5 HmbDSG - Zulässigkeit der Datenverarbeitung

Transkript

1 Stabsstelle Recht / R Datenschutzbeauftragter Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ( ) 5 HmbDSG - Zulässigkeit der Datenverarbeitung (1) 1 Die Verarbeitung personenbezogener Daten ist nur zulässig, soweit 1. dieses Gesetz oder eine besondere Rechtsvorschrift über den Datenschutz sie erlaubt oder 2. die Betroffenen eingewilligt haben. 2 Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben ist nur zulässig, soweit 1. die 15, 27 bis 30 oder eine besondere Rechtsvorschrift über den Datenschutz sie erlaubt, 2. die Betroffenen ausdrücklich eingewilligt haben, 3. es sich um Daten handelt, die die Betroffenen offensichtlich öffentlich gemacht haben, 4. sie zum Schutz lebenswichtiger Interessen der Betroffenen oder Dritter erforderlich ist und die Betroffenen aus rechtlichen oder tatsächlichen Gründen außer Stande sind, ihre Einwilligung zu geben, 5. sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

2 6. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl zwingend erforderlich ist oder 7. sie zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und durch ärztliches Personal oder sonstige Personen erfolgt, die einem entsprechenden Berufs- oder besonderen Amtsgeheimnis unterliegen. 3 Satz 2 gilt nicht für 1. die Verarbeitung personenbezogener Daten zur Wahrnehmung von Aufgaben der Gefahrenabwehr und der Verfolgung von Straftaten sowie 2. die nicht-automatisierte Verarbeitung personenbezogener Daten außerhalb von Dateien. 4 Vor der Entscheidung, personenbezogene Daten nach Satz 2 Nummer 6 zu verarbeiten, ist die bzw. der behördliche Datenschutzbeauftragte oder, falls keine behördliche Datenschutzbeauftragte bzw. kein behördlicher Datenschutzbeauftragter bestellt wurde, die bzw. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zu hören. (2) 1 Die Einwilligung in die Verarbeitung personenbezogener Daten bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 2 Gegenstand, Inhalt und Umfang der erlaubten Verarbeitung, insbesondere die Art der Daten, die Adressaten der Übermittlung, der Verwendungszweck und die Dauer der Aufbewahrung, sind in der Einwilligungserklärung klar und verständlich zu bezeichnen; die Betroffenen sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen können. 3 Wird die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. 4 Die Einwilligung ist unwirksam, wenn sie durch unangemessene Androhung von Nachteilen, durch fehlende Aufklärung oder in sonstiger, gegen die Gebote von Treu und Glauben verstoßender Weise erlangt wurde.

3 (3) 1 Machen Betroffene schriftlich den Einwand geltend, dass einer Verarbeitung ihrer personenbezogenen Daten schutzwürdige, sich aus ihrer besonderen persönlichen Lage ergebende Gründe entgegenstehen, so ist die weitere Verarbeitung nur zulässig, nachdem eine Abwägung im Einzelfall ergeben hat, dass die geltend gemachten Gründe hinter dem öffentlichen Interesse an der Verarbeitung zurückstehen müssen. 2 Satz 1 gilt nicht, soweit die Verarbeitung personenbezogener Daten 1. auf einer Einwilligung der Betroffenen beruht oder 2. zur Erfüllung einer rechtlichen Verpflichtung der Daten verarbeitenden Stelle erforderlich ist. 3 Wird dem Einwand entsprochen, so sind unverzüglich die Stellen zu verständigen, denen die Daten übermittelt worden sind; die Verständigung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und schutzwürdige Interessen der Betroffenen nicht entgegenstehen. 4 Wird dem Einwand nicht entsprochen, so sind die Betroffenen darauf hinzuweisen, dass sie sich an die Hamburgische Beauftragte bzw. den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wenden können. (4) 1 Die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung technischer Einrichtungen haben sich auch an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und weiter zu verarbeiten. 2 Dabei ist jeweils zu prüfen, inwieweit es möglich ist, personenbezogene Daten anonym oder pseudonym zu verarbeiten. 3 Erforderlich sind Maßnahmen zur anonymen oder pseudonymen Datenverarbeitung nur, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzwürdigkeit der Daten steht.

