JurPC Web-Dok. 124/1998 - DOI 10.7328/jurpcb/1998138122

Hans-Hermann Schild *

Schriftliche Stellungnahme zu dem Entwurf der Landesregierung für ein Drittes Gesetz zur Änderung des Hessischen Datenschutzgesetzes

JurPC Web-Dok. 124/1998, Abs. 1 - 82


- LT-Dr. 14/3830 -
zur Vorbereitung für die mündliche Anhörung vor dem Aussschuß für Informationsverarbeitung, Datenschutz und Verwaltungsreform des Hessischen Landtages am 24. Juni 1998

I. Allgemeines

Der Gesetzentwurf ist als Diskussionsgrundlage zu begrüßen. Insbesondere enthält er einige der von den Datenschutzbeauftragten geforderten innovativen Elemente und sieht erstmals Regelungen für Chipkarten und Videoaufzeichnungen vor. JurPC Web-Dok.
124/1998, Abs. 1
Andererseits wird vorliegend die Chance zu einer umfassenden Novellierung und Ergänzung datenschutzrechtlicher Regelungen in Hessen nicht genutzt, obwohl dies zwingend erforderlich ist. Auch wird durch den Entwurf nur im eingeschränkten Rahmen das Ziel der Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (zukünfig Richtlinie) erreicht. Dies schon deshalb, weil der Entwurf nur eine Änderung des Hessischen Datenschutzgesetzes (HDSG) vorsieht, obwohl richtlinienbedingt eine Anzahl weiterer Gesetze in Hessen geändert werden müßten. Hinzu kommen die durch die Rechtsprechung des BVerfG zum Recht auf informationelle Selbstbestimmung notwendigen bereichsspezifischen Normen und Normenanpassungen, welche bis heute nicht vollständig vollzogen sind.Abs. 2
a) Insbesondere bei den bereichsspezifischen Normen, welche eine statische Verweisung zum jetzigen HDSG (1994) bzw. HDSG (1988) beinhalten und auch der Richtlinie unterliegen, ist eine Anpassung zwingend erforderlich. Beispielshaft seien benannt: § 65 Hessisches Privatrundfunkgesetz, § 12 Hessisches Krankenhausgesetz, § 25 Hessisches Rettungsdienstgesetz, § 36 Abs. 9 Hochschulgesetz und § 83 Hessisches Schulgesetz, welche jeweils statische Verweisungen enthalten und damit die nunmehr geplante Novellierung nicht übernehmen würden. Diese Bereiche unterliegen jedoch der Richtlinie, weshalb sich die Novellierung des hessischen Datenschutzrechts auch hierauf erstrecken muß.Abs. 3
b) Hinzu kommt, daß sowohl beim Hessischen Privatrundfunkgesetz, als auch dem Hessischen Pressegesetz und dem Hessischen Rundfunk Art. 9 der Richtlinie nicht genüge getan wird. Die Unterlassung erfolgt in Kenntnis des letzten Entwurfstandes des BDSG der Bundesregierung (Stand 7. April 1998) zu § 41 Abs. 1 BDSG, worin die Länder - m.E. unzulässigerweise - auf ihre Gesetzgebungskompetenz und damit ihre Umsetzungspflicht in diesem Bereich nochmals ausdrücklich hingewiesen werden. Hier bedarf es zwingend einer richtlinienbedingten Novellierung, welche in dem vorliegenden Entwurf hätte berücksichtigt werden müssen (siehe dazu Empfehlung 1/97 der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten "Datenschutz und Medien", angenommen von der Datenschutzgruppe am 25.02.1997 -WP1).Abs. 4
c) Da es sich bei dem HDSG um ein Querschnittsgesetz handelt, welches in allen Bereichen der Landesverwaltung Anwendung findet, sollte auch überlegt werden, ob es bei der Art der Umsetzung zu Art. 8 der Richtlinie (sensitive Daten) in § 7 Abs. 4 HDSG-Entwurf verbleiben kann. Denn es gibt in der Landesverwaltung vielfältige Bereiche (Schulen, Gesundheitsämter, Strafvollzug, Blindenhilfe), in denen sensitive Daten ohne vorliegende bereichsspezifische Regelungen verarbeitet werden und insoweit ein Rückgriff auf das HDSG erforderlich wird. Hierbei muß auch an Fälle gedacht werden, in denen diese Daten zur Abwehr erheblicher Nachteile für das Allgemeinwohl oder von Gefahren für Leben, Gesundheit und persönliche Freiheit zwingend erforderlich sind. Dies gilt auch, wenn es um die Verfolgung von Straftaten geht.Abs. 5
So werden beispielsweise bereits heute - ohne ausreichende Rechtsgrundlage - beim Staatlichen Medizinal-, Lebensmittel- und Veterinäruntersuchungsamt Mittelhessen von allen Neugeborenen in Hessen seit den siebziger Jahren Blutproben im Rahmen von Screeningverfahren zum vorbeugenden Gesundheitsschutz untersucht und aufbewahrt. Hierzu gehören meines Wissens auch Name, Geburtsdatum und damalige Anschrift. Insoweit liegt hier eine fast vollständige (jedoch bisher noch nicht ausgewertete) DNA-Datei vor, welche für viele Zwecke nutzbar gemacht werden könnte. Die Daten erhielt und erhält diese Behörde immer noch durch Datenverarbeitung im Auftrag durch Krankenhäuser und niedergelassene Ärzte - ohne daß die einschlägigen Normen des HDSG (§ 4) oder BDSG (§ 11 BDSG) beachtet worden sein dürften. § 33 HDSG in jetziger und beabsichtigter Fassung wäre insoweit ebenfalls keine ausreichende Rechtsgrundlage. Denn die Blutkarten wurden im Rahmen einer Auftragsdatenverarbeitung von Ärzten und Krankenhäusern an diese Stelle übermittelt und hätten nach Abschluß der Untersuchung vernichtet werden müssen (da nicht mehr erforderlich). Auch soll es von Hessischen Strafgefangenen solche Screeningunterlagen geben, ohne daß es im Strafvollzugsgesetz eine entsprechende Ermächtigung hierzu gibt und nach dem vorliegenden Gesetzentwurf der Bundesregierung dazu geben wird.Abs. 6
Letztendlich ist eine umfassende Regelung der Verarbeitung sensitiver Daten nach Art. 8 Richtlinie im HDSG erforderlich, da auch das Hessische Krankenhausgesetz keine Regelungen über die Verwendung sensitiver Daten enthält und statt dessen in § 12 Abs. 1 HKHG auf das HDSG verweist (jedoch statische Verweisung, Stand HDSG 1988). Selbst bei einer dynamischen Verweisung dürfte die Einschränkung der Verarbeitung auf das ausschließliche Interesse des Betroffenen mit zwingender Vorabanhörung des Hessischen Datenschutzbeauftragten nicht praktikabel sein und zu einem erheblichen Verwaltungsaufwand führen.Abs. 7
Gleiches gilt für die Religionszugehörigkeit im Rahmen der Unterrichtszuordnung bei Schülern nach dem Hessischen Schulgesetz. Alle diese Gesetze insoweit bereichsspezifisch anzupassen erscheint unter dem Gesichtspunkt, daß Allgemeines in ein allgemeines Gesetz gehört, wenig sinnvoll, da ständige Wiederholungen notwendig wären.Abs. 8
d) Festzustellen ist damit, daß eine Novellierung und Anpassung aller bereichsspezifischen Landesnormen - auch soweit diese noch keine datenschutzrechtlichen Regelungen beinhalten (z.B. Landesblindengeldgesetz) - unbedingt notwendig und im Rahmen der Umsetzung der Richtlinie, aber auch der Entscheidung des Bundesverfassungsgerichts zum Volkszählungsgesetz 1983, zwingend erforderlich ist.Abs. 9
Bezüglich des Landesblindenhilfegesetzes sei auch darauf hingewiesen, daß die Ausführung heute dem Landeswohlfahrtsverband (LWV) obliegt und hier - mangels anderweitiger Regelung - das Hessische Datenschutzgesetz Anwendung findet. Andererseits finden für die Aufgabenwahrnehmung des LWV als Landessozialamt und Hauptfürsorgestelle die Datenverwendungsnormen nach den Sozialgesetzbüchern Anwendung. Zwar verweist das Landesblindengeldgesetz auch auf das Bundesversorgungsgesetz - jedoch nur hinsichtlich der Leistung des Blindengeldes - und das Bundessozialhilfegesetz, also auf Bereiche die der Sozialdatenverarbeitung unterliegen. Warum der Sachbearbeiter beim LWV deshalb vorliegend das HDSG in seiner weiten und offenen Art des Datenumgangs beim Blindengeld anwenden soll, im übrigen jedoch das Sozialgesetzbuch X, ist nicht nachvollziehbar. Im Rahmen eines einheitlichen Datenschutzes und auch einer Verwaltungsvereinfachung ist es zwingend erforderlich, daß insoweit eine Anpassung an die engeren Regelungen des Sozialgesetzbuches und des Sozialgeheimnisses durch entsprechende Bezugnahme im Landesblindenhilfegesetz erfolgt. Nur so wird ein einheitliches und für den Anwender nachvollziehbares Datenschutzrecht gewährleistet.Abs. 10
