 schließt die Geltung des HmbDSG für personenbezogene Daten
aus, solange sie in allgemein zugänglichen Quellen wie Zeitungen, Adressund
Telefonbüchern, heute aber auch in öffentlich zugänglichen Bereichen
sozialer Netzwerke enthalten sind. Dasselbe gilt für solche Daten, die der
Betroffene zur Veröffentlichung bestimmt hat.
Dies ist zu modifizieren: Nach Art. 3 Abs. 2 der EG-Datenschutzrichtlinie,
die mit der Novellierung 2001 umgesetzt wurde, fallen nur solche Aktivitäten
nicht unter die Richtlinie, die von einer natürlichen Person zur Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen
werden. Dies ist nicht der Fall beim Austausch von Informationen zwischen
Organisationen wie Selbsthilfegruppen u.ä. und insbesondere nicht
bei der Nutzung einer allgemein zugänglichen Website im Internet (vgl.
Simitis BDSG, § 1 Rn 151 unter Hinweis auf EuGH C 101/01 vom 06.11.03,
Lindquist). Abs. 6 ist daher eng auszulegen: Mangels hinreichender Umsetzung
der Richtlinie 2001 gelten die Vorschriften des Gesetzes auch in
den Fällen, in denen Betroffene ihre Daten zur Veröffentlichung vorsehen.
Wollen Bezirksabgeordnete ihre Redebeiträge über das Bezirksamt im
Internet veröffentlicht wissen, gelten also alle Vorschriften des HmbDSG
einschließlich der erforderlichen Vorabkontrolle.
Schon immer ging der Gesetzgeber zutreffend davon aus, dass die Daten
jedenfalls dann wieder dem Hamburgischen Datenschutzgesetz unterfallen,
wenn sie nach ihrer Erhebung in Dateien oder Akten gespeichert
werden.
Absatz 7
Abs. 7 verdeutlicht, dass es sich beim Hamburgischen Datenschutzgesetz
um ein Auffanggesetz handelt, das gegenüber spezialgesetzlichen Regelungen
(Regelungen über den Datenschutz) subsidiär ist. Aufgrund des
geltenden Gesetzesvorbehalts gilt dies nur für Gesetze im materiellen
Sinn, also Gesetze, Verordnungen, Satzungen, aber auch Tarifvertragsnormen,
die für allgemein verbindlich erklärt worden sind, und nach § 28
Abs. 1 für Dienstvereinbarungen. Nicht unter „besondere Rechtsvorschriften“
fallen Verwaltungsvorschriften.
48

Mittlerweile gibt es eine Vielzahl von Spezialregelungen. Immer ist dabei
zu prüfen, inwieweit sie abschließend sind und den Vorschriften des
HmbDSG vorgehen oder ob nur Teilregelungen getroffen wurden. So sind
etwa für Gesundheitsdaten (§ 5 Abs. 1 S. 2) auch die Normen der ärztlichen
Berufsordnungen und das strafrechtliche Verbot einer Verletzung der ärztlichen
Schweigepflicht (§ 203 Strafgesetzbuch [StGB]) zu berücksichtigen.
Diese gelten grundsätzlich neben den Datenschutzvorschriften, da beide
Regelungsbereiche sich in ihrer Wirkung zwar überschneiden, aber inhaltlich
nicht decken: So hat ein Patient nach der Berufsordnung grundsätzlich
ein Recht auf Einsicht in die ihn betreffenden Krankenunterlagen. Dagegen
gewährt § 18 nur ein datenschutzrechtliches Auskunftsrecht. Dies erstreckt
sich aber auf alle zur Person des Patienten gespeicherten Daten –
also auch auf andere als die in der Behandlungsdokumentation genannten.
Das Datenschutzrecht erlischt mit dem Tod des Betroffenen, die ärztliche
Schweigepflicht reicht über den Tod des Betroffenen hinaus. Bei der Inanspruchnahme
von gesetzlichen Übermittlungsbefugnissen ist bei Gesundheitsdaten
stets gesondert zu prüfen, ob die Übermittlungsbefugnis
gerade auch die Weitergabe von Daten erfassen soll, die der ärztlichen
Schweigepflicht unterliegen. Ist dies nicht der Fall wie z.B. bei den §§ 14-
18, dann ist die Übermittlungsbefugnis keine „Befugnisnorm“ im Sinne des
§ 203 StGB, und es bedarf für eine Übermittlung zusätzlich einer Schweigepflichtentbindung
durch die betroffene Person.
Zu § 3 Auftragsdatenverarbeitung
Absätze 1–3
Hamburger öffentliche Stellen (§ 2 Abs. 1) können Dritte mit der Verarbeitung
personenbezogener Daten beauftragen. Der Anwendungsbereich
einer solchen „Auftragsdatenverarbeitung“ ist nach der Gesetzesbegründung
„auf die technische Hilfeleistung beschränkt“ (Bü-Drs. 13/3282, Begründung
zu § 3, 1. Abs. ). In der Verwaltungspraxis haben sich aber auch
nicht-technische Tätigkeiten wie z.B. die Essensverteilung und der Krankentransport
im Universitäts-Klinikum Hamburg-Eppendorf (UKE) mit den
begleitenden Patientendaten als Auftragsdatenverarbeitungen ergeben.
Abzugrenzen ist die Auftragsdatenverarbeitung von einer „Funktionsübertragung“.
Diese liegt dann vor, wenn die öffentliche Stelle die Erfüllung
einer ihrer gesetzlichen (Teil-)Aufgaben als ganzer auf einen Dritten überträgt.
Abgrenzungskriterien sind insbesondere der Grad der eigenen Entscheidungs-,
Ermessens- und Gestaltungsfreiheit des Verarbeiters – je
größer, desto eher liegt eine Funktionsübertragung vor – bzw. umgekehrt
die bloße Hilfs- und Unterstützungsfunktion und Unterordnung unter die
Vorstellungen des Auftraggebers.
49

Die wesentliche Folge einer Auftragsdatenverarbeitung in diesem Sinne
ist, dass „der Auftraggeber letztlich die alleinige Verantwortung für die Einhaltung
datenschutzrechtlicher Vorschriften trägt“ (Bü-Drs. 13/3282, zu § 3,
2. Abs. ). Nach § 4 Abs. 3 bleibt die öffentliche Stelle selbst „Daten verarbeitende
Stelle“, obwohl die eigentliche Datenverarbeitung ein Dritter vornimmt.
Der Auftraggeber ist auch Adressat der Rechte der Betroffenen. Die
Datenweitergabe an den Auftragnehmer zum Zwecke der Auftragsdatenverarbeitung
ist für die auftraggebende öffentliche Stelle eine bloße Nutzung,
keine Übermittlung (siehe § 4 Abs. 2 Nr. 4 in Verbindung mit Abs. 4),
der Auftragnehmer kein Dritter im Sinne des § 4 Abs. 4. Aus diesem Grunde
bedarf es für die Weitergabe der Daten an die auftragnehmende Stelle –
z.B. ein Rechenzentrum – auch weder einer gesetzlichen Übermittlungsbefugnis
noch einer Einwilligung.
Eine Ausnahme bildet aufgrund der Definition in § 4 Abs. 4 die Auftragsdatenverarbeitung
außerhalb der Europäischen Union. Auftragnehmer
sind in diesen Fällen rechtlich Dritte. Werden personenbezogene Daten
außerhalb der Mitgliedstaaten der EU verarbeitet, sind die Voraussetzungen
nach § 17 einzuhalten. Für die Nutzung von Google Analytics und des
Cloud Computing sei darauf hingewiesen, dass es nach § 17 anders als
beim Bundesdatenschutzgesetz ausschließlich auf den Ort der Verarbeitung
ankommt und nicht auf den Sitz des Anbieters. Grundsätzlich kann
auch nicht aus rein fiskalischen Gründen in Länder ohne angemessenes
Schutzniveau ausgewichen werden. Der Auftraggeber bleibt für die Einhaltung
des angemessenen Schutzniveaus nach §§ 8, 10 verantwortlich, und
die Betroffenen können nach herrschender Meinung jedenfalls nicht regelhaft
auf das Schutzniveau, etwa auf die Einhaltung technisch-organisatorischer
Maßnahmen, im Wege der Einwilligung verzichten.
Die Verantwortung für den Datenschutz kann die auftraggebende öffentliche
Stelle nur wahrnehmen, wenn sie ihrer Sorgfaltspflicht bei der Auswahl
des Auftragnehmers genügt und die in Abs. 1 S. 4 und Abs. 3 S. 1 gesetzlich
vorgegebenen Vertragsinhalte vereinbart: Festlegung technischer und
organisatorischer Sicherungsmaßnahmen und etwaiger Unterauftragsverhältnisse,
Umschreibung der Zweckbindung der Datenverarbeitung, Bestimmungen
zu Rückgabe / Löschen / Vernichten der übergebenen Daten
nach Auftragsabwicklung, Verpflichtung des Auftragnehmers, die für die
auftraggebende Stelle geltenden Datenschutzvorschriften zu befolgen
und sich – als nicht-öffentliche Stelle in Hamburg – der Überwachung
durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
zu unterwerfen. Zudem stehen der auftraggebenden Stelle
gegenüber dem Auftragnehmer Kontroll- und Weisungsrechte zu.
50

Anders als bei nicht-öffentlichen Stellen ist der Vertrag zwischen auftraggebender
und auftragnehmender Stelle nach dem Wortlaut der Vorschrift
nicht mehr zwingend schriftlich zu erteilen. Schon aus Gründen der Dokumentation
des Verwaltungshandelns ist jedoch angesichts der verschiedenen
vorgegebenen Vertragsinhalte zumindest eine elektronische Speicherung
der Absprachen zu fordern. Für die Dienststellen der Freien und Hansestadt
Hamburg (Kernverwaltung) fordert ferner die Freigaberichtlinie der
Finanzbehörde eine schriftliche oder elektronische Form der Auftragserteilung.
Bei einem außer-hamburgischen Auftragnehmer verlangt § 3 Abs. 3
Satz 2, dass die auftraggebende öffentliche Stelle die zuständige Datenschutzaufsichtsbehörde
von der Auftragsdurchführung in ihrem Bereich
unterrichtet.
Wegen verschiedener negativer Vorfälle bei der Auftragsdatenverarbeitung
wurde 2010 die Parallelvorschrift § 11 Bundesdatenschutzgesetz
(BDSG) für nicht-öffentliche Auftraggeber stark erweitert und verschärft.
Die Anforderungen an eine zulässige Auftragsdatenverarbeitung sind seitdem
im nicht-öffentlichen Bereich strenger als im Hamburger öffentlichen
Bereich. Dies ist jedoch inhaltlich kaum zu begründen. Zumindest bei der
datenschutzrechtlichen Beratung öffentlicher Stellen wird der HmbBfDI
deswegen auch Anregungen aus § 11 BDSG aufnehmen und z.B. in die
Auslegung notwendiger organisatorischer Maßnahmen (Abs. 1 Satz 2, 3)
einbeziehen.
Absatz 4
Abs. 4 ist eine landesspezifische Regelung, die sich so in anderen
Datenschutzgesetzen nicht findet. Sie stellt die Vergabe beratender und
begutachtender „oder vergleichbarer unterstützender Tätigkeiten“ sowie
von (Fern-)Wartungsarbeiten für EDV-Systeme der Auftragsdatenverarbeitung
gleich. „Diese Tätigkeiten bewegen sich einerseits allenfalls im Randbereich
der Auftragsdatenverarbeitung, da Beratern, Gutachtern und vergleichbar
Tätigen wegen ihrer besonderen Sachkenntnis und der ihnen zur
Erfüllung ihrer Aufgaben notwendigerweise einzuräumenden Entscheidungsspielräume
die Verarbeitung personenbezogener Daten nach Art und
Umfang nicht im Einzelnen vorgegeben werden kann. Andererseits fällt es
häufig schwer, in diesen Fällen eine gesetzliche Übermittlungsbefugnis herzuleiten.
Die neue Nr. 1 schließt diese Lücke.“ (Bü-Drs. 16/3995).
Die in Abs. 4 Nr. 1 genannten „begutachtenden Tätigkeiten“ kommen vor
allem Im Sozial- und Gesundheitsbereich vor. Für die Datenweitergabe z.B.
vom UKE, vom Gesundheitsamt oder vom Medizinischen Dienst an externe
Auftragnehmer gehen jedoch die spezialgesetzlichen Vorschriften etwa
im Hamburgischen Krankenhausgesetz (§ 9) oder im Sozialgesetzbuch
51

(§ 80 Sozialgesetzbuch X) vor, § 2 Abs. 7. Wo diese nicht greifen und Gesundheitsdaten
betroffen sind, die der ärztlichen Schweigepflicht unterliegen,
kann § 3 diese mangels ausdrücklicher Einbeziehung von ärztlichen
Daten nicht durchbrechen; § 3 ist keine „Befugnisnorm“ im Sinne des § 203
Strafgesetzbuch. Vielmehr bedarf die Weitergabe von medizinischen Daten
z.B. durch Ärzte des Gesundheitsamtes an eine auftragnehmende Stelle
der zusätzlichen Schweigepflichtentbindung durch die betroffene Person.
Zu § 4 Begriffsbestimmungen
Die Vorschrift enthält alle für das Hamburgische Datenschutzgesetz
(HmbDSG) wesentlichen Begriffsbestimmungen.
Absatz 1
Der Begriff der personenbezogenen Daten ist von zentraler Bedeutung für
den Anwendungsbereich des HmbDSG. Nur wenn personenbezogene
Daten verarbeitet werden, ist der Anwendungsbereich des HmbDSG überhaupt
eröffnet (siehe § 1).
Abs. 1 geht vom Begriff der Einzelangabe aus. „Damit sind alle Angaben
über persönliche und sachliche Verhältnisse gemeint, die über eine lebende
natürliche Person etwas aussagen, unabhängig davon, in welcher technischen
Form (z.B. Bildaufnahme) dies geschieht. Der Begriff hält die Einbeziehung
neuer technischer Verfahren in das Gesetz offen“ (Bü-Drs. 13/3282
zu § 4 Abs. 1).
Der Begriff der Einzelangabe über persönliche und sachliche Verhältnisse
ist also sehr weit gefasst und umfasst jede Information, die einer bestimmten
oder bestimmbaren natürlichen Person zugeordnet werden kann. Ob
es sich dabei um besonders sensible Daten handelt oder nicht, spielt keine
Rolle, da es keine von vornherein belanglosen Daten gibt (vgl. BVerfGE 65,
1 ff., 45).
Was im Einzelnen zu den Angaben über persönliche und sachliche Verhältnisse
einer Person gehört, lässt sich nicht abschließend aufzählen. In § 5
Abs. 1 S. 2 HmbDSG werden besonders sensible Daten, wie etwa Daten
über Gesundheit und Sexualleben, politische Meinungen oder religiöse
und weltanschauliche Überzeugungen benannt, welche ebenso wie die
Sozialdaten nach § 35 Abs. 1 Sozialgesetzbuch I (SGB I) einen gesteigerten
Schutz genießen. Zu den persönlichen Verhältnissen zählen nicht nur
körperliche Merkmale, wie etwa Größe, Alter, Gewicht oder biometrische
Daten (Fingerabdruck, Gesichtsprofil, genetischer Fingerabdruck), Bildund
Tonaufzeichnungen von einer Person (Foto, Röntgenbild), sondern
ebenso etwa alle Angaben über berufliche, private, finanzielle, wirtschaftli-
52

che oder gesundheitliche u.a. Verhältnisse. Sachliche Verhältnisse müssen
einen direkten Bezug zum Betroffenen haben, z.B. Angaben über
einen Gegenstand, eine Wohnung, ein Grundstück oder einen Betrieb,
welche sich im Besitz oder Eigentum des Betroffenen befinden oder welche
er bewohnt oder bewirtschaftet (vgl. dazu Simitis, BDSG, 7. Aufl., § 3
Rn 10ff.). Auch der, z.B. durch GPS ermittelte, Aufenthaltsort einer Person
stellt ein personenbezogenes Datum dar (BGH, 1 StR 32/13 Rn 35 ff.).
Namen und als Namensersatz fungierende Angaben, welche der Identifizierung
der Person dienen, ohne meist selbst etwas über ihre Verhältnisse
auszusagen, gehören, so sie im Kontext verwendet werden, zwingend
logisch zu den personenbezogenen Daten (Simitis, BDSG, 7. Aufl., § 3 Rn
10). Zu diesen identifizierenden Angaben gehören z.B. Geburtsnamen und
frühere Namen, Künstler- oder Decknamen, Konto- und Kreditkartennummern,
IP-Adressen (mehr hierzu weiter unten), Personenkennzeichen,
Sozialversicherungsnummern und Ausweisnummern (Simitis, BDSG,
7. Aufl., § 3 Rn 10).
Auch Werturteile, Planungs- und Prognosedaten sowie Wahrscheinlichkeitsaussagen
und sogenannte Scorewerte fallen darunter, wenn sie einer
konkreten natürlichen Person zugeordnet werden können. Der fehlende
Wahrheitswert eines Datums schließt das Vorliegen einer Angabe i.S. des
§ 4 Abs. 1 nicht aus (vgl. Simitis, BDSG, 7. Aufl., § 3 Rn 6). In welcher Form
(mündlich, schriftlich, digital oder analog) die Angaben vorliegen, ist für
den Begriff des personenbezogenen Datums unerheblich.
Personenbezogen sind nur die Einzelangaben, die sich auf eine bestimmte
oder bestimmbare natürliche Person beziehen. Bestimmt ist eine Person
dann, wenn die Daten mit dem Namen des Betroffenen verbunden sind
oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar
herstellen lässt. Bestimmbar ist eine Person, wenn grundsätzlich die Möglichkeit
besteht, ihre Identität direkt oder auch indirekt, und sei es über
mehrere Zwischenschritte, festzustellen. Bestimmbar ist eine Person auch
dann, wenn nur unter Verwendung eines Zusatzwissens der Personenbezug
hergestellt werden kann. Ob Einzelangaben allein oder auch erst in
Kombination eine Person bestimmbar machen, hängt vom vorhandenen
Zusatzwissen und vom Verwendungszusammenhang ab und lässt sich nur
anhand der konkreten Umstände des Einzelfalls beurteilen. Beispielsweise
handelt es sich bei der der Internetkommunikation dienenden IP-Adresse
(statische und dynamische) regelmäßig um ein personenbezogenes
Datum, da hier häufig eine Zuordnung zum Nutzer durch den jeweiligen
Access- oder Content-Provider erfolgen kann (siehe Beschluss der obersten
Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
am 26./27. November 2009 in Stralsund: „Datenschutzkonforme Ausge-
53

staltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“,
abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/Nov09Reichweitenmessung.html).
Access-Provider, die z.B. eine DSL-Leitung zur Verfügung
stellen, speichern die Zuordnung von IP-Adressen zur Person zu Abrechnungszwecken
oder für einen kurzen Zeitraum für andere Zwecke. Content-Provider,
die ein Internetangebot zur Verfügung stellen, können die
Verbindung der IP-Adresse zur Person mindestens dann herstellen, wenn
sich der dort registrierte Nutzer anmeldet.
Für Kfz-Kennzeichen, die durch eine Halterabfrage dem Fahrzeughalter
zugeordnet werden können, Fahrzeug-ID-Nummern und die Fahrzeugbriefnummern
ist in § 45 S. 2 Straßenverkehrsgesetz (StVG) explizit geregelt,
dass es sich um personenbezogene Daten handelt.
Auch bei Geodaten kann ein Personenbezug vorliegen.
Geodaten können vor allem eine der folgenden Ortsfunktionen für eine
Person haben:
1. Aufenthalt, Herkunft, Ziel
2. Nutzungsbeziehung (Bewohner, Bewirtschafter)
3. Eigentum.
Bei Geodaten wird unterschieden zwischen Punkt- und Flächendaten.
Punktdaten werden dargestellt durch Geokoordinaten. Flächendaten basieren
meist auf Kartendarstellungen, in denen die Flächengrenzen in
einem Geokoordinatensystem dargestellt sind. Punktdaten sind, auch
wenn sie sich auf Sachdaten beziehen, regelmäßig personenbezogen. Bei
Flächendaten verschwimmt der Personenbezug umso mehr, je größer die
Fläche wird und wenn dadurch mehr als nur eine Person erfasst wird (vgl.
dazu Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3 Rn 21; 23. TB
2010/2011, III 12.2). Das Hamburgische Geodateninfrastrukturgesetz
berücksichtigt in § 10 die Schutzbedürftigkeit personenbezogener Daten,
ohne diese im Zusammenhang mit Geodaten zu definieren. Besonders bei
Luftaufnahmen können bei Grundstücksansichten Zweifel an der Personenbeziehbarkeit
entstehen. Um diese nicht zum Hindernis für die gewollte
öffentlich zugängliche Geodateninfrastruktur werden zu lassen, haben der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und
das Landesamt für Geoinformationen und Vermessung (LGV) eine Verfahrensweise
vereinbart, wonach das LGV bei digitalen Orthofotos (bearbeitete
Luftbilder) mit einer Pixelgröße, die 20x20 cm (oder mehr) in der Realität
repräsentiert („DOP 20“), grundsätzlich von einer Zulässigkeit der Internetveröffentlichung
ausgehen kann, weil die Bildschärfe weder Personen
noch z.B. Kfz-Kennzeichen erkennen lässt (24. TB 2012/2013, III 9.1).
54

Nur im Ausnahmefall kann hier ein Bürger die Löschung der auf ihn beziehbaren
(sensiblen) Information – z.B. ein deutlich erkennbares Krankenbett
im Garten – beantragen.
Grundsätzlich kein Personenbezug besteht:
– bei statistischen, aggregierten Daten: hier wurden die Einzelangaben
für eine Gruppe natürlicher Personen zusammengefasst, z.B. Anzahl
der Einwohner über 50 Jahre in einer ausreichend großen Gebietsfläche
– absolut anonymisierte Daten, die sich aufgrund ihres Inhaltes nach Fortlassen
sämtlicher Identifikationsmerkmale (z.B. Name, Geburtstag)
weder auf eine bestimmte Person beziehen noch eine solche erkennen
lassen.
Bei statistischen Daten ist stets zu prüfen, ob aus der Zahl oder der Art der
Daten auf eine bestimmte Person geschlossen werden kann. Dies kann
z.B. der Fall sein, wenn gewisse Merkmalsausprägungen selten vorhanden
sind oder aber die Bezugsfläche klein ist. Weist beispielsweise eine
kommunale Gesundheitsstatistik im Feld „Alter“ nur einen 100-Jährigen
aus, sind alle Angaben auf diese in der Gemeinde bekannte Person beziehbar.
Gibt es in einer Gemeinde nur sehr wenige Gewerbetreibende, liegt ein
Personenbezug vor, wenn Angaben, die zu einem von ihnen bekannt sind,
zu den jeweils anderen Gewerbetreibenden durch Subtraktion ermittelt
werden können. Ob der Personenbezug bei statistischen Daten aufgehoben
ist, kann nur im Einzelfall festgestellt werden. Wann dies der Fall ist,
hängt von Art, Menge, Detailliertheit und Kombinations- und Verschneidungsmöglichkeiten
der Daten ab (vgl. dazu auch die Erläuterungen zu § 4
Abs. 9). Es sollte jedoch grundsätzlich in jedem Feld eine Merkmalsausprägung
von mehr als drei Fällen angegeben sein. Andernfalls wäre eine
höhere Aggregationsstufe zu wählen.
Auch Daten, die lediglich statistische Wahrscheinlichkeiten abbilden, können
ab einer bestimmten Kleinräumigkeit personenbezogen sein. Kleingliedrige
statistische Angaben, zum Teil herunter gebrochen bis auf Häuser
und Häuserblöcke, gibt es inzwischen zu allen erdenklichen Fragestellungen
mit Informationen über Lebensstandard, Interessen, Konsumverhalten,
Gesundheitszustand, Wahlverhalten, Beschäftigung, Bildung etc.
Zusammengefasst werden diese als soziodemographische Daten bzw.
Milieu-Profilbildungen bezeichnet. Auch hier kann ein Personenbezug bestehen,
wenn ein Gruppenergebnis im gegebenen sozialen Kontext den
einzelnen Mitgliedern der Gruppe zugerechnet wird. Soweit Informationen
sich z.B. auf die Charakteristika von individualisierbaren Haushalten beziehen
(z.B. sog. Sinus-Milieus), werden diese Bewertungen allen Mitgliedern
des Hauses oder Haushaltes zugeschrieben und müssen damit als perso-
55

nenbezogen (wenn auch nicht unbedingt als richtig) angesehen werden
(vgl. dazu 23. TB 2010/2011, III 19.3).
Betroffener kann nur eine noch lebende natürliche Person sein. Daten Verstorbener
werden vom HmbDSG nicht geschützt. Zwar ist die Würde des
Menschen nach Art. 1 Abs. 1 Grundgesetz (GG) auch nach seinem Tode zu
respektieren, jedoch geht das Bundesverfassungsgericht (BVerfGE 30,
194) davon aus, dass das vom Grundgesetz geschützte Persönlichkeitsrecht
nach Art. 2 Abs. 1 GG mit dem Tod endet. Das gilt auch für das daraus
fließende informationelle Selbstbestimmungsrecht. Gleichwohl sind
die Daten Verstorbener nicht völlig schutzlos gestellt. Hier greifen spezielle
Schutzvorschriften wie z.B. Strafvorschriften, die das Andenken Verstorbener
zum Gegenstand haben, personenstandsrechtliche und archivrechtliche
Vorschriften. Zudem gelten die ärztliche Schweigepflicht (vgl. § 9 Abs.
1 S. 1 Muster-Berufsordnung für die in Deutschland tätigen Ärztinnen und
Ärzte; ähnlich auch § 7 Abs. 1 S. 4 HmbKrankenhausG), das Steuer- und
Statistikgeheimnis über den Tod des Betroffenen hinaus. Unabhängig
davon können ggf. auch die Hinterbliebenen durch den Missbrauch von
Daten Verstorbener in ihrem eigenen Persönlichkeitsrecht betroffen sein
(vgl. dazu Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 12).
Absatz 2
Abs. 2 S. 1 bezieht sieben Phasen (Erheben, Speichern, Verändern, Übermitteln,
Sperren, Löschen, Nutzen) in den Begriff der Datenverarbeitung
ein, welche anschließend in S. 2 näher definiert werden. „Nach wie vor
kommt der Legaldefinition einzelner Verarbeitungsphasen Bedeutung zu,
weil nicht darauf verzichtet werden kann, für sie im Gesetz besondere Zulässigkeitsanforderungen
vorzugeben…. Um für den Umgang mit personenbezogenen
Daten keine Regelungslücke offen zu lassen, wird in Satz 1 auch
das (sonstige) Nutzen personenbezogener Daten im Sinne jedweder Verwendung
als besondere Phase definiert und den übrigen Phasen gleichgestellt.
Auch das Bundesverfassungsgericht bindet das Recht auf informationelle
Selbstbestimmung nicht an bestimmte Phasen der Datenverarbeitung,
sondern spricht allgemein von der „Verwendung“ personenbezogener
Daten“ (Bü-Drs. 13/3282 zu § 4 Abs. 1). Die Regelung in Abs. 2 S. 1
HmbDSG unterscheidet sich insoweit von der bundesgesetzlichen Regelung,
als dass im BDSG die Nutzung als Verwendung außerhalb der Verarbeitung
definiert wird.
Abs. 2 S. 2 Nr. 1 definiert die Datenverarbeitungsphase der Erhebung.
„Das Recht, selbst über die Preisgabe und Verwendung persönlicher Daten
bestimmen zu dürfen, ist gerade am Beginn der Datenverarbeitung von
grundlegender Bedeutung. Der Begriff umfasst nicht die zufällig erlangten
56

oder aufgedrängten Informationen, für die aber Regelungen über die Zweckbindung
gelten sollen (vgl. § 13 Absatz 1 Satz 2)“ (Bü-Drs. 13/3282 zu § 4
Abs. 2). Das Gesetz „geht verfassungskonform in erster Linie vom Beschaffen
personenbezogener Daten beim Betroffenen selbst aus, muss jedoch bei
der Unterschiedlichkeit der Aufgabenstellung auch andere Formen der Informationsbeschaffung
mit einbeziehen. Die der Behörde zugewiesene Tätigkeit
kann es erforderlich machen, Informationen bei anderen Stellen oder
Personen zu beschaffen. Das Erheben umfasst folglich jede Form gezielt betriebener
Gewinnung personenbezogener Daten unter Mitwirkung Betroffener,
anderer öffentlicher Stellen oder privater Dritter sowie durch zweckgerichtete
Beobachtung“ (Bü-Drs. 13/3282 zu § 4 Abs. 2). Der Begriff des
Erhebens setzt also nach allgemeiner Auffassung ein finales, zielgerichtetes
Beschaffen personenbezogener Daten voraus. Unter welchen Voraussetzungen
eine Datenerhebung zulässig ist, wird in § 12 geregelt.
In Abs. 2 S. 2 Nr. 2 und 3 werden die Begriffsbestimmungen des Speicherns
und des Veränderns aus dem BDSG übernommen (s. Bü-Drs.
9/1112 zu § 4). Der Tatbestand des Speicherns ist erfüllt, wenn von der datenverarbeitenden
Stelle erhobene oder ihr sonst bekannte Informationen,
in welcher Form auch immer, „nachlesbar“ fixiert werden oder wenn von
anderer Seite (z.B. vom Betroffenen oder einem Dritten) übermittelte
Daten, die bereits auf einem Datenträger zur Verfügung gestellt wurden,
nunmehr von der datenverarbeitenden Stelle weiter vorrätig gehalten werden.
Unter den Begriff des Speicherns fällt jedoch nicht die automatisierte
Verarbeitung im Arbeitsspeicher eines Rechners, beispielsweise bei einer
reinen Videobeobachtung, bei der der Bildstrom nicht auf einem Datenträger
festgehalten wird. Das Merkmal des Verfügbar-Haltens ist hierbei nicht
gegeben.
Unter den Begriff des Veränderns fällt jede inhaltliche Umgestaltung von
gespeicherten Daten, durch welche sich der Informationswert ändert. Dies
kann auch durch die Verknüpfung von Daten aus verschiedenen Dateien
geschehen, da die Daten durch die Zusammenfassung ihren bisherigen
Kontext verlieren und einen neuen Informationsgehalt bekommen.
In Abs. 2 S. 2 Nr. 4 wird der Begriff der Übermittlung als Bekanntgabe von
Daten an Dritte definiert. Es werden vier Formen der Übermittlung benannt:
1. Weitergabe der Daten, 2. Bereitstellung von Daten zur Einsichtnahme,
3. Veröffentlichung und 4. Abruf von Daten in einem automatisierten
Verfahren.
In welcher Form die Weitergabe erfolgt (schriftlich, mündlich, per Fax, per
E-Mail oder durch Weitergabe eines Datenträgers), ist dabei unerheblich.
Nachdem die früher bestehende Beschränkung auf die Bekanntgabe
57

zuvor gespeicherter oder durch Datenverarbeitung gewonnener Daten aufgehoben
wurde, umfasst der Übermittlungsbegriff auch solche Daten, die
noch nicht auf einem Datenträger (vgl. § 4 Abs. 8) erfasst sind, sondern sich
(zunächst) nur „im Kopf“ einer oder eines Bediensteten der datenverarbeitenden
Stelle befinden (siehe dazu Bü-Drs. 15/4411 zu § 4).
Die Bekanntgabe von zur Einsicht bereitgehaltenen Daten betrifft
beispielsweise Planfeststellungsverfahren, in denen der Plan für eine
bestimmte Dauer zur Einsicht auszulegen ist (vgl. § 73 Abs. 3 S. 1
HmbVwVfG) und in denen die Behörden gem. § 3b HmbVwVfG den Vorschriften
des HmbDSG unterliegen, soweit sie personenbezogene Daten
verarbeiten.
Auch das Veröffentlichen von Daten an einen von vornherein nicht klar
bestimmten Adressatenkreis gehört zum Begriff des Übermittelns. Das
Bundesverfassungsgericht hat in einem Beschluss vom 24. Juli 1990
(NVwZ 1990, 1162) ausgeführt, die öffentliche Bekanntmachung (eine besondere
Form der Veröffentlichung) personenbezogener Daten stelle die
„intensivste Form einer Übermittlung personenbezogener Daten“ dar und
sei datenschutzrechtlich eine „Datenübermittlung auf Vorrat“.
Die Übermittlungsform des Abrufs von Daten aus einem automatisierten
Verfahren betrifft den Datenabruf aus einem automatisierten Abrufverfahren
(§ 11) und aus gemeinsamen und verbundenen Dateien (§ 11a).
Während nach früherer Rechtslage bereits das Bereithalten von Daten
zum Abruf als Übermittlung galt, ist nunmehr erst in dem tatsächlichen Datenabruf
eine Übermittlung zu sehen. Da mit Einführung der Regelungen
der §§ 11 und 11a besondere Zulässigkeitsvoraussetzungen für automatisierte
Abrufverfahren und gemeinsame und verbundene Dateien geschaffen
wurden, „besteht keine Notwendigkeit mehr, bereits im Bereithalten von
Daten zum Abruf eine Übermittlung zu sehen“ (Bü-Drs. 13/3182 zu § 4
Abs. 2 S. 2 Nr. 4). Siehe in diesem Zusammenhang auch die Vorschrift des
§ 14 Abs. 3 S. 4, der eine den tatsächlichen Verfügungsmöglichkeiten, der
an einem automatisierten Abrufverfahren oder an gemeinsamen und
verbundenen Dateien beteiligten Stellen, entsprechende Regelung der
datenschutzrechtlichen Verantwortung enthält (vgl. Bü-Drs. 13/3182 zu § 4
Abs. 2 S. 2 Nr. 4).
Unter welchen Voraussetzungen eine Datenübermittlung zulässig ist, wird
in den §§ 14 ff. geregelt.
In Abs. 2 S. 2 Nr. 5 „…wird das…Sperren als zusätzliche Datenverarbeitungsphase
definiert; es bedarf nicht der ausdrücklichen Erwähnung im Gesetz,
dass das Löschen als die regelmäßig dem Interesse der Betroffenen
dienende und noch stärker wirkende Maßnahme damit nicht ausgeschlos-
58

sen ist“ (Bü-Drs. 13/3282 zu § 4 Abs. 2). Die Sperrung von Daten bedeutet,
dass diese nur noch eingeschränkt verarbeitet und genutzt werden dürfen,
wobei diese Beschränkung kenntlich zu machen ist. Wann Sperrverpflichtungen
bestehen und welche Verarbeitungs- und Nutzungsbeschränkungen
dann bestehen, regelt § 19.
In Abs. 2 S. 2 Nr. 6 wird die Phase des Löschens definiert, welche die Verarbeitung
der Daten beendet. Unter Löschen ist jede Form der endgültigen
Unkenntlichmachung zu verstehen, vom Überschreiben bis hin zur physikalischen
Vernichtung. In jedem Fall müssen die Daten dauerhaft unlesbar
geworden bzw. eine Kenntnisnahme und auch eine Wiederherstellbarkeit
ausgeschlossen sein. Beim Löschen von sensiblen oder vertraulichen
Daten auf magnetischen Datenträgern ist daher zu gewährleisten, dass die
Daten sicher, d.h. vollständig und unumkehrbar, gelöscht werden. Einfache
Löschbefehle des jeweiligen Betriebssystems oder auch das Formatieren
des Datenträgers reichen hierzu regelmäßig nicht aus, denn dabei werden
nur die Indexeinträge modifiziert. Die Daten selbst bleiben auf dem Datenträger
erhalten und können mit frei verfügbaren Softwarewerkzeugen
leicht wiederhergestellt werden. Daten, die sicher gelöscht werden sollen,
müssen durch physikalische Maßnahmen (mechanische oder thermische
Zerstörung, magnetische Durchflutung des Datenträgers) oder durch
mehrmaliges Überschreiben unkenntlich gemacht werden. Das Bundesamt
für Sicherheit in der Informationstechnik hat dazu in den Grundschutzkatalogen
differenzierte Ausführungen gemacht, wie das Löschen umgesetzt
werden kann (vgl. insbesondere https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/content/m/m02/m024
33.html).
Eine Wiederherstellbarkeit von Daten ist auch dann gegeben, wenn neben
dem Produktivdatenbestand nicht auch die Backup-Dateien der Datensicherung
in die Löschung mit einbezogen werden. Wenn die gesetzliche
Verpflichtung besteht, dass zu einem definierten Zeitpunkt die Löschung
erfolgt sein muss, so betrifft diese Löschungsverpflichtung auch die Datensicherung.
So sind etwa die biometrischen Fingerabdruckdaten, die bei der
Antragstellung eines Reisepasses erhoben werden, spätestens mit der
Aushändigung des Reisepasses an den Antragsteller zu vernichten. Zu
diesem Zeitpunkt dürfen diese Daten somit auch nicht mehr in der Datensicherung
gespeichert sein (22. TB. 2008/2009, III 18.1).
In Abs. 2 S. 2 Nr. 7 wird jede Verwendung von Daten als das Nutzen von
Daten definiert und den sonstigen Datenverarbeitungsphasen gleichgestellt.
Erfasst wird jeder zweckgerichtete Gebrauch des Datums. Eine Nutzung
kann bspw. im Auswerten von Daten, einer stelleninternen Weitergabe
oder in einer zielgerichteten Kenntnisnahme bestehen.
59

Absatz 3
Mit dem zweiten Gesetz zur Änderung des HmbDSG wurde der frühere Begriff
der „speichernden Stelle“ durch den Begriff der „Daten verarbeitenden
Stelle“ ersetzt, weil es auf das Kriterium der Speicherung für die Anwendung
des Gesetzes nicht wesentlich ankommt (vgl. Bü-Drs. 16/3995 zu § 4
Abs. 3). „Der Daten verarbeitenden Stelle entspricht der Begriff des „für die
Verarbeitung Verantwortlichen“ im Sinne von Artikel 2 Buchstabe d der EG-
Datenschutzrichtlinie.“ (Bü-Drs. 16/3995 zu § 4 Abs. 3). Daten verarbeitende
Stelle ist jede der in § 2 Abs. 1 S. 1 genannten Stellen, die gem. § 3
Abs. 2 personenbezogene Daten verarbeitet. Sie ist grundsätzlich Normadressat
dieses Gesetzes. Für den Begriff der Stelle verweist das Gesetz
auf § 2 Abs. 1 S. 1 und die dort genannten Stellen. Da im Datenschutzrecht
der sogenannte „funktionale Behörden- bzw. Stellenbegriff“ gilt, sind in der
Regel nicht die Behörden als Ganzes, sondern ihre organisatorisch unselbstständigen
funktionalen Einheiten, welchen eine spezielle öffentlichrechtliche
Verwaltungstätigkeit (Fachaufgabe) übertragen worden ist, z.B.
Jugend-, Melde-, Gesundheits- oder Standesämter, die Ausländerbehörde
als Abteilung des Einwohnerzentralamtes der Behörde für Inneres, Daten
verarbeitende Stelle i.S. d. HmbDSG (vgl. zum funktionalen Behördenbegriff
die Erläuterungen zu § 2 Abs. 1). Auch wenn die öffentliche Stelle die
Daten durch andere in ihrem Auftrag verarbeiten lässt, bleibt sie für die Einhaltung
der Vorschriften dieses Gesetzes verantwortlich (vgl. § 3 Abs. 1).
„Die Formulierung „allein oder gemeinsam mit anderen“ stellt klar, dass im
Falle verteilter Datenverarbeitung jede beteiligte Stelle als Daten verarbeitende
Stelle gilt. Besondere Vorschriften über die datenschutzrechtliche
Verantwortung, z.B. nach § 11 a Absatz 1 Satz 4, bleiben hiervon allerdings
unberührt.“ (Bü-Drs. 16/3995 zu § 4 Abs. 3).
Absatz 4
Verschiedene Daten verarbeitende Stellen sind im Verhältnis zueinander
Dritte. Einzelne Teile der Daten verarbeitenden Stelle oder andere „Untergliederungen
einer Stelle, die bloße Hilfstätigkeiten für die von der Stelle zu
erfüllenden Aufgaben erbringen (z.B. Zentrale Schreibdienste, Hausdruckerei)
sind mangels eigenen Aufgabenbereichs keine „Dritte“.“ (Bü-Drs.
13/3282 zu § 4 Abs. 3).
Da bei einer Auftragsdatenverarbeitung gem. § 4 Abs. 3 und § 3 Abs. 1 die
datenschutzrechtliche Verantwortung bei dem Auftraggeber verbleibt und
er über die Art und Weise der Datenverarbeitung bestimmt, sind Auftragnehmer
grundsätzlich nicht als Dritte i.S. d. HmbDSG zu betrachten. Dies
hat zur Folge, dass die Übermittlungsvorschriften hier keine Anwendung
finden. Früher galt dies nur für inländische Auftragsdatenverarbeiter. In
60

