Einführende Hinweise zum Hessischen Datenschutzgesetz

Transkript

1 Einführende Hinweise zum Hessischen Datenschutzgesetz 1. Leitprinzipien des Hessischen Datenschutzgesetzes 2. Entwicklungsgeschichte des Hessischen Datenschutzgesetzes 3. Überblick über das Hessische Datenschutzgesetz 1. Wo findet das Hessische Datenschutzgesetz Anwendung? 2. Unter welchen Voraussetzungen erlaubt das Hessische Datenschutzgesetz die Verarbeitung personenbezogener Daten? 3. Welche Regelung gibt es für besonders schutzwürdige Bereiche? 1. Verbot "vollautomatischer" Entscheidungen 2. Besonders schutzwürdige ("sensitive") Daten 4. Gibt es zusätzliche Regelungen für spezielle Formen der Datenverarbeitung? 1. Videoübwerwachung und ähnliche Techniken 2. Datenübwerwachung unter Einsatz von Chipkarten und ähnliche Techniken 3. Auftragsdatenverarbeitung 4. Gemeinsame Verfahren 5. Unter welchen Voraussetzungen und an wen dürfen Daten übermittelt werden? 6. Welche Rechte haben die Betroffenen? 1. Recht auf Auskunft und Benachrichtigung 2. Geltendmachung von Einwänden gegen eine rechtmäßige Verarbeitung 3. Recht auf Einsicht in Verfsahrensverzeichnisse 4. Recht auf Berichtigung, Sperrung und Löschung 5. Schadenersatz 6. Anrufung des Hesschischen Datenschutzbeauftragten 7. Wie wird die Einhaltung des Datenschutzes sichergestellt? 1. Verfahrensverzeichnis 2. Vorabkontrolle 3. Technische und organisatorische Maßnahmen 4. Auswahl von automatisierten Datenverarbeitungsmaßnahmen 5. behördlicher Datenschutzbeauftragter 6. Hessischer Datenschutzbeauftragter Stand: Leitprinzipien des Hessischen Datenschutzgesetzes

2 Aufgabe des Hessischen Datenschutzgesetzes (HDSG) ist es, die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Landkreise zu regeln, um das Persönlichkeitsrecht des Einzelnen zu schützen. Das Recht auf freie Entfaltung der Persönlichkeit wird durch Art. 2 Abs. 1 Grundgesetz geschützt. Dieses Persönlichkeitsrecht umfasst auch das Recht des Einzelnen, seine Privatsphäre nach außen zu schützen. Das Bundesverfassungsgericht hat zum Persönlichkeitsrecht im so genannten Volkszählungsurteil vom 15. Dezember 1983 ausgeführt, dass dieses Grundrecht auch die Befugnis des Einzelnen gewährleistet, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen zu können. Dieses Recht auf "informationelle Selbstbestimmung" soll es dem Einzelnen ermöglichen, sich seine Intim- und Privatsphäre zu erhalten. Allerdings kann dieses Recht nicht schrankenlos sein, denn die öffentlichen Stellen sind für die sachgerechte Erfüllung ihrer Aufgaben darauf angewiesen, personenbezogene Daten zu verarbeiten. Sie haben daher in jedem Einzelfall eine am Verhältnismäßigkeitsgrundsatz orientierte Interessenabwägung zwischen dem Persönlichkeitsrecht des Betroffenen und dem öffentlichen Interesse vorzunehmen und darauf zu achten, dass Einschränkungen des Rechts auf informationelle Selbstbestimmung unter Beachtung des Grundsatzes der Verhältnismäßigkeit nur im überwiegenden Allgemeininteresse zulässig sind. Das HDSG und andere Datenschutzvorschriften verfolgen den Zweck, den verfassungsrechtlich gesicherten Schutz des Persönlichkeitsrechts zu gewährleisten und konkretisieren die Voraussetzungen, unter denen personenbezogene Daten verarbeitet werden dürfen. Dabei ist immer der allgemeine Grundsatz zu beachten, dass die Verarbeitung und Nutzung personenbezogener Daten verboten ist, soweit sie nicht durch das HDSG oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder angeordnet ist oder der Betroffene dazu schriftlich seine Einwilligung erklärt hat. Neben der automatisierten Datenverarbeitung unterliegt auch der Umgang mit Akten diesem Gesetz. Der Begriff der Akten ist weit gefasst; es gehört jede der Aufgabenerfüllung dienende Unterlage dazu, die nicht Teil der automatisierten Datenverarbeitung ist ( 2 Abs. 7 HDSG). Deshalb fallen nicht nur amtliche Schriftstücke, sondern auch deren Entwürfe, interne Vermerke sowie nicht an die Schriftform gebundene Unterlagen wie Bilder, Filme und Tonaufnahmen hierunter. 2. Entwicklungsgeschichte des Hessischen Datenschutzgesetzes 1970 formulierte der Hessische Landtag die ersten gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten überhaupt. Das HDSG stellte damit die Weichen für jede weitere Diskussion des Datenschutzes innerhalb und außerhalb der Bundesrepublik. 1978