e) Auch läßt der Entwurf eine Differenzierung bei der Umsetzung der Richtlinie insoweit vermissen, als das HDSG über den Anwendungsbereich der Richtlinie hinaus als Querschnittsgesetz auf Bereiche Anwendung findet, welche nicht dem Gemeinschaftsrecht unterliegen (zweite und dritte Säule). Entgegen § 4 b BDSG-Entwurf fehlt es an einer Differenzierung bezüglich der Bereiche und Daten, welche bei einer Übermittlung an Mitgliedstaaten der EU nicht in den Geltungsbereich der Richtlinie fallen. Daß hier eine ebenso freizügige Datenübermittlung wie im Inland möglich und zulässig sein soll, erscheint verfassungsrechtlich bedenklich, da ein entsprechendes Datenschutzniveau insoweit in dem Mitgliedsstaat nicht vorliegen muß und eine Zweckbindung nicht gewährleistet wird. Es wird insoweit dringend geraten, sich an dem Entwurf der Bundesregierung zu orientieren.Abs. 11
f) Die vom Bundesverfassungsgericht unter rechtsstaatlichen Gesichtspunkten aufgestellte Forderung nach Normenklarheit (Urteil vom 15.12.1983, E 1, 43 f.) sollte auch vorliegend im Interesse eines für den Betroffenen - aber auch für den Anwender - verständlichen Datenschutzes beachtet werden. Dabei sollte nicht nur auf einen Gleichklang der Begriffsbestimmungen zur Richtlinie (dazu unten mehr) und den Landesgesetzen geachtet werden. Besonders wichtig ist dabei die Tatsache, daß von der Landesverwaltung auch eine Vielzahl von Bundesgesetzen ausgeführt wird, welche bereichsspezifische Teilregelungen enthalten (z.B. Ausländergesetz, Straßenverkehrsgesetz, Sozialgesetzbücher, Gewerbe- und Handwerksordnung, Schornsteinfegergesetz und viele mehr), für die im übrigen aber das Landesdatenschutzgesetz (HDSG) als Ergänzung Anwendung findet. Hier ist darauf zu achten, daß keine Widersprüchlichkeiten entstehen. Vorhandene sind zu beseitigen.Abs. 12
Aber auch Landesgesetze sollten keine Widersprüche und Unklarheiten aufweisen. Ein Widerspruch besteht bespielsweise im Hessischen Beamtengesetz. Hier wird in § 107 Abs. 1 Satz 3 HBG bezüglich der Kindergeldakten auf § 35 Abs. 1 SGB I und §§ 67 bis 78 SGB X verwiesen. Auch wenn es sich hier um eine dynamische Verweisung handelt und damit nunmehr die §§ 67 bis 85 a SGB X n.F. bezüglich der Sozialdatenverarbeitung Anwendung finden würden, ist dies seit dem Jahressteuergesetz 1996 vom 20.10.1995 (BGBl. I S. 1250) fraglich. Ist doch seit diesem Zeitpunkt Kindergeld keine Sozialleistung mehr, sondern eine Leistung nach dem "Einkommensteuergesetz" und damit eine Steuerleistung, welche zumindest nach Auffassung der Bundesregierung bei ihrer Bearbeitung nunmehr der Abgabenordnung unterliegt (siehe zu diesem Problembereich Schild, NJW 1996 S. 2414 ff.). Damit würde grundsätzlich die Abgabenordnung Anwendung finden, welche jedoch bis heute nicht die vom BVerfG 1983 geforderte Eingriffsermächtigung bei der Datenverarbeitung enthält. Insoweit findet mangels bereichsspezifischer Regelungen im Steuerrecht das HDSG als Auffanggesetz in Hessen Anwendung, eine Verweisung des Hessischen Gesetzgebers auf das Sozialgeheimnis und die Vorschiften über den Sozialdatenschutz - mangels Sozialleistung - ist fehlerhaft und führt zu unnötigen Anwendungsproblemen (vgl. Demke/Schild, Kommentar zum HDSG, § 34 Erl. VII). Insoweit ist - auch wenn der Bundesgesetzgeber bis heute eine Anpassung des Beamtenrechtsrahmengesetzes an sein neues Kindergeldrecht nicht geschafft hat - der § 107 Abs. 1 Satz 3 HBG zu streichen.Abs. 13
Anderseits wurden durch das Hessische Beamtengesetz abschließend bereichsspezifische Regelungen zu Personalakten eingeführt, weshalb ein Rückgriff auf Zweckänderungen nach § 13 Abs. 4 HDSG zur Kontrolle durch den Hessischen Rechnungshof nur sehr schwer begründbar ist. Insoweit bedürfte es einer klarstellenden Ergänzung von § 107 d HBG, um Kontrollen durch den Rechnungshof ohne Probleme zu ermöglichen.Abs. 14
g) Letztendlich sollte bei der Novellierung des HDSG bereits heute berücksichtigt werden, daß neben dem Datenschutz im öffentlichen Bereich und seiner Überwachung auch die Einhaltung der datenschutzrechtlichen Regelungen im nichtöffentlichen Bereich durch eine Kontrollinstanz des Landes Hessen zu überwachen ist - auch wenn hier das Bundesdatenschutzgesetz Anwendung findet. Hierzu fordert Art 28 Abs. 1 Satz 2 der Richtinie, daß diese Kontrollinstanz ihre Aufgabe in völliger Unabhängigkeit wahrnimmt. § 38 BDSG-Entwurf (Stand April 1998) regelt insoweit "Die Aufsichtsbehörde überwacht in völliger Unabhängigkeit ....". Darüber hinaus entfällt entgegen der bisherigen Regelung im BDSG im Rahmen der Umsetzung der Richtlinie auch die Anlaßkontrolle und es kommen weitere Aufgaben auf die Kontrollbehörde (Aufsichtsbehörde) richtlinienbedingt zu. Insoweit sollte bereits bei der Novellierung des HDSG eine Entscheidung getroffen werden, ob die Aufsicht noch bei den Regierungspräsidenten angegliedert werden kann (wegen fehlender völliger Unabhängigkeit) oder nicht vielmehr eine Lösung beispielsweise wie in Berlin geschaffen werden sollte, bei der die Kontrolle für öffentlichen und nichtöffentlichen Bereich beim Berliner Datenschutzbeauftragten als oberster Landesbehörde zusammengefaßt ist. In diesem Fall wäre der Richtlinie entsprechend der dortigen Konstruktion genüge getan. Deshalb sollten bereits heute die Regelungen bezüglich des Hessischen Datenschutzbeauftragten angepaßt und entsprechend geändert werden, denn die Forderung der Richtlinie ist bereits heute bekannt. Einen ersten Schritt in diese Richtung sieht der Entwurf bei § 22 (Art. 1 Ziffer 17 Entwurfes) bereits vor.Abs. 15
Dies hätte praktisch zur Folge, daß die Richtlinie ordentlich umgesetzt würde, der Bürger nur einen Ansprechpartner in Sachen Datenschutz hätte und - was viel wichtiger sein dürfte - eine Bündelung von Ressourcen in einer Verwaltung stattfindet und nicht Zersplitterung auf drei Regierungspräsidenten mit den entsprechenden mangelhaften Sachausstattungen (vgl. Dr. Breinlinger in Hassemer/Möller, Forum Datenschutz, 25 Jahre Datenschutz, 1996, S. 41 f.). Vorhandene Planstellen müßten nicht vermehrt, sondern nur unter einem Dach zusammengefaßt werden; ein Beitrag zur Optimierung von Verwaltungsaufgaben.Abs. 16
Sollte der Landtag bei der anstehenden Novellierung keine entsprechende Anpassung schaffen, könnte die Landesregierung es entsprechend der Ermächtigung nach § 38 Abs. 6 BDSG bei der seit 1978 geltenden Regelung belassen (noch statischer Bezug auf das erste BDSG von 1977), ohne den Landtag beteiligen zu müssen.
Dies ist aus zwei Gründen problematisch: zum einen wäre dies keine ordnungsgemäße Umsetzung der Richtlinie, zum anderen wird eine Verwaltungsvereinfachung und Ressourcenbündelung mit möglichen Synergieeffekten verhindert; weitere Planstellen - gleich welcher Art der Angliederung bei den RP's - wären zwingende Folge.
Abs. 17
Allerdings dürfte das Amt des Hessischen Datenschutzbeauftragten bei einer Bündelung der Aufgaben dann ein full-time-job sein und wäre für eine Teilzeitwahrnehmung nicht mehr geeignet.Abs. 18