4 Erläuterungen zum Hamburgischen Datenschutzgesetz (vom 5. Juli 1990, zuletzt geändert am 5. April 2013 Quelle: Zu 5 (Zulässigkeit der Datenverarbeitung) Die Vorschrift vereinigt mehrere Prinzipien, die bei der Datenverarbeitung personenbezogener Daten einzuhalten sind: das Verbot mit Erlaubnisvorbehalt (Abs. 1, S. 1) den erhöhten Schutzbedarf besonders sensibler Datenarten (Abs. 1, S. 2) die Freiwilligkeit, Informiertheit und Widerruflichkeit einer Einwilligung (Abs. 2) die Berücksichtigung besonderer persönlicher Einwände (Abs. 3) Datenvermeidung und Datensparsamkeit (Abs. 4). Absatz 1, Satz 1 Jede Verarbeitung personenbezogener Daten durch eine öffentliche Stelle greift mehr oder weniger stark in Grundrechte der Person ein, über die die Daten Informationen offenbaren (Betroffene, 4 Abs. 1). Im Volkszählungsurteil von 1983 hat das Bundesverfassungsgericht aus Art. 1 Abs. 1 Grundgesetz (Menschenwürde) und Art. 2 Abs. 1 GG (Persönlichkeitsrecht) ein Grundrecht auf informationelle Selbstbestimmung abgeleitet die Befugnis des Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. (BVerfGE 65, 1 ff.). Dieses Grundrecht gilt jedoch nicht unbegrenzt, es wird nach Art. 2 Abs. 1 GG vielmehr durch die Rechte anderer eingeschränkt. Damit sind normenklare, verhältnismäßige gesetzliche oder auf einem Gesetz beruhende Rechtsverordnungen im Allgemeininteresse gemeint, die ausdrücklich die Verarbeitung personenbezogener Daten zum Gegenstand haben. Die Einwilligung durch die betroffene Person ist unmittelbare Wahrnehmung der informationellen Selbstbestimmung, also Grundrechtsausübung, und kann damit allerdings in Grenzen, siehe unten Abs. 2 grundsätzlich ebenfalls eine Verarbeitung von Daten der einwilligenden Person durch öffentliche Stellen rechtfertigen. Absatz 1, Satz 2 Die neu angefügten Sätze 2 und 3 setzen die Bestimmungen des Artikels 8 der EG-Datenschutzrichtlinie über die Verarbeitung besonderer Kategorien personenbezogener Daten (sogenannte sensitive Daten) um. Aufgrund der Richtlinie war die Vorschrift ungeachtet möglicher Probleme, die ihre Anwendung nach sich ziehen kann, zwingend in das Hamburgische Datenschutzgesetz aufzunehmen. Mit Schwierigkeiten ist insbesondere in Fällen zu