3 revidierte der Hessische Landtag die gesetzliche Regelung vor dem Hintergrund des Bundesdatenschutzgesetzes, beschränkte sich aber keineswegs darauf, die bundesgesetzlichen Vorschriften zu übernehmen, sondern versuchte zugleich, den Datenschutz konsequent zu verbessern. Die verschärfte Zweckbindung und die Verpflichtung zum Schadenersatz sind ebenso bezeichnend dafür wie etwa die Sonderregelung für die Verarbeitung personenbezogener Daten im Rahmen der wissenschaftlichen Forschung reagierte der Hessische Landtag wiederum als Erster auf die Erwartungen an den Gesetzgeber, die sich unter dem Eindruck der Entscheidung des Bundesverfassungsgerichts zum Volkszählungsurteil aus dem Jahre 1983, aber auch mit Rücksicht auf die sich ständig weiterentwickelnde Informationstechnologie verändert und präzisiert haben. Mit Einführung der EG-Datenschutzrichtlinie vom 24. Oktober 1995 zum "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" verpflichteten sich die Mitgliedstaaten, die Regelungen innerhalb von drei Jahren in nationales Recht umzusetzen. Während allerdings die Novellierung im Bund nicht fristgerecht erfolgt ist, hat das Hessische Innenministerium rechtzeitig die Umsetzung vorbereitet, so dass der Hessische Landtag am 28. Oktober 1998 das Dritte Gesetz zur Änderung des HDSG mit den Stimmen aller Landtagsfraktionen beschließen konnte. Damit ist Hessen das erste Bundesland, das sein Datenschutzgesetz angepasst hat und die gesetzte 3-Jahresfrist für die Umsetzung einhält. Die Hessische Landesregierung hat gleichzeitig die notwendige Überarbeitung des HDSG zum Anlass genommen, nicht nur die Vorschriften der EG-Datenschutzrichtlinie umzusetzen, sondern in ihrem Entwurf auch die Anpassung an die fortgeschrittene technologische Entwicklung vorzunehmen und Regelungslücken zu schließen. Grundprinzip der Novellierung war es, nur dort die Regelungen zu ändern oder zu ergänzen, wo entweder die EG-Datenschutzrichtlinie eine Änderung erfordert oder die gesetzlichen Regelungen nicht ausreichen, z.b. infolge der Technologieentwicklung. Dabei sollten die Regelungen möglichst wenig kompliziert gestaltet werden und es sollte vermieden werden, jedes Detail zu regeln. 3. Überblick über das Hessische Datenschutzgesetz 3.1 Wo findet das Hessische Datenschutzgesetz Anwendung? Das HDSG gilt für alle Behörden und sonstige öffentliche Stellen des Landes, der Gemeinden und Landkreise, die personenbezogene Daten für sich selbst verarbeiten oder durch andere verarbeiten lassen ( 1 in Verbindung mit 3 Abs. 1 HDSG). Die Bestimmungen dieses Gesetzes gelten auch für sonstige der Aufsicht des Landes unterstehende juristische Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform und für nicht-

4 öffentliche Stellen, soweit sie hoheitliche Aufgaben unter Aufsicht solcher öffentlicher Stellen wahrnehmen. Das HDSG ist jedoch nur anzuwenden, soweit es keine speziellen gesetzlichen Regelungen gibt, die die Verarbeitung der personenbezogenen Daten für den betroffenen Bereich regeln. Es gibt eine Vielzahl solcher spezialgesetzlicher Regelungen: z.b. die Abgabenordnung für die Verarbeitung der Steuerdaten, das Hessische Meldegesetz für die Einwohnerdaten, das Hessische Gesetz über die öffentliche Sicherheit und Ordnung (also das Polizeigesetz) für alle von Gefahrenabwehr- oder Polizeibehörden verarbeiteten Daten, das Sozialgesetzbuch für Sozialdaten. Das HDSG gilt auch für die Justiz, soweit nicht der Bereich richterlicher Unabhängigkeit betroffen ist. Diese Klarstellung enthält 24 Abs. 1 Satz 3 HDSG, wonach Gerichte von der Kontrollkompetenz des Hessischen Datenschutzbeauftragten nur ausgenommen sind, soweit sie in richterlicher Unabhängigkeit tätig werden. Das HDSG gilt nur, wenn personenbezogene Daten verarbeitet werden, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 2 Abs. 1 HDSG). Darunter fallen Daten, die der Identifizierung der Person dienen, etwa der Name, die Anschrift oder das Geburtsdatum und alle sonstigen Informationen, die auf die betroffene Person bezogen sind. Bestimmt oder bestimmbar ist eine Person, wenn sich aus den Daten unmittelbar oder mittelbar, also mit verfügbarem Zusatzwissen, aber ohne unverhältnismäßigen Aufwand die betroffene Person identifizieren lässt. Die Daten müssen eine natürliche Person, also einen Menschen betreffen. Die Verarbeitung von Daten juristischer Personen, etwa Personengemeinschaften, Kapitalgesellschaften oder Vereinen, unterliegt daher nicht diesem Gesetz. Datenverarbeitung ist jede Verwendung gespeicherter oder zur Speicherung vorgesehener personenbezogener Daten und umfasst als Oberbegriff das Erheben, Speichern, Nutzen, Verändern, Übermitteln, Sperren und Löschen von Daten, ungeachtet der dabei angewendeten Verfahren. Die Neufassung des HDSG 1998 verzichtet auf den Dateibegriff und stellt nur noch auf die Verarbeitung von Daten ab. Eine Unterscheidung zwischen Akten und Dateien wird daher nicht mehr vorgenommen. Gleichwohl nutzt das Gesetz noch den Begriff Akten, weil für Akten einige Sonderregelungen, z.b. zur Löschung und Einsicht, unverzichtbar sind. 3.2 Unter welchen Voraussetzungen erlaubt das Hessische Datenschutzgesetz die Verarbeitung personenbezogener Daten?