II. Zum Entwurf im Einzelnen:

a) Von besonderer Bedeutung ist, daß der Entwurf sich nicht an den Definitionen der Richtlinie orientiert, sondern Definitionen der automatisierten und nicht-automatisierten Datei gänzlich entfallen läßt. Dafür wird zum einen auf die Verarbeitungsform (automatisiert) und zum anderen auf Akten abgestellt, Akten verstanden als jede der Aufgabenerfüllung dienende Unterlage. Dies hat gewichtige Folgen, welche im weiteren Entwurf wohl nicht vollständig durchdacht wurden.Abs. 19
Zur Akte: da auf die Dateidefinition auch für die nicht-automatisierte Datei gänzlich verzichtet wird, ist grundsätzlich alles Akte, das Konzeptpapier genauso, wie die Diskette oder das Videoband, ja sogar die Chipkarte als Speicher wird damit zur Akte, soweit sie nicht gerade in der automatisierten Verarbeitung ist. Mithin wird Akte alles, was nicht aktuell der automatisierten Verarbeitung unterliegt. Andererseits werden bei bestimmten Bereichen gerade Sonderregelungen für Akten und Aktensammlungen (vgl. Dateibegriff Art. 2 Buchstabe c der Richtlinie) im Entwurf geschaffen. Ganz auffällig ist dies bei § 3 Abs. 3 Satz 2, wonach für Akten bei den Gerichten im Rahmen gerichtlicher Verfahren und bei der Verfolgung von Straftaten und der Strafvollstreckung die wichtigsten Paragraphen über die Datenverarbeitung des HDSG keine Anwendung finden. Bisher fanden diese Regelungen jedoch mangels anderweitiger bereichsspezifischer Regelungen des Bundes in den Verfahrensordnungen auf nicht-automatisierte Dateien Anwendung, was nunmehr durch den Wegfall des Begriffs der nicht-automatisierten Datei nicht mehr der Fall sein wird. Dies hat zur Folge, daß § 1 Abs. 2 Nr. 2 b) BDSG insoweit Anwendung findet, als die Verarbeitungsregelungen im HDSG ausgeschlossen wurden und damit der Dateibegriff und die Verarbeitungsregelungen des BDSG bei der Justiz wieder Anwendung finden. Andererseits hat die Justiz jedoch im übrigen die Regelungen das HDSG zu beachten (ein gelungenes Beispiel der "Normenklarheit", wie sie sich das BVerfG bei seiner Entscheidung vom 15.12.1983 so wohl nicht vorgestellt hat- von der praktischen Handhabung ganz abgesehen).Abs. 20
Insoweit müßte man wohl - wenn man dem Gedanken des Entwurfverfassers folgt - bei dem HDSG-Entwurf gänzlich auf eine Aktendefinition verzichten und nur auf automatisierte und nicht-automatiserte Verarbeitung abstellen. Hinsichtlich des Aktenbegriffs wäre dann auf die jeweilige Verfahrensordnung ZPO, StPO, VwGO usw. abzustellen. Auch müßte bei den übrigen Normen des HDSG der Aktenbegriff herausgenommen werden und stattdessen umschrieben werden als ein Speichermedium, welches nicht der automatisierten Verarbeitung dient (z.B. § 18 und § 19 HDSG). Abs. 21
Damit wird jedoch bewußt von der Richtlinie und ihren Begriffen abgewichen (zu diesem Problem siehe auch meine Anmerkung aus den Datenschutzbehörden in DuD 1997 S. 444 f.). Ob dies sinnvoll ist, erscheint fraglich, zumal im Hinblick auf die Auffangzuständigkeit des HDSG bei der Anwendung von Bundesnormen auf die Betroffenen und die Anwender erhebliche Verständnisschwierigkeiten und gesetzliche Unklarheiten zukommen werden, welche weder dem Gebot der Normklarheit entsprechen, noch eine effektive Verwaltung erwarten lassen, wie bereits heute bestehende Unterschiede zwischen Bundes- und Landesrecht zeigen.Abs. 22
b) Auch wird bei § 37 (Hessischer Rundfunk) nur eine redaktionelle Änderung im Entwurf vorgesehen, ohne Art. 9 der Richtlinie zu beachten (eine Begründung der LReg fehlt). Abs. 23
Soweit nach § 37 Abs. 2 HDSG ein Beauftragter für den Datenschutz für den Bereich der journalistisch-redaktionellen Daten zu bestellen ist, welcher an die Stelle des Hessischen Datenschutzbeauftragten tritt, ist dies nicht richtlinienkonform. Auch im journalistisch-redaktionellen Bereich bedarf es der nach Kapitel VI vorgeschriebenen Kontrollstelle. Nur hinsichtlich der Befugnisse der Kontrollstelle sind Abweichungen und Ausnahmen zulässig. Insoweit können nach der Richtlinie im Bereich der journalistisch-redaktionellen Daten allenfalls die Kontrollbefugnisse des Hessischen Datenschutzbeauftragten als Kontrollstelle eingeschränkt, nicht jedoch gänzlich ausgeschlossen werden. Will man es bei der bisherigen Regelung belassen, ist insbesondere zu prüfen, welche Aufgaben und Rechte nach Art. 28 Abs. 3 der Richtlinie im Rahmen der Abwägung ausgenommen werden sollen. Auch muß eine "völlige Unabhängigkeit" nach Art 28 Abs. 1 Satz 2 der Richtlinie gewährt werden, was durch die Worte "frei von Weisungen" nicht ausreichend geschieht, fehlt doch bereits der Zusatz, entsprechend § 5 Abs. 1 Satz 3 HDSG-Entwurf, daß er nicht benachteiligt werden darf. Ein Kriterium, was zwar für den internen Datenschutzbeauftragten ausreichend wäre, nicht jedoch für Art. 28 Abs. 1 der Richtlinie, welche eine (oder mehrere) öffentliche Stellen vorschreibt, welche die einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet überwachen. Soll doch der Beauftragte nach § 37 HDSG nicht vom Staat, sondern vom staatsfernen Rundfunkrat bestellt werden, weshalb bereits insoweit keine "öffentliche" Stelle vorliegt, von der Unabhängigkeit ganz zu schweigen, wenn die Dienstaufsicht vom Verwaltungsrat ausgeübt wird (siehe zur Problematik der Unabhängigkeit der Kontrollstelle bereits oben I. g). Abs. 24
Auch ist nicht ersichtlich, inwieweit auf die Rechte des Betroffenen nach Art. 12 der Richtlinie (Auskunftsrechte)gänzlich verzichtet werden kann. Insoweit ist eine Ergänzung vorzunehmen (siehe insoweit Textvorschlag zu § 37 HDSG am Ende). Auch fehlt ein Eingehen auf das Widerspruchsrecht nach Art. 14 der Richtlinie.Abs. 25
Außerdem fehlt eine Regelung hinsichtlich der möglichen geschäftsmäßigen Veröffentlichung von personenbezogenen Daten aus Medienarchiven des Hessischen Rundfunks. Hier dürfte im Hinblick auf die Lebach-Entscheidung des BVerfG vom 5.06.1973 (1 BvR 536/72, E 35, 202, ff. = NJW 1973, 1226) ein Anspruch auf Vergessen nach einem bestimmten Zeitraum (fünf Jahren) bereits von Verfassungs wegen bei gewerblicher Nutzung geboten sein, weshalb eine zeitliche Beschränkung aufzunehmen ist (siehe insoweit Textvorschlag zu § 37 HDSG am Ende).Abs. 26
c) Zu den Änderungsvorschlägen des Entwurfes im einzelnen:

Zu § 2:

Der Entwurf beläßt es bei der datenverarbeitenden Stelle, ohne die verantwortliche Stelle i. S. von Art. 2 Buchstabe d der Richtlinie zu definieren. Nur aus § 4 Abs. 1 Satz 1 Entwurfsfassung ergibt sich indirekt, daß die datenverarbeitende Stelle die verantwortliche Stelle ist.Abs. 27
Bei der Definition des Dritten (Art. 1 Ziffer 3 b Entwurf) in Absatz 4 wird der Anwendungsbereich der Richtlinie nicht ausreichend berücksichtigt. Dritter sollte nur die Stelle innerhalb der Staaten der EU sein, welche unter den Anwendungsbereich der RiLi fällt (siehe zum Anwendungsbericht Art. 3 Abs. 2 1. Spiegelstrich der Richtlinie). Insoweit sollte der Entwurf des BDSG Berücksichtigung finden.Abs. 28
Zu Art. 1 Ziffer 3 d Entwurf, der Aktendefinitionsiehe bereits oben. Eine Datei im Sinne von Art. 2 Buchstabe c der Richtlinie sieht der Entwurf nicht vor, obwohl hierunter bereits eine beachtliche Anzahl der Aktenbestände fallen (Sammlungen, die nach bestimmten Kriterien zugänglich sind).Abs. 29
Zu Art. 1 Ziffer 3 e Entwurf: Einer Übergangsdefinition der "Datei" für andere bereichsspezifische landesrechtliche Normen bedarf es nicht. Nur in § 20 HSOG und in der Prüffristenverordnung wird die Datei - ohne Differenzierung zwischen automatisierter und nicht-automatiserter Datei - erwähnt. Hier sollte - so man auf den Dateibegriff endgültig verzichten will - eine entsprechende Änderung des HSOG erfolgen. Die Verordnung über die Verarbeitung personenbezogener Daten in Schulen enthält zwar neben dem Dateibegriff auch den der automatisierten Datei. Sie muß jedoch im Hinblick auf ihre vielen Verweise auf das HDSG sowieso angepaßt werden.Abs. 30
Nicht gelöst ist damit jedoch die Herstellung einer gleichen Begrifflichkeit zum BDSG und den bereichsspezifischen Gesetzen des Bundes, welche durch die Landesverwaltung durchgeführt werden, wie bereits zuvor ausgeführt.Abs. 31

Zu § 3:

Die Änderung nach Art. 1 Ziffer 4 a) bb) Entwurfbezüglich der Beliehenen dürfte zu Auslegungsschwierigkeiten führen. Der vorhergehende Satz stellt gerade nicht klar, daß das Gesetz für beliehene Unternehmer gilt, wenn auf die Wahrnehmung hoheitlicher Aufgaben der Stellen nach § 3 Abs. 1 Satz 1 abgestellt wird. So könnte man bei Beleihungen, welche durch Bundesgesetz vorgesehen sind - wie bei Schornsteinfegern - auf die Idee kommen, daß sie nicht dem HDSG unterliegen und damit dem BDSG unterliegen sollen, da sie hoheitliche Aufgaben wahrnehmen, die ihnen bereits durch Bundesgesetz zugeschrieben sind. Sollte dies wirklich so gewollt sein, wäre eine Klarstellung zumindest in der amtlichen Begründung erforderlich gewesen. So käme man zu einer Anwendung des HDSG nur, wenn man Schornsteinfeger der Landesverwaltung zuschreibt, was nur unter Zuhilfenahme des achten Abschnittes des Grundgesetzes möglich ist, wieder ein Problem der Normklarheit zu Lasten der Betroffenen.Abs. 32
Die Aufnahme des Gnadenverfahrens in Absatz 3 (Art. 1 Ziffer 4 b Entwurf) ist verfassungsrechtlich nicht unproblematisch. Entweder unterliegt das Gnadenverfahren - was höchst zweifelhaft ist - dem Gemeinschaftsrecht im Anwendungsbereich der Richtlinie, dann ist ein Ausnehmen der wichtigsten Datenverarbeitungsregelungen schon aus diesem Grunde unzulässig, oder das Gnadenverfahren fällt nicht unter die Richtlinie, dann unterliegt der Umgang mit personenbezogenen Daten in diesem Bereich - genauso wie in jedem anderen - Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, d.h. es bedarf einer "gesetzlichen" Regelung (vgl. Demke/Schild, HDSG-Kommentar, § 3 Erl. IV.) - durch den Herrn des Gnadenverfahrens.Abs. 33

Zu § 4:

Die Aufnahme von Berufs- und Amtsgeheimnissen, welche einer Auftragsdatenverarbeitung entgegenstehen, wird im Hinblick auf den derzeitigen Diskussionsstand gerade auch im Hinblick auf § 12 HKHG begrüßt. Wird damit doch entgegen der bisherigen Auffassung des Hessischen Datenschutzbeauftragten eine Datenauftragsverarbeitung im Krankenhausbereich auch bei Schreibarbeiten ausdrücklich ausgeschlossen, so daß die Änderung entgegen der Begründung gerade keine deklaratorische Bedeutung hat (vgl. Demke/Schild, a.a.O., § 4 Erl. I. letzter Absatz), sondern eine Abkehr von der bisherigen Rechtslage darstellt. Abs. 34
Art. 1 Ziffer 5 e Entwurf, mit dem die Fremd- und Fernwartung in § 4 Abs. 4 nunmehr wie eine Datenverarbeitung im Auftrag zu behandeln ist, schafft zunächst in diesem umstrittenen Bereich eine gewisse Rechtsklarheit. Ob die zwingende Schriftform nach § 4 Abs. 2 sich jedoch auch bei Fernwartung im Rahmen plötzlicher Probleme durchhalten läßt, erscheint nach den bisherigen praktischen Erfahrungen mit Fernwartungen - z.B. bei plötzlichen Betriebsausfällen - äußerst zweifelhaft. In solchen Eilfällen sollte eine Auftragsvergabe im Rahmen einer zwingenden Beteiligung des behördlichen Datenschutzbeauftragten durch die Dienststelle bzw. durch die anschaffende Behörde auch in anderer geeigneter Form der Dokumentation möglich sein.Abs. 35