Umsetzung der EG-Datenschutzrichtlinie (Art. 2 Buchstabe f), wonach die
Mitgliedsstaaten den freien Verkehr personenbezogener Daten zwischen
den Mitgliedsstaaten nicht unter Berufung auf Gründe des Datenschutzes
beschränken oder untersagen dürfen, gilt dies auch für Auftragsdatenverarbeiter
in den Mitgliedsstaaten der EU. Ist der Auftragnehmer jedoch
außerhalb des Anwendungsbereiches der EU-Richtlinie tätig, ist er als Dritter
zu behandeln. Das gilt z.B. auch für Unternehmen in den USA, die von
dort aus die Fernwartung für in hamburgischen öffentlichen Stellen eingesetzte
amerikanische IuK-Anlagen durchführen, vgl. § 3 Abs. 4 Nr. 2.
Der Betroffene selbst ist nicht Dritter im Sinne des HmbDSG. Dies gilt
jedoch nur im Verhältnis zwischen dem Betroffenen und der Daten verarbeitenden
Stelle. Es gibt jedoch Konstellationen, in welchen die Daten
einer weiteren Person (mit)verarbeitet werden müssen (z.B. Einkommensverhältnisse
des Ehepartners oder Bürgen in Subventions-, Sozial-, oder
Besteuerungsverfahren). Bei einer Weitergabe dieser Daten ist der Antragsteller
bzw. die weitere Person dann Dritter und die Voraussetzungen für
eine zulässige Datenübermittlung müssen geprüft werden.
Absatz 5
…„definiert den auch von der EG-Datenschutzrichtlinie verwendeten Begriff
der Empfängerinnen und Empfänger. …Zu den Empfängerinnen und Empfängern
zählen neben den (dritten) Stellen, denen Daten übermittelt werden…auch
Auftragsdatenverarbeiter sowie innerhalb einer Daten verarbeitenden
Stelle solche Daten empfangenen Untergliederungen, die andere
Aufgaben wahrnehmen als diejenigen Untergliederungen, von denen sie die
Daten erhalten.“ (Bü-Drs. 16/3995 zu § 4 Abs. 5).
Absatz 6
Vor der Neufassung des HmbDSG im Jahr 1990, mit der das Volkzählungsurteil
des BVerfG gesetzlich umgesetzt wurde, kam der Definition des Dateibegriffs
eine wesentlich größere Bedeutung zu, als es heute der Fall ist.
Begründet war dies darin, dass bis dahin die Anwendbarkeit des Datenschutzgesetzes
an den Dateibegriff geknüpft und nach der damaligen Definition
die aktenmäßige Datenverarbeitung nicht vom Dateibegriff erfasst
war. Die Folge war, dass die aktenmäßige Datenverarbeitung durch öffentliche
Stellen nicht dem HmbDSG unterfiel. Diese Beschränkung wurde jedoch
dem Grundrecht auf informationelle Selbstbestimmung, welches im
öffentlichen Bereich für jede Form der Datenverarbeitung Geltung hat,
nicht gerecht. Mit der Neufassung im Jahr 1990 wurde daher der Anwendungsbereich
des HmbDSG erweitert und für jede Form der Datenverarbeitung
eröffnet, also auch für die nicht automatisierte Datenverarbeitung
61

in Akten, so dass insoweit die Definition des Dateibegriffs an Bedeutung
verloren hat (vgl. Bü-Drs. 13/3282 zu § 1 und § 4 Abs. 5).
Seit der Gesetzesänderung im Jahre 2001 wird der Begriff der Datei im
HmbDSG in Anlehnung an Art. 2 Buchstabe c der EG-Datenschutzrichtlinie
definiert. Danach ist eine Datei jede strukturierte Sammlung personenbezogener
Daten, die nach bestimmten Kriterien zugänglich ist, so dass
auch strukturierte Akten und Aktensammlungen vom Dateibegriff erfasst
werden. Eine strukturierte Aktensammlung liegt vor, wenn z.B. die zu einer
Person geführte Akte in einer Hängeregistratur abgelegt wird, deren Ordnung
an die alphabetische Reihenfolge der Namen anknüpft oder durch
Aktenzeichen nach Aktenplan gekennzeichnet ist. Dadurch, dass Akten
nun vom Dateibegriff umfasst wurden, wurde die bis dato bestehende eigenständige
Legaldefinition des Begriffs der Akte als „jede sonstige amtlichen
und dienstlichen Zwecken dienende Unterlage; nicht hierunter fallen
Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen“
für verzichtbar erachtet (Bü-Drs. 16/3995 zu § 4 Abs. 6).
Nach wie vor sind jedoch „für die aktenmäßige Datenverarbeitung einige
Sonderregelungen unvermeidbar, weil sich nur so sachgerechte und überzeugende
Ergebnisse erzielen lassen. Bei konventioneller Verarbeitung personenbezogener
Daten in bzw. aus Akten handelt es sich gegenüber der automatisierten
Datenverarbeitung oft nicht um ausschließlich auf eine bestimmte
Person bezogene Einzelinformationen, sondern um personenbezogene
Angaben, die untrennbar mit anderen Daten verbunden sind, so dass
die an sich gebotene beschränkte Übermittlung, die Auskunft oder die Korrektur
bestimmter Daten in der Regel nicht möglich ist, ohne den inneren und
äußeren Sachzusammenhang der Informationen zu zerstören. Bestimmte
Pflichten datenverarbeitender Stellen können daher nicht mit den gleichen
Methoden verwirklicht werden, wie dies bei der Datenverarbeitung in automatisierten
Verfahren möglich ist.“ (Bü-Drs. 13/3282 zu § 4 Abs. 6). Bei der
Anwendung dieser Sonderregelungen für die aktenmäßige Datenverarbeitung
(z.B. § 14 Abs. 2 Übermittlung aus Akten, § 18 Abs. 1 Auskunft aus
Akten, § 19 Abs. 2 u. 3 Sperrung und Löschung von Daten) führte die
frühere Legaldefinition des Aktenbegriffs „nicht wesentlich weiter, da es
dort ersichtlich nicht darauf ankommt, dass es sich um eine amtlichen oder
dienstlichen Zwecken dienende Unterlage handelt, was auch von einzelnen
Vorgängen innerhalb einer Akte behauptet werden könnte, sondern auf den
Konvolutcharakter einer Akte im herkömmlichen Sinne, der die Erschließung
einzelner Daten wesentlich erschwert, auf der anderen Seite aber auch die
davon ausgehenden Gefahren für das Recht auf informationelle Selbstbestimmung
als weniger gravierend erscheinen lässt, als diejenigen, die von
62

einer ohne weiteres auswertbaren Datei ausgehen.“ (Bü-Drs. 16/3995 zu
§ 4 Abs. 6).
Zu beachten ist, dass die genannten Sonderregelungen (Aktenprivilegien)
für die aktenmäßige Bearbeitung zu Zeiten der Papieraktenführung getroffen
wurden und sich daher auch nur auf Papierakten beziehen. Für die
immer mehr zunehmende Datenverarbeitung in elektronische Akten sind
die spezialgesetzlichen Vorschriften, welche die elektronische Aktenführung
regeln, zu beachten.
Gemeinsames Merkmal aller Dateien und auch der Akten ist, dass sie
Sammlungen von personenbezogenen Daten auf Datenträgern sind.
In § 4 Abs. 6 wird zwischen der automatisierten Datei und der nicht-automatisierten
Datei unterschieden. In einer automatisierten Datei werden personenbezogene
Daten durch ein bestimmtes automatisiertes Verfahren verarbeitet.
Ein automatisiertes Verfahren umfasst demzufolge sämtliche Programme
und Programmteile, mit denen die Daten verarbeitende Stelle aufgrund
einer bestimmten Rechtsgrundlage für einen bestimmten Zweck
personenbezogene Daten verarbeitet. Bei einem automatisierten Verfahren
werden Daten von Systemkomponenten nach vorgegebenen Regeln in
Programmen verarbeitet. Es müssen dabei nicht alle Phasen der Verarbeitung
automatisiert sein. Beispielsweise ist die Speicherung der Daten nicht
zwingend erforderlich. Daher fällt auch die Videobeobachtung unter den
Begriff des automatisierten Verfahrens, auch wenn keine Aufzeichnung erfolgt.
In der Praxis wird häufig die Frage gestellt, ob es sich bei Bürokommunikationsprogrammen,
wie etwa Textverarbeitungs- oder Tabellenkalkulationsprogrammen,
um ein automatisiertes Verfahren i.S. des Datenschutzgesetzes
handelt. Ein Bürokommunikationsprogramm für sich allein
kann kein automatisiertes Verfahren i.S. d. HmbDSG sein, weil kein Bezug
zur Verarbeitung personenbezogener Daten besteht. Im Gegensatz dazu
sind aber das Bürokommunikationsprogramm und damit erstellte Dateien,
mit denen personenbezogene Daten verarbeitet werden (z.B. Excel-Tabelle
mit zu überwachenden Gaststättenbetreibern etc.), automatisierte Verfahren
i.S. d. HmbDSG.
Dem verarbeitungstechnisch geprägten Dateibegriff werden diejenigen
nicht-automatisierten sonstigen strukturierten Datensammlungen gleichgestellt,
die gleichartig aufgebaut sind und nach bestimmten Merkmalen
geordnet und ausgewertet werden können (nicht-automatisierte Datei) (vgl.
Bü-Drs. 13/3282 zu § 4 Abs. 5). Eine nicht-automatisierte Datensammlung
ist dann gleichartig aufgebaut, wenn sie derart strukturiert ist, dass sie eine
äußere Ordnung aufweist, nach der die verschiedenen Arten von Daten in
einer bestimmten räumlichen Verteilung, einer bestimmten physikalischen
63

oder logischen Struktur dargestellt sind. Nach bestimmten Merkmalen zugänglich
ist die Datensammlung, wenn sich die in der Sammlung enthaltenen
Daten nicht nur durch ein Durchsehen der gesamten Sammlung auffinden
lassen, sondern vereinfachte Möglichkeiten der inhaltlichen Erschließung
bestehen, die einen leichten Zugriff auf die Daten ermöglichen,
z.B. eine alphabetische, chronologische Sortierung oder ein der Sammlung
zugeordnetes automatisches Erschließungssystem, das eine programmgesteuerte
Suche mit Hilfe von Identifikations- oder Sachmerkmalen
erlaubt (z.B. Halter des Fahrzeugs mit dem polizeilichen Kennzeichen
XY). Beispiele für nicht-automatisierte Dateien sind Krankheits- oder
Kundenkarteien und geordnete Sammlungen ausgefüllter Formulare wie
Anträge oder Erfassungsbögen.
Absatz 7
„Die Bestimmung ermöglicht es, den Gesetzeswortlaut dort kürzer zu fassen,
wo alle in Betracht kommenden Personen, Behörden…oder sonstige
verselbständigte Handlungseinheiten erfasst werden sollen.“ (Bü-Drs.
13/3282 zu § 4 Abs. 7). Beispiele für die Verwendung des Begriffs der Stelle
im Sinne der Definition des Abs. 7 finden sich z.B. in § 5 Abs. 3 S. 3, wonach
alle Stellen, denen Daten übermittelt worden sind, zu verständigen sind
und in § 28 Abs. 5 S. 2, wo von der „untersuchenden Stelle“ die Rede ist.
Absatz 8
Der Begriff des Datenträgers (z.B. in § 4 Abs. 2 Nr. 2 und 6) erfasst jedes
Medium das geeignet ist, personenbezogene Daten aufzunehmen, d.h.,
auf dem Informationen für eine spätere Wahrnehmung festgehalten werden
können (vgl. dazu Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 26).
Auf die Art des Datenträgers kommt es also nicht an. Regelmäßig sind dies
schriftliche Unterlagen, Akten, Karteien oder elektronische Datenträger
wie USB-Sticks, Chipkarten, CD, DVD, Festplatten. Als Datenträger z.B.
von genetischen Daten kommt auch Körpergewebe in Betracht. Genetische
Untersuchungen von Gewebe, Blut u.a. unterliegen jedoch bereichsspezifischen
Sonderregelungen (z.B. Gendiagnostikgesetz und § 12a
HmbKHG).
Absatz 9
In Abs. 9 ist die Definition des Anonymisierens enthalten, die für die §§ 27
und 31 „sowie für Sonderregelungen in bereichsspezifischen Gesetzen
Bedeutung hat, falls dort nicht eine andere – nach § 2 Absatz 7 vorrangige –
Regelung getroffen wurde. Die Definition stellt klar, dass personenbezogene
Daten nicht nur dann anonymisiert sind, wenn ein Personenbezug über-
64

haupt nicht mehr herstellbar ist, sondern auch dann, wenn die Zuordnung
nur noch mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft
möglich wäre (faktische Anonymisierung)“ (Bü-Drs. 15/ 4411 zu § 4 Abs. 9).
Ziel der Anonymisierung ist es, den Gehalt eines Datensatzes zu einer
Person zu erhalten, ohne dass noch eine inhaltliche Aussage über eine
bestimmte Person möglich ist. Solche anonymisierten Daten werden im
Bereich der Statistik und Planung und der wissenschaftlichen Forschung
verwendet.
Abs. 9 unterscheidet in seiner Definition zwei Arten des Anonymisierens.
Alternative 1 betrifft die absolute Anonymisierung, bei der für die verbleibenden
Daten überhaupt kein Personenbezug mehr hergestellt werden
kann. Alternative 2 bezeichnet die sogenannte faktische Anonymisierung,
bei der die Herstellung des Personenbezugs zwar theoretisch, aber nur
noch mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft
möglich ist.
Bei der Beantwortung der Frage, ob der zu betreibende Aufwand „unverhältnismäßig
hoch“ wäre und deshalb ein Personenbezug praktisch nicht
mehr hergestellt werden kann, sind strenge Maßstäbe anzusetzen. Es handelt
sich dabei immer um eine aus objektiver Sicht zu treffende Einzelfallentscheidung.
Dabei kommt es darauf an, ob Erkenntnisquellen (Zusatzwissen)
zur Verfügung stehen oder stehen könnten, welche eine personenbezogene
Zuordnung ermöglichen würden. Der Streit, ob Zusatzwissen
nur der Daten verarbeitenden Stelle oder auch das Zusatzwissen Dritter
ausreicht, ist durch die EG-Datenschutzrichtlinie 95/46 (Erwägungsgrund
26) dahingehend entschieden worden, dass auch Drittwissen ausreicht.
Für die Verfügbarkeit des Zusatzwissens genügt also auch eine theoretische
Möglichkeit. Nicht beachtlich ist, dass diese Möglichkeit nicht in Anspruch
genommen werden soll oder dass der Aufwand einer Zuordnung
nur für die betreffende Stelle unverhältnismäßig ist. Wenn auch das Zusatzwissen
nur unter einem unverhältnismäßigen Aufwand an Zeit, Kosten
und Arbeitskraft beschafft werden kann, genügt dies für eine Anonymisierung.
Die verantwortliche Stelle trägt die Beweislast für eine ausreichende
Anonymisierung (vgl. Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3
Rn 46 f.). Eine Anonymisierung kann in sehr unterschiedlicher Weise erfolgen.
Bereits Erhebung und Speicherung können anonym erfolgen. Dies
setzt jedoch voraus, dass nicht feststellbar ist (z.B. durch Markierungen der
Belege oder Handschriftenabgleich), wer welche Erhebungsbögen abgegeben
hat. Auch darf nicht nach Angaben gefragt werden, durch die Einzelne
ohne unverhältnismäßig großen Aufwand aus der Gesamtmenge der
Befragten bestimmbar sind.
65

In den empirischen Sozial- und Erziehungswissenschaften wird die Bezeichnung
„anonyme Befragung“ häufig bereits dann verwendet, wenn
keine Namen und Anschriften erhoben werden oder wenn diese Angaben
nur mit Hilfe einer laufenden Nummer auf dem Erhebungsbogen und einer
unter Verschluss gehaltenen (evtl. zur späteren Vernichtung vorgesehenen)
Zuordnungsliste auf bestimmte Personen bezogen werden können.
Dieser Sprachgebrauch entspricht jedoch nicht dem Datenschutzgesetz
und kann daher eine die Einwilligung unwirksam machende Täuschung
der Betroffenen darstellen. In den meisten Fällen lässt sich bei einer Befragung
schwer vermeiden, dass einzelne Personen aus der Kombination
ihrer Angaben und den Umständen der Erhebung bestimmbar sind. Deshalb
ist die nachträgliche Anonymisierung der Regelfall (vgl. Simitis,
BDSG, 7. Aufl., § 3 Rn 201 f.).
In der Praxis werden ganz unterschiedliche Methoden der Anonymisierung
angewendet. Welche Methode zum Erfolg führt, hängt vom Aufbau und
Inhalt des jeweiligen Datenbestandes ab. Da alle Möglichkeiten, die Bezugspersonen
mit noch verhältnismäßigem Aufwand zu bestimmen, ausgeschlossen
werden müssen, wird häufig eine Kombination mehrerer Methoden
erforderlich sein (vgl. Simitis, BDSG, 7. Aufl., § 3 Rn 205). Unerlässlicher
Bestandteil der Anonymisierung ist in jedem Falle die Löschung der
expliziten bzw. direkten Identifikationsmerkmale wie Namen, Anschriften,
Personenkennzeichen, Kontonummern usw. Dies kann zwar schon im
Interesse der Datensparsamkeit geboten sein, ist aber in der Regel nicht
ausreichend für eine Anonymisierung im Sinne des Datenschutzrechts.
Ist eine Bestimmung von Bezugspersonen dadurch möglich, dass innerhalb
der Gesamtheit der vom Datenbestand betroffenen Personen (z.B.
Einwohner der Gemeinde A) eine bestimmte Merkmalsausprägung oder
eine bestimmte Kombination von Merkmalsausprägungen nur bei wenigen
oder gar nur einer Person vorliegt (z.B. „Alter 103 Jahre“ oder „6 Kinder“),
so müssen diese Angaben gelöscht und durch allgemeiner gehaltene Aussagen
(wie etwa „Alter über 80 Jahre“ oder „3 und mehr Kinder“ ersetzt
werden (Merkmalsaggregierung) oder die Bezugsgröße (Kreis, Bezirk,
Land) vergrößert werden. In jedem Fall müssen pro Merkmalsausprägung
mindestens vier Fälle vorliegen, damit ein Personenbezug auch durch
Subtraktion ausgeschlossen ist. Das sehr selektive Geburtsdatum kann
meist ohne wesentlichen Informationsverlust durch das Geburtsjahr ersetzt
werden. Verallgemeinert besteht die Methode der Aggregierung
darin, bei quantitativen Merkmalen (Größe, Einkommen, Alter usw.)
größere Größenklassen zu bilden und bei qualitativen Merkmalen die selten
auftretenden Ausprägungen in allgemeinere Ausdrücke mit aufzunehmen
(z.B. „Oberbürgermeister“ zu „leitendes Verwaltungspersonal“).
66

Eine weitere im Bereich der Statistik verwandte Methode, die Bestimmbarkeit
der Bezugspersonen aufzuheben, besteht darin, in kontrollierter Weise
Fehler in den Datenbestand einzubauen (vgl. zum Ganzen Simitis, BDSG,
7. Aufl., § 3 Rn 206 ff.).
Insbesondere bei komplexeren Datensätzen lässt sich zumeist keine absolute,
sondern nur eine faktische Anonymisierung erreichen. Wenn Daten
nicht absolut anonym sind, sondern nur im Hinblick auf den unverhältnismäßigen
Aufwand einer Personenbestimmung, so ist zu bedenken, dass
sich dieser Aufwand im Zeitverlauf verändern kann, z.B. durch nun (leichter)
verfügbares Zusatzwissen, nachträgliche Veröffentlichungen von
Daten, welche eine Zuordnung ermöglichen, oder neue automatisierte
Datenverarbeitungsverfahren. Ein Beispiel ist die Anonymität von DNA-Sequenzen:
Je verbreiteter genetische Untersuchungen nicht nur in der
Forschung, sondern auch in der (personenbezogenen) Diagnostik werden,
desto größer das Risiko, dass DNA-Vergleiche z.B. in forschenden Universitätskliniken
zu einer Identifizierbarkeit der Person führen, von der die
Probe stammt.
Nur faktisch anonymisierte Daten sind daher zwar aktuell nicht personenbezogen,
aber doch potentiell personenbezogen (vgl. Simitis, BDSG,
7. Aufl., § 3 Rn 36). Der Begriff des Anonymisierens schließt somit ein
gewisses Restrisiko der Reidentifizierung ein (vgl. Däubler/Klebe/Wedde/
Weichert, BDSG, 3. Aufl., § 3 Rn 50).
Diesem Risiko der Reidentifizierung muss durch geeignete technische und
organisatorische Maßnahmen Rechnung getragen werden. So müssen
Schutzmaßnahmen gegen unbefugten Zugang und zur Sicherung der
Integrität ergriffen werden. Getroffene technische und organisatorische
Maßnahmen müssen regelmäßig auf ihre anhaltende Wirksamkeit geprüft
werden und bei der Übermittlung oder Veröffentlichung anonymisierter Datenbestände
muss berücksichtigt werden, dass solche Datenbestände,
auch wenn sie für sich genommen anonym sind, im Verhältnis zu anderen,
ähnlich hergestellten Datenbeständen gerade das Zusatzwissen enthalten
können, das eine Identifizierung von Bezugspersonen mit geringerem Aufwand
ermöglichen kann. Die für eine statistische Datenbank oder ein sozialwissenschaftliches
Archiv verantwortliche Stelle muss daher den Umlauf
von Versionen, die im Zusammenspiel eine Bestimmbarkeit der Betroffenen
mit verhältnismäßigem Aufwand ermöglichen könnten, genau kontrollieren,
z.B. indem solche Datenbestände nur für begrenzte Zeit zur
Verfügung gestellt werden (vgl. zum Ganzen Simitis, BDSG, 7. Aufl.; § 3 Rn
36 und 211). Nicht mehr erforderliche anonymiserte Daten sollten daher
gelöscht werden, um jedwede Reidentifizierungsgefahr auszuschließen.
67

In § 43 Abs. 2 BDSG, §§ 21, 22 Bundesstatistikgesetz (BStatG) und § 9
Hamburgisches Statistikgesetz (HmbStatG) sind strafbewehrte Reidentifizierungsverbote
normiert.
Absatz 10
Pseudonymisieren ist das Verändern identifizierbarer, direkt personenbezogener
Daten durch Verwendung einer Zuordnungsregel derart, dass die
Einzelangaben – mit einem verhältnismäßigen Aufwand – nur in Kenntnis
dieser Regel einer bestimmten oder bestimmbaren natürlichen Person zugeordnet
werden kann. An die Stelle identifizierbarer Daten tritt ein Pseudonym,
welches es ermöglicht, personenbezogene Daten ohne Kenntnis
der Identität des Betroffenen zu nutzen.
Die Grenze zwischen Anonymisieren und Pseudonymisieren ist fließend.
Während das Anonymisieren von Daten darauf abzielt, deren Zuordnung
zu einer Person dauerhaft gegenüber jedem auszuschließen, existiert
beim Pseudonymisieren eine Zuordnungsregel, die es dem Kenner dieser
Regel ermöglicht, den Personenbezug wieder herzustellen. Dabei ist zu
beachten, dass das Erschweren der Identifizierung durch Pseudonym bei
Fehlen der Zuordnungsfunktion zur Anonymisierung führen muss. Entscheidend
ist, dass durch die Verwendung eines sicheren Pseudonyms unbefugte
Dritte keine Möglichkeit der Identifizierung bekommen. Leicht
identifizierbare Chiffren (z.B. Initialen, Namensbestandteile verbunden mit
Geburtsdatum) genügen daher für eine wirksame Pseudonymisierung
nicht (vgl. Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl., § 3 Rn 52).
Hiergegen verstießen in der Vergangenheit immer wieder Sponsoren von
klinischen Arzneimittelstudien, die den Prüfärzten vorgaben, Probandendaten
für den Sponsor / Arzneimittelhersteller nur mit den Initialen und /
oder dem Geburtsdatum zu codieren, anstatt sie nach § 40 Abs. 2a Nr. 1b
Arzneimittelgesetz (sicher) zu pseudonymisieren.
Pseudonyme können unterschiedlich gestaltet werden. Hinsichtlich der
verschiedenen Arten und Verfahren der Pseudonymisierung (vgl. dazu
Hinweise des AK „Technische und organisatorische Datenschutzfragen“ in
BfD, 17. TB, S. 601; Orientierungshilfe: Pseudonymisierung in der medizinischen
Forschung http://www.datenschutz-bayern.de/technik/orient/
ohilfe_psn_03.html) kann unterschieden werden, ob der Personenbezug
nur vom Betroffenen (selbstgenerierte Pseudonyme), nur über eine Referenzliste
(Referenz-Pseudonyme) oder nur unter Verwendung einer sog.
Einweg-Funktion mit geheimen Parametern (Einweg-Pseudonyme) wieder
hergestellt werden kann (Gola/Schomerus, BDSG, 11. Aufl., § 3 Rn 47).
Selbst generierte Pseudonyme werden ausschließlich vom Betroffenen
vergeben und dürfen nicht gleichzeitig mit dessen Identitätsdaten verwen-
68

det oder gespeichert werden, damit gewährleistet ist, dass die unter
Pseudonym gespeicherten Daten nur durch den Betroffenen selbst diesem
wieder zugeordnet werden können.
Referenz- und Einweg-Pseudonyme werden durch die Daten verarbeitende
Stelle oder einen vertrauenswürdigen Dritten (z.B. Datentreuhänder
in der wissenschaftlichen Forschung) vergeben. Bei Referenz-Pseudonymen
kann die Zuordnung zu dem Träger des Pseudonyms über entsprechende
Referenzlisten erfolgen. Ohne Verwendung entsprechender Listen
ist die Identität des Betroffenen dann nicht zu ermitteln. Einweg-Pseudonyme
zeichnen sich dadurch aus, dass sie – möglichst mittels mathematischer
Algorithmen, „notfalls“ auch manuell – aus personenbezogenen
Identitätsdaten gebildet werden. Einweg-Verschlüsselungen erfolgen z.B.
bei medizinischen Verlaufs- oder Längsschnitt-Studien, bei denen spätere
Befunde den früheren zugeordnet werden müssen, ohne dass für die Forscher
die Identität der betroffenen Personen offenbart wird. Zu verschiedenen
Zeitpunkten leiten die behandelnden Ärzte vor Ort von den feststehenden
Identitätsdaten (Namensbestandteilen, Geburtsdaten) nach derselben
Regel immer dasselbe Pseudonym ab, das „rückwärts“ aber nicht entschlüsselt
werden kann. Wenn jedoch eine bekannte Grundgesamtheit gegeben
ist und ein (manuelles) Standardverfahren zur Pseudonymisierung
genutzt wird, kann eine nachträgliche Zuordnung leicht vorgenommen
werden. Ein pseudonymisierter Datenbestand kann daraufhin untersucht
werden, ob die Daten einer bestimmten Person dort enthalten sind, indem
deren Identitätsdaten mit dem genutzten Pseudonymisierungs-Algorithmus
verarbeitet werden, um daraus den Suchbegriff zu generieren. Um
dies zu verhindern, kann ein Pseudonym aus bekannten Identifizierungsmerkmalen
und zusätzlich einer geheimen Zufallszahl gebildet werden.
Aufgrund der Tatsache, dass bei pseudonymisierten Daten eine Zuordnungsregel
existiert, über welche das Pseudonym einer Person zugeordnet
und somit der Personenbezug hergestellt werden kann, stellen pseudonymisierte
Daten personenbezogene bzw. personenbeziehbare Daten
i.S. des § 4 Abs. 1 dar. Sie unterfallen damit den Vorschriften dieses Gesetzes.
Daher benötigen sowohl die übermittelnde Stelle als auch die Empfänger
von pseudonymisierten Daten für die Verarbeitung dieser Daten eine
Rechtsgrundlage oder die Einwilligung der Betroffenen.
Zu § 5 Zulässigkeit der Datenverarbeitung
Die Vorschrift vereinigt mehrere Prinzipien, die bei der Datenverarbeitung
personenbezogener Daten einzuhalten sind:
69

– das Verbot mit Erlaubnisvorbehalt (Abs. 1, S. 1)
– den erhöhten Schutzbedarf besonders sensibler Datenarten (Abs. 1, S. 2)
– die Freiwilligkeit, „Informiertheit“ und Widerruflichkeit einer Einwilligung
(Abs. 2)
– die Berücksichtigung besonderer persönlicher Einwände (Abs. 3)
– Datenvermeidung und Datensparsamkeit (Abs. 4).
Absatz 1, Satz 1
Jede Verarbeitung personenbezogener Daten durch eine öffentliche Stelle
greift mehr oder weniger stark in Grundrechte der Person ein, über die die
Daten Informationen offenbaren (Betroffene, § 4 Abs. 1). Im Volkszählungsurteil
von 1983 hat das Bundesverfassungsgericht aus Art. 1 Abs. 1 Grundgesetz
(Menschenwürde) und Art. 2 Abs. 1 GG (Persönlichkeitsrecht) ein
„Grundrecht auf informationelle Selbstbestimmung“ abgeleitet – „die Befugnis
des Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung
seiner persönlichen Daten zu bestimmen.“ (BVerfGE 65, 1 ff.).
Dieses Grundrecht gilt jedoch nicht unbegrenzt, es wird nach Art. 2 Abs. 1
GG vielmehr durch die „Rechte anderer“ eingeschränkt. Damit sind normenklare,
verhältnismäßige gesetzliche oder auf einem Gesetz beruhende
Rechtsverordnungen im Allgemeininteresse gemeint, die ausdrücklich die
Verarbeitung personenbezogener Daten zum Gegenstand haben.
Die Einwilligung durch die betroffene Person ist unmittelbare Wahrnehmung
der informationellen Selbstbestimmung, also Grundrechtsausübung,
und kann damit – allerdings in Grenzen, siehe unten Abs. 2 –
grundsätzlich ebenfalls eine Verarbeitung von Daten der einwilligenden
Person durch öffentliche Stellen rechtfertigen.
Absatz 1, Satz 2
„Die neu angefügten Sätze 2 und 3 setzen die Bestimmungen des Artikels 8
der EG-Datenschutzrichtlinie über die Verarbeitung besonderer Kategorien
personenbezogener Daten (sogenannte sensitive Daten) um. … Aufgrund
der Richtlinie war die Vorschrift ungeachtet möglicher Probleme, die ihre Anwendung
nach sich ziehen kann, zwingend in das Hamburgische Datenschutzgesetz
aufzunehmen. Mit Schwierigkeiten ist insbesondere in Fällen
zu rechnen, in denen Betroffene selbst der Verwaltung Daten der genannten
Art offenbaren, ohne dass eine besondere Rechtsvorschrift die Datenverarbeitung
zulässt. Zu denken ist etwa an Eingaben, in denen Petenten ihre
politischen Anschauungen oder gesundheitlichen Verhältnisse kundtun“
(Bü-Drs. 16/3995 zu Nr. 6 (§ 5) Abs. 1).
70

Nr. 1 (besondere Rechtsvorschrift) verweist z.B. auf Regelungen zur Kirchensteuererhebung,
auf das Gesetz für Hilfen und Schutzmaßnahmen
bei psychischen Krankheiten oder das Hamburgische Krankenhausgesetz.
„Weltanschauliche Überzeugungen“ können auch zulässiger Gegenstand
der Datenverarbeitung nach dem Hamburgischen Verfassungsschutzgesetz
sein.
Nr. 2 fordert bei einer Einwilligung in die Verarbeitung sensitiver Daten,
dass sie ausdrücklich, d.h. im Hinblick auf die besondere Schutzbedürftigkeit,
erklärt wurde.
Auch die weiteren Nummern des S. 2 beruhen auf Einzelbestimmungen
von Art. 8 Abs. 2–4 der EU-Datenschutzrichtlinie, die zu übernehmen
waren.
Absatz 1, Satz 3
„Der neu eingeführte Satz 3 schließt anknüpfend an den beschränkten Geltungsbereich
der EG-Datenschutzrichtlinie (Art. 3) die Datenverarbeitung
zur Wahrnehmung von Gefahrenabwehr- und Strafverfolgungsaufgaben
sowie die nicht–automatisierte Verarbeitung außerhalb von Dateien von der
Anwendung des Satzes 2 aus. Damit bleibt es insbesondere auch in den eingangs
genannten Fällen möglich, sensitive Daten in nicht weiter strukturierten
Vorgangsakten zu führen, so dass den Anforderungen einer ordnungsgemäßen
Verwaltung in jedem Fall genügt werden kann… …Aufgrund der
Nichtgeltung des Satzes 2 (bleibt es) bei den allgemeinen Voraussetzungen
für die Zulässigkeit der Datenverarbeitung nach § 5 Absatz 1 Satz 1. Auch
die schon bisher aus grundrechtlichen Erwägungen herzuleitende Forderung,
dass bestimmte Datenverarbeitungen aufgrund ihrer Sensitivität in
jedem Falle einer bereichsspezifischen Grundlage bedürfen, bleibt unberührt“
(Bü-Drs. 16/3995 zu Nr. 6 (§ 5) Abs. 1, am Ende).
Absatz 1, Satz 4
S. 4 ergänzt S. 2 Nr. 6 (Abwehr von Gemeinwohlnachteilen) durch eine obligatorische
Anhörung des bzw. der behördlichen Datenschutzbeauftragten
oder der bzw. des Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit. Angesichts der sehr allgemein formulierten Tatbestandsmerkmale
bildet diese Anhörung eine notwendige zusätzliche
Sicherungsvorkehrung für die Betroffenen.
Absatz 2
In Umsetzung der Europäischen Datenschutzrichtlinie von 1995 sieht die
Vorschrift vor, dass Behörden und andere öffentliche Stellen – ebenso wie
71

nicht-öffentliche Stellen – personenbezogene Daten aufgrund einer Einwilligung
der betroffenen Person verarbeiten dürfen. Auch wenn in Abs. 2
strenge Anforderungen an eine gültige Einwilligung gestellt werden, ist
vorab zu klären, ob die beabsichtigte Datenverarbeitung überhaupt zum
übertragenen Aufgabenbereich oder zumindest zur Annex-Kompetenz der
öffentlichen Stelle gehört. Denn anders als nicht-öffentliche Stellen genießt
der Staat grundsätzlich keine Vertrags- oder allgemeine Handlungsfreiheit;
vielmehr ist er umgekehrt an die Grundrechte der Bürgerinnen und Bürger
und an eine verfassungsrechtlich vorgegebene Zuständigkeitsstruktur gebunden.
Staatliche Stellen der Eingriffs- und Leistungsverwaltung handeln
aufgrund gesetzlicher Aufgabenübertragungen und Ermächtigungen, die
ihren Aktionsradius festlegen und rechtsstaatlich begrenzen. Diese demokratische
Legitimationsbasis können öffentliche Stellen grundsätzlich
nicht durch das Einholen von Einwilligungen ausdehnen. Gesetzlich gewollte
Legitimationslücken dürfen nicht durch Einwilligungen überbrückt
werden. So hat z.B. das Bundessozialgericht entschieden, dass gesetzliche
Krankenkassen von den Krankenhäusern nur die im Sozialgesetzbuch
festgelegten Daten erheben dürfen und weitere Daten auch nicht
durch eine Einwilligung der Versicherten erlangen können.
Einwilligungen im öffentlichen Bereich kommen deswegen nur dann in Betracht,
wenn eine öffentliche Stelle wie eine private Stelle auftritt oder
zulässigerweise im Rahmen einer Annex-Kompetenz zum eigentlichen
Aufgabenbereich agiert. Für die erste Möglichkeit mag das fiskalische
Handeln der Liegenschaftsverwaltung als Beispiel gelten, für die zweite
die Durchführung von Zufriedenheits- oder Statistik-Umfragen unter den
betroffenen Verwaltungs-„Kunden“. Entscheidend ist, dass die um die Einwilligung
gebetene Person vollständig frei ist, die Einwilligung zu erteilen
oder abzulehnen, ohne dass die Entscheidung irgendwelche Konsequenzen
für das Verhältnis des Bürgers zur öffentlichen Stelle hat (vgl. 21. TB
2006/2007, 1.).
Ist in diesem verfassungsrechtlich vorgegebenen Rahmen eine Einwilligung
grundsätzlich zulässig, bestimmt Abs. 2 folgende Bedingungen für
die Wirksamkeit: Die Erklärung muss deutlich erkennbar sein und
grundsätzlich unterschrieben werden. Geht es um eine Einwilligung im
Rahmen von staatlichen Telemediendiensten, ist für die Form und Bedingungen
der Einwilligung die Spezialnorm des § 13 Abs. 2 Telemediengesetz
zu berücksichtigen.
Vor einer schriftlichen Einwilligung nach Abs. 2 muss die notwendige Aufklärung
über Gegenstand, Inhalt, Umfang, Zweck und Dauer der Datenverarbeitung,
die Art der verarbeiteten Daten, mögliche Übermittlungsempfänger,
die Folgen einer Ablehnung und das Widerrufsrecht der betroffenen
72