5 Jede Verarbeitung personenbezogener Daten stellt eine Einschränkung des Persönlichkeitsrechts dar, die einer Rechtsgrundlage bedarf. Die Verarbeitung personenbezogener Daten ist somit grundsätzlich verboten, wenn nicht eine gesetzliche Bestimmung sie ausdrücklich erlaubt. Die Verarbeitung personenbezogener Daten ist nach dem HDSG zulässig, wenn sie nach diesem Gesetz oder einer anderen diesem Gesetz vorgehenden Rechtsvorschrift ausdrücklich zugelassen ist ( 7 Abs. 1 Nr. 1 und 2), der Betroffene in die Verarbeitung eingewilligt hat ( 7 Abs. 1 Nr. 3) oder die Daten in allgemein zugänglichen Quellen gespeichert oder von dem Betroffenen zur Veröffentlichung bestimmt sind ( 3 Abs. 3). Allgemein zugängliche Quellen sind etwa Printmedien, Rundfunk, Fernsehen und elektronische Netze wie das Internet. Öffentliche Register sind nur dann allgemein zugängliche Quellen im Sinne dieses Gesetzes, wenn die Einsichtnahme nicht von einem besonderen berechtigten Interesse abhängig ist. Die nach diesen Grundsätzen zulässige Verarbeitung personenbezogener Daten begrenzt das HDSG durch folgende Prinzipien: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für den konkret verfolgten Zweck unbedingt erforderlich sind, also ohne deren Verarbeitung die Aufgabe nicht oder nicht vollständig erfüllt werden kann ( 11 Abs. 1 HDSG, Grundsätze der Erforderlichkeit, insbesondere der Datensparsamkeit, und der Zweckbindung). Nicht ausreichend ist, wenn die Datenverarbeitung nur allgemein der Erfüllung der behördlichen Aufgaben dient. Die Daten sind grundsätzlich bei dem Betroffenen mit seiner Kenntnis zu erheben, damit für ihn die Datenverarbeitung transparent und nachvollziehbar ist ( 12 Abs. 1 HDSG, Transparenzgebot). Er ist dabei in geeigneter Weise über die Anschrift der datenverarbeitenden Stelle, den Zweck der Datenerhebung sowie über seine Rechte aufzuklären. Bei Dritten außerhalb des öffentlichen Bereichs oder ohne Kenntnis des Betroffenen dürfen Daten nur erhoben werden, wenn dies im Einzelfall unter bestimmten Voraussetzungen ausnahmsweise geboten ist oder eine Rechtsvorschrift dies vorsieht. Dem Grundsatz der Zweckbindung der Datenverarbeitung entsprechend dürfen personenbezogene Daten nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind. Wenn die datenverarbeitenden Stellen nämlich die erhobenen Daten anschließend für beliebige andere Zwecke verwenden dürften, würden die Zulässigkeitsbestimmungen für die Erhebung von Daten ins Leere laufen ( 13 HDSG) und für die Betroffenen wäre es weder erkennbar noch nachvollziehbar, wer was wann über sie weiß. Ausnahmsweise dürfen gem. 12 Abs. 2, 13 Abs. 2 HDSG Daten ohne Kenntnis des Betroffenen erhoben oder zu Zwecken verarbeitet werden, zu denen sie nicht erhoben worden sind, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, der Betroffene eingewilligt hat,