Zu § 5:

Die Regelung zum behördlichen Datenschutzbeauftragten ist im wesentlichen im Sinne der Richtline (Art. 1 Nr. 6 des Entwurfes).Abs. 36
In Absatz 1 sollte jedoch aufgenommen werden, daß die datenverarbeitende Stelle einschließlich der Personalvertretung/des Richterrates den behördlichen Datenschutzbeauftragten zu unterstützen und ihm die erforderlichen Informationen zu gewähren hat. Dabei wäre eine gesetzgeberische Entscheidung für ein Kontrollrecht gegenüber der Personalvertretung/dem Richterrat im Hinblick auf die Entscheidung des Bundesarbeitsgerichts vom 11.11.1997 (Az. 1 ABR 21/97) - unter Zugrundelegung eines funktionalen Stellenbegriffs - notwendig, da man ansonsten die Auffassung vertreten könnte, daß die Personalvertretung als selbstständige datenverarbeitende Stelle für sich selbst einen Datenschutzbeauftragten bestellen müßte.Abs. 37
Nicht ausreichend und klar gelöst ist das Problem, wenn Hard- und Software nicht durch die verantwortliche Stelle, sondern durch eine vorgesetzte Behörde für diese zentral beschafft werden. Der Datenschutzbeauftragte der vorgesetzten Behörde ist nicht unbedingt betroffen, wenn die Maßnahme bei seiner Stelle nicht greift. Der örtliche Datenschutzbeauftragte erfährt erst nach Beschaffung der Hard- und Software davon, so daß eine sinnvolle Beteiligung nicht gewährleistet wird. So sieht z.B. die Dienstanweisung Datenschutz des Hess. VGH vor, daß derzeit Datei- (Verfahrens-) Beschreibungen bei Anschaffung durch den VGH von diesem erfolgen. Eine ordentliche Beteiligung des örtlichen Datenschutzbeauftragten ist jedoch nicht aufgenommen und durch die Zuordnung des Datenschutzbeauftragten zur datenverarbeitenden Stelle nach dem Entwurf auch weiterhin nicht gewährleistet.Abs. 38
Ferner bedarf die gesetzlich vorgesehene Bestellung eines Vertreters einer Pendantregelung im Hessischen Personalvertretungsrecht usw., da die Beteiligungsrechte für die Bestellung des Datenschutzbeauftragten ausdrücklich geregelt wurden. Andernfalls sind Probleme - wie bei der stellvertretenden Frauenbeauftragten - mit der Personalvertretung im gerichtlichen Verfahren vorprogrammiert.Abs. 39
Daß nach § 5 Abs. 3 auch private Personen, welche nicht einer Stelle nach § 3 Abs. 1 HDSG angehören, zum Datenschutzbeauftragten einer Stelle bestellt werden können, erscheint bedenklich und mit der Intention der bisherigen und der neuen Regelung des § 5 nicht in Übereinstimmung zu bringen. Ist doch die Kenntnis vor Ort, das Wissen um Verfahrensabläufe usw. von entscheidender Bedeutung für eine ordnungsgemäße Wahrnehmung der Aufgaben des Datenschutzbeauftragten. Insoweit sollte in § 5 Abs. 3 Satz 3 die Worte "Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören,"durch die Worte: "Bestellungen nach Satz 1 und 2" ersetzt werden.Abs. 40
Durch die Beschränkung auf Beschäftigte von datenverarbeitenden Stellen nach § 3 Abs. 1 HDSG ist die Meldepflicht an den Hessischen Datenschutzbeauftragten ausreichend, ohne daß es einer Eingriffsbefugnis seinerseits bedarf, um einen Datenschutzbeauftragten seines Amtes zu entbinden, weil beispielsweise die Anzahl der von dem Datenschutzbeauftragten zu betreuenden Stellen so hoch wäre, daß eine ordnungsgemäße Aufgabenerfüllung nicht mehr gewährleistet ist.Abs. 41
Da nunmehr eine Bestellung eines Vertretersentsprechend der geläufigen Praxis gesetzlich vorgeschrieben ist, würde durch eine Beschränkung auf Beschäftigte der datenverarbeitenden Stellen nach § 3 Abs. 1 die Regelung des § 5 Absatz 3 vielfältige Synergieeffekte möglich machen, welche zum einen zu einer qualifizierten Ausführung des § 5 und zum anderen zu einer Kosteneinsparung führen können. Besteht doch so die Möglichkeit, einen Mitarbeiter eines Verwaltunsgzweiges als Datenschutzbeauftragten für den Gesamtbereich zu bestellen unter gleichzeitiger Bestellung von Vertretern vor Ort.Abs. 42
Soweit es sich bei der datenverarbeitenden Stelle um Beliehene handelt, wie z.B. Schornsteinfeger, müßte jedoch auch klargestellt werden, daß § 5 Abs. 3 auch für die Bestellung des Vertreters gilt, um unnötige Belastungen zu vermeiden.Abs. 43

Zu § 6

§ 6 Abs. 1 (Verfahrensverzeichnis)entspricht nicht ganz der Richtlinie. Hiernach ist auch der Verantwortliche mit Namen und Anschrift zu benennen (Art. 19 Abs. 1 a der Richtlinie). Hierauf kann nach der Richtlinie und sollte auch im Hinblick auf die bei § 5 angesprochene Problematik der unterschiedlichen Beschaffungsstufen nicht verzichtet werden.Abs. 44
Bedenklich erscheint, daß das Verzeichnis der eingesetzten Datenverarbeitungsanlagen entfallen soll. Denn das Geräteverzeichnis nach der LHO umfaßt nicht alle Geräte, die verwendeten Betriebssysteme und Programme. Das Verzeichnis nach der LHO umfaßt nur solche, die von der Stelle angeschafft wurden. Geräte und Programme, welche von einem Beschäftigten für dienstliche Zwecke eingesetzt werden, werden durch das Verzeichnis nach der LHO nicht erfaßt. Gerade im Hinblick auf die neuen technischen Möglichkeiten und die finanzielle Ausstattung des Landes erscheint es unmöglich und wenig sinnvoll, die Verwendung privaten Geräts gänzlich zu verbieten. Wird deren Benutzung jedoch von der verantwortlichen Stelle erlaubt, muß dieses zentral und für den Datenschutzbeauftragten nachvollziehbar erfaßt werden. Auf ein gesondertes Geräteverzeichnis kann damit nur insoweit verzichtet werden, als der Bestand nach der LHO erfaßt wurde, im übrigen ist es jedoch auch im Hinblick auf die Organisationskontrolle zwingend erforderlich und sollte weiterhin gesetzlich vorgeschrieben werden. Auch der BDSG-Entwurf sieht ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen in § 18 Abs. 2 Satz 1 (Stand 8.04.1998) weiterhin vor.Abs. 45