5 rechnen, in denen Betroffene selbst der Verwaltung Daten der genannten Art offenbaren, ohne dass eine besondere Rechtsvorschrift die Datenverarbeitung zulässt. Zu denken ist etwa an Eingaben, in denen Petenten ihre politischen Anschauungen oder gesundheitlichen Verhältnisse kundtun (Bü-Drs. 16/3995 zu Nr. 6 ( 5) Abs. 1). Nr. 1 (besondere Rechtsvorschrift) verweist z.b. auf Regelungen zur Kirchensteuererhebung, auf das Gesetz für Hilfen und Schutzmaßnahmen bei psychischen Krankheiten oder das Hamburgische Krankenhausgesetz. Weltanschauliche Überzeugungen können auch zulässiger Gegenstand der Datenverarbeitung nach dem Hamburgischen Verfassungsschutzgesetz sein. Nr. 2 fordert bei einer Einwilligung in die Verarbeitung sensitiver Daten, dass sie ausdrücklich, d.h. im Hinblick auf die besondere Schutzbedürftigkeit, erklärt wurde. Auch die weiteren Nummern des S. 2 beruhen auf Einzelbestimmungen von Art. 8 Abs. 2 4 der EU- Datenschutzricht-linie, die zu übernehmen waren. Absatz 1, Satz 3 Der neu eingeführte Satz 3 schließt anknüpfend an den beschränkten Geltungsbereich der EG-Datenschutzrichtlinie (Art. 3) die Datenverarbeitung zur Wahrnehmung von Gefahrenabwehr- und Strafverfolgungsaufgaben sowie die nicht automatisierte Verarbeitung außerhalb von Dateien von der Anwendung des Satzes 2 aus. Damit bleibt es insbesondere auch in den eingangs genannten Fällen möglich, sensitive Daten in nicht weiter strukturierten Vorgangsakten zu führen, so dass den Anforderungen einer ordnungsgemäßen Verwaltung in jedem Fall genügt werden kann Aufgrund der Nichtgeltung des Satzes 2 (bleibt es) bei den allgemeinen Voraussetzungen für die Zulässigkeit der Datenverarbeitung nach 5 Absatz 1 Satz 1. Auch die schon bisher aus grundrechtlichen Erwägungen herzuleitende Forderung,dass bestimmte Datenverarbeitungen aufgrund ihrer Sensitivität in jedem Falle einer bereichsspezifischen Grundlage bedürfen, bleibt unberührt (Bü-Drs. 16/3995 zu Nr. 6 ( 5) Abs. 1, am Ende). Absatz 1, Satz 4 S. 4 ergänzt S. 2 Nr. 6 (Abwehr von Gemeinwohlnachteilen) durch eine obligatorische Anhörung des bzw. der behördlichen Datenschutzbeauftragten oder der bzw. des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Angesichts der sehr allgemein formulierten Tatbestandsmerkmale bildet diese Anhörung eine notwendige zusätzliche Sicherungsvorkehrung für die Betroffenen.