6 die Bearbeitung eines vom Betroffenen gestellten Antrages ohne Kenntnis der Daten nicht möglich ist oder die Angaben überprüft werden müssen, die Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit und persönliche Freiheit dies gebietet, sich Anhaltspunkte für Straftaten und Ordnungswidrigkeiten ergeben oder die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Die Einwilligung des Betroffenen muss gem. 7 Abs. 1 HDSG "ohne jeden Zweifel", also eindeutig erklärt worden sein, eine konkludente Einwilligung ist keinesfalls ausreichend. Die Einwilligung bedarf nach Absatz 2 der Schriftform, soweit nicht eine andere Form angemessen ist. Sie ist nur wirksam, wenn der Betroffene in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck aufgeklärt worden ist. Ferner ist der Betroffene auf die Möglichkeit hinzuweisen, dass er die Einwilligung verweigern und eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 3.3 Welche Regelungen gibt es für besonders schutzwürdige Bereiche? Verbot "vollautomatischer" Entscheidungen Entsprechend den Anforderungen der EG-Datenschutzrichtlinie wurde in 7 Abs. 3 HDSG das Verbot "vollautomatischer Entscheidungen" aufgenommen. Danach ist es unzulässig, Entscheidungen auf Bewertungen zu stützen, die ausschließlich auf einer automatisierten Auswertung von Persönlichkeitsmerkmalen durch Computer beruhen. Die Menschenwürde gebietet, dass die wertende Entscheidung über Menschen letztendlich immer von Menschen getroffen wird Besonders schutzwürdige ("sensitive") Daten

7 Die EG-Datenschutzrichtlinie enthält ein grundsätzliches Verbot der Verarbeitung bestimmter Datenkategorien, der so genannten "sensitiven" Daten, und lässt Ausnahmen nur für bestimmte Fallgruppen zu. Zu den besonders schutzwürdigen Daten zählen Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben und auch Daten über Straftaten. 7 Abs. 4 HDSG greift dies auf und regelt, dass diese Daten nur verarbeitet werden dürfen, wenn ein bereichsspezifisches Gesetz dies erlaubt oder die Verarbeitung ausschließlich im Interesse des Betroffenen liegt. 3.4 Gibt es zusätzliche Regelungen für spezielle Formen der Datenverarbeitung? Videoüberwachung und ähnliche Techniken In der Novellierung des HDSG 1998 wurden die Besonderheiten der Videoüberwachung und ähnlicher Techniken der Datenerhebung berücksichtigt, bei der Daten nicht über eine bestimmte Person, sondern einen bestimmbaren Personenkreis erhoben werden. Wegen der sich bei dieser Form der Datenverarbeitung ergebenden Schwierigkeit bei der Feststellung, ob der Betroffene Kenntnis von der Datenerhebung hat, sieht 12 Abs. 1 HDSG vor, dass es in einem solchen Fall ausnahmsweise ausreicht, wenn der Betroffene eine seinen schutzwürdigen Belangen angemessene Möglichkeit der Kenntnisnahme von der Datenerhebung hat Datenverarbeitung unter Einsatz von Chipkarten und ähnlichen Techniken Auch wenn der betroffenen Person ein Hilfsmittel ausgehändigt wird, mit dem oder auf dem die Verarbeitung von Daten erfolgt, wie das z.b. bei der Chipkarte der Fall ist, so muss die Datenverarbeitung jederzeit transparent sein. Das bedeutet, dass sie nicht verdeckt erfolgen

8 darf und dass die betroffene Person jederzeit ohne unvertretbaren Aufwand ihre Rechte auf Auskunft, Berichtigung, Sperrung oder Löschung der Daten sowie Einsicht in das Verfahrensregister wahrnehmen kann. Außerdem muss bei Aushändigung des Hilfsmittels eine umfassende Aufklärung über die genannten Rechte sowie die Maßnahmen und Folgen eines Verlusts des ihm ausgehändigten Hilfsmittels erfolgen ( 8 Abs. 2 HDSG) Auftragsdatenverarbeitung Soweit datenverarbeitende Stellen personenbezogene Daten nicht selbst verarbeiten, sondern dies durch andere Personen oder Stellen erledigen lassen, bleiben sie gem. 4 HDSG für die Einhaltung der Vorschriften des HDSG verantwortlich. Der Auftragnehmer ist sorgfältig auszuwählen und der Auftrag ist schriftlich zu erteilen; dabei sind insbesondere der Gegenstand und der Umfang der Datenverarbeitung festzulegen. Der Auftragnehmer ist strikt an den Auftrag gebunden und hat sich auch der Kontrolle durch den Hessischen Datenschutzbeauftragten zu unterwerfen. Die Bestimmungen der Auftragsdatenverarbeitung gelten entsprechend auch für Personen und Stellen, die im Auftrag Wartungsarbeiten und vergleichbare Tätigkeiten bei der Datenverarbeitung erledigen Gemeinsame Verfahren Die Zulässigkeit der Nutzung gemeinsamer Verfahren, die mehreren datenverarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglichen, ist in 15 HDSG geregelt. Durch die Einrichtung gemeinsamer Verfahren wird die Möglichkeit geschaffen, dass verschiedene Stellen automatisiert auf einen gemeinsamen Datenbestand zugreifen und Daten abrufen können. Wegen der Besonderheit des automatisierten Zugriffes, ist es den speichernden Stellen in der Regel nicht möglich, die Zulässigkeitsvoraussetzungen der Datenübermittlung jeder einzelnen abrufenden Stelle zu überprüfen. Die Benutzung gemeinsamer Verfahren ist daher nur erlaubt, wenn im Rahmen der Vorabkontrolle die Festlegung der Verantwortlichkeit, der Zuständigkeit und der technischen und organisatorischen Maßnahmen gewährleistet und eine klare Regelung der Zugriffsrechte und der Abschottung einzelner Bereiche voneinander