Zu § 7

In Absatz 1 Ziffer 1 müssen die Worte "sie vorsieht oder zwingend voraussetzt" ersetzt werden durch die Worte "sie erlaubt". Ein weiteres Abstellen auf "zwingend voraussetzt" ist verfassungsrechtlich nicht mehr zulässig. Die Übergangsfrist zur Schaffung bereichsspezifischer Regelungen, die ein "zwingend voraussetzt" gerechtfertigt hat, ist bis zum heutigen Zeitpunkt endgültig abgelaufen. Eine Durchbrechung des Gesetzesvorbehaltes ist verfassungsrechtlich unzulässig und ein offensichtlicher Verstoß gegen Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (vgl. dazu Demke/Schild, a.a.O., § 7 Erl. II. c). Abs. 46
Gleiches gilt erst Recht bei Absatz 4 (sensitive Daten). Auch hier sind die Worte "oder zwingend voraussetzt"zu streichen. Im übrigen fehlt bei Absatz 4 die Berücksichtigung der Daten nach Art. 8 Abs. 5 der Richtlinie (Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln). Warum keine Umsetzung erfolgte, ist aus der Begründung nicht ersichtlich.Abs. 47
Nach der Richtlinie ist die Einwilligung eine "informierte Einwilligung" - in Kenntnis der Sachlage. Insoweit ist Absatz 2 Art. 10 der Richtlinie vollständig umzusetzen. Dies ist vorliegend nicht der Fall. Auch bedarf es der Klarstellung, daß die betroffene Person ihre Einwilligung "ohne jeden Zweifel" gegeben hat (Art. 7 Buchstabe a der Richtlinie).Abs. 48
Hinzu kommt, daß in vielen Bereichen auch die Möglichkeit besteht die Einwilligung zu stufen, bzw. dem Betroffenen über den Umfang der Einwilligung ein Wahlrecht einzuräumen. Dies kann auch zu unterschiedlichen Rechtsfolgen führen (z.B. Pflicht- und freiwillige Leistungen). Insoweit bedarf die Regelung der Ergänzung. So muß der Betroffene zum Beispiel beim Melderecht bei der Einwilligung zur Veröffentlichung seiner Daten in Adressenverzeichnisse dies dahin beschränken können, daß er die automatisierte Auswertung und damit die Verarbeitung auf CD-ROM nicht wünscht.Abs. 49
Absatz 2 Satz 3 letzter Satzteil müßte lauten: "ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben und der Betroffene besonders darauf hinzuweisen.". Abs. 50
Das in Absatz 5 aufgenommene Widerspruchsrecht entspricht Art. 14 der Richtlinie. Nicht ganz nachvollziehbar erscheint mir jedoch die Begründung, soweit darin ausgeführt wird: "Alle bereichsspezifischen Rechtsvorschriften, die dieses Widerspruchsrecht nicht ausdrücklich gewährleisten, stehen ihm entgegen. ..." . Hier kann es sich nur um Vorschriften handeln, welche die Datenverarbeitung abschließend regeln oder das HDSG ausdrücklich in seiner Anwendbarkeit bezüglich des § 7 ausschließen. Insoweit käme wohl nur das Polizeirecht in Betracht. Da die meisten bereichsspezifischen Normen jedoch auf das HDSG Bezug nehmen, würde dann entgegen der amtlichen Begründung das Widerspruchsrecht gelten; selbst nach § 19 Verfassungsschutzgesetz. Ob dies gewollt ist, dürfte zu bezweifeln sein. Abs. 51
Im Geltungsbereich der Richtlinie kann das Widerspruchsrecht auch nicht beliebig eingeschränkt werden, sondern nur unter Respektierung der in der Richtlinie enthaltenen Abwägungsgrundsätze (z.B. Art. 13 der Richtlinie). Eine solche Abwägung wäre jedoch nach der Begründung nicht erfolgt. Bei der beabsichtigten Novellierung auf Bundesebene wurde daher - m.E. übertrieben, aber konsequent - bei den bereichsspezifischen Gesetzen die entsprechende Widerspruchsregelung des BDSG-Entwurfs jeweils für nicht anwendbar erklärt.Abs. 52
Bei der Vorabkontrolle nach Absatz 6wird auf denjenigen abgestellt, der für den Einsatz eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist. Nach der Begründung soll dies derjenige innerhalb der datenverarbeitenden Stelle sein, der für den Einsatz zuständig ist. Dies ist dann problematisch, wenn die übergeordnete Stelle für die Anschaffung zuständig ist, gleichzeitig aber die Vorabkontrolle bereits vor der Anschaffung und Einführung durchgeführt werden soll. Insoweit muß die übergeordnete Stelle die Vorabkontrolle durchführen. Dies korrespondiert zu meinen Ausführungen zu § 5 hinsichtlich der Beteiligung des Datenschutzbeauftragten. Hier ist der Entwurf lückenhaft und muß ergänzt werden.Abs. 53
Daß die Vorabkontrolle bei allen Verfahren zur automatisierten Datenverarbeitung vorgeschrieben wird, ist zu begrüßen und schafft Rechtsklarheit.
Da eine besondere und eine weniger besondere Vorabkontrolle jedoch sinnvollerweise nicht möglich sind, sollte der Klarheit wegen in § 7 Abs. 6 Satz 1 der letzte Halbsatz "; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten."entfallen. Diese Bemerkung dürfte in eine amtliche Begründung gehören und würde andernfalls zu einer Reduktion der Vorabkontrolle bei sensitiven Daten führen.
Abs. 54
Auch sollte bei der Regelung der Vorabkontrolle diese für zukünftige Entwicklungen offen sein und insbesondere die zukünftige Möglichkeit einer Datenschutz-Audit bereits heute aufgreifen. So sollte sichergestellt werden, daß bei durch den Anbieter auditierten Verfahren, die ohne Veränderung übernommen werden sollen, die Auditierung dazu führt, daß die Vorabkontrolle auf die Anpassung des Verfahrens an die örtlichen Besonderheiten der betroffenen Stelle beschränkt wird. Dies hätte zur Folge, daß ein Auditierungsanreiz bei Anbietern und Nachfragern geschaffen wird und das einzuführende Verfahren durch den für den Einsatz zuständigen Bearbeiter nicht in allen seinen Verästelungen und Gefahrenpotentialen erfaßt werden muß. Insoweit wäre auch Vorsorge getroffen worden für die im BDSG aufzunehmende Datenschutz-Audit, wie sie in § 17 des Medienstaatsvertrages bereits enthalten ist. Ein solches Verfahren würde gerade bei Standardverfahren für einzelne Bereiche (z.B. Kehrbuchprogramme) zu einer erheblichen Verwaltungsentlastung führen.Abs. 55

Zu § 8

Absatz 2 bietet eine sinnvolle Einbeziehung und Ergänzung der Chipkarten. Es sollte jedoch auch im Hinblick auf die Einwilligung der betroffenen Person zur Nutzung der Karte - soweit nicht spezialgesetzlich geregelt- sichergestellt werden, daß diese "ohne Zwang" erfolgt und nicht mit besonderen Vergünstigungen verbunden sein darf. Es sollte daher ein weiterer Satz aufgenommen werden, der ein Diskriminierungsverbot bei Nichtnutzung sicherstellt:
"Die Ausgabe und Verwendung der Datenträger darf für den Betroffenen nicht mit Vergünstigungen verbunden sein, die bei Nichtannahme zur Diskriminierung führen.".
Abs. 56

Zu § 10:

Der in Absatz 2 bei der automatisierten Verarbeitung angesprochene Grundsatz der Datensparsamkeit gilt auch bei der nicht-automatisierten Verarbeitung. Insoweit ist die Regelungsstelle falsch, der Grundsatz sollte gegebenenfalls in § 1 oder § 10 Abs. 1 Entwurf aufgenommen werden.
Auch die Organisation und ihre Kontrolle (Abs. 2 Ziffer 8) ist nicht nur Teil der Automation, sondern wesentliche Voraussetzung für einen ordnungsgemäßen Umgang mit personenbezogenen Daten gleich in welcher Form und bedarf deshalb einer besonderen Heraushebung an anderer Stelle (als Satz 1 in Absatz 1).
Abs. 57
Bei Absatz 2 Ziffer 4 ist mit dem Wort "vernichtet" wohl das Löschen im Sinne von § 2 Abs. 2 Satz 2 Ziffer 5 gemeint. Dann sollte es auch bei einem einheitlichen Sprachgebrauch bleiben und "vernichtet"durch "löschen" ersetzt werden.Abs. 58

Zu § 12: (Art. 1 Ziffer 9 Entwurf)