Person informieren. S. 4 betont die notwendige Freiwilligkeit der Einwilligungserklärung
durch die beispielhafte Angabe unzulässiger Beeinflussungen.
Nach Abs. 2, S. 1 kann bei der Einwilligung von der Schriftform abgesehen
werden, wenn dies wegen „besonderer Umstände“ angemessen erscheint.
Besondere Umstände können z.B. darin liegen, dass bei der Einwilligung
zur Teilnahme an einem Forschungsprojekt (z.B. zu Migranten-
Verhalten) eine einseitige Probandenauswahl vermieden werden muss
und dies nur über eine mündliche Einwilligung erreicht werden kann, vgl.
für den nicht-öffentlichen Bereich § 4a Abs. 2 Bundesdatenschutzgesetz.
Unter „besonderen Umständen“ kann sogar eine konkludente Einwilligung
in Betracht kommen – etwa, wenn der Zugang von internationalen Menschenrechts-Kontrollgremien
zu Gefangenenakten nicht aufgrund einer
(zu späten) individuellen Einwilligung, sondern aufgrund einer allgemeinen
vorherigen Ankündigung mit ausdrücklichem Widerspruchsrecht zugelassen
wird und die Gefangenen in Kenntnis der Ankündigung auf einen
Widerspruch verzichten (23. TB 2010/2011, III 6.2).
Absatz 3
„Der neu gefasste Absatz setzt Artikel 14 Buchstabe a der EG-Datenschutzrichtlinie
über den ‚Widerspruch der betroffenen Person‘ um … … Der Einwand
richtet sich nicht wie der (verwaltungsprozessuale) Widerspruch
gegen rechtswidriges oder unzweckmäßiges Verwaltungshandeln, sondern
gibt den Betroffenen Gelegenheit, besondere persönliche Gründe geltend
zu machen, die gegen die an sich recht- und zweckmäßige Verarbeitung
ihrer Daten oder eine bestimmte Art und Weise der Verarbeitung sprechen
mögen“ (Bü-Drs. 16/3995 zu Nr. 6 (§ 5,) Abs. 3).
Die Regelung gilt in erster Linie für die auf gesetzlichen Vorschriften beruhenden
Verarbeitungsfälle. Bei einer auf Einwilligung beruhenden Datenverarbeitung
ist es der betroffenen Person zuzumuten, gleich die Einwilligung
abzulehnen und nicht erst zuzustimmen und dann prüfungsbedürftige
Einwände zu erheben. Ergeben sich – z.B. in langfristigen Rechtsverhältnissen
aufgrund einer Einwilligung – erst später besondere
persönliche Verarbeitungshindernisse, kann die betroffene Person die Einwilligung
widerrufen, siehe oben zu Abs. 2. Ist die öffentliche Stelle zur Verarbeitung
der Daten spezialgesetzlich verpflichtet, hat sie keinen Spielraum
für Betroffenen-Einwände. Für beide Fälle schließt S. 2 deswegen
das Einwendungsrecht des S. 1 aus.
Besteht das Einwendungsrecht, „ist die Daten verarbeitende Stelle gehalten
zu prüfen, ob die geltend gemachten Gründe dem öffentlichen Interesse an
73

der Verarbeitung vorgehen. Fällt die Abwägung zugunsten der vorgebrachten
persönlichen Gründe aus, so ist die weitere Datenverarbeitung unzulässig.
Möglich ist auch ein Teilerfolg in dem Sinne, dass nur eine bestimmte
Modalität oder Phase der Datenverarbeitung unzulässig wird. Insgesamt
werden die Anwendungsfälle der Vorschrift voraussichtlich gering bleiben“
(Bü-Drs. 16/3995 a.a.O.). Hat der Einwand Erfolg, muss die Daten verarbeitende
Stelle mögliche Datenempfänger davon unterrichten, wenn dies
keinen unverhältnismäßigen Aufwand erfordert und das schutzwürdige
Interesse der Betroffenen die Unterrichtung nicht erfordert.
Absatz 4
Zum Grundsatz der Datenvermeidung und Datensparsamkeit hat schon
das Bundesverfassungsgericht im Volkszählungsurteil festgestellt, dass
bereits bei der Datenerhebung zu prüfen ist, „ob das Ziel der Erhebung
nicht auch durch eine anonymisierte Ermittlung erreicht werden kann“, und
dass „das Gebot einer möglichst frühzeitigen (faktischen) Anonymisierung,
verbunden mit Vorkehrungen gegen eine Deanonymisierung“ zu beachten
ist (BVerfGE 65,1, 48 f.).
Die Norm betont einerseits das im Gesetz vielfach ausgedrückte Erforderlichkeitsprinzip:
Es dürfen nur die personenbezogenen Daten verarbeitet
werden, die für die gesetzliche Aufgabenerfüllung erforderlich sind.
Zum anderen verpflichtet Abs. 4 zur Prüfung, ob das Verarbeitungsziel
nicht auch ganz ohne personenbezogene Daten, nämlich anonym – etwa
durch Barzahlung –, mit anonymisierten Daten, oder aber mit pseudonymen
Daten erreicht werden kann. Damit verweist Abs. 4 auf § 4 Abs. 9 und
10. Pseudonyme Daten sind zwar auch personenbeziehbar und unterfallen
damit dem Datenschutzrecht; sie können aber nur durch wenige Berechtigte,
die den Schlüssel bzw. die „Zuordnungsregel“ kennen, auf bestimmte
Personen bezogen werden. Ebenso wie in § 8 bildet ein unangemessener
Aufwand im Verhältnis zur Schutzwürdigkeit der Daten eine Grenze für
Maßnahmen der Anonymisierung oder Pseudonymisierung.
Zu § 5a Automatisierte Einzelentscheidungen
Mit dieser Vorschrift wurde die EU-Datenschutzrichtlinie (Richtlinie
95/46/EG) im hamburgischen Landesrecht umgesetzt. Sie regelt die Befugnis,
Rechtsfolgen an eine bestimmte Art der Datenverarbeitung (Datennutzung)
zu knüpfen. Die Vorschrift soll ein rechtstaatliches, transparentes
Entscheidungsverfahren sichern.
74

Machen Betroffene im Falle von automatisierten Einzelentscheidungen
von ihrem Auskunftsrecht nach § 18 Gebrauch, ist der logische Aufbau der
automatisierten Verarbeitung der Daten der Betroffenen mitzuteilen (siehe
§ 18 Abs. 1 S. 1 Nr. 5).
Absatz 1
„Die Vorschrift beruht auf dem Grundgedanken, dass Entscheidungen, die
auf einer Bewertung der Persönlichkeit der Betroffenen beruhen und damit
ihr Persönlichkeitsrecht im Kern berühren, nicht allein einem technischen
System überlassen werden sollen, sondern letztlich von einem Menschen
verantwortet werden müssen“ (Bü-Drs. 16/3995 zu § 5a).
Mit „Entscheidungen“ sind vor allem solche gemeint, die die Betroffenen
beschweren (zu begünstigenden Entscheidungen siehe Abs. 2 Nr. 2). Bewertungen
einer Person müssen, wenn Rechtsfolgen oder Belastungen
damit verbunden sind, immer auf ausreichender Tatsachengrundlage von
einem Menschen (z.B. Behördenmitarbeiter) getroffen oder zumindest von
einer natürlichen Person inhaltlich überprüft – und verantwortet – werden.
Persönlichkeitswertungen aufgrund einzelner Profildaten dürfen also nicht
von einer Maschine „technisch errechnet“ (kombiniert) werden, sondern
müssen auf menschlicher Logik unter Berücksichtigung der Individualität
der Betroffenen beruhen. Relevant kann dies z.B. bei (gewerbe- oder waffenrechtlichen)
Zuverlässigkeitsbeurteilungen oder in Bewerberauswahlverfahren
(Leistungsfähigkeit, Teamfähigkeit) werden. „Nicht ausschließlich“
bedeutet, dass es zulässig ist, zunächst einen maschinellen Entscheidungsvorschlag
zu erzeugen, der dann aber von einer natürlichen Person
inhaltlich geprüft werden muss (vgl. Simitis, BDSG, 7. Aufl., § 6a Rn 16).
Absatz 2
„Absatz 2 macht von den Ausnahmemöglichkeiten des Artikels 15 Absatz 2
der EG-Datenschutzrichtlinie Gebrauch. Nummer 1 enthält lediglich einen
klarstellenden deklaratorischen Verweis auf die Möglichkeit abweichender
bereichsspezifischer Vorschriften. Nummern 2 und 3 greifen die Ausnahmemöglichkeiten
des Artikels 15 Absatz 2 Buchstabe a der EG-Datenschutzrichtlinie
auf. Die erneute Prüfung unter Berücksichtigung der
Stellungnahme der oder des Betroffenen (Nummer 3, 3. Halbsatz) darf nicht
ausschließlich automatisiert erfolgen“ (Bü-Drs. 16/3995 zu § 5a).
Zumindest müssen Betroffene die Möglichkeit haben, die der maschinellen
Entscheidung zugrunde liegenden Profile und Bewertungsmaßstäbe zu
erfahren und ihre Belange rechtzeitig einzubringen.
75

Zu § 5b Mobile Datenverarbeitungsmedien
In Anlehnung an § 3 Abs. 10 Bundesdatenschutzgesetz sind Datenträger
dann mobile Datenverarbeitungsmedien, wenn die ausgebende oder eine
andere Stelle auf diesen Datenträgern Daten über die Speicherung hinaus
automatisiert verarbeiten kann. Die Verarbeitung kann dabei durch den Betroffenen
nicht wie etwa bei einem tragbaren Computer gesteuert werden.
Zu mobilen Datenverarbeitungsmedien zählen u.a. Prozessor-Chipkarten,
wie z.B. die elektronische Gesundheitskarte, Geldkarten, SIM-Karten für
Mobiltelefone oder auch RFID (Radio Frequency Identification)-Tags
(Transponder) in Kombination mit Prozessor-Chip in RFID-Systemen.
§ 5b „regelt Pflichten, die die ausgebenden Stellen im Zusammenhang mit
der Herausgabe von Chipkarten und vergleichbaren mobilen Datenverarbeitungsmedien
treffen. Die Datenverarbeitungsvorgänge, die mit Hilfe solcher
Datenverarbeitungsmedien ablaufen, lassen sich zwar mit den geltenden
Vorschriften über die Zulässigkeit der Verarbeitung personenbezogener
Daten und die Modalitäten der zulässigen Datenverarbeitung bewältigen.
Die Herausgabe mobiler Datenverarbeitungsmedien ist aber mit dem besonderen
Risiko verbunden, dass sie einerseits, insbesondere auch im Falle
kontaktloser Chipkarten, für die Betroffenen nicht ohne weiteres erkennbare
Datenverarbeitungsvorgänge ermöglichen und den Betroffenen andererseits
oftmals nicht deutlich ist, wo und in welcher Weise sie die ihnen auch in
Bezug auf die Datenverarbeitungsmedien zustehenden datenschutzrechtlichen
Rechte geltend machen können. Die Vorschrift beugt diesen Gefahren
vor, indem sie die ausgebende Stelle verpflichtet sicherzustellen, dass die
Betroffenen Datenverarbeitungsvorgänge erkennen und ihre datenschutzrechtlichen
Rechte geltend machen können. Für die Erkennbarkeit des Datenaustauschs
genügt es, wenn jeweils erkannt werden kann, dass überhaupt
ein Datenaustausch stattfindet. Die Sicherstellungspflicht überlässt
es der ausgebenden Stelle, inwieweit sie selbst für die Verwirklichung der
Betroffenenrechte sorgt oder sicherstellt, dass andere Stellen dies übernehmen.
Die Betroffenen sind bei der Ausgabe der Datenverarbeitungsmedien
entsprechend aufzuklären“ (Bü-Drs. 16/3995 zu § 5b).
Weiterführende Hinweise vermittelt zum einen die Orientierungshilfe „Datenschutzgerechter
Einsatz von RFID“ (http://www.datenschutz-hamburg.de/uploads/media/Orientierungshilfe_Einsatz_RFID.pdf).
Zum anderen
liefern der Rahmen für die Datenschutzfolgeabschätzung (Privacy
Impact Assessment (PIA) Framework) sowie die Technische Richtlinie
BSI TR-03126 wichtige Hinweise, die berücksichtigt werden sollten
(https://www.bsi.bund.de/DE/Themen/ElektronischeAusweise/RadioFrequencyIdentification/PIA/pia_node.html).
76

Zu § 6 Rechte der Betroffenen
In Absatz 1 werden die Rechte der Betroffenen in einer vollständigen Aufzählung
in Katalogform zusammengefasst, so dass die Betroffenen über
ihre an verschiedenen Stellen im Gesetz geregelten Rechte besser informiert
werden. „Die Voraussetzungen, unter denen die aufgeführten Rechte
wahrgenommen werden können, ergeben sich aus den jeweils angegebenen
Einzelvorschriften“ (Bü-Drs. 13/3282 zu § 6).
Gemäß Absatz 2 ist ein vorheriger Verzicht auf diese Rechte unwirksam.
Daher wäre zum Beispiel bezüglich des in Nr. 11 genannten Rechtes auf
Anrufung des Hamburgischen Datenschutzbeauftragten eine behördeninterne
Regelung oder Dienstvereinbarung, dass der HmbBfDI nur über
den Dienstweg angerufen werden kann, nicht zulässig.
Zu § 7 Datengeheimnis
Die Vorschrift verpflichtet Personen, die dienstlichen oder sonst berechtigten
Zugang zu personenbezogenen Daten haben, unmittelbar zum Datenschutz,
ohne dass es einer gesonderten Verpflichtungserklärung bedarf.
Geschützte personenbezogene Daten dürfen nur zum Zweck der
Aufgabenerfüllung verarbeitet werden. Durch das Wort „insbesondere“
wird Bezug genommen auf den umfassenden Begriff der Datenverarbeitung
in § 4 Abs. 2.
§ 7 erfasst jede Person, die in erlaubter Weise in einer der in § 2 Abs. 1 S. 1
genannten öffentlichen Stelle Kenntnis von personenbezogenen Daten
nehmen kann und diese damit nutzen könnte. Allein die faktische Zugangsmöglichkeit
und Möglichkeit der Nutzung reichen aus. Die Vorschrift
erfasst damit auch Personen, die im Rahmen eines Auftragsdatenverarbeitungsverhältnisses
oder eines entsprechenden Auftrags im Sinne des § 3
Abs. 4 Zugang zu personenbezogenen Daten der öffentlichen Stelle
haben. Außerdem werden Personen erfasst, die nicht mit der konkreten
Aufgabenwahrnehmung betraut sind, sondern die z.B. in einem Rechenzentrum
die technischen Voraussetzungen der Datenverarbeitung sicher
stellen, sowie Registratur-Mitarbeiter oder behördliche Datenschutzbeauftragte.
§ 7 gilt im Rahmen einer Auftragsdatenverarbeitung auch für den
Auftragnehmer, unabhängig davon, ob er nach § 5 BDSG verpflichtet ist,
sein Personal auf das Datengeheimnis zu verpflichten.
Zugang und Nutzung personenbezogener Daten sind einer Person nur im
Rahmen ihrer individuellen organisatorischen Zuständigkeit erlaubt.
77

Zu § 8 Technische und organisatorische Maßnahmen;
Vorabkontrolle
Absatz 1
Jede Verwendung personenbezogener Daten durch öffentliche Stellen im
Rahmen der Selbst- oder der Auftragsdatenverarbeitung erfordert technische
und organisatorische Maßnahmen, um die Ausführung der Vorschriften
dieses Gesetzes zu gewährleisten. Dabei gilt nach § 8 Abs. 1 S. 2 der
Grundsatz der Zweck-Mittel-Relation. Aufgrund der unterschiedlichen Verarbeitungsbedingungen
werden hierbei für die automatisierte und nichtautomatisierte
Datenverarbeitung differenzierte Maßnahmen vorgeschrieben.
Mit welchen konkreten Maßnahmen die Ziele erfüllt werden, bleibt den
verantwortlichen Stellen überlassen. Die Erforderlichkeit und das angemessene
Verhältnis zur Schutzwürdigkeit der Daten im Einzelfall lassen
sich immer nur anhand der konkreten Gegebenheiten bestimmen. Mehrere
Faktoren (Art und Schutzwürdigkeit der Daten, Schulung und Zuverlässigkeit
des Personals, räumliche und technische Gegebenheiten, Abgeschlossenheit
der Dienststelle usw.) sind dabei zu berücksichtigen. Die
Entscheidung liegt bei der jeweiligen öffentlichen Stelle, der insoweit ein
organisatorischer Handlungsspielraum zusteht. Dass Maßnahmen nach
dem jeweiligen Stand der Technik zu treffen sind, bedarf dabei keiner ausdrücklichen
gesetzlichen Festlegung (Vgl. Bü-Drs 13/3282). Der aktuelle
Stand der Technik ergibt sich u.a. aus den IT-Grundschutz-Katalogen des
Bundesamtes für Sicherheit in der Informationstechnik. Die Einhaltung der
technischen und organisatorischen Maßnahmen wird grundsätzlich für
nicht abdingbar gehalten. Betroffene können somit nicht darin einwilligen,
dass ihre Daten ohne einen ausreichenden Schutz nach dem Stand der
Technik verarbeitet werden. Die elektronische Übertragung sensibler personenbezogener
Daten ohne Verschlüsselung etwa per Mail scheidet deshalb
auch dann aus, wenn der Betroffene explizit um die Übersendung per
Mail bittet.
Absatz 2
Neben der Beachtung des Grundsatzes der Datenvermeidung und der
Datensparsamkeit, an dem sich nach § 4 Abs. 4 HmbDSG Auswahl und
Gestaltung technischer Einrichtungen auszurichten haben, müssen sich
bei automatisierter Verarbeitung die zu treffenden Maßnahmen an fünf
übergeordneten Sicherungszielen orientieren, die im Wesentlichen selbsterklärend
sind (Abs. 2 Nr. 1 bis 5):
• „Das Sicherungsziel der Vertraulichkeit verlangt, dass kein unbefugter
Informationsgewinn stattfinden kann;
78

• Integrität bedeutet, dass keine nicht beabsichtigten Veränderungen der
Daten herbeigeführt werden können;
• Verfügbarkeit verlangt, dass die Daten und damit das Datenverarbeitungssystem
zu den vorgegebenen Zeiten im erforderlichen Maß zur Verfügung
steht;
• Authentizität ist gegeben, wenn die Urheberschaft der Daten sicher festgestellt
werden kann;
• Revisionsfähigkeit verlangt die Nachvollziehbarkeit der Datenverarbeitung.
Hierzu gehört auch die Dokumentation der Verarbeitungsverfahren,
soweit sie erforderlich ist, um festzustellen, in welcher Weise personenbezogene
Daten verarbeitet werden. Wie für alle Sicherungsziele, gilt auch
für die Revisionsfähigkeit die Bestimmung des Absatzes 1 Satz 2. Danach
sind technische und organisatorische Maßnahmen nur erforderlich,
wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit
der Daten steht. Hierdurch wird insbesondere auch der Umfang notwendiger
Protokollierungen bestimmt und begrenzt (Bü-Drs. 16/3995 zu
§ 8).
Diese gesetzlichen Anforderungen orientieren sich „möglichst technologieunabhängig
an den Sicherungszielen, die sich zur Datensicherheit
herausgebildet haben und auch den in der hamburgischen Verwaltung angewandten
Sicherungskonzepten zugrunde liegen“ (Bü-Drs. 13/3282 zu
§8).
Zur Zentralisierung und Konsolidierung verteilter Datenverarbeitung sowie
aus Kostengründen greifen Daten verarbeitende Stellen zunehmend auf
kooperative Betriebsmodelle zurück, die die gemeinsame Nutzung von
Systemen und Programmen zur automatisierten Verarbeitung personenbezogener
Daten vorsehen. Die gemeinsame Nutzung einer solchen Infrastruktur
unterliegt erhöhten Anforderungen an die Trennung der personenbezogenen
Daten, um die aus der gemeinsamen Nutzung von technischen
Ressourcen entstehenden Risiken für die informationelle Gewaltenteilung,
die Zweckbindung und Vertraulichkeit hinreichend zu reduzieren. Die Datenschutzbeauftragten
des Bundes und der Länder haben die Anforderungen,
die einzuhalten sind, um dem Trennungsgebot zu genügen, in der
Orientierungshilfe „Mandantenfähigkeit“ dargelegt (http://www.datenschutz-hamburg.de/news/detail/article/orientierungshilfe-mandantenfaehigkeit.html).
Im ersten der dort aufgeführten fünf Prüfschritte, sind die jeweiligen
rechtlichen Grundlagen für das IT-Verfahren zu prüfen. Die weiteren
drei Prüfschritte zielen insbesondere darauf ab sicherzustellen, dass
sowohl die verarbeiteten Daten als auch die Nutzer, die Zugriff auf diese
Daten erhalten, immer nur genau einem Mandanten zugeordnet sind. Eine
ausreichende Mandantentrennung kann danach nur sichergestellt wer-
79

den, wenn ein Datenaustausch zwischen den Mandanten ausschließlich
über definierte Schnittstellen erfolgen kann und nicht allein durch ein
Rechte- und Rollenkonzept geregelt ist. Der letzte Prüfschritt nimmt insbesondere
die mandantenspezifische- und die mandantenübergreifende Protokollierung
in den Blick.
Wenn die Anforderungen der Mandantenfähigkeit nicht eingehalten
werden, führt das im Ergebnis dazu, dass für unterschiedliche Daten verarbeitende
Stellen ein gemeinsames Verfahren betrieben wird. Da ein gemeinsames
Verfahren nach § 11a HmbDSG jedoch einer ausdrücklichen
Zulassung durch eine Rechtsvorschrift bedarf, die häufig spezialgesetzlich
nicht gegeben ist, würde eine nicht ausreichende Trennung dazu führen,
dass ein gemeinsames Verfahren ohne Rechtsgrundlage betrieben werden
würde. Dies wäre nach § 5 Abs. 1 Satz 1 HmbDSG unzulässig und
könnte auch nicht durch eine Abwägung nach § 8 Abs. 1 Satz 2 HmbDSG
geheilt werden. Mit § 11a HmbDSG wurde dem Senat jedoch die Möglichkeit
gegeben, die Einführung gemeinsamer Dateien durch Rechtsverordnung
zu regeln und damit für eine hinreichende Rechtsgrundlage zu
sorgen, soweit die spezialgesetzlichen Regelungen nicht abschließend
sind.
Angesichts der weit fortgeschrittenen Digitalisierung der automatisierten
Datenverarbeitung und ihrer Allgegenwart, und angesichts der Verkettbarkeit
personenbezogener Daten kommen technischen und organisatorischen
Schutzvorkehrungen eine immer größere Bedeutung zu. Die
besten rechtlichen Verarbeitungsbeschränkungen sind praktisch wertlos,
wenn ihre technische und organisatorische Absicherung fehlt oder mangelhaft
ist. Im geltenden Recht finden sich nur punktuelle Lösungsansätze
hinsichtlich der konzeptionellen Absicherung vor Datenschutzrisiken beim
Einsatz automatisierter Verfahren. Dies betrifft auch Verfahren, bei denen
eine Verarbeitung personenbezogener Daten nicht von vornherein intendiert,
aber (ggf. zu einem späteren Zeitpunkt) möglich ist. Die Konferenz
der Datenschutzbeauftragten des Bundes und der Länder schlägt deshalb
seit langem eine grundsätzliche Reform der Regeln zum technischen und
organisatorischen Datenschutz vor, die auch folgende Aspekte berücksichtigen
müsste (vgl. „Ein modernes Datenschutzrecht für das 21. Jahrhundert
– Eckpunkte“ (2010), http://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/79DSKEckpunktepapierBroschuere.pdf):
• Die elementaren Schutzziele sollten folgende Bedingungen erfüllen:
– Die Schutzziele sollten einfach, verständlich und praxistauglich sein.
– Die Schutzziele sind an den Vorgaben des Datenschutzes zu messen,
müssen längere Zeit Bestand haben und dürfen sich trotz aller
80

Überschneidungen nicht allein an den Vorgaben der IT-Sicherheit
orientieren.
– Aus den Schutzzielen sollten sich die konkret in der Praxis zu treffenden
Maßnahmen ableiten lassen. Die Maßnahmen müssen in einfachen,
flexiblen und praxistauglichen Verfahren – durch Software
unterstützt – umgesetzt werden können. Sie können die Basis für die
Kriterien eines Datenschutzaudits bilden.
– Die Schutzziele müssen technologieunabhängig definiert werden.
– Die Schutzziele sind nachhaltig. Lediglich die Maßnahmen sind dem
Stand der Technik anzupassen.
– Die Schutzziele sind so zu fassen, dass grundsätzliche rechtliche
Anforderungen (z.B. Datenvermeidung/Datensparsamkeit, Zweckbindung
oder Betroffenenrechte wie Berichtigung oder Löschung)
technisch umgesetzt werden können.
• Entsprechend den genannten Anforderungen sind folgende Schutzziele
aufzunehmen:
– Verfügbarkeit
– Vertraulichkeit
– Integrität
– Transparenz
– Nichtverkettbarkeit (als technische Sicherung der Zweckbindung)
– Intervenierbarkeit (als technische Gestaltung von Verfahren zur
Ausübung der Betroffenenrechte).
• Technische und organisatorische Maßnahmen sind im Sinne eines vorgelagerten
Systemdatenschutzes schon dann zu treffen, wenn in einem
Verfahren die Möglichkeit besteht, dass personenbezogene Daten verarbeitet
werden oder dass dies zu einem späteren Zeitpunkt intendiert
ist.
Der HmbBfDI sieht daher einen großen Bedarf, die Regeleung des § 8
HmbDSG weiterzuentwickeln und damit der fortschreitenden Digitalisierung
Rechnung zu tragen.
Absatz 3
Absatz 3 stellt klar, dass angemessene technische und organisatorische
Maßnahmen auch bei nicht-automatisierter Verarbeitung zu treffen sind,
also insbesondere auch bei einer klassischen Aktenführung in Papierform.
81

Gegenüber der automatisierten Datenverarbeitung sind allerdings die Gewichte
der Maßnahmen unterschiedlich gesetzt: hier kommt der Verhinderung
des Zugriffs durch Unbefugte zentrale Bedeutung zu (Vertraulichkeit);
wird dies sichergestellt, können auch die anderen Sicherungsziele erreicht
werden (vgl. Bü-Drs. 13/3282 zu § 8).
Absatz 4
Insbesondere mit Absatz 4 soll Artikel 20 der EG-Datenschutzrichtlinie umgesetzt
werden, wonach die Mitgliedsstaaten festlegen, welche Verarbeitungen
spezifische Risiken für die Rechte der Betroffenen beinhalten können
und dafür Sorge tragen, dass diese Verarbeitungen vor ihrem Beginn
geprüft werden. Der Hamburgische Gesetzgeber hat sich für eine datenschutzfreundliche
Regelung entschieden und die Vorabkontrolle ausnahmslos
für alle automatisierten Verfahren geregelt, unabhängig sowohl
von der Sensibilität der im Verfahren verarbeiteten personenbezogenen
Daten als auch von der Art des automatisierten Verfahrens (zum Begriff des
Verfahrens siehe Erläuterungen zu § 9 Abs. 1). Ausnahmen, wie sie etwa in
§ 9 HmbDSG zur Verfahrensbeschreibung für bestimmte Verfahren der
Bürokommunikation oder für Stellen wie der Polizei und weitere in § 23 Abs.
6 HmbDSG festgelegte Stellen vorgesehen sind, bestehen für die Erstellung
einer Risikoanalyse nicht. Die Feststellung spezifischer Risiken und
deren Beherrschbarkeit ist somit nicht Voraussetzung, sondern Teil der obligatorischen
Risikoanalyse bei automatisierten Verfahren. Die Risikoanalyse
ist in jedem Fall mit rechtzeitigem Vorlauf vor der Freigabe und der
anschließenden Produktionsaufnahme zu erstellen.
Absatz 4 „verpflichtet die Stellen, die automatisierte Verfahren zur Verarbeitung
personenbezogener Daten betreiben wollen, vor der Entscheidung
über die Einführung oder die wesentliche Änderung eines solchen Verfahrens,
eine Risikoanalyse durchzuführen. Hierin sind die Risiken des geplanten
Verfahrens abzuschätzen sowie mögliche Alternativen mit geringerer
Eingriffstiefe für die Betroffenen zu prüfen. Form und Tiefe der vorzunehmenden
Prüfung haben sich an der Sensibilität der zu verarbeitenden Daten und
an den technischen und organisatorischen Rahmenbedingungen der geplanten
Datenverarbeitung zu orientieren. Ein in bestimmter Weise formalisiertes
Prüfverfahren wird dabei nicht vorgeschrieben.
Nur soweit die Risiken durch technische und organisatorische Maßnahmen
– bei Geltung der Verhältnismäßigkeitsregelung des Absatzes 1 Satz 2 –
beherrschbar sind, ist der Einsatz des Verfahrens zulässig.
Diese Vorschrift … beinhaltet eine Regelung des sogenannten vorgezogenen
Datenschutzes; schon vor dem Einsatz oder der Änderung eines ADV-
82

Verfahrens hat sich die … (Daten verarbeitende) Stelle bewusst zu machen,
welche Risiken für den Datenschutz mit einem bestimmten Verfahren
verbunden sind und wie diese beherrscht werden können“ (Bü-Drs. 16/3995
zu § 8).
Zudem ist „die Daten verarbeitende Stelle dazu verpflichtet, das Ergebnis
der Risikoanalyse der oder dem behördlichen Datenschutzbeauftragten
bzw. der oder dem Hamburgischen Datenschutzbeauftragten zur Stellungnahme
vorzulegen, soweit danach von einem Verfahren eine besondere
Gefährdung für die Rechte der Betroffenen ausgeht (Absatz 4 Satz 3)“
(Bü-Drs. 16/3995 zu § 8). Der HmbBfDI geht davon aus, dass mit dem Ergebnis
der Untersuchung jeweils auch deren Begründung so rechtzeitig
zugeleitet wird, dass die Stellungnahme dazu noch vor Produktionsaufnahme
von der Daten verarbeitenden Stelle berücksichtigt wird.
Der Begriff der „besonderen Gefährdung“ kann als unbestimmter Rechtsbegriff
nur einzelfallbezogen konkretisiert werden. Als Beurteilungskriterien
kommen insbesondere die Art und der Umfang der zu verarbeitenden Daten
sowie Zweck, Art und Umfang ihrer Verarbeitung in Betracht. Eine besondere
Gefährdung liegt in jedem Fall nur vor, wenn die Gefahren, die von
einem Datenverarbeitungsverfahren für die Rechte der Betroffenen ausgehen,
deutlich das übliche Maß der Gefährdung übersteigen, das jede automatisierte
Datenverarbeitung mit sich bringt. Im Hinblick auf Art und Umfang
der Daten kann eine besondere Gefährdung z.B. vorliegen, wenn sensitive
Daten im Sinne von § 5 Absatz 1 Satz 2 Gegenstand der Verarbeitung sind,
Daten, die einer besonderen Geheimhaltenspflicht unterliegen wie z.B. Sozialdaten
und Steuerdaten oder Daten der einzelnen Betroffenen in einem Umfang
verarbeitet werden, der weitreichende Schlüsse auf die Persönlichkeit
oder den Lebenswandel der Betroffenen ermöglicht. Aus Zweck, Art und
Umfang der Verarbeitung können sich besondere Gefährdungen z.B. ergeben,
wenn es sich um Verarbeitungen nach den §§ 5a und 5b handelt oder
aus den Ergebnissen der Verarbeitung gravierende nachteilige Folgen für die
Betroffenen gezogen werden sollen.
Da es im Übrigen wenig sinnvoll erscheint, Datenverarbeitungen, die besondere
Gefährdungen beinhalten, vorab und abstrakt zu definieren – es ist vielmehr
gerade Inhalt der Risikoanalyse, solche Risiken aufzudecken –, sieht
das Gesetz eine verfahrensmäßige Lösung vor. Danach hat die Risikoanalyse
selbst sich zu der Frage etwaiger besonderer Gefährdungen zu äußern.
Bejahendenfalls findet eine weitere Prüfung durch die behördlichen bzw.
durch die oder den Hamburgischen Datenschutzbeauftragten statt. Die
Frage, ob es sich überhaupt um ein vorabkontrollpflichtiges Verfahren handelt,
ist von ihnen allerdings eigenständig zu beurteilen und somit Gegenstand
der weiteren Prüfung. Die behördlichen bzw. die oder der Hamburgi-
83

sche Datenschutzbeauftragte haben vor Einführung oder wesentlicher Änderung
des Verfahrens somit die Gelegenheit, aufgrund ihrer Prüfung eine
Stellungnahme abzugeben. Die Verantwortung der Daten verarbeitenden
Stelle für die Entscheidung über die Einführung des Datenverarbeitungsverfahrens
bleibt hiervon unberührt“ (Bü-Drs. 16/3995 zu § 8). Anders als bei
der Einführung eines automatisierten Verfahrens haben die verantwortlichen
Stellen zur Frage der besonderen Gefährdung ein gewisses Beurteilungsermessen
bei der Fortschreibung von Verfahren. So wird es bei
einfachen Rechtsänderungen oft zu keiner Gefährdung der Betroffenenrechte
kommen, bei komplexen Änderungen und bei neuen Schnittstellen
wird jedoch regelmäßig von einer besonderen Gefährdung auszugehen
sein.“
Der HmbBfDI hat Hinweise zur Risikoanalyse und Vorabkontrolle sowie
eine Checkliste zur Erstellung einer Risikoanalyse in sein Internetangebot
eingestellt (http://www.datenschutz-hamburg.de/news/detail/article/
verfahrensbeschreibung-risikoanalyse-und-vorabkontrolle.html).
Zu § 9 Verfahrensbeschreibung
Verfahrensbeschreibungen dienen dem Ziel, die Öffentlichkeit über Art
und Umfang von automatisierten Verarbeitungen personenbezogener
Daten zu unterrichten und entlasten insoweit auch die Verwaltung als erste
Orientierungsquelle für die Betroffenen im Rahmen von Auskunftsansprüchen
nach § 18. Die Vorschrift „begründet ein Recht für jedermann
zur Einsicht in die Verfahrensbeschreibungen. Hintergrund für die Ersetzung
des Datei- durch ein Verfahrensverzeichnis sind die Artikel 18 und 19 der EG-
Datenschutzrichtlinie. Danach sind die Daten verarbeitenden Stellen verpflichtet,
automatisierte Datenverarbeitungen unter Mitteilung bestimmter, in
Artikel 19 Absatz 1 der EG-Datenschutzrichtlinie genannter Angaben einer
Kontrollstelle zu melden“ (Bü-Drs. 16/3995 zu § 9).
Absatz 1
„Die Verfahrensbeschreibung nach Satz 1 verlangt gegenüber der bisherigen
Dateibeschreibung nicht mehr die Bezeichnung bestimmter – auch manueller
– Datensammlungen, sondern nur die Beschreibung von Verfahren
zur (zumindest teil-) automatisierten Verarbeitung personenbezogener
Daten, die ihrerseits naturgemäß eine ganze Reihe von Dateien beinhalten
können. Dabei ist der Begriff des Verfahrens, wie bisher bereits in § 8 Absatz
4, nicht programmtechnisch, sondern unter dem Gesichtspunkt von Arbeitsabläufen
zu verstehen (z.B. Verfahren zur Bearbeitung von Bauanträgen
84

oder dgl.) (Bü-Drs. 16/3995 zu § 9). Ein automatisiertes Verfahren umfasst
damit ein „Paket bzw. eine Abfolge von Verarbeitungsschritten“ (Simitis,
BDSG, 7. Aufl., § 4d Rn 25), „die einer bestimmten Zweckbestimmung dienen“
(Gola/Schomerus, BDSG, 11. Aufl., § 4d Rn 9a). Verfahren können
dabei mehrere Softwareprogramme und eine ganze Reihe von Dateien
beinhalten. Für jedes Verfahren ist nur eine Beschreibung zu erstellen.
„Die Verfahrensbeschreibung muss in Übereinstimmung mit Artikel 19 Absatz
1 der EG-Datenschutzrichtlinie die in den Nummern 1 bis 9 genannten
Daten umfassen“ (Bü-Drs. 16/3995 zu § 9).
Die Verfahrensbeschreibung ist klar von einer Verfahrensdokumentation
abzugrenzen. Während die Verfahrensbeschreibung nur einen Überblick
über das Verfahren gewährleistet, enthält die Verfahrensdokumentation
alle zum Verständnis und zur Abwicklung eines automatisierten Verfahrens
notwendigen Informationen. Das Ziel der Öffentlichkeitsinformation ist
damit auch Maßstab für den Umfang und den Detaillierungsgrad der Verfahrensbeschreibung.
Die Verfahrensbeschreibung sollte aus sich heraus verständlich sein und
kein besonderes Vorwissen oder spezifische Kenntnisse voraussetzen.
Daher sollten auch keine Verweise auf die nur für interne Zwecke erstellte,
ausführlichere Risikoanalyse vorgenommen werden. Abkürzungen sollten
möglichst allgemeinverständlich erläutert werden. Auch sollte eine vollständige
Liste der Datenelemente, die in dem Verfahren verarbeitet werden,
enthalten sein. Die Form der Verfahrensbeschreibung ist nicht vorgeschrieben.
Der HmbBfDI hat Hinweise dazu im Internet (unter
http://www.datenschutz-hamburg.de/uploads/media/Hinweise_zur_Erstellung_einer_Verfahrensbeschreibung.doc)
veröffentlicht. Die Punkte 2,
3 und 5 der Verfahrensbeschreibung können von der Daten verarbeitenden
Stelle auch herangezogen werden, wenn Betroffene ihr Auskunftsrecht
nach § 18 Abs. 1. Nr. 2 und 3 HmbDSG geltend machen.
Absatz 2
„Für Verfahren der allgemeinen Bürokommunikation“ (Bü-Drs. 16/3995 zu
§ 9) müssen jedoch keine Verfahrensbeschreibungen erstellt werden.
Diese Verfahren „gehören heute zu der durchweg üblichen Grundausstattung
jeder Verwaltung. Sie lassen im Allgemeinen keine Gefährdung des
Rechts auf informationelle Selbstbestimmung erwarten“ (Bü-Drs. 16/3995
zu § 9). Wenn jedoch im konkreten Anwendungsfall Anhaltspunkte für mögliche
Gefährdungen dieses Rechts bestehen, ist auch für diese Verfahren
eine Verfahrensbeschreibung zu erstellen. Dabei ist zu bedenken, dass
auch mit Software, die allein mit der allgemeinen Bürokommunikation zur
85

Verfügung gestellt wird (z.B. MS-Excel oder MS-Word), Verfahren unterstützen
werden können, für die eine Verfahrensbeschreibung erstellt
werden muss. Dazu gehören z.B. Tabellen zur Unterstützung der Sachbearbeitung,
in denen neben Namen und Anschriften von Betroffenen
auch weitere sensible personenbezogene Daten verarbeitet werden.
Absatz 3
„Das Einsichtsrecht steht jeder Person unabhängig davon zu, ob sie durch
eine Datenverarbeitung betroffen ist. Die Wahrnehmung des Einsichtsrechts
erfolgt bei den Daten verarbeitenden Stellen selbst, soweit sie behördliche
Datenschutzbeauftragte bestellt haben, im Übrigen bei der oder dem
Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.“
(Bü-Drs. 16/3995 zu § 9). Von diesem Recht sind nur die im § 23 Abs. 6
HmbDSG genannten Stellen, das Landesamt für Verfassungsschutz, die
Behörden der Staatsanwaltschaft und der Polizei sowie der Landesfinanzbehörden
ausgenommen. Darüber hinaus sollte der öffentliche Teil der
Verfahrensbeschreibung, der die Ziffern 1–7 umfasst, gemäß § 3 Abs. 2
Hamburgisches Transparenzgesetz auch im Informationsregister veröffentlicht
werden.
Zu § 10 Durchführung des Datenschutzes
Die Regelung begründet die Pflicht der öffentlichen Stellen, die Beachtung
aller Datenschutzvorschriften sicherzustellen. Sie bringt die schon aus
Artikel 20 Abs. 3 GG folgende Bindung an das geltende Recht und die
Pflicht zu seinem Vollzug für den Bereich des HmbDSG zum Ausdruck.
Die Vorschrift dient auch der Klarstellung, dass trotz der externen Kontrollinstanz
des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
(HmbBfDI) nach §§ 21 ff. die vollumfängliche Verantwortlichkeit
der Daten verarbeitenden Stelle besteht. Dies gilt seit 2001 gleichermaßen
für die behördlichen Datenschutzbeauftragten. Deren Aufgabe besteht
nach § 10a in der Unterstützung und Beratung der verantwortlichen Stelle,
indem sie auf die Einhaltung der Vorschriften hinwirken.
Satz 1 regelt dieselben Pflichten für alle Stellen nach § 2 Abs. 1 S. 1. Die
Frage nach dem maßgeblichen Behördenbegriff (organisatorisch oder
funtional) kann wie unter § 2 Abs. 1 beantwortet werden.
Die Sätze 2 und 3 greifen die Wertung aus § 8 auf, dass alle automatisierten
Verfahren einer laufenden und erforderlichenfalls besonders sachkundigen
Überwachung bedürfen.
86