9 sichergestellt ist. Vor Einrichtung oder Änderung eines solchen gemeinsamen Verfahrens ist der Hessische Datenschutzbeauftragte anzuhören. 3.5 Unter welchen Voraussetzungen und an wen dürfen Daten übermittelt werden? Das HDSG unterscheidet zwischen der Datenübermittlung an eine andere öffentliche Stelle, eine nicht-öffentliche Stelle. Die Zulässigkeit der Übermittlung an andere öffentliche Stellen richtet sich nach den allgemeinen Bestimmungen der Zulässigkeit der Datenverarbeitung. Es dürfen also nur diejenigen und nur so viele Daten übermittelt werden, wie es für die Aufgabenerfüllung der übermittelnden Stelle oder des Empfängers unbedingt erforderlich ist. Die übermittelnde Stelle trägt die Verantwortung für die Zulässigkeit der Übermittlung. Benötigt der Empfänger die Daten zu seiner Aufgabenerfüllung, so trägt auch er, neben der übermittelnden Stelle, die Verantwortung für die Zulässigkeit der Verarbeitung. Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist gem. 16 HDSG nur zulässig, wenn der Empfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und der Betroffene keine schutzwürdigen Interessen an dem Ausschluss der Übermittlung hat. Ferner darf der Empfänger die Daten nur für den Zweck verwenden, zu dem sie ihm übermittelt wurden. Die übermittelnde Stelle muss darauf ausdrücklich hinweisen. Unabhängig davon, ob es sich um eine Übermittlung an öffentliche oder nicht-öffentliche Stellen handelt, gelten Besonderheiten für die Datenübermittlung ins Ausland. Die Übermittlung innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie wird dabei wie eine Übermittlung im Inland behandelt, weil die EG-Datenschutzrichtlinie dort ein einheitliches Datenschutzniveau geschaffen hat, das eine besondere Behandlung nicht mehr rechtfertigt. Außerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie dürfen Daten nur übermittelt werden, wenn beim Empfänger ein angemessener Datenschutz gewährleistet ist, die Übermittlung im ausschließlichen Interesse des Betroffenen liegt oder eine der in 17 Abs. 2 HDSG aufgeführten Ausnahmen vorliegt, insbesondere wenn die betroffene Person in die Übermittlung eingewilligt hat. Vor der Übermittlung ist zur Frage, ob ein Drittland

10 angemessenen Datenschutz gewährleistet, die Beurteilung des Hessischen Datenschutzbeauftragten einzuholen. 3.6 Welche Rechte haben die Betroffenen? Einen Überblick über die Rechte, die jedem Bürger zustehen, gibt 8 Abs. 1 HDSG; demnach hat jede Person ein Recht auf: 1. Auskunft und Benachrichtigung über die zu seiner Person gespeicherten Daten ( 18) 2. Überprüfung der rechtmäßigen Verarbeitung seiner Daten aus besonderen persönlichen Gründen ( 7 Abs. 5) 3. Einsicht in das Verfahrensverzeichnis ( 6 Abs. 2) 4. Berichtigung, Sperrung oder Löschung der zu seiner Person gespeicherten Daten ( 19) 5. Schadensersatz ( 20) 6. Anrufung des Datenschutzbeauftragten ( 28 und 37 Abs. 2) Mit der Neuregelung des 8 Abs. 2 HDSG wird nunmehr klargestellt, dass für den Betroffenen die Ausübung dieser Rechte ohne unvertretbaren Aufwand auch beim Einsatz von Chipkarten und vergleichbaren Datenträgern sichergestellt sein muss Recht auf Auskunft und Benachrichtigung Jeder Bürger hat gem. 18 Abs. 3 HDSG einen Anspruch auf gebührenfreie Auskunft über die zu seiner Person gespeicherten Daten, den Zweck und die Rechtsgrundlage der Verarbeitung sowie die Herkunft der Daten und die Empfänger übermittelter Daten, soweit diese Daten gespeichert sind.