Soweit ein neuer Absatz 3 vorgesehen ist, sind in diesem die Worte "oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt" zu streichen. Gleiches gilt für den bisher nicht zur Änderung vorgesehenen Absatz 2 Ziffer 1. Auch hier sind die Worte ", zwingend voraussetzt" zu streichen. Eine solche Regelung ist verfassungsrechtlich nicht mehr zulässig (vgl. hierzu die Ausführungen zu § 7 sowie zur bisherigen Rechtslage Demke/Schild, a.a.O. § 12 Erl. II.1.b). Auch der Bundesgesetzgeber ist an die Verfassung gebunden. Soweit er seine Hausaufgaben seit 1983 noch nicht gemacht hat, kann 1998 der Landesgesetzgeber nicht verfassungswidriges Recht schaffen, um die Mängel des Bundesgesetzgebers auszugleichen. Die Verwaltung ist an die Verfassung gebunden und darf nicht durch den Gesetzgeber zum Verfassungsbruch aufgefordert werden. Eine Übergangsregelung - wie hier in Absatz 3 erneut vorgeschlagen - kann nach Ablauf der Übergangsfrist (siehe dazu die einschlägige nunmehr fast einhellige Rechtsprechung) nicht mehr zugelassen werden.Abs. 59

zu § 16:

Der Entwurf enthält keine Änderungen zu § 16, obwohl dies zwingend ist.
Zum einen sind in den Absätzen 1 und 2 die Worte "Empfänger" durch "Dritter" zu ersetzen. Denn es soll eine Datenweitergabe außerhalb der datenverarbeitenden Stelle erfolgen, weshalb der Entwurf in § 2 Abs. 5 (neu) den Dritten entsprechend den Vorgaben der Richtlinie definiert.
Zum anderen wird auf § 11 Bezug genommen, welcher in Absatz 1 einen neuen Satz 2 (Ziffer 8 a Entwurf) enthalten soll. Da Übermittlungen auch an "Personen außerhalb des öffentlichen Bereichs" möglich sein sollen, wäre es insoweit das einfachste, in § 11 Abs. 1 Satz 2 (neu) (Ziffer 8 a Entwurf) nach dem Wort "Stellen" die Worte "oder Personen" einzufügen. Andernfalls müßte der Bezug zu § 11 in § 16 Abs. 1 zumindest soweit angepaßt werden, daß nach "§ 11" das Wort " entsprechend"aufgenommen wird.
Abs. 60

Zu § 17: (Art. 1 Ziffer 12 Entwurf)

In Absatz 1 wird der Geltungsbereich der Richtlinie nicht berücksichtigt; die Regelung geht so zu weit und ist in dieser Form überflüssig. Nach der Begründung soll es nur um den Geltungsbereich der Richtlinie gehen, was jedoch in dem Absatz nicht umgesetzt wurde (siehe insoweit die obigen Ausführungen I. e). Soweit die Richtlinie Anwendung findet, reichen §§ 14 bis 16 aus, da der Datentransfer innerhalb der EU freizügig ist und das HDSG insoweit "EU-weit" mit allen seinen Bestimmungen gilt. Soweit der Geltungsbereich der Richtlinie keine Anwendung findet, fehlt es an einer entsprechenden Regelung. Abs. 61
Auch sind in § 17 die Organe der EU (z.B. Kommission, Europäischer Gerichtshof) nicht berücksichtigt. Diese weisen derzeit kein der Richtlinie entsprechendes Datenschutzniveau auf, sind insoweit nach den Vorgaben der Richtlinie Drittstaat. Erst im Jahre 1999 soll nach Art. 213 b des EGV, welcher durch den Amsterdamer Vertrag eingeführt wird, die Richtlinie auf die Organe und Einrichtungen der EU entsprechende Anwendung finden.Abs. 62
Bei Absatz 2 fehlen Kriterien zur Bestimmung des angemessenen Datenschutzniveaus in Drittstaaten (vgl insoweit § § 4 b Abs. 3 BDSG-Entwurf, Stand 8.4.1998). Abs. 63
Ferner ist im Absatz 2 letzter Satz der Satzteil "die mit den Zwecken zu vereinbaren sind," zu streichen. Diese Regelung ginge weit über die enge Zweckbindung des bisherigen Rechts hinaus (vgl. auch § 4 b Abs. 6 BDSG-Entwurf).Abs. 64

Zu § 18: (Art. 1 Ziffer 13 Entwurf)

In dem neu vorgeschlagenen Absatz 2 Nr. 1 sind die Worte anzufügen "und der Betroffene entsprechend § 12 Abs. 4 bei der Erhebung informiert wurde".
Die Richtlinie setzt in Art. 10 eine Information des Betroffenen bei der Erhebung voraus, welche in § 12 Abs. 4 umgesetzt wird. Unterbleibt diese, ist sie nachzuholen, was durch den vorstehenden Vorschlag sichergestellt werden soll. Andernfalls würde eine Lücke in der Umsetzung der Richtlinie bestehen.
Abs. 65
Bei Absatz 2 Nr. 2 Entwurf sind die nach der Richtlinie geforderten geeigneten Garantien nicht nachvollziehbar. Auch die Begründung schweigt hierzu. Ob und inwieweit solche bei bereichsspezifischen Normen bereits heute gegeben sind, ist äußerst zweifelhaft und kann derzeit eigentlich auch noch nicht der Fall sein, da bei keiner mir bekannten Norm die Richtlinie bereits berücksichtigt wurde.Abs. 66
Absatz 2 Nr. 3 dürfte nicht richtlinienkonform sein, da eine anderweitige Kenntnis von der Verarbeitung weder die Informationen nach Art. 10 noch nach Art. 11 der Richtlinie sicherstellt.Abs. 67
Warum bei dem neuen Absatz 6 (Art. 1 Ziffer 13 e Entwurf) bei Prüfungs- und Berufungsverfahrenauch die neuen Absätze 1 und 2 (neu) keine Anwendung finden sollen, ist nicht nachvollziehbar. Werden die Daten beim Betroffenen nach § 12 erhoben, ist er bereits zu diesem Zeitpunkt zu informieren. Inwieweit eine Datenerhebung in diesen Fällen bei Dritten notwendig ist und dem Betroffenen nicht bekannt werden darf, mit der Folge, daß es eines Ausschlusses nach Abs. 2 Nr. 1 (neu) bedarf, ist nicht begründbar. Auch läßt die Richtlinie insoweit keine Ausnahme zu.Abs. 68

Zu § 19

Daten, die nicht mehr erforderlich sind, sind zu löschen. Insoweit führt die Richtlinie in Art. 6 Abs. 1 Buchstabe e aus, daß personenbezogene Daten nicht länger als für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich aufbewahrt werden dürfen. Dies entspricht dem Regelungsansatz des HDSG, welcher auf die Erforderlichkeit abstellt. Insoweit ist zumindest § 19 Abs. 3 erster Halbsatz neu zu fassen:
"Personenbezogene Daten sind zu löschen, ...".
Abs. 69
Dieser verfassungsrechtliche Grundsatz gehörte eigentlich als Absatz 1 vorangestellt.Abs. 70

Zu § 21 Abs. 5 neu: (Art. 1 Ziffer 16 b Entwurf)

Die Regelung des neu geplanten Absatzes 5, welche zwingend notwendig ist, ist leider nicht ganz vollständig. Dem Satz ist ein Satz voranzustellen:
"Der Hessische Datenschutzbeauftragte wird bei Rechtsetzungs- und Verwaltungsvorschriftenvorhaben der Landesregierung oder einzelner Ministerien sowie bei sonstigen Angelegenheiten, die den Datenschutz betreffen, möglichst frühzeitig beteiligt. Er kann der Landesregierung Vorschläge und Stellungnahmen zuleiten.".
Abs. 71
Die Regelung entspricht der des § 91 c AuslG bezüglich des Ausländerbeauftragten und bedarf auch bezüglich des Datenschutzbeauftragten nach Art. 28 Abs. 2 der Richtlinie der gesetzlichen Regelung. Denn nur so können die Belange des Datenschutzes im Normengefüge rechtzeitig erkannt und berücksichtigt werden.Abs. 72