Die in Satz 3 enthaltene ausdrückliche Ermächtigung des Senats zur
abweichenden Aufgabenzuweisung soll insbesondere der Wirtschaftlichkeit
des Verwaltungshandelns dienen und ermöglicht dem Senat, die interne
IT-Revision ganz oder teilweise zu zentralisieren. Sie stellt als solche
gegenüber den allgemeinen organisationsrechtlichen Regelungen eine
Spezialregelung über den Datenschutz dar.
Zu § 10 a Behördliche Datenschutzbeauftragte
Die Vorschrift wurde 2001 in das Gesetz eingefügt (Bü-Drs. 16/3995) und
nutzt eine von Art. 18 Abs. 2 EG-Datenschutzrichtlinie angebotene Alternative
zu Meldepflichten gegenüber dem Landesdatenschutzbeauftragten:
Machen öffentliche Stellen von der Möglichkeit Gebrauch, behördliche Datenschutzbeauftragte
zu bestellen, sind diese statt des Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) für die
Vorabkontrolle nach § 8, für die Verfahrensbeschreibungen nach § 9 und
für die Anhörung nach § 12 a Abs. 3 Satz zuständig. Jedoch entlasten
behördliche Datenschutzbeauftragte nicht nur den HmbBfDI in seiner Beratungs-
und Kontrollaufgabe. Sie sind auch eine Art Vermittlungsstelle der
Behördenleitungen zum HmbBfDI sowie interne Ansprechpartner der
Behörde, „Vor-Klärer“ und insoweit sicher auch behördeninterne Filter gegenüber
dem HmbBfDI, ohne § 26 (Anrufungsrecht) aushebeln zu können.
Absatz 1
Nach dem Wortlaut steht es im Ermessen jeder Behörde, eine oder einen
Datenschutzbeauftragte/n zu bestellen. In seinem 21. Tätigkeitsbericht
(2006/2007, 3.) hatte der Hamburgische Datenschutzbeauftragte angeregt,
in § 10 a eine Pflicht zur Bestellung behördlicher Datenschutzbeauftragter
einzuführen. Dem sind Senat und Bürgerschaft zwar nicht gefolgt;
im Mai 2010 nahm der Senat jedoch ein von Finanz- und Justizbehörde erarbeitetes
„Konzept behördliche Datenschutzbeauftragte (behDSB)“
(www.datenschutz-hamburg.de/uploads/media/Konzept_Behoerdliche_
Datenschutzbeauftragte.pdf) zur Kenntnis und beschloss „dass die Senatsämter,
Fachbehörden und Bezirksämter jeweils mindestens eine
behördliche Datenschutzbeauftragte bzw. einen behördlichen Datenschutzbeauftragten
für ihren jeweiligen Zuständigkeitsbereich unter
Berücksichtigung des Konzepts bestellen“. Damit reduzierte der Senat das
gesetzliche Ermessen für die unmittelbare Staatsverwaltung intern auf
null.
Die Bestellung kann für den Gesamtbereich einer Behörde erfolgen. Möglich
ist aber auch die Bestellung von Beauftragten für größere Teilbereiche
87

– so hat die Behörde für Justiz und Gleichstellung jeweils eine behördliche
Datenschutzbeauftragte für das Justizverwaltungsamt und für das Strafvollzugsamt
bestellt. Auch die Polizei oder das Einwohnerzentralamt mit
der Ausländerbehörde bieten sich als Teilbereiche für eigene Datenschutzbeauftragte
an. Möglich ist nach Abs. 1 S. 2 auch umgekehrt die Bestellung
von gemeinsamen Beauftragten für mehrere öffentliche Stellen – so haben
verschiedene Hamburger Hochschulen sich auf eine gemeinsame Beauftragte
geeinigt.
Absatz 2
Die für eine Bestellung erforderliche Fachkunde umfasst datenschutzrechtliche,
informationstechnische, organisatorische und informationsfreiheitsrechtliche
Kenntnisse und muss grundsätzlich vorher erworben werden.
Da es keine staatliche Ausbildung zum Datenschutzbeauftragten gibt,
ist der von der Behördenleitung ausgewählten Person ausreichend Gelegenheit
zur Fortbildung in Schulungen und Fachseminaren zu geben. Das
„Konzept behördliche Datenschutzbeauftragte“ vom 1.5.2010 enthält dazu
einen Katalog rechtlicher und technischer Einzelfragen.
Die ebenfalls notwendige „Zuverlässigkeit“ bezieht sich einerseits auf die
Fähigkeit, die Vertrauensposition zwischen Mitarbeiterschaft und Behördenleitung
glaubwürdig und unabhängig wahrzunehmen und die Verschwiegenheitspflicht
einzuhalten. Andererseits soll die „Zuverlässigkeit“
Interessenskonflikte bei der Aufgabenerfüllung vermeiden. Deswegen sind
zumindest die Leiterinnen und Leiter der behördlichen Personal- und IT-
Abteilungen ebenso wenig für die Aufgabe der oder des behördlichen Datenschutzbeauftragten
geeignet wie Geheimschutz- oder IT-Beauftragte
oder auch Revisoren.
Absatz 3
„Die Vorschrift regelt den Widerruf der Bestellung zur bzw. zum behördlichen
Datenschutzbeauftragten. Im Hinblick auf die unabhängige Stellung der für
einen unbestimmten Zeitraum zu bestellenden behördlichen Datenschutzbeauftragten
(Absatz 4 Satz 2) ist der Widerruf zum Ausschluss von Missbräuchen
an enge Voraussetzungen geknüpft. Eine zusätzliche Verfahrenssicherung
bietet die obligatorische Anhörung der bzw. des Hamburgischen
Datenschutzbeauftragten vor der Entscheidung über den Widerruf.
Der Sache nach ist der Widerruf lediglich bei Eintritt eines wichtigen Grundes
im Sinne von § 626 des Bürgerlichen Gesetzbuchs zulässig“ (Bü-Drs.
16/3995, Gesetzesbegründung zu Nr. 11). In der Praxis stellt sich die Frage
insbesondere auch bei mangelnder Fachkunde.
88

Absatz 4
„Absatz 4 beschreibt den unabhängigen Status der behördlichen Datenschutzbeauftragten…
… Die Pflicht, sie in erforderlichem Umfang von der
Erfüllung anderer Aufgaben freizustellen und sie bei der Erfüllung ihrer Aufgaben
zu unterstützen, schließt eine angemessene Ausstattung mit sächlichen
und unter Umständen auch personellen Ressourcen ebenso ein wie
die Pflicht zur Information über für ihre Aufgabenwahrnehmung bedeutsame
Vorgänge“ (Bü-Drs. 16/3995 a.a.O.). In der Behördenpraxis haben die
Datenschutzbeauftragten meist schwerpunktmäßig rechtliche oder technische
Kenntnisse. Zur Unterstützung gehört deshalb auch, dass andere
Mitarbeiter der Behörde sie bei Bedarf fachkundig beraten. Notwendig ist
auch die Einrichtung von besonderen Funktionspostfächern und die Bestellung
von Vertretern (vgl. auch das Konzept Behördliche Datenschutzbeauftragte,
Mustertext Bestellung).
Absatz 5
Die in Abs. 5 umschriebene Aufgabe der behördlichen Datenschutzbeauftragten
liegt – anders als beim HmbBfDI (§ 23 Abs. 1) – weniger in der
„Überwachung“, sondern vielmehr in der „Unterstützung“ der öffentlichen
Stelle und ihres Personalrats. Dies schließt aber nicht aus, dass die Datenschutzbeauftragten
sich Einblick in die automatisierte und aktenmäßige
Verarbeitung personenbezogener Daten verschaffen (S. 4) und beim „Hinwirken“
auf die Einhaltung von Datenschutzvorschriften (S. 3 Nr. 1) auch
Kontrollfunktionen wahrnehmen. „Hierzu gehört es auch, Hinweisen auf datenschutzrechtliche
Mängel in der Daten verarbeitenden Stelle nachzugehen.
Auch die Information über datenschutzrechtliche Erfordernisse und
eine entsprechende Schulung von Bediensteten der Daten verarbeitenden
Stelle kommen als Maßnahmen der Hinwirkung auf die Umsetzung und Einhaltung
von Datenschutzvorschriften in Betracht“ (Bü-Drs. 16/3995 a.a.O.).
Das Einsichtsrecht der behördlichen Datenschutzbeauftragten ist eingeschränkt,
„soweit Rechtsvorschriften nicht entgegenstehen“. Dies
betrifft vor allem Personalakten, in die behördliche Datenschutzbeauftragte
grundsätzlich nicht ohne Einwilligung der Betroffenen einsehen dürfen.
Absätze 6 und 7
Die besondere Stellung der behördlichen Datenschutzbeauftragten zeigt
sich auch darin, dass sich die Mitarbeiterinnen und Mitarbeiter der Behörden
direkt an sie wenden dürfen, ohne den Dienstweg über Vorgesetze
einhalten zu müssen. Ein gesetzliches Benachteiligungsverbot sowie die
89

Verschwiegenheitspflicht der behördlichen Datenschutzbeauftragten nach
Abs. 7 sichern dieses Recht ab. Die Identität der Hinweisgeber oder
Beschwerdeführer muss gegenüber der Behördenleitung – nicht aber
gegenüber dem HmbBfDI – gewahrt bleiben. Das Recht, sich an den
behördlichen Datenschutzbeauftragten zu wenden, verdrängt nicht das
Recht, auch direkt den HmbBfDI anzurufen, § 26 Abs. 1.
Absatz 8
Die Pflicht der Behörden, dem HmbBfDI die Bestellung oder Beendigung
des Amtes behördlicher Datenschutzbeauftragter zu melden, ermöglicht
diesem, sich z.B. für allgemein interessierende Mitteilungen, für Fortbildungsmaßnahmen
oder Einladungen zu einem Erfahrungsaustausch an
den ganzen Kreis der behördlichen Datenschutzbeauftragten zu wenden.
Andererseits sichert die Meldepflicht, dass der HmbBfDI für datenschutzrechtliche
Nachfragen und Prüfungen aktuelle Ansprechpartner in den
Behörden hat. Schließlich offenbart sie dem HmbBfDI aber auch, ob er
– mangels Bestellung behördlicher Datenschutzbeauftragter – selbst der
obligatorische Empfänger von Verfahrensbeschreibungen und Vorabkontrollen
nach § 8 Abs. 4 ist und diese selbst überprüfen muss.
Zu § 11 Automatisiertes Abrufverfahren
Automatisierte Abrufverfahren nach § 11 zeichnen sich dadurch aus, dass
eine verantwortliche speichernde Stelle einer dritten öffentlichen Stelle
über eine technische Schnittstelle einen dauerhaften (lesenden) Zugriff
auf ein Fachverfahren einräumt. Dies kann im Zusammenhang mit den
Zwecken des eigenen Fachverfahrens stehen (z.B. Einrichtung eines automatisierten
Abrufverfahrens statt laufender Übermittlung von Daten der
Gewerbeanzeigen an öffentliche Stellen), aber auch ganz anderen
Zwecken der abrufenden Stelle dienen (z.B. Meldedatenübermittlungsverordnung).
Mit der Einrichtung der Schnittstelle hat die empfangende Stelle
faktisch die Möglichkeit, alle freigegebenen Datenfelder aus allen vorhandenen
Datensätzen abzurufen. Automatisierten Abrufverfahren kommt als
Informationsaustausch unter dem Aspekt des Datenschutzes deshalb besondere
Bedeutung zu. Sie sind nach § 11 daher grundsätzlich unzulässig,
es sei denn, sie sind durch eine Rechtsvorschrift oder zumindest durch
eine Senatsverordnung ausdrücklich zugelassen. Sie sollen der beschleunigten
Verarbeitung zwischen mehreren Daten verarbeitenden Stellen dienen.
Das Verfahren gliedert sich grundsätzlich in zwei Abschnitte: Die Einrichtung
des Verfahrens durch die verantwortliche Stelle einschließlich der
Autorisierung teilnehmender Stellen und der Bestimmung der zum Abruf
90

ereitgehaltenen Daten einerseits und den Abruf im Einzelfall durch die
autorisierte abrufende Stelle andererseits. Die Daten verarbeitende Stelle
nimmt bei Einrichtung die Prüfung der Erforderlichkeit und der Zulässigkeit
einer Übermittlung im Einzelfall in typisierender Betrachtung vorweg.
Tatsächlich kann sie nach Einrichtung eines solchen Anschlusses den
einzelnen Abruf nicht mehr beeinflussen. Aus diesem Grund hat der Gesetzgeber
die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit
des Abrufs in ausdrücklich der abrufenden Stelle zugeordnet (§ 14 Abs. 3
S. 4).
§ 11 regelt die Voraussetzungen der Zulässigkeit sowie die Ausgestaltung
des technischen Verfahrens durch die verantwortliche Daten verarbeitende
Stelle. Aus Gründen der Verhältnismäßigkeit und weil insbesondere in dem
letztgenannten Fall der Grundsatz der Erhebung beim Betroffenen umgangen
werden kann, wird diese Form der Übermittlung typischerweise auf
Sachverhalte von geringerer Eingriffstiefe oder besonderer Eilbedürftigkeit
beschränkt. Besonderen Anforderungen für besondere Verarbeitungserfordernisse
kann darüber hinaus im Rahmen der Senatsverordnung
nach Abs. 2 bereichsspezifisch Rechnung getragen werden.
Absatz 1
Die Einrichtung automatisierter Abrufverfahren durch öffentliche Stellen ist
prinzipiell nur auf der Grundlage ausdrücklicher Rechtsvorschriften zugelassen;
die Einrichtung solcher Verfahren wird nicht dem Ermessen und
der Einzelabwägung der beteiligten Behörden überlassen.
Absatz 2
In S. 1 wird die Einführung durch Rechtsverordnung des Senats zugelassen,
wenn spezialgesetzliche Ermächtigungen zur Durchführung eines
automatisierten Abrufs fehlen. Sind außerhamburgische Körperschaften
betroffen, bedarf es des Abschlusses eines Staatsvertrages (21. TB, 17.2)
Mit S. 2 wollte der Gesetzgeber die Unterrichtung der oder des Hamburgischen
Datenschutzbeauftragten sicherstellen, damit sogleich oder auch
später eine datenschutzrechtliche Kontrolle durchgeführt werden kann.
Daneben ist die Beteiligung im Gesetzgebungsverfahren durch die Beteiligungsrichtlinie
geregelt. Bei der Einrichtung eines automatisierten Abrufverfahrens
handelt es sich regelmäßig um eine wesentliche Änderung
eines bereits bestehenden automatisierten Verfahrens, so dass immer
auch eine neue Vorabkontrolle nach § 8 vorgenommen werden muss.
91

Die S. 3 bis 5 schreiben den erforderlichen Regelungsinhalt der Verordnung
vor. Die Einrichtung eines automatisierten Abrufverfahrens muss
immer unter Berücksichtigung der schutzwürdigen Belange der Betroffenen
angemessen sein. Neben den in S. 2 genannten Inhalten müssen
auch die erforderlichen technisch-organisatorischen Maßnahmen sowie
Maßnahmen zur Datenschutzkontrolle festgelegt werden. Einzelheiten
dazu sind in der Verordnung zu regeln, insbesondere, welche Stelle die
Verantwortung für die inhaltliche Prüfung trägt. Dabei wird es bei komplexen
Materien und mehreren abrufberechtigten Stellen sachgerecht sein,
die Rechtmäßigkeit durch die abrufende Stelle prüfen zu lassen und der
Daten bereit haltenden Stelle das Ergebnis zurückzumelden. Insbesondere
bei hohem und sehr hohem Schutzbedarf der verarbeiteten Daten
oder des Verarbeitungszusammenhangs sind Prüfungsroutinen wie Stichprobenkontrollen
angezeigt (vgl. 21. TB, 16.1), mit denen im Nachhinein
die Zulässigkeit einzelner Abrufe geprüft werden kann.
S. 6 stellt klar, dass § 11 lediglich die Einrichtung des automatisierten Abrufverfahrens
regelt; die materiell-rechtliche Zulässigkeit des einzelnen Abrufs
bestimmt sich nach den §§ 12 ff.
Absatz 3
Abs. 3 schränkt die für den Abruf durch Dritte geltenden Restriktionen für
Abrufe innerhalb einer Daten verarbeitenden Stelle ein. Innerhalb einer
Daten verarbeitenden Stelle erfolgen Abrufe, wenn die übermittelnde Einheit
und die Einheit, an die Daten weitergegeben werden, unterschiedliche
Aufgaben wahrnehmen. Die Zulassung erfolgt unter den gleichen Voraussetzungen
wie beim Abruf durch Dritte (vgl. Abs. 2), doch tritt an die Stelle
einer Rechtsverordnung des Senats ein innerdienstlicher Organisationsakt
der Behördenleitung. Nach S. 2 ist auch vor der Einrichtung dieser Art von
automatisierter Abrufverfahren die Anhörung der bzw. des Hamburgischen
Datenschutzbeauftragten obligatorisch.
Absatz 4
Unzulässig sind automatisierte Abrufverfahren im Verhältnis der öffentlichen
Verwaltung zu Stellen außerhalb des öffentlichen Bereichs. Privaten
Stellen soll kein unmittelbarer Zugriff auf Datenbanken der öffentlichen
Verwaltung mit personenbezogenem Inhalt ermöglicht werden. Dies gilt
nicht in den Fällen, in denen die Betroffenen ihre eigenen Daten abrufen
können; hier kann keine Verletzung des informationellen Selbstbestimmungsrechts
erfolgen.
92

Absatz 5
In Abs. 5 privilegiert der Gesetzgeber Abrufverfahren, die sich aus öffentlichen
Quellen speisen oder Daten beinhalten, die die Daten verarbeitende
Stelle veröffentlichen dürfte. In diesem Falle ist die Eingriffstiefe in das
informationelle Selbstbestimmungsrecht der Betroffenen gering, weshalb
eine Rechtsverordnung nach den vorgenannten Bestimmungen entbehrlich
ist. Die sonstigen Verarbeitungsvoraussetzungen bleiben jedoch
unberührt.
Zu § 11 a Gemeinsame und verbundene automatisierte
Dateien
Mit Umsetzung der EG-Datenschutzrichtlinie 2001 hat der Gesetzgeber
entsprechend Art. 20 der Richtlinie neben den automatisierten Abrufverfahren
auch die Verarbeitung in gemeinsamen oder verbundenen Dateien
als besonders gefährdende Verarbeitungsform angesehen und im Wesentlichen
denselben erhöhten Verarbeitungsvoraussetzungen unterstellt, wie
sie in § 11 seit langem für die automatisierten Abrufverfahren gelten.
Auch § 11a regelt ausschließlich die Ausgestaltung des technischen
Verfahrens bei Einbindung mehrerer Daten verarbeitender Stellen in ein
Verfahren. Die materielle Verarbeitungsbefugnis jeder einzelnen Stelle
nach den allgemeinen Vorschriften bleibt unberührt (Abs. 1 S. 5): Nach § 14
Abs. 3 trägt jede beteiligte Stelle die datenschutzrechtliche Verantwortung
für die Rechtmäßigkeit ihrer Verarbeitung in oder aus der gemeinsamen
oder verbundenen Datei.
Wie in § 11 gilt, dass nur öffentliche Stellen an gemeinsamen oder verbundenen
Dateien teilnehmen dürfen. Einer ausdrücklichen Regelung wie in
§ 11 Abs. 4, wonach die Verarbeitung zusammen mit Stellen außerhalb des
öffentlichen Bereichs ausgeschlossen wäre, bedarf es wegen der gesetzlichen
Definition der Daten verarbeitenden Stelle in § 4 Absatz 3 nicht.
Automatisierte Verfahren werden typischerweise als Fachverfahren zur
Unterstützung eines bestimmten Aufgabenkreises für eine zuständige
Stelle und ihre Mitarbeiter eingerichtet. Diese erhalten im Rahmen eines
Rechte- und Rollenkonzepts Zugriffsberechtigungen in dem für ihre Aufgabenerfüllung
erforderlichen Umfang. Sind mehrere örtlich zuständige Stellen
mit derselben Aufgabe betraut, können die Daten bei entsprechender
Abschottung der Bereiche in einem gemeinsamen Fachverfahren vorgehalten
werden. Gleiches gilt für Daten, die in den verschiedensten Verarbeitungszusammenhängen
erforderlich sind und aus einer gemeinsamen
Datei auch in eigene Fachverfahren übernommen werden wie z.B. die
93

Kommunikationsdaten der Mitarbeiter nach der Verwaltungsverzeichnisverordnung
(VerwVerzV).
Die besondere Gefährdungslage bezüglich der informationellen Selbstbestimmung,
und damit der Regelungsbedarf, steigt gegenüber § 11
nochmals in den Fällen, in denen mehrere Stellen in einem automatisierten
Verfahren nicht nur lesend (Abruf), sondern auch schreibend (Eingabe,
Veränderung, Löschung) unmittelbar auf einen Datenbestand zugreifen
können, der entweder als gemeinsame (zentrale) Datei oder als Dateienverbund
konzipiert ist. Die Fälle sind dadurch gekennzeichnet, dass der
Datenbestand ohne zentrale Kontrolle durch eine bestimmte Daten verarbeitende
Stelle von allen angeschlossenen Stellen unmittelbar bedient
werden kann, und dass die eingebende Stelle keine Kontrolle darüber hat,
wer eine von ihr eingegebene Information nutzt. Bereichsspezifische Beispiele
für Regelungen über gemeinsame Dateien finden sich in Hamburg
z.B. in § 1 Ausländerdateienverordnung und in § 1 Verwaltungsverzeichnis-
Verordnung.
Die Vorschrift orientiert sich in Aufbau und Inhalt an § 11.
Absatz 1
Die Einrichtung der näher bezeichneten automatisierten Dateien, in oder
aus denen mehrere hamburgische öffentliche Stellen personenbezogene
Daten verarbeiten dürfen, bedarf nach S. 1 der ausdrücklichen Zulassung
durch eine Rechtsvorschrift. Grundsätzlich sollten gemeinsame und verbundene
Dateien wegen der besonderen Gefährdungen der Rechte der
Betroffen vorzugsweise vom Gesetzgeber spezialgesetzlich geregelt werden.
So ist auf unsere Empfehlung die Ermächtigung für eine gemeinsame
Datei für ein hochschulübergreifendes Identitätsmanagement in § 111 Absatz
4 des Hamburgischen Hochschulgesetzes aufgenommen worden
(vgl. 22. TB, 11.1, 23. TB, 11.2).
S. 2 ermächtigt den Senat parallel zu § 11 Abs. 2 S. 1, die Einrichtung
solcher Dateien durch Rechtsverordnung zuzulassen, wenn es keine spezialgesetzliche
Ermächtigung dazu gibt. S. 3 verweist auf die parallelen
Regelungen in § 11 Abs. 2.
Nach S. 4 sind für gemeinsame und verbundene Dateien insbesondere
Regelungen darüber zu treffen, welche Stellen an der gemeinsamen oder
verbundenen Datei teilnehmen, welche Verarbeitungsbefugnisse die einzelnen
Stellen jeweils haben und – als Ausfluss der verfassungsrechtlichen
Konstruktion der Freien und Hansestadt Hamburg als Einheitsgemeinde –
welche der teilnehmenden Stellen unabhängig vom Umfang ihrer tatsäch-
94

lichen Beteiligung am Verfahren die datenschutzrechtliche Gesamtverantwortung
gegenüber den Betroffenen trägt.
Auch bei gemeinsamen oder verbundenen Dateien ist ein besonderes
Augenmerk auf die Ausgestaltung der technisch-organisatorischen Sicherungsmaßnahmen
zu legen. Insbesondere ist durch geeignete Sperrungsund
Löschungsroutinen sicherzustellen, dass jede beteiligte Stelle nur
soweit und solange Daten aus der gemeinsamen Datei nutzen kann, wie
sie ihr bei alleiniger Verarbeitung gesetzlich zur Verfügung stehen würden.
Absatz 2
Abs. 2 regelt analog dem Abrufverfahren die Zulassung gemeinsamer Dateien
innerhalb einer Daten verarbeitenden Stelle durch Dienststellenleiterverfügung,
wenn Daten aus verschiedenen Aufgabenbereichen zusammengeführt
und gemeinsam verarbeitet werden sollen. Auch hier sind
die Grenzen der materiellen Verarbeitungsbefugnisse wie Erforderlichkeit
im Einzelfall oder Ausschluss gemeinsamer Dateien durch Spezialgesetze
beachtlich. Im einzelnen vgl. zu § 11 Abs. 3.
Zu § 12 Datenerhebung
Absatz 1
Die Datenerhebung ist nach § 4 Abs. 2 S. 2 Nr. 1 eine Form der in § 4
Abs. 2 benannten sieben Phasen der Datenverarbeitung. „Erhebung“ ist
das zielgerichtete „Beschaffen von Daten über Betroffene“ durch die
öffentliche Stelle, § 4 Abs. 2 S. 2 Nr. 1. „Nicht unter den Erhebungsbegriff
fallen personenbezogene Daten, die von Betroffenen selbst oder von Dritten
ohne Anforderung der öffentlichen Stelle geliefert werden, sowie Erkenntnisse,
die der Verwaltungsbehörde durch Zufall bekannt werden“ (Bü-Drs.
13/3282 zu § 12). In diesen Fällen kommt dann – auch ohne eine Erhebung
– eine weitere Verarbeitung durch Speichern, Nutzen oder Übermitteln in
Betracht, wobei § 13 Abs. 1 S. 2 deren Zweck an den Zweck der erstmaligen
rechtmäßigen Speicherung bindet.
Auch zur Datenerhebung gibt es eine Reihe von Spezialvorschriften, die
§ 12 vorgehen. Hier sind insbesondere die zahlreichen Datenerhebungsnormen
im Polizeirecht und für den Verfassungsschutz zu nennen: §§ 5 –
12 Gesetz über die Datenverarbeitung der Polizei (PolDVG), §§ 7, 8 Hamburgisches
Verfassungsschutzgesetz (HmbVerfSchG).
95

Nach § 12 ist Zulässigkeitsvoraussetzung der Datenerhebung, dass die
Kenntnis der Daten für die rechtmäßige Aufgabenerfüllung der öffentlichen
Stelle erforderlich ist. „Erforderlich ist die Datenerhebung nicht erst dann,
wenn kein anderes Mittel zur Aufgabenerfüllung zur Verfügung steht (ultima
ratio). Es genügt, wenn die Aufgabe auf andere Weise nur unter unverhältnismäßig
großen Schwierigkeiten erfüllt werden könnte“ (Bü-Drs. 13/3282 zu
§ 12). Dagegen reicht es nicht aus, dass die Daten für gegenwärtige oder
zukünftige Behördenaufgaben nützlich sein könnten.
So musste die Justizbehörde für die Zahnbehandlung von Gefangenen
einen neuen Vordruck entwickeln, der keine Felder für Vorstrafen, Delikte
und Strafmaß mehr enthielt (21. TB 2006/2007,10.5), weil diese Daten für
die Aufgabe Zahnbehandlung nicht erforderlich sind. Auch das hochschulübergreifende
Identitätsmanagement eCampus-IDMS muss sich auf
die Erhebung der wenigen Studierenden-Daten beschränken, die für hochschulübergreifende
Zusammenarbeit und für den Bibliothekenverbund
tatsächlich gebraucht werden (22. TB 2008/2009, III 11.1). Die Hamburg
Port Authority musste schließlich die Erhebung von Kfz-Kennzeichen durch
Videoaufzeichnungen einstellen. Mit diesen wollte sie die Verkehrsströme
im Hafengebiet analysieren. Diese Erhebung der personenbezogenen
Kfz-Daten war nicht erforderlich, weil geeignete Verfahren zur Pseudonymisierung
unmittelbar bei Aufzeichnung zur Verfügung standen (23. TB
2010/2011, III 14.1).
Wie weit die Aufgabe einer öffentlichen Stelle reicht, ergibt sich grundsätzlich
aus den Rechtsgrundlagen, die die konkrete Behörde anwendet. Darüber
hinaus können bestimmte Annexkompetenzen und -aufgaben anerkannt
werden, etwa die Beschaffung von Büromaterial, die Beauftragung
von Handwerkern oder die Versendung von Ratgebern und Informationsmaterial.
Auch die Erhebung personenbezogener (Kunden-, Adress-)Daten
zu diesen Zwecken kann erforderlich sein.
Absatz 2
In Abs. 2 S. 1 wird der Grundsatz der offenen „Erhebung beim Betroffenen“
normiert. „Denn nur auf diesem Wege kann er sein Recht, selbst über die
Preisgabe und Verwendung seiner Daten bestimmen zu dürfen, wirksam
ausüben. Die Erhebung personenbezogener Daten ohne seine Kenntnis –
bei Behörden oder privaten Stellen – oder auch durch eine verdeckte Beobachtung…
soll im Grundsatz ausgeschlossen sein. Der so umrissene
Schutzgedanke lässt es aber zu, dass der Betroffene eines Verwaltungsverfahrens
z.B. über personenbezogene Daten Dritter – sie sind ebenfalls „Betroffene“
im Sinne des Gesetzes – selbst Auskunft gibt, wenn das Gesetz
seine Rechtsposition von den persönlichen Verhältnissen dieser Personen
96

abhängig macht (z.B. von Ehegatten, Eltern und Kindern)“ (Bü-Drs. 13/3282
zu § 12).
Werden Daten nicht nur von einem einzelnen Betroffenen erhoben, sondern
von einem bestimmbaren Personenkreis, nimmt S. 2 die Anforderungen
„insoweit zurück, als in diesem Fall nicht die positive Kenntnisnahme,
sondern lediglich die zumutbare Möglichkeit einer Kenntnisnahme von der
Datenerhebung gefordert wird“ (Bü-Drs. 16/3995, zu Nr. 14 (§ 12)). Diese
Regelung zielte seinerzeit vor allem auf Videoüberwachungen mit deutlichen
Hinweisschildern ab und wurde durch die Einfügung des § 30 im
Jahre 2010 weitgehend obsolet.
Der Grundsatz der offenen Erhebung beim Betroffenen gilt jedoch nicht
ausnahmslos. Ohne Kenntnis der Betroffenen dürfen personenbezogene
Daten bei ihnen selbst oder bei einer anderen Stelle erhoben werden,
wenn eine Rechtsvorschrift dies ausdrücklich zulässt „oder die Wahrnehmung
einer durch Gesetz oder Rechtsverordnung begründeten Aufgabe
die Verarbeitung dieser Daten zwingend voraussetzt“, S. 3 und 4 in Verbindung
mit § 13 Abs. 2 Nr. 1. In der ersten Alternative weisen die S. 3 und 4
etwa auf die Datenerhebungsvorschriften der §§ 2, 7 PolDVG, §§ 7, 8
HmbVerfSchG und § 25 Abs. 2 Hamburgisches Gesundheitsdienstgesetz
hin. Zu „zwingend voraussetzt“ siehe unten zu § 13.
Eine Datenerhebung beim Betroffenen ohne dessen Kenntnis ist nach S. 4
darüber hinaus, also ohne bereichsspezifische Rechtsgrundlage, zulässig
zum Schutz von Leben, Gesundheit und der natürlichen Lebensgrundlagen.
Letzteres bezieht sich auf erhebliche Umweltschäden, die etwa
durch Unfälle oder Straftaten drohen.
S. 5 betont „zugleich die besondere Geltung des Verhältnismäßigkeitsgrundsatzes
im Datenschutzrecht. Die Vorschrift soll unangemessene und unzumutbare
Methoden bei der Erhebung, ebenso aber auch unzumutbare
Fragen ausschließen“ (Begründung zur ursprünglichen Fassung des § 12,
Bü-Drs. 13/3282).
Zu § 12 a Unterrichtung bei der Erhebung
Die 2009 eingeführte Vorschrift hat den Sinn, eine Datenverarbeitung nach
Treu und Glauben sicherzustellen, wie es die EG-Datenschutzrichtlinie mit
ihren Unterrichtungspflichten vorgibt. „Dabei wird die bisherige Systematik
beibehalten, die zwischen der Datenerhebung bei Betroffenen mit ihrer
Kenntnis, der Erhebung bei Dritten und der Erhebung bei den Betroffenen
ohne ihre Kenntnis unterscheidet“ (Bü-Drs. 16/3995 zu Nr. 15, § 12 a
– neu –). Die bereichsspezifisch geregelten Benachrichtigungspflichten,
97

z.B. in § 10 c Abs. 4 Gesetz über die Datenverarbeitung der Polizei, § 8
Abs. 6 Hamburgisches Verfassungsschutzgesetz, § 12 Art.10-Gesetz,
gehen der allgemeinen Regelung in § 12a vor.
Absatz 1
Bei der offenen Datenerhebung muss die Behörde die Betroffenen darüber
aufklären, welchem Zweck die Datenverarbeitung dient, welcher Empfängerkreis
die Daten – voraussichtlich – erhält, welche Rechtsvorschrift der
Erhebung zugrunde liegt und ob eine Auskunftspflicht (oder eine
Auskunftsobliegenheit zur Erlangung von Rechtsvorteilen) besteht oder ob
die Datenoffenbarung freiwillig ist. Diese Aufklärungspflicht entfällt, soweit
die Betroffenen mit der Datenübermittlung an die konkreten Empfänger
rechnen mussten, d.h. Übermittlung und Empfänger sich den Betroffenen
aufdrängen mussten. Im Übrigen entfällt die Pflicht zur Aufklärung, wenn
die Betroffenen die genannten Informationen bereits positiv kennen. Die
bloße Möglichkeit der Kenntnisnahme aufgrund von Aushängen oder
Hinweisen usw. reicht dazu nicht. Nur bei schriftlicher Erfassung der Daten
sollen (nicht: müssen) die Betroffenen auch über ihr Auskunfts- und Berichtigungsrecht
unterrichtet werden.
Absatz 2
Bei der verdeckten Datenerhebung – bei den Betroffenen selbst oder bei
einer anderen Stelle – muss die Behörde die Betroffenen in der Regel zusätzlich
auch über die Art der erhobenen Daten aufklären. Werden die
Daten in einer Datei erfasst, muss die Aufklärung bei Beginn der Speicherung
erfolgen, anderenfalls bis zur ersten Durchführung einer beabsichtigten
Übermittlung. Anders als bei der offenen Erhebung nach Abs. 1 wird
die Rechtsgrundlage als Aufklärungsgegenstand hier nicht genannt. Es ist
jedoch kein Grund ersichtlich, warum die verdeckte Erhebung gegenüber
der offenen Erhebung in dieser Beziehung privilegiert werden sollte. Die
Worte „zu benachrichtigen und dabei…anzugeben“ sind deswegen auch
als ein Verweis auf Abs. 1 S. 2 zu verstehen. Gerade bei der verdeckten
Datenerhebung ist für die Betroffenen der Hinweis auf die Rechtsgrundlage
besonders wichtig.
Absatz 3
„Absatz 3 regelt die Ausnahmen von der Benachrichtigungspflicht nach
Absatz 2. Von den Ausnahmemöglichkeiten, die sich aus dem beschränkten
Anwendungsbereich der EG-Datenschutzrichtlinie sowie ihrem Artikel 11
Absatz 2 und 13 ergeben, wird dabei umfassend Gebrauch gemacht, um
den anderenfalls zu erwartenden Verwaltungsaufwand zu vermeiden, der in
98

keinem angemessenen Verhältnis zu dem durch die Benachrichtigung verfolgten
Schutzzweck stünde“, Bü-Drs. 16/3995 zu Nummer 15 (§ 12 a neu).
Bei der verdeckten Datenerhebung unterbleibt die Benachrichtigung,
wenn die Datenverarbeitung allgemein der Strafverfolgung oder der Gefahrenabwehr
durch die Polizei oder durch eine Fachbehörde dient. Zusätzlich
normiert Satz 2 entsprechend den Vorgaben der EG-Datenschutzrichtlinie
weitere fünf Ausnahmen von der Unterrichtungspflicht. Eine Aufklärung
der Betroffenen unterbleibt, wenn ein bereichsspezifisches Spezialgesetz
die Datenverarbeitung – insbesondere die Datenerhebung –
ausdrücklich vorsieht oder die Aufklärung die Wahrnehmung öffentlicher
Aufgaben gefährden oder schutzwürdige Geheimhaltungsinteressen einzelner
Personen verletzen würde. Darüber hinaus rechtfertigen auch die
Unmöglichkeit der Benachrichtigung und ein „unverhältnismäßiger Aufwand“
einen Verzicht auf die Unterrichtung der Betroffenen. „Unmöglich ist
die Benachrichtigung, wenn die Betroffenen nicht ausreichend identifizierbar,
insbesondere keine Adressen bekannt sind. Die Benachrichtigungspflicht
selbst ist keine Rechtsgrundlage und begründet auch keine Rechtspflicht
zur Erhebung von Daten mit dem alleinigen Zweck, die Benachrichtigung
zu ermöglichen. Die Unverhältnismäßigkeit des Aufwandes ist im Einzelfall
in Abwägung mit dem Informationsinteresse der Betroffenen zu
bewerten“ (Bü-Drs. 16/3995, zu Nummer 15, § 12 a – neu –).
Zum Ausgleich für diese vielfältigen Einschränkungen der Aufklärungspflicht
verlangen Art. 11 und 13 EG-Datenschutzrichtlinie „geeignete Garantien“
für die Betroffenen. Dies setzt Satz 3 um: Er verpflichtet die Daten
erhebende Stelle, die Datenschutzbeauftragte oder den Datenschutzbeauftragten
(der Behörde bzw. der Stadt Hamburg) anzuhören, wenn sie den
Aufklärungsverzicht mit einer ausdrücklichen gesetzliche Regelung, der
Unmöglichkeit der Aufklärung oder einem „unverhältnismäßigen Aufwand“
begründen will. Die Anhörungspflicht besteht im letzteren Falle jedoch wiederum
nur dann, wenn sich der Aufklärungsverzicht auf eine Vielzahl von
Einzelfällen auswirkt. Damit wird das Anhörungsrecht des oder der Datenschutzbeauftragten
tendenziell wieder stark eingeschränkt.
Absatz 4
Sehen Rechtsvorschriften vor, dass die öffentliche Stelle Daten Betroffener
auch bei einem privaten Dritten, z.B. beim Vermieter oder beim Arbeitgeber,
erheben darf, so muss die Stelle diese Dritten über die Vorschrift
und darüber aufklären, ob die Datenoffenbarung freiwillig ist, einer Auskunftspflicht
unterliegt oder Voraussetzung für eine Rechtsgewährung an
die betroffene Person ist.
99