11 Sind die Daten in Akten gespeichert, so kann der Betroffene gem. 18 Abs. 5 HDSG Einsicht in die von ihm bezeichneten Akten verlangen. Die datenverarbeitenden Stellen können gem. 18 Abs. 6 HDSG ausnahmsweise die Auskunft verweigern, soweit sich nach einer Abwägung des Einzelfalles ergibt, dass die Rechte des Betroffenen hinter dem öffentlichen Interesse an der Geheimhaltung zurücktreten müssen. Eine Entscheidung hierüber trifft der Leiter der zur Auskunft verpflichteten Stelle oder dessen Stellvertreter. Grundsätzlich haben die datenverarbeitenden Stellen, die personenbezogene Daten automatisiert speichern, gem. 18 Abs. 1 HDSG den Betroffenen von dieser Tatsache zum Zeitpunkt der Speicherung schriftlich zu benachrichtigen. In der Novellierung des HDSG wurden jedoch weitgehende Ausnahmen aufgenommen. Deshalb wird in der Praxis nur noch ausnahmsweise eine Benachrichtigung erforderlich sein. Eine Benachrichtigung ist gem. 18 Abs. 2 HDSG entbehrlich, wenn die Daten beim Betroffenen erhoben oder von ihm mitgeteilt worden sind, die Verarbeitung durch Gesetz ausdrücklich vorgesehen ist, der Betroffene auf andere Weise Kenntnis von der Verarbeitung seiner Daten erlangt hat, die Benachrichtigung des Betroffenen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert Geltendmachen von Einwänden gegen eine rechtmäßige Verarbeitung Begründet ein Betroffener schriftlich, dass einer rechtmäßigen Verarbeitung seiner Daten besondere persönliche Gründe entgegenstehen, ist die Verarbeitung gem. 7 Abs. 5 HDSG nur zulässig, nachdem eine Abwägung im Einzelfall ein Überwiegen des öffentlichen Interesses an der Verarbeitung ergeben hat.

12 3.6.3 Recht auf Einsicht in Verfahrensverzeichnisse Jede Person kann gem. 6 Abs. 2 HDSG Einsicht in die Angaben der von den datenverarbeitenden Stellen einzurichtenden Verzeichnisse nehmen, soweit dadurch die Sicherheit des jeweiligen Verfahrens nicht beeinträchtigt wird. Eine Ausnahme von dem Recht auf Einsicht gilt für Verfahren des Landesamtes für Verfassungsschutz, Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, oder Verfahren der Steuerfahndung Recht auf Berichtigung, Sperrung und Löschung Jede öffentliche Stelle ist gem. 19 Abs. 1 HDSG von Amts wegen verpflichtet, unrichtige personenbezogene Daten zu berichtigen. Wird die Richtigkeit vom Betroffenen bestritten und lässt sich weder die Richtigkeit noch die Unrichtigkeit feststellen, sind die Daten nach Absatz 2 zu sperren, d.h. es ist sicherzustellen, dass die weitere Verarbeitung dieser Daten unterbleibt. Die datenverarbeitende Stelle trägt die Beweislast dafür, dass die Daten des Betroffenen richtig sind. Ist die Verarbeitung personenbezogener Daten unzulässig oder steht fest, dass ihre Speicherung nicht mehr erforderlich ist, um den Zweck zu erfüllen, für den sie erhoben worden sind, so sind sie gem. 19 Abs. 3 und 4 HDSG zu löschen. Wenn bei der Speicherung noch nicht absehbar ist, wie lange die Daten benötigt werden, ist in regelmäßigen Abständen zu prüfen, ob die Erforderlichkeit der Speicherung noch besteht. Sind die Daten in Akten gespeichert, so sind nicht mehr erforderliche Daten nur zu löschen, wenn die gesamte zur Person geführte Akte nicht mehr benötigt wird Schadenersatz

13 Der Betroffene hat gem. 20 Abs. 1 HDSG einen Anspruch auf Ersatz des durch unzulässige oder unrichtige automatisierte Datenverarbeitung entstandenen Schadens. Für den Schadensersatzanspruch des Betroffenen kommt es nicht auf die Frage des Verschuldens der datenverarbeitenden Stelle an Anrufung des Hessischen Datenschutzbeauftragten Wer annimmt, bei der Verarbeitung seiner persönlichen Daten durch die datenverarbeitende Stelle in seinen Rechten verletzt worden zu sein, kann sich gem. 28 Abs. 1 HDSG an den Hessischen Datenschutzbeauftragten wenden. 3.7 Wie wird die Einhaltung des Datenschutzes sichergestellt? Jede in 3 HDSG genannte öffentliche Stelle, die personenbezogene Daten verarbeitet, hat sicherzustellen, dass die Vorschriften über den Datenschutz eingehalten werden. Das HDSG sieht verschiedene Mittel zur Kontrolle sowie technische und organisatorische Maßnahmen vor, um die Ausführung dieses Gesetzes zu gewährleisten Verfahrensverzeichnis Damit die von diesem Gesetz verlangte Transparenz gewährleistet ist und regelmäßig überprüft werden kann, ob der Umgang mit personenbezogenen Daten den datenschutzrechtlichen Anforderungen entspricht, haben die datenverarbeitenden Stellen gem.