Zu § 22: (Art. 1 Ziffer 17 Entwurf)

Hier sollte aus redaktionellen Gründen die Zahl "31"durch die Zahl "30" ersetzt werden, denn § 31 enthält auch weiterhin keine Verpflichtung, sondern die Personal- und Sachausstattung. Eine Verweisung auf § 31 dürfte daher schlicht falsch sein.Abs. 73

Zu § 23

Bei § 23 sieht der Entwurf keine Änderungen vor. Die Verschwiegenheitspflicht ist jedoch bisher nicht abschließend geregelt und sollte derjenigen in anderen Bereichen (z.B. § 27 Abs. 2 BImSchG) angepaßt werden. Darüber hinaus bedarf es der Umsetzung von Art. 28 Abs. 3 3. Spiegelstrich der Richtlinie, welcher eine Anzeigebefugnis des Hessischen Datenschutzbeauftragten sowie dessen Recht, Betroffene zu informieren, vorschreibt. Es sind deshalb die folgenden Sätze anzuhängen:
"Für den Hessischen Datenschutzbeauftragten und seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. Satz 7 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Person handelt. Stellt der Hessische Datenschutzbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren.".
Abs. 74
Insoweit sollte auch überlegt werden, ob die Strafvorschrift des § 40 der des Bundesdatenschutzgesetzes anzupassen ist. Denn für einen Betroffenen ist nicht einsichtig, daß bei gleichem Sachverhalt die Handlung einmal strafbewehrt und ein anderes mal nicht strafbewehrt sein soll.Abs. 75

Zu § 24

In dem neuen Absatz 2 (Art. 1 Ziffer 18 a Entwurf)sind aus redaktionellen Gründen die Worte "§ 4 Abs. 2 Satz 1"durch die Worte "§ 4 Abs. 3 Satz 1, § 15 Abs. 3 oder § 33 Abs. 4" zu ersetzen, da § 4 Abs. 2 bisheriger Fassung nunmehr Absatz 3 werden soll und auch im Bereichen der gemeinsamen Verfahren und der Forschung eine Unterwerfung bezüglich der Kontrolle durch den Hessischen Datenschutzbeauftragten im Gesetz geregelt ist.
Es sollte jedoch überlegt werden, ob nicht jeglicher Bezug - auch auf § 4, § 15 oder § 33 - entfallen kann, denn dadurch bleibt die Norm offen für jede sonst mögliche Unterwerfung hinsichtlich der Kontrolle durch den Hessischen Datenschutzbeauftragten und könnte auch in anderen Bereichen als Regulativ genutzt werden, ohne daß Normanpassungen erforderlich werden.
Abs. 76
Im Falle einer Zusammenfassung der Kontrollbefugnisse in der Hand des Hessischen Datenschutzbeauftragten müßte Absatz 4 neu gefaßt werden.
Unabhängig davon ist der EU-Bezug nicht aufgenommen worden und Art. 28 Abs. 6 der Richtlinie nicht umgesetzt worden. Insoweit sind die Sätze in Absatz 4 aufzunehmen:
"Er leistet den Kontrollbehörden der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). Zum Zwecke der Aufsicht darf er Daten an andere Kontrollbehörden übermitteln.".
Abs. 77

Zu § 34: (Art. 1 Ziffer 24 Entwurf)

Zwar ist § 34 als Arbeitnehmerdatenschutznorm zu begrüßen. Die Regelung ist jedoch auf das Personalaktenrecht nach dem HBG, welches für Arbeiter und Angestellte nach dem Erlaß des HMdI entsprechend angewendet werden soll, abzustimmen. Personalaktendaten werden im HBG bereichsspezifisch vorgreiflich geregelt, so daß § 34 eigentlich nur für die Datenverwendung bei Beschäftigten Anwendung finden sollte, welche nicht unter das Personalaktenrecht fallen. Derzeit überschneiden sich jedoch die Regelungsbereiche, was bei Nicht-Beamten zu Problemen und fehlender Normklarheit führt. Die Aufnahme eines Absatzes, der die Regelungen der §§ 107 ff. HBG für Nicht-Beamte entsprechend für anwendbar erklärt, würde die durch Erlaß geschaffene faktische Gleichstellung auch auf eine klare Normengrundlage stellen.Abs. 78
Bei Absatz 5 (Art. 1 Ziffer 24 c Entwurf)sollte überlegt werden, ob der Personalvertretung nicht auch ein Recht auf Erläuterung und Stellungnahme durch den Datenschutzbeauftragtennach § 5 eingeräumt werden sollte. Dies, da der behördliche Datenschutzbeauftragte für die Prüfung des Ergebnisses der Vorabkontrolle nach § 7 Abs. 6 zuständig ist und das Ergebnis der Vorabkontrolle Bestandteil des Verfahrenverzeichnisses ist; der örtliche Datenschutzbeauftragte war also viel näher mit der Materie befaßt. Unabhängig davon sollte die Möglichkeit der Stellungnahme des Hessischen Datenschutzbeauftragten jedoch bestehen bleiben. Eine Beteiligung des örtlichen Datenschutzbeauftragten könnte jedoch zu einer weiteren Entlastung des Hessischen Datenschutzbeauftragten führen und wäre ein Beitrag zur Subsidiarität.Abs. 79

Zu § 39:

Ziffer 27 des Entwurfes geht offensichtlich von einer Streichung des bisherigen § 39 HDSG aus, da § 39 a nunmehr § 39 werden soll. Insoweit bedarf es redaktionell der Aufnahme der Regelung in das Gesetz, daß der bisherige § 39 HDSG gestrichen wird und dann erst, daß an seiner Stelle als neuer § 39 der Inhalt von § 39 a tritt. Abs. 80

Zu § 42:

Da Verfahrenverzeichnisse entsprechend § 6 Abs. 1 des Entwurfes nicht innerhalb weniger Tage erstellt werden können und von der bisherigen Dateibeschreibung abweichen, sie jedoch dem örtlichen Datenschutzbeauftragten unverzüglich vorgelegt werden müssen, erscheint eine Übergangsfrist von mindestens einem halben Jahr zwingend notwendig. Dies insbesondere, weil das Gesetz am Tage nach der Verkündung in Kraft treten soll. Andernfalls wären die verantwortlichen Stellen wohl zeitlich und personell überfordert, da das Verfahrensverzeichnis andernfalls mit Inrafttreten bei dem Datenschutzbeauftragten (§ 5) abzuliefern wäre. Abs. 81

Anhang: Textvorschläge

zu § 37:

nach Absatz 1 ist ein neuer Absatz 2 und 3 aufzunehmen:
(2) Wird jemand durch eine Berichterstattung des Hessischen Rundfunks in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit aus den Daten auf die Person des Verfassers, Einsenders oder der Gewährsperson von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann. Die betroffene Person kann die Berichtigung unrichtiger Daten oder die Hinzufügung einer eigenen Darstellung von angemessenem Umfang verlangen.
(3) Die geschäftsmäßige (mögliche Einschränkung: automatisierte) Veröffentlichung von personenbezogenen Daten aus Medienarchiven, die erstmals vor mehr als fünf Jahren veröffentlicht worden sind, ist unzulässig. Die Übermittlung dieser Daten ist zulässig, wenn der Empfänger ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, daß schutzwürdige Interessen des Betroffenen entgegenstehen.
JurPC Web-Dok.
124/1998, Abs. 82
* Hans-Hermann Schild ist Vorsitzender Richter am Verwaltungsgericht Gießen.
[online seit: 28.08.98]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Schild, Hans-Hermann, Schriftliche Stellungnahme zu dem Entwurf der Landesregierung für ein Drittes Gesetz zur Änderung des Hessischen Datenschutzgesetzes - JurPC-Web-Dok. 0124/1998