Zu § 13 Zulässigkeit der weiteren Datenverarbeitung;
Zweckbindung
Absatz 1
Wie schon die Erhebung (§ 12) ist auch die weitere Verarbeitung der erhobenen
Daten nur zulässig, wenn sie im Rahmen der gesetzlich übertragenen
Aufgaben oder anzuerkennender Annexkompetenzen der öffentlichen
Stelle erfolgt und für die Aufgabenwahrnehmung erforderlich ist
(siehe dazu § 12), S. 1 Nr. 1. Das gilt auch für eine Datenverarbeitung, für
die eine Einwilligung der Betroffenen eingeholt wurde.
Die im Jahre 2001 nur redaktionell veränderte Vorschrift des § 13 enthält in
Abs. 1 S. 1 Nr. 2 „die zentrale Zweckbindungsregelung für die Datenverarbeitung
durch eine öffentliche Stelle, die beim Bürger personenbezogene
Daten zu bestimmten Zwecken zulässigerweise erhoben hat. Das mit der
Einbeziehung der Erhebungsphase in den Schutzbereich des Gesetzes gewährleistete
Recht des Betroffenen, im Regelfall selbst über die Preisgabe
und Verwendung seiner Daten bestimmen zu dürfen, hat zur logischen Konsequenz,
dass der Verwendungszweck der Daten bei der anschließenden
Verarbeitung grundsätzlich nicht ohne Wissen des Betroffenen geändert
werden darf. Die Zweckbindung gilt aber nicht nur für personenbezogene
Daten, die zielgerichtet erhoben worden sind, sondern auch für solche
Daten, die der Verwaltung ohne ihr Zutun zugehen oder erst, wie z.B. Einbürgerungen
oder Namensänderungen, durch behördliches Handeln entstehen
(Abs. 1 S. 2)“ (Bü-Drs. 13/3282 zu § 13).
Die Grenzen der Aufgaben- und Zweckbindung bzw. der Umfang der
Zweckidentität können im Einzelfall schwer zu bestimmen sein. „Es besteht
aber keine Veranlassung, die Zweckidentität nach zu engen Kriterien zu bestimmen.
Da der Zweck einer jeden Datenverarbeitung im Regelfall die Erreichung
fachlicher Ziele ist, muss sich die Bestimmung einer Zweckidentität
maßgebend nach der Art der fachlichen Aufgabe richten; es ist damit
zunächst Aufgabe der öffentlichen Stelle, eine fachbezogene Abgrenzung
vorzunehmen. Zweckidentität besteht z.B. in folgenden Falllagen:
– Vorrangig zu nennen sind die „Annexfälle“. In den Zusammenhang einer
Fachaufgabe gehören z.B. die Abwicklung von Schadensersatzansprüchen
aus Anlass dieser Tätigkeit, die Beauftragung und Information
von Rechtsanwälten, die Hinzuziehung von Sachverständigen, die Abrechnung
der Kosten eines Verwaltungs- oder Gerichtsverfahrens.
– In behördlichen Abstimmungsverfahren – z.B. Planfeststellungen –
haben mehrere öffentliche Stellen ihre fachlichen Ziele und Erfahrung zu
100

dem einen Zweck zusammenzufassen, die Zulässigkeit einer Maßnahme
festzustellen (vgl. die deklaratorische Aussage in § 14 Abs. 1 S. 2).
– Zweckidentität besteht zwischen der Gewerbeanmeldung des X im Jahre
1983 und seiner erneuten Anmeldung (für ein anderes Gewerbe) in Jahre
1988 (für den Rückgriff auf persönliche Anmeldegründe im Jahre 1983
liegt hier jedoch eine andere Wertung näher); entsprechendes gilt für die
Daten zur Erlangung einer Gasölverbilligung im Jahre 1987 und erneut im
Jahre 1988.
– Ein Betrieb mit mehreren Produktgruppen ist auf Grund verschiedener
Rechtsvorschriften zu überwachen; die aus diesem Anlass zu den verschiedenen
Bereichen verarbeiteten Daten dienen dem gleichen Zweck,
soweit die Zuverlässigkeit des Betreibers zu beurteilen ist.
– Zu dem behördlichen Zweck, Sorge für eine handlungsunfähige Person
zu tragen, gehört die Information der Angehörigen über Aufenthalt und
Zustand der Person.
– Der Streifenbeamte der Polizei verarbeitet (als Handeln im ersten Zugriff)
Daten auch für die Zwecke derjenigen Ordnungsbehörden, die fachliche
Aufgaben im Zusammenhang mit der festgestellten Gefahr für die öffentliche
Sicherheit und Ordnung wahrnehmen.
– Bei der Betreuung durch die Gesundheitsverwaltung wird es auf die Umstände
ankommen, ob der betroffene Bürger sich zu einem bestimmten
Zweck (z.B. Betreuung allein der Körperbehinderung) oder zu einer umfassenden
Betreuung in die Obhut der Verwaltung begibt.“ (Bü-Drs.
13/3282 zu § 13).
Anders ist dagegen folgende Falllage zu beurteilen: Die Weitergabe der
Personalien von Erbbauberechtigten an eine private Maklerfirma, damit
diese mit den Berechtigten über den Verkauf ihres Erbbaurechts verhandelt,
dient nicht demselben Zweck wie die erstmalige Speicherung dieser
Daten vor vielen Jahren, um den Erbbauvertrag abzuschließen und durchzuführen
(21. TB 2006/2007, 11.1).
Satz 2 bindet die weitere Verarbeitung von Daten, die nicht gezielt zu einem
bestimmten Zweck erhoben wurden, an den Zweck, zu dem die Daten erstmals
gespeichert wurden. Das setzt allerdings unausgesprochen voraus,
dass die Speicherung und ihr Zweck in den Zuständigkeits- und Aufgabenbereich
der verantwortlichen Stelle fallen und auch die weiteren Voraussetzungen
z.B. der Datensparsamkeit und Erforderlichkeit erfüllen.
Absatz 2
Eine weitere Datenverarbeitung für einen anderen Zweck ist nur unter den
in Abs. 2 einzeln aufgeführten alternativen Bedingungen zulässig.
101

Nach Ziff. 1 kann eine eigene Rechtsvorschrift dies ausdrücklich zulassen,
z.B. § 14 Abs. 2 Gesetz über die Datenverarbeitung der Polizei, §§ 483, 485
Strafprozessordnung. Eng auszulegen ist die zweite Möglichkeit einer
zweckändernden Verarbeitung, wenn nämlich die Wahrnehmung einer gesetzlichen
Aufgabe die Zweckänderung „zwingend voraussetzt“. Diese
Voraussetzung liegt z.B. nicht vor, wenn die Justizbehörde zum Zwecke der
Anerkennung eines ausländischen Scheidungsurteils die vollständige
Ausländerakte von der Ausländerbehörde abfordert – und dies, obwohl die
Spezialregelung in § 107 Gesetz für Familiensachen und freiwillige Gerichtsbarkeit
eine solche Datenübermittlung nicht vorsieht (23. TB
2010/2011, III 5.2.). „Die Vorschrift (§ 13 Abs. 2) soll den öffentlichen Stellen
nicht prinzipiell die Möglichkeit einräumen, etwa ohne bereichsspezifische
Normen Datenverarbeitung betreiben zu dürfen, sondern sie nur in denjenigen
Fällen zur Datenverarbeitung legitimieren, in denen der Zweck vorhandener
Normen eine andere Interpretation ausschließt“ (Bü-Drs. 13/3282 zu
§ 13).
In Ziff. 2 wird eine zweckändernde Datenübermittlung oder -offenbarung
erlaubt, wenn die öffentliche Stelle wie ein privater Gläubiger ein „rechtliches
Interesse“ – also ein Interesse an der Durchsetzung von Rechtsansprüchen
– hat und dazu nach einer Abwägung mit den Betroffeneninteressen
die für andere Zwecke erhobenen Daten nutzt.
Ziff. 3 rechtfertigt eine zweckändernde Datenverarbeitung zur Überprüfung
von Angaben der Betroffenen, wenn es tatsächliche Anhaltspunkte für
deren Unrichtigkeit gibt. Nicht erforderlich ist ein Täuschungsverdacht gegenüber
den Betroffenen. „In diesen Fällen wird dem Grundsatz rechtmäßiger
Aufgabenerfüllung Priorität zuerkannt. Dies liegt auch im Interesse des
Betroffenen, der sich sonst möglicherweise später Erstattungsansprüchen
oder sonstigen Maßnahmen der öffentlichen Verwaltung ausgesetzt sieht“
(Bü-Drs. 13/3282 zu § 13).
Ziff. 4 hebt die Zweckbindung auch auf für eine Datenverarbeitung zum
Schutz von Gemeinwohl oder „gewichtigen Rechtspositionen“ Einzelner –
„z.B. Leib, Leben, Freiheit, aber auch wesentliche Vermögensinteressen“
(Bü-Drs. 13/3282 zu § 13). In diesem Bereich gehen jedoch regelmäßig
bereichsspezifische Normen vor und regeln die Datenverarbeitung abschließend.
Dies gilt etwa für das Gesetz für die Datenverarbeitung der Polizei,
aber auch für die Datenschutzvorschriften des Sozialgesetzbuchs X
für den gesamten Sozialleistungsbereich.
Ziff. 5 nimmt die Strafverfolgung und den Strafvollzug ebenso von der
Zweckbindung aus wie Bußgeldverfahren. Hier gelten sowohl für die
102

Behörden als auch für die Gerichte in erster Linie die Prozessordnungen
bzw. die Vollzugsgesetze.
Ziff. 6 erlaubt die zweckändernde Datennutzung und -verarbeitung
zugunsten der Betroffenen, wenn diese keine Einwilligung erteilen können.
Das Verarbeitungsinteresse des Betroffenen muss allerdings „offensichtlich“
sein. Ein aus Verwaltungssicht bestehendes „wohlverstandenes
Eigeninteresse“, das aber dem – etwa früher geäußerten – tatsächlichen
Willen der Betroffenen nicht entspricht, kann die Datenverarbeitung nicht
rechtfertigen.
Ziff. 7 lässt die anderweitige Verwendung von bereits veröffentlichten oder
publizierbaren Daten zu. Dennoch muss die öffentliche Stelle prüfen, ob
nicht schutzwürdige Interessen der Betroffenen „offensichtlich“ entgegenstehen.
Daran ist z.B. zu denken, wenn die Daten unrichtig (geworden) sind
– etwa weil der betroffene Mitarbeiter längst die Dienststelle verlassen hat,
die seine Daten auf der Behörden-Homepage veröffentlichte.
Ziff. 8 wurde später eingefügt und stellt klar, dass die Zweckbindung der
Datenerhebung nicht der Beantwortung von Eingaben und Kleinen und
Großen Anfragen entgegensteht. Hier wird das Verfassungsrecht des Parlaments
dem informationellen Selbstbestimmungsrecht der Betroffenen
vorgezogen. Eine Grenze findet die Fragen-Beantwortung auch hier in den
schutzwürdigen Interessen der Betroffenen. Dies kann etwa bei anvertrauten
Sozialdaten der Jugendhilfe einer Beantwortung entgegenstehen, vgl.
§ 65 Sozialgesetzbuch VIII.
In S. 2 wird die in den Ziff. 2–8 aufgehobene Zweckbindung für solche
Daten wieder hergestellt, die einer beruflichen Schweigepflicht oder einem
besonderem Amtsgeheimnis unterliegen und der öffentlichen Stelle von
den Verpflichteten „zur Verfügung gestellt“ wurden. Dabei ist es unerheblich,
ob die öffentliche Stelle die Daten mit Einwilligung oder aufgrund einer
gesetzlichen Übermittlungsbefugnis erhalten hat. Auch die Datenweitergabe
innerhalb derselben Stelle – z.B. durch einen schweigeverpflichteten
Sozialarbeiter – ist eine „Zur-Verfügung-Stellung“, einer Übermittlung im
Datenschutzsinne bedarf es nicht.
So darf die Schule keine Gesundheitsinformationen an Dritte weitergeben,
die sie vom Arzt eines Schülers zum Zweck seiner Förderung erhalten hat.
Auch darf eine Justizvollzugsanstalt Informationen, die sie mit Einwilligung
des Betroffenen von dessen Bewährungshelfer (schweigeverpflichteter Sozialarbeiter)
bekommen hat, nicht an andere Stellen weitergeben (22. TB
2008/2009, III 6.2) Auch die polizeiliche Koordinierungsstelle für Fallkonferenzen
zu jugendlichen Intensivtätern darf ohne besondere Einwilligung
103

der Betroffenen keine Informationen an die anderen Fallkonferenzteilnehmer
weitergeben, wenn sie von einem schweigeverpflichteten Bewährungshelfer
stammen.
Absatz 3
„Absatz 3 stellt klar, dass die Nutzung personenbezogener Daten im Rahmen
von Aufsichts- und Kontrollbefugnissen, die Rechnungsprüfung (dazu
gehört auch die Vorprüfung nach § 100 LHO und § 56 Absatz 3 HGrG) oder
auch von Organisationsuntersuchungen nicht als Zweckänderung anzusehen
ist. Die angesprochenen Tätigkeiten sind einer rechtmäßigen
Aufgabenerfüllung der Verwaltung notwendig akzessorisch und stellen
keine spürbare Gefährdung des informationellen Selbstbestimmungsrechts
dar“ (Bü-Drs. 13/3282 zu § 13).
Dasselbe gilt für die Datenverarbeitung zu Ausbildungs- und Prüfungszwecken,
wobei die Datenverarbeitung hier mit den schutzwürdigen
Interessen der Betroffenen abgewogen werden muss. Dabei ist insbesondere
der Grundsatz der Datenvermeidung und Datensparsamkeit, § 5 Abs.
4, zu berücksichtigen. Häufig ist hier eine vorherige Pseudonymisierung
oder Anonymisierung der Daten möglich und dann auch zwingend geboten.
Zu § 14 Übermittlung innerhalb des öffentlichen Bereichs
§ 13 behandelt die Aufgaben- und Zweckbindung für jede „weitere Datenverarbeitung“,
was nach § 4 Abs. 2 auch eine Übermittlung umfasst. Die
§§ 14–17 knüpfen daran an, stellen aber weitere Zulässigkeitsbedingungen
je nach Art der Übermittlungsempfänger auf. § 14 regelt Übermittlungen
von einer Hamburger Behörde bzw. Stelle an eine andere oder auch an
eine außerhamburgische öffentliche Stelle.
Für die Definition einer „Übermittlung“ gilt § 4 Abs. 2 S. 2 Nr. 4: Danach liegt
eine solche einerseits schon beim Bereithalten papiergebundener Daten
zur Einsicht, andererseits – bei automatisierten Abrufverfahren – erst mit
dem tatsächlichen Abruf durch den Empfänger vor.
Absatz 1
„Soweit nicht bereichsspezifische gesetzliche Vorschriften etwas anderes
bestimmen, ist eine gegenseitige Informationshilfe öffentlicher Stellen unter
Durchbrechung der Zweckbindung nur noch unter den in dieser Vorschrift
aufgeführten Voraussetzungen zulässig“ (Bü-Drs. 13/3282 zu § 14). Mit dem
Verweis auf § 13 sind auch die Ausnahmeregelungen des § 13 Abs. 2 S. 1
104

Nr. 2–8 gemeint, die wiederum § 13 Abs. 2 S. 2 außer Kraft setzt für Daten,
die einer Schweigepflicht unterliegen. Soweit die empfangende Behörde
Aufsichts-, Kontroll- und Rechnungsprüfungsbefugnisse gegenüber der
übermittelnden öffentlichen Stelle ausübt, wird für die Übermittlung nach
§ 13 Abs. 3 eine Zweckidentität fingiert.
„Die in Absatz 1 Satz 2 vorgesehene Regelung entspricht den Erfordernissen
komplexer Verwaltungsverfahren, bei denen mehrere öffentliche Stellen
an einem Entscheidungsprozess beteiligt sind. Die Beteiligung kann durch
Gesetz oder durch Verwaltungsvorschrift, z.B. durch Organisationsanordnung
des Senats nach Artikel 57 Satz 2 der Hamburger Verfassung, vorgeschrieben
sein. Die Regelung des Satz 2 ist im Grunde nur eine deklaratorische
Klarstellung. Der Begriff des Verwaltungsverfahrens ist hier weiter als
in § 9 HmbVwVfG“ (Bü-Drs. 13/3282 zu § 14).
Absätze 2 und 4
Abs. 2 und Abs. 4 normieren ein „Aktenprivileg“: Anders als bei elektronischen
Daten kann eine Übermittlung oder innerbehördliche Weitergabe
von papiergebundenen Informationen häufig nicht auf die Daten begrenzt
werden, die für die Aufgabenerfüllung erforderlich sind. Dieser faktischen
Unmöglichkeit trägt Abs. 2 Rechnung, indem er auch die Übermittlung
nicht erforderlicher, aber untrennbar verbundener Informationen zulässt,
ihre Weiterverarbeitung beim Empfänger aber untersagt. Bedingung für
das Aktenprivileg ist, dass schutzwürdige Interessen Betroffener an der
Geheimhaltung der „überflüssigen“ Daten nicht offensichtlich überwiegen.
Diese Voraussetzung kompensiert, dass die nicht erforderlichen, aber untrennbar
verbundenen Daten in keiner Weise auf ihre Sensibilität, ihren
Speicherzweck oder ihre Aufgaben-Relevanz geprüft werden. Ergibt die
Abwägung durch die übermittelnde Stelle, dass die Geheimhaltungsinteressen
der Betroffenen insofern offensichtlich überwiegen, muss auch die
Übermittlung der für die Aufgabenerfüllung „eigentlich“ erforderlichen
Daten unterbleiben.
Ein Anwendungsbereich dieser Vorschrift ist die elektronische Ausländerakte
nach § 1 a Ausländerdateienverordnung, vgl. 23. TB 2010/2011,
III 16.1. In der elektronischen Ausländerakte sind sensibelste Dokumente
zum Leben eines Ausländers, z.B. über Familie, Gesundheit und Herkunft,
ferner Gerichtsentscheidungen und Bescheide der Ausländerbehörde
sowie das gesamte Verwaltungshandeln gesammelt. Ob das Aktenprivileg
des Abs. 2 auch für die elektronische Form der Akte gilt, hängt im Wesentlichen
davon ab, ob es sich um ein einheitliches, als Ganzes vor Teil-Zugriffen
geschütztes Dokument handelt (zusammenhängende Bild-Datei) oder
105

ob einzelne Dokumente und Daten für eine (elektronische) Übermittlung
leicht vom übrigen Akteninhalt getrennt werden können. Im ersten Fall hat
die übermittelnde Ausländerbehörde genau zu prüfen, ob das Interesse
des Ausländers an der Geheimhaltung aller anderen in der Akte vereinigten
Informationen „offensichtlich“ größer ist als das Interesse der öffentlichen
Stellen an der Übermittlung. Für diesen Fall kommt ausschließlich
die (nicht-elektronische) Übermittlung eines Ausdrucks nur der erforderlichen
Daten, nicht die Übermittlung der ganzen Akte in Betracht.
Absatz 3
Abs. 3 regelt die datenschutzrechtliche Verantwortung dafür, dass eine
andere öffentliche Stelle erstmals von personenbezogenen Daten Betroffener
Kenntnis erhält. Grundsätzlich ist diejenige Stelle verantwortlich, die
die Daten übermittelt, also preisgibt. Handelt sie jedoch auf Ersuchen des
Empfängers, hat sie nur zu prüfen, ob das Ersuchen und damit die Kenntnisnahme
der betroffenen Daten zum Aufgabenbereich der ersuchenden
Stelle gehört. Besteht Anlass, hieran zu zweifeln, muss die ersuchte
Behörde die Rechtmäßigkeit des Ersuchens prüfen. Die ersuchende
Behörde muss dazu erforderliche Angaben machen.
Unabhängig von einem Ersuchen muss die übermittelnde Stelle aber
immer auch die eigene Übermittlungsbefugnis klären. Eine andere Auslegung
würde dem vom Bundesverfassungsgericht festgestellten Grundsatz
widersprechen, dass spezifische Datenverwendungsregelungen „amtshilfefest“
sind, also nicht durch die allgemeine Amtshilfepflicht des Art. 35
GG außer Kraft gesetzt werden können.
Bei einem zulässigen automatisierten Abrufverfahren nach §§ 11, 11a ist
für die einzelne konkrete Übermittlung durch Abruf dagegen die abrufende
Stelle allein verantwortlich.
Zu § 15 Übermittlung an öffentlich-rechtliche
Religionsgesellschaften
§ 15 stellt für den speziellen Fall einer Datenübermittlung an (körperschaftlich
verfasste) öffentlich-rechtliche Religionsgesellschaften besondere Anforderungen
auf, unter denen sie bei Übermittlungen so behandelt werden,
als wären sie eine öffentliche Stelle. Neben dem Vorliegen des Status einer
„öffentlich-rechtlichen Religionsgesellschaft“ verlangt § 15 für die entsprechende
Anwendung des § 14, dass ausreichende Datenschutzmaßnahmen
beim Empfänger getroffen sein müssen.
106

Bei der Anwendung der Übermittlungsvorschriften sind Art. 140 Grundgesetz
(GG) i.V.m. Art. 137 Abs. 3 S. 1 der Weimarer Verfassung (WV) zu
berücksichtigen, die bestimmen, dass jede Religionsgesellschaft ihre Angelegenheiten
selbstständig innerhalb der Schranken des für alle geltenden
Gesetzes ordnet und verwaltet. Das bedeutet im Hinblick auf die
Zweckbindung gemäß § 14 Abs. 1 S. 1 i. V. m. § 13 einerseits, dass öffentlich-rechtliche
Religionsgesellschaften sich ihre Aufgaben in eigener Verantwortung
selbstständig erteilen können, und im Hinblick auf datenschutzrechtliche
Anforderungen andererseits, dass sie auch zur Regelung
insoweit eigenständig berufen sind. Um dieser Sonderstellung bei einem
bestehenden Datenübermittlungserfordernis gerecht zu werden, verlangt
§ 15 zu Recht die Sicherstellung eines ausreichenden Datenschutzniveaus.
Grundvoraussetzung für die Privilegierung gegenüber § 16 ist, dass der
Status einer „öffentlich-rechtlichen Religionsgesellschaft“ gegeben ist.
Wem dieser Status zusteht, richtet sich zunächst ebenfalls grundgesetzlich
nach Art. 140 GG i.V.m. Art. 137 Abs. 5 WV. Hiernach bleiben diejenigen
Religionsgesellschaften Körperschaften des öffentlichen Rechtes, soweit
sie solche auch schon vor dem 23.05.1949 waren. Anderen Religionsgesellschaften
sind auf ihren Antrag gleiche Rechte zu gewähren, wenn sie
durch ihre Verfassung und die Zahl ihrer Mitglieder die Gewähr der Dauer
bieten. Nicht unter § 15 fallen somit Religionsgesellschaften, die in Ermangelung
des Status einer Körperschaft des öffentlichen Rechts privatrechtlich
organisiert sind. Auf derartige privatrechtlich organisierte Gesellschaften
findet § 16 Anwendung.
§ 15 benennt ferner den Empfänger der Daten als „Stellen der öffentlichrechtlichen
Religionsgesellschaft“. Hieraus ist zum einen abzuleiten, dass
nicht die gesamte öffentlich-rechtliche Religionsgesellschaft die Daten
erhalten darf, sondern nur diejenige einzelne Stelle, die diese Daten zur
Erfüllung ihrer Aufgaben benötigt. Zum anderen muss diese empfangende
Stelle organisatorisch so in die originäre öffentlich-rechtliche Religionsgesellschaft
eingebunden sein, dass sie als deren Teil anzusehen ist und
nicht nach außen als eigenständige Daten verarbeitende Stelle auftritt. Solche
eigenständigen Daten verarbeitenden Stellen, die selber aber nicht die
originäre öffentlich-rechtliche Religionsgesellschaft sind, sondern z.B.
ihrerseits – wenn auch in kirchlicher Trägerschaft – privatrechtlich organisiert
sind (z.B. Kindergärten, Krankenhäuser, Pflegeheime, Schulen usw.),
können für sich nicht die Befugnis des § 15 in Anspruch nehmen; eine Datenübermittlung
an diese Stellen unterliegt vielmehr den Regelungen des
§ 16. Erfasst werden von § 15 somit nur unselbständige Stellen derjenigen
Religionsgesellschaften, die den Status einer Körperschaft des öffentlichen
Rechts innehaben.
107

Durch den Verweis auf die „Vorschriften über die Datenübermittlung an
öffentliche Stellen“ unterliegt eine Datenübermittlung auch dem Grundsatz
der Zweckbindung. Insoweit besteht die Besonderheit, dass sich die
öffentlich-rechtlichen Religionsgesellschaften im verfassungsrechtlichen
Rahmen ihre Aufgaben selber stellen können. Um diesem Zweckbindungserfordernis
gerecht zu werden, muss daher die Stelle, der die Daten
übermittelt werden sollen, den Verwendungszweck der angeforderten
Daten angeben und sich verpflichten, diese nur für den angegebenen
Zweck zu verwenden.
Hierneben muss sich der Umfang der Datenübermittlung in analoger Anwendung
des § 14 Abs. 1 S. 1 auch an dem Grundsatz der Erforderlichkeit
orientieren. Benötigt die öffentlich-rechtliche Religionsgesellschaft die in
Frage stehenden Daten gar nicht für die Erfüllung der Aufgabe, scheitert
eine Datenübermittlung schon von vornherein an der Erforderlichkeit. Werden
die Daten hingegen für die Aufgabenerfüllung benötigt, scheidet eine
Datenübermittlung dennoch aus, wenn deren Kenntnis nur zu einer
Erleichterung bei der Aufgabenerfüllung führt; ist die öffentlich-rechtliche
Religionsgesellschaft in der Lage, die Daten auf andere Weise zu erhalten
– insbesondere von den Betroffenen selbst –, so ist die Erforderlichkeit für
einen Eingriff in das informationelle Selbstbestimmungsrecht gemäß § 15
nicht gegeben. Alternativ kann dem informationellen Selbstbestimmungsrecht
der Betroffenen auch dadurch Rechnung getragen werden, dass sie
der öffentlich-rechtlichen Religionsgesellschaft eine Einwilligung zur
Datenerhebung bei einer staatlichen Stelle erteilen. Im Übrigen ist eine
Datenübermittlung ohne Einwilligung der Betroffenen nur zulässig, wenn
die Aufgabenerfüllung ohne die Kenntnis dieser Daten nicht oder nur mit
unverhältnismäßig großem Aufwand realisierbar ist.
Zusätzlich muss geprüft werden, ob die öffentlich-rechtliche Religionsgesellschaft
ausreichende Datenschutzmaßnahmen getroffen hat, die im
Ergebnis mit den Regelungen des Hamburgischen Datenschutzgesetzes
und dessen Schutzwirkung vergleichbar sind. Sofern Religionsgesellschaften
Datenschutzregelungen erlassen haben, die im Wesentlichen
den staatlichen Datenschutzgesetzen entsprechen, kann von gleichwertigen
Datenschutzmaßnahmen ausgegangen werden. Ist dieses nicht der
Fall oder liegt weder eine allgemeine förmliche noch eine spezialgesetzliche
Feststellung über ausreichende Datenschutzmaßnahmen vor, sind solche
Maßnahmen vor jeder Datenübermittlung im Einzelfall – insbesondere
anhand einer nachprüfbaren Erklärung der Stelle, der die Daten übermittelt
werden sollen – nachzuweisen.
108

Zu § 16 Übermittlung an Stellen außerhalb des öffentlichen
Bereichs
Die Vorschrift regelt die Zulässigkeit einer Datenübermittlung an Stellen
außerhalb des öffentlichen Bereichs, teils durch Verweisungen auf § 13,
sehr differenziert (siehe im Einzelnen auch die Erläuterungen zu § 13).
Absatz 1
S. 1 Nr. 1 legt fest, dass die Übermittlung sowohl zur Erfüllung der Aufgaben
der übermittelnden öffentlichen Stelle erforderlich sein muss als auch
den Zwecken dient, für die die Daten erhoben wurden (Erforderlichkeit und
Zweckbindung).
S. 1 Nr. 2 regelt durch Verweisungen auf § 13 die Ausnahmen vom Zweckbindungsgrundsatz
in den Fällen, in denen das Grundrecht der Betroffenen
auf informationelle Selbstbestimmung zurück zu treten hat, wobei bereichsspezifische
Sonderregelungen (z.B. für Auskünfte aus öffentlichen
Registern) unberührt bleiben. Danach ist die Übermittlung für andere
Zwecke zulässig, wenn
• eine Rechtsvorschrift dies erlaubt,
• die Wahrnehmung einer durch Gesetz oder Rechtsverordnung begründeten
Aufgabe die Übermittlung dieser Daten zwingend voraussetzt
• durch die Übermittlung erhebliche Nachteile für das Gemeinwohl verhindert
oder beseitigt werden sollen (und keine vorrangigen, bereichsspezifischen
Normen entgegenstehen),
• schwer wiegende Beeinträchtigungen von gewichtigen Rechtspositionen
Einzelner (z.B. Leib, Leben, Freiheit, wesentliche Vermögensinteressen)
verhindert oder beseitigt werden sollen,
• die Einholung einer Einwilligung der Betroffenen nicht oder nur mit unverhältnismäßigem
Aufwand möglich ist, aber offensichtlich ist, dass die
Übermittlung im Interesse der Betroffenen liegt und sie in Kenntnis des
anderen Zwecks ihre Einwilligung erteilen würden,
• die Daten unmittelbar aus allgemein zugänglichen Quellen entnommen
worden sind oder entnommen werden können,
• die Daten verarbeitende Stelle sie veröffentlichen dürfte, es sei denn,
dass schutzwürdige Interessen der Betroffenen offensichtlich entgegenstehen,
• sie der Bearbeitung von Eingaben oder Großen und Kleinen Anfragen
dient (und damit dem parlamentarischen Kontrollauftrag) und überwiegende
schutzwürdige Interessen der Betroffenen nicht entgegen stehen
109

und die Daten nicht einem nach § 13 Abs. 2 S. 2 zu wahrenden Berufs- oder
besonderen Amtsgeheimnis unterliegen.
In S. 1 Nr. 3 findet sich eine weitere Ausnahme vom Zweckbindungsgebot
für den Fall, dass die nicht-öffentliche Stelle ein rechtliches Interesse
geltend macht. Jedoch darf kein Grund zur Annahme bestehen, dass
schutzwürdige Interessen der Betroffenen überwiegen.
Wenn die Übermittlung an eine Stelle außerhalb des öffentlichen Bereichs
im öffentlichen Interesse liegt oder hierfür von der Stelle außerhalb des
öffentlichen Bereichs ein berechtigtes Interesse geltend gemacht wird und
die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen
haben, ist nach S. 1 Nr. 4 eine weitere Ausnahme vom Zweckbindungsgrundsatz
gegeben. Dann jedoch müssen die Betroffenen vor der Übermittlung
über die beabsichtigte Übermittlung, die Art der zu übermittelnden
Daten und den Verwendungszweck in geeigneter Weise unterrichtet
werden: „…in beiden Fällen ist dem Betroffenen vorher die qualifizierte (vgl.
S. 2) Gelegenheit zu einem – die Verwaltung dann bindenden – Widerspruch
zu geben. Die Regelung nimmt in Form der Widerspruchslösung den Fall des
§ 12 Absatz 2 des geltenden Gesetzes auf.“ (Bü-Drs. 13/3282 zu § 16).
Absatz 2
Abs. 2 verpflichtet die öffentliche Stelle, die nicht öffentliche Stelle auf die
Zweckbindung hinzuweisen. Eine Verpflichtung der nicht öffentlichen
Stelle im Hamburgischen Datenschutzgesetz, die Daten nur zu dem Zweck
zu nutzen, zu dem sie übermittelt wurden, ist dem Landesgesetzgeber
verwehrt.
Zu § 17 Übermittlung an Stellen außerhalb
der Bundesrepublik Deutschland
Die Problematik der Übermittlung „ins Ausland“ war anfangs nicht gesehen
worden und wurde erstmals anlässlich der Umsetzung des Volkszählungsurteils
im Gesetz von 1990 behandelt. Die neue Regelung wurde ausschließlich
unter dem Aspekt der eigenen Aufgabenwahrnehmung diskutiert
und sollte „in erster Linie Einzelfall-Übermittlungen“ in Länder mit
gleichwertigen Datenschutzregelungen ermöglichen (Bü-Drs. 13/3282
S. 21). Mit der Umsetzung der EG-Datenschutzrichtlinie 2001 wurden die
Gleichbehandlung der Mitgliedstaaten und die umfassenden Regelungen
zur Übermittlung in Drittländer nach Art. 25 f der Richtlinie aufgenommen.
Die Erwägungsgründe zeigen, dass auch der Richtliniengeber in erster
Linie von der Übermittlung im Einzelfall zur Aufgabenerledigung ausgegangen
ist.
110

Neben der konkreten Regelung für die Verarbeitung von Einzelfällen
kommt der Vorschrift in letzter Zeit besondere Bedeutung zu für alle Anbieter
von Auftragsdatenverarbeitung, die ihre Dienste außerhalb der EU
erbringen oder dies nicht ausschließen können. Zu den typischen Fragestellungen
in diesem Zusammenhang siehe unter § 3. In jüngerer Zeit
wurde verneinend diskutiert, ob Betroffene zugunsten einer kostengünstigeren
Auftragsdatenverarbeitung im unsicheren Ausland im Wege der Einwilligung
auf technisch-organisatorische Maßnahmen nach § 8 HmbDSG
verzichten könnten.
Absatz 1
Abs. 1 setzt Art. 1 Abs. 2 der EG-Datenschutzrichtlinie um. Danach gelten
die Übermittlungsregelungen des Hamburgischen Datenschutzgesetzes
für innerstaatliche Übermittlungen – vorbehaltlich entgegenstehende spezialgesetzlicher
Regelungen – auch für Übermittlungen in Mitgliedstaaten
der Europäischen Union und an Organe und Einrichtungen der Europäischen
Union. Neben den allgemeinen Übermittlungsbestimmungen der
§§ 14 und 16 ist dabei auch § 28 zu nennen, der für Beschäftigtendaten bereichsspezifische
Übermittlungsvorschriften enthält. Danach sind Übermittlungsbeschränkungen
aus Datenschutzgründen im Datenverkehr
unter den Mitgliedstaaten nicht mehr zulässig. Im Übrigen stellen die Übermittlungsvorschriften
des Hamburgischen Datenschutzgesetzes Übermittlungsermächtigungen
dar, ziehen aber keine Übermittlungspflichten
nach sich, so dass eine Datenübermittlung im Rahmen der Ermessensausübung
versagt werden kann (und unter Umständen auch muss), wenn
im Einzelfall Anlass zu der Annahme besteht, dass mangelnder Datenschutz
in dem empfangenden EU-Mitgliedstaat zu einer ungerechtfertigten
Beeinträchtigung der Rechte Betroffener führen würde. Dasselbe gilt für
Datenübermittlungen im Anwendungsbereich der EG-Datenschutzrichtlinie
in Länder, die die Richtlinie nicht oder nicht vollständig umgesetzt
haben.
Absatz 2
Abs. 2 stellt in Umsetzung des Artikels 25 Abs. 2 der EG-Datenschutzrichtlinie
die Übermittlungen in Drittländer mit einem angemessenen
Schutzniveau den innerstaatlichen und EU-internen Übermittlungen
gleich. Die Angemessenheit des Schutzniveaus ist grundsätzlich unter
Berücksichtigung aller Umstände zu beurteilen, die für die Datenübermittlung
von Bedeutung sind. Von Bedeutung ist insbesondere die Anerkennung
eines angemessenen Schutzniveaus durch die EU-Kommission.
111

Absatz 3
Abs. 3 regelt die Ausnahmen, in denen die Datenübermittlung in Drittländer
ohne angemessenes Schutzniveau erfolgen darf. Die – engen – Übermittlungsvoraussetzungen
des Satzes 1, mit denen Artikel 26 Abs. 1 der
Richtlinie umgesetzt wird, sind abschließend. Bei der Anwendung wird zu
berücksichtigen sein, dass der Gesetzgeber regelhaft nur von Einzelübermittlungen
ausging, s.o.
Die Möglichkeit der Einwilligung der Betroffenen in die Datenverarbeitung
durch öffentliche Stellen wird vom HmbBfDI grundsätzlich kritisch gesehen
und ist daher zurückhaltend einzusetzen. Die Einwilligung muss im
Lichte der Richtlinie „zweifelsfrei“ sein und darf nicht solche Umstände betreffen,
die nach § 6 unabdingbar sind oder von entsprechender Wichtigkeit.
Auch die Einhaltung technisch-organisatorischer Maßnahmen wird für
grundsätzlich nicht abdingbar gehalten. Eine Auftragsdatenverarbeitung
im unsicheren Ausland unter Einwilligung in den Verzicht auf angemessene
technisch-organisatorische Maßnahmen wird daher als unzulässig
angesehen.
Die Wahrung überwiegender öffentlicher Interessen ist restriktiv auszulegen.
Dafür kann die von der Kommission angeführte Bekämpfung von
Geldwäsche als Maßstab herangezogen werden.
Die Wahrung lebenswichtiger Interessen der Betroffenen ist nur schwer
gegen die Fälle abzugrenzen, in denen die Betroffenen nicht in der Lage
sind, selbst zu entscheiden. Als Beispiel wurde genannt die Übermittlung
von Blutwerten für eine Transfusion.
Die Übermittlung von Daten aus öffentlichen Registern wird jedenfalls hinsichtlich
der dem berechtigten Interesse unterliegenden Daten ebenfalls
nicht unkritisch gesehen.
Sätze 2 bis 5 setzen Art. 26 Abs. 2 der Richtlinie um. Danach sollen Übermittlungen
möglich sein, wenn die ausländische Stelle entsprechende Garantien
bietet oder vertragliche Verpflichtungen eingeht. Hierunter fallen
die Nutzung der von der Kommission vorgegebenen Standardvertragsklauseln
nach zusätzlicher Prüfung durch die Dienststelle der oder des
Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
(HmbBfDI) sowie der Beitritt einzelner US-Unternehmen zum Safe-Harbor-
Abkommen.
Sollen Übermittlungen aufgrund dieser Regelwerke vorgenommen werden,
bedürfen sie der Zulassung des Leiters der Dienststelle, der Beteiligung
des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
sowie der Finanzbehörde als zuständiger Behörde nach Satz 5.
112

Absatz 4
Nach Abs. 4 hat die übermittelnde Stelle die empfangende Stelle ausdrücklich
auf die Einhaltung der strengen Zweckbindung hinzuweisen.
Zu § 18 Auskunft
Das Auskunftsrecht sichert die Ausübung des Rechts auf informationelle
Selbstbestimmung; auf diese Weise können Betroffene feststellen, wer
was und bei welcher Gelegenheit über sie weiß. Deshalb muss grundsätzlich
Auskunft erteilt werden sowohl über Daten, die in Akten gespeichert
sind, als auch über Daten aus Dateien, und zwar gebührenfrei. Einschränkungen
dieses Rechts werden im Gesetz eindeutig und abschließend geregelt.
Absatz 1
Die Auskunft ist auf Antrag der Betroffenen zu erteilen. Dabei soll im Antrag
näher bezeichnet werden, über welche Art von Daten Auskunft verlangt
wird (S. 2).
In der Auskunft sind nicht nur die gespeicherten personenbezogenen
Daten offenzulegen (S. 1 Nr. 1), sondern Zweck und Rechtsgrundlage der
Speicherung (S. 1 Nr. 2) sind ebenso zu nennen wie die Herkunft der Daten
(S. 1 Nr. 3). Eine Pflicht, Angaben über die Herkunft von Daten zu speichern,
ist mit der Regelung allerdings nicht verbunden. Grundsätzlich ist
auch Auskunft über die Weitergabe der Daten an Dritte, einschließlich der
an einem automatisierten Abrufverfahren teilnehmenden Stellen zu erteilen
(S. 1 Nr. 3 und 4). Auch über personenbezogene Daten des Betroffenen,
die nicht zu seiner Person gespeichert sind, ist Auskunft zu erteilen, soweit
diese Speicherungen mit vertretbarem Aufwand festgestellt werden können.
Werden personenbezogene Daten automatisiert verarbeitet (§ 5a), muss
die Daten verarbeitende Stelle den logischen Aufbau der automatisierten
Verarbeitung beschreiben (S. 1 Nr. 5). Allerdings erstreckt sich diese Auskunftspflicht
nur auf vorgesehene oder praktizierte Verarbeitungen. Die
Auskunft soll in allgemein verständlicher Form beschreiben, wie aus den
verarbeiteten personenbezogenen Daten Bewertungen von Persönlichkeits-
oder Verhaltensmerkmalen gewonnen und welche Entscheidungskriterien
herangezogen werden.
Wird Auskunft über personenbezogene Daten verlangt, die in Akten gespeichert
sind, müssen im Auskunftsverlangen hinreichend konkrete Angaben
über die Fundstelle gemacht werden (S. 3). Dadurch soll dem Verwaltungsaufwand
(Auffindbarkeit der Daten) Rechnung getragen werden.
113