14 6 Abs. 1 HDSG ein vollständiges Verzeichnis der eingesetzten Verfahren zu führen, das ständig aktualisiert werden muss Verfahrensverzeichnis). Das aufwendige und wenig effektive Verfahren, jede Datei und deren Änderung beim Hessischen Datenschutzbeauftragten zwecks Führung eines Dateienregisters zu melden, ist mit der Neuregelung des HDSG 1998 entfallen. Inhaltlich stellt das HDSG 1998 in 6 also nicht mehr auf die Beschreibung jeder Datei, sondern auf die Beschreibung von Verfahren ab. Ein Verfahren ist die Gesamtheit aller automatisierten Verarbeitungsschritte zur rechtmäßigen Erfüllung eines bestimmten Verwaltungszweckes. Auf Basis der Beschreibung des Verfahrens lassen sich die notwendigen Datenschutzanforderungen in der Gesamtschau besser beurteilen. Das Verfahrensverzeichnis führt nunmehr der behördliche Datenschutzbeauftragte der Stelle, die die Daten verarbeitet. Für gemeinsame Verfahren, d.h. Verfahren, die mehreren Stellen gemeinsam die Verarbeitung personenbezogener Daten ermöglichen, sind Besonderheiten auch bei der Aufstellung des Verfahrensverzeichnisses zu beachten ( 15 HDSG). Das Hessische Innenministerium hat Hinweise zur Führung des Verfahrensverzeichnissses herausgegeben (StAnz 1999, S ff.). Dort ist insbesondere erläutert, wann ein Verfahrensverzeichnis zu erstellen ist und welche Angaben aufzunehmen sind. Auch die Besonderheiten für gemeinsame Verfahren sind dort erläutert. Muster für Verfahrensverzeichnisse sind abgedruckt. Sie sind als Papierformular (zu beziehen bei der Oberfinanzdirektion Frankfurt am Main - Referat Beschaffungswesen -, Rheingaustraße 186, Wiesbaden; Vordruck Nr ) oder in automatisierter Form (im Landesintranet unter der Adresse: oder im Internet unter der Adresse: erhältlich Vorabkontrolle Jede automatisierte Datenverarbeitung ist vor ihrem Einsatz daraufhin zu kontrollieren, ob sie Datenschutzrisiken enthält und welche Maßnahmen ergriffen sind, um eine Beeinträchtigung der die durch dieses Gesetz geschützten Rechte der Betroffenen zu vermeiden ( 7 Abs. 6 HDSG). Verantwortlich für die Vorabkontrolle ist die für den Einsatz oder die Änderung des Verfahrens zuständige Stelle. Das ist diejenige Stelle, die die Entscheidung über den Einsatz trifft. Bei der Vorabkontrolle ist ausgehend von der zu erfüllenden Aufgabe das beabsichtigte Verfahren im Hinblick darauf zu beurteilen, ob und wo es Risiken für das Persönlichkeitsrecht der Betroffenen enthalten kann, und es müssen diejenigen Maßnahmen aufgezeigt oder entwickelt werden, die diese Risiken vermeiden oder dem Schutzniveau entsprechend angemessen minimieren. Die für die Vorabkontrolle zuständige Stelle muss das Ergebnis aufzeichnen und der behördliche Datenschutzbeauftragte hat es zu prüfen. Bei gemeinsamen Verfahren ist das Ergebnis der Vorabkontrolle zusammen mit den Angaben zum Verfahrensverzeichnis dem Hessischen Datenschutzbeauftragten vorzulegen.