6 Absatz 2 In Umsetzung der Europäischen Datenschutzrichtlinie von 1995 sieht die Vorschrift vor, dass Behörden und andere öffentliche Stellen ebenso wie nicht-öffentliche Stellen personenbezogene Daten aufgrund einer Einwilligung der betroffenen Person verarbeiten dürfen. Auch wenn in Abs. 2 strenge Anforderungen an eine gültige Einwilligung gestellt werden, ist vorab zu klären, ob die beabsichtigte Datenverarbeitung überhaupt zum übertragenen Aufgabenbereich oder zumindest zur Annex-Kompetenz der öffentlichen Stelle gehört. Denn anders als nicht-öffentliche Stellen genießt der Staat grundsätzlich keine Vertrags- oder allgemeine Handlungsfreiheit; vielmehr ist er umgekehrt an die Grundrechte der Bürgerinnen und Bürger und an eine verfassungsrechtlich vorgegebene Zuständigkeitsstruktur gebunden. Staatliche Stellen der Eingriffs- und Leistungsverwaltung handeln aufgrund gesetzlicher Aufgabenübertragungen und Ermächtigungen, die ihren Aktionsradius festlegen und rechtsstaatlich begrenzen. Diese demokratische Legitimationsbasis können öffentliche Stellen grundsätzlich nicht durch das Einholen von Einwilligungen ausdehnen. Gesetzlich gewollte Legitimationslücken dürfen nicht durch Einwilligungen überbrückt werden. So hat z.b. das Bundessozialgericht entschieden, dass gesetzliche Krankenkassen von den Krankenhäusern nur die im Sozialgesetzbuch festgelegten Daten erheben dürfen und weitere Daten auch nicht durch eine Einwilligung der Versicherten erlangen können. Einwilligungen im öffentlichen Bereich kommen deswegen nur dann in Betracht, wenn eine öffentliche Stelle wie eine private Stelle auftritt oder zulässigerweise im Rahmen einer Annex-Kompetenz zum eigentlichen Aufgabenbereich agiert. Für die erste Möglichkeit mag das fiskalische Handeln der Liegenschaftsverwaltung als Beispiel gelten, für die zweite die Durchführung von Zufriedenheits- oder Statistik-Umfragen unter den betroffenen Verwaltungs- Kunden. Entscheidend ist, dass die um die Einwilligung gebetene Person vollständig frei ist, die Einwilligung zu erteilen oder abzulehnen, ohne dass die Entscheidung irgendwelche Konsequenzen für das Verhältnis des Bürgers zur öffentlichen Stelle hat (vgl. 21. TB 2006/2007, 1.). Ist in diesem verfassungsrechtlich vorgegebenen Rahmen eine Einwilligung grundsätzlich zulässig, bestimmt Abs. 2 folgende Bedingungen für die Wirksamkeit: Die Erklärung muss deutlich erkennbar sein und grundsätzlich unterschrieben werden. Geht es um eine Einwilligung im Rahmen von staatlichen Telemediendiensten, ist für die Form und Bedingungen der Einwilligung die Spezialnorm des 13 Abs. 2 Telemediengesetz zu berücksichtigen. Vor einer schriftlichen Einwilligung nach Abs. 2 muss die notwendige Aufklärung über Gegenstand, Inhalt, Umfang, Zweck und Dauer der Datenverarbeitung, die Art der verarbeiteten Daten, mögliche Übermittlungsempfänger, die Folgen einer Ablehnung und das Widerrufsrecht der betroffenen Person informieren.

7 S. 4 betont die notwendige Freiwilligkeit der Einwilligungserklärung durch die beispielhafte Angabe unzulässiger Beeinflussungen. Nach Abs. 2, S. 1 kann bei der Einwilligung von der Schriftform abgesehen werden, wenn dies wegen besonderer Umstände angemessen erscheint. Besondere Umstände können z.b. darin liegen, dass bei der Einwilligung zur Teilnahme an einem Forschungsprojekt (z.b. zu Migranten-Verhalten) eine einseitige Probandenauswahl vermieden werden muss und dies nur über eine mündliche Einwilligung erreicht werden kann, vgl. für den nicht-öffentlichen Bereich 4a Abs. 2 Bundesdatenschutzgesetz. Unter besonderen Umständen kann sogar eine konkludente Einwilligung in Betracht kommen etwa, wenn der Zugang von internationalen Menschenrechts-Kontrollgremien zu Gefangenenakten nicht aufgrund einer (zu späten) individuellen Einwilligung, sondern aufgrund einer allgemeinen vorherigen Ankündigung mit ausdrücklichem Widerspruchsrecht zugelassen wird und die Gefangenen in Kenntnis der Ankündigung auf einen Widerspruch verzichten (23. TB 2010/2011, III 6.2). Absatz 3 Der neu gefasste Absatz setzt Artikel 14 Buchstabe a der EG-Datenschutzrichtlinie über den Widerspruch der betroffenen Person um Der Einwand richtet sich nicht wie der (verwaltungsprozessuale) Widerspruch gegen rechtswidriges oder unzweckmäßiges Verwaltungshandeln, sondern gibt den Betroffenen Gelegenheit, besondere persönliche Gründe geltend zu machen, die gegen die an sich recht- und zweckmäßige Verarbeitung ihrer Daten oder eine bestimmte Art und Weise der Verarbeitung sprechen mögen (Bü-Drs. 16/3995 zu Nr. 6 ( 5,) Abs. 3). Die Regelung gilt in erster Linie für die auf gesetzlichen Vorschriften beruhenden Verarbeitungsfälle. Bei einer auf Einwilligung beruhenden Datenverarbeitung ist es der betroffenen Person zuzumuten, gleich die Einwilligung abzulehnen und nicht erst zuzustimmen und dann prüfungsbedürftige Einwände zu erheben. Ergeben sich z.b. in langfristigen Rechtsverhältnissen aufgrund einer Einwilligung erst später besondere persönliche Verarbeitungshindernisse, kann die betroffene Person die Einwilligung widerrufen, siehe oben zu Abs. 2. Ist die öffentliche Stelle zur Verarbeitung der Daten spezialgesetzlich verpflichtet, hat sie keinen Spielraum für Betroffenen-Einwände. Für beide Fälle schließt S. 2 deswegen das Einwendungsrecht des S. 1 aus. Besteht das Einwendungsrecht, ist die Daten verarbeitende Stelle gehalten zu prüfen, ob die geltend gemachten Gründe dem öffentlichen Interesse an der Verarbeitung vorgehen. Fällt die Abwägung zugunsten der vorgebrachten persönlichen Gründe aus, so ist die weitere Datenverarbeitung unzulässig. Möglich ist auch ein Teilerfolg in dem Sinne, dass nur eine