Ausnahmen vom Auskunftsrecht in Abs. 1 sind folgende:
• Über Empfänger, die die Daten im Einzelfall zur Verfolgung von Straftaten,
Ordnungswidrigkeiten oder berufsrechtlicher Vergehen erhalten,
muss keine Auskunft erteilt werden;
• sind Angaben über die Betroffenen nicht zu ihrer Person gespeichert,
entfällt die Auskunftspflicht, wenn die Angaben nicht mit vertretbarem
Aufwand festgestellt werden können;
• steht der Aufwand der Daten verarbeitenden Stelle, Auskunft über personenbezogene
Daten aus Akten zu erteilen, außer Verhältnis zum Auskunftsinteresse
der Betroffenen, kann die Auskunft versagt werden.
Die Form der Auskunftserteilung bestimmt die Daten verarbeitende Stelle
nach pflichtgemäßem Ermessen (Auskunft, Akteneinsicht, Überlassung
von Ausdrucken aus automatisierten Dateien).
Das Recht zur Akteneinsicht im Verwaltungsverfahren nach § 29 des Hamburgischen
Verwaltungsverfahrensgesetzes bleibt unberührt, denn die
Vorschrift hat vorrangig kein datenschutzrechtliches Ziel. Unter den gesetzlichen
Voraussetzungen geht die Regelung des § 29 des Hamburgischen
Verwaltungsverfahrensgesetzes jedoch vor. Außerhalb eines Verwaltungsverfahrens
ist die Auskunft nach pflichtgemäßem Ermessen zu
erteilen, denn § 29 des Hamburgischen Verwaltungsverfahrensgesetzes beschränkt
das Recht zur Akteneinsicht nicht auf das Verwaltungsverfahren.
Absätze 2 und 3
Abs. 2 und 3 beinhalten weitere Ausnahmen von der Pflicht der Daten
verarbeitenden Stelle, Auskunft zu erteilen.
Absatz 4
Eine Auskunftsverweigerung bedarf der Begründung. Kann die Begründung
nicht gegenüber dem Betroffenen offenbart werden, weil dies dem
Zweck der Auskunftsverweigerung zuwider liefe, muss die Begründung so
dokumentiert werden, dass eine zur Überprüfung der Auskunftsverweigerung
berufene Stelle, z.B. der Hamburgische Beauftragte für Datenschutz
und Informationsfreiheit (siehe Abs. 6), sie nachvollziehen kann.
Absatz 5
Die Vorschrift formuliert eine Ausnahme zur Auskunft über die Herkunft
oder Übermittlung von Daten nach Abs. 1 S. 1 Nr. 3 von bzw. an die dort
näher bezeichneten Sicherheitsbehörden; diese müssen der Auskunft
über die Herkunft bzw. Übermittlung der Daten zustimmen.
114

Zu § 19 Berichtigung, Sperrung und Löschung
Die Vorschrift regelt die Rechtsposition der Betroffenen bei den Korrekturansprüchen.
„Von besonderer Bedeutung ist die Einführung der obligatorischen
Löschungsverpflichtung für die Daten verarbeitenden öffentlichen
Stellen in den Fällen, in denen die Kenntnis der Daten für die Daten verarbeitende
Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist“. (Bü-Drs.
13/3282 zu § 19) „Für die Erforderlichkeit gilt wie immer ein strenger
Maßstab: Eine Aufgabe kann ohne Kenntnis der betreffenden Daten nicht
ordnungsgemäß erfüllt werden“ (Simitis, BDSG, 7. Aufl., § 4 Rn 32). Eine
nachträgliche Veränderung der elektronischen Akte (z.B. Herausnahme/
Hinzufügen von Dokumenten, Änderung von Dokumenten oder Bearbeitungs-/Metainformationen)
muss technisch-organisatorisch im Regelfall
auch für die zur Aktenführung befugten Personen ausgeschlossen sein.
Ausnahmen sind über die zur Erfüllung der in § 19 aufgeführten Anlässe
hinaus in dem Umfange zuzulassen, in dem sie auch bei ordnungsgemäßer
Aktenführung anzuerkennen sind. Für die in organisatorischen
Regelungen klar zu definierenden Fälle, in denen eine Veränderung zulässig
ist, muss
• geregelt sein, unter welchen sachlichen Voraussetzungen und binnen
welcher Fristen (z.B. zur Korrektur von Fehlzuordnungen/„Irrläufern“)
eine Löschung/Veränderung in Betracht kommt,
• bestimmt sein, wer in welchem Verfahren in welchen Phasen der Aktenführung
befugt ist, eine Löschung/Veränderung anzuordnen, und
• stets gewährleistet sein, dass die Löschung/Änderung in der Akte aussagekräftig
dokumentiert wird (Art/Umfang der Löschung/Veränderung;
Lösch-/Veränderungsgrund; Verantwortlichkeit für Anordnung und
Durchführung der Löschung/Veränderung; Zeitpunkt).
Absatz 1
In Absatz 1 bedeutet „zu berichtigen“, „dass die gespeicherten Daten in
Übereinstimmung mit der Realität gebracht werden müssen. Dies kann
durch eine Veränderung (inhaltliche Umgestaltung der gespeicherten
Daten), eine ganze oder teilweise Löschung oder durch die Speicherung
ergänzender (bei Unvollständigkeit), neu erhobener (Fortschreibung) oder
der berichtigten Angaben (bei ursprünglicher Unrichtigkeit) geschehen. Bei
der automatisierten Datenverarbeitung ist in der Regel das unrichtige Datum
zu verändern, doch ist bei entsprechender Interessenlage auch die lediglich
ergänzende Speicherung des richtigen Datums geboten; in manchen Fällen
wäre den Betroffenen (z.B. bei der beabsichtigten Verfolgung von Schadensersatzansprüchen)
nicht damit gedient, wenn das später als fehlerhaft erkannte
Datum einfach durch das richtige Datum ersetzt wird. Ein modifizier-
115

tes Berichtigungsverfahren schreibt Satz 2 für die Daten außerhalb automatisierter
Dateien vor, ohne jedoch Art und Weise vorzugeben. Bei Akten soll
die Berichtigung in der Weise gestaltet werden, wie Schutzzweck der Norm
und Eigenart der jeweiligen Akte es am sinnvollsten erscheinen lassen. Deshalb
braucht z.B. ein in umfangreichen Akten mehrfach enthaltenes personenbezogenes
Datum nicht an jeder einzelnen Stelle berichtigt zu werden,
dies kann auch durch einen der Akte vorangestellten Vermerk geschehen“
(Bü-Drs. 13/3282 zu § 19).
Absatz 2
In Abs. 2 S. 1 Nr. 1 bis 3 sind die Sperrungsfälle definiert: Nach Nr. 1 müssen
die Betroffenen substantiiert die Richtigkeit bestreiten. „Die bloße Behauptung,
die gespeicherten Daten seien unrichtig, zwingen die Daten verarbeitende
Stelle nicht zu einer Überprüfung oder gar Sperrung des Datenbestandes.
Eine Sperrung nach Nummer 2 kommt angesichts der obligatorischen
Löschungsverpflichtung nach Absatz 3 Nummer 1 nur in zwei
Fallgruppen in Betracht. Die erste Fallgruppe umfasst die Fälle, in denen die
... (Daten verarbeitende) Stelle davon ausgehen muss, dass die Verwirklichung
ihrer obligatorischen Löschungspflicht nach Absatz 3 dem Interesse
des Betroffenen nicht entspricht, weil für ihn die Möglichkeit, noch auf die
Daten zugreifen zu können, als vorrangig angesehen werden muss. In der
zweiten Fallgruppe muss der Betroffene ausdrücklich an Stelle der
Löschung die Sperrung verlangt haben (erklärter Wille). Ein Anspruch des
Betroffenen auf Sperrung besteht ferner, wenn die personenbezogenen
Daten nur zu Zwecken der Datensicherung und der Datenschutzkontrolle
gespeichert sind (Nr. 3).
Absatz 2 Satz 2 berücksichtigt ein besonderes Erfordernis bei der Datenverarbeitung
in Akten: Eine Sperrung bestrittener Daten in Akten wäre mit
dem typischerweise aus der Aktenführung sich ergebenden Anliegen, den
Verfahrensgang und die damit zusammenhängende Darstellung der unterschiedlichen
Bewertungen und Rechtsauffassungen von Behörden und
Betroffenen zu dokumentieren, nicht vereinbar ...
In welcher Form Daten zu sperren sind, wird die Verwaltung im Einklang mit
dem Schutzzweck der Norm nach Praktikabilität entscheiden. Das Sperren
in Akten wird regelmäßig sachgerecht durch Stempelaufdruck oder in vergleichbarer
Weise durchgeführt werden. In Satz 4 wurde … als weiterer Ausnahmetatbestand
die Unerlässlichkeit einer weiteren Bearbeitung nach
Maßgabe einer Güterabwägung aufgenommen“ (Bü-Drs. 13/3282 zu § 19).
Eine Sperrung in elektronischen Akten kann etwa durch Deckblätter, das
Setzen entsprechender Karteireiter oder das Setzen von Attributen umgesetzt
werden.
116

Absatz 3
„Nach Absatz 3 Satz 1 Nummer 1 sind … personenbezogene Daten zu
löschen, wenn ihre Speicherung unzulässig ist; das hier gebrauchte Präsens
erfasst auch den Fall, dass nicht mehr nach heutiger, wohl aber nach
früherer Rechts- und Tatsachenlage die Speicherung unzulässig war“
(Bü-Drs. 13/3282 zu § 19).
Es ist zu beachten, dass die Löschungsverpflichtung durch ein Sperren der
Daten nicht erfüllt wird, wenn nicht die spezifischen Voraussetzungen des
§ 19 Abs. 2 vorliegen.
Eine Ausnahme von der Löschungspflicht nach Wegfall der Erforderlichkeit
im Sinne von Abs. 3 S. 1 Nr. 2 gilt für die Speicherung in Akten, „wenn die
Datenkenntnis zur Aufgabenerfüllung nicht mehr erforderlich ist (Satz 2). Die
Löschung wird nur dann durchgeführt, wenn die gesamte Akte zur Aufgabenerfüllung
nicht mehr benötigt wird; wird sie noch benötigt, sind die jeweiligen
Daten zu sperren. In der Praxis der öffentlichen Stellen wird regelmäßig
in Aufbewahrungsbestimmungen nach fachlicher Einschätzung festgelegt,
für welchen Zeitraum die Aufbewahrung von Akten zur Aufgabenerfüllung
(dazu gehört auch die externe Rechnungsprüfung) noch erforderlich ist“
(Bü-Drs. 13/3282 zu § 19). Von der Löschungsverpflichtung sind neben den
zu löschenden Daten im Produktivdatenbestand auch die Daten in den Sicherungskopien
umfasst. Der Löschungsvorgang erfolgt in solchen Fällen
regelhaft mehrstufig: „beginnend mit dem aktuellen Bestand; erst mit der
Löschung der letzten, das Datum enthaltenen Sicherungsversion ist die Löschung
vollendet“ (Simitis, BDSG, 7. Aufl. § 3 Rd 185).
Absatz 4
„Die obligatorische Verpflichtung der öffentlichen Stelle, nicht mehr zur Aufgabenerfüllung
benötigte personenbezogene Daten in Dateien zu löschen,
darf allerdings nicht das öffentliche Interesse an einer Überlieferung historisch
gewordener Vorgänge an die Nachwelt unmöglich machen“ (Bü-Drs.
13/3282 zu § 19). Abs. 4 bringt deshalb zum Ausdruck, dass eine Anbietungspflicht
an das zuständige Archiv besteht und die Löschung
grundsätzlich erst nach Verneinung der Archivwürdigkeit erfolgen darf (Archivklausel).
Eine Ausnahme besteht nur bezüglich Daten, deren Speicherung
unzulässig ist; dies stimmt mit § 3 Abs. 2 S. 2 Hamburgisches Archivgesetz
(HmbArchG) überein. Zuständig ist in der Regel das Staatsarchiv,
doch kommt nach Maßgabe des Hamburgischen Archivgesetzes auch ein
von einem Träger mittelbarer Staatsverwaltung errichtetes Archiv in Betracht
(vgl. Bü-Drs. 13/3282 zu § 19).
117

Absatz 5
Abs. 5 begründet die Pflicht der Daten verarbeitenden Stelle, alle Stellen,
denen die Daten übermittelt worden sind, unverzüglich von der Berichtigung,
Sperrung oder Löschung zu benachrichtigen. Das Recht auf informationelle
Selbstbestimmung der Betroffenen ist nur dann in angemessenem
Umfang gewahrt, „wenn der Empfänger solcher Daten von den erforderlich
gewordenen Korrekturen Kenntnis erlangt und sich entsprechend
verhalten kann“ (Bü-Drs. 13/3282 zu § 19).
Um einer erheblichen Überforderung der Verwaltung vorzubeugen, wird
die Nachberichtspflicht allerdings insgesamt unter den Vorbehalt des nicht
unverhältnismäßigen Aufwandes gestellt. Andererseits haben die Daten
verarbeitenden Stellen Übermittlungen in jedem Einzelfall zuverlässig zu
dokumentieren, soweit dies erforderlich ist, um die Stellen, denen die
Daten übermittelt worden sind, von der Berichtigung, Sperrung und Löschung
personenbezogener Daten unverzüglich verständigen zu können.
Die Nachberichtspflicht erfasst nicht die Fälle der Löschung nach Abs. 3
S. 1 Nr. 2. Der Daten verarbeitenden Stelle steht insofern vielmehr nach
S. 2 ein Ermessen zu.
Absatz 6
Die Regelung in Absatz 6 beschränkt die Pflicht zur regelmäßigen Überprüfung
auf automatisierte Dateien. Damit unterliegen auch die Dateien
der elektronischen Aktenführung im Gegensatz zur Aktenführung in
Papierform der Pflicht einer regelmäßigen Überprüfung.
Zu § 20 Schadensersatz
§ 20 enthält einen eigenständigen Schadensersatzanspruch für die Betroffenen
gegenüber den in § 2 Abs. 1 aufgezählten öffentlichen Stellen. Voraussetzung
des Haftungstatbestands ist eine unzulässige oder unrichtige
Datenverarbeitung, die die Betroffenen in ihren schutzwürdigen Belangen
beeinträchtigt. Die Vorschrift enthält nur zum Teil eine verschuldensabhängige
Haftung: Soweit der Schaden auf einer unzulässigen bzw. unrichtigen
automatisierten Datenverarbeitung beruht, braucht ein Verschulden der
Daten verarbeitenden Stellen nicht vorzuliegen, gleichzeitig beschränkt
sich dann jedoch die Ersatzpflicht gegenüber der betroffenen Person auf
250.000,– Euro.
Die Geltendmachung eines Schadensersatzanspruchs ist für den Betroffenen
nur dann sinnvoll, wenn belegt werden kann, dass eine rechtswidrige
Datenverarbeitung der verantwortlichen Stelle erfolgt ist und diese für den
118

ei ihm eingetretenen Schaden ursächlich war. Dabei muss es sich nicht
zwingend um materielle Beeinträchtigungen im Sinne eines Vermögensschadens
handeln. Die Vorschrift eröffnet auch einen Anspruch auf Ersatz
immaterieller Schäden unter der Voraussetzung, dass eine schwere Beeinträchtigung
des Betroffenen vorliegt. Dies dürfte regelmäßig dann der Fall
sein, wenn eine mit dem Datenschutzverstoß verbundene Verletzungshandlung
wesentlich in das Persönlichkeitsrecht eingreift und eine anderweitige
Kompensation nicht angemessen gewährt werden könnte (vgl. zum
Schmerzensgeld in § 7 BDSG Gola/Schomerus, BDSG, § 7 Rdn. 19). Für
die Höhe sind der Umfang und die Auswirkungen der Persönlichkeitsrechtsverletzung
entscheidend.
Ausdrücklich macht Abs. 3 klar, dass es sich bei der Haftungsnorm des
§ 20 um eine besondere öffentlich-rechtliche Erstattungsvorschrift handelt,
die weitergehende sonstige Schadensersatzansprüche des Betroffenen
nicht ausschließt. Soweit daher die Haftungsbegrenzung für eine unzulässige
oder unrichtige Datenverarbeitung eingreift, können weitergehende
Schadensersatzansprüche über anderweitige Regelungen durchaus geltend
gemacht werden.
Zu § 21 Berufung
§ 21 regelt die Berufung der/des Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit (HmbBfDI). Der Gesetzgeber sieht hierfür
ein zweistufiges Verfahren vor. Danach ist es zunächst Aufgabe des Senats,
sich auf eine/n Kandidaten/Kandidatin zu verständigen, den/die er
der Bürgerschaft dann in einer zweiten Stufe zur Wahl vorschlägt. Das
zweistufige Verfahren sichert der Exekutive eine wesentliche Mitsprache
an der Bestimmung des Datenschutzbeauftragten, der letztlich die verantwortlichen
öffentlichen Stellen der Verwaltung kontrolliert.
Anders als das auf zwei unterschiedliche Beteiligte an Vorschlag und Wahl
beruhende Modell, dem im Übrigen auch der Bund folgt (vgl. § 22 BDSG
zur Wahl des Bundesbeauftragten), sehen einige Bundesländer ein einstufiges
Berufungsverfahren des Landesbeauftragten vor. Danach erfolgt die
Wahl unmittelbar durch den Landtag, ohne Beteiligung der Regierung (so
etwa § 35 Abs. 1 LDSG Schleswig-Holstein). In jedem Fall stellt die Wahl
des Landesbeauftragten durch das jeweilige Parlament eine deutliche Aufwertung
der Institution einer unabhängigen Datenschutzkontrolle dar und
ist wesentliches Strukturelement für dessen Unabhängigkeit und demokratische
Legitimation.
119

Der bzw. die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
ist Beamtin bzw. Beamter auf Zeit nach § 7 Abs. 1 Nr. 2 Hamburgisches
Beamtengesetz.
Die Bürgerschaft wählt den HmbBfDI mit der einfachen Stimmenmehrheit.
Die frühere Fassung des Abs. 1 hatte vorgesehen, dass der HmbBfDI von
der Bürgerschaft „mit mehr als der Hälfte der gesetzlichen Zahl ihrer Mitglieder“
gewählt werden müsste. Diese Vorschrift widersprach jedoch
Art. 19 der Hamburgischen Verfassung, die vom Grundsatz ausgeht, dass
zu einem Beschluss der Bürgerschaft eine einfache Stimmenmehrheit
erforderlich ist, sofern die Verfassung nicht ein anderes Stimmenverhältnis
vorschreibt. Da eine derartige Regelung in der Verfassung für die Wahl des
HmbBfDI nicht besteht, war auch eine Bezugnahme auf die Mehrheitsverhältnisse
nicht zulässig.
Anders als das BDSG für den Bundesbeauftragten für Datenschutz fordert
das Gesetz in § 21 nicht nur, dass die/der Datenschutzbeauftragte bei seiner
Bestellung das 35. Lebensjahr vollendet hat, sondern nach § 21 Abs. 1
S. 2 auch, dass sie/er die Befähigung zum Richteramt oder zum höheren
Verwaltungsdienst haben und die zur Erfüllung seiner Aufgabe erforderliche
Fachkunde besitzen muss. Die Laufbahnbefähigung wäre mangels
eines besonderen Weisungs- oder Eingriffsrechts gegenüber den zu kontrollierenden
Stellen im öffentlichen Bereich zwar nicht unmittelbar gefordert,
ist aber nicht zuletzt wegen der dem HmbBfDI verliehenen
aufsichtsbehördlichen Kompetenzen gegenüber privaten Stellen, die es
ihm ermöglichen, Verwaltungsakte oder Bußgeldbescheide zu erlassen,
bedeutsam.
Die Amtszeit der bzw. des Beauftragten beträgt 6 Jahre. Die Wiederwahl ist
nur für eine Amtsperiode möglich. Hintergrund dieser Beschränkung ist,
dass das Amt nicht als eine Dauertätigkeit wahrgenommen werden soll.
Einerseits bleibt dadurch bewahrt, dass die Kontrolle nicht durch eine Routineausübung
der Funktion erstarrt. Andererseits ermöglicht die einmalige
Wiederwahl auch eine gewisse personelle Kontinuität, die angesichts der
Komplexität der Aufgabenstellung durchaus sachgerecht ist. Die Wiederwahl
nach Ablauf der ersten Amtsperiode soll eine qualifizierte Entscheidung
darüber ermöglichen, ob der oder die Datenschutzbeauftragte seinen
bzw. ihren Aufgaben gewachsen ist und damit die Wiederwahl rechtfertigt
(i.d.S. zu § 22 BDSG, Gola/Schomerus, BDSG, 11 Aufl., § 22 Rn 7).
Insoweit ist in diesem Zusammenhang festzustellen, dass das Amt des
bzw. der Datenschutzbeauftragten bzw. seine/ihre Wiederwahl letztlich
auch vor dem Hintergrund einer sachkundigen Kontrolltätigkeit zu entscheiden
ist.
120

Eine gesetzliche Begrenzung der Wiederwahl auf eine Amtsperiode ist
jedoch nicht zwingend. So sieht etwa die Regelung in Berlin keine Beschränkung
der Amtsperioden des dortigen Beauftragten für Datenschutz
vor (vgl. § 21 Abs. 3 BlnDSG, sondern es wird pauschal bestimmt, dass
eine Wiederwahl zulässig ist). Letztlich sind die Erwägungen für oder
gegen eine mehrmalige Wiederwahl bei Datenschutzbeauftragten nicht
anders zu beurteilen als insgesamt bei politisch herausgehobenen Amtsträgern
mit besonderer Verantwortung. Hier gibt es weniger Vorgaben für
richtige und falsche Lösungen als unterschiedliche Modelle.
Die hamburgische Regelung verzichtet auf eine Abwahlklausel durch das
Parlament. Dies ist einerseits dadurch begründet, dass das Parlament
die/den Datenschutzbeauftragte/n auf den Vorschlag der Regierung gewählt
hat. Zum anderen würde eine politische Abberufung aus anderen
Gründen als denen des Beamtenrechts die/den Datenschutzbeauftragte/n
in derer/dessen unabhängiger Amtsführung eher schwächen.
Nach Abs. 3 hat der bzw. die Hamburgische Datenschutzbeauftragte das
Amt bis zur Bestellung einer Nachfolgerin oder eines Nachfolgers weiterzuführen.
Insoweit gilt die Amtszeit als verlängert. Der Gesetzgeber verfolgt
damit das Ziel, das für den Schutz des informationellen Selbstbestimmungsrechts
wichtige Amt der/des Datenschutzbeauftragten permanent
besetzt zu halten.
Zu § 22 Rechtsstellung
Mit Urteil vom März 2010 (C-1518/07) hat der Europäische Gerichtshof die
Stellung der Datenschutzbeauftragten nachhaltig gestärkt. Nach Art. 28
Abs. 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rats
vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr soll die
Überwachung der Umsetzung der Datenschutzbestimmungen in den Mitgliedstaaten
von öffentlichen Kontrollstellen vorgenommen werden, die in
„völliger Unabhängigkeit“ ihre Aufgaben wahrnehmen. Dies bedeutet nach
dem EuGH, dass entsprechende Kontrollstellen die Unabhängigkeit besitzen
in dem Sinne, dass sie jeglicher äußeren Einflussnahme entzogen sein
müssen, die ihre Entscheidung steuern könnte (EuGH a.a.O.).
Dieses Urteil hatte insbesondere in Bundesländern, die die Datenschutzaufsicht
über private Stellen nach § 38 BDSG bislang in ihre Ministerialverwaltung
integriert hatten, weitreichende Umstrukturierungen zur
Folge: Bis auf das Bundesland Bayern, wo eine neue selbständige Aufsichtsbehörde
geschaffen wurde, legten die Länder die Funktionen der
Aufsichtsbehörde und des Datenschutzbeauftragten in der Folgezeit zu-
121

sammen. Aber auch für den Bereich des Hamburgischen Beauftragten für
Datenschutz und Informationsfreiheit (HmbBfDI) ergaben sich Anpassungsbedarfe,
obwohl hier bereits zuvor die Aufgaben der Aufsichtsbehörde
und der Landesdatenschutzkontrolle zusammen wahrgenommen
wurden. Im Bereich der aufsichtsbehördlichen Tätigkeit über die nicht-öffentlichen
Stellen bestanden eine dem Unabhängigkeitspostulat der EU-
Datenschutzrichtlinie widersprechende Dienstaufsicht sowie eine Rechtsaufsicht
durch den Senat.
Um einen europarechtskonformen Zustand zu schaffen, wurde die Kernbestimmung
der Unabhängigkeit des Datenschutzbeauftragten auch auf die
Überwachung des nicht-öffentlichen Bereichs bezogen und die Dienstaufsicht
weitergehend eingeschränkt. Dies erfolgte durch eine Gleichstellung
der Datenschutzbeauftragten mit den Berufsrichterinnen und Berufsrichtern
nach Maßgabe des Richtergesetzes. Damit wird ausgeschlossen,
dass durch dienstrechtliche Maßnahmen mittelbar auf die Tätigkeit der
oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
Einfluss genommen werden kann (vgl. Bü-Drs. 20/369 vom
3.5.2011, S. 3).
Durch die Verweisungen in § 22 Abs. 1 S. 3 sind insbesondere die Regelungen
des § 26 des Deutschen Richtergesetzes (DRiG) anwendbar. Dies bedeutet,
dass eine Dienstaufsicht nur besteht, soweit die Unabhängigkeit
nicht beeinträchtigt wird. Nach § 26 Abs. 2 DRiG umfasst die Dienstaufsicht
die Möglichkeit, die ordnungswidrige Art der Ausführung eines Amtsgeschäfts
vorzuhalten und zu ordnungsgemäßer, unverzögerter Erledigung
der Amtsgeschäfte zu ermahnen. Besteht die Annahme, dass Maßnahmen
der Dienstaufsicht die Unabhängigkeit beeinträchtigen, kann dies auf Antrag
der/des Beauftragten für Datenschutz und Informationsfreiheit gem. §
26 Abs. 3 DRiG gerichtlich überprüft werden.
Eine wichtige Voraussetzung für die vollständige Unabhängigkeit der/des
Beauftragten für Datenschutz und Informationsfreiheit regelte bereits
zuvor § 22 Abs. 2. Danach ist der/dem Beauftragten für Datenschutz und
Informationsfreiheit die zur Aufgabenerfüllung notwendige Personal- und
Sachausstattung im Rahmen der haushaltsmäßigen Bestimmungen zur
Verfügung zu stellen. Obwohl die Fragen des Datenschutzes im Zuge der
umfassenden Entwicklung hin zu einer Digitalisierung von Staat und Gesellschaft
wesentlich an Brisanz und Komplexität zugenommen haben, ist
die personelle und finanzielle Ausstattung der/des Beauftragten für Datenschutz
und Informationsfreiheit seit Beginn der 2000er Jahre eher rückläufig
(siehe Anhang zum Tätigkeitsbericht 2010/2011, „Datenschutz – Fakten,
Zahlen, Daten“, Abbildung 2). Dies erschwert nicht nur die Überwachung,
122

sondern auch die erforderliche Beratung der öffentlichen und nicht-öffentlichen
Stellen nicht unerheblich.
Frei werdende oder neu zu besetzende Stellen werden auf Vorschlag
der/des HmbBfDI besetzt, so dass hier eine eigenständige Entscheidung
über die personelle Zusammensetzung des Unterstützungsteams besteht.
Abordnungen und Versetzungen erfolgen lediglich im Einvernehmen mit
der/dem HmbBfDI, die/der auch die/der Dienstvorgesetzte/r ihrer/seiner
Mitarbeiterinnen und Mitarbeiter ist.
§ 22 Abs. 3 regelt die Verpflichtung der/des HmbBfDI zur Ernennung einer
Stellvertreterin oder eines Stellvertreters. Die Regelung bezweckt, dass
der Schutz des Rechts auf informationelle Selbstbestimmung auch bei der
Verhinderung der Amtsinhaberin bzw. des Amtsinhabers durch einen Stellvertreter
zumindest für einen bestimmten Zeitraum sichergestellt werden
kann. Bei Verhinderungen, die länger als 2 Monate dauern, hat der Senat
die Möglichkeit, eine andere Person mit der Wahrnehmung der Aufgaben
des Datenschutzbeauftragten zu betrauen. Vor einer Vertreterbestellung
durch den Senat soll der bzw. die Hamburgische Datenschutzbeauftragte
gehört werden, falls das die Art der Verhinderung zulässt.
Zu § 23 Aufgaben
Nach § 23 überwacht der Hamburgische Beauftrage für Datenschutz und
Informationsfreiheit (HmbBfDI) bei allen in § 2 Abs. 1 S. 1 aufgeführten öffentlichen
Stellen die Einhaltung der Vorschriften des Hamburgischen Datenschutzgesetzes,
aber auch anderer öffentlich-rechtlicher Datenschutzbestimmungen,
die von diesen Stellen zu beachten sind. Hierzu gehören
bundesrechtliche Vorschriften, wie etwa die des SGB X ebenso, wie die
landesrechtlichen Regelungen z.B. die des PolDVG oder der Schuldatenschutzverordnung.
Die Kontrolltätigkeiten nach § 23 Abs. 1 betreffen daher
alle öffentlich-rechtlichen Stellen, die – sei es durch Normen des Bundesrechts,
sei es durch Landesrecht – datenschutzrechtlichen Vorgaben unterworfen
sind.
Nicht zu den der Überwachung unterliegenden Stellen gehören öffentlichrechtlich
organisierte Religionsgesellschaften, soweit diese nicht in die
öffentlich-rechtliche Organisationsform der staatlichen Verwaltung eingebunden
sind bzw. keine eigenen verwaltungsrechtlichen Aufgaben mit
hoheitlichen Befugnissen erfüllen (in diesem Sinne Simitis, BDSG, 7. Aufl.,
§ 2 Rn 114). Ebenfalls ausgenommen von der Überwachungs- und Kontrollkompetenz
des HmbBfDI ist der öffentlich-rechtliche Rundfunk. § 41 NDR-
Staatsvertrag sieht ausdrücklich vor, dass die einschlägigen Kompetenznormen
in §§ 21–23, 25 und 26 HmbDSG für den NDR nicht gelten. Zur Ab-
123

sicherung der Staatsfreiheit des öffentlich-rechtlichen Rundfunks sieht § 41
Abs. 2 NDR-Staatsvertrag stattdessen einen eigenständigen Datenschutzbeauftragten
des NDR vor, der dort hausintern für die Einhaltung der Vorschriften
über den Datenschutz zuständig ist.
Ausnahmen von der Kontrollzuständigkeit des HmbBfDI ergeben sich ferner
bei Rechtsträgern außerhalb der klassischen Verwaltungsfunktionen.
Hierzu zählt zunächst die Hamburgische Bürgerschaft, die im Bereich ihrer
verfassungsrechtlichen Stellung als Legislativorgan nicht, sondern nur soweit
sie in Verwaltungsangelegenheiten tätig wird, der Kontrolle des
HmbBfDI unterliegt. Entsprechendes gilt für den mit eigenen landesverfassungsrechtlichen
Garantien der Unabhängigkeit ausgestatteten Rechnungshof.
Für die Judikative wird die gerichtliche Unabhängigkeit durch
eine entsprechende Bereichsausnahme von der Kontrolle des HmbBfDI
gewahrt. Bei Gerichten und für den Rechnungshof gilt allerdings eine Kontrollbefugnis
für die erforderlichen technischen und organisatorischen
Maßnahmen, die nach § 8 zu treffen sind.
Bei der Strafverfolgung gilt der Richtervorbehalt gegenüber dem HmbBfDI
grundsätzlich nicht gegenüber der Tätigkeit der Staatsanwaltschaft (gegen
eine Freistellung der Rechtspflegetätigkeit der Staatsanwaltschaften von
der Datenschutzkontrolle siehe Bü-Drs. 13/3282 vom 14.02.89 Seite 23).
Diese ist zwar auch im Rahmen der Rechtspflege weitgehend unabhängig,
stellt aber kein Gericht im Sinne des Wortlauts des § 23 Abs. 1 S. 2 dar. Mit
Blick auf die Anträge der Staatsanwaltschaft in den strafprozessualen Bereichen,
wo Richtervorbehalte bestehen (§ 100 StPO), wird zumindest
durch die Gerichte und die Innenministerien davon ausgegangen, dass bereits
der Antrag der StA an dem strafprozessualen Richtervorbehalt teilnimmt
und der Kontrolle durch den Datenschutz entzogen ist. In diesem
Zusammenhang ist jedoch darauf hinzuweisen, dass § 2 Abs. 5 für die
nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb
von Dateien durch die Gerichte im Rahmen der Rechtspflege so wie für die
Staatsanwaltschaften und ihre Hilfsbeamten bei der Verfolgung von
Straftaten und bei der Strafvollstreckung eine Ausnahme der Geltung der
materiellen Vorschriften des Hamburgischen Datenschutzgesetzes anordnet.
Hier sind dann vielmehr die Normen der StPO einschlägig. Im Umkehrschluss
bedeutet dies: Soweit Daten durch den Einsatz von Datenverarbeitungsanlagen
verarbeitet werden, unterfallen diese auch dem Regelungsbereich
des Hamburgischen Datenschutzrechts.
Neben der Aufgabe der Überwachung der Datenverarbeitung öffentlicher
Stellen sieht Abs. 2 als zweite zentrale Säule die Funktion der Beratung vor.
Diese soll insbesondere gegenüber dem Senat und den in § 2 Abs. 1 S. 1
genannten Stellen wahrgenommen werden.
124

Eine explizite Norm für die Beratung und Information von Bürgern fehlt im
HmbDSG. Gleichwohl bezieht sich die Aufgabe der Beratung auch auf die
von der Datenverarbeitung durch öffentliche Stellen betroffenen Bürgerinnen
und Bürger. Dies ergibt sich zum einen nach Maßgabe des Insbesondere-Satzes
und zum anderen aus § 26, der ein allgemeines Anrufungsrecht
des HmbBfDI durch die Bürgerinnen und Bürger vorsieht. Insoweit ist
der HmbBfDI nicht ausschließlich auf eine bloße Rechtskontrolle der verantwortlichen
Stellen beschränkt (vgl. dazu auch unter § 25, wonach Beanstandungen
auch bei bloßen Mängeln der Datenverarbeitung möglich
sind). Er kann und sollte darüber hinaus auch Einschätzungen, Empfehlungen
und Informationen zu Datenschutzfragen abgeben, die sich insbesondere
auf die Fähigkeit der Bürgerinnen und Bürger zum eigenverantwortlichen
Datenmanagement auswirken (vgl. nur Simitis, BDSG, 7. Aufl.,
§ 24 Rn 3).
Soweit darüber hinaus gezielte Warnungen der Öffentlichkeit erfolgen sollen,
ist dies nach ständiger Rechtsprechung auch ohne eine explizite
Rechtsgrundlage möglich. Voraussetzung ist hierfür ein gewichtiger, dem
Inhalt und der Bedeutung des informationellen Selbstbestimmungsrechts
entsprechender Anlass und ein im wesentlich zutreffender oder zumindest
sachgerecht und vertretbar gewürdigter Tatsachenkern (so z.B. BVerfG
NJW 1989, 3269, 3270; mit Blick auf die Tätigkeit des Datenschutzbeauftragten
jüngst VG Schleswig, Beschluss vom 8.11.2013, S. 4f, mit weiteren
Nachweisen; ferner VG Köln mit Blick auf die Öffentlichkeitsarbeit der Bundesdatenschutzbeauftragten,
Beschluss vom 11.3.1999. 20 L 3757/98).
Dennoch sollte im Rahmen einer Novellierung des HmbDSG eine ausdrückliche
Erweiterung der Aufgaben des HmbBfDI zumindest mit deklaratorischer
Wirkung erfolgen.
Das Amt des Datenschutzbeauftragten ist zwar weltanschaulich neutral,
doch nicht auf datenschutzpolitische Neutralität beschränkt. Einschätzungen
und Stellungnahmen zu datenschutzrelevanten Fragestellungen sind
dem Datenschutzbeauftragten jederzeit möglich, gerade auch gegenüber
datenverarbeitenden Stellen in seinem Kompetenzbereich. Dies folgt letztlich
auch aus der vollständigen Unabhängigkeit der Datenschutzbeauftragten
nach Art. 28 der EU-Datenschutzrichtlinie. Insoweit wirkt der Datenschutzbeauftragte
mit seiner Tätigkeit zur Optimierung des Datenschutzes
gerade auch in die Öffentlichkeit hinein.
Gemäß § 23 Abs. 3 S. 1 ist der Datenschutzbeauftragte verpflichtet, auf
Anforderung des Senats oder auf Verlangen eines Viertels der Abgeordneten
der Bürgerschaft Gutachten zu erstellen und Bericht zu erstatten. Das
Quorum von einem Viertel der Abgeordneten der Bürgerschaft stellt dabei
sicher, dass auch die Opposition die Möglichkeit hat, sich Informationen
125

und Einschätzungen beim Datenschutzbeauftragten zu verschaffen. Die
thematisch-inhaltliche Befassung des Datenschutzbeauftragten ist dabei
möglichst weit zu verstehen. Hierzu zählen nicht nur datenschutzrechtliche
Gutachten, sondern auch technisch organisatorische Fragstellungen
oder allgemeine Einschätzungen zu datenschutzrelevanten Fragen.
Der Senat sowie die Bürgerschaft können den HmbBfDI nach Abs. 3 S. 1
auffordern, Gutachten zu erstellen und Berichte zu erstatten. Das Quorum
von einem Viertel der Abgeordneten ermöglicht daher, dass auch die
Opposition sich der Expertise des HmbBfDI bedienen kann. Der Senat
kann den HmbBfDI ferner ersuchen, Angelegenheiten und Vorgängen
nachzugehen, die dessen Aufgabenbereich unmittelbar betreffen.
Ein Schwerpunkt der Tätigkeit des Datenschutzbeauftragten im Bereich
der Beratung und Information ist die Veröffentlichung des Tätigkeitsberichts,
der nach Abs. 3 S. 2 mindestens alle zwei Jahre der Bürgerschaft
und dem Senat erstattet werden soll. Hierin informiert der Datenschutzbeauftragte
Senat, Bürgerschaft und Öffentlichkeit über die wichtigsten
Datenschutzthemen der vergangenen Berichtsperiode und gibt Einschätzungen
sowie Hinweise zu technisch-organisatorischen Maßnahmen
sowie zu anderen datenschutzrelevanten Fragestellungen ab.
Nach Abs. 3 S. 3 kann sich der HmbBfDI jederzeit an die Bürgerschaft wenden.
Danach hat er grundsätzlich auch das Recht, in den Ausschüssen der
Bürgerschaft anwesend zu sein und dort zu datenschutzrelevanten Fragen
Stellung zu nehmen.
Nach Abs. 3 S. 4 sind schriftliche Äußerungen gegenüber der Bürgerschaft
gleichzeitig dem Senat vorzulegen. Diese Norm verpflichtet den HmbBfDI
zur Herstellung eines Gleichgewichts von Informationen gegenüber dem
Senat, soweit der HmbBfDI sich mit einer schriftlichen Stellungnahme an
die Bürgerschaft gewandt hat. Anfragen von Fraktionen oder Abgeordneten
aus der Bürgerschaft führen daher, soweit deren Beantwortung schriftlich
erfolgt, zu einer parallelen Unterrichtung des Senats. Ausgenommen
hiervon sind Anfragen von Abgeordneten der Hamburgischen Bürgerschaft,
die diese in ihrer persönlichen Eigenschaft als Bürger stellen.
Eine Besonderheit betrifft die Beteiligung des HmbBfDI in parlamentarischen
Anfragen nach Art. 25 Abs. 1 der Verfassung der Freien und Hansestadt
Hamburg (HV). Danach sind die Abgeordneten berechtigt, zu öffentlichen
Angelegenheiten Große und Kleine Anfragen an den Senat zu richten.
Die Großen und Kleinen Anfragen sind wesentliche Mittel der parlamentarischen
Kontrolle von Abgeordneten gegenüber der Regierung.
Antwortpflichtig nach Art. 25 HV ist allein der Senat (m. w.N. David, Verfassung
der Freien und Hansestadt Hamburg, Kommentar, 2. Auflage, Art. 25,
126