15 3.7.3 Technische und organisatorische Maßnahmen Ein wichtiger Bereich zur Sicherstellung des Datenschutzes sind die in 10 Abs. 2 HDSG konkretisierten technischen und organisatorischen Maßnahmen, die getroffen werden müssen, damit personenbezogene Daten vor Missbrauch, Fehlern und Unglücksfällen möglichst sicher sind. Das HDSG verzichtet bewusst auf die Beschreibung einer speziellen Technik oder eines speziellen Verfahrens, um die Vorschrift für technische Weiterentwicklungen offen zu halten. Im Einzelnen haben die datenverarbeitenden Stellen die dem jeweiligen Stand der Technik entsprechenden Maßnahmen zu treffen, die erforderlich und angemessen sind, damit Unbefugte keinen Zutritt zur EDV-Anlage erhalten (Zutrittskontrolle), Unbefugte an der Benutzung der Verfahren gehindert werden (Benutzerkontrolle), die zur Benutzung Befugten nicht auf Daten zugreifen können, für die sie keine Berechtigung haben (Zugriffskontrolle), personenbezogene Daten nicht unbefugt oder zufällig verarbeitet werden (Datenverarbeitungskontrolle), es möglich ist, festzustellen, wer welche Daten zu welcher Zeit verarbeitet hat (Verantwortlichkeitskontrolle), Daten, die im Auftrag verarbeitet werden, nur entsprechend der Weisung verarbeitet werden (Auftragskontrolle), durch eine Dokumentation des Verfahrens die Überprüfbarkeit möglich ist (Dokumentationskontrolle), die innerbehördliche oder innerbetriebliche Organisation den Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). In die Abwägung, welche Maßnahmen erforderlich und angemessen sind, ist immer auch die Art der zu verarbeitenden Daten, also deren Sensibilität einzubeziehen Auswahl von automatisierten Datenverarbeitungsverfahren

16 Die Vorschrift des 10 Abs. 2 Satz 1 HDSG stellt sicher, dass der Grundsatz der Datensparsamkeit ( 11 HDSG) auch bei der automatisierten Datenverarbeitung gewahrt wird. Es dürfen nämlich nur solche Verfahren eingesetzt werden, die gewährleisten, dass eine unzulässige Datenverarbeitung, insbesondere die Speicherung und Verarbeitung von mehr Daten, als dies Rechtsgrundlage und Zweck erfordern, ausgeschlossen ist Behördlicher Datenschutzbeauftragter Eine der wichtigsten Maßnahmen um sicherzustellen, dass die datenschutzrechtlichen Bestimmungen umgesetzt und eingehalten werden, ist die Verpflichtung der datenverarbeitenden Stellen, gem. 5 Abs. 1 HDSG schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen, der für die Wahrnehmung seiner Aufgaben die erforderliche Sachkenntnis und Zuverlässigkeit besitzen muss. Zum behördlichen Datenschutzbeauftragten darf nur bestellt werden, wer dadurch nicht in Interessenkonflikt mit seinen sonstigen Aufgaben kommt. Mit der Novellierung des HDSG 1998 wurde die Stellung des behördlichen Datenschutzbeauftragten gestärkt und sein Aufgabenbereich konkreter und deutlicher geregelt. Neu aufgenommen wurde: die Weisungsfreiheit das Benachteiligungsverbot die Pflicht zur Freistellung von sonstigen Aufgaben in dem Umfang wie es für die Aufgabenwahrnehmung erforderlich ist sowie das Recht aller Beschäftigten, sich ohne Einhaltung des Dienstweges an den behördlichen Datenschutzbeauftragten zu wenden. Durch die unmittelbare Unterstellung des behördlichen Datenschutzbeauftragten unter die Leitung der Dienststelle bzw. des hauptamtlichen Beigeordneten gem. 5 Abs. 1 HDSG erhält er bessere Einflussmöglichkeiten, Datenschutz direkt vor Ort durchzusetzen. Um Unklarheiten über die Aufgaben und Kompetenzen des behördlichen Datenschutzbeauftragten zu vermeiden, wurde in 5 Abs. 2 HDSG eine detaillierte Aufgabenauflistung aufgenommen. Ferner wurde in Abs. 2 die Pflicht zur rechtzeitigen und umfassenden Information des behördlichen Datenschutzbeauftragten ausdrücklich vorgeschrieben.

17 3.7.6 Hessischer Datenschutzbeauftragter Zur Kontrolle des Datenschutzes der datenverarbeitenden Stellen wählt der Hessische Landtag den Hessischenb Datenschutzbeauftragten. Er ist gem. 22 HDSG als oberste Landesbehörde in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Der Hessische Datenschutzbeauftragte überwacht gem. 24 HDSG die Einhaltung der Vorschriften dieses Gesetzes bei den datenverarbeitenden Stellen, daneben berät er die Landesregierung sowie die übrigen datenverarbeitenden Stellen und bearbeitet die Eingaben von Betroffenen. Alle datenverarbeitenden Stellen sind gem. 29 Abs. 1 HDSG verpflichtet, ihn bei der Erfüllung seiner Aufgaben zu unterstützen. Insbesondere müssen sie seine Fragen beantworten, ihm Einsicht in alle Unterlagen und Akten gewähren und ihm jederzeit Zutritt zu allen Diensträumen gestatten. Seit der Novellierung von 1998 ist das Recht des Hessischen Datenschutzbeauftragten, an Sitzungen des Landtages und seiner Ausschüsse teilzunehmen und sich zu Fragen im Zusammenhang mit dem Datenschutz zu äußern, gesetzlich festgeschrieben ( 21 Abs. 5 HDSG).