8 bestimmte Modalität oder Phase der Datenverarbeitung unzulässig wird. Insgesamt werden die Anwendungsfälle der Vorschrift voraussichtlich gering bleiben (Bü-Drs. 16/3995 a.a.o.). Hat der Einwand Erfolg, muss die Daten verarbeitende Stelle mögliche Datenempfänger davon unterrichten, wenn dies keinen unverhältnismäßigen Aufwand erfordert und das schutzwürdige Interesse der Betroffenen die Unterrichtung nicht erfordert. Absatz 4 Zum Grundsatz der Datenvermeidung und Datensparsamkeit hat schon das Bundesverfassungsgericht im Volkszählungsurteil festgestellt, dass bereits bei der Datenerhebung zu prüfen ist, ob das Ziel der Erhebung nicht auch durch eine anonymisierte Ermittlung erreicht werden kann, und dass das Gebot einer möglichst frühzeitigen (faktischen) Anonymisierung, verbunden mit Vorkehrungen gegen eine Deanonymisierung zu beachten ist (BVerfGE 65,1, 48 f.). Die Norm betont einerseits das im Gesetz vielfach ausgedrückte Erforderlichkeitsprinzip: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die gesetzliche Aufgabenerfüllung erforderlich sind. Zum anderen verpflichtet Abs. 4 zur Prüfung, ob das Verarbeitungsziel nicht auch ganz ohne personenbezogene Daten, nämlich anonym etwa durch Barzahlung, mit anonymisierten Daten, oder aber mit pseudonymen Daten erreicht werden kann. Damit verweist Abs. 4 auf 4 Abs. 9 und 10. Pseudonyme Daten sind zwar auch personenbeziehbar und unterfallen damit dem Datenschutzrecht; sie können aber nur durch wenige Berechtigte, die den Schlüssel bzw. die Zuordnungsregel kennen, auf bestimmte Personen bezogen werden. Ebenso wie in 8 bildet ein unangemessener Aufwand im Verhältnis zur Schutzwürdigkeit der Daten eine Grenze für Maßnahmen der Anonymisierung oder Pseudonymisierung. Für Rückfragen und weitere Informationen zum Hochschul-Datenschutz wenden Sie sich bitte an: Bernd Uderstadt Datenschutzbeauftragter der Universität Hamburg sowie der Hamburger Hochschulen HfMT, HFBK, HCU, TUHH und der Staats- und Universitätsbibliothek Hamburg (SUB) - Stabsstelle Recht / R16 - Mittelweg 177 (Rm. N 0051) * D Hamburg datenschutz@verw.uni-hamburg.de / bernd.uderstadt@verw.uni-hamburg.de Dieses Werk bzw. dieser Inhalt steht unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.