Rn 9). Der HmbBfDI ist in seiner Eigenschaft als Aufsichtsbehörde zwar im
weiteren Sinne der Exekutive zuzurechnen, gegenüber dem Senat ist er jedoch
eine unabhängige Stelle. Eine Verpflichtung, auf konkrete Anforderung
des Senats im Rahmen parlamentarischer Anfragen nach Art. 25 HV
in einer bestimmten Frist Stellung zu nehmen, besteht daher nicht. Dennoch
ist der HmbBfDI bemüht, aus Anlass konkreter Anfragen von Abgeordneten
den Senat im Rahmen von hamburgweiten Behördenabstimmungen
über datenschutzrelevante Fragen zu informieren und ihn bei der Abfassung
von Antworten mit seinem datenschutzrechtlichen Sachverstand
zu unterstützen.
Sinn und Zweck des parlamentarischen Fragerechts beschränken den
Gegenstand des Fragerechts auf unmittelbar in der Verantwortung der
Regierung liegende Themenbereiche. Einschätzungen und Bewertungen
datenschutzrelevanter Vorgänge aus Sicht des HmbBfDI selbst können
daher grundsätzlich nicht Gegenstand parlamentarischer Anfragen sein.
Entsprechende eigenständige bewertende Stellungnahmen zu datenschutzrelevanten
Fragen können durch Abgeordnete der Bürgerschaft direkt
beim HmbBfDI abgefragt werden. Gleichwohl ist der HmbBfDI anlässlich
der ihm durch den Senat zugeleiteten Anfragen nicht gehindert, auch
Antwortbeiträge mit wertendem Gehalt beizusteuern. Soweit es sich dabei
um eigene Einschätzungen handelt, sollten diese in ihrem Wortlaut unverändert
in die Beantwortung der Anfrage aufgenommen werden und zeigen,
dass es sich dabei um eine Bewertung des HmbBfDI handelt.
Der Senat sowie die Bürgerschaft können den HmbBfDI nach Abs. 3 S. 1
auffordern, Gutachten zu erstellen und Berichte zu erstatten. Das Quorum
von einem Viertel der Abgeordneten ermöglicht daher, dass auch die
Opposition sich der Expertise des HmbBfDI bedienen kann. Der Senat
kann den HmbBfDI ferner ersuchen, Angelegenheiten und Vorgängen
nachzugehen, die dessen Aufgabenbereich unmittelbar betreffen. Ein
Schwerpunkt der Tätigkeit des HmbBfDI im Bereich der Beratung und Information
ist die Veröffentlichung des Tätigkeitsberichts, der nach Abs. 3 S.
2 mindestens alle zwei Jahre der Bürgerschaft und dem Senat erstattet
werden soll. Hierin informiert der HmbBfDI Senat, Bürgerschaft und Öffentlichkeit
über die wichtigsten Datenschutzthemen der vergangenen Berichtsperiode
und gibt Einschätzungen sowie Hinweise zu technisch-organisatorischen
Maßnahmen sowie zu anderen datenschutzrelevanten Fragestellungen
ab.
Ein wesentlicher Arbeitsschwerpunkt des HmbBfDI besteht darin, die Einführung
neuer Informations- und Kommunikationstechniken in die Verwaltung
der Freien und Hansestadt Hamburg zu begleiten und technisch organisatorisch
zu überprüfen. Hierfür sieht Absatz 4 eine Verpflichtung aller
127

verantwortlichen Stellen vor, den HmbBfDI möglichst frühzeitig über Planungen
neuer Anwendungen zu informieren.
Abs. 5 S. 1 statuiert für die verantwortlichen Stellen eine allgemeine Verpflichtung,
den HmbBfDI bei der Erfüllung seiner Aufgaben zu unterstützen.
Hierzu wird dem HmbBfDI bzw. dessen Mitarbeitern, die ihn bei der
Erfüllung seiner Aufgaben unterstützen, das Recht eingeräumt, Auskunft
zu Fragen sowie die Einsicht in alle Unterlagen und Akten zu erhalten, die
im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen.
Ferner ist ihnen Zutritt zu allen Diensträumen zu gewähren.
Geheimhaltungsvorschriften können diesem umfassenden Auskunfts- und
Einsichtsverlangen nicht entgegen gehalten werden. Dies gilt auch, soweit
die Geheimhaltung durch Bundesrecht vorgeschrieben wurde, es sei
denn, dass eine Auslegung der bundesrechtlichen Vorschriften eine ausdrücklich
auch gegenüber der Datenschutzkontrolle gewollte Sperre ergibt
(Vgl. Bü-Drs. 13/3282, Seite 24, mit dem Hinweis, dass sich insbesondere
mit Blick auf die Anwendung des § 203 StGB eine entsprechende Ermächtigung
aus den landesrechtlichen Vorschriften zur Datenschutzkontrolle
ergebe).
Abs. 6 enthält demgegenüber eine Sondervorschrift für das Landesamt für
Verfassungsschutz, die Behörden der Staatsanwaltschaft und der Polizei
sowie den Landesfinanzbehörden. Danach werden die oben genannten
Kontrollrechte nur dem HmbBfDI persönlich bzw. den von ihm damit schriftlich
beauftragten Mitarbeitern übertragen. Für die in Abs. 6 genannten
Behörden wird zudem eine Ausnahme vom Zutritt und Akteneinsichtsrecht
statuiert für den Fall, dass der Senat im Einzelfall feststellt, dass die Einsicht
in Akten die Sicherheit des Bundes oder eines Landes gefährdet.
Zu § 24 Aufsichtsbehörde
Nach § 24 wird dem Hamburgischen Beauftragten für Datenschutz und
Informationsfreiheit (HmbBfDI) die Aufgabe der Aufsichtsbehörde für den
Datenschutz in europarechtskonformer Auslegung gem. § 38 Abs. 6 BDSG
übertragen (dazu Bü-Drs. 20/369, S. 4). Damit erfolgt die Befugnisübertragung
nun durch eine gesetzliche Vorschrift, nicht wie bisher aufgrund einer
Anordnung des Senats (vgl. dazu den bisherigen § 23 Abs. 8, Bü.-Drs.
13/3282 vom 14.2.1989, S. 8). Die Kontrolle des öffentlichen Bereichs nach
§ 23 wie auch die Kontrolltätigkeit gegenüber nicht-öffentlichen Stellen ist
daher dem HmbBfDI in seiner Eigenschaft als unabhängiger Stelle zugewiesen.
128

Zu § 25 Beanstandungen
Während im Bereich der aufsichtsbehördlichen Tätigkeit gegenüber nichtöffentlichen
Stellen die Möglichkeit besteht, Bußgelder und Anordnungen
nach dem BDSG zu erlassen, ist das schärfste Schwert des Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI)
gegenüber den von ihm kontrollierten öffentlichen Stellen das Instrument
der Beanstandung. Voraussetzung und Verfahren von Beanstandungen regelt
§ 25.
Eine Beanstandung setzt zunächst voraus, dass der HmbBfDI Verstöße
gegen das Hamburgische Datenschutzgesetz oder gegen andere Vorschriften
des Datenschutzes durch die in § 2 Abs. 1 S. 1 genannten Stellen
feststellt. Der Landesgesetzgeber lässt – ebenso wie der Bundesgesetzgeber
in § 25 BDSG – nicht nur Verstöße, sondern bereits auch Mängel bei der
Datenverarbeitung als Grund für eine Beanstandung ausreichen. Dies dokumentiert,
dass das Kontrollrecht des Datenschutzbeauftragten gegenüber
den öffentlichen Stellen umfassend ist und sich nicht auf eine reine
Rechtskontrolle öffentlicher Stellen beschränkt (insoweit Gola/Schomerus,
BDSG, 11. Aufl., § 25 Rn 2). Grundsätzlich wird jedoch bei der Beanstandung
auch sonstiger Mängel eine gewisse Erheblichkeit zu fordern sein.
Dies ergibt sich bereits aus dem Grundsatz der Verhältnismäßigkeit, dessen
Anwendung nicht zuletzt auch im Eigeninteresse der Datenschutzbehörden
liegen sollte, zumal eine exzessive Beanstandungspraxis das
Instrument der Beanstandung abwerten würde. Insoweit sollten die Mängel
geeignet sein, zumindest abstrakt das Persönlichkeitsrecht oder
schutzwürdige Interessen der Betroffenen zu beeinträchtigen (Gola/Schomerus,
a.a.O., Rn 2).
Absatz 1 regelt im Einzelnen, an welche Stellen die Beanstandungen zu
richten sind. Dies ist im Bereich der Verwaltung sowie der Gerichte der
Freien Hansestadt Hamburg das für die Behörden oder das Gericht verantwortliche
Senatsmitglied.
Anknüpfungspunkt für die Frage, an wen eine Beanstandung zu richten ist,
ist die Verantwortlichkeit der Stelle, die gegen Datenschutzregeln verstoßen
hat. Im Bereich von größeren IT-Vorhaben der Verwaltung führt dies
mitunter zu der Konsequenz, dass gegenüber der für die Aufsicht über die
Bezirke zuständigen Behörde eine Beanstandung auszusprechen ist, da
die Bezirke letztlich die Aufgabe der Datenverarbeitung übernehmen, obwohl
in derartigen Fällen die Ursachen für Datenschutzverstöße häufig auf
der Planungs- und Durchführungsebene und damit im Bereich der jeweils
verantwortlichen Lenkungsausschüsse und der damit betrauten Fachbehörden
liegen. Richtet sich die Beanstandung gegen einen Verstoß im
129

Bereich der Bezirksverwaltung (z.B. der bezirklichen Jugendämter), so ist
dies gegenüber dem Senatsmitglied zu beanstanden, das für die Bezirksaufsichtsbehörde
i.S. d. § 43 Bezirksverwaltungsgesetz verantwortlich ist.
Insoweit bleibt es unbenommen, dem insofern wertungsmäßig zumindest
auch verantwortlichen anderen Senator nicht nur die ausgesprochene Beanstandung
nachrichtlich zuzusenden, sondern ihn auch gesondert auf
den Gesetzesverstoß bzw. Mangel hinzuweisen, damit auch dieses Ressort
für Abhilfe sorgt.
Beanstandungen, die sich gegen die Datenverarbeitung durch die der Aufsicht
der Freien und Hansestadt Hamburg unterstehenden juristischen
Personen des öffentlichen Rechts richten, sind gegenüber dem Vorstand
oder dem sonst vertretungsberechtigten Organ geltend zu machen. Zuständige
Stelle für Beanstandungen gegenüber der Bürgerschaft bzw.
dem Rechnungshof ist die jeweilige Präsidentin bzw. der jeweilige Präsident.
Inhalt der Beanstandung ist zunächst die Darstellung der gerügten
Mängel und die Aufforderung zu ihrer Behebung, für die dem Adressaten
eine angemessene Frist zu setzen ist. Der Sachverhalt, der der Beanstandung
zugrunde liegt, sollte dabei möglichst sachlich, örtlich und zeitlich
abgrenzbar beschrieben werden, wobei eine Subsumtion der Verstöße
unter eine Datenschutzbestimmung erfolgen sollte (vgl. Simitis, BDSG,
7. Aufl., § 25 Rn 9). Gleichzeitig wird die beanstandete Stelle unter Fristsetzung
zu einer Stellungnahme aufgefordert. Nach Absatz 4 sollen darin
auch die Maßnahmen dargestellt werden, die aufgrund der Beanstandung
von der verantwortlichen Stelle getroffen worden sind bzw. wie die Abhilfe
der Verstöße bzw. Mängel erfolgen soll. Das gilt auch für Maßnahmen, die
ergriffen werden, um in der festgelegten Frist zur Mängelbeseitigung zu
gelangen. Mit der Forderung nach Beseitigung der Mängel kann der Datenschutzbeauftragte
Vorschläge zur sonstigen Verbesserung des Datenschutzes
verbinden.
Eine Beanstandung steht nach Absatz 2 im Ermessen des HmbBfDI (vgl.
Bü-Drs. 9/12, vom 14.8.1979, S. 20f). Von einer Beanstandung kann insbesondere
abgesehen werden, wenn die Mängel von geringer Bedeutung
oder bereits behoben sind oder ihre Behebung sichergestellt ist. Auch
außerhalb dieses Insbesondere-Satzes kann nach Maßgabe des Ermessens
von einer Beanstandung abgesehen werden. Bei der zu treffenden
Ermessensentscheidung sind die Schwere des Verstoßes bzw. die Beeinträchtigung
von Rechten Betroffener oder die Bedeutsamkeit der Gefahren
für die Datensicherheit zugrundezulegen. Grundsätzlich hat der HmbBfDI
lediglich ein Recht, keine Pflicht zur Beanstandung (vgl. Taeger/Gabel,
BDSG, 1. Aufl., § 25 Rn 11). Im Einzelfall kann sich eine Pflicht zur Beanstandung
ergeben, wenn diese als letztes Mittel zum Schutz gegen die
130

schwerwiegende und andauernde Verletzung des informationellen Selbstbestimmungsrechts
Betroffener durch eine verantwortliche Stelle in Betracht
kommt.
Anders als im BDSG, das für die Beanstandung durch den Bundesbeauftragten
lediglich eine Stellungnahmepflicht im Zusammenhang mit einer
Beanstandung vorsieht, ist die Beanstandung nach Abs. 1 auf die Beseitigung
des Mangels gerichtet. Allerdings hat der Datenschutzbeauftragte
keine rechtlichen Möglichkeiten, dies im Ergebnis gegenüber den öffentlichen
Stellen durchzusetzen.
Bei nicht fristgemäßer Behebung der Mängel hat der HmbBfDI zu prüfen,
ob eine weitere Beanstandung erforderlich ist. Insoweit sieht das Gesetz
ein zweistufiges Verfahren vor, das als letzte Möglichkeit die Beanstandung
auf der höchsten politischen Ebene vorsieht: Danach richtet der HmbBfDI
in den Fällen, in denen gegenüber einem verantwortlichen Senatsmitglied
beanstandet wurde, die Beanstandung nunmehr an den Senat. In den Fällen,
in denen der Vorstand oder ein vertretungsberechtigtes Organ einer juristischen
Person des öffentlichen Rechts Adressat der Beanstandung war,
geht eine weitere Beanstandung an die für die Aufsicht über die mittelbaren
Staatsverwaltung zuständige Behörde.
Im Zusammenhang mit der Kontrolle öffentlicher Stellen kommen neben
einer Beanstandung als weitere Optionen die Darstellung des relevanten
Sachverhaltes in der Öffentlichkeit wie auch die Aufnahme des relevanten
Verstoßes in den Tätigkeitsbericht des Datenschutzbeauftragten in Betracht.
Ferner kann sich der HmbBfDI nach § 23 Abs. 3 direkt an die Bürgerschaft
wenden. Gegenüber dem zuständigen Ausschuss kommt insbesondere
eine Bitte um Beitritt zur Kritik in Betracht. Soweit der beanstandete
Sachverhalt gleichzeitig Verstöße nach § 32 oder § 33 Hamburgisches Datenschutzgesetz
enthält, obliegt die Einleitung von Straf- bzw. Ordnungswidrigkeitsverfahren
der Staatsanwaltschaft bzw. der jeweils zuständigen
Fachbehörde (zur Zuständigkeit für die Verfolgung von Ordnungswidrigkeiten
vgl. die Erläuterungen zu § 33).
Das Gesetz regelt nicht, inwieweit Betroffene vom Ergebnis einer von ihnen
angestoßenen Datenschutzkontrolle zu unterrichten sind. Die Entscheidung
steht grundsätzlich im Ermessen des Datenschutzbeauftragten.
Allerdings sollte in Fällen, in denen der Hinweis eines Betroffenen für die
Datenschutzkontrolle ursächlich war, eine Unterrichtung erfolgen (in diesem
Sinne Gola/Schomerus, BDSG, 11. Aufl., § 25 Rn 9).
Eine Beanstandung kann aufgrund der Unabhängigkeit des Datenschutzbeauftragten
weder im Wege der Rechts- noch im Wege der Fachaufsicht
131

angegriffen werden (dazu bereits unter § 22). Eine Klage der beanstandeten
Stelle vor dem Verwaltungsgericht scheitert grundsätzlich an der fehlenden
Klagebefugnis der öffentlichen Stelle. Soweit im Einzelfall Stellen
der mittelbaren Staatsverwaltung über eigene Rechtspositionen verfügen,
fehlt gleichwohl eine Beeinträchtigung und damit das Rechtsschutzinteresse.
Die Beanstandung kann nämlich durch die Datenschutzbehörde
rechtlich nicht durchgesetzt werden, um insoweit eine eigene Rechtswirkung
gegenüber der beanstandeten Stelle zu erzeugen (vergleiche
BVerwG, RDV 1993, 27; ferner Simitis, BDSG, 7. Aufl., § 25, Rn 20).
Zu § 26 Anrufung
Die Vorschrift enthält ein allgemeines Recht, den Hamburgischen Beauftragten
für Datenschutz und Informationsfreiheit (HmbBfDI) anzurufen,
das jeder Bürgerin und jedem Bürger zur Verfügung steht. Berechtigt zur
Anrufung ist jeder Betroffene, der der Ansicht ist, bei der Verarbeitung seiner
personenbezogenen Daten im Überwachungsbereich des § 23 Abs. 1
in seinen Rechten verletzt worden zu sein.
In der Praxis stellen die Eingaben von Bürgerinnen und Bürgern einen
wesentlichen Schwerpunkt der Arbeit des HmbBfDI dar. Neben der Bearbeitung
von Eingaben, die sich gegen nicht-öffentliche Stellen nach § 38
BDSG richten, gilt dies auch für die weniger zahlreichen Eingaben gegen
öffentliche Stellen im Sinne des § 2 Abs. 1 S. 1.
In verfassungskonformer Auslegung mit dem Petitionsrecht nach Art. 17
GG hat derjenige, der eine zulässige Eingabe einreicht, ein Recht darauf,
dass die angegangene Stelle sich damit befasst, in eine sachliche Prüfung
eintritt und ihm antwortet (vgl. BVerfG 2, 225, 230).
Der HmbBfDI nimmt die Eingabe entgegen, prüft diese sachlich, stellt fest,
ob eine Verletzung der Rechte des Betroffenen vorliegt oder nicht, und bescheidet
den Petenten entsprechend. Inwieweit darüber hinaus das Recht
auf eine Begründung besteht, ist umstritten (verneinend BVerfGE 2, 225,
230; BVerfG NJW 1992, 2033; bejahend hingegen Pagenkopf, in: Sachs,
GG. Kommentar, 5. Aufl. Art. 17, Rn 8). Im Regelfall ist davon auszugehen,
dass die Entscheidung über eine zulässige Eingabe stets mit einer für den
Betroffenen versehenen Begründung ergeht.
Da ein subjektives Recht des Petenten auf ein bestimmtes Tätigwerden
des HmbBfDI nicht besteht, wird auch eine verwaltungsgerichtliche Klage
auf eine bestimmte Entscheidung regelmäßig nicht zum Erfolg führen. Anders
ist dies jedoch, wenn in die subjektiven Petitionsrechte des Betroffenen
eingegriffen wird (vgl. Simitis, BDSG, 7. Aufl., § 21 Rn 28).
132

§ 27 Datenverarbeitung zum Zwecke wissenschaftlicher
Forschung
Was „wissenschaftliche Forschung“ ist, definiert § 27 nicht. Wegen der im
Grundgesetz verankerten Freiheit von Wissenschaft und Forschung ist von
einem weiten Begriff auszugehen, von der „planmäßigen, methodisch kontrollierten,
unbefangenen Suche nach Erkenntnissen“ (Bü-Drs. 13/3282 zu
§ 27 Abs. 7).
„§ 27 regelt als allgemeine ‚Forschungsklausel‘ die Verarbeitung personenbezogener
Daten für wissenschaftliche Zwecke durch öffentliche Stellen
einschließlich der Datenübermittlung an private Forschungsstellen. Eine solche
Vorschrift…ist unverzichtbar. Denn die wissenschaftliche Forschung genießt,
auch wenn ihr durch Artikel 5 Absatz 3 Satz 1 GG ein gewichtiger Stellenwert
zugewiesen wurde, keinen Vorrang gegenüber dem Recht auf informationelle
Selbstbestimmung; die einander prinzipiell gegenüberstehenden
Interessen sind daher durch eine gesetzliche Forschungsklausel in Einklang
zu bringen. Die mit dem Begriff der wissenschaftlichen Forschung angesprochenen
Sachverhalte sind jedoch so unterschiedlich, dass § 27 nur allgemeine
Grundsätze zur Auflösung des Spannungsverhältnisses zwischen
Forschung und Selbstbestimmungsrecht aufzeigen kann; ergänzende oder
modifizierende bereichsspezifische Datenschutzregelungen sind dadurch
nicht ohne weiteres verzichtbar“ (Bü-Drs. 13/3282 zu § 27).
Wichtige – vorgehende – Spezialregelungen zur Datenverarbeitung zu
Forschungszwecken finden sich in §§ 12, 12a Hamburgisches Krankenhausgesetz
(HmbKHG). Dort wird die Datenverarbeitung für Zwecke der
medizinischen Forschung stufenweise zugelassen: Zunächst ist eine anonyme
Nutzung von Patientendaten zu prüfen; ist dies nicht ausreichend, ist
grundsätzlich die Einwilligung der Betroffenen einzuholen; ist auch dies
nicht möglich – etwa bei retrospektiven Studien –, muss eine Abwägung
stattfinden zwischen dem öffentlichen Interesse an der Durchführung des
Forschungsvorhabens und dem Geheimhaltungsinteresse der betroffenen
Personen. § 12a HmbKHG enthält eine Regelung für die Sammlung von
Proben und Daten (Biobanken) zum Zwecke zukünftiger Forschung, (vgl.
21. TB 2006/2007, 14.1).
Weitere spezialgesetzliche Forschungsklauseln enthalten auch § 3 Abs. 5
Hamburgisches Bestattungsgesetz, § 28 Hamburgisches Gesundheitsdienstgesetz,
§ 5 Abs. 4 Hamburgisches Archivgesetz, die §§ 7–11 Hamburgisches
Krebsregistergesetz sowie bundesgesetzlich z.B. § 75 Sozialgesetzbuch
X und § 476 Strafprozessordnung.
Bei Forschungen kommt es überwiegend nicht auf die einzelne Person an.
Deshalb sollen die Daten möglichst bereits in einem frühen Stadium der
133

Forschung so verarbeitet werden, dass eine Person nicht mehr bestimmbar
ist oder nur in Ausnahmefällen bestimmt werden kann. Dies ist durch frühzeitige
Anonymisierung und Pseudonymisierung der Daten möglich (zu
den Begriffen vgl. Erläuterungen zu § 4 Abs. 9 und 10).
Absatz 1
Trotz des insoweit unklaren Wortlauts von S. 1 ist daher – ähnlich der insoweit
deutlicheren Regelung in § 12 HmbKHG – immer zunächst die Möglichkeit
einer nicht personenbezogenen, also anonymen Datenverarbeitung
zu prüfen. Ist diese aus Gründen des Forschungsdesigns nicht möglich
– z.B. bei Daten aus verschiedenen Quellen – ist grundsätzlich vorrangig
die Einwilligung der Betroffenen einzuholen. Dies entspricht dem
Grundrecht auf informationelle Selbstbestimmung. Die Wirksamkeit einer
Einwilligung richtet sich nach § 5 Abs. 2: Sie setzt eine ausreichende Aufklärung
über Forschungszweck und Datenverarbeitungsprozess voraus.
Hierbei ist – auch im Interesse der Betroffenen – ein angemessener Mittelweg
zu finden zwischen einer sehr detailreichen Projektbeschreibung, die
die Betroffenen leicht überfordert, und einer Kurzbezeichnung, die den Betroffenen
keine ausreichende Entscheidungsgrundlage für die Einwilligung
gibt (21. TB 2006/2007, 14.7.).
Werden allerdings durch die Datenverarbeitung die schutzwürdigen
Interessen der Betroffenen gar nicht beeinträchtigt, kann nach S. 1 auf die
Einwilligung verzichtet werden. Dies kann z.B. sein, wenn für ein Forschungsprojekt
wenig sensible Daten wie etwa die Größe der Wohnung
oder die Anzahl der Haushaltsmitglieder unmittelbar nach einer persönlichen
Befragung nur in anonymisierter Form erfasst, gespeichert und ausgewertet
werden.
S. 2 gibt eine gesetzliche Befugnis zur Datenverarbeitung zu Forschungszwecken,
auch wenn Betroffeneninteressen dadurch potentiell beeinträchtigt
werden: Voraussetzung ist, dass eine Abwägung zwischen dem öffentlichen
Interesse an der Forschung und den schutzwürdigen Geheimhaltungsinteressen
der Betroffenen zu der Wertung führt, dass das öffentliche
Interesse an der Forschung erheblich überwiegt. Der insoweit undeutliche
Wortlaut ist nach dem Sinn der Vorschrift so auszulegen, dass das Ergebnis
der Forschung (nicht nur die Befassung mit der Fragestellung) im besonderen
öffentlichen Interesse liegen muss. Angesichts der grundgesetzlich
garantierten Forschungsfreiheit ist die Datenschutzkontrolle hier aber
auf eine eher pauschale Plausibilitätsprüfung beschränkt. Dabei können
etwa der Rahmen bzw. Auftraggeber des Forschungsprojekts und die
erwarteten Forschungsergebnisse eine Rolle spielen. Reine Privatforschung
– etwa Ahnenforschung – kann dagegen kaum auf diese gesetzliche
Forschungsklausel gestützt werden.
134

Eine weitere Voraussetzung für die gesetzliche Ermächtigung zur Forschungs-Datenverarbeitung
ist, dass der Forschungszweck nicht auf andere
Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden
kann. Ob zur „anderen Weise“ auch die Einholung einer vorherigen Einwilligung
der Betroffenen in die Forschungs-Datenverarbeitung zählt, die Interessensabwägung
also erst bei einer Unmöglichkeit der Einwilligungseinholung
zum Tragen kommt, ist umstritten. Da eine Einwilligung beide
Grundrechte (Forschung und Datenschutz) optimal zur Geltung bringt,
erscheint dies im Sinne der anzustrebenden Grundrechtskonkordanz in
der Tat die vorzugswürdige Interpretation.
Absatz 2
Besteht die nach Abs. 1 grundsätzlich zugelassene Datenverarbeitung zu
Forschungszwecken in einer Übermittlung personenbezogener Daten
durch eine öffentliche Hamburger Stelle an einen Dritten, gelten die Abs. 2
bis 6. Dritte können andere öffentliche Hamburger Stellen wie staatliche
Hochschulen sein, aber auch außerhamburgische öffentliche wie private
Forschungsinstitute, vgl. Abs. 6.
Abs. 2 bestimmt, wer in der öffentlichen Stelle über die Übermittlung entscheidet,
was die Entscheidung beinhalten muss und dass sie dem Hamburgischen
Datenschutzbeauftragten mitzuteilen ist. Die meisten vorgehenden
bereichsspezifischen Forschungsklauseln enthalten eine solche
Mitteilungspflicht allerdings nicht.
Absatz 3
Abs. 3 konkretisiert den Grundsatz der Erforderlichkeit und den der Datensparsamkeit
und Datenvermeidung des § 5 Abs. 4: Grundsätzlich hat Forschung
mit anonymen oder pseudonymisierten Daten (zu den Begriffen
vgl. Erläuterungen zu § 4 Abs. 9 und 10) zu erfolgen, weil es generell nicht
auf die Identität der betroffenen Personen ankommt.
Der Forschungszweck gestattet eine frühzeitige Anonymisierung aber zum
Beispiel nicht bei Verlaufs- und Längsschnittuntersuchungen, weil bei solchen
Untersuchungen mehrere Datenerhebungen zu einer Person zu unterschiedlichen
Zeiten notwendig sind, um eine wissenschaftliche Aussage
über eine bestimmte Entwicklung zu erhalten. Für solche Untersuchungen
bietet es sich an, Pseudonyme zu verwenden, die es erlauben,
zeitlich unterschiedliche Erhebungen zusammenzuführen und die dabei
dennoch sicherstellen, dass die betroffene Person durch die Forschenden
oder andere Dritte nicht mehr oder nur mit unverhältnismäßig hohem Aufwand
bestimmt werden kann. Das Pseudonym stellt also die Verbindung
zwischen der personenbezogenen Datenerhebung und der dann nichtper-
135

sonenbezogenen, aber individuellen Datenverarbeitung zu Forschungszwecken
dar. Daher soll das Pseudonym von einer Stelle verwaltet werden,
die räumlich, organisatorisch und personell unabhängig von der forschenden
Stelle ist. Dies kann die speichernde Stelle sein, wenn sie die Daten an
die forschende Stelle übermittelt oder eine andere unabhängige Stelle, die
als Datentreuhänder fungiert. Als Datentreuhänder eigenen sich insbesondere
solche Stellen, bei denen die Daten durch ein Berufsgeheimnis geschützt
ist, wie beispielweise Ärzte oder Notare.
Wird bei der Pseudonymisierung eine Schlüsselliste verwendet, welche
Namen und Code einander zuordnet, ist diese gesondert zu speichern und
darf nur möglichst wenigen Befugten für festgelegte Entschlüsselungs-Anlässe
zugänglich gemacht werden. Sobald der Forschungszweck es
erlaubt, sind die Daten durch eine Vernichtung / Löschung der Schlüsselliste
zu anonymisieren. Bei der Pseudonymisierung ist zudem darauf zu
achten, dass nicht nur die üblichen Identitätsdaten wie Name, Geburtsdatum
und Adresse eine Person bestimmbar machen. Vielmehr können
auch sehr detaillierte Einzelangaben mit entsprechendem Zusatzwissen
des Datenempfängers oder -verarbeiters eine Identifizierung ermöglichen.
Hier hilft nur eine Aggregierung (Zusammenfassung) von mehreren
Einzelangaben zu Daten, die für eine Mehrzahl von Personen gelten
(vgl. 22. TB 2008/2009, III 10.2.).
Absatz 4
Die Aufklärung der Betroffenen über das Forschungsprojekt und die darauf
bezogene Einwilligung bedeuten eine eindeutige Zweckbindung für die
Datenverarbeitung. Deswegen bedarf eine über Aufklärung und Einwilligung
hinausgehende Datenübermittlung oder die Datenverwendung für
neue Forschungsprojekte einer erneuten Einwilligung der Betroffenen.
Diese datenschutzrechtlich grundsätzlich erforderliche Bestimmtheit der
Einwilligung wird allein in § 12 a HmbKHG spezialgesetzlich gelockert, um
auch Datensammlungen für zukünftige Forschungsprojekte zu ermöglichen,
deren Ziel und Auswertungsmethode zum Zeitpunkt der Einwilligung
noch nicht feststeht.
Absatz 5
In aller Regel sind Forschungsergebnisse ohne einen Bezug auf bestimmte
Personen, also anonymisiert – meist aggregiert –, zu veröffentlichen.
Bei Forschungen zur Zeitgeschichte können jedoch auch einmal
Lebensläufe, Entscheidungen und Äußerungen von bekannten Einzelpersonen
eine Rolle spielen. „Prinzipiell ist die Einwilligung des Betroffenen
erforderlich; nur in Fällen, in denen die Veröffentlichung personenbezogener
Daten für die Darstellung von Forschungsergebnissen über Ereignisse der
136

Zeitgeschichte unerlässlich ist, soll das informationelle Selbstbestimmungsrecht
gegenüber dem zeitgeschichtlichen Interessen zurücktreten. Damit
ergeben sich Berührungspunkte zu möglichen Archivregelungen“ (Bü-Drs.
13/3282 zu § 27 Abs. 5). Diese gesetzliche Veröffentlichungsbefugnis ohne
Einwilligung greift jedoch nicht ein für Publikationen privater Forscher und
bei Familienforschungen (vgl. 19. TB 2002/2003, 17.2). Entsprechendes
gilt auch für die Veröffentlichung von Gruppenfotos in bestimmten zeitgeschichtlichen
Zusammenhängen, wenn jede einzelne Person gut zu erkennen
ist (vgl. 22. TB 2008/2009, III 10.3.).
Absatz 6
Werden personenbezogene Daten zu Forschungszwecken von öffentlichen
Hamburger Stellen an private Forschungseinrichtungen übermittelt,
besteht die Kontrolle nach § 38 Bundesdatenschutzgesetz durch die jeweilige
Datenschutz-Aufsichtsbehörde. Werden die Daten an außer-hamburgische
aber deutsche öffentliche Stellen – z.B. universitären Forschungseinrichtungen
– übermittelt, haben sich diese gegenüber der übermittelnden
Stelle zu verpflichten, die vorstehenden Schutzregelungen der Abs. 3 bis 5
einzuhalten, sowie sich der Kontrolle des oder der für den Ort der Forschungsstätte
zuständigen Landesdatenschutzbeauftragten zu unterwerfen.
Bei Übermittlungen ins außereuropäische Ausland „ist eine Kontrolle
durch einen Datenschutzbeauftragten nicht durchführbar; für diese Fälle ist
die Beachtung des ordre public weitere Voraussetzung der Übermittlung“
(Bü-Drs. 13/3282 zu § 27); für Übermittlungen in ein Mitgliedsland der EU
gilt für die Stelle, der die Daten übermittelt werden, das an die EG-Datenschutzrichtlinie
angepasste nationale Datenschutzrecht.
Absatz 7
„Absatz 7 berücksichtigt die in der Praxis des Öfteren auftretende Notwendigkeit,
zur Vorbereitung von Rechtsnormen oder allgemeinen Verwaltungsvorschriften
oder auch, um die Praxisnähe solcher Vorschriften zu überprüfen,
„Rechtstatsachenforschung“ zu betreiben. Es mag zweifelhaft sein, ob
die Auswertung einer Gruppe von Einzelfällen aus der Praxis zu diesem
Zweck immer als „wissenschaftliche“ Forschung …anzusehen ist. Angesichts
einer gleichen Interessenlage sind die Vorschriften über die wissenschaftliche
Forschung für diese Fälle auch dann anzuwenden, wenn nicht
alle Anforderungen an eine wissenschaftliche Tätigkeit erfüllt sind“ (Bü-Drs.
13/3282 zu § 27 Abs. 7). Auf Abs. 2 wird nicht verwiesen, weil hier in aller
Regel keine Übermittlung an dritte Stellen stattfindet. Ist dies jedoch ausnahmsweise
der Fall, werden auch die Formalia des Abs. 2 einschließlich
der Mitteilung an den Hamburgischen Datenschutzbeauftragten einzuhalten
sein. Denn § 27 stellt eine Privilegierung der Forschung dar; bei einer
137

– möglicherweise nicht ganz wissenschaftlichen – Rechtstatsachen„forschung“
kann der Datenschutzstandard nicht geringer sein.
Zu § 28 Datenverarbeitung
bei Beschäftigungsverhältnissen
§ 28 regelt die Besonderheiten bei Beschäftigungsverhältnissen im Bereich
der öffentlichen Verwaltung. Der Begriff der Beschäftigungsverhältnisse
ist weit zu verstehen: Er umfasst neben den Beamten-, Angestelltenund
früheren Arbeiterverhältnissen beispielsweise auch öffentlich-rechtliche
Dienstverhältnisse eigener Art, öffentlich-rechtliche wie privat-rechtliche
Ausbildungsverhältnisse und Nebentätigkeitsverhältnisse; auch die
Versorgungsverhältnisse sind zu den Beschäftigungsverhältnissen zu
zählen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
(HmbBfDI) vertritt die Auffassung, dass diese Vorschrift nur die Datenverarbeitung
erfasst, die die einzelnen Beschäftigten usw. in ihrem jeweiligen
Beschäftigungsverhältnis betrifft. Dagegen bleiben nach seiner Auffassung
die allgemeinen Vorschriften der §§ 13 ff. einschließlich § 16 und auch
§ 31 anwendbar, wenn die Daten einer Vielzahl von Beschäftigten für einen
anderen Zweck verarbeitet werden, z.B. wenn Verzeichnisse mit personenbezogenen
Daten für den Geschäftsbetrieb verwendet werden (u.a.
Telefonverzeichnisse).
„Die in den Absätzen 1 bis 6 1997 neu gefasste Vorschrift bezweckt eine
weitgehende Vereinheitlichung des Rechts der Verarbeitung personenbezogener
Daten bei Beschäftigungsverhältnissen mit öffentlichen Stellen“
(Bü-Drs. 15/4411 zu § 28). Die zum 01.01.2010 neu gefassten bzw. geänderten
Vorschriften der §§ 85–92 Hamburgisches Beamtengesetz (HmbBG)
gehen in ihrem Anwendungsbereich den Regelungen des Hamburgischen
Datenschutzgesetzes vor (§ 2 Abs. 7).
Die §§ 85–92 HmbBG regeln den Datenschutz der Beamtinnen und
Beamten sowie (über § 8 Abs. 1 des Hamburgischen Richtergesetzes –
HmbRiG) der Richterinnen und Richter und gemäß der Erstreckung im
Abs. 3 den der sonstigen Beschäftigten im öffentlichen Dienst nicht
abschließend. Sie gelten, von Ausnahmen abgesehen, nur für diejenigen
personenbezogenen Daten, die Personalaktendaten sind. Aber auch im
Bereich der Personalaktendaten ist die Regelung des Datenschutzes nicht
abschließend. Aus diesem Grund behalten die aus dem geltenden § 28 im
Wesentlichen übernommenen Regelungen weiterhin ihre Bedeutung.
Soweit nicht ausdrücklich etwas anderes bestimmt ist, erstreckt sich die
Verarbeitungsbefugnis hinsichtlich personenbezogener Daten von Be-
138

schäftigten usw. im jeweils erforderlichen Umfang auch auf die Einleitung
und Durchführung behördlicher und gerichtlicher Verfahren im Zusammenhang
mit dem jeweiligen Verwendungszweck. Es gelten die übrigen
Vorschriften des Gesetzes, soweit § 28 nicht bei gleichem Sachverhalt
Sonderregelungen trifft.
Absatz 1
Nach Abs. 1 ist eine Datenverarbeitung bei Beschäftigungsverhältnissen
zulässig, soweit eine Rechtsvorschrift dies vorsieht. Dieser Hinweis ist im
Grunde nur deklaratorisch; der Vorrang bereichsspezifischer Rechtsvorschriften
folgt bereits aus § 2 Abs. 7. Wie bisher wird gesetzlich der Vorrang
von Tarifvertrag und Dienstvereinbarung vorgesehen, soweit darin Regelungen
über die Verarbeitung personenbezogener Daten enthalten sind.
Neu aufgenommen wurde 1997 als Zwischenstufe zwischen Dienstvereinbarung
und Tarifvertrag die Vereinbarung der obersten Dienstbehörde mit
den Spitzenorganisationen der zuständigen Gewerkschaften und Berufsverbände
gemäß § 94 des Hamburgischen Personalvertretungsgesetzes
bzw. mit den Berufsverbänden der Richterinnen und Richter gemäß § 59
Abs. 1 HmbRiG.
Abs. 1 S. 2 stellt klar, dass S. 1 die „Einstiegsnorm“ darstellt; nur soweit
Regelungen der in Satz 1 bezeichneten Art nicht existieren, kommen die
nachfolgenden Absätze zum Zug.
Absatz 2
Abs. 2 präzisiert für die Datenverarbeitung den allgemeinen Grundsatz der
Zweckbindung (§ 13 Abs. 1 S. 1 Nr. 2). Der Einschub „soweit die nachfolgenden
Absätze keine besonderen Regelungen enthalten“ verdeutlicht,
dass Abs. 2 gegenüber den nachfolgenden Absätzen eine subsidiäre Auffangnorm
ist. Auf sie kann gleichwohl nicht verzichtet werden. Zwar enthält
der über Abs. 3 entsprechend anzuwendende § 85 S. 1 HmbBG eine inhaltlich
fast identische Regelung, doch gilt diese nur für die Erhebung, nicht für
die weitere Verarbeitung der Daten.
Absatz 3
Abs. 3 erstreckt den Anwendungsbereich der §§ 85–92 HmbBG auf
diejenigen Beschäftigungsverhältnisse bei hamburgischen öffentlichen
Stellen, für die diese Vorschriften nicht ohnehin schon gelten.
Absatz 4
Die Übermittlung als in der Praxis regelmäßig besonders bedeutsame
Verarbeitungsphase ist für einige Sonderfälle in Abs. 4 gesondert ange-
139

sprochen, wobei in S. 1 verdeutlicht wird, dass es sich hierbei um eine
Sonderregelung gegenüber der Vorschrift über die Datenübermittlung an
nicht-öffentliche Stellen (§ 16) handelt. S. 3 weist auf den Vorrang des § 89
HmbBG (vor allem dessen Abs. 3) für beamtenrechtliche Beschäftigungsverhältnisse
hin; für Beamte und Richter ergibt sich (insoweit) der Vorrang
des § 89 HmbBG bereits aus § 2 Abs. 7.
Absatz 5
Abs. 5 S. 1 verpflichtet die Stelle, die Untersuchungen verlangt, Anlass und
Zweck der Untersuchung anzugeben. Soweit die Art des Beschäftigungsverhältnisses
oder der Untersuchungsanlass dies zulassen, ist auch auf
die der betroffenen Person konkret obliegende Aufgabe hinzuweisen. Das
setzt die untersuchende Stelle in die Lage, diejenigen Risikofaktoren zu
bestimmen, die für die konkrete Untersuchung von Bedeutung sind. Die
Vorschrift beschränkt sich außerdem nicht auf Untersuchungen zur Eingehung
eines Beschäftigungsverhältnisses, sondern umfasst auch Untersuchungen
während und ggf. nach dem Ende eines Beschäftigungsverhältnisses.
S. 2 knüpft an der Befugnis der die Untersuchung verlangenden Stelle an;
hiermit wird berücksichtigt, dass Ärztinnen und Ärzte sowie Psychologinnen
und Psychologen, die nicht einer (hamburgischen) öffentlichen Stelle
angehören, nicht den Regelungen des Hamburgischen Datenschutzgesetzes
unterliegen. Nur soweit die Untersuchungen und Tests von öffentlichen
Stellen selbst durchgeführt werden, kann die Weitergabebefugnis näher
bestimmt werden (S. 3). Der Begriff „weitergeben“ berücksichtigt, dass untersuchende
und die Untersuchung verlangende Stelle in vielen Fällen dieselbe
Stelle im organisatorischen Sinn sind, eine Übermittlung im eigentlichen
Sinn (§ 4 Abs. 2 S. 2 Nr. 4) somit nicht stattfindet.
Um einem Wunsch der Praxis Rechnung zu tragen, wird im zweiten
Halbsatz des S. 2 klargestellt, dass dann auch Einzelheiten über die im
ersten Halbsatz genannten Untersuchungsergebnisse und Risikofaktoren
hinaus verlangt bzw. mitgeteilt werden dürfen, wenn dies im Einzelfall für
die Entscheidung erforderlich ist, zu deren Vorbereitung die Untersuchung
angeordnet wurde. Da Betroffene einen Anspruch auf eine auf richtigen
Grundlagen beruhende Entscheidung haben, muss auch die Möglichkeit
bestehen, dass die zur Entscheidung zuständige Stelle die notwendigen
Entscheidungsgrundlagen erhält. Auch insoweit muss sich aber das
Verlangen nach Weitergabe bzw. Übermittlung von Daten im Rahmen des
Untersuchungsauftrags halten; ggf. ist die Erforderlichkeit der weiteren
Daten von der auftraggebenden Stelle gegenüber der untersuchenden
Stelle zu begründen.
140

S. 4 macht klar, dass es jedenfalls beim jetzt erweiterten Umfang der Regelung
nicht ausnahmslos auf die Einwilligung der betroffenen Person in die
weitere Datenverarbeitung ankommen kann. Ansonsten könnte die betroffene
Person bei einer gegen ihren Willen angeordneten Untersuchung, die
ein für sie ungünstiges Ergebnis hat, zwar nicht die Weitergabe der Ergebnisse,
aber deren Speicherung und Nutzung für die zu treffende Entscheidung
verhindern; das wäre in keiner Weise sachgerecht. Dort wo es auf die
Einwilligung ankommt, soll diese künftig stets schriftlich gegeben werden
müssen; S. 4 ist insofern vorrangig gegenüber § 5 Abs. 2 S. 1.
Absatz 6
Abs. 6 S. 1 enthält ein Gebot unverzüglicher Löschung zum Schutz der Bewerberinnen
und Bewerber und der Beschäftigten. Eine Einschränkung
dieses Grundsatzes enthält S. 2 bei Vorliegen überwiegender berechtigter
Interessen der Daten verarbeitenden Stelle. Bei bestimmten Behörden
zeichnet sich das Bewerbungsverfahren durch Besonderheiten aus. So
sind z.B. bei der Polizei die gesundheitlichen Voraussetzungen eingehend
geregelt. Ansonsten geeignete Bewerberinnen und Bewerber können
zunächst aus behebbaren Gründen scheitern. Da zudem ein berechtigtes
Interesse an einer möglichst guten Personalauswahl besteht, kann es
sachgerecht sein, bestimmte Daten zunächst abgelehnter Bewerberinnen
und Bewerber weiter zu speichern, um nicht allein auf die jeweils eingehenden
Bewerbungen beschränkt zu sein. Bei einer größeren Zahl von Wiederholungsbewerbungen
kann es auch sachgerecht sein, das Einstellungsverfahren
nicht jedes Mal wieder in allen Stufen durchzuführen, wenn eine
erhebliche Anzahl solcher Bewerbungen schon durch einen Rückgriff auf
frühere Unterlagen ausgeschlossen werden kann.
Die weitere Speicherung kann aber auch im Interesse der Bewerberin oder
des Bewerbers liegen, z.B. einer beabsichtigten erneuten Bewerbung auf
eine demnächst freiwerdende Stelle. Deshalb enthält S. 2 mit der Einwilligung
der Betroffenen eine weitere Ausnahme vom Gebot unverzüglicher
Löschung.
Absatz 7
Abs. 7 stellt sicher, dass die gespeicherten Daten von Beschäftigten im
Rahmen der Durchführung der technischen und organisatorischen Maßnahmen
nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt
werden. Ansonsten träte auch eine Ungleichbehandlung gegenüber den
Beschäftigten ein, die nicht an Datenverarbeitungsgeräten tätig sind.
Die Vorschrift hindert aber nicht eine Nutzung, die gerade aus Gründen der
Datensicherung erforderlich ist (z.B. Überprüfung, ob ein Beschäftigter
141

und ggf. welcher Beschäftigte personenbezogene Daten sachgerecht und
rechtmäßig verarbeitet hat, einschließlich von Straf- und Disziplinarmaßnahmen).
Absatz 8
Nach Abs. 8 ist die „Forschungsklausel“ auch in dem speziellen Bereich
der Beschäftigungsverhältnisse anwendbar. Insbesondere soweit es um
zeitgeschichtliche Forschung geht, haben Mitarbeiter des öffentlichen
Dienstes keine Sonderstellung.
Zu § 29 Fernmessen und Fernwirken
Diese 1997 in das HmbDSG aufgenommene Vorschrift hatte bisher und hat
wohl auch in Zukunft nur geringe praktische Bedeutung. Das liegt
zunächst daran, dass Abs. 4 die Geltung der Vorschrift für Versorgungsunternehmen
und für Wohnungsunternehmen ausschließt, diese Institutionen
aber bislang die einzigen Stellen sind, die für ein Fernmessen und
Fernwirken im Sinne der Vorschrift in Betracht kommen.
Zum anderen hat sich seit 1997 sowohl die Technik als auch das gesellschaftliche
Bewusstsein zum Klimaschutz und zur Erforderlichkeit einer
effizienten Energieverbrauchsmessung und ggf. -steuerung weiterentwickelt.
Zur Umsetzung des dritten „Binnenmarktpaketes“ der EU führte
der Bundesgesetzgeber 2011 mit den §§ 21c bis 21i Energiewirtschaftsgesetz
(EnWG) bereichsspezifische Neuregelungen zu intelligenten Messsystemen
(sog. „smart metering“) ein, die dem HmbDSG vorgehen. Dies
betrifft gerade auch die in § 29 herausgestellte Freiwilligkeit bzw. Einwilligungsbedürftigkeit
der Einrichtung von Fernmessdiensten: § 21c EnWG
verpflichtet Bauherrn von Neubauten und größeren Renovierungen, Betreiber
größerer Solaranlagen sowie Letztverbraucher, die im Jahr mehr als
6000 kwh verbrauchen, zur Einführung solcher intelligenten Messsysteme.
Da die §§ 21a – 21i EnWG sowie anstehende untergesetzliche Vorschriften
ausdrücklich auch Anforderungen des Datenschutzes umfassen, scheidet
auch eine subsidiäre Geltung des § 29 jedenfalls für Energiemessungen
aus.
Auch bei der Fernmessung durch eine sog. „elektronische Fußfessel“
verdrängen die ausführlichen spezialgesetzlichen Regelungen der §§ 68b
Abs. 1 Nr. 12 Strafgesetzbuch in Verbindung mit § 463a Abs. 4 Strafprozessordnung
den § 29 HmbDSG. Insbesondere kommt bei einer
solchen „elektronischen Aufenthaltsüberwachung“ als Weisung der
Führungsaufsicht eine Einwilligung nicht in Betracht.
142

Eine Bedeutung der Vorschrift könnte sich aber zukünftig im Rahmen von
ALL (Ambient Assistent Living)-Projekten ergeben. Dies sind Gesundheits-
Dienstleistungen, bei denen Körperfunktionen eines Patienten mit Messgeräten
überwacht werden, die direkt am Körper angebracht und mit einem
Rechenzentrum eines medizinischen Dienstleisters verbunden sind. Gegenwärtig
werden solche Projekte durch privatrechtliche Träger betrieben.
Soweit das Universitätsklinikum Hamburg-Eppendorf solche Techniken
nutzt, agiert es im Rahmen der Krankenversorgung als Unternehmen im
Wettbewerb (§ 2 Abs. 2), also nicht als eine in § 2 Abs. 1 S. 1 genannte
Stelle. Es ist jedoch nicht auszuschließen, dass sich in Zukunft auch Gesundheitsämter
oder andere öffentliche Stellen dieser Möglichkeiten bedienen.
In diesen Fällen gibt die Vorschrift wesentliche Inhalte des mit dem
Patienten abzuschließenden Vertrages und der Einwilligungserklärung vor.
Zu § 30 Videoüberwachung
Die Vorschrift trat am 15. September 2010 in Kraft. Sie „regelt die Videoüberwachung
ausschließlich in Ausübung des Hausrechts“ (Bü-Drs.
19/6086) durch öffentliche Stellen. Eine Videoüberwachung zur Erfüllung
anderer gesetzlicher Zwecke wird in verschiedenen Fachgesetzen spezialgesetzlich
geregelt – etwa in § 8 Gesetz über die Datenverarbeitung der
Polizei, § 8 Hamburgisches Verfassungsschutzgesetz, § 31 Abs. 4 Hamburgisches
Schulgesetz, § 119 Hamburgisches Strafvollzugsgesetz, § 40a
Hamburgisches Maßregelvollzugsgesetz, § 100h Strafprozessordnung.
Für nicht öffentliche Stellen gilt § 6 b Bundesdatenschutzgesetz.
„Videoüberwachung“ ist ausschließlich eine Erhebung und Verarbeitung
von Bildern. Die technisch vielfach mögliche zusätzliche akustische Überwachung
ist von § 30 in keinem Fall gedeckt – weder das Mithören in Echtzeit
noch der Mitschnitt des gesprochenen Wortes. Auch bei zulässiger
optischer Überwachung ist die Mikrofon-Funktion in einer Videokamera
immer auszubauen bzw. sicher auszuschalten.
Absatz 1
Das Hausrecht der öffentlichen Stellen entspricht zunächst der privatrechtlichen
Befugnis zur Verfügung über das eigene Eigentum und den eigenen
Besitz. Zugleich hat der öffentliche Hausherr aber auch zu gewährleisten,
dass die in dem öffentlichen Gebäude wahrgenommene gesetzliche Aufgabe
erfüllt wird. Dazu gehört die Wahrung des Hausfriedens als Voraussetzung
für einen geordneten Dienstbetrieb. Dies umfasst den präventiven
Schutz der Mitarbeiterinnen und Mitarbeiter und der notwendigen sachlichen
Ausstattung ebenso wie die Gewährleistung des freien Zutritts und
Schutzes von Bürgerinnen und Bürgern, die als Antragsteller, Verfahrens-
143

eteiligte, Auskunftsbegehrende usw. einen Anspruch auf ein bestimmtes
staatliches Verhalten oder ein anderweitiges Recht zum Zutritt haben. Das
Hausrecht dient insofern in erster Linie der Gefahrenabwehr. Insbesondere
bei seltenem Publikumsverkehr und wenn besonders gefährdete Bereiche
zu schützen sind, kann der Hausherr besondere Zugangsberechtigungen
vergeben bzw. den Zutritt von einer vorherigen Legitimation abhängig
machen, und dies ggf. durch eine Videokamera überwachen.
Eine Delegation dieses Hausrechts z.B. auf private Sicherheitsunternehmen
ist nur begrenzt möglich. Eine Auftragsdatenverarbeitung im Sinne
des § 3 kommt nur für technische Unterstützungsleistungen, etwa die Wartung
der Anlagen, in Betracht. Ein Outsourcing der Überwachung selbst
auf ein Privatunternehmen, also die Monitorbeobachtung mit Eingreifrechten
bei einem beobachteten Ereignis oder die Auswertung von Videoaufzeichnungen
wäre dagegen eine Funktionsübertragung, die eine
Beleihung voraussetzen würde.
Das Hausrecht umfasst grundsätzlich nicht die nachträgliche Verfolgung
von Verstößen bzw. die „Strafverfolgungsvorsorge“ durch eine Unterstützung
der Ermittlung von Straftätern. Eine Videoüberwachung allein zu
diesem Zweck kann sich nur auf das Strafprozessrecht, nicht aber auf das
Hausrecht stützen. Einen präventiven (Hausrechts-)Aspekt kann eine
Videoüberwachung zu diesem Zweck allerdings durch den abschreckenden
Hinweis nach Abs. 3 auf eine bestehende Videoüberwachung gewinnen.
Wegen des Hausrechtsbezuges betrifft die Vorschrift nur eine Videoüberwachung,
die sich auf Dienstgebäude bezieht und zwar auf deren öffentlich
zugängliche Bereiche und auf deren besonders gefährdete nicht öffentlich
zugängliche Bereiche. Flächen außerhalb des Dienstgebäudes werden
vom Hausrecht nur in engem örtlichen und sachlichen Zusammenhang mit
der Aufgabenerfüllung in dem Gebäude erfasst – z.B. Parkplätze im Innenhof
des Dienstgebäudes. Das gilt auch für die öffentlichen Wege und
Straßen, die an dem Gebäude vorbeiführen und (auch) von Verkehrsteilnehmern
genutzt werden, die das Dienstgebäude weder verlassen haben
noch betreten wollen. Mit Videokameras zu beobachten ist deswegen nur
ein schmaler Streifen des umgebenden Terrains, von dem aus direkt Fassaden,
Fenster oder nicht für die Öffentlichkeit bestimmte Türen von außen
angegriffen werden können. Eine Videoüberwachung von öffentlichen
Plätzen, Fußgängerzonen oder Promenaden kann dagegen nicht auf § 30
gestützt werden.
Abs. 1 bringt zwei gegensätzliche Interessen zum Ausgleich: einerseits das
Interesse des (staatlichen) Hausrechtsinhabers, den Zugang zu seinem
Gebäude nur Personen zu gewähren, die ein legitimes Anliegen haben,
und sein Gebäude und die in ihm befindlichen Personen und Sachen im
144

Übrigen gegen unbefugte Dritte zu schützen; und andererseits das Interesse
der Personen, die ein öffentliches Gebäude mit einem legitimen Anliegen
betreten (wollen), in ihm arbeiten oder auch nur an ihm vorüber
gehen oder fahren, hierbei nicht erfasst, beobachtet und registriert zu werden.
„Wird ein öffentlich zugänglicher Bereich per Video überwacht, besteht
für jeden, der diesen Bereich betritt und unter Umständen sogar betreten
muss, im Grunde ein Zwang zur Angabe personenbezogener Daten, denn
es wird beispielsweise registriert, wann sich der Besucher wie lange dort
aufgehalten hat, wie er sich verhalten hat, wie er gekleidet war und wer ihn
begleitet hat“ (Bü-Drs. 19/6086).
Diesen Interessenkonflikt löst § 30 in der Weise, dass er für die Zulässigkeit
einer Videoüberwachung abgestufte Voraussetzungen definiert: Abs. 1 betrifft
ausschließlich die Videobeobachtung, d.h. die technisch vermittelte
Wahrnehmung von identifizierbaren Personen oder personenbeziehbaren
Sachen (Kfz) in Echtzeit ohne eine Speicherung. Die von der Videokamera
erfassten Bilder werden zur aktuellen Betrachtung auf einen Monitor übertragen
und bleiben flüchtig. Zulässigkeitsvoraussetzung für eine solche Videobeobachtung
ist neben dem Hausrechts-Zweck immer eine Abwägung
zwischen den dargestellten gegenläufigen Interessen und das Fehlen von
Anhaltspunkten, dass die Interessen der Betroffenen höher zu bewerten
sind als das Interesse des Hausrechtsinhabers.
Bei dieser Abwägung sind verschiedene Gesichtspunkte einzubeziehen:
Offenbart das Betreten eines Dienstgebäudes deutlich das inhaltliche Ziel
der im Bild erkennbaren Betroffenen – z.B. beim Betreten des Psychiatrischen
Dienstes des Gesundheitsamtes, des Job Centers, einer AIDS-Beratungsstelle
o.ä.), so ist das Geheimhaltungsinteresse des Betroffenen besonders
groß. Dasselbe gilt für einen Eingriff in den Kernbereich des Persönlichkeitsrechts
wie bei einer Videoüberwachung von Sanitärräumen
oder von Umkleidekabinen in einem öffentlichen Schwimmbad. Gab es auf
der anderen Seite schon verschiedene Einbruchsversuche in das Dienstgebäude
und/oder existieren in dem Gebäude besonders sensible Bereiche
mit hohem Sach- oder Funktionswert – z.B. Rechnerräume, Schaltund
Einsatzzentralen –, so wiegt das Interesse des Hausherrn an einer
Videoüberwachung besonders schwer.
Überwiegt im Ergebnis das Schutzinteresse des Hausrechtsinhabers,
muss die Videobeobachtung auch geeignet und erforderlich sein, es zu sichern.
Aufstellungsort und Aufnahmewinkel der Kamera(s) müssen sich
also unmittelbar auf den gefährdeten Bereich beziehen. Zur Erforderlichkeit
gehört ferner die Frage, wie scharf das Bild sein muss. In bestimmten
Fällen kann es durchaus genügen, nur wahrzunehmen (und dann vorbeugend
zu handeln), dass eine konkrete Störung droht, nicht aber, welche
identifizierbare Person als Störer in Betracht kommt.
145

Absatz 2
Dieser Absatz regelt die Voraussetzungen für eine Videoaufzeichnung,
also die Speicherung von Videoaufnahmen erkennbarer Personen und
personenbeziehbarer Sachen. Da die Aufzeichnung mit der Möglichkeit
einer detaillierten Auswertung, insbesondere der Identifikation von Personen,
einen tiefergehenden Grundrechtseingriff darstellt als die flüchtige
Videobeobachtung, fordert die Vorschrift ein erhöhtes Risiko der Rechtsverletzung.
Es müssen Tatsachen vorliegen, aus denen geschlossen werden
kann, dass mit einer Verletzung von Personen oder Sachen in Zukunft
zu rechnen ist. Solche Tatsachen liegen in der Regel in bereits erfolgten
Rechtsverletzungen. Wenn diese vermehrt aufgetreten sind oder andere
Umstände eine Wiederholung nahelegen, kann auch zukünftig von
Rechtsverletzungen ausgegangen werden.
Auch in diesen Fällen ist die bereits zur Videobeobachtung vorzunehmende
Abwägung zwischen den Interessen noch einmal auf der „Aufzeichnungs-Stufe“
vorzunehmen. Hier ist die besondere Eingriffsintensität einer
Aufzeichnung zu berücksichtigen. „Es ist zu prüfen, ob die Aufzeichnung
zur Erreichung des verfolgten Zwecks geeignet und erforderlich ist. Dabei
kann nicht von der Zulässigkeit der Videobeobachtung auf die Zulässigkeit
der Videoaufzeichnung geschlossen werden; vielmehr bedarf es einer
eigenständigen Erforderlichkeitsprüfung. Insbesondere ist zu prüfen, ob der
verfolgte Zweck nicht bereits durch die bloße Videobeobachtung ohne Aufzeichnung
oder sonstige, die Interessen der Betroffenen weniger beeinträchtigende
Mittel erreicht werden kann“ (Bü-Drs. 19/6086).
Eine besondere Form der Aufzeichnung ist das sogenannte „Black-Box-
Verfahren“, wie es z.B. in den öffentlichen Verkehrsmitteln Anwendung findet:
Die Stufe der Videobeobachtung wird hier gleichsam übersprungen: Es
wird in einem besonders gesicherten Speicher laufend auf Vorrat aufgezeichnet
und in bestimmten Zeitintervallen immer wieder überspielt und gelöscht,
bis eine tatsächliche Hausrechtsverletzung die Nutzung der zum Tatzeitpunkt
aufgenommen Bilder erfordert. Die Grenzen zur reinen Strafverfolgungsvorsorge
sind hier fließend. Deswegen müssen bei der Einrichtung
auch einer solchen „black-box-Videoüberwachung“ die genannten Voraussetzungen
des Abs. 2 geprüft werden und vorliegen. Der Zugriff auf die Speicher
ist nach Anlass, Frist und Berechtigung datenschutzgerecht zu regeln.
Die Verwendung der aufgezeichneten Videosequenzen ist nach S. 2
grundsätzlich auf die Durchsetzung des Hausrechts beschränkt. Ausnahmsweise
dürfen die gespeicherten Videobilder aber auch für die Strafverfolgung
und zur Abwehr von Gefahren für hochrangige individuelle
Schutzgüter weiter verarbeitet, also genutzt und auch übermittelt, werden,
wenn sie dafür erforderlich sind.
146

Absatz 3
Die Vorschrift dient der Transparenz für die Betroffenen. Dieser Zweck hat
Bedeutung für Standort, Schriftgröße und Ausgestaltung des Hinweises.
„Der Hinweis soll dabei erkennen lassen, ob lediglich beobachtet oder auch
aufgezeichnet wird. Die Kenntlichmachung der verantwortlichen Stelle
ermöglicht bzw. erleichtert es den Betroffenen, gegebenenfalls ihre datenschutzrechtlichen
Ansprüche (z.B. auf Auskunft und Löschung) gegenüber
dieser Stelle geltend zu machen“ (Bü-Drs. 19/6086). Um den Normzweck zu
erreichen, hat sich die zusätzliche Verwendung eines Piktogramms auf
Augenhöhe bewährt.
Absatz 4
Bei einer Videoüberwachung mit Aufzeichnung muss die verantwortliche
Stelle die Betroffenen grundsätzlich dann unterrichten, wenn die Auswertung
der Bilder zu einer Identifizierung und einer weiteren Datenverarbeitung
geführt hat. Die Verweisung auf § 12a schränkt diese Unterrichtungspflicht
jedoch wieder dadurch ein, dass bei einer Datenverarbeitung (Bildauswertung)
zur „Wahrnehmung von Aufgaben der Gefahrenabwehr und
der Verfolgung von Straftaten“ die Unterrichtungspflicht entfällt. Dies
dürfte in der Praxis die Regel sein.
Absatz 5
Die erhöhte Eingriffsintensität durch eine Videoaufzeichnung berücksichtigt
der Gesetzgeber durch eine Fristsetzung für ihre Löschung. „Die
Wochenfrist trägt einerseits dem Interesse der Betroffenen an der möglichst
baldigen Löschung der Daten Rechnung; andererseits berücksichtigt sie,
dass es eine gewisse Zeit dauern kann, bis die Bedeutung der Aufzeichnung
einer bestimmten Kamera für Hausrechtszwecke erkannt wird. Dabei handelt
es sich um eine Höchstfrist. Ist bereits zu einem früheren Zeitpunkt
erkennbar, dass das Bildmaterial nicht mehr benötigt wird, so ist es bereits
zu diesem Zeitpunkt zu löschen oder zu vernichten“ (Bü-Drs. 19/6086). Dasselbe
gilt für den Fall, dass durch die Identifizierung einer Person oder weiterer
Erkenntnisse bei der Auswertung deutlich wird, dass das Geheimhaltungsinteresse
des oder der konkreten Betroffenen „einer weiteren
Speicherung entgegensteht“, also gegenüber dem Hausrechtsinteresse
der verantwortlichen Stelle überwiegt.
Absatz 6
Diese Vorschrift wiederholt sowohl für die Videobeobachtung als auch für
die Videoaufzeichnung wortgetreu die nach § 8 Abs. 2 notwendigen technischen
und organisatorischen Maßnahmen (dazu Näheres bei § 8). Damit
147

entfällt eine eigenständige Bedeutung des Tatbestandsmerkmals „automatisierte
Verarbeitung“ in § 8 Abs. 2. Nach Auffassung des Hamburgischen
Beauftragten für Datenschutz und Informationsfreiheit handelt es sich zumindest
bei digitaler Videoaufnahme-, übermittlungs-, speicher- und auswertungstechnik
auch um ein automatisiertes Verfahren im Sinne des § 8
Abs. 4, was zusätzlich die Pflicht zu einer systematischen Risikoanalyse
nach dieser Vorschrift auslöst, vgl. dazu 23. TB 2010/2011, 1.2.1.
Absätze 7 und 8
Diese Vorschrift ähnelt § 9 und bezieht die dort aufgezählten Punkte einer
Verfahrensbeschreibung konkret auf die Videoüberwachung. Dabei wird
wiederum auf das in § 9 normierte Tatbestandsmerkmal „automatisiertes
Verfahren“ verzichtet. Die gebotene Dokumentation zwingt die verantwortliche
Stelle insbesondere zur Abwägung der mit der Videoüberwachung
verfolgten Ziele mit den datenschutzrechtlichen Gefahren und Risiken für
die von der Kameraüberwachung Erfassten, vgl. 23. TB 2010/2011, 1.2.1.
„Gefahren drohen den von einer Videoüberwachung Betroffenen durch den
darin liegenden Eingriff in ihr Recht auf informationelle Selbstbestimmung,
insbesondere durch die Möglichkeit einer Identifizierung durch die zugriffsberechtigten
Personen, einer Feststellung ihres Aufenthalts zu einem bestimmten
Zeitpunkt an einem bestimmten Ort sowie – im Fall einer Videoaufzeichnung
– einer technisch grundsätzlich möglichen automatisierten Auswertung
und Verknüpfung mit anderen Daten….(Es) werden zwangsläufig
auch das äußere Erscheinungsbild der Betroffenen sowie ihr gesamtes Verhalten
am überwachten Ort erfasst“ (Bü-Drs. 19/6086).
Die Pflicht zur Vorlage der Dokumentation bei dem oder der (behördlichen)
Datenschutzbeauftragten, das – beschränkte – Einsichtsrecht der Allgemeinheit
und die Pflicht zur Überprüfung im 2-Jahres-Intervall nach Abs. 8
dienen der Transparenz und sichern die sorgfältige Befassung mit den
Zulässigkeitsvoraussetzungen der Videoüberwachung durch die verantwortliche
Stelle.
Absatz 9
Die Vorschrift trägt dem Umstand Rechnung, dass Kamera-Attrappen mangels
Datenverarbeitung nicht gegen Datenschutzvorschriften verstoßen
können, dass sie aber gleichwohl das Verhalten von Personen beeinflussen
und damit ihr Grundrecht auf freie Entfaltung der Persönlichkeit, Art. 2
Abs. 1 GG tangieren können.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
(HmbBfDI) initiierte kurz nach dem Inkrafttreten der Vorschrift eine Gesamterhebung
der Videoüberwachung durch öffentliche Stellen, vgl. 23.
148

TB 2010/2011, 1.2.2. Dabei wurden erhebliche Defizite bei der Anwendung
der Vorschrift festgestellt. Zur Erleichterung der Normanwendung und zur
Hilfestellung für die in Abs. 7 geforderte Dokumentation veröffentlichte der
HmbBfDI 2010 eine umfangreiche „Handreichung zur Videoüberwachung“
und ein „Musterformular“ für die Dokumentation. Beides ist abrufbar unter
http://www.datenschutz-hamburg.de/datenschutz-fuer-firmen-behoerden/
videoueberwachung.html.
Zu § 31 Datenverarbeitung für Planungszwecke
Die Vorschrift „berücksichtigt die Notwendigkeit von Planungen für eine den
sozialen, kulturellen, wirtschaftlichen und ökologischen Erfordernissen entsprechende
Entwicklung. Die Planung ist häufig Bestandteil der jeweiligen
Verwaltungsaufgabe und insoweit bereits nach § 13 (und ggf. § 14) zulässig.
Die Regelung erfasst daher nur die Fälle, in denen Daten ausschließlich für
Planungszwecke erhoben werden oder in denen für andere Zwecke gespeicherte
Daten für Planungszwecke genutzt oder übermittelt werden sollen.
Nicht unter die Regelung fällt die Aggregierung bereits gespeicherter personenbezogener
Daten zu Planungszwecken, bei der lediglich anonymisierte
Daten gewonnen und weiterverarbeitet werden. Die Vorschrift lässt die Verarbeitung
für Planungszwecke in Anlehnung an § 27 (Datenverarbeitung
zum Zwecke wissenschaftlicher Forschung) zu.“ (Bü-Drs. 13/3282 zu § 30).
Die Daten unterliegen gemäß Abs. 2 einer strikten Zweckbindung. Sie sind
möglichst frühzeitig zu anonymisieren (vgl. § 4 Abs. 9) und dürfen nicht
übermittelt werden, soweit Rückschlüsse auf Einzelpersonen gezogen
werden können. Gem. Abs. 3 sind die Planungsdaten in der Daten verarbeitenden
Stelle getrennt von den sonstigen Daten zur Aufgabenerfüllung
zu verarbeiten.
Zu § 32 Straftaten
Nach dieser Vorschrift ist ein Fehlverhalten im Zusammenhang mit der dateimäßigen
und nicht dateimäßigen Verarbeitung personenbezogener
Daten dann strafbar, wenn es sich um ein qualifiziertes Delikt handelt, die
Täter also in Bereicherungs- oder Schädigungsabsicht vorgehen.
Die in Abs. 1 Nrn. 1 und 2 aufgeführten Handlungsformen erfassen mit
Ausnahme des Sperrens alle von diesem Gesetz behandelten Verarbeitungsphasen.
Das Abrufen und Sichverschaffen von Daten ebenso wie das
Einsehen wurden als Unterformen des Erhebens nicht gesondert aufgeführt.
Abruf ist eine besondere Art der Kenntnisnahme von automatisiert
gespeicherten Daten, insbesondere im Onlineverkehr durch entsprechende
Abrufroutine am Terminal oder vom Computer. Nach der Begriffsbestimmung
in § 4 Abs. 2 S. 2 Nr. 4 werden alle Formen des Übermittelns
149

erfasst; dies gilt auch, wenn man Daten weitergibt oder zum Abruf bereithält.
Auch der Versuch ist strafbar.
Ausgenommen vom Schutz der Strafvorschrift sind Daten, die offenkundig
sind. Solche Daten müssen aber rechtmäßigerweise öffentlich zugänglich
sein. Dies sind Daten, die allgemein zugänglich sind oder sein sollen, wie
z.B. im Internet, in Zeitungen und Zeitschriften, in öffentlichen Adress- und
Telefonbüchern und in öffentlichen behördlichen Registern (Schuldnerverzeichnis,
Handelsregister der Amtsgerichte).
Die Handlung muss unbefugt begangen werden. Dies ist bei der Erhebung
und Verarbeitung geschützter Daten stets der Fall, wenn sie unzulässig
sind, wenn also weder eine Rechtsvorschrift sie erlauben noch der Betroffene
eingewilligt hat.
Die Tat wird nur auf Antrag verfolgt; die bzw. der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit kann die Betroffenen gegebenenfalls
auf ihr Antragsrecht hinweisen.
Andere Strafvorschriften, insbesondere solche des Bundesrechts (z.B.
§§ 202 a, 303 a, 303b StGB), gehen vor (Abs. 4).
Zu § 33 Ordnungswidrigkeiten
Da in § 32 nur qualifizierte Delikte unter Strafe gestellt sind, enthält § 33
einen Katalog von Ordnungswidrigkeitentatbeständen für die nicht qualifizierten
Verhaltensweisen; vorsätzliches Fehlverhalten im Umgang mit personenbezogenen
Daten bleibt nicht sanktionsfrei. Der Tatbestandskatalog
deckt sich mit dem Katalog des § 32. Wer für die Verfolgung solcher
Ordnungswidrigkeiten zuständig ist, bleibt im Hamburgischen Datenschutzgesetz
(HmbDSG) offen.
Der Hamburger Senat hat von der Möglichkeit einer Zuständigkeitsvorschrift
nach § 36 Abs. 2 Ordnungswidrigkeitengesetz (OWiG) Gebrauch gemacht
und neben Fachbehörden und Bezirksämtern allgemein auch den
Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
(HmbBfDI) zur Verfolgung von Ordnungswidrigkeiten für zuständig erklärt.
Nach § 24 wird dem HmbBfDI die Aufgabe der Aufsichtsbehörde für den
Datenschutz im nicht-öffentlichen Bereich gem. § 38 Abs. 6 BDSG übertragen
(dazu Bü-Drs. 20/369, S. 4). Die Verfolgungszuständigkeit des
HmbBfDI beschränkt sich ausschließlich auf diesen (nicht-öffentlichen)
Bereich, weil der HmbBfDI nach dem Hamburgischen Verwaltungsbehördengesetz
keine Verwaltungsbehörde i.S. d. der §§ 35, 36 OWiG ist und die
Beschreibung seiner Aufgaben im HmbDSG eine Verfolgung von Ordnungswidrigkeiten
nicht umfasst. Im öffentlichen Bereich sind vielmehr
zunächst die Verwaltungsbehörden als Daten verarbeitende Stellen selbst
150

für die Durchführung des HmbDSG zuständig – dazu gehört auch die Ordnungswidrigkeitenvorschrift
des § 33. Der HmbBfDI kontrolliert und überwacht
die Behörden mit den im HmbDSG genannten Mitteln (vgl. § 23).
Für die Verfolgung von Ordnungswidrigkeiten nach § 33 HmbDSG durch
ihre Beschäftigten sind die Behörden in ihrem jeweiligen Aufgabenbereich
selbst zuständig.
Zu § 34 Verwaltungsgebühren
Absatz 1
Die im Jahr 2001 eingefügte Vorschrift begründet mit Satz 1 erstmals eine
„Gebührenpflicht für Amtshandlungen der Aufsichtsbehörde im nicht-öffentlichen
Bereich. Erfasst wird der gesamte Aufsichtsbereich der Aufsichtsbehörde
nach § 38 BDSG und anderen Rechtsvorschriften über den Datenschutz
( )“ (Bü.-Drs. 16/6266 vom 19.06.01 zu § 34). In Abschnitt I der Senatsanordnung
über Zuständigkeiten auf dem Gebiet des Datenschutzes
vom 23. September 1994 wurde festgelegt, dass Aufsichtsbehörde nach
§ 38 des BDSG in der jeweils geltenden Fassung der Hamburgische Datenschutzbeauftragte
ist.
Durch die Vorschrift wird eine Gebührenpflicht sowohl für anlassbezogene
als auch anlassfreie Kontrollen geregelt. Nicht erfasst vom Anwendungsbereich
sind dagegen sonstige Amtshandlungen der Datenschutzaufsichtsbehörde.
Dazu gehören alle Tätigkeiten der Aufsichtsbehörde, die
nicht unmittelbar der Kontrolle dienen, insbesondere die nach § 38 Abs. 1
BDSG verpflichtende Beratung und Unterstützung betrieblicher Datenschutzbeauftragter
und der verantwortlichen Stellen mit Rücksicht auf
deren typische Bedürfnisse.
Mit der Datenschutzgebührenordnung vom 11. September 2001
(HmbGVBl. S. 401), zuletzt geändert am 18. Dezember 2002 (HmbGVBl. S.
317) hat der Senat von seiner Ermächtigung aus Satz 2 der Vorschrift, die
gebührenpflichtigen Tatbestände und die Gebührensätze durch Rechtsverordnung
festzulegen, Gebrauch gemacht. Die Verordnung enthält 3 Gebührentatbestände,
für die unterschiedliche Gebührensätze bestehen. Die
Spanne reicht von derzeit 150 e für eine Kontrolle ohne besondere Prüfintensität
bis 300 – 1500 e Rahmengebühren für Kontrollen mit besonderer
Prüfintensität. Die konkrete Gebühr ist in jedem Einzelfall im Rahmen des
Ermessens von der Aufsichtsbehörde festzusetzen. Dabei sind der zeitliche
Aufwand und die Anzahl der beteiligten Prüfer zu berücksichtigen.
Für das Verlangen der Aufsichtsbehörde nach Abberufung der oder des
betrieblichen Datenschutzbeauftragten nach § 38 Abs. 5 Satz 3 BDSG liegt
der Gebührensatz bei 1500 e.
151

Abs. 2 der Datenschutzgebührenordnung regelt, dass in den Fällen, in
denen die Kontrolle von der Aufsichtsbehörde oder von der oder dem
betrieblichen Datenschutzbeauftragten veranlasst wurde, die Gebühr auf
Antrag der kontrollierten Stelle ganz oder teilweise erlassen werden kann,
soweit deren Zahlung für die kontrollierte Stelle eine unzumutbare Härte
darstellen würde. Von dieser Möglichkeit ist bisher in einigen Fällen, insbesondere
bei der Prüfung von gemeinnützigen Vereinen, Gebrauch gemacht
worden.
Absatz 2
Nach Absatz 2 Satz 1 ist die kontrollierte Stelle als Schuldner zur Zahlung
der Gebühren, Zinsen und Auslagen verpflichtet.
Dies gilt bei anlassbezogenen Kontrollen nach Satz 2 jedoch nur, wenn bei
der Kontrolle Mängel festgestellt wurden. Hingegen können bei anlassfreien
Kontrollen auf Initiative der Aufsichtsbehörde oder von der kontrollierten
Stelle selbst veranlassten Kontrollen auch ohne Vorliegen eines
Mangels Gebühren erhoben werden.
Ein Mangel liegt immer dann vor, wenn die kontrollierte Stelle gegen Vorschriften
des BDSG verstoßen hat. Ein ordnungswidriges Verhalten ist
dabei nicht erforderlich. So liegt z.B. auch dann ein Mangel vor, wenn die
kontrollierte Stelle keine ausreichenden technischen und organisatorischen
Maßnahmen zur Einhaltung des Datenschutzes getroffen hat.
Nach Satz 3 können bei Kontrollen, die durch Beschwerdeführer veranlasst
wurden, Gebühren, Zinsen und Auslagen von ihnen verlangt werden, wenn
bei der Kontrolle keine Mängel festgestellt wurden und dies der Billigkeit
entspricht. Nach der Gesetzesbegründung verhindert die Regelung „einerseits,
dass kontrollierte Stellen aufgrund unberechtigter, unter Umständen
sogar in Schädigungsabsicht grundlos geäußerter Beschuldigungen Dritter
mit kostenpflichtigen Kontrollen überzogen werden. Auf der anderen Seite
werden die Dritten nur insoweit zur Rechenschaft gezogen, als dies der Billigkeit
entspricht. Hierdurch wird insbesondere gewährleistet, dass Dritte,
denen sich aufgrund der Umstände des Einzelfalles die Vermutung einer
nicht ordnungsgemäßen Verarbeitung ihrer personenbezogenen Daten aufdrängt,
bei einer diesbezüglichen Eingabe an die Aufsichtsbehörde auch
dann nicht mit einem Kostenrisiko belastet werden, wenn sich ihre Vermutung
im Ergebnis nicht bestätigt“ (Bü-Drs. 16/6266 v.19.06.01).
Bisher hat die Aufsichtsbehörde von der Möglichkeit, vom Beschwerdeführer
die Zahlung der Gebühren zu verlangen, noch keinen Gebrauch
gemacht.
152

Kontakt
Herausgeber:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Klosterwall 6
20095 Hamburg
Tel.: 040/42854-4040 (Geschäftsstelle)
Fax: 040/42854-4000
E-Mail: mailbox@datenschutz.hamburg.de
Titelbild: Thomas Krenz
Reinzeichnung Cover: KAMEKO DESIGN
Druck: Lütcke & Wulff, Hamburg